Нападателите на Ransomware са насочени към разработчиците на приложения със злонамерени документи на Office, казва Microsoft

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Microsoft описа подробно как наскоро е видял хакери, използващи опасна уязвимост от отдалечено изпълнение на кода в MSHTML, известен също като Trident, за изобразяване на Internet Explorer чрез фалшиви документи на Office и целеви разработчици.

Изследователите по сигурността на Microsoft откриха, че недостатъкът се използва активно в системите на Windows през август и тази седмица актуализацията на Patch Tuesday включва кръпка за неизвестната досега грешка, проследена като CVE-2021-40444.

Атаките не бяха широко разпространени и уязвимостта беше използвана като част от атака на ранен етап, която разпространяваше персонализирани товарачи на Cobalt Strike Beacon. Cobalt Strike е инструмент за тестване на проникване.

ВИЖ: Не искате да бъдете хакнати? След това избягвайте тези три „изключително опасни“ грешки в киберсигурността

Вместо работата на спонсорирани от държавата хакери, Microsoft установи, че товарачите са комуникирани с инфраструктура, която свързва с няколко киберпрестъпни кампании, включително управляван от хора ransomware, според анализа на атаките на Microsoft.

Примамката за социално инженерство, използвана в някои от атаките, предполагаща елемент на умишлено насочване, Microsoft каза: „Кампанията има за цел да търси разработчик за мобилно приложение, като са насочени множество организации за разработка на приложения.“

Най -малко една организация, която беше успешно компрометирана от тази кампания, преди това беше компрометирана от вълна от злонамерен софтуер с подобна тематика, каза Microsoft. В по -късна вълна от дейности обаче примамката се промени от насочена към разработчиците на приложения към правна заплаха „съд за малки искове“.

В този случай нападателите са използвали недостатък на двигателя за изобразяване на IE, за да заредят злонамерен ActiveX контрол чрез документ на Office.

Въпреки че атаката получава достъп до засегнатите устройства, нападателите все още разчитат на кражба на идентификационни данни и странично придвижване, за да засегнат цялата организация. Microsoft препоръчва на клиентите да прилагат корекцията във вторник, за да смекчат напълно уязвимостта, но също така препоръчва да се втвърди мрежата, да се почистят ключовите идентификационни данни и да се предприемат стъпки за смекчаване на страничното движение.

ВИЖ: Половината от бизнеса не могат да забележат тези признаци на вътрешни заплахи за киберсигурността

Microsoft смята, че тази атака е дело на нововъзникващ или „развиващ се“ участник в заплахата и проследява използването на инфраструктурата на Cobalt Strike като DEV-0365. Изглежда, че се управлява от един оператор. Microsoft обаче вярва, че последващите дейности, например, доставят откупващия софтуер Conti. Софтуерният гигант предполага, че това може да бъде инфраструктура за управление и управление, която се продава като услуга на други киберпрестъпници.

„Част от инфраструктурата, която бе домакин на oleObjects, използвани при атаките през август 2021 г., злоупотребяващи с CVE-2021-40444, също бяха включени в доставката на полезни товари на BazaLoader и Trickbot-дейност, която се припокрива с група Microsoft, която проследява като DEV-0193. Дейности на DEV-0193 се припокриват с действия, проследени от Mandiant като UNC1878 “, отбелязва Microsoft.

Зловредният софтуер BazaLoader е бил използван от злонамерени оператори на кол центрове, които използват социалното инженерство, за да измамят целите, за да извикат оператори, които се опитват да подмамят жертвите да инсталират доброволно зловреден софтуер. Групите не използват злонамерени връзки в имейли, достигащи до цели, като по този начин заобикалят общите правила за филтриране на имейли.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •