https://thehackernews.com/2022/01/hackers-exploited-mshtml-flaw-to-spy-on.html
「このタイプの通信では、マルウェアは正当なMicrosoftドメインにのみ接続し、疑わしいネットワークトラフィックを表示しないため、被害者のシステムで気付かれることはありません」とTrellix氏は説明します。
トレリックスの主任科学者であるクリスチャン・ビーク氏は、「この攻撃は、被害者の目立ち、最近の[セキュリティ上の欠陥]の使用、チームがこれまでに見たことのない攻撃手法の使用により、特に独特である」と述べた。
トレリックスのセキュリティ研究者であるマーク・エリアス氏は、「インフラストラクチャ、マルウェアのコーディング、運用がどのように設定されたかに基づいて、非常に熟練したアクターと取引していると確信しています」と述べています。
これは、ダビングされた第3段階のマルウェアのダウンローダーとして機能する悪意のあるバイナリを実行するために使用されます。
このマルウェアは、後続のアクティビティで脅威アクターによって広く悪用されるオープンソースのPowerShellベースのエクスプロイト後フレームワークであるEmpireを最終的にダウンロードして実行します。
「次のOneDriveは、被害者のマシンと実行中の暗号化されたコマンドと同期します。その後、要求された情報は暗号化され、攻撃者のOneDriveに返送されます。」
ハッカーがMSHTMLの欠陥を悪用して、政府および防衛の標的をスパイする、noreply @ blogger.com(Ravie Lakshmanan)
security summary
コメント