एक नए ईरानी खतरे वाले अभिनेता को माइक्रोसॉफ्ट विंडोज एमएसएचटीएमएल प्लेटफॉर्म में एक अब-संबोधित महत्वपूर्ण दोष का फायदा उठाते हुए फ़ारसी-भाषी पीड़ितों को लक्षित करने के लिए एक नए पॉवरशेल-आधारित सूचना चोरी करने वाले के साथ संक्रमित मशीनों से व्यापक विवरण प्राप्त करने के लिए डिज़ाइन किया गया है।

“[T]वह चोरी करने वाला एक पावरशेल स्क्रिप्ट है, जो शक्तिशाली संग्रह क्षमताओं के साथ छोटा है – केवल ~ 150 लाइनों में, यह स्क्रीन कैप्चर, टेलीग्राम फाइलों, दस्तावेज़ संग्रह और पीड़ित के पर्यावरण के बारे में व्यापक डेटा सहित कई महत्वपूर्ण जानकारी प्रदान करता है,” सेफब्रीच लैब्स शोधकर्ता तोमर बरो कहा बुधवार को प्रकाशित एक रिपोर्ट में।

स्वचालित GitHub बैकअप

लगभग आधे लक्ष्य अमेरिका से हैं, साइबर सुरक्षा फर्म ने ध्यान दिया कि हमलों का लक्ष्य “ईरानी जो विदेश में रहते हैं और ईरान के इस्लामी शासन के लिए खतरे के रूप में देखे जा सकते हैं।”

फ़िशिंग अभियान, जो जुलाई 2021 में शुरू हुआ, में CVE-2021-40444 का शोषण शामिल था, एक रिमोट कोड निष्पादन दोष जिसका विशेष रूप से तैयार किए गए Microsoft Office दस्तावेज़ों का उपयोग करके शोषण किया जा सकता था। भेद्यता थी समझौता Microsoft द्वारा सितंबर 2021 में, सप्ताह बाद रिपोर्टों जंगली में सक्रिय शोषण का उदय हुआ।

“एक हमलावर एक Microsoft Office दस्तावेज़ द्वारा उपयोग किए जाने के लिए एक दुर्भावनापूर्ण ActiveX नियंत्रण तैयार कर सकता है जो ब्राउज़र रेंडरिंग इंजन को होस्ट करता है। फिर हमलावर को उपयोगकर्ता को दुर्भावनापूर्ण दस्तावेज़ खोलने के लिए राजी करना होगा। जिन उपयोगकर्ताओं के खाते कम उपयोगकर्ता अधिकार रखने के लिए कॉन्फ़िगर किए गए हैं सिस्टम प्रशासनिक उपयोगकर्ता अधिकारों के साथ काम करने वाले उपयोगकर्ताओं की तुलना में कम प्रभावित हो सकता है,” विंडोज निर्माता ने नोट किया था।

सेफब्रीच द्वारा वर्णित हमले का क्रम एक स्पीयर-फ़िशिंग ईमेल प्राप्त करने वाले लक्ष्यों से शुरू होता है जो एक अनुलग्नक के रूप में एक वर्ड दस्तावेज़ के साथ आता है। फ़ाइल को खोलना CVE-2021-40444 के लिए शोषण को ट्रिगर करता है, जिसके परिणामस्वरूप “PowerShortShell” नामक एक पॉवरशेल स्क्रिप्ट का निष्पादन होता है जो संवेदनशील जानकारी को हूवर करने और उन्हें कमांड-एंड-कंट्रोल (C2) सर्वर पर प्रसारित करने में सक्षम है।

डेटा उल्लंघनों को रोकें

जबकि सूचना-चोरी करने वाले की तैनाती से जुड़े संक्रमण 15 सितंबर को देखे गए थे, माइक्रोसॉफ्ट द्वारा दोष के लिए पैच जारी किए जाने के एक दिन बाद, उपरोक्त C2 सर्वर को पीड़ितों के जीमेल और इंस्टाग्राम क्रेडेंशियल्स को दो फ़िशिंग अभियानों के हिस्से के रूप में इस्तेमाल किया गया था। जुलाई 2021 में एक ही विरोधी।

विकास उन हमलों की श्रृंखला में नवीनतम है, जो पहले Microsoft के साथ MSTHML रेंडरिंग इंजन दोष का लाभ उठा चुके हैं प्रकट एक लक्षित फ़िशिंग अभियान जिसने कस्टम कोबाल्ट स्ट्राइक बीकन लोडर वितरित करने के लिए प्रारंभिक पहुँच अभियान के हिस्से के रूप में भेद्यता का दुरुपयोग किया।

.


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here