Windows MSHTML 0- Day Exploited na nasadenie Cobalt Strike Beacon pri cielených útokoch

Spoločnosť Microsoft v stredu zverejnila podrobnosti o cielenej phishingovej kampani, ktorá využila teraz opravenú chybu zero-day vo svojej platforme MSHTML pomocou špeciálne vytvorených dokumentov balíka Office na nasadenie Cobalt Strike Beacon na napadnutých Windows systémov.

„Tieto útoky využili zraniteľnosť, sledovanú ako CVE-2021-40444, ako súčasť počiatočnej prístupovej kampane, ktorá distribuovala vlastné nakladače Cobalt Strike Beacon,“ uviedlo centrum Microsoft Threat Intelligence Center v technickom zázname. “Tieto zavádzače komunikovali s infraštruktúrou, ktorú Microsoft spája s viacerými kyberzločineckými kampaňami vrátane ransomvéru ovládaného ľuďmi.”

Podrobnosti o CVE-2021-40444 (skóre CVSS: 8.8) sa prvýkrát objavil v septembri 7 po tom, čo výskumníci z EXPMON upozornili Windows o „vysoko sofistikovanom zero-day útoku“ zameranom na používateľov balíka Microsoft Office využitím zraniteľnosti pri spúšťaní kódu na diaľku v MSHTML (aka Trident), proprietárnom nástroji prehliadača pre Internet Explorer, ktorý sa už nepoužíva a ktorý sa používa v Office na vykresľovať webový obsah v dokumentoch Word, Excel a PowerPoint.

„Pozorovaný vektor útoku sa spolieha na škodlivý ovládací prvok ActiveX, ktorý by mohol byť načítaný vykresľovacím jadrom prehliadača pomocou škodlivého dokumentu balíka Office,“ poznamenali vedci. Spoločnosť Microsoft odvtedy vydala opravu tejto zraniteľnosti v rámci svojich aktualizácií Patch Tuesday o týždeň neskôr, 14. septembra.

Technologický gigant so sídlom v Redmonde pripísal aktivity súvisiacim klastrom kyberzločincov, ktoré sleduje, ako DEV-0413 a DEV-0365, pričom druhý z nich je prezývkou spoločnosti pre vznikajúcu skupinu hrozieb spojenú s vytváraním a riadením infraštruktúry Cobalt Strike použitej pri útokoch. . Najskorší pokus o využitie DEV-0413 sa datuje do 18. augusta.

Mechanizmus doručovania exploitov pochádza z e-mailov, ktoré sa vydávajú za zmluvy a právne dohody umiestnené na stránkach na zdieľanie súborov. Otvorenie dokumentu s malvérom vedie k stiahnutiu archívneho súboru kabinetu obsahujúceho knižnicu DLL s príponou súboru INF, ktorá po dekomprimácii vedie k vykonaniu funkcie v rámci tejto knižnice DLL. DLL zase získava vzdialene hosťovaný shell kód – vlastný zavádzač Cobalt Strike Beacon – a načíta ho do nástroja Microsoft na import adries.

Okrem toho spoločnosť Microsoft uviedla, že niektoré infraštruktúry, ktoré používa DEV-0413 na hosťovanie škodlivých artefaktov, sa podieľali aj na poskytovaní užitočných zaťažení BazaLoader a Trickbot, čo je samostatná skupina činností, ktoré spoločnosť monitoruje pod kódovým označením DEV-0193 (a spoločnosťou Mandiant ako UNC1878).

„Najmenej jedna organizácia, ktorá bola úspešne kompromitovaná DEV-0413 vo svojej augustovej kampani, bola predtým kompromitovaná vlnou podobne tematicky zameraného malvéru, ktorý interagoval s infraštruktúrou DEV-0365 takmer dva mesiace pred útokom CVE-2021-40444,“ vedci povedal. “V súčasnosti nie je známe, či bolo opätovné zacielenie tejto organizácie úmyselné, ale posilňuje to spojenie medzi DEV-0413 a DEV-0365 nad rámec zdieľania infraštruktúry.”

V nezávislom vyšetrovaní pripísala dcérska spoločnosť Microsoftu RiskIQ útoky s vysokou dôverou syndikátu ransomvéru známemu ako Wizard Spider aka Ryuk, pričom poznamenala, že sieťová infraštruktúra použitá na poskytovanie príkazov a riadenia implantátom Cobalt Strike Beacon pokrývala viac ako 200 aktívnych serverov. .

“Spojenie zero-day exploitu s ransomvérovou skupinou, akokoľvek vzdialenou, je znepokojujúce,” uviedli výskumníci z RiskIQ. Naznačuje to buď, že nástroje na kľúč, ako sú zero-day exploity, si našli cestu do už aj tak robustného ekosystému ransomware-as-a-service (RaaS), alebo že operačne sofistikovanejšie skupiny zapojené do tradičnej špionáže podporovanej vládou používajú zločinne kontrolovanú infraštruktúru. nesprávne smerovať a brániť pripisovaniu.“