Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Хакеры используют уязвимость в Microsoft MSHTML для слежки за иранцами

26/11/21

hack32Новая иранская киберпреступная группировка эксплуатирует критическую уязвимость ( CVE-2021-40444 ) в платформе Microsoft Windows MSHTML для осуществления атак на говорящих на фарси пользователей. Преступники используют новый PowerShell-скрипт под названием PowerShortShell для кражи информации с зараженных систем.

PowerShortShell предоставляет операторам возможность похищать много важной информации, включая снимки экрана, файлы мессенджера Telegram, документы и обширные данные о среде жертвы.

Почти половина целей данной вредоносной кампании находится в США, при этом атаки, вероятно, нацелены на «иранцев, которые живут за границей и могут рассматриваться как угроза исламскому режиму Ирана».

Фишинговая кампания, начавшаяся в июле 2021 года, включала эксплуатацию уязвимости удаленного выполнения кода с помощью специально созданных документов Microsoft Office. Уязвимость была исправлена ​​Microsoft в сентябре 2021 года через несколько недель после появления сообщений об активной эксплуатации.

Для эксплуатации проблемы злоумышленнику необходимо создать вредоносный элемент управления ActiveX, используемый документом Microsoft Office, на котором размещен механизм визуализации браузера. Затем злоумышленник должен будет убедить пользователя открыть вредоносный документ. Обычные пользователи, чьи учетные записи не имеют повышенных прав на системе, меньше подвержены риску атак, чем пользователи с правами администратора.

Потенциальные жертвы получают фишинговое электронное письмо с документом Microsoft Word в качестве вложения. Открытие файла запускает эксплоит для CVE-2021-40444, что приводит к выполнению PowerShell-скрипта PowerShortShell. Скрипт собирает конфиденциальную информацию и передает ее командному серверу.

Как отметили эксперты, тот же командный сервер использовался для хищения учетных данных пользователей Gmail и Instagram в ходе двух фишинговых кампаний, организованных той же группировкой в июле 2021 года.

Темы:MicrosoftПреступленияКиберугрозы
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...