Im November 24, 2021 SafeBreach Labs veröffentlichte Forschung zu einem neuen iranischen Bedrohungsakteur, der eine Microsoft MSHTML Remote Code Execution verwendet (RCE) Exploit zum Zielen auf Opfer mit einem neuen PowerShell-Stealer oder PowerShortShell. ShadowChasing hat den Fall zuerst auf ihrer Twitter-Seite gemeldet. Spezialisten konnten den Hash/Code von PowerShell Stealer jedoch nicht abrufen, da er in öffentlichen Malware-Repositorys oder anderswo nicht verfügbar war.
Hallo Drohung
warum hast du es benutzt 😀
ITW:858404225565c80972ba66d2c612e49f
Dateinamen:Khameneis Verbrechen.docx
URL:
hxxp://hr.dedyn.io/word.html
hxxp://hr.dedyn.io/word.cab
hxxp://hr.dedyn.io/1.ps1
hxxp://hr.dedyn.io/upload.aspx?fn=
hxxp://hr.dedyn.io/upload2.aspx pic.twitter.com/fHsgAshCNc— Schattenjägergruppe (@ShadowChasing1) September 15, 2021
In ihrer Untersuchung beschrieben SafeBreach Labs die Analyse der vollständigen Angriffskette von PowerShortShell, und gab Details zu Phishing-Angriffen bekannt, die im Juli dieses Jahres begannen. Am wichtigsten ist, dass es ihnen gelungen ist, den PowerShell-Stealer-Code zu erwerben, den die Forscher PowerShortShell nannten. Nach ihren eigenen Worten liegt der Grund für einen solchen Namen in der Struktur des Skripts, es enthielt wenig mehr als 150 Linien. Trotzdem sagen Forscher, dass das PowerShell-Skript einem Angreifer ermöglicht hat, auf eine Vielzahl von Informationen zuzugreifen: Telegrammdateien, Bildschirmaufnahmen und die Umgebung des Opfers.
„Fast die Hälfte der Opfer befindet sich in den USA“. Basierend auf dem Inhalt des Microsoft Word-Dokuments – die den iranischen Führer für das „Corona-Massaker“ und die Art der gesammelten Daten verantwortlich macht, wir gehen davon aus, dass es sich bei den Opfern um im Ausland lebende Iraner handeln könnte, die als Bedrohung für das islamische Regime des Iran angesehen werden könnten,“ SafeBreach Labs schrieb in ihrer Recherche.
Bei ihren Angriffen, der Bedrohungsakteur ausgenutzt CVE-2021-40444 Verletzlichkeit. Es handelt sich um eine Microsoft Office MSHTML-Sicherheitslücke bezüglich Remotecodeausführung, die keine Makros zulässt und nur eine einzige Genehmigung zum „Anzeigen von Inhalten“ erfordert.. Forscher glauben, dass die Kampagne aufgrund der Verwendung von Telegram-Überwachungen mit dem islamischen Regime des Iran in Verbindung gebracht werden könnte. Wildes Kätzchen, Infy und wildes Kätzchen, Irans Bedrohungsakteure, habe es auch benutzt. Interessant, hier setzten Bedrohungsakteure recht ausschließlich Exploits ein, da die meisten iranischen Bedrohungsakteure im Allgemeinen Social-Engineering-Tricks anwenden.
Der Angriff selbst bestand aus zwei Schritten
Der Angriff selbst bestand aus zwei Schritten: erstes Phishing und anschließendes Spamming mit bösartigen Anhängen. Die beiden Phishing-Angriffe begannen im Juli 2021 als Bedrohungsakteure Anmeldeinformationen für Instagram und Gmail sammelten. Für diese Angelegenheit haben sie den gleichen C2-Server Deltaban verwendet[.]dedyn[.]ich. Angreifer haben diese Phishing-HTML-Seite als das legitime Reisebüro deltaban.com getarnt. Ein Klick darauf würde das Opfer auf eine iranische Kurz-URL weiterleiten:https://Yun[.]ir / jcccj. Diese URL führt Sie dann zur Anmeldung[.]dedyn[.]io/Social/Google_Finish. Einer hat die Domain im Juli registriert 2021.
Die Bedrohungsakteure haben Phishing-Anmeldeinformationen in die Datei out.txt abgelegt, die jeder einfach durchsuchen konnte. Die zweite Phishing-Kampagne betraf Instagram. Hier gingen die Zugangsdaten auch in die gleiche out.txt-Datei. Alle Phishing- und C2- und Infektionsserver stammen von 95.217.50.126.
Der Exploit-Angriff wiederum begann im September 15, 2021. Ein Opfer erhielt eine E-Mail mit einem Winword-Dokument in Farsi. Das erste Dokument mit dem Titel Mozdor.docx. enthaltene Bilder von iranischen Soldaten. Das zweite mit dem Titel جنامات خامنه ای. Docx (Khamenei Crimes.docx) sagte: „Eine Woche mit Khamenei; Klage gegen die Täter des Corona-Massakers, einschließlich des Führers“. Es hatte auch Links zu der iranischen Nachrichtenseite und dem Twitter-Account eines IranWire-Journalisten beigefügt.
Die Word-Dateien würden sich mit dem bösartigen Server verbinden, führe das bösartige HTML aus, und legen Sie dann eine DLL im %temp%-Verzeichnis ab. Die Datei mozdor.docx enthielt einen Exploit in der Datei document.xml.rels. Es hat mshtml ausgeführt:HTTP://hr[.]dedyn[.]io/image.html, während das zweite docx mshtml ausführte:HTTP://hr.dedyn.io/word.html. Die Exfiltration der Telegram-Dateien wurde durchgeführt, um “https://hr.dedyn.io/upload2.aspx”. Die Forscher konnten die Opfer der Angriffe nicht finden, aber sie erstellten die Heatmap der Opfer basierend auf den verfügbaren Daten. Die meisten Fälle sind Spezialisten in den USA registriert, Russische Föderation und Niederlande.
