【安全资讯】伊朗攻击者利用CVE-2021-40444漏洞攻击讲波斯语的受害者

引言

自2021 年 9 月中旬起，一个新的伊朗威胁组织利用 Microsoft Windows MSHTML平台中的关键漏洞，攻击了讲波斯语的受害者。攻击者使用了一种名为PowerShortShell新型信息窃取程序，旨在从受感染的机器中窃取信息。

简况

攻击者首先发送带有 Winword 附件的鱼叉式网络钓鱼邮件，诱使受害者打开。打开该文件会触发 CVE-2021-40444 的漏洞利用。活动中传播的一个文档名为Mozdor.docx，包含伊朗士兵的图像，如下图：

另一个漏洞利用文件名为“جنایات خامنه ای.docx (哈梅内伊犯罪.docx)”。文档内容包含与哈梅内伊、科罗娜大屠杀的肇事者等信息，还包含指向伊朗新闻网站和 伊朗通讯社记者Twitter 帐户的链接。

Word 文件连接到恶意服务器，执行恶意 html，然后将DLL 放入%temp% 目录。Word.html执行带有 inf 扩展名的 dll。Msword.inf下载和执行PowerShortShell。

窃取程序是一个 PowerShell 脚本，具有强大的收集功能，为攻击者提供了大量关键信息，包括屏幕截图、电报文件、文档收集以及有关受害者环境的大量数据。

漏洞利用攻击始于2021年9月15日。攻击者在2021年7月使用了相同的 C2 服务器：Deltaban[.]dedyn[.]io。这是一个伪装成合法deltaban.com旅行社的钓鱼HTML页面。该网站可以窃取Google和Instagram的凭据。

目前暂未确定确切的受害者，研究人员构建的受害者热图如下：

总结

此次攻击活动针对讲波斯语的受害者，几乎一半的受害者位于美国。根据 文档内容中对伊朗领导人的指责，以及所收集数据的性质，研究人员假设，活动针对的目标可能是居住在国外的伊朗人。攻击者可能与伊朗的伊斯兰政权有关。