Украинская команда реагирования на компьютерные чрезвычайные ситуации (CERT) сообщает, что российские хакеры используют CVE-2026-21509 — уязвимость в нескольких версиях Microsoft Office, которая недавно была исправлена.
26 января Microsoft выпустила экстренное внеплановое обновление безопасности, пометив CVE-2026-21509 как активно эксплуатируемую уязвимость нулевого дня.
CERT-UA обнаружила распространение вредоносных DOC-файлов, использующих эту уязвимость, на тему консультаций EU COREPER в Украине, всего через три дня после предупреждения Microsoft.
В других случаях электронные письма были замаскированы под письма от Украинского гидрометеорологического центра и отправлены более чем на 60 адресов, связанных с государственными органами.
Однако агентство отмечает, что метаданные документа показывают, что он был создан на один день позже экстренного обновления.
Украинская CERT связала эти атаки с APT28 — государственным актором угроз, также известным как Fancy Bear и Sofacy, который ассоциируется с Главным разведывательным управлением Генерального штаба России (ГРУ).
Открытие вредоносного документа запускает цепочку загрузки на основе WebDAV, которая устанавливает вредоносное ПО через COM hijacking, вредоносную DLL (EhStoreShell.dll), shellcode, скрытый в файле изображения (SplashScreen.png), и запланированную задачу (OneDriveHealth).
«Выполнение запланированной задачи приводит к завершению и перезапуску процесса explorer.exe, что, среди прочего, благодаря COM hijacking, обеспечивает загрузку файла EhStoreShell.dll», — говорится в отчете CERT-UA.
«Эта DLL выполняет shellcode из файла изображения, который, в свою очередь, обеспечивает запуск на компьютере программного обеспечения COVENANT (фреймворк)».
Это тот же загрузчик вредоносного ПО, который CERT-UA связывала с атаками APT28 в июне 2025 года, когда использовались чаты Signal для доставки вредоносных программ BeardShell и SlimAgent правительственным организациям в Украине.
Агентство сообщает, что COVENANT использует облачный сервис хранения данных Filen (filen.io) для операций командно-контрольного управления (C2). Мониторинг или полное блокирование соединений, связанных с этой платформой, должны улучшить защиту от этой угрозы.
Последующие расследования показали, что APT28 использовала еще три документа в атаках на различные организации, базирующиеся в ЕС, что указывает на то, что кампания выходит за пределы Украины. В одном из наблюдавшихся случаев домены, поддерживающие атаки, были зарегистрированы в один и тот же день.
Организациям рекомендуется установить последнее обновление безопасности для Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 и Microsoft 365 Apps. Для Office 2021 и более поздних версий убедитесь, что пользователи перезапускают приложения, чтобы обновления могли быть применены.
Если немедленное исправление невозможно, рекомендуется применить основанные на реестре меры смягчения последствий, описанные в нашем первоначальном освещении уязвимости.
Microsoft ранее заявляла, что защищенный режим Defender добавляет дополнительный уровень защиты, блокируя вредоносные файлы Office, полученные из Интернета, если они не помечены как явно доверенные.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
