Apenas alguns dias depois de a Microsoft publicar uma atualização de emergência, pesquisadores ucranianos detectaram uma campanha operada por hackers vinculados ao Estado russo que aproveita a vulnerabilidade conhecida como CVE-2026-21509 em várias versões do Microsoft Office. A equipe de resposta informática da Ucrânia (CERT-UA) documentou a distribuição de documentos maliciosos que exploravam esse erro e que, segundo sua análise, pertencem à família de ameaças associada a APT28 (também conhecida como Fancy Bear ou Sofacy).
A sequência da intrusão não é simples phishing clássico: ao abrir os arquivos DOC se desencadeia uma cadeia de descarga baseada na WebDAV que culmina na instalação de uma carga maliciosa por técnicas de suplantação de componentes COM. Entre os artefatos identificados pela CERT-UA figuram um DLL maliciosa chamado EhStoreShell.dll, um ficheiro de imagem (SplashScreen.png) que contém um código executável escondido e uma tarefa programada que aparece sob o nome OneDriveHealth. O reinício forçado do processo explorer.exe, orquestrado pela tarefa programada, permite que o DLL maliciosa seja carregado e execute o shellcode escondido na imagem, que por sua vez arranca um framework de comando e controle conhecido como COVENANT.
Este mesmo carregador já havia aparecido em incidentes anteriores ligados a APT28 em junho de 2025, quando os atacantes aproveitaram conversas em Signal para distribuir downloads que levaram à execução de malware batizado como BeardShell e SlimAgent. CERT-UA aponta ainda que COVENANT tem utilizado o serviço de armazenamento na nuvem Filen Como canal de comando e controle, por isso monitorar ou bloquear conexões para essa plataforma pode ajudar a mitigar a atividade maliciosa.
Há detalhes que chamam a atenção para a investigação: alguns dos documentos distribuídos tinham temática relacionada a consultas do COREPER da UE na Ucrânia, e outros se fizeram passar por comunicações do Centro Hidrometeorológico da Ucrânia, recorrendo a dezenas de direcções ligadas a organismos governamentais. Nosso conhecimento forense também revela um paradoxo interessante: a metadata dos arquivos indica que foram criados após a Microsoft lançar a atualização de emergência, o que sugere que os atacantes poderiam ter usado versões do exploit já disponíveis ou ter gerado documentos especialmente concebidos para evitar controles.
A atribuição a APT28 apoia não só a técnica utilizada, mas a reutilização de infra-estruturas e ferramentas já observadas em campanhas anteriores. Para contexto sobre este ator, convém rever relatórios públicos e compilação que descrevem a sua persistência e modus operandi ao longo dos anos, como os documentos de análise e fichas técnicas disponíveis em fontes abertas e repositórios especializados, por exemplo, a página de referência sobre APT28 em Wikipédia, ou pesquisas e relatórios de equipes de resposta nacionais.
Do lado da defesa, a recomendação clara da CERT-UA e dos fornecedores é aplicar o quanto antes a atualização que a Microsoft publicou fora de calendário para corrigir CVE-2026-21509. Afectam versões como Office 2016 2019, Microsoft 365 Apps e edições LTSC; além disso, para Office 2021 e posteriores é importante que os usuários reiniciem as aplicações para que o adesivo realmente ativo. A Microsoft também lembra que a função Protected View de Defender adiciona uma barreira adicional ao bloquear arquivos do Office da Internet até serem marcados como confiáveis; a documentação oficial sobre essa funcionalidade pode ser consultada no site da Microsoft: Office Protected View.
Quando o adesivo não pode ser aplicado de forma imediata, existem atenuações temporárias baseadas no registo do Windows e em políticas de grupo que limitam a exploração; as instruções concretas para essas medidas costumam publicá-las tanto a Microsoft como equipamentos CERT locais, pelo que convém seguir os guias oficiais e ajustar as infra-estruturas de cada organização. Também é aconselhável auditar tarefas agendadas recentes, módulos DLL que sejam carregados de locais incomuns e conexões salientes para serviços de armazenamento em nuvem não habituais, como parte da busca de indicadores de compromisso relacionados a esta campanha.
O uso de técnicas como a incorporação de shellcode em arquivos PNG e a filhackeo de componentes COM evidencia uma tendência observável em intrusões sofisticadas: os atacantes combinam vetores de ofuscação e persistência para sortear controles automáticos e obter execução persistente em sistemas de interesse. Por esta razão, a resposta não pode ser limitada a um único adesivo; deve incluir monitorização contínua, segmentação de redes, controlos de acesso reforçados e formação específica para equipamentos que gerem contas com privilégios.
Além do relatório técnico da CERT-UA que recolhe a investigação inicial, recomenda-se que os responsáveis pela segurança consultem os avisos e guias de boas práticas de organismos internacionais e de fornecedores para manter as defesas actualizadas e coordenar respostas. O relatório CERT-UA sobre este caso está disponível publicamente e contém detalhes úteis para os equipamentos SOC: Relatório CERT-UA. Para uma visão mais ampla sobre a priorização de vulnerabilidades exploradas ativamente, o catálogo de vulnerabilidades exploradas por atores conhecidos da CISA É uma fonte útil.
Em suma, a combinação de uma vulnerabilidade de dia zero, documentos enganosos com temas plausível e uma cadeia de execução técnica bem afinada demonstra por que as atualizações fora de ciclo devem ser levadas a sério. Se a organização ainda não aplicou o adesivo para CVE-2026-21509, converter isso na primeira prioridade de segurança pode marcar a diferença entre uma tentativa de intrusão falhada e uma brecha com persistência profunda na rede. Ao mesmo tempo, monitorar conexões para serviços de armazenamento em nuvem não autorizados e revisar artefatos como OneDriveHealth, EhStoreShell.dll ou imagens com comportamento suspeito ajudará a detectar compromissos que tenham passado por alto as defesas iniciais.
Para quem quiser investigar as ferramentas envolvidas, o framework COVENANT, frequentemente citado em análise de pós-explotação, tem seu repositório público com informações técnicas no GitHub: Covenant no GitHub. Essa informação técnica, combinada com os indicadores publicados por equipes como CERT-UA, facilita que os defensores desenvolvam regras de detecção e bloqueios mais eficazes contra campanhas semelhantes.
A história continua aberta: CERT-UA e outros laboratórios continuarão a publicar atualizações se novas variantes ou infra-estruturas ligadas a esta campanha forem identificadas. Manter canais de comunicação abertos com a comunidade e aplicar medidas preventivas e detectivas agora é a melhor maneira de reduzir o risco de atores com recursos estatais. Enquanto isso, aplicar o adesivo, reiniciar as aplicações afectadas e reforçar a observabilidade da rede e os endpoints são passos concretos que podem conter a ameaça.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...