WindowsMSHTMLバグを悪用するRyukランサムウェアアフィリエイト

マイクロソフトのセキュリティ研究者は、Windows 10システム上のMSHTMLでパッチが適用された脆弱性が、Ryukランサムウェアを使用する脅威アクターによってすでに積極的に悪用されていると警告しました。

マイクロソフトは、RiskIQのセキュリティ研究者と共同で、危険なRyukランサムウェアを使用したキャンペーンを発掘しました。ハッカーは、マイクロソフトがすでにパッチを適用しているリモートコード実行の欠陥を悪用すると、侵害されたシステムにランサムウェアのペイロードを展開します。

過去に発見された多くの同様の脆弱性と同様に、この脆弱性は、被害者が悪意のある、カスタマイズされたMicrosoftOfficeドキュメントを開いて機能する必要があります。今週火曜日の今月のパッチの前後にマイクロソフトが発行した問題とパッチについて説明しました。問題のバグにより、悪意のある攻撃者が悪意のあるActiveXコントロールをOfficeドキュメント内に埋め込んで、被害者のシステムを危険にさらすことができました。

このRyukキャンペーンの調査によると、ハッカーは最初にCVE-2021-40444 MSHTMLの脆弱性を使用し、次にCobaltStrikeビーコンローダーを展開します。ローダーは、犯罪者のインフラストラクチャと通信します。これは、過去のランサムウェア攻撃で使用されたものと同じものです。

RiskIQによると、この最新の攻撃で使用されたインフラストラクチャは、Ryukを使用し、ロシア国外で動作すると考えられているランサムウェアの衣装であるWizardSpiderによって運用されています。研究者たちは、この最新の攻撃者とWizard Spiderの間で重複していることを示すパターンとサーバーの使用に基づいて、結論を出しました。

Ryukは、今日でも使用されている最も悪名高いランサムウェアの1つです。それは2018年以来存在しており、そのオペレーターは、複数の注目を集める成功した攻撃から数百万ドルの身代金をかき集めてきました。リュークとそれを実行しているギャングは、 REvilとDarkSideグループが今年、コロニアルパイプラインや最近では、カセヤに対するREvilの攻撃を含むいくつかの注目を集める攻撃で話題を呼んだため、少し後退しました。