微软MSHTML零日漏洞被利用，部署黑客工具进行针对性攻击

微软周三披露了一项有针对性的网络钓鱼活动的细节，该活动利用其 MSHTML 平台中现已修补的零日漏洞，使用特制的 Office 文档在受感染的 Windows 系统上部署 Cobalt Strike Beacon。

根据微软威胁情报中心在一篇技术文章，这些攻击使用了该漏洞，跟踪为CVE-2021-40444，作为分发自定义 Cobalt Strike Beacon 加载器的初始访问活动的一部分。这些加载程序与微软与多个网络犯罪活动（包括人为操作的勒索软件）相关联的基础设施进行通信。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，关于 CVE-2021-40444（CVSS 评分：8.8）的详细信息于 9 月 7 日首次出现，此前 EXPMON 的研究人员向 Windows 制造商发出了利用远程代码执行漏洞针对 Microsoft Office 用户的“高度复杂的零日攻击”的警报在 MSHTML（又名 Trident）中，这是现已停产的 Internet Explorer 的专有浏览器引擎，在 Office 中用于在 Word、Excel 和 PowerPoint 文档中呈现 Web 内容。

安全研究人员指出：“观察到的攻击向量依赖于一个恶意的 ActiveX 控件，该控件可以由浏览器渲染引擎使用恶意的 Office 文档加载。” 此后，微软在一周后的 9 月 14 日补丁星期二更新中推出了针对该漏洞的修复程序。

微软将这些活动归因于它跟踪的相关网络犯罪团伙，分别为 DEV-0413 和 DEV-0365，后者是该公司对与创建和管理攻击中使用的 Cobalt Strike 基础设施相关的新兴威胁组织的绰号. DEV-0413 最早的利用尝试可以追溯到 8 月 18 日。

漏洞利用是通过电子邮件作为传播机制，冒充文件共享站点上托管的合同和法律协议。打开带有恶意软件的文档会导致下载包含带有 INF 文件扩展名的 DLL 的文件柜存档文件，该文件在解压缩时会导致在该 DLL 中执行一个函数。反过来，DLL 会检索远程托管的 shellcode——一个自定义的 Cobalt Strike Beacon 加载器——并将其加载到 Microsoft 地址导入工具中。

此外，微软表示，DEV-0413 用于托管恶意工件的一些基础设施也参与了 BazaLoader 和 Trickbot 有效载荷的交付，这是公司以代号 DEV-0193（以及 Mandiant如 UNC1878）。

安全研究人员说：“至少有一个组织在 8 月的活动中被 DEV-0413 成功攻陷，但之前曾被一波类似的恶意软件攻陷，这些恶意软件在 CVE-2021-40444 攻击发生前两个月就与 DEV-0365 基础设施进行了交互。