黑客利用微軟MSHTML漏洞竊取谷歌和Instagram憑證

語言: CN / TW / HK

據bleepingcomputer訊息,SafeBreach Labs 安全研究人員最新發現,伊朗黑客正在竊取谷歌和Instagram的波斯語使用者資訊。攻擊者使用的是一個基於PowerShell的資訊竊取器,安全研究人員稱之為PowerShortShell。

該資訊竊取器還用來監視 Telegram,以及從受感染的裝置中收集系統資訊。這些竊取來的資訊被髮送至攻擊者控制的伺服器。

今年7月,SafeBreach Labs 在魚叉式釣魚郵件中發現了此次攻擊,Shadow Chaser Group於9月在Twitter上對此進行了公開報道。

攻擊者利用微軟MSHTML遠端程式碼執行(RCE)漏洞(編號 CVE-2021-40444),向Windows使用者傳送惡意的Winword附件。

從受害者分佈推算攻擊者是誰?

PowerShortShell 竊取程式由下載到受感染系統上的 DLL 執行。這一程式啟動後,PowerShell 指令碼開始收集資料和螢幕快照,並將其傳送至攻擊者控制的伺服器。

“研究表明,從受害者分佈來看,接近一半的受害者位於美國。從微軟Word文件中將'科羅納大屠殺'歸咎於伊朗領導人的相關內容,以及收集的資料分析來看,我們猜測受害者可能是對伊朗伊斯蘭政權構成威脅、且生活在國外的伊朗人。”SafeBreach Labs安全研究主任Tomer Bar說。“對手可能與伊朗的伊斯蘭政權有聯絡,因為監視 Telegram是伊朗威脅者(如Infy、Ferocious Kitten和Rampant Kitten)的慣用手段。”

受害者分佈圖(SafeBreach Labs)

漏洞被廣泛利用不足為奇

微軟MSTHML的CVE-2021-40444 RCE漏洞從8月18日開始就被廣泛利用,兩週之後微軟才釋出安全公告,三週後修復漏洞的補丁才釋出出來。

最近,這一漏洞被Magniber勒索軟體團伙利用,與惡意廣告一起感染受害者,並加密他們的裝置。

微軟還表示,包括勒索軟體團伙在內的多個威脅者,都瞄準了這個Windows MSHTML RCE漏洞,通過製作帶有惡意軟體的Office文件來實現網路釣魚攻擊。這些攻擊濫用了 CVE-2021-40444 漏洞,“作為分發自定義 Cobalt Strike Beacon 載入器初始訪問活動的一部分”。

部署的信標與與幾個網路犯罪活動有關的惡意基礎設施進行通訊,包括但不限於人為操作的勒索軟體。

CVE-2021-40444 攻擊鏈(微軟)

不足為奇的是,越來越多的攻擊者正在使用 CVE-2021-40444 漏洞。因為攻擊者早在補丁釋出之前就在暗網傳播漏洞利用和驗證教程。

從其傳播的漏洞利用教程來看,具體操作很容易實現,任何人都可以利用CVE-2021-40444漏洞發起攻擊,只需一個可以將惡意文件和CAB檔案分發到受攻擊系統的Python伺服器。

參考來源:https://www.bleepingcomputer.com/news/security/hackers-exploit-microsoft-mshtml-bug-to-steal-google-instagram-creds/