Beobachtungen
Das Computer Emergency Response Team der Ukraine (CERT-UA) veröffentlichte einen Bericht über aktuelle Angriffe einer russischen Cybergruppierung. Die Gruppe nutzt dabei eine Schwachstelle mit der CVE-2026-21509 in Microsoft Office (Versionen 2016, 2019, LTSC 2021, LTSC 2024 und Microsoft 365 Apps for Enterprise) aus. Die Schwachstelle hat einen CVSS Score von 7,8.
Methoden
Die Angreifer versenden ein manipuliertes Word‑Dokument, welches einen vermeintlichen Bezug zum Ausschuss der ständigen Vertreter der EU in der Ukraine herstellt. Nach dem Öffnen des Köderdokuments wird eine WebDAV‑Verbindung zu einem Webserver hergestellt. Über diese Verbindung wird anschließend eine als Shortcut (LNK) getarnte Datei heruntergeladen, die bösartigen Code enthält. Dieser Schadcode wiederum wird anschließend genutzt, um weiteren Schadcode nachzuladen.
Attribution
Das CERT-UA führt die Kampagne auf Fancy Bear zurück. Der Akteur ist auch unter der Bezeichnung APT28 bekannt und wird dem russischen Staat zugeordnet. Die Gruppierung zeichnet sich u.a. durch zielgerichtetes Phishing, der Manipulation von Office‑Dokumenten, COM‑Hijacking sowie der Nutzung legitimer Cloud‑Dienste für Command-and-Control-Kommunikation (C2) aus.
Empfehlungen
Wir empfehlen die folgenden Maßnahmen zur Beseitigung der Schwachstelle:
- Aktualisieren Sie gegebenenfalls Microsoft Office durch bereitgestellte Updates.
- Überwachen und blockieren Sie WebDAV‑Verbindungen zu unbekannten externen Hosts.
Das CERT‑UA stellt neben einem ausführlichen Bericht auch zahlreiche Indicators of Compromise (IOCs) zur Verfügung. Wir empfehlen daher allen Stellen, die die genannten Office-Versionen einsetzen, zur Prüfung der eigenen Systeme auf Betroffenheit anhand der IOCs.