ISafeBreachLabs安全研究人员发现,伊朗攻击者利用MicrosoftMSHTML远程代码执行漏洞通过PowerShell窃取恶意软件窃取受害者Google和instagram凭据信息。攻击流程概述攻击者最初于2021年9月中旬发起攻击,从鱼叉式网络钓鱼电子邮件开始。在针对Windows用户的攻击中使用了恶意Windowsword文档附件。该恶意文档利用WindowsMSHTML远程代码执行漏洞-CVE-2021-40444。CVE-2021-40444漏洞影响IE浏览器的MSTHML渲染引擎,在微软于8月18日发布安全补丁之前很久就发生了0-day漏洞利用。CVE-2021-40444攻击链的受害者打开诱饵后word文件,他会连接到恶意服务器,执行恶意HTML,然后释放%temp%目录下的DLL文件。?保存在xml文件document.xml.rels中的关系指向位于C2服务器上的恶意HTML:mshtml:http://hr[.]dedyn[.]io/image.html。?HTML文件中的JScript脚本包含一个指向CAB文件的对象和一个指向INF文件的iframe。?CAB文件打开后,由于CAB存在目录遍历漏洞,msword.inf文件可以保存在%TEMP%目录下。然后恶意DLL执行PowerShell脚本。?INF文件打开后,会通过rundll32触发INF侧载,比如'.cpl:../../../../../Temp/Low/msword.inf'。?Msword.inf将下载并执行最终的payloaddll。?PowerShell脚本收集数据并将其发送到攻击者的C2服务器。受害者分布几乎一半的受害者位于美国。根据word文件的内容,研究人员推测受害者主要是位于伊朗境外的伊朗人,他们可能被认为是对伊朗伊斯兰政权的威胁。受害者分布热图汇总目前,利用CVE-2021-40444漏洞的攻击活动越来越多。原因是黑客论坛上有很多教程和PoC漏洞。使用黑客论坛上的这些信息,很容易为CVE-2021-40444创建可用于攻击的漏洞。BleepingComputer研究人员在15分钟内重现了该漏洞。PoC视频请参考:https://vimeo.com/603308077完整的技术细节请参考:https://www.safebreach.com/blog/2021/new-powershortshell-stealer-exploits-recent-microsoft-mshtml-vulnerability-to-spy-on-farsi-speakers/本文翻译自:https://www.bleepingcomputer.com/news/security/hackers-exploit-microsoft-mshtml-bug-to-steal-google-instagram-creds/如有转载请注明原文地址。
