El miércoles, Microsoft publicó detalles de una campaña de phishing dirigida que aprovechó un error de día cero ahora corregido en su plataforma MSHTML utilizando documentos de Office especialmente diseñados para implementar Cobalt Strike Beacon en sistemas Windows comprometidos.
“Estos ataques explotaron la vulnerabilidad rastreada como CVE-2021-40444 como parte de una campaña de acceso inicial que distribuyó los propios cargadores de Cobalt Strike Beacon”, dijo el Centro de Inteligencia de Amenazas de Microsoft en un comunicado técnico. «Estos cargadores de arranque se han comunicado con la infraestructura que Microsoft conecta a muchas campañas de delitos cibernéticos, incluido el ransomware ejecutado por humanos».
Los detalles sobre CVE-2021-40444 (puntaje CVSS: 8.8) aparecieron por primera vez el 7 de septiembre después de que los investigadores de EXPMON alertaron a los proveedores de Windows sobre un «ataque de día cero altamente sofisticado» dirigido a los usuarios de Microsoft Office al explotar vulnerabilidades que permiten la ejecución remota de código. en MSHTML (también conocido como Trident), un navegador propietario de Internet Explorer que ya no se usa y se usa en Office para representar contenido web en documentos de Word, Excel y PowerPoint.
«El vector de ataque observado se basa en un control ActiveX malicioso que podría ser cargado por el motor de renderizado del navegador usando un documento de Office malicioso», dijeron los investigadores. Desde entonces, Microsoft lanzó una solución para esta actualización del martes de parches una semana después, el 14 de septiembre.
El gigante tecnológico, con sede en Redmond, ha atribuido actividades a grupos ciberdelincuentes relacionados que supervisa, como DEV-0413 y DEV-0365, el último de los cuales es el apodo de la empresa para el grupo emergente de amenazas asociadas con la creación y gestión de Cobalt Strike. infraestructura utilizada en los ataques. . El intento más antiguo de usar DEV-0413 se remonta al 18 de agosto.
El mecanismo para entregar exploits proviene de correos electrónicos que fingen ser contratos y acuerdos legales alojados en sitios de intercambio de archivos. Al abrir un documento de malware, se descarga un archivo de gabinete que contiene una DLL con una extensión de archivo INF que, cuando se descomprime, inicia una función en esa DLL. La DLL, a su vez, lee el código de shell alojado de forma remota (el propio cargador de Cobalt Strike Beacon) y lo carga en la herramienta de importación de direcciones de Microsoft.
Además, Microsoft declaró que algunas de las infraestructuras que DEV-0413 usó para alojar artefactos maliciosos también contribuyeron a la entrega de datos de BazaLoader y Trickbot, un conjunto separado de actividades que la empresa monitorea bajo el código DEV-0193 (y por Mandiant como UNC1878).
«Al menos una organización que comprometió con éxito DEV-0413 en su campaña de agosto se vio comprometida previamente por una ola de malware de temática similar que interactuó con la infraestructura DEV-0365 casi dos meses antes del ataque CVE-2021-40444», dijeron los investigadores. él dijo. «Actualmente se desconoce si la reorientación de esta organización fue intencional, pero fortalece el vínculo entre DEV-0413 y DEV-0365 más allá de compartir infraestructura».
En una investigación independiente, la subsidiaria RiskIQ de Microsoft atribuyó los ataques de alta confianza al síndrome de ransomware conocido como Wizard Spider, también conocido como Ryuk, y señaló que la infraestructura de red utilizada para comandar y controlar los implantes Cobalt Strike Beacon incluye más de 200 servidores activos. .
«La combinación de un exploit de día cero con un grupo de ransomware, por remoto que sea, es preocupante», dijeron los investigadores de RiskIQ. Esto sugiere que las herramientas llave en mano, como los exploits de día cero, se han abierto camino en el ya sólido ecosistema de ransomware como servicio (RaaS), o que los grupos más sofisticados operativamente involucrados en el espionaje tradicional patrocinado por el gobierno utilizan infraestructura. desviar e impedir la atribución».
