سواستفاده هکرهای ایرانی از باگ شناخته شده در MSHTML مایکروسافت
اخبار داغ فناوری اطلاعات و امنیت شبکهبه ادعای خبرگزاریها، یک عامل سایبری در حال سرقت اطلاعات اینستاگرام و گوگل از افراد فارسی زبان در سراسر جهان است. این گروه تهدید از یک ساختار سرقت جدید مبتنی بر PowerShell، با نام PowerShortShell، برای این کمپین استفاده میکند.
چه اتفاقی افتاده است؟
ساختار PowerShortShell برای نظارت بر تلگرام و جمعآوری جزئیات سیستم از دستگاههای آلوده استفاده شده و اطلاعات به سرورهای تحت کنترل مهاجم ارسال میشوند.
به نقل از سای ور، این حملات در ماه جولای از طریقایمیلهای فیشینگ که کاربران ویندوز را با پیوستهای Winword هدف قرار میدادند، آغاز گردید. آنها از یک نقص اجرای کد از راه دور (CVE-2021-40444) در MSHTML که ماهها پیش فاش شده بود، سواستفاده نمودهاند.
این نقص برای دسترسی اولیه و دلیور کردن لودرهای Cobalt Strike Beacon مورد سواستفاده قرار گرفته است.
طبق گفته آنها، payload سارق توسط یک DLL دانلود شده در سیستمهای آلوده اجرا میشود. پس از اجرا، اسکریپت PowerShell دادهها را جمعآوری میکند و سپس آنها را به سرور C2 مهاجمان ارسال میکند.
ارتباط آن با ایران
بر اساس محتوای یک سند مخرب، که برخی مقامات ایران را مسئول کشته شدن مردم بر اثر کرونا میداند، و ماهیت دادههای جمعآوریشده، محققان به این فرض رسیدند که قربانیان ممکن است ایرانیهای مقیم خارج باشند و در ادعایی واهی مطرح نمودهاند که این افراد ممکن است تهدیدی برای دولت جمهوری اسلامی ایران باشند.
علاوه بر این، مهاجم ممکن است به ایران مرتبط باشد زیرا طبق این ادعا نظارت و تلاش برای کشف اطلاعات از تلگرام، اغلب توسط مهاجمان ایرانی مانند Rampant Kitten، Infy و Ferocious Kitten انجام میشود.
مهاجمان چه کسانی را هدف قرار میدهند؟
تقریباً نیمی از قربانیان در ایالات متحده (45.8٪)، و در ادامه هلند (12.5٪)، روسیه (8.3٪)، کانادا (8.3٪)، آلمان (8.3٪)، هند (4.2٪، بریتانیا (4.2%)، کره (4.2%) و چین (4.2%) هستند.
نتیجهگیری
مجرمان سایبری اکنون به طور فعال از آسیبپذیری CVE-2021-40444 استفاده میکنند تا مردم را در چندین قاره تحت تأثیر این آسیبپذیری قرار دهند. بنابراین، کارشناسان به سازمانها توصیه میکنند که یک برنامه اصلاحی قوی را اجرا کنند و از راهحلهای قابل اعتماد ضد بدافزار بهره بگیرند.
برچسب ها: Corona, کرونا, Infy, Winword, PowerShortShell, Cobalt Strike Beacon, MSHTML, Payload, Rampant kitten, Ferocious kitten, Iran, DLL, PowerShell, cybersecurity, Microsoft, Instagram, اینستاگرام, ایران, Telegram, مایکروسافت, گوگل, امنیت سایبری, تلگرام, Cyber Attacks, حمله سایبری, phishing, فیشینگ