伊朗黑客组织对微软MSHTML漏洞武器化,监视特定用户PC

黑客使用Microsoft Mshtml漏洞与恶意软件上的目标PC漏洞

发现一个新的伊朗威胁行为者利用 Microsoft Windows MSHTML 平台中现已解决的关键缺陷,使用一种新的基于 PowerShell 的信息窃取程序来瞄准讲波斯语的受害者,该信息窃取程序旨在从受感染的机器中获取大量详细信息。

最新的安全研究表明,一个伊朗的黑客组织利用微软Windows的MSHTML漏洞,通过PowerShell实现了针对波斯语用户的信息窃取程序,该程序旨在从受感染的机器中获取大量详细信息。

根据网络安全行业门户极牛网GEEKNB.COM的梳理,该信息窃取程序是PowerShell脚本,虽然只有150行代码,但却具有强大的信息收集能力,它能为攻击者提供大量的关键信息,包括屏幕截图、文档、系统数据等。该恶意程序的受害者近一半来自美国,主要针对居住在国外的被视为伊朗伊斯兰政权构成威胁的伊朗人。

该恶意程序的钓鱼活动始于 2021 年 7 月,主要利用Windows MSHTML漏洞(漏洞号CVE-2021-40444)实现远程代码执行,通过特殊的Office文档进行钓鱼传播来执行powershell攻击载荷。

黑客使用Microsoft Mshtml漏洞与恶意软件上的目标PC漏洞

SafeBreach 描述的攻击序列始于目标接收鱼叉式网络钓鱼电子邮件,该电子邮件以 Word 文档为附件。打开该文件会触发 CVE-2021-40444 的漏洞利用,导致执行名为 PowerShortShell 的 PowerShell 脚本,该脚本能够隐藏敏感信息并将其传输到命令和控制 (C2) 服务器。

虽然在 9 月 15 日观察到涉及部署信息窃取程序的感染,但在微软发布该漏洞补丁的第二天,上述 C2 服务器也被用来收集受害者的 Gmail 和 Instagram 凭据,这是该组织发起的两次网络钓鱼活动的一部分。

该开发是利用 MSTHML 渲染引擎缺陷进行的一系列攻击中的最新一次,微软之前披露了一个有针对性的网络钓鱼活动,该活动滥用该漏洞作为分发自定义 Cobalt Strike Beacon 加载器的初始访问活动的一部分。

 

伊朗黑客组织对微软MSHTML漏洞武器化,监视特定用户PC

极牛网精选文章《伊朗黑客组织对微软MSHTML漏洞武器化,监视特定用户PC》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/17110.html

发表评论

登录后才能评论