微軟指出,有跡象顯示歹徒正在利用 MSHTML 這項漏洞,發動勒索軟體攻擊。資安廠商 SafeBreach Labs 旗下的研究人員,日前發布資安通報指出,近期新發現一個可能主要來自伊朗的駭侵團體,利用 Windows 系統已知的一個 MSHTML 解析漏洞,針對全球對象發動攻擊,竊取其 Google 與 Instagram 的登入資訊。
微軟於9月7日公布編號 CVE-2021-40444 的 Windows 重大漏洞,警告已有開採活動,同時提供關閉 Active X 控制項的緩解指示。隨後在 Patch Tuesday 釋出安全更新解決這項漏洞後,微軟威脅情報中心提供詳細分析。
SafeBreach Labs 指出,該駭侵團體主要的攻擊手法,是利用魚叉式釣魚信件,攻擊者藉由傳送惡意 Office 文件誘使用戶開啟,該文件檔案中的巨集程式碼,會利用一個 MSHTML 遠端執行任意程式碼漏洞 CVE-2021-40444 安裝惡意程式碼,網頁中的 Active X 控制項會下載惡意程式到用戶電腦,並且透過植入的 PowerShell 指令檔收集受害者電腦中的各種機敏資訊,包括儲存資料與螢幕畫面等,送到駭侵者的控制伺服器中。
微軟指出,這些下載器或 Beacon 連接的網路基礎架構和多個犯罪活動有關,包括一個人為操作的勒索軟體。微軟推測這個是一個犯罪服務(C&C infrastructure as a service),可用於散布Conti勒索軟體。此外,另一些下載器則用以散布殭屍網路程式 TrickBot 或木馬程式 BazaLoader,微軟判斷它和安全廠商 Mandiant 稱之為UNC 1878 或 Wizard Spider(Trickbot 製作者)有關。微軟判斷利用 Cobalt Strike Beacon 形成的網路至少有 3 波不同攻擊行動,其中至少一間企業前後遭到 2 波不同攻擊。
攻擊活動,是從 2021 年七月開始發動,攻擊目標遍及全球各地;目前以美國的受害者最多,佔比達 45.8%,其次是荷蘭(12.5%)、俄羅斯、加拿大、德國(同為 8.3%)、中國、韓國、英國、印度(同為 4.2%)。
資安專家指出,雖然在 CVE-2021-40444 這個漏洞在 2021 年 8 月公開後不到一個月,微軟就推出兩波修補程式,但可能仍有相當數量的 Windows 系統未曾套用更新,導致許多駭侵攻擊活動均透過此漏洞來發動攻擊。
微軟呼籲使用者安裝 Patch Tuesday 安全更新,以防止攻擊者後續行動,也建議用戶執行最新版作業系統,並開啟自動更新功能,以獲取最新版安全修補程式。其他建議包括啟動防毒、 端點防護 ,並且使用裝置管理產品以發現內部網路中未列管的裝置等。
Comments are closed, but trackbacks and pingbacks are open.