Neuer PowerShortShell-Stealer

Im November 24, 2021 SafeBreach Labs veröffentlichte Forschung zu einem neuen iranischen Bedrohungsakteur, der eine Microsoft MSHTML Remote Code Execution verwendet (RCE) Exploit zum Zielen auf Opfer mit einem neuen PowerShell-Stealer oder PowerShortShell. ShadowChasing hat den Fall zuerst auf ihrer Twitter-Seite gemeldet. Spezialisten konnten den Hash/Code von PowerShell Stealer jedoch nicht abrufen, da er in öffentlichen Malware-Repositorys oder anderswo nicht verfügbar war.

In ihrer Untersuchung beschrieben SafeBreach Labs die Analyse der vollständigen Angriffskette von PowerShortShell, und gab Details zu Phishing-Angriffen bekannt, die im Juli dieses Jahres begannen. Am wichtigsten ist, dass es ihnen gelungen ist, den PowerShell-Stealer-Code zu erwerben, den die Forscher PowerShortShell nannten. Nach ihren eigenen Worten liegt der Grund für einen solchen Namen in der Struktur des Skripts, es enthielt wenig mehr als 150 Linien. Trotzdem sagen Forscher, dass das PowerShell-Skript einem Angreifer ermöglicht hat, auf eine Vielzahl von Informationen zuzugreifen: Telegrammdateien, Bildschirmaufnahmen und die Umgebung des Opfers.

„Fast die Hälfte der Opfer befindet sich in den USA“. Basierend auf dem Inhalt des Microsoft Word-Dokuments – die den iranischen Führer für das „Corona-Massaker“ und die Art der gesammelten Daten verantwortlich macht, wir gehen davon aus, dass es sich bei den Opfern um im Ausland lebende Iraner handeln könnte, die als Bedrohung für das islamische Regime des Iran angesehen werden könnten,“ SafeBreach Labs schrieb in ihrer Recherche.

Bei ihren Angriffen, der Bedrohungsakteur ausgenutzt CVE-2021-40444 Verletzlichkeit. Es handelt sich um eine Microsoft Office MSHTML-Sicherheitslücke bezüglich Remotecodeausführung, die keine Makros zulässt und nur eine einzige Genehmigung zum „Anzeigen von Inhalten“ erfordert.. Forscher glauben, dass die Kampagne aufgrund der Verwendung von Telegram-Überwachungen mit dem islamischen Regime des Iran in Verbindung gebracht werden könnte. Wildes Kätzchen, Infy ​​und wildes Kätzchen, Irans Bedrohungsakteure, habe es auch benutzt. Interessant, hier setzten Bedrohungsakteure recht ausschließlich Exploits ein, da die meisten iranischen Bedrohungsakteure im Allgemeinen Social-Engineering-Tricks anwenden.

Der Angriff selbst bestand aus zwei Schritten

Der Angriff selbst bestand aus zwei Schritten: erstes Phishing und anschließendes Spamming mit bösartigen Anhängen. Die beiden Phishing-Angriffe begannen im Juli 2021 als Bedrohungsakteure Anmeldeinformationen für Instagram und Gmail sammelten. Für diese Angelegenheit haben sie den gleichen C2-Server Deltaban verwendet[.]dedyn[.]ich. Angreifer haben diese Phishing-HTML-Seite als das legitime Reisebüro deltaban.com getarnt. Ein Klick darauf würde das Opfer auf eine iranische Kurz-URL weiterleiten:https://Yun[.]ir / jcccj. Diese URL führt Sie dann zur Anmeldung[.]dedyn[.]io/Social/Google_Finish. Einer hat die Domain im Juli registriert 2021.

Die Bedrohungsakteure haben Phishing-Anmeldeinformationen in die Datei out.txt abgelegt, die jeder einfach durchsuchen konnte. Die zweite Phishing-Kampagne betraf Instagram. Hier gingen die Zugangsdaten auch in die gleiche out.txt-Datei. Alle Phishing- und C2- und Infektionsserver stammen von 95.217.50.126.

Neuer PowerShortShell Stealer nutzt aktuelle Microsoft MSHTML-Sicherheitslücke
Die Phishing-Site eines Angreifers

Der Exploit-Angriff wiederum begann im September 15, 2021. Ein Opfer erhielt eine E-Mail mit einem Winword-Dokument in Farsi. Das erste Dokument mit dem Titel Mozdor.docx. enthaltene Bilder von iranischen Soldaten. Das zweite mit dem Titel جنامات خامنه ای. Docx (Khamenei Crimes.docx) sagte: „Eine Woche mit Khamenei; Klage gegen die Täter des Corona-Massakers, einschließlich des Führers“. Es hatte auch Links zu der iranischen Nachrichtenseite und dem Twitter-Account eines IranWire-Journalisten beigefügt.

Neuer PowerShortShell Stealer nutzt aktuelle Microsoft MSHTML-Sicherheitslücke
Das haben Opfer in einem der Dokumente erhalten

Die Word-Dateien würden sich mit dem bösartigen Server verbinden, führe das bösartige HTML aus, und legen Sie dann eine DLL im %temp%-Verzeichnis ab. Die Datei mozdor.docx enthielt einen Exploit in der Datei document.xml.rels. Es hat mshtml ausgeführt:HTTP://hr[.]dedyn[.]io/image.html, während das zweite docx mshtml ausführte:HTTP://hr.dedyn.io/word.html. Die Exfiltration der Telegram-Dateien wurde durchgeführt, um “https://hr.dedyn.io/upload2.aspx”. Die Forscher konnten die Opfer der Angriffe nicht finden, aber sie erstellten die Heatmap der Opfer basierend auf den verfügbaren Daten. Die meisten Fälle sind Spezialisten in den USA registriert, Russische Föderation und Niederlande.

Über Andrew Nail

Cybersicherheitsjournalist aus Montreal, Kanada. Studium der Kommunikationswissenschaften an der Universite de Montreal. Ich war mir nicht sicher, ob ein Journalistenjob das ist, was ich in meinem Leben machen möchte, aber in Verbindung mit technischen Wissenschaften, genau das mache ich gerne. Meine Aufgabe ist es, die aktuellsten Trends in der Welt der Cybersicherheit zu erfassen und Menschen dabei zu helfen, mit Malware umzugehen, die sie auf ihren PCs haben.

überprüfen Sie auch

Fix für Microsoft Exchange 2022 Jahr Fehler

Fix für Microsoft Exchange 2022 Jahr Fehler

Microsoft hat einen Fix für den Exchange-Fehler veröffentlicht, der die E-Mail-Zustellung auf dem lokalen Microsoft-Standort störte …

Wenn Sie an die Türen von Strategicly Aged Domains klopfen

Wenn Sie an die Türen von Strategicly Aged Domains klopfen

Palo Alto-Netzwerk, ein amerikanisches Cybersicherheitsunternehmen, verliert auch im Urlaub keine Zeit …

Hinterlasse eine Antwort