سواستفاده هکر‌های ایرانی از باگ شناخته شده در MSHTML مایکروسافت

اخبار داغ فناوری اطلاعات و امنیت شبکه
takian.ir iranian hackers abusing known bug in microsofts mshtml 1
به ادعای خبرگزاری‌ها، یک عامل سایبری در حال سرقت اطلاعات اینستاگرام و گوگل از افراد فارسی زبان در سراسر جهان است. این گروه تهدید از یک ساختار سرقت جدید مبتنی بر PowerShell، با نام PowerShortShell، برای این کمپین استفاده می‌کند.

چه اتفاقی افتاده است؟
ساختار PowerShortShell برای نظارت بر تلگرام و جمع‌آوری جزئیات سیستم از دستگاه‌های آلوده استفاده شده و اطلاعات به سرور‌های تحت کنترل مهاجم ارسال می‌شوند.

به نقل از سای ور، این حملات در ماه جولای از طریق‌ایمیل‌های فیشینگ که کاربران ویندوز را با پیوست‌های Winword هدف قرار می‌دادند، آغاز گردید. آن‌ها از یک نقص اجرای کد از راه دور (CVE-2021-40444) در MSHTML که ماه‌ها پیش فاش شده بود، سواستفاده نموده‌اند.

این نقص برای دسترسی اولیه و دلیور کردن لودر‌های Cobalt Strike Beacon مورد سواستفاده قرار گرفته است.

طبق گفته آن‌ها، payload سارق توسط یک DLL دانلود شده در سیستم‌های آلوده اجرا می‌شود. پس از اجرا، اسکریپت PowerShell داده‌ها را جمع‌آوری می‌کند و سپس آن‌ها را به سرور C2 مهاجمان ارسال می‌کند.

ارتباط آن با ایران
بر اساس محتوای یک سند مخرب، که برخی مقامات ایران را مسئول کشته شدن مردم بر اثر کرونا می‌داند، و ماهیت داده‌های جمع‌آوری‌شده، محققان به این فرض رسیدند که قربانیان ممکن است ایرانی‌های مقیم خارج باشند و در ادعایی واهی مطرح نموده‌اند که این افراد ممکن است تهدیدی برای دولت جمهوری اسلامی ایران باشند.

علاوه بر این، مهاجم ممکن است به ایران مرتبط باشد زیرا طبق این ادعا نظارت و تلاش برای کشف اطلاعات از تلگرام، اغلب توسط مهاجمان ایرانی مانند Rampant Kitten، Infy و Ferocious Kitten انجام می‌شود.

مهاجمان چه کسانی را هدف قرار می‌دهند؟
تقریباً نیمی از قربانیان در ایالات متحده (45.8٪)، و در ادامه هلند (12.5٪)، روسیه (8.3٪)، کانادا (8.3٪)، آلمان (8.3٪)، هند (4.2٪، بریتانیا (4.2%)، کره (4.2%) و چین (4.2%) هستند.

نتیجه‌گیری
مجرمان سایبری اکنون به طور فعال از آسیب‌پذیری CVE-2021-40444 استفاده می‌کنند تا مردم را در چندین قاره تحت تأثیر این آسیب‌پذیری قرار دهند. بنابراین، کارشناسان به سازمان‌ها توصیه می‌کنند که یک برنامه اصلاحی قوی را اجرا کنند و از راه‌حل‌های قابل اعتماد ضد بدافزار بهره بگیرند.

برچسب ها: Corona, کرونا, Infy, Winword, PowerShortShell, Cobalt Strike Beacon, MSHTML, Payload, Rampant kitten, Ferocious kitten, Iran, DLL, PowerShell, cybersecurity, Microsoft, Instagram, اینستاگرام, ایران, Telegram, مایکروسافت, گوگل, امنیت سایبری, تلگرام, Cyber Attacks, حمله سایبری, phishing, فیشینگ

نوشته شده توسط تیم خبر.

چاپ