社区编辑申请
注册/登录
攻击者利用微软MSHTML漏洞窃取谷歌和instagram凭证信息
安全
ISafeBreach Labs安全研究人员发现伊朗攻击者利用微软MSHTML远程代码执行漏洞通过PowerShell 窃取器恶意软件来窃取受害者谷歌和instagram凭证信息。

ISafeBreach Labs安全研究人员发现伊朗攻击者利用微软MSHTML远程代码执行漏洞通过PowerShell 窃取器恶意软件来窃取受害者谷歌和instagram凭证信息。

攻击流概述

攻击者最初是2021年9月中旬发起攻击的,首先利用的是鱼叉式钓鱼邮件。攻击中使用了一个恶意的Windows word文档附件来攻击Windows用户。该恶意文档利用了一个Windows MSHTML远程代码执行漏洞——CVE-2021-40444。CVE-2021-40444漏洞影响IE浏览器的MSTHML渲染引擎,早在8月18日微软发布安全补丁之前就出现了0 day漏洞利用。

CVE-2021-40444攻击链

受害者打开诱饵word文件后,会连接到恶意服务器,执行恶意HTML,然后在%temp% 目录下释放DLL文件。

◼保存在xml文件document.xml.rels 中的关系指向位于C2服务器上的恶意HTML:mshtml:http://hr[.]dedyn[.]io/image.html。

◼HTML文件中的JScript 脚本中含有一个指向CAB文件的对象和一个指向INF文件的iframe。

◼CAB文件打开后,由于CAB中存在目录遍历漏洞,就可以在%TEMP% 目录下保存msword.inf 文件。

然后,恶意DLL执行PowerShell脚本。

◼INF文件打开后,会通过rundll32引发INF侧加载,比如'.cpl:../../../../../Temp/Low/msword.inf'。

◼Msword.inf会下载和执行final payload的dll。

◼PowerShell脚本会收集数据并发送到攻击者的C2服务器。

受害者分布

几乎有一半的受害者位于美国。根据word文件的内容,研究人员推测受害者主要是对位于伊朗之外的伊朗人,这些人可能被视为是伊朗伊斯兰政权的威胁。

受害者分布的热力图

总结

目前利用CVE-2021-40444漏洞的攻击活动越来越多,究其原因是因为黑客论坛上有很多的教程和PoC漏洞利用。利用黑客论坛上的这些信息,很容易就可以创建可以用于攻击的CVE-2021-40444漏洞利用。BleepingComputer研究人员15分钟就复现了该漏洞,PoC视频参见:https://vimeo.com/603308077

完整技术细节参见:https://www.safebreach.com/blog/2021/new-powershortshell-stealer-exploits-recent-microsoft-mshtml-vulnerability-to-spy-on-farsi-speakers/

本文翻译自:https://www.bleepingcomputer.com/news/security/hackers-exploit-microsoft-mshtml-bug-to-steal-google-instagram-creds/如若转载,请注明原文地址。

 

责任编辑:姜华 来源: 嘶吼网
相关推荐

2022-06-20 13:34:46

漏洞网络攻击

2022-06-15 08:21:49

Linux运维工程师

2022-06-29 08:13:36

漏洞网络攻击网络安全

2022-06-29 14:46:00

网络攻击数据泄露勒索软件

2022-06-16 15:42:16

攻击面管理ASM

2022-06-14 23:34:10

Linux安全服务器

2022-06-09 18:04:46

网络攻击网络安全

2022-06-15 14:40:54

英特尔漏洞

2022-06-30 11:03:27

DDoS攻击WAF

2022-06-28 10:58:35

勒索软件攻击事件

2022-06-27 17:46:53

PythonFlask

2022-06-28 12:14:02

DockerLinux

2022-06-28 12:35:21

DockerPython

2022-06-28 05:35:46

勒索软件网络安全网络攻击

2022-06-10 07:45:09

CentOS国产操作系统

2022-06-02 16:28:11

Telegram网络钓鱼帐户

2022-06-09 10:12:01

网络安全人工智能威胁监测

2022-05-11 09:18:04

微软PowerShell降级

2022-06-16 16:12:57

网络资产攻击面管理CAASM

2022-06-29 09:58:53

物联网供应链

同话题下的热门内容

超低成本 DDoS 攻击来袭,看 WAF 如何绝地防护都怪二维码,造就了网友们的社死现场...2022年上半年五大勒索软件攻击事件谁家的加密密钥,写死在代码里?就因为QQ登录二维码,全网发生了大规模的社死黑客组织对印度政府发动了网络攻击如何最大限度提升智能建筑中的网络安全?监管机构禁令频发,谷歌将被禁止追踪数百万用户数据

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号