Introdução
Relatórios indicam exploração ativa de uma falha em Microsoft Office (CVE‑2026‑21509) por um grupo ligado à Rússia (APT28) para implantar o framework Covenant em campanhas por spear‑phishing direcionadas a alvos na Ucrânia e na União Europeia.
O que foi observado
Segundo a fonte, a cadeia de ataque usa documentos de phishing que exploram CVE‑2026‑21509. A entrega e execução do payload envolvem uso de WebDAV para hospedagem/hosteamento do carregador e técnicas de COM hijacking para execução furtiva. O C2 observado do operador inclui serviços do tipo Filen.io, usados para evasão.
Vetor e dinâmica técnica
- Vetor inicial: documentos de phishing com exploração da vulnerabilidade em Office.
- Entrega: payloads servidos por WebDAV.
- Persistência/execução: técnicas de COM hijacking descritas pela matéria.
- C2: uso de Filen.io como canal de comando e controle, conforme observado pelo investigador citado.
Evidências e limites
A cobertura indica exploração ativa atribuída a APT28 e cita alerta do CERT‑UA. A fonte lista táticas, técnicas e procedimentos (TTPs) usados no incidente, mas não publica na matéria amostras binárias, hashes ou uma lista completa de IOCs. Assim, a capacidade de detecção completa depende da divulgação desses artefatos por autoridades ou equipes de resposta.
Orientações divulgadas
O relatório menciona que o CERT‑UA recomenda mitigação via alterações de registro e bloqueio de IOCs associados. A matéria não descreve o conjunto exato de chaves de registro a alterar nem os IOCs específicos; remete administradores a orientações oficiais do CERT‑UA para ações concretas.
Impacto e alcance
O ataque tem foco geográfico em alvos ucranianos e da UE nas informações divulgadas. A matéria não reporta afetados no Brasil nem ligação direta a infraestruturas críticas brasileiras. Ainda assim, a exploração de falhas no Office por APTs sofisticados reforça a necessidade de atenção em ambientes corporativos que utilizam documentos como vetor de entrada.
Recomendações práticas (baseadas no conteúdo)
- Acompanhar e aplicar mitigação e IOCs publicados pelo CERT‑UA e por canais oficiais da Microsoft.
- Implementar controles de bloqueio de WebDAV não autorizados e monitorar acessos a serviços WebDAV internos/externos.
- Priorizar análise de documentos recebidos por e‑mail, especialmente os que acionam conteúdo remoto ou vinculam recursos externos.
- Atualizar políticas de prevenção e detecção de COM hijacking e revisar regras de EDR para técnicas de execução atípicas em processos do Office.
O que não foi fornecido
A matéria não divulga amostras do Covenant usado, indicadores de servidor Filen.io específicos, nem detalha a mitigação de registro sugerida pelo CERT‑UA. Equipes de segurança devem buscar os comunicados oficiais do CERT‑UA e relatórios técnicos para implementar contramedidas completas.
Conclusão
Há exploração ativa de CVE‑2026‑21509 com uso por APT28 para distribuição do framework Covenant em campanhas direcionadas. A fonte indica vetores e algumas TTPs (WebDAV, COM hijacking, Filen.io C2) e remete a mitigação via CERT‑UA. Falta divulgação técnica detalhada na matéria, o que exige que times SOC/IR consultem os avisos oficiais e IOCs antes de concluir alcance e bloqueios.