CVE-2021-40444 및 CVE-2022-30190 취약점 탐지: 우크라이나 국가 기관에 대한 사이버 공격에서 전달된 Cobalt Strike Beacon

Daryna Olyniychuk 탐지 시장 분석가

팔로우

Add to my AI research

악명 높은 CVE-2022-30190, 일명 Follina가 공개된 지 불과 이틀 만에, 보안 연구자들은 우크라이나의 국가 기관을 표적으로 하는 악용 공격이 진행되고 있다고 보고했습니다. 2022년 6월 2일에 CERT-UA 는 현재 진행 중인 캠페인에 대한 경고를 발행했습니다. 이 캠페인은 Cobalt Strike Beacon 멀웨어 를 확산시키기 위해 최근에 전 세계 사이버 보안 커뮤니티의 주목을 받은 Windows CVE-2021-40444 및 CVE-2022-30190 제로데이 취약점을 악용하고 있습니다.

CVE-2021-40444 및 CVE-2022-30190 악용을 통한 Cobalt Strike Beacon 제공: 피싱 공격 분석

Cobalt Strike Beacon 멀웨어가 다시 한 번 우크라이나를 표적으로 등장했습니다. 이번에는 국가 행위자들이 새로운 Follina 제로데이(CVE-2022-30190) 와 악명 높은 Microsoft MSHTML 취약점(CVE-2021-40444) 을 이용하여 우크라이나 정부를 공격하고 관심 시스템에 Cobalt Strike Beacon 로더를 설치합니다.

우크라이나 컴퓨터 대응팀(CERT-UA)에 포착된 최신 사이버 공격은 DOCX 파일이 첨부된 피싱 이메일로 시작됩니다. 이 문서는 의심하지 않는 피해자를 JavaScript 코드가 포함된 HTML 파일로 리디렉션하는 악성 URL을 포함하고 있습니다. 실행될 경우, CVE-2021-40444 및 CVE-2022-30190 취약점이 악용되어 PowerShell 명령어를 실행하고, EXE 파일을 다운로드하며, 그것으로 인해 Cobalt Strike Beacon 멀웨어로 감염됩니다.

Cobalt Strike Beacon 멀웨어는 자주 국가 후원 행위자들이 우크라이나 정부를 대상으로 한 캠페인에서 사용됩니다. CERT-UA 전문가들은 2022년 3월부터 6월까지 이러한 유형의 멀웨어를 전달하는 여러 침입 사건을 강조했습니다.

MITRE ATT&CK® 컨텍스트

우크라이나 정부 관계자에게 전파되는 Cobalt Strike Beacon에 대한 가장 최근의 피싱 사이버 공격의 컨텍스트를 이해하기 위해, 앞서 언급된 Sigma 규칙은 ATT&CK 프레임워크와 일관되어 관련 전술 및 기술을 설명합니다.

Tactics	Techniques	Sigma Rule
Initial Access	Phishing (T1566)	IOCs of Zero Day Attack Detected by EXPMON [CVE-2021-40444 Exploitation] (via proxy)
		Possible CVE-2021-40444 Exploitation (Microsoft MSHTML Remote Code Execution Vulnerability) (via image_load)
		IOCs of Zero Day Attack Detected by EXPMON [CVE-2021-40444 Exploitation] (via cmdline)
		Suspicious Microsoft Office Word Contacted Domain (via registry_event)
		CVE-2021-40444 Malicious Office Document with RCE 0-Day (via proxy)
		MSHTML Module Load in MS Office CVE-2021-40444 (via imageload)
		Exploit the CVE-2021-40444 MSHTML vulnerability (via process_creation)
		MS Office Prodcuts Spawning Control.exe
Defense Evasion	Signed Binary Proxy Execution (T1218)	CVE-2021-40444 Malicious Office Document with RCE 0-Day (via proxy)
		Control.exe Loading from World Writable Directory
		Rundll32 with Control RunDLL function
		Exploit the CVE-2021-40444 MSHTML vulnerability (via process_creation)
		Windows MSHTML 0-Day Exploited to Deploy Cobalt Strike Beacon in Targeted Attacks (CVE-2021-40444) (via process_creation)
		Possible 'Follina'/CVE-2022-30190 - a MS Office Code Execution Vulnerability Exploitation (via file_event)
		Possible 'Follina'/CVE-2022-30190 - a MS Office Code Execution Vulnerability Exploitation (via cmdline)
	Hide Artifacts (T1564)	Suspicious Files in Public User Profile (via file_event)
	Hide Artifacts (T1564)	Suspicious Execution from Public User Profile (via process_creation)
	Obfuscated Files or Information (T1027)	Microsoft MSHTML Remote Code Execution Vulnerability (CVE-2021-40444) triggered Via Office Docs
	Obfuscated Files or Information (T1027)	Possible EXOTIC LILY Execution with Microsoft MSHTML Vulnerability (CVE-2021-40444) via Rundll32
	Hijack Execution Flow (T1574)	CVE-2021-40444 Malicious Office Document with RCE 0-Day (via proxy)
	Template Injection (T1221)	CVE-2021-40444 Malicious Office Document with RCE 0-Day (via proxy)
		Palo Alto Threat Microsoft MSHTML Remote Code Execution Vulnerability [CVE-2021-40444]
		Possible 'Follina'/CVE-2022-30190 - a MS Office Code Execution Vulnerability Exploitation (via image_load)
		Possible 'Follina'/CVE-2022-30190 - a MS Office Code Execution Vulnerability Exploitation (via registry_event)
		Possible 'Follina'/CVE-2022-30190 - a MS Office Code Execution Vulnerability Exploitation (via cmdline)
		Possible 'Follina'/CVE-2022-30190 - a MS Office Code Execution Vulnerability Exploitation (via proxy)
		Possible 'Follina'/CVE-2022-30190 - a MS Office Code Execution Vulnerability Exploitation (via Diagnosis-Scripted provider)
		Palo Alto Threat Follina MS Office Zero-Day Vulnerability Exploitation [CVE-2022-30190]
	Modify Registry (T1112)	MSHTML RCE Vulnerability Detection (CVE-2021-40444)
	Modify Registry (T1112)	Windows MSHTML 0-Day Exploited to Deploy Cobalt Strike Beacon in Targeted Attacks (CVE-2021-40444) (via process_creation)
	Process Injection (T1055)	Possible EXOTIC LILY Execution with Microsoft MSHTML Vulnerability (CVE-2021-40444) via Rundll32
	Process Injection (T1055)	New PowerShortShell Exploits Microsoft MSHTML Vulnerability
Execution	Command and Scripting Interpreter (T1059)	Suspicious Hidden Powershell Execution (via cmdline)
		CVE-2021-40444 Process Pattern
		Microsoft MSHTML Remote Code Execution Vulnerability (CVE-2021-40444) triggered Via Office Docs
		Possible EXOTIC LILY Execution with Microsoft MSHTML Vulnerability (CVE-2021-40444) via Rundll32
		Attackers Bypass Patch for Critical Microsoft MSHTML Flaw (CVE-2021-40444)
	User Execution (T1204)	Suspicious Office Document to Create cab and inf File with CVE-2021-40444
	User Execution (T1204)	Office Product Writing cab or inf with CVE-2021-40444
	Exploitation for Client Execution (T1203)	CVE-2021-40444 Malicious Office Document with RCE 0-Day (via proxy)
	Exploitation for Client Execution (T1203)	Possible EXOTIC LILY Execution with Microsoft MSHTML Vulnerability (CVE-2021-40444) via Rundll32
Lateral Movement	Exploitation of Remote Services (T1210)	Palo Alto Threat Microsoft MSHTML Remote Code Execution Vulnerability [CVE-2021-40444]
Command and Control	Data Obfuscation (T1001)	Microsoft MSHTML Remote Code Execution Vulnerability (CVE-2021-40444) triggered Via Office Docs
Command and Control	Ingress Tool Transfer (T1105)	CVE-2021-40444 Malicious Office Document with RCE 0-Day (via proxy)

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입 회의 예약

More 최신 위협 Articles

XE 그룹 활동 탐지: 신용카드 스키밍에서 CVE-2024-57968 및 CVE-2025-25181 VeraCore 제로데이 취약점 악용까지

CVE-2025-0411 탐지: 러시아 사이버 범죄 조직, 우크라이나 조직을 표적으로 삼아 7-Zip의 제로데이 취약점 악용

Lumma Stealer 탐지: GitHub 인프라를 활용한 SectopRAT, Vidar, Cobeacon 및 기타 유형의 멀웨어 전파 정교한 캠페인

CVE-2021-40444 및 CVE-2022-30190 취약점 탐지: 우크라이나 국가 기관에 대한 사이버 공격에서 전달된 Cobalt Strike Beacon

CVE-2021-40444 및 CVE-2022-30190 악용을 통한 Cobalt Strike Beacon 제공: 피싱 공격 분석

최신 피싱 캠페인에서 Cobalt Strike Beacon을 탐지하기 위한 Sigma 규칙

MITRE ATT&CK® 컨텍스트

More 최신 위협 Articles