La vulnerabilità CVE-2021-40444 riguarda il motore MSHTML di Internet Explorer.
Le prime campagne che sfruttano questa vulnerabilità sono state identificate ad Agosto 2021. L’attacco ha inizio attraverso l’invio di mail malevole contenenti dei documenti creati appositamente per sfruttare la vulnerabilità di MSHTML. Il documento utilizza una relazione oleObject esterna per incorporare il codice JavaScript che è contenuto nel file html a cui fa riferimento. Tale codice causa il download di un file CAB contenete una DLL con estensione .INF, per poi eseguire la decompressone del file CAB e avviare l’esecuzione della DLL, la quale recupera lo shellcode remoto, in questo caso un Beacon di Coblat Strike, e lo carica nel processo wabmig.exe.
Microsoft Threat Intelligence Center (MSTIC) tiene traccia di un ampio gruppo di attività criminali che coinvolgono l’infrastruttura di Cobalt Strike sotto il nome di DEV-0365.
Tuttavia a causa delle significative differenze rispetto a DEV-0365, MSTIC ha raggruppato la campagna iniziale di e-mail che sfrutta la CVE-2021-40444 sotto DEV-0413. Infatti la campagna di e-mail risulta essere molto più mirata rispetto ad altra campagne malware che sono state attribuite all’infrastruttura di DEV-0365. La prima campagna aveva come target alcune organizzazioni di sviluppo di applicazioni, mandando una mail per la ricerca di un nuovo sviluppatore per un’applicazione mobile.
A inizio settembre è stata osservata una seconda campagna di mail, questa volta molto meno mirata, con oggetto una minaccia legale: ” small claims court “.
L’8 settembre è stato divulgato pubblicamente un campione di un file che sfrutta tale vulnerabilità. Da quel momento Microsoft ha osservato diversi attaccanti, tra cui gli affiliati di ransomware-as-a-service, adottare il codice proof-of-concept divulgato pubblicamente nei toolkit.