伊朗黑客组织对微软MSHTML漏洞武器化，监视特定用户PC

八卦谈佚名 ▪ 2023-07-04 12:18:48

文章来源：极牛网

发现一个新的伊朗威胁行为者利用 Microsoft Windows MSHTML 平台中现已解决的关键缺陷，使用一种新的基于 PowerShell 的信息窃取程序来瞄准讲波斯语的受害者，该信息窃取程序旨在从受感染的机器中获取大量详细信息。

最新的安全研究表明，一个伊朗的黑客组织利用微软Windows的MSHTML漏洞，通过PowerShell实现了针对波斯语用户的信息窃取程序，该程序旨在从受感染的机器中获取大量详细信息。

根据网络安全行业门户极牛网JIKENB.COM的梳理，该信息窃取程序是PowerShell脚本，虽然只有150行代码，但却具有强大的信息收集能力，它能为攻击者提供大量的关键信息，包括屏幕截图、文档、系统数据等。该恶意程序的受害者近一半来自美国，主要针对居住在国外的被视为伊朗伊斯兰政权构成威胁的伊朗人。

该恶意程序的钓鱼活动始于 2021 年 7 月，主要利用Windows MSHTML漏洞（漏洞号CVE-2021-40444）实现远程代码执行，通过特殊的Office文档进行钓鱼传播来执行powershell攻击载荷。

SafeBreach 描述的攻击序列始于目标接收鱼叉式网络钓鱼电子邮件，该电子邮件以 Word 文档为附件。打开该文件会触发 CVE-2021-40444 的漏洞利用，导致执行名为 PowerShortShell 的 PowerShell 脚本，该脚本能够隐藏敏感信息并将其传输到命令和控制 (C2) 服务器。

虽然在 9 月 15 日观察到涉及部署信息窃取程序的感染，但在微软发布该漏洞补丁的第二天，上述 C2 服务器也被用来收集受害者的 Gmail 和 Instagram 凭据，这是该组织发起的两次网络钓鱼活动的一部分。

该开发是利用 MSTHML 渲染引擎缺陷进行的一系列攻击中的最新一次，微软之前披露了一个有针对性的网络钓鱼活动，该活动滥用该漏洞作为分发自定义 Cobalt Strike Beacon 加载器的初始访问活动的一部分。