استفاده هکرها از آسیب پذیری MSHTML مایکروسافت برای جاسوسی از رایانه ها


به این مطلب امتیاز دهید

یک گروه هکری ایرانی از آسیب پذیری MSHTML ویندوز برای هدف قرار دادن قربانیان از طریق یک اسکریپت Powershell که قبلا وجود نشده است استفاده میکنند.

تومر بار، محقق آزمایشگاه SafeBreach در گزارشی که چهارشنبه منتشر شد، گفت:
“اسکریپت PowerShell مورد نظر کوتاه – تنها 150 خط کد – شامل قابلیت‌ های جمع‌ آوری اطلاعات زیادی از جمله عکس ‌برداری از صفحه، جمع آوری فایل‌های تلگرام، جمع‌ آوری اسناد و داده‌ های گسترده را داراست و این اطلاعات را در اختیار مهاجم قرار می‌ دهد.”

نزدیک به نیمی از کامپیوتر های مورد هدف قرار داده شده، مربوط به کامپیوتر های داخل امریکا هستند، این شرکت امنیت سایبری همچنین اظهار داشت که که هدف این حملات احتمالاً “ایرانیانی هستند که در خارج از کشور زندگی می کنند و ممکن است به عنوان تهدیدی برای رژیم ایران دیده شوند.”

کمپین فیشینگ، که در ژوئیه 2021 آغاز شد، شامل بهره برداری از آسیب پذیری CVE-2021-40444 بود، یک آسیب پذیری Remote Code Execution که می توانست با استفاده از اسناد ساخته شده توسط مایکروسافت آفیس, مورد سوء استفاده قرار گیرد. آسیب پذیری MSHTML توسط مایکروسافت در سپتامبر 2021، چند هفته پس از انتشار گزارش‌ هایی مبنی بر سو استفاده فعال در اینترنت، ایمن شد.

آسیب پذیری MSHTML مایکروسافت

مایکروسافت گفت : “یک مهاجم می تواند یک ActiveX مخرب ایجاد کند تا توسط موتور رندر مرورگر مایکروسافت آفیس اجرا شود. مهاجم باید کاربر را متقاعد کند که سند مخرب را باز کند. کاربرانی که حساب های آنها طوری پیکربندی شده است تا توانایی اجرایی کمتری داشته باشد کمتر از کاربرانی که با دسترسی ادمین کار می‌ کنند، تحت تأثیر قرار میگیرند.

 

SafeBreach زنجیره حمله را اینگونه توصیف کرده است:
این زنجیره در مرحله اول با دریافت ایمیل spear-phishing که همراه آن یک سند Word ضمیمه است شروع می شود. باز کردن فایل باعث اجرای اکسپلویت CVE-2021-40444 می‌شود که به ترتیب منجر به اجرای یک اسکریپت PowerShell با نام PowerShortShell می‌شود که می‌تواند اطلاعات حساس را جابجا کند و آنها را به یک سرور فرمان و کنترل (C2) منتقل کند.

در حالی که آلودگی‌ های مربوط به این آسیب پذیری در 15 سپتامبر مشاهده شد، یک روز پس از انتشار وصله‌ های مایکروسافت برای این نقص امنیتی، سرور C2 ذکر شده شروع به جمع‌آوری اطلاعات Gmail و Instagram قربانیان به عنوان بخشی از دو حمله هدفمند قبلی که توسط این گروه در 21 جولی انجام شد، کرد.

این حمله آخرین مورد از مجموعه حملاتی است که بر روی آسیب پذیری موتور رندر MSTHML تمرکز کرده است، مایکروسافت قبلاً یک کمپین فیشینگ هدفمند را پیدا کرده بود که از این آسیب پذیری به عنوان بخشی از یک عملیات به دست اوردن دسترسی اولیه برای توزیع لودرهای سفارشی Cobalt Strike Beacon سوء استفاده می کرد.

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.