Ряд госорганов подвергся кибератакам, которые пользуются уязвимостью Microsoft Office, - Госспецсвязи
Национальная команда реагирования на киберинциденты, кибератаки, киберугрозы CERT-UA фиксирует новую волну целенаправленных кибератак с использованием свежей уязвимости в Microsoft Office, которые направлены на государственные органы Украины и организации в странах ЕС, сообщается в телеграм-канале Государственной службы специальной связи и защиты информации Украины в понедельник.
"26 января 2026 года Microsoft сообщила об опасной уязвимости в программах Office (CVE-2026-21509). Уже на следующий день злоумышленники создали вредоносный документ на тему консультаций ЕС по Украине, в котором была использована эта уязвимость, и начали массовую атаку на украинские органы власти. Под видом рассылки от Укргидрометцентра они прислали на более чем 60 адресов министерств и ведомств вредоносные письма с файлом "BULLETEN_H.doc", который при открытии давал хакерам доступ к компьютеру жертвы", - говорится в сообщении.
На сайте CERT-UA сообщается, что открытие этого документа с помощью программы Microsoft Office приводит к установлению сетевого соединения с внешним ресурсом с использованием протокола WebDAV, дальнейшей загрузки файла с заголовком файла ярлыка, который содержит программный код, предназначенный для загрузки и запуска исполняемого файла.
"Успешный запуск последнего приведет к созданию на компьютере DLL-файла "EhStoreShell.dll" (маскируется под файл библиотеки "Enhanced Storage Shell Extension"), файла-изображения с шелл-кодом "SplashScreen.png", изменения значения пути в реестре Windows для CLSID {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D} (реализация COM hijacking) и создания запланированной задачи "OneDriveHealth". Запланированное выполнение задачи приведет к терминации и повторному запуску процесса explorer.exe, что, среди прочего, благодаря COM hijacking обеспечит загрузку DLL-файла "EhStoreShell.dll", который осуществит выполнение шелл-кода из файла-изображения, что, в свою очередь, обеспечит запуск на компьютере программного средства (фреймворка) COVENANT. Следует обратить внимание на то, что в качестве инфраструктуры для управления COVENANT использует легитимное облачное хранилище Filen (filen.io)", - говорится в сообщении.
Специалисты рекомендуют установить обновления от Microsoft и/или выполнить настройки реестра Windows, как указано в официальных инструкциях, а также ограничить или тщательно проверять связь с облачным хранилищем Filen (filen.іо).
На сайте CERT-UA сообщается, что хакеры из группировки UAC-0001 (APT28) осуществляют кибератаки против Украины и стран ЕС с использованием эксплойта CVE-2026-21509 (CERT-UA#19542).
"В последние дни января 2026 года обнаружено еще три документа с аналогичным эксплойтом, которые согласно их содержимому, структуре встроенных URL и другим особенностям были применены для кибератак в отношении организаций стран ЕС. При этом в одном из случаев доменное имя, использованное в атаке 30.01.2026, зарегистрировано в этот же день. Очевидно, что в ближайшее время, в том числе из-за инертности процесса (или невозможности) обновления пользователями пакета программ Microsoft Office и/или применения рекомендованных механизмов защиты, количество кибератак с применением описанной уязвимости начнет расти", - отметили в Нацкоманде реагирования на кибератаки.
Организации, которые с помощью предельных сетевых средств собственных информационно-коммуникационных систем и/или на уровне поставщиков электронных коммуникационных услуг имеют технологическую интеграцию с системой реагирования на киберинциденты, кибератаки, киберугрозы (обеспечение функционирования которой осуществляется Государственным центром киберзащиты Госспецсвязи в рамках внедрения организационно-технической модели киберзащиты как составляющей национальной системы кибербезопасности), автоматически получают соответствующую защиту.