Vulnerabilità MSHTML 0-day sfruttata negli attacchi Cobalt Strike

Gli hacker hanno utilizzato documenti di Office dannosi per distribuire Cobalt Strike Beacon sui dispositivi Windows.

Microsoft ha rivelato una campagna di phishing mirata che sfrutta una vulnerabilità zero-day già corretta nella piattaforma MSHTML. Durante la campagna, gli aggressori hanno utilizzato documenti di Office appositamente configurati per distribuire Cobalt Strike Beacon sui dispositivi Windows compromessi.

Come spiegato dal Microsoft Threat Intelligence Center, gli hacker hanno sfruttato la vulnerabilità CVE-2021-40444 per ottenere l’accesso iniziale alle reti e distribuire i caricatori Cobalt Strike Beacon personalizzati. Questi downloader comunicavano con l’infrastruttura che gli esperti Microsoft associano a una serie di campagne dannose, incluso il ransomware.

I dettagli di CVE-2021-40444 (8,8 su 10 nella scala di valutazione della vulnerabilità CVSS) sono emersi il 7 settembre dopo che i ricercatori di EXPMON hanno notificato a Microsoft un “attacco zero-day high-tech” sugli utenti di Microsoft Office. Gli esperti hanno spiegato che gli aggressori hanno sfruttato una vulnerabilità legata all’esecuzione di codice in modalità remota in MSHTML (Trident), un motore proprietario per il browser Internet Explorer che Office utilizza anche per eseguire il rendering di contenuti Web in documenti Word, Excel e PowerPoint.

Il vettore di attacco si basa su un controllo ActiveX dannoso che può essere caricato dal motore di rendering del browser utilizzando un documento di Office dannoso. Microsoft ha rilasciato una patch per la vulnerabilità come parte della sua patch prevista per il martedì di settembre.

Secondo la società, dietro gli attacchi ci sono i cluster di criminali informatici DEV-0413 e DEV-0365. Il secondo è un gruppo di criminali informatici emergente che costruisce e gestisce l’infrastruttura Cobalt Strike utilizzata negli attacchi. I primi tentativi di sfruttare la vulnerabilità di DEV-0413 risalgono al 18 agosto.

Il meccanismo di consegna dell’exploit si basa su e-mail di phishing con contratti e accordi falsi pubblicati su siti di condivisione di file. Dopo l’apertura di un documento dannoso, viene caricato un file di archivio Cabinet contenente una DLL con estensione file INF, che, dopo la decompressione, porta all’esecuzione di una funzione all’interno della DLL. A sua volta, la DLL riceve lo shellcode (loader personalizzato Cobalt Strike Beacon) dall’hosting remoto e lo carica nello strumento Microsoft per l’importazione degli indirizzi.

Tra le altre cose, secondo Microsoft, alcune delle infrastrutture utilizzate da DEV-0413 per ospitare artefatti dannosi sono state implicate anche nella consegna di malware BazaLoader e Trickbot.

Almeno un’azienda violata con successo da DEV-0413 ad agosto è stata compromessa due mesi prima dell’hacking utilizzando malware che interagiva con l’infrastruttura DEV-0365.