کمیته رکن چهارم – ماهها قبل در خبرها منتشر شد که چطور باز کردن یک پروندهی مایکروسافت ورد میتواند رایانهی شما را آلوده کند و علت آن نیز وجود یک آسیبپذیری در مایکروسافت آفیس بود. یک آسیبپذیری اجرای کد از راه دور در مجموعه نرمافزاری مایکروسافت آفیس مربوط به واسطهای OLE در ماه آوریل سال جاری وصله شد ولی شاهد هستیم که مهاجمان در بخشهای مختلفی همچنان از این آسیبپذیری بهرهبرداری میکنند. محققان امنیتی پویش بدافزاری جدیدی را شناسایی کردند که از همین آسیبپذیری بهرهبرداری کرده و حمله با استفاده از یک ضمیمهی آلوده در رایانامههای فیشینگ آغاز میشود. این رایانامهها بیشتر به سمت سازمانهایی در حوزههای الکترونیک ارسال شده است.
این حمله چگونه کار میکند؟
سناریوی کامل این حمله در ادامه مرحله به مرحله توضیح داده شده است.
مرحلهی ۱: حمله با یک رایانامهی فیشینگ شروع میشود که در آن یک ضمیمهی پاورپوینت وجود دارد. در این رایانامه ادعا شده است که در این پرونده، یک سری اطلاعات در مورد سفارشهای مشتری ارائه شده است.
مرحلهی ۲: زمانی که این پرونده اجرا شد، پاورپوینت یک پروندهی XML را فراخوانی میکند. این پرونده طوری برنامهنویسی شده است که از یک موقعیت در راه دور، پروندهای با نام logo.doc را بارگیری میکند و با استفاده از ویژگی انیمیشنی «نمایش پاورپوینت» آن را اجرا میکند.
مرحلهی ۳: پروندهی مخرب Logo.doc سپس از آسیبپذیری CVE-۲۰۱۷-۰۱۹۹ بهرهبرداری میکند. بهرهبرداری از این آسیبپذیری منجر به این خواهد شد که پروندهی مخرب RATMAN.exe بر روی سامانهی هدف نصب شود.
مرحلهی ۴: پروندهی RATMAN.exe به یک تروجان آلوده شده است که ابزار کنترل راه دورِ Remcos استفاده میکند. این ابزار پس از نصب شدن به مهاجم اجازه میدهد تا بر سامانههای آلوده با استفاده از کارگزار دستور و کنترل نظارت داشته باشد.
ابزار Remcos یک ابزار قانونی و ویژه برای دسترسی از راه دور است که به کاربر اجازه میدهد تا سامانهی خود را از راه دور کنترل کند. همچنین این ابزار قابلیتهایی مانند بارگیری و اجرای دستورات، کیلاگر، ثبت تصاویر از صفحات و ضبط از وبکم و میکروفون را نیز اجازه میدهد. به دلیل اینکه بهرهبرداری از این آسیبپذری منجر به تحویل پروندهی RTF. میشود، بسیاری از سامانههای تشخیص آسیبپذیریِ CVE-۲۰۱۷-۰۱۹۹ بر روی چنین پروندههایی متمرکز شدهاند. بنابراین استفاده از پروندههای پاورپوینت به مهاجم اجازه میدهد تا راهحلهای تشخیص بدافزار را دور بزند. تنها راه برای جلوگیری از آلوده شدن به این بدافزارها این است که آخرین بهروزرسانیهای مایکروسافت را دریافت کرده و این آسیبپذیری را وصله کنید.
منبع : asis
