freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

黑客利用微软MSHTML漏洞窃取谷歌和Instagram凭证
2021-11-26 17:20:37

据bleepingcomputer消息,SafeBreach Labs 安全研究人员最新发现,伊朗黑客正在窃取谷歌和Instagram的波斯语用户信息。攻击者使用的是一个基于PowerShell的信息窃取器,安全研究人员称之为PowerShortShell。

该信息窃取器还用来监视 Telegram,以及从受感染的设备中收集系统信息。这些窃取来的信息被发送至攻击者控制的服务器。

今年7月,SafeBreach Labs 在鱼叉式钓鱼邮件中发现了此次攻击,Shadow Chaser Group于9月在Twitter上对此进行了公开报道。

攻击者利用微软MSHTML远程代码执行(RCE)漏洞(编号 CVE-2021-40444),向Windows用户发送恶意的Winword附件。

从受害者分布推算攻击者是谁?

PowerShortShell 窃取程序由下载到受感染系统上的 DLL 执行。这一程序启动后,PowerShell 脚本开始收集数据和屏幕快照,并将其发送至攻击者控制的服务器。

“研究表明,从受害者分布来看,接近一半的受害者位于美国。从微软Word文档中将'科罗纳大屠杀'归咎于伊朗领导人的相关内容,以及收集的数据分析来看,我们猜测受害者可能是对伊朗伊斯兰政权构成威胁、且生活在国外的伊朗人。”SafeBreach Labs安全研究主任Tomer Bar说。“对手可能与伊朗的伊斯兰政权有联系,因为监视 Telegram是伊朗威胁者(如Infy、Ferocious Kitten和Rampant Kitten)的惯用手段。”

受害者分布图(SafeBreach Labs)

漏洞被广泛利用不足为奇

微软MSTHML的CVE-2021-40444 RCE漏洞从8月18日开始就被广泛利用,两周之后微软才发布安全公告,三周后修复漏洞的补丁才发布出来。

最近,这一漏洞被Magniber勒索软件团伙利用,与恶意广告一起感染受害者,并加密他们的设备。

微软还表示,包括勒索软件团伙在内的多个威胁者,都瞄准了这个Windows MSHTML RCE漏洞,通过制作带有恶意软件的Office文档来实现网络钓鱼攻击。这些攻击滥用了 CVE-2021-40444 漏洞,“作为分发自定义 Cobalt Strike Beacon 加载器初始访问活动的一部分”。

部署的信标与与几个网络犯罪活动有关的恶意基础设施进行通信,包括但不限于人为操作的勒索软件。

CVE-2021-40444 攻击链(微软)

不足为奇的是,越来越多的攻击者正在使用 CVE-2021-40444 漏洞。因为攻击者早在补丁发布之前就在暗网传播漏洞利用和验证教程。

从其传播的漏洞利用教程来看,具体操作很容易实现,任何人都可以利用CVE-2021-40444漏洞发起攻击,只需一个可以将恶意文档和CAB文件分发到受攻击系统的Python服务器。


参考来源:https://www.bleepingcomputer.com/news/security/hackers-exploit-microsoft-mshtml-bug-to-steal-google-instagram-creds/

本文作者:, 转载请注明来自FreeBuf.COM

# 系统安全 # 漏洞分析 # 数据安全
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑