必威平台APPMalwarebytes有理由相信MSHTML漏洞列在CVE-2021-40444被用来攻击俄罗斯实体。Malwarebytes情报小组截获了专门针对俄罗斯组织的电子邮件附件必威平台APP。
我们发现的第一个模板被设计成JSC GREC Makeyev中的内部通信。以V.P.马克耶夫院士的名字命名的国有火箭中心股份有限公司是该国火箭和航天工业国防和工业综合体的战略控股公司。它还是液体和固体燃料弹道导弹战略导弹系统的主要开发商,使其成为俄罗斯最大的火箭和空间技术研发中心之一。
该电子邮件声称来自该组织的人力资源(HR)部门。
它说人力资源部正在检查员工提供的个人数据。电子邮件要求员工填写表格并发送给人力资源部,或回复邮件。当接收人想要填写表单时,他们必须启用编辑功能。这一行动足以触发攻击。
攻击取决于目标打开恶意Office文档时MSHTML加载巧尽心思构建的ActiveX控件。加载的ActiveX控件随后可以运行任意代码,使系统感染更多恶意软件。
我们发现的第二份附件声称来自莫斯科内政部。这种类型的附件可用于针对多个感兴趣的目标。
文件的标题翻译为“非法活动通知”。它要求接收者填写表格并将其返回内政部或回复此电子邮件。它还敦促有意受害者在7天内这样做。
俄罗斯目标
我们很少发现针对俄罗斯目标的网络犯罪证据。鉴于这些目标,特别是第一个目标,我们怀疑这些袭击背后可能有一个国家赞助的行为者,我们正在努力查明袭击的根源。如果我们在这方面取得任何进展,我们将随时通知你。
修补漏洞
CVE-2021-40444漏洞在本质上可能是老生常谈(它涉及ActiveX,还记得吗?),但它只是最近才被发现的。不久,威胁参与者就在黑客论坛上分享POC、教程和漏洞攻击,因此每个人都能够按照逐步的指示发起自己的攻击。
微软很快发布了缓解指令,禁止安装新的ActiveX控件,并设法压缩了在周二的补丁中加入最近的补丁输出,仅在bug成为公共知识的几周后。然而,创建补丁所需的时间往往与人们应用补丁所需的时间相形见绌。组织,尤其是大型组织,在应用补丁时往往落后很多,因此我们预计会看到更多类似这样的攻击。
Будьте в безопасности, все!
![[更新]补丁现在!打印噩梦结束,MSHTML修复,一个新的恐怖出现…上帝](http://m.fwgtm.com/wp-content/uploads/2021/09/OMIGODlogo-604x270.png)
评论