CVE-2021-40444とCVE-2022-30190のエクスプロイト検出：ウクライナ国家機関へのサイバー攻撃で配信されたCobalt Strikeビーコン

Daryna Olyniychuk 検出マーケットアナリスト

フォローする

Add to my AI research

悪名高いCVE-2022-30190こと Follinaが公開されたわずか2日後、セキュリティ研究者はウクライナの国家機関を標的とした攻撃が野外で行われていることを報告しました。2022年6月2日、 CERT-UA は、 Cobalt Strike Beaconマルウェアを広める継続的なキャンペーンの警告を発行しました。

Cobalt Strike Beaconを配信するためのCVE-2021-40444およびCVE-2022-30190の悪用：フィッシング攻撃分析

Cobalt Strike Beaconマルウェアが再びウクライナを標的に現れます。今回は国家規模の攻撃者が新たな Follinaゼロデイ（CVE-2022-30190）および悪名高い Microsoft MSHTMLの欠陥（CVE-2021-40444）を利用してウクライナ政府に対する攻撃を続行し、Cobalt Strike Beaconローダーを関心のあるシステムに展開します。

ウクライナのコンピュータ緊急対応チームによって発見された最新のサイバー攻撃は、DOCXファイルを添付したフィッシングメールから始まります。ドキュメントには、JavaScriptコードが埋め込まれたHTMLファイルに無警戒な被害者をリダイレクトする悪意のあるURLが含まれています。実行されると、CVE-2021-40444およびCVE-2022-30190の脆弱性が悪用され、PowerShellコマンドを起動し、EXEファイルをダウンロードし、標的インスタンスにCobalt Strike Beaconマルウェアを感染させます。

Cobalt Strike Beaconマルウェアは、ウクライナ政府を対象にしたキャンペーンで国家支援のアクターによって頻繁に使用されています。 CERT-UAの専門家は、2022年3月から6月にかけてこのタイプのマルウェアを配信する複数の侵入を強調しました。

MITRE ATT&CK®コンテキスト

ウクライナ政府の当局者に対して広がるCobalt Strike Beaconを伴う最新のフィッシングサイバー攻撃のコンテキストへの洞察を得るために、上記のSigmaルールはATT&CKフレームワークに準拠し、関連する戦術と技術に対処しています：

Tactics	Techniques	Sigma Rule
Initial Access	Phishing (T1566)	IOCs of Zero Day Attack Detected by EXPMON [CVE-2021-40444 Exploitation] (via proxy)
		Possible CVE-2021-40444 Exploitation (Microsoft MSHTML Remote Code Execution Vulnerability) (via image_load)
		IOCs of Zero Day Attack Detected by EXPMON [CVE-2021-40444 Exploitation] (via cmdline)
		Suspicious Microsoft Office Word Contacted Domain (via registry_event)
		CVE-2021-40444 Malicious Office Document with RCE 0-Day (via proxy)
		MSHTML Module Load in MS Office CVE-2021-40444 (via imageload)
		Exploit the CVE-2021-40444 MSHTML vulnerability (via process_creation)
		MS Office Prodcuts Spawning Control.exe
Defense Evasion	Signed Binary Proxy Execution (T1218)	CVE-2021-40444 Malicious Office Document with RCE 0-Day (via proxy)
		Control.exe Loading from World Writable Directory
		Rundll32 with Control RunDLL function
		Exploit the CVE-2021-40444 MSHTML vulnerability (via process_creation)
		Windows MSHTML 0-Day Exploited to Deploy Cobalt Strike Beacon in Targeted Attacks (CVE-2021-40444) (via process_creation)
		Possible 'Follina'/CVE-2022-30190 - a MS Office Code Execution Vulnerability Exploitation (via file_event)
		Possible 'Follina'/CVE-2022-30190 - a MS Office Code Execution Vulnerability Exploitation (via cmdline)
	Hide Artifacts (T1564)	Suspicious Files in Public User Profile (via file_event)
	Hide Artifacts (T1564)	Suspicious Execution from Public User Profile (via process_creation)
	Obfuscated Files or Information (T1027)	Microsoft MSHTML Remote Code Execution Vulnerability (CVE-2021-40444) triggered Via Office Docs
	Obfuscated Files or Information (T1027)	Possible EXOTIC LILY Execution with Microsoft MSHTML Vulnerability (CVE-2021-40444) via Rundll32
	Hijack Execution Flow (T1574)	CVE-2021-40444 Malicious Office Document with RCE 0-Day (via proxy)
	Template Injection (T1221)	CVE-2021-40444 Malicious Office Document with RCE 0-Day (via proxy)
		Palo Alto Threat Microsoft MSHTML Remote Code Execution Vulnerability [CVE-2021-40444]
		Possible 'Follina'/CVE-2022-30190 - a MS Office Code Execution Vulnerability Exploitation (via image_load)
		Possible 'Follina'/CVE-2022-30190 - a MS Office Code Execution Vulnerability Exploitation (via registry_event)
		Possible 'Follina'/CVE-2022-30190 - a MS Office Code Execution Vulnerability Exploitation (via cmdline)
		Possible 'Follina'/CVE-2022-30190 - a MS Office Code Execution Vulnerability Exploitation (via proxy)
		Possible 'Follina'/CVE-2022-30190 - a MS Office Code Execution Vulnerability Exploitation (via Diagnosis-Scripted provider)
		Palo Alto Threat Follina MS Office Zero-Day Vulnerability Exploitation [CVE-2022-30190]
	Modify Registry (T1112)	MSHTML RCE Vulnerability Detection (CVE-2021-40444)
	Modify Registry (T1112)	Windows MSHTML 0-Day Exploited to Deploy Cobalt Strike Beacon in Targeted Attacks (CVE-2021-40444) (via process_creation)
	Process Injection (T1055)	Possible EXOTIC LILY Execution with Microsoft MSHTML Vulnerability (CVE-2021-40444) via Rundll32
	Process Injection (T1055)	New PowerShortShell Exploits Microsoft MSHTML Vulnerability
Execution	Command and Scripting Interpreter (T1059)	Suspicious Hidden Powershell Execution (via cmdline)
		CVE-2021-40444 Process Pattern
		Microsoft MSHTML Remote Code Execution Vulnerability (CVE-2021-40444) triggered Via Office Docs
		Possible EXOTIC LILY Execution with Microsoft MSHTML Vulnerability (CVE-2021-40444) via Rundll32
		Attackers Bypass Patch for Critical Microsoft MSHTML Flaw (CVE-2021-40444)
	User Execution (T1204)	Suspicious Office Document to Create cab and inf File with CVE-2021-40444
	User Execution (T1204)	Office Product Writing cab or inf with CVE-2021-40444
	Exploitation for Client Execution (T1203)	CVE-2021-40444 Malicious Office Document with RCE 0-Day (via proxy)
	Exploitation for Client Execution (T1203)	Possible EXOTIC LILY Execution with Microsoft MSHTML Vulnerability (CVE-2021-40444) via Rundll32
Lateral Movement	Exploitation of Remote Services (T1210)	Palo Alto Threat Microsoft MSHTML Remote Code Execution Vulnerability [CVE-2021-40444]
Command and Control	Data Obfuscation (T1001)	Microsoft MSHTML Remote Code Execution Vulnerability (CVE-2021-40444) triggered Via Office Docs
Command and Control	Ingress Tool Transfer (T1105)	CVE-2021-40444 Malicious Office Document with RCE 0-Day (via proxy)

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加ミーティングを予約

More 最新の脅威 Articles

2月 11/2025 6 分で読めます最新の脅威 XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで by Veronika Zahorulko

CVE-2025-0411 検出: ロシアのサイバー犯罪グループ、ゼロデイ脆弱性を利用してウクライナ組織を標的に

1月 31/2025 7 分で読めます最新の脅威 Lumma Stealer 検出: GitHub インフラを使用して SectopRAT、Vidar、Cobeacon およびその他のマルウェアを拡散する洗練されたキャンペーン by Veronika Zahorulko

CVE-2021-40444とCVE-2022-30190のエクスプロイト検出：ウクライナ国家機関へのサイバー攻撃で配信されたCobalt Strikeビーコン

Cobalt Strike Beaconを配信するためのCVE-2021-40444およびCVE-2022-30190の悪用：フィッシング攻撃分析

最新のフィッシングキャンペーンでCobalt Strike Beaconを検出するためのシグマルール

MITRE ATT&CK®コンテキスト

More 最新の脅威 Articles