Les acteurs de la menace iraniens utilisent PowerShortShell pour exploiter les failles de Microsoft

par ·

  • Français


    • Les experts en sécurité de SafeBreach Labs ont identifié un nouveau groupe d’acteurs menaçants iraniens exploitant une faille Microsoft MSHTML Remote Code Execution (RCE) – CVE-2021-40444. Le groupe aurait utilisé un nouveau code de voleur PowerShell, baptisé PowerShortShell, pour cibler les comptes de médias sociaux des utilisateurs de langue farsi depuis la mi-septembre 2021.

    PowerShortShell expliqué

    Les chercheurs de SafeBreach Labs ont déclaré que le groupe d’acteurs menaçants avait tiré parti des e-mails de phishing pour distribuer le script PowerShortShell sur les appareils ciblés. PowerShortShell a permis aux pirates informatiques d’accéder à des données critiques, notamment des captures d’écran, des fichiers de télégrammes, une collecte de documents et de nombreuses données sur l’environnement de la victime. Bien que les opérateurs derrière la campagne PowerShortShell soient inconnus, les chercheurs ont déclaré que le groupe pourrait être lié au régime islamique iranien.

    « Sur la base du contenu du document Microsoft Word, nous supposons que les victimes pourraient être des Iraniens qui vivent à l’étranger et pourraient être considérées comme une menace pour le régime islamique iranien. L’adversaire pourrait être lié au régime islamique iranien puisque la surveillance par Telegram est typique des acteurs de la menace iraniens comme Infy, Ferocious Kitten et Rampant Kitten. Étonnamment, l’utilisation d’exploits pour l’infection est unique aux acteurs iraniens de la menace, qui s’appuient fortement sur des astuces d’ingénierie sociale », ont déclaré les chercheurs.

    Séquence d’attaque PowerShortShell

    • L’attaque commence par l’envoi d’un e-mail de spear phishing (avec une pièce jointe Winword) que la victime est amenée à ouvrir.
    • Il exploite ensuite la vulnérabilité d’exécution de code à distance Microsoft MSHTML CVE-2021-40444.
    • Le fichier Word se connecte au serveur malveillant, exécute le code HTML malveillant, puis dépose une DLL dans le répertoire %temp%.
    • La DLL malveillante exécute le script PowerShell.
    • inf est une DLL qui télécharge et exécute la charge utile finale (script PowerShell).
    • Le script PowerShell collecte les données et les exfiltre vers le serveur C2 de l’attaquant.

    Lisez aussi : Microsoft identifie six groupes d’acteurs d’État iraniens déployant un ransomware

    Les chercheurs ont découvert deux campagnes de phishing destinées à collecter des informations d’identification pour Gmail et Instagram à l’aide du serveur C2 – Deltaban[.]dedyn[.]io – une page HTML de phishing se faisant passer pour l’agence de voyages légitime deltaban.com.

    Victimes affectées

    Bien que les victimes exactes de PowerShortShell soient inconnues, le nombre de victimes signalées comprend les États-Unis (45,8 %), suivis des Pays-Bas (12,5 %), de la Russie (8,3 %), du Canada (8,3 %), de l’Allemagne (8,3 %), de la Chine. (4,2%) et l’Inde (4,2%).

    Indicateurs de compromis (IOC)

    • dedyn.io – C2 et serveur d’infection
    • dedyn.io – hameçonnage
    • dedyn.io – hameçonnage
    • dedyn.io – hameçonnage

    Source

    Étiquettes :

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *