【安全资讯】攻击者传播包含CVE-2021-40444漏洞的恶意文档

引言

CVE-2021-40444漏洞是一个MSHTML中的远程代码执行漏洞，MSHTML是Internet Explorer和Office文档处理程序中的浏览器渲染引擎。目前，攻击者正利用朝鲜主题相关的文件，传播包含CVE-2021-40444漏洞的文档。

简况

文档的文件名与朝鲜相关，如“促进朝中俄跨境合作指南.docx”。该漏洞利用如下图所示的外链起作用：

攻击流程如下：

• 通过 MHTML (MIME HTML) 协议访问恶意 URL
• 使用Office文档程序中的浏览器渲染引擎执行恶意JavaScript
• 下载CAB文件并在CAB文件中加载带有INF扩展名的恶意DLL文件以执行恶意行为

执行恶意操作后查看文档正文，是关于定于 11/18 举行的统一相关组织的研讨会时间表，如下图：

总结

在此次传播恶意文档的活动中，攻击者使用了CVE-2021-40444最新漏洞，此前，Magniber勒索团伙也曾利用该漏洞。此次恶意活动表明，攻击者一直在使用与朝鲜相关的诱饵主题，应用新技术试图传播恶意文件。