بهره‌گیری از ماکروهای Outlook برای توزیع بدافزار

کمیته رکن چهارم – مهاجمان Gamaredon با غیرفعال کردن سازوکار حفاظتی در Outlook اسکریپت‌های مخرب خود را تحت ماکرو (Macro) اجرا کرده و در ادامه از طریق حملات فیشینگ هدفمند بدافزارها را بر روی سایر سیستم‌ها گسترش می‌دهند.

ابزارهای مورد استفاده توسط گروه هکری Gamaredon مجهز به ماژولی برای نرم‌افزار Microsoft Outlook شده‌اند که پس از ایجاد ایمیل‌های فیشینگ با پیوست اسناد مخرب اقدام به ارسال آنها به نشانی‌های ایمیل موجود در فهرست تماس قربانی می‌کند.

مهاجمان Gamaredon با غیرفعال کردن سازوکار حفاظتی در Outlook اسکریپت‌های مخرب خود را تحت ماکرو (Macro) اجرا کرده و در ادامه از طریق حملات فیشینگ هدفمند بدافزارها را بر روی سایر سیستم‌ها گسترش می‌دهند.

Gamaredon که با نام Primitive Bear نیز شناخته می‌شود از اواخر سال ۲۰۱۳ فعال بوده است. فعالیت این گروه از دسامبر ۲۰۱۹ شدت بیشتری یافته است.

در کارزارهای مخرب اخیر، بسته جدید مورد استفاده Gamaredon شامل یک پروژه Visual Basic for Applications – به اختصار VBA – (در قالب فایل OTM) است که Microsoft Outlook را با ماکروی حاوی اسکریپت‌های مخرب هدف قرار می‌دهد.

هک کردن حساب ایمیل برای توزیع بدافزار بر روی سیستم کاربرانی که در فهرست تماس قربانی قرار دارند موضوع جدیدی نیست؛ اما بر اساس گزارشی که شرکت ESET آن را منتشر کرده سازوکار استفاده شده توسط Gamaredon تا پیش از این به‌صورت عمومی مستند نشده بوده است.

با تحلیل ماژول، محققان این شرکت زنجیره‌ای از رویدادها را کشف کرده‌اند که نقطه آغاز آن یک کد VBScript است که پروسه Outlook را متوقف می‌کند.

در ادامه، اسکریپت، ضمن دست‌درازی به مقادیر محضرخانه (Registry) به‌نحوی که کنترل‌های امنیتی ماکرو در Outlook غیرفعال شوند یک فایل مخرب OTM را که وظیفه آن تسهیل ارسال اسناد مخرب به نشانی‌های ایمیل درج شده در فهرست تماس است بر روی دیسک ذخیره می‌کند.

Outlook در آن واحد تنها از یک پروژه VBA پشتیبانی می‌کند و فایل OTM استفاده شده در کارزار Gamaredon شامل ماکرویی با اسکریپت VBA در یک پیوست مخرب ایمیل است.

برخی مواقع نیز ممکن است شامل فهرستی از اهداف باشد که باید پیام‌هایی به آنها ارسال شود. به گفته ESET مهاجمان می‌توانند تمامی ایمیل‌های موجود در فهرست تماس قربانی، همه افراد سازمان یا مجموعه‌ای از ایمیل‌های خاص را هدف حملات فیشینگ خود قرار دهند.

کد VBA مسئولیت ایجاد ایمیل و تکمیل آن را با متن و فایل‌های مخرب پیوست (با پسوند DOCX و LNK) بر عهده دارد.

به گفته محققان، Gamaredon مجهز به چندین نسخه از ماژول CodeBuilder است. کار این ماژول تزریق ماکروهای مخرب یا الگوهای موسوم به Remote Template در اسناد ذخیره شده بر روی دستگاه آلوده است.

این سازوکار از آن جهت مؤثر است که اسناد معمولاً در میان کاربران سازمان به اشتراک گذاشته می‌شوند و به دلیل تعدد باز شدن اسناد مخرب عملاً بدافزار جای پای خود را در سازمان محکم می‌کند.
ESET معتقد است که این ماژول‌های تزریق ماکرو قادر به دست‌درازی به تنظیمات امنیتی ماکرو در Microsoft Office هستند. بنابراین قربانی متوجه آلوده شدن مجدد دستگاه در هر بار باز شدن هر یک از اسناد آلوده نمی‌شود. در پیاده‌سازی این روش‌ها از زبان‌های برنامه/کدنویسی C#، C++ و VBScript استفاده شده است.

در کارزار Gamaredon انواع کدهای مخرب زیر بر روی دستگاه قربانی اجرا می‌شوند:
دریافت‌کنندگان (Downloader) که یک بدافزار را دریافت و اجرا می‌کنند.
درب‌های پشتی (Backdoor) و سارقین (Stealer) که با پویش اسناد آنها را به سرور فرماندهی (C۲) ارسال می‌کنند. همچنین می‌توانند با دریافت کدهای دیگر از سرور فرماندهی نسبت به اجرای آنها بر روی سیستم قربانی اقدام کنند.
فایل Batch/ VBScript که با پویش سیستم برای یافتن اسناد Word نام آنها را در یک فایل متنی ذخیره می‌کند.

برخی نمونه‌ها از موارد مذکور نسخی به‌روز شده از کدهایی هستند از سال ۲۰۱۷ مورد استفاده قرار می‌گرفته‌اند. تعدادی نیز نسخی هستند که با زبان برنامه‌نویسی متفاوت بازنویسی شده‌اند.
در کدهای مخرب Gamaredon، به‌خصوص در اسکریپت‌های آن، باگ‌ها و خطاهایی به چشم می‌خورد که ESET معتقد است که دلیل آن تعداد بالای کدهای تولید شده توسط این مهاجمان و سرعت بالا در فرایند ایجاد آنهاست.

منبع: مرکز مدیریت راهبردی افتا