요약 : 새롭게 발견된 이란의 해킹 조직이 전 세계 페르시아어 구사자들의 구글 및 인스타그램 계정 크리덴셜을 훔치고 있다. 크리덴셜 탈취의 궁극적 목적은 아직 불분명하다. 공격자들은 파워셸을 기반으로 한 정보 탈취 멀웨어인 파워쇼트셸(PowerShortShell)을 사용하고 있다. 이 캠페인은 7월부터 시작된 것으로 보이며 MSHTML이라는 취약점을 익스플로잇 하는 전략이 주로 사용되고 있다.
[이미지 = utoimage]
배경 : MSHTML 버그는 CVE-2021-40444이며 원격 코드 실행을 가능하게 한다. 공격자들은 이 취약점을 익스플로잇 하기 위해 가짜 윈도 워드패드 문서를 피해자들에게 전송한다. 파워쇼트셸은 각종 데이터와 스크린샷을 확보해 공격자들에게 전송한다.
말말말 : “피해자들의 절반은 미국에 있습니다. 피싱 문서는 주로 이란의 리더십을 폄하 및 비판하는 내용을 담고 있고요. 이를 봤을 때 공격자들이 노리는 건 이란 정권에 반대하는 해외 이란인들일 듯합니다.” -세이프브리치(Safebreach)-
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>