#Powershortshell Stealer for #Iranian
در روزهای گذشته یک حمله به برخی ارگان های داخل کشور اتفاق افتاده مبتنی بر آسیب پذیری CVE-2021-40444 که یک آسیب پذیری از نوع فایل فرمت Word هستش و از قرار معلوم موفق هم بوده

مهاجمین طبق معمول با استفاده از Spear Phishing Mail شروع به پخش ایمیل جعلی کردند که یک فایل word بهش Attachment شده بود، و جالبه که با استفاده از Internal Recon سیستم عامل قربانی ها مامور بر گرفتن دسترسی از مخاطبان فارسی زبان گرفته، یعنی فقط ایرانی ها هدف قرار گرفتند

محتوای ایمیل مشخصه که محتوای تحریکات سیاسی داره، اما در مورد ابعاد فنی میبایست گفت که مراحل Initial مربوط به Exploit به این صورت بوده که اول یک document ساخته میشه یک Bitmap Image اضافه میشه بعد doc بسته شده و Unzip میشه و فایل document.xml.rels بهش یک دامنه و فایل External معرفی میشه

در ادامه فایل document.xml باید به OLEObject اضافه شده که مبتنی بر اون COM Object مربوط به DLL ها یعنی rundll32.exe فراخوان خواهد شد و جالبه که از cpl برای اجرای فرمت inf استفاده شده که یک جبر مربوط به خود آسیب پذیری بوده.

@Unk9vvN