Vào ngày 26/1, Microsoft đã phát hành bản cập nhật bảo mật khẩn cấp out-of-band, đánh dấu CVE-2026-21509 là một lỗ hổng đang có dấu hiệu bị lợi dụng. CERT-UA phát hiện việc phát tán các tệp tin DOC độc hại thông qua lỗ hổng này với chủ đề xoay quanh các cuộc tham vấn của EU COREPER tại Ukraine, chỉ ba ngày sau cảnh báo của Microsoft.
Trong những trường hợp khác, một số tệp chứa email mạo danh Trung tâm Khí tượng Thủy văn Ukraine và được gửi đến hơn 60 địa chỉ liên quan đến chính phủ. CERT-UA cho biết, metadata liên quan đến tài liệu cho thấy nó được tạo ra một ngày sau bản cập nhật khẩn cấp.
Các chuyên gia cho rằng các cuộc tấn công này do APT28 thực hiện, một nhóm tin tặc còn được biết đến với tên Fancy Bear và Sofacy, có liên hệ với Tổng cục Tình báo Quân đội Nga (GRU).
Việc mở tài liệu độc hại sẽ kích hoạt một chuỗi tải xuống dựa trên WebDAV, cài đặt phần mềm độc hại thông qua chiếm quyền điều khiển COM, một DLL độc hại (EhStoreShell.dll), mã độc ẩn trong tệp hình ảnh (SplashScreen.png) và tác vụ theo lịch trình (OneDriveHealth).
.png)
Tài liệu độc hại kích hoạt việc khai thác lỗ hổng CVE-2026-21509
“Việc thực thi tác vụ dẫn đến việc chấm dứt và khởi động lại tiến trình explorer.exe, điều này cùng với các yếu tố khác, thông qua chiếm quyền điều khiển COM sẽ đảm bảo việc tải tệp EhStoreShell.dll. Trong đó, DLL này thực thi mã shellcode từ tệp hình ảnh, từ đó phần mềm COVENANT được khởi chạy trên máy tính mục tiêu”, báo cáo của CERT-UA cho biết.
Theo các chuyên gia bảo mật, COVENANT có liên quan đến các cuộc tấn công APT28 vào tháng 6/2025, lợi dụng các cuộc trò chuyện Signal để phát tán phần mềm độc hại BeardShell và SlimAgent vào các tổ chức chính phủ ở Ukraine.
Cơ quan này báo cáo rằng COVENANT sử dụng dịch vụ lưu trữ đám mây Filen (filen.io) cho các hoạt động liên lạc với máy chủ điều khiển và ra lệnh (C2). Việc giám sát các kết nối liên quan đến nền tảng này hoặc chặn hoàn toàn chúng, sẽ giúp cải thiện khả năng phòng thủ trước mối đe dọa tương tự.
Các cuộc điều tra sau đó cho thấy APT28 đã sử dụng thêm ba tài liệu khác trong các cuộc tấn công nhằm vào nhiều tổ chức có trụ sở tại Liên minh châu Âu (EU), cho thấy chiến dịch này không chỉ giới hạn ở Ukraine. Trong một trường hợp được ghi nhận, các tên miền hỗ trợ các cuộc tấn công đã được đăng ký cùng ngày.
Các tổ chức nên áp dụng bản cập nhật bảo mật mới nhất cho Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 và các ứng dụng Microsoft 365. Đối với Office 2021 trở lên, hãy đảm bảo người dùng khởi động lại ứng dụng để cho phép áp dụng các bản cập nhật. Nếu không thể vá lỗi ngay lập tức, Microsoft khuyến cáo nên thực hiện các hướng dẫn khắc phục dựa trên registry tại đây.
Trước đó, Microsoft đã tuyên bố rằng Protected View của Defender bổ sung thêm một lớp phòng thủ bằng cách chặn các tệp Office độc hại có nguồn gốc từ Internet, trừ khi chúng được tin tưởng một cách rõ ràng.
