새롭게 발견된 이란의 위협 행위자는 PowerShortShell을 이용해 Google과 Instagram의 크레덴셜을 훔쳤다.

 

PowerShortShell은 SafeBreach Labs의 보안 연구원이 제작한 도구로, PowerShell 기반의 탈취 도구이다. 이 도구는 Telegram 감시와 손상된 장치의 시스템 정보를 수집하는데 사용됐다. 

 

SafeBreach Labs는 Shadow Chaser Group가 트위터에서 보고한 이 공격은 7월에 스피어피싱 이메일로 시작되었다. 그들은 Windows 사용자를 대상으로 악성 Windows Word 첨부파일을 보냈고, Microsoft MSHTML RCE 취약점(CVE-2021-40444)을 악용하여 공격을 진행했다.

 

PowerShortShell 탈취 페이로드는 손상된 시스템에서 다운로드된 DLL에 의해 실행되고, 일단 실행되면 PowerShell 스크립트가 데이터와 스크린 샷을 수집하여 공격자의 C&C 서버로 전송한다.

 

 

 

[ 그림 1. Victims heat map (SafeBreach Labs) ]

 

 

 

SafeBreach Labs의 Tomer Bar는 "거의 절반의 피해자가 미국에 위치하고 있다. MS Word 문서의 내용을 통해 피해자가 외국에 살고 있는 이란인일 수 있고 이란 이슬람 정권에 대한 위협으로 보이는 사람임을 추정할 수 있다. Telegram 감시를 사용한 것이 전형적인 이란의 위협행위자와 유사하기 때문에 공격자는 이란의 이슬람 정권으로 추정할 수 있다."라고 말했다.

 

 

 

 

 

출처

https://www.bleepingcomputer.com/news/security/hackers-exploit-microsoft-mshtml-bug-to-steal-google-instagram-creds/