Microsoft Officeの重大なゼロデイ脆弱性を悪用する高度なサイバー諜報キャンペーンが、ウクライナ政府機関および欧州連合(EU)機関を標的にしていることが、セキュリティ研究者により確認された。
APT28として広く追跡され、ロシア軍情報機関に帰属するとされる脅威グループUAC-0001は、Microsoftによる公表から数時間以内に、CVE-2026-21509を悪用する武器化文書を通じて高度なマルウェア・ペイロードを展開した。
Microsoftは2026年1月26日(月)にCVE-2026-21509の詳細を公開し、複数のOffice製品バージョンに影響する当該脆弱性が実際に悪用されていることを認めた。
CERT-UAのセキュリティアナリストは2026年1月29日に最初の武器化文書を発見し、脅威アクターが勧告から72時間以内に実用的なエクスプロイトを開発していたことを示した。
悪意あるファイル「Consultation_Topics_Ukraine(Final).doc」は、メタデータのタイムスタンプから2026年1月27日07:43(UTC)に作成されたことが示され、Microsoftの公表からわずか1日後に出回っていた。
この悪用メカニズムは、脆弱なMicrosoft Office環境で開かれるとWebDAVプロトコルを介して攻撃者が管理するインフラへネットワーク接続を確立するよう細工されたDOCファイルによって動作する。
攻撃のシーケンスでは、追加のペイロードをリモートサーバーから取得して実行するよう設計された埋め込みプログラムコードを含む悪意あるショートカットファイルがダウンロードされる。
悪用に成功すると複数のコンポーネントが展開され、Enhanced Storage Shell Extensionライブラリを装う「EhStoreShell.dll」に偽装したDLLファイルや、シェルコードを含む画像ファイル「SplashScreen.png」などが含まれる。
この攻撃は、CLSID {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}のWindowsレジストリ値を変更することでCOMハイジャック手法を実装し、「OneDriveHealth」という名前のスケジュールタスクを通じて永続化を確立する。
この構成により、Windows Explorerプロセスが再起動すると悪意あるDLLが自動的に読み込まれ、最終的にCOVENANTのポストエクスプロイト・フレームワークが展開される。
脅威アクターは、コマンド&コントロール通信に正規のFileCloudストレージ基盤を利用している点が特筆され、検知を困難にしている。
2026年1月29日、ウクライナの組織には、ウクルヒドロ気象センターを装ったフィッシングメールが送られ、武器化文書「BULLETEN_H.doc」が添付されていた。
このキャンペーンは、主に中央行政府機関に属する60件以上のメールアドレスを標的にした。
CERT-UAの研究者は、2026年1月下旬にEU関連組織への攻撃を目的とした追加のエクスプロイト文書を3件特定し、インフラ分析により、あるドメインが2026年1月30日に登録され、その同日に実運用で使用されていたことが判明した。
セキュリティ当局は、攻撃対象領域の露出を減らすため、Microsoftが公開したレジストリベースの緩和策を直ちに実装することを強く推奨している。
組織は、*.filen.net、*.filen.io配下のドメインや、146.0.41.x帯の関連IPアドレスを含むFilenクラウドストレージ基盤へのネットワーク接続を無効化または監視すべきである。
武器化までの迅速なタイムラインと政府機関を狙った標的設定は、企業環境全体でパッチ適用が難航する中、当該脆弱性の悪用が今後増加することを示唆している。
システム管理者はOfficeのセキュリティ更新を優先し、WebDAVプロトコル接続および不審なスケジュールタスクに対する監視を強化すべきである。
翻訳元: https://cyberpress.org/microsoft-office-zero-day-to-deliver-malware/