0xNews - MS 윈도우 MSHTML 제로데이를 통한 코발트 스트라이크 공격 배포 분석 발표
0xNews - MS 윈도우 MSHTML 제로데이를 통한 코발트 스트라이크 공격 배포 분석 발표 MS 위협 인텔리전스 센터 발표 https://www.microsoft.com/security/blog/2021/09/15/analyzing-attacks-that-exploit-the-mshtml-cve-2021-40444-vulnerability/ MS 윈도우 시스템에 코발트 스트라이크 비콘 Cobalt Strike Beacon 배포를 위해 특별히 만들어진 오피스 문서를 사용 현재 패치된 MSHTML 플랫폼의 제로데이 취약점을 활용한 표적 피싱 캠페인 정보 공개 CVE-2021-40444 로 지정 CVSS 8.8 표적을 공격하기 위한 맞춤형 코발트 스트라이크 비콘 로더를 배포한 초기 취약점 공격 핵심으로 사용 이 로더 Loader 는 MS 가 공격자가 운영하는 랜섬웨어를 비롯한 여러 사이버 공격 캠페인과 연관된 인프라와 통신 9월 7일 최초 공격 확인 이 취약점은 원격 코드 실행 RCE Remote Code Execution 이용하여 MS 오피스 사용자를 겨냥한 매우 정교한 제로데이 공격 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444 현재는 단종된 MS 인터넷 익스플로러용 독점 브라우저 엔진인 MSHTML(Trident 라고도 함)을 통해 오피스에서 워드, 엑셀, 파워포인트 문서 내에서 웹 콘텐츠를 렌더링하는데 사용 확인된 공격 백터는 악의적인 오피스 문서를 사용 브라우저 렌더링 엔진에 의해 로드될 수 있는 악의적인 액티브엑스 ActiveX 컨트롤에 의존 MS 는 해당 공격 확인 후 9월 14일 취약점 패치와 수정 내용 발표 MS 는 임의로 지정한 코드네임 DEV-0413, DEV-0365 를 이번 공격의 핵심으로 지목 이중 DEV-0365 는 공격에 사용된 코발트 스트라이크 인프라 생성과 관리에 관련된 신규 위협 그룹과 밀첩한 관련이 있는 것으로 분석 8월 18일 DEV-0413 으로