利用Windows MSHTML 0-Day在目标攻击中部署Cobalt Strike Beacon

周三，微软披露了一场有针对性的网络钓鱼活动的细节，该活动利用其MSHTML平台上现已修补的零日漏洞，使用精心编制的Office文档在受损的Windows系统上部署Cobalt Strike Beacon。

微软威胁情报中心在一份技术报告中说：“这些攻击利用了该漏洞，追踪为CVE-2021-40444，作为分发定制钴打击信标装载机的初始访问活动的一部分。”。“这些装载机与微软与多个网络犯罪活动相关的基础设施进行通信，包括人工操作的勒索软件。”

有关CVE-2021-40444（CVSS分数：8.8）的详细信息首次出现在9月7日，此前EXPMON的研究人员利用MSHTML（又名Trident）中的远程代码执行漏洞向这家Windows制造商通报了针对Microsoft Office用户的“高度复杂的零日攻击”，这是一个专有的浏览器引擎，适用于现已停产的Internet Explorer，在Office中用于呈现Word、Excel和PowerPoint文档中的web内容。

"The observed attack vector relies on a malicious ActiveX control that could be loaded by the browser rendering engine using a malicious Office document," the researchers noted. Microsoft has since rolled out a fix for the vulnerability as part of its Patch Tuesday updates a week later on September 14.

这家总部位于雷德蒙德的科技巨头将这些活动归因于其追踪的相关网络犯罪集群DEV-0413和DEV-0365，后者是该公司对与创建和管理攻击中使用的钴打击基础设施相关的新兴威胁集团的绰号。DEV-0413最早的开发尝试可以追溯到8月18日。

漏洞传递机制源于文件共享网站上托管的模拟合同和法律协议的电子邮件。打开带有恶意软件的文档会导致下载包含带有INF文件扩展名的DLL的CAB归档文件，解压后会导致在该DLL中执行函数。DLL反过来检索远程托管的外壳代码—；定制钴击信标装载机—；并将其加载到Microsoft地址导入工具中。

此外，微软表示，DEV-0413用来承载恶意工件的一些基础设施也参与了BazaLoader和Trickbot有效载荷的交付，这是该公司以代号DEV-0193（Mandiant称为UNC1878）监控的另一组活动。

研究人员说：“至少有一个组织在8月份的活动中被DEV-0413成功攻破，但在CVE-2021-40444攻击发生前近两个月，该组织曾被一波类似主题的恶意软件攻破，这些恶意软件与DEV-0365基础设施进行了交互。”。“目前尚不清楚该组织的重新定位是否是有意的，但它加强了DEV-0413和DEV-0365之间的联系，而不仅仅是共享基础设施。”

在一项独立调查中，微软的RiskIQ子公司高度自信地将这些攻击归因于一个名为Wizard Spider aka Ryuk的勒索软件集团，并指出用于向Cobalt Strike Beacon植入物提供指挥和控制的网络基础设施覆盖了200多台活动服务器。

RiskIQ研究人员说：“零日攻击与勒索软件集团的关联，无论多么遥远，都令人不安。”。这表明，要么像零日漏洞攻击这样的交钥匙工具已经进入了本已强大的勒索软件即服务（RaaS）生态系统，要么是从事传统的、政府支持的间谍活动的操作更为复杂的团体正在使用受犯罪控制的基础设施来误导和阻止归属。"