Kaydol

Flood göndermek, insanların floodlarını okumak ve diğer insanlarla bağlantı kurmak için sosyal Floodlar ve Flood Yanıtları Motorumuza kaydolun.

Oturum aç

Flood göndermek, insanların floodlarını okumak ve diğer insanlarla bağlantı kurmak için sosyal Floodlar ve Flood Yanıtları Motorumuza giriş yapın.

Şifremi hatırlamıyorum

Şifreni mi unuttun? Lütfen e-mail adresinizi giriniz. Bir bağlantı alacaksınız ve e-posta yoluyla yeni bir şifre oluşturacaksınız.

3 ve kadim dostu 1 olan sj'yi rakamla giriniz. ( 31 )

Üzgünüz, Flood yazma yetkiniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Please briefly explain why you feel this user should be reported.

Bilgisayar korsanları Google ve Instagram itibarlarını çalmak için Microsoft MSHTML hatasından yararlanıyor

Bilgisayar korsanları Google ve Instagram itibarlarını çalmak için Microsoft MSHTML hatasından yararlanıyor

Bilgisayar korsanları Google ve Instagram itibarlarını çalmak için Microsoft MSHTML hatasından yararlanıyor

Yeni keşfedilen İranlı bir tehdit aktörü, SafeBreach Labs’daki güvenlik araştırmacıları tarafından PowerShortShell adlı yeni bir PowerShell tabanlı hırsız kullanarak dünya çapında Farsça konuşan hedeflere ait Google ve Instagram kimlik bilgilerini çalıyor.

Bilgi hırsızı ayrıca Telegram gözetimi ve çalınan kimlik bilgileriyle birlikte saldırgan kontrolündeki sunuculara gönderilen güvenliği ihlal edilmiş cihazlardan sistem bilgilerini toplamak için de kullanılır.

SafeBreach Labs’in keşfettiği gibi, saldırılar (Eylül ayında kamuya açık olarak bildirilmiş Shadow Chaser Group tarafından Twitter’da) Temmuz ayında mızrak kimlik avı e-postaları olarak başladı.

Windows kullanıcılarını, microsoft MSHTML uzaktan kod yürütme (RCE) hatasından yararlanan kötü amaçlı Winword ekleriyle hedef alıyor ÖZGEÇMIŞ-2021-40444.

PowerShortShell hırsız yükü, güvenliği aşılmış sistemlere indirilen bir DLL tarafından yürütülür. Başlatıldıktan sonra, PowerShell komut dosyası veri ve ekran anlık görüntülerini toplamaya başlar ve saldırganın komut ve denetim sunucusuna ayıklar.

“Kurbanların neredeyse yarısı ABD’de bulunuyor. ‘Korona katliamı’ ve toplanan verilerin niteliği nedeniyle İran liderini suçlayan Microsoft Word belge içeriğine dayanarak, kurbanların yurtdışında yaşayan İranlılar olabileceğini ve İran’ın İslami rejimi için bir tehdit olarak görülebileceğini varsayıyoruz.” Söyledi Tomer Bar, SafeBreach Laboratuvarları Güvenlik Araştırmaları Direktörü.

“Telegram gözetleme kullanımı İran’ın Infy, Ferocious Kitten ve Rampant Kitten gibi tehdit aktörlerine özgü olduğundan, düşman İran’ın İslami rejimine bağlı olabilir.”

Kurbanlar ısı haritası
Kurbanlar ısı haritası (SafeBreach Labs)

IE’nin MSTHML işleme motorını etkileyen CVE-2021-40444 RCE hatası, Microsoft’un bir güvenlik danışma belgesi yayınlamasından iki haftadan uzun bir süre önce, 18 Ağustos’tan itibaren sıfır gün olarak vahşi doğada istismar edildi kısmi geçici çözümleve üç hafta düzeltme eki yayınlanmadan önce.

Son zamanlarda, kötü amaçlı reklamlarla birlikte istismar edildi Magniber fidye çetesi tarafından hedeflere kötü amaçlı yazılım bulaştırmak ve cihazlarını şifrelemek.

Microsoft ayrıca birden fazla tehdit aktörü dedi, fidye yazılımı iştirakleri de dahil olmak üzere, kimlik avı saldırıları yoluyla teslim edilen kötü amaçlı hazırlanmış Office belgelerini kullanarak bu Windows MSHTML RCE hatasını hedef ederek.

Bu saldırılar CVE-2021-40444 kusurlarını “özel Kobalt Strike Beacon yükleyicileri dağıtan ilk erişim kampanyasının bir parçası olarak” kötüye kullandı.

Dağıtılan işaretçiler, insan tarafından işletilen fidye yazılımları da dahil ancak bunlarla sınırlı olmamak üzere çeşitli siber suç kampanyalarıyla bağlantılı kötü amaçlı altyapıyla iletişim kurdu.

CVE-2021-40444-saldırı zinciri
CVE-2021-40444 saldırı zinciri (Microsoft)

Tehdit aktörleri, hata düzeltme eki uygulanmadan önce bile hack forumlarında öğreticileri ve kavram kanıtı istismarlarını paylaşmaya başladığından beri giderek daha fazla saldırganın CVE-2021-40444 istismarlarını kullanması şaşırtıcı değildir.

Bu, büyük olasılıkla diğer tehdit aktörlerinin ve gruplarının kendi saldırılarında güvenlik kusurundan yararlanmaya başlamalarına izin veriyordu.

Çevrimiçi olarak paylaşılan bilgilerin takip etmesi kolaydır ve kötü amaçlı belgeleri ve CAB dosyalarını güvenliği ihlal edilmiş sistemlere dağıtabilen bir Python sunucusu da dahil olmak üzere herkesin cve-2021-40444 istismarının kendi çalışma sürümünü oluşturmasını kolaylaştırır.

Bu bilgileri kullanarak, BleepingComputer ayrıca, bu video demosu.

Benzer Yazılar

Yorum eklemek için giriş yapmalısınız.