Hackers maakten misbruik van MSHTML-fout om overheids- en defensiedoelen te bespioneren

Défaut MSHTML Nachrichten

Cybersecurity-onderzoekers hebben dinsdag de omslag genomen van een spionagecampagne in meerdere fasen, gericht op hooggeplaatste overheidsfunctionarissen die toezicht houden op het nationale veiligheidsbeleid en individuen in de defensie-industrie in West-Azië.

De aanval is uniek omdat het gebruikmaakt van Microsoft OneDrive als een command-and-control (C2) -server en is opgesplitst in maar liefst zes fasen om zo verborgen mogelijk te blijven, Trellix – een nieuw bedrijf dat is opgericht na de fusie van beveiligingsbedrijven McAfee Enterprise en FireEye — zei in een verslag doen van gedeeld met The Hacker News.

“Dit type communicatie zorgt ervoor dat de malware onopgemerkt blijft in de systemen van de slachtoffers, omdat het alleen verbinding maakt met legitieme Microsoft-domeinen en geen verdacht netwerkverkeer toont”, legt Trellix uit.

De eerste tekenen van activiteit in verband met de geheime operatie zouden al op 18 juni 2021 zijn begonnen, met twee slachtoffers gemeld op 21 en 29 september, gevolgd door nog eens 17 in een korte tijdsspanne van drie dagen tussen 6 en 8 oktober.

Trellix schreef de geavanceerde aanvallen met matig vertrouwen toe aan de in Rusland gevestigde APT28 groep, ook gevolgd onder de namen Sofacy, Strontium, Fancy Bear en Sednit, op basis van overeenkomsten in de broncode, evenals in de aanvalsindicatoren en geopolitieke doelstellingen.

MSHTML-fout

“We hebben er het volste vertrouwen in dat we te maken hebben met een zeer bekwame acteur op basis van hoe de infrastructuur, de codering van malware en de werking zijn opgezet”, zegt Trellix-beveiligingsonderzoeker Marc Elias.

De infectieketen begint met de uitvoering van een Microsoft Excel-bestand dat een exploit bevat voor de MSHTML-kwetsbaarheid voor de uitvoering van externe code (CVE-2021-40444), die wordt gebruikt om een ​​kwaadaardig binair bestand uit te voeren dat fungeert als downloader voor een derde-traps malware genaamd Grafiet.

Het uitvoerbare DLL-bestand gebruikt OneDrive als de C2-server via de Microsoft Graph API om extra stager-malware op te halen die uiteindelijk wordt gedownload en uitgevoerd rijkeen open-source op PowerShell gebaseerd post-exploitatieraamwerk dat op grote schaal wordt misbruikt door bedreigingsactoren voor vervolgactiviteiten.

De ontwikkeling markeert in ieder geval de voortdurende exploitatie van de MSTHML-renderingengine-fout, waarbij Microsoft en SafeBreach Labs meerdere campagnes hebben onthuld die de kwetsbaarheid hebben bewapend om malware te planten en aangepaste Cobalt Strike Beacon-laders te verspreiden.

David
Rate author
Hackarizona