کمیته رکن چهارم – محققان امنیتی هشدار دادند که مهاجمان از یک پروندهی مخرب پاورپوینت به همراه یک آسیبپذیری وصلهشده در مایکروسافت بهرهبرداری کرده و سازمان ملل متحد، وزارتخانههای امور خارجه و سازمانهای بینالمللی را هدف قرار میدهند.
در این حملات از یک پروندهی مخرب با نام ADVANCED DIPLOMATIC PROTOCOL AND ETIQUETTE SUMMIT.ppsx و آسیبپذیری با شناسهی CVE-۲۰۱۷-۰۱۹۹ بهرهبرداری میشود. گفته میشود شرکت مایکروسافت این آسیبپذیری را در ماه آوریل وصله کرده است. قبلا نیز مهاجمان از این آسیبپذیری برای توزیع بدافزارهایی مانند Dridex ،WingBird ،Latentbot و Godzilla بهرهبرداری شده بود. این بهرهبرداری همچنان در فضای مجازی موجود بوده و مهاجمان در حملات خود از آن استفاده میکنند.
ماه قبل نیز شاهد بودیم که در حملاتی از پروندههای پاورپوینت به همراه بهرهبرداری از آسیبپذیری CVE-۲۰۱۷-۰۱۹۹ برای توزیع بدافزار استفاده میشد. در این حملات نسخهی آلوده به تروجانِ REMCOS و تروجانهای دسترسی از راه دور توزیع میشد. زمانی که در پروندهی پاورپوینت، ویژگی «نمایش اسلاید» باز میشود، یک اسکریپت راهاندازی شده و بهرهبرداری مورد نظر، یک کدِ راه دور را از یک پروندهی XML به همراه جاوا اسکریپت از دامنهی narrowbabwe[.]net. بارگیری میکند. در ادامه آن را با استفاده از ویژگی «نمایش اسلاید» در پاورپوینت اجرا میکند.
این بهرهبرداری همچنین قادر است کنترل حساب کاربری را با سرقت رجیستری دور زده و در ادامه پروندهی eventvwr.exe را اجرا کند. دور زدن این ویژگی برای اولین بار در ماه اوت سال ۲۰۱۶ میلادی مورد بررسی قرار گرفت. جاوا اسکریپتی که در داخل پروندهی XML وجود دارد، میتواند پروندهای را در دایرکتوری نوشته و خود را در قالب وصلهای برای مایکروسافت آفیس جا بزند.
این اسکریپت همچنین این قابلیت را دارد که تشخیص دهد که آیا در داخل ماشین مجازی اجرا میشود و یا خیر. اگر اسکریپت تشخیص دهد که در داخل ماشین مجازی اجرا نمیشود، میتواند فرآیند خود را ادامه داده و دادههایی را برای کارگزار راه دور ارسال کند. هرچند در زمان تحلیل این حملات، کارگزارهای دستور و کنترل آن از کار افتاده است ولی محققان میگویند پاسخهایی که کارگزار ارسال میکرد حاوی دستورات مختلفی بود که با استفاده از تابع eval() اجرا میشدند. پس از اجرای دستورات، اسکریپت اعلانی را به سمت کارگزار ارسال میکرد.
محققان میگویند احتمالا با اجرای این دستورات، بار دادهی نهایی بدافزار بارگیری میشد. محققان سیسکو ماه گذشته کشف کردند که مهاجمان از بهرهبرداریهای آفیس برای دور زدن سامانههای امنیتی و افزایش ترخ تحویل بدافزارها استفاده میکنند. محققان اخیرا نیز متوجه شدند که مهاجمان میتوانند در داخل یک کد، روشهای مختلفی را پیادهسازی کرده و از تشخیص فرار کرده و امتیازات خود را ارتقاء دهند.
منبع : news.asis.io
