{
	"id": "aaeaea9b-0d92-4648-abcf-d5045ada6d88",
	"created_at": "2026-04-06T00:08:10.762521Z",
	"updated_at": "2026-04-10T03:37:00.42428Z",
	"deleted_at": null,
	"sha1_hash": "6f287fffa79c2243e576bf8a157ad9544926508c",
	"title": "CERT-UA",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 3846855,
	"plain_text": "CERT-UA\r\nArchived: 2026-04-05 16:09:27 UTC\r\nЗагальна інформація\r\nУ понеділок, 26.01.2026, компанією Microsoft опубліковано інформацію про вразливість з ідентифікатором\r\nCVE-2026-21509 у продуктах Microsoft Office, з приміткою про активну експлуатацію останньої.\r\nВже 29.01.2026 в публічному доступі виявлено DOC-файл \"Consultation_Topics_Ukraine(Final).doc\", що\r\nмістив експлойт для згаданої вразливості та був присвячений консультаціям Комітету постійних\r\nпредставників при ЄС (COREPER) по ситуації в Україні. При цьому метадані свідчать про те, що документ\r\nбуло створено 27.01.2026 о 07:43:00 (UTC), тобто, на наступний день після публікації згаданого\r\nсповіщення про вразливість від Microsoft.\r\nПротягом того ж дня від учасників інформаційного обміну отримано повідомлення щодо розповсюдження,\r\nнібито від імені Укргідрометцентру, електронних листів із вкладенням у вигляді DOC-файлу\r\n\"BULLETEN_H.doc\". Згаданий лист було відправлено на більше ніж 60 електронних адрес переважно\r\nцентральних органів виконавчої влади України.\r\nПід час дослідження встановлено, що відкриття документу за допомогою програми Microsoft Office\r\nпризводить до встановлення мережевого з'єднання із зовнішнім ресурсом з використанням протоколу\r\nWebDAV, подальшого завантаження файлу із заголовком файлу ярлика, який містить програмний код,\r\nпризначений для завантаження та запуску виконуваного файлу.\r\nУспішний запуск останнього призведе до створення на комп'ютері DLL-файлу \"EhStoreShell.dll\"\r\n(маскується під файл бібліотеки \"Enhanced Storage Shell Extension\"), файлу-зображення з шелкодом\r\n\"SplashScreen.png\", зміни значення шляху в реєстрі Windows для CLSID {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D} (реалізація COM hijacking) та створення запланованої задачі \"OneDriveHealth\".\r\nЗаплановане виконання задачі призведе до термінації та повторного запуску процесу explorer.exe, що,\r\nсеред іншого, завдяки COM hijacking забезпечить завантаження DLL-файлу \"EhStoreShell.dll\", який\r\nздійснить виконання шелкоду з файлу-зображення, що, в свою чергу, забезпечить запуск на комп'ютері\r\nпрограмного засобу (фреймворку) COVENANT. Слід звернути увагу на той факт, що в якості\r\nінфраструктури для управління COVENANT використовує легітимне хмарне сховище Filen (filen.io).\r\nВ останні дні січня 2026 року виявлено ще три документи з аналогічним експлойтом, які, відповідно до їх\r\nвмісту, структури вбудованих URL та інших особливостей, були застосовані для кібератак у відношенні\r\nорганізацій країн ЄС. При цьому, в одному з випадків доменне ім'я, використане в атаці 30.01.2026,\r\nзареєстроване в цей же день. \r\nОчевидно, що наближчим часом, в тому числі через інертність процесу (або неможливість) оновлення\r\nкористувачами пакету програм Microsoft Office і/або застосування рекомендованих механізмів захисту,\r\nкількість кібератак із застосуванням описаної вразливості почне зростати.\r\nhttps://cert.gov.ua/article/6287250\r\nPage 1 of 5\n\nУ зв'язку із викладеним, з метою скорочення поверхні атаки рекомендуємо невідкладно вжити заходів,\r\nнаведених в публікації Microsoft, зокрема, в частині налаштування реєстру Windows.\r\nБеручи до уваги той факт, що програмний засіб COVENANT, який застосовується UAC-0001 (APT28) під\r\nчас здійснення кібератак, використовує інфраструктуру сервісу Filen, рекомендуємо унеможливити і/або\r\nвзяти під окремий моніторинг мережеву взаємодію з вузлами згаданого хмарного сховища (перелік\r\nдоменних імен та IP-адрес наведено в розділі індикаторів).\r\nОрганізації, які за допомогою граничних мережевих засобів власних інформаційно-комунікаційних систем\r\nі/або на рівні постачальників електронних комунікаційних послуг мають технологічну інтеграцію з\r\nсистемою реагування на кіберінциденти, кібератаки, кіберзагрози (забезпечення функціонування якої\r\nздійснюється Державним центром кіберзахисту Держспецзв'язку в рамках впровадження організаційно-технічної моделі кіберзахисту як складової національної системи кібербезпеки), автоматично отримують\r\nвідповідний захист.\r\nІндикатори кіберзагроз\r\nФайли:\r\n7c396677848776f9824ebe408bbba943 c91183175ce77360006f964841eb4048cf37cb82103f2573e262927be4c76\r\nd8e880975ab01c745386663409a9d3aa b2e771cbfa0a74d0774db162d28c1eecd3a7cb384dfe97522e9baabd1c04d\r\n744bbe8d7c3d0421fa0deb582481f5ba 8c1dc9732884c6078b23953b78314a8d0d8b8d9fe42e5f97a7cd09b8ace94\r\n4423b8f3456e54eb48dfbde0b4c7984b 52b6fb40e7efb09c2bebe8550178e7e30009600bdedd1acae085d753761b7\r\n418dc7365e78f79ef7dfcfbfe1bc8b0e c4389cc34b672c4f885547f413bf38575e6ee2b23a0ddfdd306a69c1775db\r\n331e055e6a519d443233bd740dbfe8ee 495cf3fd22d4fc2c6c86b689b68141ac7d0130b0bb5cbc834ef59275132ee\r\n6f528ad405bffa4a8c2f61b1fa2172fd 40c2e559992a7f595c593b419930a3f216516c3042ad86fb985348d53b6e0\r\nee0b44346db028a621d1dec99f429823 9f4672c1374034ac4556264f0d4bf96ee242c0b5a9edaa4715b5e61fe8d55\r\n4727582023cd8071a6f388ea3ba2feaa 5a17cfaea0cc3a82242fdd11b53140c0b56256d769b07c33757d61e0a0a6e\r\n95e59536455a089ced64f5af2539a449 b2ba51b4491da8604ff9410d6e004971e3cd9a321390d0258e294ac42010b\r\nd47261e52335b516a777da368208ee91 fd3f13db41cd5b442fa26ba8bc0e9703ed243b3516374e3ef89be71cbf074\r\nb6a86f44d0a3fa5a5ac979d691189f2d 969d2776df0674a1cca0f74c2fccbc43802b4f2b62ecccecc26ed538e9565\r\nМережеві:\r\n(smb)://freefoodaid[.]com/documents/template_2_2.doc\r\n(smb)://wellnesscaremed[.]com/davwwwroot/buch/Downloads/blank.doc\r\n(smb)://wellnesscaremed[.]com/davwwwroot/venezia/Favorites/blank.doc\r\n(smb)://wellnessmedcare[.]org@ssl/cz/Downloads/blank.doc\r\n(smb)://wellnessmedcare[.]org@ssl/pol/Downloads/blank.doc\r\nhXXp://freefoodaid[.]com/davwwwroot/2_2.lNk?init=\r\nhXXp://freefoodaid[.]com/documents/2_2.lNk?init=\r\nhXXps://wellnesscaremed[.]com/buch/Downloads/document.doc.LnK?init=\r\nhXXp://wellnesscaremed[.]com/buch/Downloads/document.doc.LnK?init=\r\nhXXp://wellnesscaremed[.]com/venezia/Favorites/document.doc.LnK?init=\r\nhXXp://wellnesscaremed[.]com/venezia/d/s.d\r\nhXXps://wellnessmedcare[.]org/davwwwroot/cz/Downloads/document.LnK?init=\r\nhttps://cert.gov.ua/article/6287250\r\nPage 2 of 5\n\nhXXp://wellnessmedcare[.]org/davwwwroot/cz/Downloads/document.LnK?init=\r\nhXXps://wellnessmedcare[.]org/davwwwroot/pol/Downloads/document.LnK?init=\r\nhXXp://wellnessmedcare[.]org/davwwwroot/pol/Downloads/document.LnK?init=\r\nfreefoodaid[.]com 2026-01-12\r\nwellnesscaremed[.]com 2026-01-12\r\nwellnessmedcare[.]org 2026-01-30\r\n159[.]253.120.2\r\n193[.]187.148.169\r\n23[.]227.202.14\r\nІнфраструктура хмарного сховища Filen\r\n*.filen.net\r\n*.filen-1.net\r\n*.filen-2.net\r\n*.filen-3.net\r\n*.filen-4.net\r\n*.filen-5.net\r\n*.filen-6.net\r\n*.filen.io\r\n*.filen.dev\r\n146.0.41.204\r\n146.0.41.205\r\n146.0.41.206\r\n146.0.41.207\r\n146.0.41.208\r\n146.0.41.231\r\n146.0.41.232\r\n146.0.41.233\r\n146.0.41.234\r\nsmb://freefoodaid.com/documents/template_2_2.doc\r\nsmb://wellnesscaremed.com/davwwwroot/buch/Downloads/blank.doc\r\nsmb://wellnesscaremed.com/davwwwroot/venezia/Favorites/blank.doc\r\nsmb://wellnessmedcare.org@ssl/cz/Downloads/blank.doc\r\nsmb://wellnessmedcare.org@ssl/pol/Downloads/blank.doc\r\nhttp://freefoodaid.com/davwwwroot/2_2.lNk?init=\r\nhttp://freefoodaid.com/documents/2_2.lNk?init=\r\nhttps://wellnesscaremed.com/buch/Downloads/document.doc.LnK?init=\r\nhttp://wellnesscaremed.com/buch/Downloads/document.doc.LnK?init=\r\nhttp://wellnesscaremed.com/venezia/Favorites/document.doc.LnK?init=\r\nhttp://wellnesscaremed.com/venezia/d/s.d\r\nhttps://wellnessmedcare.org/davwwwroot/cz/Downloads/document.LnK?init=\r\nhttp://wellnessmedcare.org/davwwwroot/cz/Downloads/document.LnK?init=\r\nhttps://wellnessmedcare.org/davwwwroot/pol/Downloads/document.LnK?init=\r\nhttp://wellnessmedcare.org/davwwwroot/pol/Downloads/document.LnK?init=\r\nfreefoodaid.com\r\nhttps://cert.gov.ua/article/6287250\r\nPage 3 of 5\n\nwellnesscaremed.com\r\nwellnessmedcare.org\r\n159.253.120.2\r\n193.187.148.169\r\n23.227.202.14\r\nХостові:\r\n%PROGRAMDATA%\\Microsoft OneDrive\\setup\\Cache\\SplashScreen.png\r\n%PROGRAMDATA%\\USOPublic\\Data\\User\\EhStoreShell.dll\r\n%TMP%\\Diagnostics\\office.xml\r\nHKCU\\Software\\Classes\\CLSID\\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\\InProcServer32\\'(Default)'\r\nHKCU\\Software\\Classes\\CLSID\\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\\InProcServer32\\'ThreadingModel'\r\nschtasks /delete /f /tn OneDriveHealth\r\nschtasks.exe /Create /tn \"OneDriveHealth\" /XML \"%TMP%\\Diagnostics\\office.xml\"\r\nstart explorer \u003enul 2\u003e\u00261\r\ntaskkill /f /IM explorer.exe \u003enul 2\u003e\u00261\r\nOneDriveHealth\r\nГрафічні зображення:\r\nРис.1 Приклад ланцюга ураження\r\nhttps://cert.gov.ua/article/6287250\r\nPage 4 of 5\n\nРис.2 Приклад вмісту документів з експлойтом\r\nSource: https://cert.gov.ua/article/6287250\r\nhttps://cert.gov.ua/article/6287250\r\nPage 5 of 5",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://cert.gov.ua/article/6287250"
	],
	"report_names": [
		"6287250"
	],
	"threat_actors": [
		{
			"id": "730dfa6e-572d-473c-9267-ea1597d1a42b",
			"created_at": "2023-01-06T13:46:38.389985Z",
			"updated_at": "2026-04-10T02:00:02.954105Z",
			"deleted_at": null,
			"main_name": "APT28",
			"aliases": [
				"Pawn Storm",
				"ATK5",
				"Fighting Ursa",
				"Blue Athena",
				"TA422",
				"T-APT-12",
				"APT-C-20",
				"UAC-0001",
				"IRON TWILIGHT",
				"SIG40",
				"UAC-0028",
				"Sofacy",
				"BlueDelta",
				"Fancy Bear",
				"GruesomeLarch",
				"Group 74",
				"ITG05",
				"FROZENLAKE",
				"Forest Blizzard",
				"FANCY BEAR",
				"Sednit",
				"SNAKEMACKEREL",
				"Tsar Team",
				"TG-4127",
				"STRONTIUM",
				"Grizzly Steppe",
				"G0007"
			],
			"source_name": "MISPGALAXY:APT28",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "e3767160-695d-4360-8b2e-d5274db3f7cd",
			"created_at": "2022-10-25T16:47:55.914348Z",
			"updated_at": "2026-04-10T02:00:03.610018Z",
			"deleted_at": null,
			"main_name": "IRON TWILIGHT",
			"aliases": [
				"APT28 ",
				"ATK5 ",
				"Blue Athena ",
				"BlueDelta ",
				"FROZENLAKE ",
				"Fancy Bear ",
				"Fighting Ursa ",
				"Forest Blizzard ",
				"GRAPHITE ",
				"Group 74 ",
				"PawnStorm ",
				"STRONTIUM ",
				"Sednit ",
				"Snakemackerel ",
				"Sofacy ",
				"TA422 ",
				"TG-4127 ",
				"Tsar Team ",
				"UAC-0001 "
			],
			"source_name": "Secureworks:IRON TWILIGHT",
			"tools": [
				"Downdelph",
				"EVILTOSS",
				"SEDUPLOADER",
				"SHARPFRONT"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "ae320ed7-9a63-42ed-944b-44ada7313495",
			"created_at": "2022-10-25T15:50:23.671663Z",
			"updated_at": "2026-04-10T02:00:05.283292Z",
			"deleted_at": null,
			"main_name": "APT28",
			"aliases": [
				"APT28",
				"IRON TWILIGHT",
				"SNAKEMACKEREL",
				"Group 74",
				"Sednit",
				"Sofacy",
				"Pawn Storm",
				"Fancy Bear",
				"STRONTIUM",
				"Tsar Team",
				"Threat Group-4127",
				"TG-4127",
				"Forest Blizzard",
				"FROZENLAKE",
				"GruesomeLarch"
			],
			"source_name": "MITRE:APT28",
			"tools": [
				"Wevtutil",
				"certutil",
				"Forfiles",
				"DealersChoice",
				"Mimikatz",
				"ADVSTORESHELL",
				"Komplex",
				"HIDEDRV",
				"JHUHUGIT",
				"Koadic",
				"Winexe",
				"cipher.exe",
				"XTunnel",
				"Drovorub",
				"CORESHELL",
				"OLDBAIT",
				"Downdelph",
				"XAgentOSX",
				"USBStealer",
				"Zebrocy",
				"reGeorg",
				"Fysbis",
				"LoJax"
			],
			"source_id": "MITRE",
			"reports": null
		}
	],
	"ts_created_at": 1775434090,
	"ts_updated_at": 1775792220,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/6f287fffa79c2243e576bf8a157ad9544926508c.pdf",
		"text": "https://archive.orkl.eu/6f287fffa79c2243e576bf8a157ad9544926508c.txt",
		"img": "https://archive.orkl.eu/6f287fffa79c2243e576bf8a157ad9544926508c.jpg"
	}
}