محققان امنیتی از کشف یک تروجان دسترسی راه دور خبر دادند که از طریق اسنادی توزیع می شود و در حال بهره برداری از یک آسیب پذیری ۱۷ ساله در مایکروسافت آفیس است. این آسیب پذیری در نوامبر سال جاری توسط مایکروسافت وصله شده است. این بدافزار TelegramRAT نام داشته و از پیام رسان تلگرام به عنوان سرور دستور و کنترل استفاده می کند و برای ذخیرهی بار دادهی این بدافزار نیز از یک بستر ذخیرهسازی اَبر استفاده شده است. این رویکرد به بدافزار اجازه میدهد تا نرمافزارها و پویشهای امنیتی سنتی را دور بزند.
حملات این بدافزار با یک سند آفیس که از آسیبپذیری با شناسهی CVE-2017-11882 بهرهبرداری میکند آغاز میشود. این آسیبپذیری ۱۷ سال در مایکروسافت آفیس ناشناخته باقی مانده بود و در نهایت، ماه گذشته مایکروسافت این آسیبپذیری را بهطور دستی وصله کرد ولی اینک شاهد هستیم که مهاجمان به سرعت بهرهبرداری از آن را شروع کردهاند.
در بخشی از این حمله شاهد هستیم که از سرویس هدایت آدرس Bit.ly برای مخفی کردن بار دادهی TelegramRAT که بر روی دراپباکس میزبانی میشود، استفاده شده است. این بدافزار از واسطهای برنامهنویسی بات تلگرام برای دریافت دستورات و ارسال درخواستها به مهاجم استفاده میکند. با استفاده از برنامههای کاربردی اَبری مبتنی بر SSL و همچنین ارتباطات دستور و کنترل در این آلودگی، این بدافزار میتواند ارتباطات خود را از نرمافزارهای امنیتی مخفی نگه دارد.
محققان امنیتی میگویند: «رشتههای اجرایی در بار داده، دارای ارجاعات زیادی به فایلهای پایتون هستند. پس از یک تحلیل جزئی، متوجه شدیم که بار داده، برنامههای پایتون هستند که به فرمت فایل باینری حاوی هرچیزی که برای اجرا نیاز است در آمده است.» به دلیل وجود مفسر پایتون، کدهای برنامهها و تمامی کتابخانههایی که لازم است در یک بسته فشرده شدهاند، باعث شده اندازهی این فایل زیاد بوده و این مسأله باز هم تا حدودی از شکها بکاهد.
در داخل دایرکتوری که از حالت فشرده خارج شده، محققان یک سری فایلهای PYD، DLL و یک دایکتوری به نام PYZ.pyz_که حاوی فایلهایی با پسوند .pyc است پیدا کردند. همچنین فایلی با نام RATAttack نیز کشف شده که به یک ابزار متنباز با نام RAT-via-Telegram اشاره دارد که بر روی گیتهاب میزبانی میشود. محققان متوجه شدهاند که مهاجمان دقیقا از همان کدهای موجود بر روی گیتهاب استفاده کردهاند.
با استفاده از تلگرام به عنوان راه ارتباطی برای دستور و کنترل، مهاجمان مطمئن هستند که ارتباط آنها با سرور بهطور رمزنگاری شده بوده و هیچگونه امکان شنودی وجود ندارد. مهاجمان در این حمله یک بات تلگرام ایجاد کرده و توکن آن را در فایل پیکربندی بدافزار TelegramRAT تعبیه کردهاند. بدافزار در ادامه به کانال تلگرامی این بات متصل میشود. در این کانال مهاجمان میتوانند دستورات لازم برای آلودگی سیستم را ارسال کنند. بدافزار براساس دستوراتی که در کانال تلگرامی دریافت میکند، میتواند از صفحه نمایش عکس گرفته، فایلها را کپی کرده، فایلها و پوشهها را حذف کند، فایلهایی را از هدف دانلود کند، اسکریپتهای بش را اجرا کند و دیگر کارهای دیگر را نیز میتواند اجرایی کند.
