Defecto MSHTML de Microsoft explotado por Ryuk Ransomware Gang - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Defecto MSHTML de Microsoft explotado por Ryuk Ransomware Gang

Hola y mil gracias por leerme. Te escribe Eduardo Arroyo y hoy te voy a hablar sobre Defecto MSHTML de Microsoft explotado por Ryuk Ransomware Gang

Defecto MSHTML de Microsoft explotado por Ryuk Ransomware Gang

Investigadores de Microsoft y RiskIQ identificaron varias campañas que utilizan el día cero actualizado recientemente, reiterando un llamado a las organizaciones para que actualicen los sistemas afectados.

Los criminales detrás del ransomware Ryuk fueron los primeros en explotar la falla de Windows MSHTML, explotando activamente el error en campañas antes de un parche lanzado por Microsoft esta semana.

La investigación colaborativa de Microsoft y RiskIQ reveló las primeras campañas de los actores de amenazas de Ryuk que explotaron la falla, descrita como CVE-2021-40444. El error es una vulnerabilidad de ejecución remota de código (RCE) en Windows que permite a los atacantes crear documentos maliciosos de Microsoft Office. Los dos liberado informes separados Online esta semana para ver quién usó la falla, que se puede usar para ocultar un control ActiveX malicioso en un documento de Office, en ataques, así como sus posibles conexiones con grupos criminales conocidos.

En particular, la mayoría de los ataques investigados por los investigadores utilizaron MSHTML como parte de una campaña de inicio de sesión inicial que distribuía cargadores Cobalt Strike Beacon personalizados, que se comunicaban con la infraestructura asociada con múltiples campañas de ciberdelincuentes, incluido el ransomware impulsado por humanos, investigadores de Microsoft 365. por el equipo de Defender Threat Intelligence en Microsoft Threat Intelligence Center (MSTIC).

RiskIQ ha identificado la infraestructura de ransomware como potencialmente perteneciente al sindicato criminal de habla rusa Wizard Spider, conocido por mantener y distribuir el ransomware Ryuk.

“Basándonos en múltiples patrones de superposición en la configuración y el uso de la infraestructura de red, evaluamos con gran confianza que los operadores detrás de la campaña de día cero están utilizando infraestructura afiliada a Wizard Spider (CrowdStrike) y / o grupos UNC1878 relacionados (FireEye / Mandiant) y Ryuk (público), que continúa utilizando el malware Ryuk / Conti y BazaLoader / BazarLoader en campañas de ransomware dirigidas ”, escribió el equipo Atlas de RiskIQ en su análisis.

Microsoft ha dejado de identificar específicamente a los actores de amenazas que se observaron explotando la falla de MSHTML, en lugar de referirse a los autores no identificados como «grupos de desarrollo» usando el prefijo «DEV» y un número para indicar un grupo de amenaza emergente.

En su análisis, la empresa cita la actividad de tres grupos DEV desde agosto que se ha observado en ataques que explotan CVE-2021-40444: DEV-0365, DEV-0193 y DEV-0413.

La infraestructura que la compañía asocia con DEV-0365 se utilizó en las campañas Cobalt Strike y la actividad posterior, lo que indica «múltiples actores o grupos de amenazas asociados con ataques de ransomware operados por humanos (incluida la distribución de ransomware Conti)», según los investigadores. Sin embargo, DEV-0365 potencialmente solo podría estar involucrado como una infraestructura de comando y control como un servicio para los ciberdelincuentes, dijo la compañía.

«Además, parte de la infraestructura que aloja los oleObjects utilizados en los ataques de agosto de 2021 que abusaron de CVE-2021-40444 también estuvo involucrada en la entrega de cargas útiles de BazaLoader y Trickbot, actividad que se superpone a un grupo que Microsoft rastrea como DEV-0193», el equipo dijo.

Microsoft atribuyó otra campaña que utiliza la vulnerabilidad a un grupo identificado como DEV-0413. Esta campaña es «más pequeña y más dirigida que otras campañas de malware que hemos identificado utilizando la infraestructura DEV-0365» y se vio explotando la falla ya el 18 de agosto.

La campaña utilizó un señuelo de ingeniería social en consonancia con las operaciones comerciales de las organizaciones objetivo, «lo que sugiere cierto grado de focalización dirigida», señaló la empresa.

«La campaña pretendía buscar un desarrollador para una aplicación móvil, con múltiples organizaciones de desarrollo de aplicaciones específicas», escribieron. «En la mayoría de los casos, se ha abusado de los servicios de intercambio de archivos para entregar el cargo de señuelo de CVE-2021-40444».

Microsoft reveló por primera vez la vulnerabilidad de día cero de MSHTML el 7 de septiembre, uniéndose a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) para alertar a las organizaciones sobre el error e instar a mitigaciones en avisos separados publicados ese día.

La vulnerabilidad permite a un atacante crear un control ActiveX malicioso que puede ser utilizado por un documento de Microsoft Office que aloja el motor de renderizado del navegador, según Microsoft.
Alguien tendría que abrir el documento malicioso para que un ataque tenga éxito, dijo la compañía. Esta es la razón por la que los atacantes usan campañas de correo electrónico con cebos que parecen relevantes para sus objetivos con la esperanza de lanzar documentos incrustados, dijeron los investigadores.

De hecho, al menos una de las campañas que observaron los investigadores de Microsoft incluyó correos electrónicos que se hacen pasar por contratos y acuerdos legales para tratar de engañar a las víctimas para que abran documentos para distribuir la carga útil.

Si bien no es del todo seguro si Wizard Spider está detrás de algunos de estos primeros ataques, está claro que los operadores de ransomware están interesados ​​en explotar la falla de MSHTML, según RiskIQ.

Sin embargo, en este punto, «asumimos que ha habido un despliegue limitado de este día cero», escribieron los investigadores. Esto significa que incluso si los delincuentes de ransomware conocidos están involucrados en los ataques, la distribución de ransomware puede no ser el objetivo final de las campañas, anotaron.

«En cambio, evaluamos con una confianza media que el objetivo de los operadores detrás del día cero puede ser, de hecho, el espionaje tradicional», escribió el equipo Atlas de RISKIQ. «Este objetivo podría fácilmente quedar eclipsado por una implementación de ransomware y fusionarse con la ola actual de ataques de ransomware dirigidos».

No importa, las organizaciones deberían aprovechar el parche de Microsoft lanzado esta semana para la vulnerabilidad y actualizar sus sistemas ahora antes de que ocurran más ataques, reiteró la compañía. «Se aconseja a los clientes que apliquen parche de seguridad para CVE-2021-40444 para mitigar completamente esta vulnerabilidad «, escribió el equipo de MSTIC.

Regla No. Seguridad de Linux n. ° 1: Ninguna solución de ciberseguridad es viable si no tiene los conceptos básicos. PALO Profesionales de seguridad de Threatpost y Linux en Uptycs para un panel de discusión EN VIVO sobre el 4 reglas de oro de la seguridad de Linux. ¡Su principal punto de partida será una hoja de ruta de Linux para obtener las bases correctas! SUSCRÍBASE AHORA y únete Evento EN VIVO el 29 de septiembre al mediodía EST. Junto a Threatpost están Ben Montour y Rishi Kant de Uptycs, quienes lo guiarán a través de las mejores prácticas de seguridad de Linux y responderán sus preguntas más urgentes en tiempo real.

.

Puedes compartir en tu Facebook para que tus amigos lo lean

??? ? ? ???

Comparte