该攻击是独一无二的,因为它利用Microsoft OneDrive作为命令和控制(C2)服务器,并分为多达六个阶段,以尽可能隐藏,Trellix-一家在安全公司McAfee Enterprise和FireEye合并后创建的新公司-在与黑客新闻分享的一份报告中说。
"这种类型的通信使恶意软件在受害者的系统中不被注意,因为它只会连接到合法的Microsoft域,而不会显示任何可疑的网络流量,"Trellix解释说。
据说,与秘密行动相关的初步活动迹象早在2021年6月18日就开始了,9月21日和29日报告了两名受害者,随后在10月6日至8日的短短三天内又报告了17名受害者。
Trellix将这些攻击适度地归因于总部位于俄罗斯的APT28组织,该组织是2020年SolarWinds妥协背后的威胁行为者,基于源代码以及攻击指标和地缘政治目标的相似性。
感染链始于执行包含MSHTML远程执行代码漏洞(CVE-2021-40444)的Microsoft Excel文件,该文件用于运行恶意二进制文件,该文件充当称为Graphite的第三阶段恶意软件的下载程序。
DLL可执行文件使用OneDrive作为C2服务器,通过Microsoft Graph API检索其他stager恶意软件,最终下载并执行Empire,这是一个基于PowerShell的开源后开发框架,被威胁行为者广泛滥用用于后续活动。
如果有的话,这一发展标志着对MSTHML渲染引擎缺陷的持续利用,微软和SafeBreach Labs披露了多个活动,这些活动已经将漏洞武器化,以植入恶意软件并分发自定义Cobalt Strike Beacon加载器。