بدافزار TelegramRAT از آسیب‌پذیری ۱۷ ساله در مایکروسافت آفیس بهره‌برداری می‌کند

بدافزار TelegramRAT از آسیب‌پذیری ۱۷ ساله در مایکروسافت آفیس بهره‌برداری می‌کند

پنج شنبه, ۳۰ آذر, ۱۳۹۶ ساعت ۱۳:۲۱

 

محققان امنیتی از کشف یک تروجان دسترسی راه دور خبر دادند که از طریق اسنادی توزیع می شود و در حال بهره برداری از یک آسیب پذیری ۱۷ ساله در مایکروسافت آفیس است. این آسیب پذیری در نوامبر سال جاری توسط مایکروسافت وصله شده است. این بدافزار TelegramRAT نام داشته و از پیام رسان تلگرام به عنوان سرور دستور و کنترل استفاده می کند و برای ذخیره‌ی بار داده‌ی این بدافزار نیز از یک بستر ذخیره‌سازی اَبر استفاده شده است. این رویکرد به بدافزار اجازه می‌دهد تا نرم‌افزارها و پویش‌های امنیتی سنتی را دور بزند.


حملات این بدافزار با یک سند آفیس که از آسیب‌پذیری با شناسه‌ی CVE-2017-11882 بهره‌برداری می‌کند آغاز می‌شود. این آسیب‌پذیری ۱۷ سال در مایکروسافت آفیس ناشناخته باقی مانده بود و در نهایت، ماه گذشته مایکروسافت این آسیب‌پذیری را به‌طور دستی وصله کرد ولی اینک شاهد هستیم که مهاجمان به سرعت بهره‌برداری از آن را شروع کرده‌اند.


در بخشی از این حمله شاهد هستیم که از سرویس هدایت آدرس Bit.ly برای مخفی کردن بار داده‌ی TelegramRAT که بر روی دراپ‌باکس میزبانی می‌شود، استفاده شده است. این بدافزار از واسط‌های برنامه‌نویسی بات تلگرام برای دریافت دستورات و ارسال درخواست‌ها به مهاجم استفاده می‌کند. با استفاده از برنامه‌های کاربردی اَبری مبتنی بر SSL و همچنین ارتباطات دستور و کنترل در این آلودگی، این بدافزار می‌تواند ارتباطات خود را از نرم‌افزارهای امنیتی مخفی نگه دارد.


محققان امنیتی می‌گویند: «رشته‌های اجرایی در بار داده، دارای ارجاعات زیادی به فایل‌های پایتون هستند. پس از یک تحلیل جزئی، متوجه شدیم که بار داده، برنامه‌های پایتون هستند که به فرمت فایل باینری حاوی هرچیزی که برای اجرا نیاز است در آمده است.» به دلیل وجود مفسر پایتون، کدهای برنامه‌ها و تمامی کتابخانه‌هایی که لازم است در یک بسته فشرده شده‌اند، باعث شده اندازه‌ی این فایل زیاد بوده و این مسأله باز هم تا حدودی از شک‌ها بکاهد.


در داخل دایرکتوری که از حالت فشرده خارج شده، محققان یک سری فایل‌های PYD، DLL و یک دایکتوری به نام PYZ.pyz_که حاوی فایل‌هایی با پسوند .pyc است پیدا کردند. همچنین فایلی با نام RATAttack نیز کشف شده که به یک ابزار متن‌باز با نام RAT-via-Telegram اشاره دارد که بر روی گیت‌هاب میزبانی می‌شود. محققان متوجه شده‌اند که مهاجمان دقیقا از همان کدهای موجود بر روی گیت‌هاب استفاده کرده‌اند. 


با استفاده از تلگرام به عنوان راه ارتباطی برای دستور و کنترل، مهاجمان مطمئن هستند که ارتباط آن‌ها با سرور به‌طور رمزنگاری شده بوده و هیچ‌گونه امکان شنودی وجود ندارد. مهاجمان در این حمله یک بات تلگرام ایجاد کرده و توکن آن را در فایل پیکربندی بدافزار TelegramRAT تعبیه کرده‌اند. بدافزار در ادامه به کانال تلگرامی این بات متصل می‌شود. در این کانال مهاجمان می‌توانند دستورات لازم برای آلودگی سیستم را ارسال کنند. بدافزار براساس دستوراتی که در کانال تلگرامی دریافت می‌کند، می‌تواند از صفحه نمایش عکس گرفته، فایل‌ها را کپی کرده، فایل‌ها و پوشه‌ها را حذف کند، فایل‌هایی را از هدف دانلود کند، اسکریپت‌های بش را اجرا کند و دیگر کارهای دیگر را نیز می‌تواند اجرایی کند. 

 

منبع
 


دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

19 − یک =