کمیته رکن چهارم – کارشناسان در ترندمیکرو حملات بدافزاری گزارش کردند که برای هدف قرار دادن کاربران از برنامهی واژهپرداز Hangul استفاده میکنند. مهاجمان دوباره برنامه واژهپرداز HWP را برای هدف قرار دادن کاربران در کرهی جنوبی استفاده کردند. این برنامه در کره جنوبی بسیار محبوب است و در چندین عملیات نفوذ علیه اشخاص کشور مورد بهرهبرداری قرار گرفته است. در حملات اخیر، نفوذگران از واژهپرداز Hangul همراه با زبان برنامهنویسی پستاسکریپت استفاده میکنند. مهاجمان از رایانامههایی که پیوستهای مخرب دارند برای ارائه این بدافزار استفاده میکنند.
ترندمیکرو در بیانیهای اعلام کرد: «یک نسخه در پستاسکریپت که پستاسکریپت بستهبندیشده نامیده میشود، وجود دارد که محدودیتهایی را به کدی که ممکن است درحال اجرا باشد، اضافه میکند. قرار است باز کردن اسناد امنتر شود، اما متاسفانه نسخههای قدیمیتر HWP این محدودیتها را به طور نامناسبی پیادهسازی کردهاند. ما بررسی پیوستهایی که شامل پستاسکریپت مخربی که برای نصب کلیدهای میانبر یا پروندههای مخرب حقیقی در سامانه مورد نفوذ، استفاده میشوند، را شروع کردهایم.» اگرچه پستاسکریپت بستهبندیشده، زمان باز کردن یک سند، محدودیتهایی را به امن کردن سامانه اضافه میکند، نسخههای قدیمیتر HWP این محدودیت را به طور نامناسبی پیادهسازی کردهاند. مهاجمان به استفاده از پیوستهای حاوی پستاسکریپت مخرب، برای قرار دادن کلیدهای میانبر یا پروندههای مخرب بر روی سامانه تحت نفوذ، روی آوردهاند.
کارشناسان این نکته را یادآور شدند که بعضی از این خطهای عنوان و نامهای اسناد که توسط مهاجمان مورد استفاده قرار گرفته بودند شامل «بیتکوین» و «استانداردسازی امنیت مالی» بودند. محققان تأکید کردند که مهاجمان از یک بهرهبرداری واقعی استفاده نمیکنند، اما از یک ویژگی پستاسکریپت برای دستکاری پروندهها سوءاستفاده میکنند. پستاسکریپت قادر به اجرای دستورات شل نیست، اما مهاجمان با قرار دادن پروندههایی در پوشههای راهاندازی مختلف، رفتار مشابهی را فراهم میکنند، سپس زمانیکه کاربر ماشین را دوباره راهاندازی میکند، این پروندهها اجرا میشوند. در این تحلیل آمده است که چند مورد از راههایی که در بررسیها مشاهده شده، به شرح زیر است:
۱)یک کلید میانبر در پوشه راهاندازی قرار میدهند که MSHTA.exe را اجرا میکند تا یک پرونده جاوااسکریپت را اجرا کند.
۲)یک کلید میانبر در پوشه راهاندازی و یک پروندهی DLL در مسیر ٪ Temp٪ قرار میدهند. این کلید میانبر، rundll۳۲.exe را برای اجرای پرونده DLL ذکر شده، فراخوانی میکند.
۳)یک پرونده قابل اجرا در پوشه راهاندازی قرار میدهند.
یکی از حملات مشاهده شده توسط محققان در ترندمیکرو، پرونده gswin۳۲c.exe را بازنویسی میکند، که در آن مفسر پستاسکریپت توسط برنامهی واژهپرداز Hangul استفاده میشود. این پرونده با یک نسخه قانونی Calc.exe جایگزین شده است، به این ترتیب مهاجمان از اجرای دیگر محتوای پستاسکریپت جاسازیشده جلوگیری میکنند. نسخههای جدیدتر واژهپرداز Hangul، راهکار EPS را به درستی پیادهسازی کردهاند، به همین دلیل کاربران برای اینکه ایمن بمانند باید این برنامه را ارتقاء دهند.
منبع : news.asis.io
