Уязвимость 0-day в MSHTML эксплуатировалась в атаках с использованием Cobalt Strike
17/09/21
Microsoft рассказала о целенаправленной фишинговой кампании с эксплуатацией уже исправленной уязвимости нулевого дня в платформе MSHTML. В ходе кампании злоумышленники использовали особым образом сконфигурированные документы Office для развертывания Cobalt Strike Beacon на скомпрометированных устройствах под управлением Windows.
Как пояснили специалисты Microsoft Threat Intelligence Center, хакеры эксплуатировали уязвимость CVE-2021-40444 для получения первоначального доступа к сетям и развертывания кастомных загрузчиков Cobalt Strike Beacon. Эти загрузчики коммуницировали с инфраструктурой, которую эксперты Microsoft связывают со множеством вредоносных кампаний, в том числе с использованием вымогательского ПО.
Подробности о CVE-2021-40444 (8,8 балла из 10 по шкале оценивания опасности уязвимостей CVSS) всплыли 7 сентября, после того как исследователи EXPMON уведомили Microsoft о «высокотехнологичной атаке нулевого дня» на пользователей Microsoft Office. Как пояснили эксперты, злоумышленники эксплуатировали уязвимость удаленного выполнения кода в MSHTML (Trident) – проприетарном движке для браузера Internet Explorer, который также используется Office для рендеринга web-контента в документах Word, Excel и PowerPoint.
Вектор атаки основывается на вредоносном управлении ActiveX, который может загружаться рендеринговым движком браузера с помощью вредоносного документа Office. Microsoft выпустила патч для уязвимости в рамках планового сентябрьского «вторника исправлений».
По данным компании, за атаками стоят киберпреступные кластеры DEV-0413 и DEV-0365. Второй из них представляет собой набирающую обороты киберпреступную группу, связанную с созданием и управлением использующейся в атаках инфраструктурой Cobalt Strike. Более ранние попытки эксплуатации уязвимости со стороны DEV-0413 относятся к 18 августа.
Механизм доставки эксплоита основывается на фишинговых электронных письмах с поддельными контрактами и соглашениями, размещенными на файлообменных сайтах. После открытия вредоносного документа загружается архивный файл Cabinet, содержащий DLL с расширением файла INF, который после распаковки приводит к выполнению функции внутри DLL. В свою очередь, DLL получает с удаленного хостинга шелл-код (кастомный загрузчик Cobalt Strike Beacon) и загружает его в инструмент Microsoft для импорта адресов.
Помимо прочего, по словам Microsoft, некоторые инфраструктуры, использующиеся DEV-0413 для хостинга вредоносных артефактов, также были вовлечены в доставку вредоносного ПО BazaLoader и Trickbot.
Как минимум одна компания, успешно взломанная DEV-0413 в августе, за два месяца до взлома была скомпрометирована с использованием вредоносного ПО, взаимодействовавшего с инфраструктурой DEV-0365.