Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Уязвимость 0-day в MSHTML эксплуатировалась в атаках с использованием Cobalt Strike

17/09/21

hack102-1Microsoft рассказала о целенаправленной фишинговой кампании с эксплуатацией уже исправленной уязвимости нулевого дня в платформе MSHTML. В ходе кампании злоумышленники использовали особым образом сконфигурированные документы Office для развертывания Cobalt Strike Beacon на скомпрометированных устройствах под управлением Windows.

Как пояснили специалисты Microsoft Threat Intelligence Center, хакеры эксплуатировали уязвимость CVE-2021-40444 для получения первоначального доступа к сетям и развертывания кастомных загрузчиков Cobalt Strike Beacon. Эти загрузчики коммуницировали с инфраструктурой, которую эксперты Microsoft связывают со множеством вредоносных кампаний, в том числе с использованием вымогательского ПО.

Подробности о CVE-2021-40444 (8,8 балла из 10 по шкале оценивания опасности уязвимостей CVSS) всплыли 7 сентября, после того как исследователи EXPMON уведомили Microsoft о «высокотехнологичной атаке нулевого дня» на пользователей Microsoft Office. Как пояснили эксперты, злоумышленники эксплуатировали уязвимость удаленного выполнения кода в MSHTML (Trident) – проприетарном движке для браузера Internet Explorer, который также используется Office для рендеринга web-контента в документах Word, Excel и PowerPoint.

Вектор атаки основывается на вредоносном управлении ActiveX, который может загружаться рендеринговым движком браузера с помощью вредоносного документа Office. Microsoft выпустила патч для уязвимости в рамках планового сентябрьского «вторника исправлений».

По данным компании, за атаками стоят киберпреступные кластеры DEV-0413 и DEV-0365. Второй из них представляет собой набирающую обороты киберпреступную группу, связанную с созданием и управлением использующейся в атаках инфраструктурой Cobalt Strike. Более ранние попытки эксплуатации уязвимости со стороны DEV-0413 относятся к 18 августа.

Механизм доставки эксплоита основывается на фишинговых электронных письмах с поддельными контрактами и соглашениями, размещенными на файлообменных сайтах. После открытия вредоносного документа загружается архивный файл Cabinet, содержащий DLL с расширением файла INF, который после распаковки приводит к выполнению функции внутри DLL. В свою очередь, DLL получает с удаленного хостинга шелл-код (кастомный загрузчик Cobalt Strike Beacon) и загружает его в инструмент Microsoft для импорта адресов.

Помимо прочего, по словам Microsoft, некоторые инфраструктуры, использующиеся DEV-0413 для хостинга вредоносных артефактов, также были вовлечены в доставку вредоносного ПО BazaLoader и Trickbot.

Как минимум одна компания, успешно взломанная DEV-0413 в августе, за два месяца до взлома была скомпрометирована с использованием вредоносного ПО, взаимодействовавшего с инфраструктурой DEV-0365.

Темы:MicrosoftПреступленияфишингCobalt Strike0-day уязвимости
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • Гонка хакеров и защитников. На чьей стороне время?
    Эльман Бейбутов, директор по развитию продуктового бизнеса Positive Technologies
    За 30 дней злоумышленники могут реализовать 71% событий, которые повлекут неприемлемые последствия.
  • Своя атмосфера: что давно пора сделать для защиты электронной почты
    Илья Померанцев, продуктовый аналитик департамента сетевой безопасности Group-IB
    Рассмотрим три реальные атаки через корпоративную почту, обнаруженные и остановленные нашей системой Group-IB Threat Hunting Framework
  • Примеры фишинга через электронную почту: Как распознать фишинговое письмо
    Антон Тихонов, Технический менеджер направления McAfee
    Готовая инструкция, как распознать фишинговое письмо: простые советы

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...