بهره‌برداری از آسیب‌پذیری‌های جدید مایکروسافت آفیس برای توزیع بدافزار Zyklon

به تازگی بدافزار جدیدی با نام Zyklon کشف شده که از آسیب‌پذیری‌های نسبتا جدید در مایکروسافت آفیس بهره‌برداری می‌کند. این بدافزار از اوایل سال ۲۰۱۶ میلادی فعال بوده و قابلیت‌های زیادی اعم از اجرای حملات منع سرویس توزیع‌شده، ضبط کلیدهای فشرده‌شده، سرقت پسوردها و استخراج ارز مجازی را در اختیار مهاجمان قرار می‌دهد.

 

حمله‌ی اخیر سازمان‌های مخابراتی، بیمه و سرویس‌های مالی را هدف قرار داده است. این بدافزار در قالب یک فایل ZIP که به یک هرزنامه ضمیمه شده توزیع می‌گردد. در این فایل ZIP چند سند ورد وجود دارد که از ۳ آسیب‌پذیری مایکروسافت آفیس بهره‌برداری کرده و یک اسکریپت پاورشل را تحویل می‌دهند که در ادامه از سرور راه دور، بار داده‌ی بدافزار Zyklon را دانلود می‌کند. یکی از آسیب‌پذیری‌هایی که این بدافزار بهره‌برداری می‌کند دارای شناسه‌ی CVE-2017-8759 است. این آسیب‌پذیری در سپتامبر سال ۲۰۱۷ میلادی توسط مایکروسافت وصله شده است و قبلا در حملات فعال برای توزیع جاسوس‌افزار مورد بهره‌برداری قرار گرفته بود. این آسیب‌پذیری در ادامه نیز توسط نفوذگران چینی برای هدف قرار دادن سازمان‌های آمریکایی مورد بهره‌برداری قرار گرفت.


یکی دیگر از آسیب‌پذیری‌ها که توسط این بدافزار مورد بهره‌برداری قرار گرفته، دارای شناسه‌ی  CVE-2017-11882 است. این آسیب‌پذیری ۱۷ ساله در مولفه‌ی ویرایشگر معادلات وجود داشت و در نوامبر سال قبل توسط مایکروسافت وصله شد. مهاجمان از ویژگی تبادل داده‌ی پویا در مایکروسافت آفیس نیز بهره‌برداری کرده و به توزیع بدافزار پرداخته‌اند. این ویژگی توسط گروه‌های مختلف نفوذ مورد بهره‌برداری قرار گرفت و در نهایت مایکروسافت مجبور شد برای جلوگیری از حملات، در تمامی نسخه‌های مایکروسافت ورد، این ویژگی را غیرفعال کند.


هریک از این اسناد مخرب اگر بتواند از یکی از این آسیب‌پذیری‌ها با موفقیت بهره‌برداری کند، در ادامه اسکریپت پاورشل دانلود می‌شود که در نهایت می تواند بار داده‌ی این بدافزار را واکشی و دانلود کند. این بدافزار برای ارتباط با سرور دستور و کنترل از شبکه‌ی گمنامی Tor استفاده می‌کند. وقتی ارتباط با سرور دستور و کنترل برقرار شد، مهاجم می‌تواند دستورات مختلفی را مانند اجرای حملات منع سرویس توزیع‌شده، سرقت پسوردها و استخراج ارز مجازی را برای بدافزار ارسال کند.

 
علاوه بر قابلیت‌هایی که در ذات این بدافزار تعبیه شده، افزونه‌های دیگری هم دارد که می‌تواند برای اضافه شدن قابلیت‌ها و ویژگی‌های بیشتر، در بدافزار بارگذاری شود. بدافزار همچنین می‌تواند یک پروکسی Socks5 را در ماشین قربانی راه‌اندازی کند، حافظه‌ی موقت را به سرقت برده و آدرس‌های بیت‌کوینی که قربانی کپی کرده را با آدرس بیت‌کوین مهاجم جایگزین کند.

 

منبع

پست‌های مشابه

Leave a Comment