聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
SafeBreach Labs 的研究人员发现新型伊朗威胁组织使用一款基于 PowerShell 的窃取工具 PowerShortShell,攻击全球讲波斯语的谷歌和 Instagram 用户凭据。
PowerShortShell 也用于实施Telegram 监控并从受陷设备窃取收集系统信息,这些受陷设备和被盗凭据被一起发送给受攻击者控制的服务器。SafeBreach Labs 发现这些攻击始于7月份,以鱼叉式钓鱼邮件的形式启动。攻击者将利用 Microsoft MSHTML 远程代码执行漏洞 (CVE-2021-40444) 的恶意 WInword 附件发送给 Windows 用户。PowerShell 窃取器 payload 由下载在受陷系统上的DLL执行。一旦启动,PowerShell 脚本开始收集数据和截屏,将其提取到攻击者的命令和控制服务器。
SafeBreach Labs 的安全研究总监 Tomer Bar 指出,“几乎一半受害者位于美国。从微软 Word 文档内容(指责伊朗领导人发动”科罗纳大屠杀“以及所收集数据的性质)来看,我们认为受害者可能是在国外生活并被视作伊朗政权威胁的伊朗人。攻击者可能和伊朗政权之间存在关联,因为多个伊朗威胁组织如 Infy、Ferocious Kitten 和 Rampant Kitten 都会使用 Telegram 监控。”
CVE-2021-40444 RCE 漏洞影响IE浏览器的 MSTHML 渲染引擎,已从8月18日开始遭在野利用,离微软发布部分补丁还有两周多的时间,距离微软发布正式补丁还有三周的时间。
近期,Magniber 勒索团伙组合利用恶意广告,通过恶意软件感染目标并加密设备。微软也表示多个威胁组织如勒索团伙通过钓鱼攻击利用恶意构造的 Office 文档利用该漏洞。这些攻击滥用CVE-2021-40444 “作为分发自定义 Cobalt Strike Beacon 加载器的初始访问攻击的一部分”。
部署的beacon 和通过多起网络犯罪活动的恶意基础设施通信,包括但不限于人工操纵的勒索软件。
由于在补丁发布前,威胁组织就开始在黑客论坛上共享教程和PoC exploit,因此越来越多的攻击者正在利用 CVE-2021-40444。这可能导致其它威胁组织和团伙开始在自身攻击中利用该漏洞。由于这些信息很容易在网上获取,因此任何人均可创建自己的CVE-2021-40444 exploit 的版本,包括可向受陷系统分发恶意文档和CAB文件的Python服务器。BleepingComputer 据此成功在15分钟内重现了该 exploit。
推荐阅读
微软发布紧急更新,修复了多个 Windows Server 身份验证问题
谈谈我们如何发现 VMware vCenter 的越权 RCE
原文链接
https://www.bleepingcomputer.com/news/security/hackers-exploit-microsoft-mshtml-bug-to-steal-google-instagram-creds/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
976
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
