Как пояснили специалисты Microsoft Threat Intelligence Center, хакеры эксплуатировали уязвимость CVE-2021-40444 для получения первоначального доступа к сетям и развертывания кастомных загрузчиков Cobalt Strike Beacon. Эти загрузчики коммуницировали с инфраструктурой, которую эксперты Microsoft связывают со множеством вредоносных кампаний, в том числе с использованием вымогательского ПО.
Подробности о CVE-2021-40444 (8,8 балла из 10 по шкале оценивания опасности уязвимостей CVSS) всплыли 7 сентября, после того как исследователи EXPMON уведомили Microsoft о «высокотехнологичной атаке нулевого дня» на пользователей Microsoft Office. Как пояснили эксперты, злоумышленники эксплуатировали уязвимость удаленного выполнения кода в MSHTML (Trident) – проприетарном движке для браузера Internet Explorer, который также используется Office для рендеринга web-контента в документах Word, Excel и PowerPoint.
Вектор атаки основывается на вредоносном управлении ActiveX, который может загружаться рендеринговым движком браузера с помощью вредоносного документа Office. Microsoft выпустила патч для уязвимости в рамках планового сентябрьского «вторника исправлений».
По данным компании, за атаками стоят киберпреступные кластеры DEV-0413 и DEV-0365. Второй из них представляет собой набирающую обороты киберпреступную группу, связанную с созданием и управлением использующейся в атаках инфраструктурой Cobalt Strike. Более ранние попытки эксплуатации уязвимости со стороны DEV-0413 относятся к 18 августа.
Механизм доставки эксплоита основывается на фишинговых электронных письмах с поддельными контрактами и соглашениями, размещенными на файлообменных сайтах. После открытия вредоносного документа загружается архивный файл Cabinet, содержащий DLL с расширением файла INF, который после распаковки приводит к выполнению функции внутри DLL. В свою очередь, DLL получает с удаленного хостинга шелл-код (кастомный загрузчик Cobalt Strike Beacon) и загружает его в инструмент Microsoft для импорта адресов.
Помимо прочего, по словам Microsoft, некоторые инфраструктуры, использующиеся DEV-0413 для хостинга вредоносных артефактов, также были вовлечены в доставку вредоносного ПО BazaLoader и Trickbot.
Как минимум одна компания, успешно взломанная DEV-0413 в августе, за два месяца до взлома была скомпрометирована с использованием вредоносного ПО, взаимодействовавшего с инфраструктурой DEV-0365.