11월 24, 2021 SafeBreach Labs는 Microsoft MSHTML 원격 코드 실행을 사용하는 새로운 이란 위협 행위자에 대한 연구를 발표했습니다. (RCE) 새로운 PowerShell 스틸러 또는 PowerShortShell로 피해자를 대상으로 하는 악용. ShadowChasing은 Twitter 페이지에서 이 사례를 처음 보고했습니다.. 그러나 공개 맬웨어 저장소 또는 다른 곳에서 사용할 수 없었기 때문에 전문가는 PowerShell Stealer 해시/코드를 얻을 수 없었습니다..
안녕 위협
왜 사용하셨나요 😀
ITW:858404225565c80972ba66d2c612e49f
파일 이름:하메네이의 범죄.docx
URL:
hxxp://hr.dedyn.io/word.html
hxxp://hr.dedyn.io/word.cab
hxxp://hr.dedyn.io/1.ps1
hxxp://hr.dedyn.io/upload.aspx?fn=
hxxp://hr.dedyn.io/upload2.aspx pic.twitter.com/fHsgashCNc— 섀도우 체이서 그룹 (@ShadowChasing1) 구월 15, 2021
그들의 연구에서 SafeBreach Labs는 PowerShortShell 전체 공격 체인의 분석을 설명했습니다., 올해 7월에 시작된 피싱 공격에 대한 세부 정보 제공. 가장 중요한 것은 연구자들이 PowerShortShell이라고 명명한 PowerShell Stealer 코드를 획득했다는 것입니다.. 그들 자신의 말로 그러한 이름의 이유는 대본의 구조에 있습니다., 조금 더 많이 포함되어 있었습니다. 150 윤곽. 하지만 그럼에도 불구하고 연구원들은 PowerShell 스크립트를 통해 공격자가 광범위한 정보에 액세스할 수 있다고 말합니다.: 전보 파일, 화면 캡처 및 피해자 환경.
“피해자의 거의 절반이 미국에 있습니다.. Microsoft Word 문서 내용 기반 – "코로나 학살"과 수집된 데이터의 성격에 대해 이란의 지도자를 비난합니다., 우리는 피해자가 해외에 거주하는 이란인일 수 있으며 이란의 이슬람 체제에 대한 위협으로 보일 수 있다고 가정합니다.," SafeBreach 연구소 그들의 연구에서 썼다.
그들의 공격에서, 악용된 위협 행위자 CVE-2021-40444 취약점. 매크로를 허용하지 않고 "콘텐츠 표시"에 대해 단일 승인만 요구하는 Microsoft Office MSHTML 원격 코드 실행 취약점입니다.. 연구원들은 이 캠페인이 텔레그램 감시 사용으로 인해 이란의 이슬람 정권과 연결될 수 있다고 생각합니다.. 만연한 새끼 고양이, Infy와 사나운 새끼 고양이, 이란의 위협 행위자, 또한 그것을 사용. 재미있게, 여기에서 위협 행위자는 대부분의 이란 위협 행위자가 일반적으로 사회 공학적 트릭을 수행하기 때문에 익스플로잇을 상당히 독점적으로 사용했습니다..
공격 자체는 두 단계로 구성됩니다.
공격 자체는 두 단계로 구성됩니다.: 첫 번째 피싱 및 악성 첨부 파일을 사용한 후속 스팸. 7월에 시작된 두 번의 피싱 공격 2021 공격자가 Instagram 및 Gmail에 대한 자격 증명을 수집했을 때. 이 문제에 대해 동일한 C2 서버 Deltaban을 사용했습니다.[.]어서 해봐요[.]아이오. 공격자들은 이 피싱 HTML 페이지를 합법적인 deltaban.com 여행사로 가장했습니다.. 피해자를 이란 단축 URL로 전송하는 클릭:HTTPS://윤[.]ir / jcccj. 그러면 이 URL은 로그인하도록 안내합니다.[.]어서 해봐요[.]io/Social/Google_Finish. 하나는 7월에 도메인을 등록했습니다. 2021.
위협 행위자는 피싱된 자격 증명을 누구나 찾아볼 수 있는 out.txt 파일에 덤프했습니다.. Instagram과 관련된 두 번째 피싱 캠페인. 여기서 자격 증명도 동일한 out.txt 파일로 이동했습니다.. 모든 피싱 및 C2 및 감염 서버의 발원지 95.217.50.126.
익스플로잇 공격은 차례대로 9월에 시작되었습니다. 15, 2021. 피해자가 받았다 이메일 페르시아어로 된 Winword 문서 사용. Mozdor.docx라는 제목의 첫 번째 문서. 이란 군인의 이미지 포함. 두 번째 제목은 جنامات خامنه ای입니다. Docx (하메네이 범죄.docx) 말했다: “하메네이와 함께한 일주일; 코로나 학살의 가해자들에 대한 고발, 리더 포함”. 이란 뉴스 사이트와 이란와이어 기자의 트위터 계정에 대한 링크도 첨부했다..
Word 파일은 악성 서버에 연결됩니다., 악성 html 실행, 그런 다음 %temp% 디렉토리에 dll을 드롭합니다.. mozdor.docx 파일에는 document.xml.rels 파일에 익스플로잇이 포함되어 있습니다.. 그것은 mshtml을 실행했다:HTTP://시간[.]어서 해봐요[.]io/image.html, 두 번째 docx가 mshtml을 실행하는 동안:HTTP://hr.dedyn.io/word.html. Telegram 파일의 유출은 다음을 위해 수행되었습니다. “HTTPS://hr.dedyn.io/upload2.aspx”. 연구원들은 공격의 희생자를 찾을 수 없었지만 사용 가능한 데이터를 기반으로 희생자 히트 맵을 구성했습니다.. 미국에 등록된 대부분의 케이스 전문가, 러시아 연방 및 네덜란드.
