概要
ウクライナのコンピューター緊急対応チーム(CERT-UA)は、ロシアのハッカーがMicrosoft Officeの複数のバージョンに存在する、最近パッチが適用された脆弱性「CVE-2026-21509」を悪用していると報告しました。この脆弱性は、2026年1月26日にMicrosoftが緊急の帯域外セキュリティ更新プログラムをリリースし、活発に悪用されているゼロデイ脆弱性としてマークされています。
攻撃の詳細
CERT-UAは、Microsoftの警告からわずか3日後に、EU COREPERのウクライナにおける協議をテーマにした悪意のあるDOCファイルが配布されているのを検出しました。これらのメールは、ウクライナ水文気象センターを装い、60以上の政府関連アドレスに送信されました。しかし、文書に関連付けられたメタデータは、緊急アップデートの翌日に作成されたことを示しています。
ウクライナのCERTは、これらの攻撃を「APT28」(別名「Fancy Bear」や「Sofacy」、ロシアの参謀本部情報総局(GRU)と関連)によるものと断定しています。悪意のある文書を開くと、以下のようなWebDAVベースのダウンロードチェーンがトリガーされ、マルウェアがインストールされます。
- COMハイジャック
- 悪意のあるDLL(EhStoreShell.dll)
- 画像ファイル(SplashScreen.png)に隠されたシェルコード
- スケジュールされたタスク(OneDriveHealth)
CERT-UAの報告によると、「スケジュールされたタスクの実行により、explorer.exeプロセスが終了・再起動され、COMハイジャックを通じて『EhStoreShell.dll』ファイルのロードが保証されます。このDLLは画像ファイルからシェルコードを実行し、それがCOVENANTソフトウェア(フレームワーク)をコンピューター上で起動させます。」このCOVENANTは、2025年6月にCERT-UAがAPT28の攻撃と関連付けたマルウェアローダーであり、ウクライナの政府機関に「BeardShell」と「SlimAgent」マルウェアを送り込むためにSignalチャットを悪用していました。また、COVENANTはFilen(filen.io)クラウドストレージサービスをコマンド&コントロール(C2)操作に利用していると報告されています。
APT28の活動拡大
その後の調査により、APT28はウクライナ以外の様々なEUベースの組織に対する攻撃でさらに3つの文書を使用していたことが判明しました。これは、このキャンペーンがウクライナを越えて拡大していることを示唆しています。あるケースでは、攻撃を支援するドメインが同じ日に登録されていました。
対策と推奨事項
組織は、Microsoft Office 2016、2019、LTSC 2021、LTSC 2024、およびMicrosoft 365 Appsに最新のセキュリティアップデートを適用することが推奨されます。Office 2021以降のバージョンでは、アップデートを適用するためにユーザーにアプリケーションの再起動を促してください。
すぐにパッチを適用できない場合は、レジストリベースの緩和策を実装することが推奨されます。Microsoftは以前、Defenderの「Protected View」が、インターネットから送信された悪意のあるOfficeファイルを明示的に信頼しない限りブロックすることで、追加の防御層を提供すると述べています。