聚焦源代码安全,囊括国内外最新信息!
编译:代码卫士
安全实验室的研究人员发现,新的伊朗威胁组织使用基于PowerShell的盗窃工具PowerShortShell攻击全球说波斯语的谷歌和Instagram的用户凭据。
PowerShortShell还用于实现Telegram监视,从发送到攻击者管理的服务器的陷阱设备中窃取收集系统信息。 安全死神发现这些攻击始于7月,于是以锐利式钓鱼邮件的形式开始。 攻击者使用Microsoft MSHTML远程代码执行漏洞(CVE-2021-40444 )向Windows用户发送恶意WInword附件。 PowerShell窃听器payload由下载到陷阱系统的DLL运行。 启动后,PowerShell脚本将启动数据收集和截图,并提取到攻击者的命令和控制服务器。
安全实验室安全研究负责人Tomer Bar表示:“几乎一半的受害者都在美国。 根据微软Word文件的内容(伊朗领导人指责发动“冠状病毒大屠杀”,收集的数据性质),他认为受害者可能是在海外生活,被视为伊朗政权威胁的伊朗人。 攻击者可能与伊朗政权有关。 这是因为许多伊朗威胁组织(如Infy、Ferocious Kitten和Rampant Kitten )都在使用Telegram进行监视。 ”
CVE-2021-40444 RCE漏洞影响IE浏览器的MSTHML渲染引擎从8月18日开始在现场使用,距离微软发布部分修补程序还有两周多,微软发布正式修补程序
最近,Magniber恐吓集团利用恶意广告,通过恶意软件感染目标并对设备进行加密。 微软还表示,勒索集团等多个威胁组织通过钓鱼攻击利用了恶意结构的Office文档来利用这一漏洞。 这些攻击被CVE-2021-40444“作为分发自定义Cobalt Strike Beacon加载程序的初始访问攻击的一部分”滥用。
部署的beacon通过许多网络犯罪活动与恶意基础设施进行通信,包括但不限于手动操作威胁软件。
在修补程序发布之前,由于威胁组织开始在黑客论坛上与教程共享PoC exploit,越来越多的攻击者使用CVE-2021-40444。 结果,其他威胁组织和集团可能开始利用这个漏洞进行他们的攻击。 这些信息在互联网上很容易获得,因此任何人都可以创建自己的CVE-2021-40444 exploit版本。 这包括Python服务器,可以将恶意文档和CAB文件分发到陷阱系统。 由此,BleepingComputer在15分钟内成功再现了该exploit。
推荐阅读
Microsoftexchange服务器被内部邮件回复链攻击滥用
微软提请注意这六个不断进化的伊朗黑客组织
微软发布了紧急更新,修复了多个windows服务器认证问题
谈谈如何发现VMware vCenter越权RCE
原文链接
33559 www.bleeping computer.com/news/security/hackers-exploit-Microsoft-mshtml-bug-to-steal-gooogle-in
标题: pix abay许可证
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内第一条专门开发软件的安全产品线。
觉得好的话,就点“看着”或者“赞不绝口”吧~