Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA повідомила про кібератаки у відношенні України та країн ЄС з використанням експлойту CVE-2026-21509 (CERT-UA#19542)
Повернення коштів на рахунок: нюанси та ризики
У понеділок, 26.01.2026, компанією Microsoft опубліковано інформацію про вразливість з ідентифікатором CVE-2026-21509 у продуктах Microsoft Office, з приміткою про активну експлуатацію останньої.
Вже 29.01.2026 в публічному доступі виявлено DOC-файл «Consultation_Topics_Ukraine(Final).doc», що містив експлойт для згаданої вразливості та був присвячений консультаціям Комітету постійних представників при ЄС (COREPER) по ситуації в Україні. При цьому метадані свідчать про те, що документ було створено 27.01.2026 о 07:43:00 (UTC), тобто, на наступний день після публікації згаданого сповіщення про вразливість від Microsoft.
Протягом того ж дня від учасників інформаційного обміну отримано повідомлення щодо розповсюдження, нібито від імені Укргідрометцентру, електронних листів із вкладенням у вигляді DOC-файлу «BULLETEN_H.doc». Згаданий лист було відправлено на більше ніж 60 електронних адрес переважно центральних органів виконавчої влади України.
Під час дослідження встановлено, що відкриття документу за допомогою програми Microsoft Office призводить до встановлення мережевого з’єднання із зовнішнім ресурсом з використанням протоколу WebDAV, подальшого завантаження файлу із заголовком файлу ярлика, який містить програмний код, призначений для завантаження та запуску виконуваного файлу.
Успішний запуск останнього призведе до створення на комп’ютері DLL-файлу «EhStoreShell.dll» (маскується під файл бібліотеки «Enhanced Storage Shell Extension»), файлу-зображення з шелкодом «SplashScreen.png», зміни значення шляху в реєстрі Windows для CLSID {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D} (реалізація COM hijacking) та створення запланованої задачі «OneDriveHealth».
Заплановане виконання задачі призведе до термінації та повторного запуску процесу explorer.exe, що, серед іншого, завдяки COM hijacking забезпечить завантаження DLL-файлу «EhStoreShell.dll», який здійснить виконання шелкоду з файлу-зображення, що, в свою чергу, забезпечить запуск на комп’ютері програмного засобу (фреймворку) COVENANT. Слід звернути увагу на той факт, що в якості інфраструктури для управління COVENANT використовує легітимне хмарне сховище Filen (filen.io).
В останні дні січня 2026 року виявлено ще три документи з аналогічним експлойтом, які, відповідно до їх вмісту, структури вбудованих URL та інших особливостей, були застосовані для кібератак у відношенні організацій країн ЄС. При цьому, в одному з випадків доменне ім’я, використане в атаці 30.01.2026, зареєстроване в цей же день.
Очевидно, що найближчим часом, в т. ч. через інертність процесу (або неможливість) оновлення користувачами пакету програм Microsoft Office і/або застосування рекомендованих механізмів захисту, кількість кібератак із застосуванням описаної вразливості почне зростати.
З метою скорочення поверхні атаки CERT-UA рекомендує:
- невідкладно вжити заходів, наведених в публікації Microsoft, зокрема, в частині налаштування реєстру Windows;
- унеможливити і/або взяти під окремий моніторинг мережеву взаємодію з вузлами згаданого хмарного сховища Filen (filen.io).
Організації, які за допомогою граничних мережевих засобів власних інформаційно-комунікаційних систем і/або на рівні постачальників електронних комунікаційних послуг мають технологічну інтеграцію з системою реагування на кіберінциденти, кібератаки, кіберзагрози (забезпечення функціонування якої здійснюється Державним центром кіберзахисту Держспецзв’язку в рамках впровадження організаційно-технічної моделі кіберзахисту як складової національної системи кібербезпеки), автоматично отримують відповідний захист.
За інформацією CERT-UA
Підпишіться на Telegram-канал 
