微软MSHTML零日漏洞被利用,部署黑客工具进行针对性攻击

微软MSHTML零日漏洞被利用,部署黑客工具进行针对性攻击

微软周三披露了一项有针对性的网络钓鱼活动的细节,该活动利用其 MSHTML 平台中现已修补的零日漏洞,使用特制的 Office 文档在受感染的 Windows 系统上部署 Cobalt Strike Beacon。

根据微软威胁情报中心在一篇技术文章,这些攻击使用了该漏洞,跟踪为CVE-2021-40444,作为分发自定义 Cobalt Strike Beacon 加载器的初始访问活动的一部分。这些加载程序与微软与多个网络犯罪活动(包括人为操作的勒索软件)相关联的基础设施进行通信。

Windows MSHTML 0日被剥削以在有针对性的攻击中部署Cobalt Strike Beacon

根据网络安全行业门户极牛网GEEKNB.COM的梳理,关于 CVE-2021-40444(CVSS 评分:8.8)的详细信息于 9 月 7 日首次出现,此前 EXPMON 的研究人员向 Windows 制造商发出了利用远程代码执行漏洞针对 Microsoft Office 用户的“高度复杂的零日攻击”的警报在 MSHTML(又名 Trident)中,这是现已停产的 Internet Explorer 的专有浏览器引擎,在 Office 中用于在 Word、Excel 和 PowerPoint 文档中呈现 Web 内容。

安全研究人员指出:“观察到的攻击向量依赖于一个恶意的 ActiveX 控件,该控件可以由浏览器渲染引擎使用恶意的 Office 文档加载。” 此后,微软在一周后的 9 月 14 日补丁星期二更新中推出了针对该漏洞的修复程序。

微软MSHTML零日漏洞被利用,部署黑客工具进行针对性攻击

微软将这些活动归因于它跟踪的相关网络犯罪团伙,分别为 DEV-0413DEV-0365,后者是该公司对与创建和管理攻击中使用的 Cobalt Strike 基础设施相关的新兴威胁组织的绰号. DEV-0413 最早的利用尝试可以追溯到 8 月 18 日。

漏洞利用是通过电子邮件作为传播机制,冒充文件共享站点上托管的合同和法律协议。打开带有恶意软件的文档会导致下载包含带有 INF 文件扩展名的 DLL 的文件柜存档文件,该文件在解压缩时会导致在该 DLL 中执行一个函数。反过来,DLL 会检索远程托管的 shellcode——一个自定义的 Cobalt Strike Beacon 加载器——并将其加载到 Microsoft 地址导入工具中。

此外,微软表示,DEV-0413 用于托管恶意工件的一些基础设施也参与了 BazaLoader 和 Trickbot 有效载荷的交付,这是公司以代号 DEV-0193(以及 Mandiant如 UNC1878)。

安全研究人员说:“至少有一个组织在 8 月的活动中被 DEV-0413 成功攻陷,但之前曾被一波类似的恶意软件攻陷,这些恶意软件在 CVE-2021-40444 攻击发生前两个月就与 DEV-0365 基础设施进行了交互。

 

微软MSHTML零日漏洞被利用,部署黑客工具进行针对性攻击

极牛网精选文章《微软MSHTML零日漏洞被利用,部署黑客工具进行针对性攻击》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/16340.html

(27)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
上一篇 2021年9月16日 上午10:25
下一篇 2021年9月16日 下午4:10

相关推荐

发表回复

登录后才能评论