[[437842]]

ISafeBreach Labs安全研究人員發(fā)現(xiàn)伊朗攻擊者利用微軟MSHTML遠(yuǎn)程代碼執(zhí)行漏洞通過PowerShell 竊取器惡意軟件來竊取受害者谷歌和instagram憑證信息。

攻擊流概述

攻擊者最初是2021年9月中旬發(fā)起攻擊的，首先利用的是魚叉式釣魚郵件。攻擊中使用了一個(gè)惡意的Windows word文檔附件來攻擊Windows用戶。該惡意文檔利用了一個(gè)Windows MSHTML遠(yuǎn)程代碼執(zhí)行漏洞——CVE-2021-40444。CVE-2021-40444漏洞影響IE瀏覽器的MSTHML渲染引擎，早在8月18日微軟發(fā)布安全補(bǔ)丁之前就出現(xiàn)了0 day漏洞利用。

CVE-2021-40444攻擊鏈

受害者打開誘餌word文件后，會(huì)連接到惡意服務(wù)器，執(zhí)行惡意HTML，然后在%temp% 目錄下釋放DLL文件。

◼保存在xml文件document.xml.rels 中的關(guān)系指向位于C2服務(wù)器上的惡意HTML：mshtml:http://hr[.]dedyn[.]io/image.html。

◼HTML文件中的JScript 腳本中含有一個(gè)指向CAB文件的對(duì)象和一個(gè)指向INF文件的iframe。

◼CAB文件打開后，由于CAB中存在目錄遍歷漏洞，就可以在%TEMP% 目錄下保存msword.inf 文件。

然后，惡意DLL執(zhí)行PowerShell腳本。

◼INF文件打開后，會(huì)通過rundll32引發(fā)INF側(cè)加載，比如'.cpl:../../../../../Temp/Low/msword.inf'。

◼Msword.inf會(huì)下載和執(zhí)行final payload的dll。

◼PowerShell腳本會(huì)收集數(shù)據(jù)并發(fā)送到攻擊者的C2服務(wù)器。

受害者分布

幾乎有一半的受害者位于美國。根據(jù)word文件的內(nèi)容，研究人員推測(cè)受害者主要是對(duì)位于伊朗之外的伊朗人，這些人可能被視為是伊朗伊斯蘭政權(quán)的威脅。

受害者分布的熱力圖

總結(jié)

目前利用CVE-2021-40444漏洞的攻擊活動(dòng)越來越多，究其原因是因?yàn)楹诳驼搲嫌泻芏嗟慕坛毯蚉oC漏洞利用。利用黑客論壇上的這些信息，很容易就可以創(chuàng)建可以用于攻擊的CVE-2021-40444漏洞利用。BleepingComputer研究人員15分鐘就復(fù)現(xiàn)了該漏洞，PoC視頻參見：https://vimeo.com/603308077

完整技術(shù)細(xì)節(jié)參見：https://www.safebreach.com/blog/2021/new-powershortshell-stealer-exploits-recent-microsoft-mshtml-vulnerability-to-spy-on-farsi-speakers/

本文翻譯自：https://www.bleepingcomputer.com/news/security/hackers-exploit-microsoft-mshtml-bug-to-steal-google-instagram-creds/如若轉(zhuǎn)載，請(qǐng)注明原文地址。