گروه جدیدی از هکرهای ایرانی با بهره‌جویی از آسیب‌پذیری پچ شده ویندوز با نام MSHTML به قربانیان فارسی زبان حمله سایبری کرده و با استفاده از اسکریپت نوین مبتنی بر پاورشل با قابلیت جمع‌آوری اطلاعات، نسبت به جمع آوری داده از سیستم آلوده اقدام نمودند.

محققان سیف بریج (SafeBreach) در گزارش خود چنین نوشتند: ” این اسکریپت سارق مبتنی بر پاورشل، توانایی بالایی در جمع‌آوری اطلاعات دارد. اسکریپت فوق تنها از ۱۵۰ خط کد تشکیل شده اما اطلاعات زیادی از جمله ضبط صفحه نمایش، فایل‌های تلگرام، اسناد و اطلاعات جامعی در مورد محیط پیرامون قربانی را به مهاجم ارسال می‌کند”.

تقریبا نیمی از قربانیان این حمله در آمریکا زندگی می‌کنند از این رو محققان بر این باورند که هدف از این حمله، تحت نظر داشتن ایرانیان مقیم خارجی است که احتمال دارد برای رژیم خطراتی را به همراه داشته باشند.

این پویش که از اوایل جولای ۲۰۲۱ آغاز شده بود با بهره‌جویی از آسیب‌پذیری CVE-2021-40444 پیاده سازی شده است. این آسیب‌پذیری جزو نقایص اجرای کد از راه دور بوده و برای نفوذ از آن طریق به یک فایل مایکروسافت آفیس دستکاری شده نیاز است. این آسیب‌پذیری در سپتامبر ۲۰۲۱ پچ شده که تا انتشار آن، هفته‌ها از گزارش وجود اکسپلویت گذشته بود.

برای بهره‌جویی از این آسیب‌پذیری، مهاجم باید فایل مایکروسافت آفیس مخصوصی را طراحی می‌کرد که در حین اجرا بر روی موتور رندرینگ مرورگر تاثیر بگذارد. سپس باید قربانی را مجاب می‌کرد تا این فایل را باز کند. کاربرانی که حساب آنها طوری تنظیم شده بود که سطح دسترسی پایین‌تری داشته باشند، از این آسیب‌پذیری در امان بودند.

بنابر گفته محققان، حمله فوق با ارسال یک ایمیل فیشینگ هدفمند به قربانی آغاز می‌شود که به آن یک فایل ورد دستکاری شده، پیوست شده است. بازکردن فایل آسیب‌پذیری CVE-2021-40444 را فعال می‌کند و در نتیجه اسکریپت پاورشل موسوم به “PowerShortShell” اجرا می‌گردد. این اسکریپت قادر است اطلاعات مهم قربانی را جمع‌آوری کرده و به سرور کنترل و فرماندهی هکر ارسال کند.

پیاده‌سازی کمپین فوق برای اولین بار ۱۵ سپتامبر ۲۰۲۱، یعنی یک روز پس از انتشار پچ امنیتی مایکروسافت مشاهده گردید. هکرها قبلا از این سرور برای جمع‌آوری اطلاعات لاگین Gmail و اینستاگرام قربانیان خود استفاده می‌کردند.

نظرات

نظر (به‌وسیله فیس‌بوک)