Ryuk 勒索軟件用於攻擊濫用 Windows MSHTML 漏洞

微軟安全研究人員與安全 RiskIQ 合作，宣布最近詳細和修補的漏洞 CVE-2021-40444 已被威脅行為者積極利用，他們後來在受感染的系統上部署了臭名昭著的 Ryuk 勒索軟件。

我們已經介紹了 CVE-2021-40444 漏洞，微軟在本月的常規補丁星期二會議中詳細介紹了該漏洞。該漏洞涉及遠程代碼執行漏洞，當受害者打開一個特製的、帶有惡意軟件的 Office 文件時，該漏洞會在 Windows MSHTML 引擎中觸發。這些文件需要包含惡意的 ActiveX 控件，以允許黑客濫用該漏洞。

RiskIQ 認為這次攻擊是網絡犯罪組織 Wizard Spider 所為。在這個最新的惡意活動目標系統中使用的基礎設施，直到沒有針對 CVE-2021-40444 的補丁為止，它們是重疊的，並且顯示出與 Wizard Spider 過去在使用 Ryuk 勒索軟件有效載荷的舊活動中使用的基礎設施相似的模式。

據研究人員稱，黑客只是利用 MSHTML 漏洞作為第一步，在系統上站穩腳跟。從現在開始，他們部署了 Cobalt Strike 信標加載器，這些加載器可以鎖定可能是 Wizard Spider 服務器基礎設施的其餘部分。

這種新的攻擊有助於提醒信息安全社區，除了 REvil 和 DarkSide 組織之外，還有其他勒索軟件團伙仍然存在。在過去的幾個月裡，所有與勒索軟件攻擊相關的頭條新聞總是集中在後兩個威脅行為者身上，而後者據稱休了長假。 Ryuk 勒索軟件團伙是否試圖再次變得更加重要並填補 REvil 和 DarkSide 騰出的空間還有待觀察。

事實上，CVE-2021-40444 漏洞已被證明可被利用來進行危險的攻擊，這表明保持網絡和連接到它們的所有設備在新的同一天使用發布者的最新更新修補是多麼的重要。補丁出來了MSHTML 漏洞的補丁已經發布，任何進一步成功的濫用它的攻擊都應該完全可以避免。