Через лічені дні після виходу екстреного оновлення безпеки для Microsoft Office критична уразливість CVE-2026-21509 була інтегрована в арсенал групи APT28 (Fancy Bear, Sofacy, Forest Blizzard). За спостереженнями аналітиків Zscaler, кіберзлочинці розгорнули цільову фішингову кампанію проти організацій в Україні та низці країн Центральної й Східної Європи, демонструючи небезпечну тенденцію: час між виходом патча та його бойовим використанням скорочується до мінімуму.
Критична уразливість CVE-2026-21509: як Microsoft Office став точкою входу
Наприкінці січня 2026 року Microsoft опублікувала позапланове оновлення, яке закриває уразливість CVE-2026-21509, пов’язану з обходом механізмів захисту від шкідливих COM/OLE-компонентів в Office. Суть проблеми — можливість прихованого виконання коду при відкритті спеціально сформованого документа без додаткових дій з боку користувача.
Компанія прямо зазначила, що вразливість вже використовувалася як 0-day, і рекомендувала негайне встановлення оновлення. За даними Zscaler, перший зафіксований шкідливий документ з експлойтом CVE-2026-21509 було створено 27 січня — орієнтовно через добу після виходу патча. Це свідчить про швидкий реверс‑інжиніринг оновлення: зловмисники проаналізували виправлення, відтворили логіку вразливості та оперативно реалізували робочий експлойт.
Подібна динаміка відповідає глобальному тренду: «вікно уразливості» між публікацією патча та масовою експлуатацією скорочується з тижнів до кількох днів, а інколи й годин. Для організацій це означає, що традиційні цикли оновлення раз на місяць стають недостатніми.
Фішингові кампанії APT28 проти України та країн Центральної і Східної Європи
Початковий етап атаки базувався на цільовому фішингу. Листи імітували офіційну кореспонденцію та аналітичні матеріали від європейських структур, залучених до співпраці з Україною. Документи-приманки були підготовлені англійською, українською, румунською та словацькою мовами, що підвищувало довіру отримувачів і ускладнювало виявлення атак лише за вмістом.
За інформацією Zscaler, окрім українських організацій, атаки зачепили компанії та державні установи в Румунії, Словаччині та інших країнах регіону. Така географія узгоджується з відомими інтересами APT28, яка системно націлюється на дипломатичні, оборонні, енергетичні та урядові структури в Європі.
Ланцюжок зараження: від шкідливого документа Office до Covenant C2
WebDAV і COM hijacking як інструменти закріплення в системі
Після відкриття шкідливого документа Office запускалася ланцюжок завантаження через протокол WebDAV, який дозволяє працювати з віддаленими файлами подібно до локальних. Це дає змогу зловмисникам завантажувати додаткові компоненти динамічно, не вбудовуючи їх безпосередньо у документ і знижуючи шанси виявлення на рівні поштових шлюзів.
Ключовою технікою закріплення стала методика COM hijacking — підміна або підключення до легітимних COM‑компонентів Windows, які відповідають за взаємодію між додатками та системними модулями. У виявленій кампанії використовувалися такі елементи:
- шкідлива бібліотека EhStoreShell.dll, що підвантажується замість легітимної;
- шеллкод, прихований усередині зображення SplashScreen.png, що вказує на використання стеганографії для маскування коду під медіафайл;
- планувальник завдань Windows із завданням OneDriveHealth, яке забезпечує автоматичний запуск шкідливого коду.
Covenant C2, Filen та додаткове шкідливе ПЗ
Фінальним етапом компрометації став розгортання Covenant — багатофункціонального C2‑фреймворку (Command and Control) для дистанційного керування скомпрометованими системами. APT28 вже використовувала Covenant у 2025 році для доставки малварі BeardShell та SlimAgent, що демонструє сталість інструментарію групи.
Для зв’язку з командними серверами Covenant застосовувався хмарний сервіс Filen. Такий підхід дозволяє маскувати C2‑трафік під звичайний доступ до хмарного сховища, ускладнюючи блокування на мережевому рівні та знижуючи ефективність простих списків блокування доменів.
Через дроппер додатково поширювалися два типи шкідливого ПЗ:
- MiniDoor — крадій даних, орієнтований на викрадення вмісту поштових скриньок Microsoft Outlook за допомогою макросів та автоматизації клієнта;
- PixyNetLoader — завантажувач для Covenant Grunt, що забезпечує віддалений доступ, збір даних, горизонтальне переміщення мережею та інші дії постексплуатації.
Стратегічні висновки та практичні кроки для організацій
Поєднання 0-day уразливості в Office, багатомовного цільового фішингу, COM hijacking, використання WebDAV та хмарних C2‑каналів демонструє зрілий, багаторівневий підхід APT28 до кібершпигунства. Такі операції орієнтовані не стільки на миттєві руйнівні дії, скільки на довготривале приховане перебування у мережах жертв, збір розвідданих і підготовку до потенційних деструктивних чи інформаційних кампаній.
Для організацій в Україні та Європі це означає необхідність радикального перегляду підходів до управління уразливостями та моніторингу постексплуатаційної активності. Екстрені патчі для Microsoft Office та Windows мають встановлюватися протягом годин, а не тижнів; захист пошти повинен включати багатофакторну автентифікацію, фільтрацію вкладень, «пісочниці» для документів і регулярне навчання співробітників розпізнаванню фішингу. Додатково варто впроваджувати моніторинг аномальної активності COM‑компонентів, Scheduled Tasks та використання WebDAV, жорстко обмежувати макроси Office та застосовувати політику «макроси лише з довірених джерел».
Інвестування в сучасні засоби виявлення загроз, регулярний аудит конфігурацій Office, чіткі процеси швидкого оновлення та посилений контроль за ланцюжком постачання ПЗ значно зменшують шанси APT‑груп на успішне закріплення в інфраструктурі. Чим меншим буде «вікно уразливості» та чим кращою — видимість усередині мережі, тим складніше буде APT28 та подібним групам перетворити черговий 0‑day в інструмент тривалого кібершпигунства проти державних і критичних секторів.
