Yeni keşfedilen İranlı bir tehdit aktörü, SafeBreach Labs’daki güvenlik araştırmacıları tarafından PowerShortShell adlı yeni bir PowerShell tabanlı hırsız kullanarak dünya çapında Farsça konuşan hedeflere ait Google ve Instagram kimlik bilgilerini çalıyor.
Bilgi hırsızı ayrıca Telegram gözetimi ve çalınan kimlik bilgileriyle birlikte saldırgan kontrolündeki sunuculara gönderilen güvenliği ihlal edilmiş cihazlardan sistem bilgilerini toplamak için de kullanılır.
SafeBreach Labs’in keşfettiği gibi, saldırılar (Eylül ayında kamuya açık olarak bildirilmiş Shadow Chaser Group tarafından Twitter’da) Temmuz ayında mızrak kimlik avı e-postaları olarak başladı.
Windows kullanıcılarını, microsoft MSHTML uzaktan kod yürütme (RCE) hatasından yararlanan kötü amaçlı Winword ekleriyle hedef alıyor ÖZGEÇMIŞ-2021-40444.
PowerShortShell hırsız yükü, güvenliği aşılmış sistemlere indirilen bir DLL tarafından yürütülür. Başlatıldıktan sonra, PowerShell komut dosyası veri ve ekran anlık görüntülerini toplamaya başlar ve saldırganın komut ve denetim sunucusuna ayıklar.
“Kurbanların neredeyse yarısı ABD’de bulunuyor. ‘Korona katliamı’ ve toplanan verilerin niteliği nedeniyle İran liderini suçlayan Microsoft Word belge içeriğine dayanarak, kurbanların yurtdışında yaşayan İranlılar olabileceğini ve İran’ın İslami rejimi için bir tehdit olarak görülebileceğini varsayıyoruz.” Söyledi Tomer Bar, SafeBreach Laboratuvarları Güvenlik Araştırmaları Direktörü.
“Telegram gözetleme kullanımı İran’ın Infy, Ferocious Kitten ve Rampant Kitten gibi tehdit aktörlerine özgü olduğundan, düşman İran’ın İslami rejimine bağlı olabilir.”
IE’nin MSTHML işleme motorını etkileyen CVE-2021-40444 RCE hatası, Microsoft’un bir güvenlik danışma belgesi yayınlamasından iki haftadan uzun bir süre önce, 18 Ağustos’tan itibaren sıfır gün olarak vahşi doğada istismar edildi kısmi geçici çözümleve üç hafta düzeltme eki yayınlanmadan önce.
Son zamanlarda, kötü amaçlı reklamlarla birlikte istismar edildi Magniber fidye çetesi tarafından hedeflere kötü amaçlı yazılım bulaştırmak ve cihazlarını şifrelemek.
Microsoft ayrıca birden fazla tehdit aktörü dedi, fidye yazılımı iştirakleri de dahil olmak üzere, kimlik avı saldırıları yoluyla teslim edilen kötü amaçlı hazırlanmış Office belgelerini kullanarak bu Windows MSHTML RCE hatasını hedef ederek.
Bu saldırılar CVE-2021-40444 kusurlarını “özel Kobalt Strike Beacon yükleyicileri dağıtan ilk erişim kampanyasının bir parçası olarak” kötüye kullandı.
Dağıtılan işaretçiler, insan tarafından işletilen fidye yazılımları da dahil ancak bunlarla sınırlı olmamak üzere çeşitli siber suç kampanyalarıyla bağlantılı kötü amaçlı altyapıyla iletişim kurdu.
Tehdit aktörleri, hata düzeltme eki uygulanmadan önce bile hack forumlarında öğreticileri ve kavram kanıtı istismarlarını paylaşmaya başladığından beri giderek daha fazla saldırganın CVE-2021-40444 istismarlarını kullanması şaşırtıcı değildir.
Bu, büyük olasılıkla diğer tehdit aktörlerinin ve gruplarının kendi saldırılarında güvenlik kusurundan yararlanmaya başlamalarına izin veriyordu.
Çevrimiçi olarak paylaşılan bilgilerin takip etmesi kolaydır ve kötü amaçlı belgeleri ve CAB dosyalarını güvenliği ihlal edilmiş sistemlere dağıtabilen bir Python sunucusu da dahil olmak üzere herkesin cve-2021-40444 istismarının kendi çalışma sürümünü oluşturmasını kolaylaştırır.
Bu bilgileri kullanarak, BleepingComputer ayrıca, bu video demosu.