Ny PowerShortShell Stealer

På november 24, 2021 SafeBreach Labs publiserte forskning på en ny iransk trusselaktør som bruker en Microsoft MSHTML Remote Code Execution (RCE) utnytte for å målrette mot ofre med en ny PowerShell-tyver eller PowerShortShell. ShadowChasing rapporterte først saken på deres Twitter-side. Spesialister kunne imidlertid ikke få PowerShell Stealer-hashen/koden da den ikke var tilgjengelig på offentlige skadevarelager eller andre steder.

I sin forskning beskrev SafeBreach Labs analysen av PowerShortShell full angrepskjede, og ga detaljer om phishing-angrep som startet i juli i år. Viktigst av alt klarte de å skaffe seg PowerShell Stealer-koden som forskere kalte PowerShortShell. Med deres egne ord ligger årsaken til et slikt navn i strukturen til manuset, den inneholdt lite mer enn 150 linjer. Men likevel sier forskere at PowerShell-skriptet tillot en angriper å få tilgang til et bredt spekter av informasjon: telegramfiler, skjermbilder og offerets miljø.

«Nesten halvparten av ofrene befinner seg i USA. Basert på innholdet i Microsoft Word-dokumentet – som gir Irans leder skylden for "Corona-massakren" og arten av de innsamlede dataene, vi antar at ofrene kan være iranere som bor i utlandet og kan bli sett på som en trussel mot Irans islamske regime,” SafeBreach Labs skrev i sin forskning.

I sine angrep, trusselen aktøren utnyttet CVE-2021-40444 sårbarhet. Det er et Microsoft Office MSHTML-sårbarhet for ekstern kjøring av kode som ikke tillater makroer og krever bare en enkelt godkjenning for å "vise innhold". Forskere tror at kampanjen kan være knyttet til Irans islamske regime på grunn av bruken av Telegram-overvåking. Utbredt kattunge, Infy ​​og vilt kattunge, Irans trusselaktører, brukte den også. Interessant, her brukte trusselaktører ganske eksklusiv bruk av utnyttelser fordi de fleste av de iranske trusselaktørene generelt gjør sosiale ingeniørtriks.

Selve angrepet besto av to trinn

Selve angrepet besto av to trinn: første phishing og den påfølgende spamming med ondsinnede vedlegg. De to phishing-angrepene startet i juli 2021 da trusselaktører samlet inn legitimasjon for Instagram og Gmail. For denne saken brukte de den samme C2-serveren Deltaban[.]kom igjen[.]io. Angripere maskerte denne phishing HTML-siden som det legitime deltaban.com reisebyrå. Et klikk som vil overføre offeret til en iransk kort URL:https://yun[.]ir / jcccj. Denne nettadressen vil da lede deg til pålogging[.]kom igjen[.]io/Social/Google_Finish. En registrerte domenet i juli 2021.

Trusselaktørene dumpet phished-legitimasjon for å filen out.txt som alle bare kunne bla gjennom. Den andre phishing-kampanjen involverte Instagram. Her gikk også legitimasjonen til den samme out.txt-filen. All phishing- og C2- og infeksjonsserver stammer fra 95.217.50.126.

Ny PowerShortShell Stealer utnytter nylig Microsoft MSHTML-sårbarhet
En angripers phishing-side

Utnyttningsangrepet startet på sin side i september 15, 2021. Et offer mottatt en e-post med et Winword-dokument på farsi. Det første dokumentet med tittelen Mozdor.docx. inkludert bilder av iranske soldater. Den andre med tittelen Khameneis forbrytelser.docx (Khamenei Crimes.docx) sa: «En uke med Khamenei; Klag på gjerningsmennene til Corona-massakren, inkludert lederen". Den hadde også vedlagte lenker til den iranske nyhetssiden og Twitter-kontoen til en IranWire-journalist.

Ny PowerShortShell Stealer utnytter nylig Microsoft MSHTML-sårbarhet
Dette er hva ofre fikk i et av dokumentene

Word-filene vil koble til den ondsinnede serveren, utfør den ondsinnede html, og slipp deretter en dll til %temp%-katalogen. Mozdor.docx-filen inkluderte en utnyttelse i filen document.xml.rels. Den kjørte mshtml:HTTP://hr[.]kom igjen[.]io/bilde.html, mens den andre docx kjørte mshtml:HTTP://hr.dedyn.io/word.html. Eksfiltreringen av Telegram-filene ble gjort for å “https://hr.dedyn.io/upload2.aspx”. Forskere kunne ikke finne ofrene for angrepene, men de konstruerte ofrenes varmekart basert på tilgjengelige data. De fleste tilfeller spesialister registrert i USA, Russland og Nederland.

Andrew Nail

Cybersikkerhetsjournalist fra Montreal, Canada. Studerte kommunikasjonsvitenskap ved Universite de Montreal. Jeg var ikke sikker på om en journalistjobb er det jeg vil gjøre i livet mitt, men i forbindelse med tekniske vitenskaper, det er akkurat det jeg liker å gjøre. Min jobb er å fange opp de nyeste trendene i cybersikkerhetsverdenen og hjelpe folk til å håndtere skadelig programvare de har på PC-ene sine.

Legg igjen et svar

Tilbake til toppen-knappen