Osoby atakujące za pomocą ransomware wzięły sobie na cel twórców aplikacji. Według Microsoft trzeba uważać na złośliwe dokumenty pakietu Office.

Już załatane – o ile aktualizujesz Windowsa regularnie

Microsoft opisał, w jaki sposób hakerzy wykorzystywali ostatnio wykrytą, niebezpieczną lukę w silniku renderowania MSHTML (tzw. Trident) przeglądarki Internet Explorer do zdalnego wykonywania kodu. Używają do tego specjalnie spreparowanych dokumentów MS Office a za cel obierają sobie… programistów.

Badacze bezpieczeństwa Microsoftu w sierpniu odkryli, że dziura jest aktywnie wykorzystywana w systemach Windows a zaaplikowana w tym tygodniu aktualizacja Patch Tuesday zawierała poprawkę dla nieznanego wcześniej błędu, oznaczonego jako CVE-2021-40444.

Oferta pracy jako przynęta

Ataki nie były jakoś specjalnie szeroko zakrojone, a luka została wykorzystana jako jedynie część ataku w jego wczesnej fazie. Atak polegał na rozprowadzeniu niestandardowych programów ładujących Cobalt Strike Beacon. Cobalt Strike jest narzędziem do przeprowadzania testów penetracyjnych.

Zgodnie z analizą ataków przeprowadzoną przez Microsoft, loadery te nie były dziełem sponsorowanych przez państwo hakerów. Komunikowały się one z infrastrukturą znajdującą się w posiadaniu cyberprzestępców, którą Microsoft łączy z kilkoma wcześniejszymi kampaniami ransomware.

Przynęta socjotechniczna użyta w niektórych atakach sugeruje element celowego namierzania (targetingu). Według Microsoftu rzekomo poszukiwano dewelopera aplikacji mobilnej, a celem ataku było wiele organizacji zajmujących się tworzeniem aplikacji.

Znowu to nieszczęsne IE

Napastnicy wykorzystywali błąd w silniku renderującym IE do załadowania złośliwej kontrolki ActiveX za pośrednictwem dokumentu Office. Pomimo uzyskania dostępu do zaatakowanych urządzeń, napastnicy nadal polegali na wykradaniu danych uwierzytelniających i przemieszczaniu się po sieci, do której uzyskali dostęp, tak aby wpłynąć na całą firmę. Microsoft zaleca klientom zastosowanie wtorkowej poprawki, aby w pełni zniwelować lukę, ale rekomenduje także wyczyszczenie (reset) kluczowych danych uwierzytelniających.

Microsoft uważa, że atak ten jest dziełem nowego lub „rozwijającego się” zagrożenia i śledzi wykorzystanie infrastruktury Cobalt Strike pod symbolem DEV-0365. Wydaje się, że jest ona obsługiwana przez tylko jednego operatora. Microsoft uważa jednak, że nastąpią także dalsze działania, na przykład dostarczenie ransomware Conti. Gigant z Redmont sugeruje, że może to być infrastruktura dowodzenia i kontroli (command & control), która jest potem sprzedawana jako usługa dla innych cyberprzestępców.

Niektóre z infrastruktur, które hostowały oleObjects wykorzystywane w atakach z sierpnia 2021 roku nadużywających CVE-2021-40444, były również zaangażowane w dostarczanie BazaLoader i Trickbot. Jest to aktywność, która pokrywa się z działaniami grupy, którą Microsoft już śledzi jako DEV-0193. Działania DEV-0193 pokrywają się z działaniami śledzonymi przez Mandiant jako UNC1878.

Inne wektory ataku? Telefon.

BazaLoader to złośliwe oprogramowanie wykorzystywane przez operatorów centrów telefonicznych, którzy wykorzystują socjotechnikę do nakłaniania swoich potencjalnych ofiar do nawiązania połączenia z innymi operatorami, którzy z kolei próbują nakłonić te ofiary do dobrowolnego zainstalowania złośliwego oprogramowania. Grupy te nie używają złośliwych odsyłaczy w wiadomościach e-mail wysyłanych do celów, omijając w ten sposób powszechnie stosowane zasady filtrowania poczty elektronicznej. W TeamQuest trzymamy rękę na pulsie i ostrzegaliśmy Was już o tej praktyce.