Menu dostępności

Stealer o nazwie PowerShortShell wykorzystuje ostatnią lukę Microsoftu

Specjaliści z SafeBreach Labs odkryli nowego irańskiego gracza wykorzystującego exploita Microsoft MSHTML Remote Code Execution (RCE) do infekowania ofiar za pomocą prostego, złośliwego skryptu PowerShell. Aktor zainicjował atak w połowie września 2021 r. a po raz pierwszy zgłosiła go grupa ShadowChasing1 na Twitterze. Jednak kod skryptu PowerShell nie został wtedy opublikowany i nie został uwzględniony w VirusTotal ani w innych publicznych repozytoriach złośliwego oprogramowania.

SafeBreach Labs przeanalizowało cały łańcuch ataków, odkryli nowe zagrożenia phishingowe, które rozpoczęły się w lipcu tego roku, i zdobyły ostatni i najciekawszy element układanki — kod PowerShell Stealer’a — który nazwano PowerShortShell. Powodem, dla którego wybrano tę nazwę, jest fakt, że złodziejem informacji jest skrypt PowerShell – bardzo krótki, lecz z potężnymi możliwościami gromadzenia danych. Napisany w zaledwie 150 wierszach, dostarcza hackerom wiele krytycznych informacji, w tym zrzuty ekranu, pliki aplikacji Telegram, zbiera dokumenty i obszerne dane o środowisku ofiary.

Prawie połowa pokrzywdzonych znajduje się w Stanach Zjednoczonych. Bazując na treści dokumentu Microsoft Word – który obwinia przywódcę Iranu za „Masakrę w Koronie” i charakter zebranych danych, zakładamy, że ofiarami mogą być Irańczycy mieszkający za granicą i mogą być postrzegani jako zagrożenie dla reżimu Iranu. Przeciwnik może być związany z Państwem Islamskim, ponieważ użycie Telegram’a jest typowe dla znanych cyberprzestępców, takich jak Infy, Ferocious Kitten i Rampant Kitten. Co zaskakujące, wykorzystanie exploitów do infekcji jest dość nietypowe dla irańskich hackerów, którzy w większości przypadków w dużym stopniu polegają na sztuczkach socjotechnicznych.

źródło: SafeBreach; Statystyczna dystrybucja ataku

Jak wygląda atak?

Tak jak wspominaliśmy całość polega, tak naprawdę na wykorzystaniu exploita CVE-2021-40444 i uruchomieniu skryptu zbierającego i kradnącego informacje. Poniżej etapy ataku.

Krok 1 – Atak rozpoczyna się od wysłania wiadomości typu spear phishing (z załącznikiem Winword), którą ofiara ma otworzyć.

Krok 2 — Plik Word łączy się ze złośliwym serwerem, wykonuje złośliwy kod html, a następnie umieszcza bibliotekę DLL w katalogu %temp%.

  • Relacja przechowywana w pliku xml document.xml.rels wskazuje na złośliwy kod HTML na serwerze C2: mshtml:http://hr[.]dedyn[.]io/image.html.
  • JScript w kodzie HTML zawiera obiekt wskazujący na plik CAB i ramkę iframe wskazującą na plik INF, poprzedzone dyrektywą „.cpl:”.
  • Plik CAB zostaje otwarty. Ze względu na lukę w przeszukiwaniu katalogów w CAB możliwe jest przechowywanie pliku msword.inf w %TEMP%.

Krok 3 — Złośliwa biblioteka DLL wykonuje skrypt PowerShell.

  • Plik INF jest otwierany za pomocą dyrektywy „.cpl:”, co powoduje boczne ładowanie pliku INF przez rundll32: na przykład: ’.cpl:../../../../../Temp/ Niski/msword.inf”.
  • Msword.inf to biblioteka dll, która pobiera i wykonuje końcowy ładunek (skrypt PowerShell).
  • Skrypt PowerShell zbiera dane i przenosi je na serwer C2 atakującego.

Nie umieszczamy całego kodu złośliwego skryptu, ale za to poniżej znajduje się tabelka z listą komend wykonywanych przez skrypt w systemie ofiary.

źródło: SafeBreach

Podsumowanie

Chociaż infekcje związane z wdrożeniem złodzieja informacji zaobserwowano 15 września, dzień po tym, jak Microsoft wydał łatki dla luki, wspomniany serwer C2 został również wykorzystany do przechwytywania danych uwierzytelniających do Gmaila i Instagrama ofiar w ramach dwóch kampanii phishingowych zorganizowanych przez tą samą grupę przestępczą w lipcu 2021 roku. Serwer C2 cały czas odpowiada i funkcjonuje i jest oznaczony przez większość silników AV jako „malicious”.

Na stronie SafeBreach dostępne są szczegółowe IOC ataku.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...
USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

Przez lata wydawało się, że bezpieczeństwo urządzeń USB jest tematem dobrze zrozumianym. Owszem, pojawiały się ataki wykorzystujące firmware, fałszywe klawiatury czy modyfikowane pendrive'y, ale więks...