文章来源:极牛网
发现一个新的伊朗威胁行为者利用 Microsoft Windows MSHTML 平台中现已解决的关键缺陷,使用一种新的基于 PowerShell 的信息窃取程序来瞄准讲波斯语的受害者,该信息窃取程序旨在从受感染的机器中获取大量详细信息。
最新的安全研究表明,一个伊朗的黑客组织利用微软Windows的MSHTML漏洞,通过PowerShell实现了针对波斯语用户的信息窃取程序,该程序旨在从受感染的机器中获取大量详细信息。
根据网络安全行业门户极牛网JIKENB.COM的梳理,该信息窃取程序是PowerShell脚本,虽然只有150行代码,但却具有强大的信息收集能力,它能为攻击者提供大量的关键信息,包括屏幕截图、文档、系统数据等。该恶意程序的受害者近一半来自美国,主要针对居住在国外的被视为伊朗伊斯兰政权构成威胁的伊朗人。
该恶意程序的钓鱼活动始于 2021 年 7 月,主要利用Windows MSHTML漏洞(漏洞号CVE-2021-40444)实现远程代码执行,通过特殊的Office文档进行钓鱼传播来执行powershell攻击载荷。
SafeBreach 描述的攻击序列始于目标接收鱼叉式网络钓鱼电子邮件,该电子邮件以 Word 文档为附件。打开该文件会触发 CVE-2021-40444 的漏洞利用,导致执行名为 PowerShortShell 的 PowerShell 脚本,该脚本能够隐藏敏感信息并将其传输到命令和控制 (C2) 服务器。
虽然在 9 月 15 日观察到涉及部署信息窃取程序的感染,但在微软发布该漏洞补丁的第二天,上述 C2 服务器也被用来收集受害者的 Gmail 和 Instagram 凭据,这是该组织发起的两次网络钓鱼活动的一部分。
该开发是利用 MSTHML 渲染引擎缺陷进行的一系列攻击中的最新一次,微软之前披露了一个有针对性的网络钓鱼活动,该活动滥用该漏洞作为分发自定义 Cobalt Strike Beacon 加载器的初始访问活动的一部分。
「艾尔登法环」梅琳娜手办开订 立体手办▪
万代「艾尔登法环」白狼战鬼手办开订 立体手办▪
「夏目友人帐」猫咪老师粘土人开订 立体手办▪
「五等分的新娘∬」中野三玖·白无垢版手办开订 立体手办▪
「海贼王」乌索普Q版手办开订 立体手办▪
良笑社「初音未来」新手办开订 立体手办▪
「黑岩射手DAWN FALL」死亡主宰手办开订 立体手办▪
「盾之勇者成名录」菲洛手办登场 立体手办▪
「魔法少女小圆」美树沙耶香手办开订 立体手办▪
「咒术回战」七海建人粘土人登场 立体手办▪
「五等分的新娘」中野二乃白无垢手办开订 立体手办▪
「为美好的世界献上祝福!」芸芸粘土人开订 立体手办▪
「公主连结 与你重逢」六星可可萝手办开订 立体手办▪
「女神异闻录5」Joker雨宫莲手办开订 立体手办▪
「间谍过家家」约尔・福杰粘土人登场 立体手办▪
「街角魔族 2丁目」吉田优子手办开订 立体手办▪
「火影忍者 疾风传」旗木卡卡西·暗部版粘土人登场 立体手办▪
「佐佐木与宫野」宫野由美粘土人开订 立体手办▪
「盾之勇者成名录」第2季拉芙塔莉雅手办开订 立体手办▪
「咒术回战」两面宿傩Q版坐姿手办开订 立体手办▪
「DATE·A·BULLET」时崎狂三手办开订 立体手办▪
「狂赌之渊××」早乙女芽亚里粘土人开订 立体手办▪
「魔道祖师」魏无羨粘土人开订 立体手办▪
「新·奥特曼」奥特曼手办现已开订 立体手办▪