WindowsMSHTMLバグを悪用する攻撃で使用されるRyukランサムウェア

マイクロソフトのセキュリティ研究者は、セキュリティRiskIQと共同で、最近詳細でパッチが適用された脆弱性CVE-2021-40444が、悪名高いRyukランサムウェアを侵害されたシステムに展開した脅威アクターによって積極的に悪用されたと発表しました。

マイクロソフトによる今月の定期的なパッチ火曜日のセッションで詳しく説明されたCVE-2021-40444の脆弱性についてはすでに説明しました。このバグは、被害者が特別に作成されたマルウェアを含むOfficeファイルを開いたときに、WindowsMSHTMLエンジンでトリガーされるリモートコード実行の脆弱性に関するものです。ハッカーがバグを悪用できるようにするには、ファイルに悪意のあるActiveXコントロールが含まれている必要があります。

RiskIQは、攻撃はサイバー犯罪者の衣装であるWizardSpiderの仕事であると考えています。 CVE-2021-40444のパッチがないまでこの最新の悪意のあるキャンペーンターゲティングシステムで使用されていたインフラストラクチャは重複しており、Ryukランサムウェアペイロードを使用した古いキャンペーンでWizardSpiderが過去に使用したインフラストラクチャと同様のパターンを示しました。

研究者によると、ハッカーはシステムへの足がかりを得るための最初のステップとしてMSHTMLバグを悪用するだけです。この時点から、彼らはCobalt Strikeビーコンローダーを展開します。これは、WizardSpiderサーバーインフラストラクチャの残りの部分にラッチします。

この新しい攻撃は、REvilとDarkSideグループに加えて、他のランサムウェアギャングがまだそこにいることをinfosecコミュニティに思い出させるのに役立ちました。過去数か月の間、ランサムウェア攻撃に関連するすべての見出しは、常に後者の2人の脅威アクターに焦点を当てていました。これらのアクターは、おそらく長い休暇を取りました。 Ryukランサムウェアギャングが再び関連性を高め、REvilとDarkSideによって空いたスペースを埋めようとしているかどうかはまだわかりません。

CVE-2021-40444の脆弱性が攻撃に悪用されることがすでに証明されているという事実は、ネットワークとそれに接続されているすべてのデバイスに、新しい同じ日にパブリッシャーからの最新のアップデートでパッチを適用することが非常に重要であることを示しています。パッチが出ています。 MSHTMLの脆弱性に対するパッチはすでに公開されており、それを悪用してさらに成功した攻撃は完全に回避できるはずです。