Nur wenige Tage nachdem Microsoft ein Notfall-Update veröffentlichte, haben ukrainische Forscher eine Kampagne entdeckt, die von Hackern im Zusammenhang mit dem russischen Staat betrieben wird, die die Schwachstelle nutzt, die bekannt als CVE-2026-21509 in mehreren Versionen von Microsoft Office. Das ukrainische Computer-Responsorteam (CERT-UA) dokumentiert die Verteilung von schädlichen Dokumenten, die diesen Fehler ausgenutzt haben und die nach seiner Analyse zur Bedrohungsfamilie gehören, die mit APT28 (auch bekannt als Fancy Bear oder Sofacy) verbunden ist.
Die Intrusionssequenz ist nicht einfach klassische Phishing: Beim Öffnen von DOC-Dateien wird eine webDAV-basierte Download-Kette ausgelöst, die durch COM-Komponenten-Supplanting-Techniken bei der Installation einer schädlichen Last gipfelt. Unter den von DOS-DOS identifizierten Artefakten sind eine bösartige DLL namens EhStoreShell.dll, eine Bilddatei (SplashScreen.png), die tatsächlich versteckte ausführbare Code und eine geplante Aufgabe enthält, die unter dem Namen erscheint OneDriveHealth. Der Zwangsneustart des Entdeckers. exe-Prozess, orchestriert durch programmierte Aufgabe, ermöglicht es dem schädlichen DLL, den versteckten Shellcode im Bild zu laden und auszuführen, die wiederum startet ein Kommando- und Steuerungsrahmen als COVENANT.
Dieses gleiche Ladegerät hatte bereits in früheren Vorfällen mit APT28 im Juni 2025, als Angreifer nutzte Gespräche in Signal, um Downloads zu verbreiten, die zur Ausführung von getauften Malware wie BeardShell und SlimAgent führte. CERT-UA stellt ferner fest, dass COVENANT den Cloud-Speicherdienst nutzt Datei als Befehls- und Steuerkanal, so dass die Überwachung oder Sperrung von Verbindungen zu dieser Plattform helfen kann, bösartige Aktivität zu mildern.
Es gibt Details, die auf die Forschung aufmerksam machen: Einige der verteilten Dokumente hatten Fragen im Zusammenhang mit EU-COREPER-Beratungen in der Ukraine, während andere durch Kommunikation vom ukrainischen Hydrometeorologischen Zentrum ging und sich an Dutzende von Adressen in Verbindung mit Regierungsstellen schickten. Unser forensisches Wissen zeigt auch ein interessantes Paradox: Die Metadaten der Dateien weisen darauf hin, dass sie erstellt wurden, nachdem Microsoft das Notfall-Update gestartet hat, was darauf hindeutet, dass die Angreifer bereits verfügbare Versionen der Explosion oder generierte Dokumente verwendet haben könnten, die speziell für die Vermeidung von Kontrollen entwickelt wurden.
Die Zuweisung an APT28 wird nicht nur durch die verwendete Technik unterstützt, sondern auch durch die Wiederverwendung von Infrastruktur und Werkzeugen, die bereits in früheren Kampagnen beobachtet wurden. Für den Kontext dieses Akteurs ist es angebracht, öffentliche Berichte und Kompilationen zu überprüfen, die seine Beharrlichkeit und den Modus operandi über die Jahre beschreiben, wie beispielsweise die Analysedokumente und technische Factsheets, die in offenen Quellen und spezialisierten Repositorien zur Verfügung stehen, beispielsweise die Referenzseite auf APT28 in Wikipedia oder Untersuchungen und Berichte des nationalen Antwortteams.
Von der Verteidigungsseite aus ist die klare Empfehlung von CERT-UA und Lieferanten, so schnell wie möglich das Update anzuwenden, dass Microsoft Off-Schedule veröffentlicht, um CVE-2026-21509 zu korrigieren. Sie betreffen Versionen wie Office 2016, 2019, Microsoft 365 Apps und LTSC-Editionen; außerdem ist es für Office 2021 und später wichtig, dass Anwender Anwendungen neu starten, um den Patch wirklich aktiv zu machen. Microsoft erinnert auch daran, dass die Funktion Defender Protected View eine zusätzliche Barriere hinzufügt, indem Office-Dateien aus dem Internet blockiert werden, bis sie als zuverlässig gekennzeichnet sind; offizielle Dokumentation über diese Funktionalität finden Sie auf der Microsoft-Website: Büro geschützt Blick.
Wenn das Patch nicht sofort eingesetzt werden kann, gibt es eine vorübergehende Minderung auf der Grundlage der Windows-Registrierungs- und Gruppenrichtlinien, die die Operation begrenzen; die spezifischen Anweisungen für solche Maßnahmen werden in der Regel von Microsoft und lokalen CERT-Teams veröffentlicht, so ist es angebracht, die offiziellen Anleitungen zu folgen und sie an die Infrastruktur jeder Organisation anzupassen. Es ist auch ratsam, die neuesten programmierten Aufgaben, DLL-Module, die ungewöhnliche Standorte und ausgehende Verbindungen zu ungewöhnlichen Cloud-Speicherservices laden, im Rahmen der Suche nach Verpflichtungsindikatoren in Bezug auf diese Kampagne zu überprüfen.
Die Verwendung von Techniken wie Shellcode-Inlay in PNG-Dateien und COM-Komponenten-Hijacking zeigt einen beobachtbaren Trend bei anspruchsvollen Intrusionen: Angreifer kombinieren Anziehungs- und Persistenzvektoren, um automatische Kontrollen zu umgehen und dauerhafte Ausführung in Systemen von Interesse zu erhalten. Aus diesem Grund kann die Antwort nicht auf einen einzigen Patch beschränkt werden; sie sollte eine kontinuierliche Überwachung, Netzsegmentierung, verbesserte Zugangskontrollen und spezielle Schulungen für Teams umfassen, die privilegierte Konten verwalten.
Zusätzlich zu dem technischen Bericht von CERT-UA, der die erste Untersuchung enthält, wird empfohlen, dass Sicherheitsbeamte die Mitteilungen und bewährten Praxisführer von internationalen Einrichtungen und Lieferanten konsultieren, um die Verteidigung auf dem neuesten Stand zu halten und Antworten zu koordinieren. Der CERT-UA-Bericht zu diesem Fall ist öffentlich verfügbar und enthält nützliche Details für SOC-Teams: CERT-AU-Bericht. Der Katalog der ausgenutzten Schwachstellen von bekannten Akteuren in der CISA Es ist eine nützliche Quelle.
Kurz gesagt, die Kombination einer Zero-Day-Schwachstelle, irreführende Dokumente mit plausiblen Themen und einer gut abgestimmten technischen Ausführungskette zeigt, warum Off-Cycle-Updates ernst genommen werden sollten. Hat die Organisation noch nicht den Patch für CVE-2026-21509 angewendet, so dass die erste Sicherheitspriorität den Unterschied zwischen einem gescheiterten Intrusionsversuch und einer tief anhaltenden Netzwerklücke machen kann. Gleichzeitig wird die Überwachung von Verbindungen zu unbefugten Cloud-Speicherdiensten und die Überprüfung von Artefakten wie OneDriveHealth, EhStoreShell.dll oder Bildern mit verdächtigem Verhalten dazu beitragen, Verpflichtungen zu erkennen, die die anfänglichen Verteidigungen ignoriert haben.
Für diejenigen, die die beteiligten Werkzeuge untersuchen wollen, hat der COVENANT-Framework, der oft in der Post-Exploitations-Analyse zitiert wird, sein öffentliches Repository mit technischen Informationen in GitHub: Covenant in GitHub. Diese technischen Informationen, kombiniert mit den von Teams wie CERT-UA veröffentlichten Indikatoren, erleichtern es den Verteidigern, effektivere Erkennungsregeln und Blockaden gegen ähnliche Kampagnen zu entwickeln.
Die Geschichte bleibt offen: CERT-UA und andere Labore werden weiterhin Updates veröffentlichen, wenn neue Varianten oder Infrastrukturen, die mit dieser Kampagne verbunden sind, identifiziert werden. Die Aufrechterhaltung offener Kommunikationswege mit der Gemeinschaft und die Umsetzung von präventiven und detektiven Maßnahmen ist jetzt der beste Weg, das Risiko von Akteuren mit staatlichen Mitteln zu verringern. Mittlerweile wenden Sie den Patch an, starten Sie die betroffenen Anwendungen neu und stärken Sie die Beobachtungsfähigkeit des Netzwerks und Endpunkte sind konkrete Schritte, die die Bedrohung enthalten können.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...