ISafeBreach Labs安全研究人员发现伊朗攻击者使用微软MSHTML通过远程代码执行漏洞PowerShell 窃取受害者谷歌和instagram凭证信息。
攻击流概述
攻击者最初在2021年9月中旬发起攻击,首先使用鱼叉钓鱼邮件。恶意用于攻击Windows word攻击文件附件Windows用户。使用恶意文档。Windows MSHTML远程代码执行漏洞——CVE-2021-40444。CVE-2021-40444漏洞影响IE浏览器的MSTHML早在8月18日微软发布安全补丁之前,渲染引擎就出现了0 day漏洞利用。
CVE-2021-40444攻击链
受害者打开诱饵word文件完成后,将恶意服务器连接到执行恶意服务器HTML,然后在%temp释放% 目录DLL文件。
◼保存在xml文件document.xml.rels 中的关系指向位于C2恶意服务器HTML:mshtml:http://hr[.]dedyn[.]io/image.html。
◼HTML文件中的JScript 脚本含有指向CAB文件的对象和指向INF文件的iframe。
◼CAB文件打开后,因为CAB如果目录中存在漏洞,可以是%TEMP保存在% 目录下msword.inf 文件。
然后,恶意DLL执行PowerShell脚本。
◼INF文件打开后,将通过rundll32引发INF例如,侧加载,.cpl:../../../../../Temp/Low/msword.inf'。
◼Msword.inf将下载和执行final payload的dll。
◼PowerShell脚本将收集数据并发送给攻击者C2服务器。
受害者分布
几乎一半的受害者位于美国。word研究人员推测,受害者主要是伊朗以外的伊朗人,这些人可能被视为伊朗伊斯兰政权的威胁。
受害者分布的热图
总结
目前利用CVE-2021-40444由于黑客论坛上有很多教程和教程,漏洞的攻击活动越来越多。PoC利用漏洞。利用黑客论坛上的这些信息,很容易创建可用于攻击的信息CVE-2021-40444漏洞利用。BleepingComputer研究人员在15分钟内复制了漏洞,PoC视频参见:https://vimeo.com/603308077
参见完整的技术细节:https://www.safebreach.com/blog/2021/new-powershortshell-stealer-exploits-recent-microsoft-mshtml-vulnerability-to-spy-on-farsi-speakers/
本文翻译自:https://www.bleepingcomputer.com/news/security/hackers-exploit-microsoft-mshtml-bug-to-steal-google-instagram-creds/如若转载,请注明原文地址。