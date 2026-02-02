Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA фіксує нову хвилю цілеспрямованих кібератак із використанням свіжої вразливості у Microsoft Office, які спрямовані на державні органи України та організації в країнах ЄС, повідомляється в телеграм-каналі Державної служби спеціального зв’язку та захисту інформації України в понеділок.

"26 січня 2026 року Microsoft повідомила про небезпечну вразливість у програмах Office (CVE-2026-21509). Вже наступного дня зловмисники створили шкідливий документ на тему консультацій ЄС щодо України, у якому було використано цю вразливість, та розпочали масову атаку на українські органи влади. Під виглядом розсилки від Укргідрометцентру вони надіслали на понад 60 адрес міністерств та відомств шкідливі листи з файлом "BULLETEN_H.doc", який при відкритті давав хакерам доступ до комп’ютера жертви", - йдеться в повідомленні.

На сайті CERT-UA повідомляється, що відкриття цього документу за допомогою програми Microsoft Office призводить до встановлення мережевого з’єднання із зовнішнім ресурсом з використанням протоколу WebDAV, подальшого завантаження файлу із заголовком файлу ярлика, який містить програмний код, призначений для завантаження та запуску виконуваного файлу.

"Успішний запуск останнього призведе до створення на комп’ютері DLL-файлу "EhStoreShell.dll" (маскується під файл бібліотеки "Enhanced Storage Shell Extension"), файлу-зображення з шелкодом "SplashScreen.png", зміни значення шляху в реєстрі Windows для CLSID {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D} (реалізація COM hijacking) та створення запланованої задачі "OneDriveHealth". Заплановане виконання задачі призведе до термінації та повторного запуску процесу explorer.exe, що, серед іншого, завдяки COM hijacking забезпечить завантаження DLL-файлу "EhStoreShell.dll", який здійснить виконання шелкоду з файлу-зображення, що, в свою чергу, забезпечить запуск на комп’ютері програмного засобу (фреймворку) COVENANT. Слід звернути увагу на той факт, що в якості інфраструктури для управління COVENANT використовує легітимне хмарне сховище Filen (filen.io)", - йдеться в повідомленні.

Фахівці рекомендують встановити оновлення від Microsoft та/або виконати налаштування реєстру Windows, як вказано в офіційних інструкціях, а також обмежити або ретельно перевіряти зв’язок із хмарним сховищем Filen (filen.іо).

На сайті CERT-UA повідомляється, що хакери з угруповання UAC-0001 (APT28) здійснюють кібератаки проти України та країн ЄС з використанням експлойту CVE-2026-21509 (CERT-UA#19542).

"В останні дні січня 2026 року виявлено ще три документи з аналогічним експлойтом, які, відповідно до їх вмісту, структури вбудованих URL та інших особливостей, були застосовані для кібератак у відношенні організацій країн ЄС. При цьому, в одному з випадків доменне ім’я, використане в атаці 30.01.2026, зареєстроване в цей же день. Очевидно, що наближчим часом, в тому числі через інертність процесу (або неможливість) оновлення користувачами пакету програм Microsoft Office і/або застосування рекомендованих механізмів захисту, кількість кібератак із застосуванням описаної вразливості почне зростати", - зазначили у Нацкоманді реагування на кібератаки.

Організації, які за допомогою граничних мережевих засобів власних інформаційно-комунікаційних систем і/або на рівні постачальників електронних комунікаційних послуг мають технологічну інтеграцію з системою реагування на кіберінциденти, кібератаки, кіберзагрози (забезпечення функціонування якої здійснюється Державним центром кіберзахисту Держспецзв’язку в рамках впровадження організаційно-технічної моделі кіберзахисту як складової національної системи кібербезпеки), автоматично отримують відповідний захист.