駭侵團體利用 MSHTML 漏洞發動攻擊，竊取 Google、Instagram 登入資訊

資安廠商 SafeBreach Labs 旗下的研究人員，日前發布資安通報指出，近期新發現一個可能主要來自伊朗的駭侵團體，利用 Windows 系統已知的一個 MSHTML 解析漏洞，針對全球對象發動攻擊，竊取其 Google 與 Instagram 的登入資訊。

SafeBreach Labs 指出，該駭侵團體主要的攻擊手法，是利用魚叉式釣魚信件散布含有惡意程式碼的 Word 文件檔案，該文件檔案中的巨集程式碼，會利用一個 MSHTML 遠端執行任意程式碼漏洞 CVE-2021-40444 安裝惡意程式碼，並且透過植入的 PowerShell 指令檔收集受害者電腦中的各種機敏資訊，包括儲存資料與螢幕畫面等，送到駭侵者的控制伺服器中。

SafeBreach Labs 說，詃公司觀察到的攻擊活動，是從 2021 年七月開始發動，攻擊目標遍及全球各地；目前以美國的受害者最多，佔比達 45.8%，其次是荷蘭（12.5%）、俄羅斯、加拿大、德國（同為 8.3%）、中國、韓國、英國、印度（同為 4.2%）。

SafeBreach Labs 的研究人員表示，釣魚信件夾帶的 Word 文件，其內容是以波斯文指控伊朗政府高層造成「肺炎疫情大屠殺」；推測這波攻擊的目標，多以旅居海外，且可能被伊朗政府視為國安威脅分子的伊朗人為主。

資安專家指出，雖然在 CVE-2021-40444 這個漏洞在 2021 年 8 月公開後不到一個月，微軟就推出兩波修補程式，但可能仍有相當數量的 Windows 系統未曾套用更新，導致許多駭侵攻擊活動均透過此漏洞來發動攻擊。

本文轉載自TWCERT/CC。