黑客利用MSHTML漏洞监视政府和国防目标

黑客利用MSHTML漏洞监视政府和国防目标

网络安全研究人员周二公开了一场多阶段间谍活动，目标是监管国家安全政策的高级政府官员和西亚国防行业的个人。

安全公司McAfee Enterprise和FireEye合并后成立的新公司Trellix在一份声明中说，这次攻击是独一无二的，因为它利用了微软OneDrive作为命令和控制(C2)服务器，并分为六个阶段尽可能隐藏报告与《黑客新闻》分享。

“这种类型的通信使恶意软件在受害者的系统中不被注意到，因为它只会连接到合法的微软域，不会显示任何可疑的网络流量，”Trellix解释道。

据说，与秘密行动相关的活动的最初迹象早在2021年6月18日就开始了，9月21日和29日报告了两名受害者，随后在10月6日至8日的短短三天内又报告了17名受害者。

Trellix基于源代码以及攻击指标和地缘政治目标的相似性，将这些复杂的攻击归咎于俄罗斯的APT28组织，该组织也以Sofacy、Strontium、Fancy Bear和Sednit的绰号进行跟踪。

Trellix安全研究员Marc Elias说:“我们非常有信心，我们正在与一个非常熟练的参与者打交道，这是基于基础设施、恶意软件编码和操作是如何建立的。

感染链始于一个Microsoft Excel文件的执行，该文件包含对MSHTML远程代码执行漏洞的利用(CVE-2021-40444)，用于运行恶意二进制文件，该文件充当名为石墨的第三阶段恶意软件的下载器。

DLL可执行文件通过微软图形应用编程接口使用OneDrive作为C2服务器来检索最终下载并执行的附加阶段恶意软件帝国，一个基于开源PowerShell的后利用框架，被威胁行为者广泛滥用于后续活动。

如果说有什么不同的话，那就是这个开发标志着MSTHML渲染引擎缺陷的持续利用微软和安全漏洞实验室披露了多个活动，这些活动将该漏洞武器化，以植入恶意软件并分发定制的钴打击信标加载程序。