Ryuk 勒索软件用于攻击滥用 Windows MSHTML 漏洞

微软安全研究人员与安全 RiskIQ 合作，宣布最近详细和修补的漏洞 CVE-2021-40444 已被威胁行为者积极利用，他们后来在受感染的系统上部署了臭名昭著的 Ryuk 勒索软件。

我们已经介绍了 CVE-2021-40444 漏洞，微软在本月的常规补丁星期二会议中详细介绍了该漏洞。该漏洞涉及远程代码执行漏洞，当受害者打开一个特制的、带有恶意软件的 Office 文件时，该漏洞会在 Windows MSHTML 引擎中触发。这些文件需要包含恶意的 ActiveX 控件，以允许黑客滥用该漏洞。

RiskIQ 认为这次攻击是网络犯罪组织 Wizard Spider 所为。在这个最新的恶意活动目标系统中使用的基础设施，直到没有针对 CVE-2021-40444 的补丁为止，它们是重叠的，并且显示出与 Wizard Spider 过去在使用 Ryuk 勒索软件有效载荷的旧活动中使用的基础设施相似的模式。

据研究人员称，黑客只是利用 MSHTML 漏洞作为第一步，在系统上站稳脚跟。从现在开始，他们部署了 Cobalt Strike 信标加载器，这些加载器可以锁定可能是 Wizard Spider 服务器基础设施的其余部分。

这种新的攻击有助于提醒信息安全社区，除了 REvil 和 DarkSide 组织之外，还有其他勒索软件团伙仍然存在。在过去的几个月里，所有与勒索软件攻击相关的头条新闻总是集中在后两个威胁行为者身上，而后者据称休了长假。 Ryuk 勒索软件团伙是否试图再次变得更加重要并填补 REvil 和 DarkSide 腾出的空间还有待观察。

事实上，CVE-2021-40444 漏洞已被证明可被利用来进行危险的攻击，这表明保持网络和连接到它们的所有设备在新的同一天使用发布者的最新更新修补是多么的重要。补丁出来了MSHTML 漏洞的补丁已经发布，任何进一步成功的滥用它的攻击都应该完全可以避免。