Уязвимость 0-day в MSHTML эксплуатировалась в атаках с использованием Cobalt Strike
16 сентября 2021 года
Microsoft рассказала о целенаправленной фишинговой кампании с эксплуатацией уже исправленной уязвимости нулевого дня в платформе MSHTML. В ходе кампании злоумышленники использовали особым образом сконфигурированные документы Office для развертывания Cobalt Strike Beacon на скомпрометированных устройствах под управлением Windows.
Как пояснили специалисты Microsoft Threat Intelligence Center, хакеры эксплуатировали уязвимость CVE-2021-40444 для получения первоначального доступа к сетям и развертывания кастомных загрузчиков Cobalt Strike Beacon. Эти загрузчики коммуницировали с инфраструктурой, которую эксперты Microsoft связывают со множеством вредоносных кампаний, в том числе с использованием вымогательского ПО.
Подробности о CVE-2021-40444 (8,8 балла из 10 по шкале оценивания опасности уязвимостей CVSS) всплыли 7 сентября, после того как исследователи EXPMON уведомили Microsoft о «высокотехнологичной атаке нулевого дня» на пользователей Microsoft Office. Как пояснили эксперты, злоумышленники эксплуатировали уязвимость удаленного выполнения кода в MSHTML (Trident) – проприетарном движке для браузера Internet Explorer, который также используется Office для рендеринга web-контента в документах Word, Excel и PowerPoint.
Вектор атаки основывается на вредоносном управлении ActiveX, который может загружаться рендеринговым движком браузера с помощью вредоносного документа Office. Microsoft выпустила патч для уязвимости в рамках планового сентябрьского «вторника исправлений».
По данным компании, за атаками стоят киберпреступные кластеры DEV-0413 и DEV-0365. Второй из них представляет собой набирающую обороты киберпреступную группу, связанную с созданием и управлением использующейся в атаках инфраструктурой Cobalt Strike. Более ранние попытки эксплуатации уязвимости со стороны DEV-0413 относятся к 18 августа.
Механизм доставки эксплоита основывается на фишинговых электронных письмах с поддельными контрактами и соглашениями, размещенными на файлообменных сайтах. После открытия вредоносного документа загружается архивный файл Cabinet, содержащий DLL с расширением файла INF, который после распаковки приводит к выполнению функции внутри DLL. В свою очередь, DLL получает с удаленного хостинга шелл-код (кастомный загрузчик Cobalt Strike Beacon) и загружает его в инструмент Microsoft для импорта адресов.
Помимо прочего, по словам Microsoft, некоторые инфраструктуры, использующиеся DEV-0413 для хостинга вредоносных артефактов, также были вовлечены в доставку вредоносного ПО BazaLoader и Trickbot.
Как минимум одна компания, успешно взломанная DEV-0413 в августе, за два месяца до взлома была скомпрометирована с использованием вредоносного ПО, взаимодействовавшего с инфраструктурой DEV-0365.
Источники править
Эта статья содержит материалы из статьи «Уязвимость 0-day в MSHTML эксплуатировалась в атаках с использованием Cobalt Strike», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.