پژوهشگران امنیتی Proofpoint گزارش دادند که ماکروهای مایکروسافت آفیس که بهطور جمعی بهعنوان یک برنامهی دانلودکننده عمل میکنند از کوئریهای مایکروسافت SQL برای واکشی بار دادهی مخرب استفاده میکنند. این برنامهی دانلودکننده که WhieShadow نامیده میشود، اولین بار در ماه آگوست سال ۲۰۱۹ میلادی و زمانیکه یک نوع تروجان دسترسی از راه دور (RAT) را توزیع میکرد، شناسایی شد. در عین حال با اضافه شدن ویژگی دور زدن شناسایی و مبهمسازی تکامل یافته است.
اسناد مایکروسافت ورد و اکسل به ایمیلهای مخرب پیوست شدهاند و زمانیکه ماکروها فعال هستند، کوئریهای SQL علیه پایگاه دادهی مایکروسافت SQL Server تحت کنترل مهاجم اجرا میشود که در آن بدافزار بهعنوان رشتههای طولانی ASCII ذخیره میشوند. ماکروها این رشته را بازیابی میکنند و آن را بهعنوان یک آرشیو PKZip از یک فایل اجرایی ویندوز در حافظه مینویسند که سپس به منظور نصب بار دادهی مخرب اجرا میشود.
بهگفتهی Proofpoint هیچ شواهدی برای نسبت دادن فعالیت توزیع بدافزار فعلی به پویشهای اولیهی WhieShadow که تروجان از راه دور Crimson را توزیع میکرد، وجود ندارد. پژوهشگران امنیتی بیان میکنند که به نظر میرسد برنامهی دانلودکننده WhieShadow یک مؤلفه از یک سرویس توزیع بدافزار است که شامل یک نمونهی اجارهای مایکروسافت SQL Server برای میزبانی بار دادهها است.
یک اتصالدهندهی SQLOLEDB که بهطور پیشفرض در بیشتر نصبهای مایکروسافت آفیس تعبیه شده است، توسط برنامهی دانلودکننده برای دستیابی به مایکروسافت SQL Server راه دور، اجرای یک کوئری و ذخیرهی نتایج در فایلی در قالب یک فایل اجرایی فشردهشده استفاده میشود. WhieShadow از این روش برای دانلود بدافزاری مانند Agent Tesla، AZORult، Crimson، NanoCore، njRat، Orion Logger، Remcos و Formbook استفاده کرده است.
پژوهشگران امنیتی خاطرنشان کردند که استفاده از کوئریهای MSSQL برای بازیابی بار دادههای مرحلهی بعدی روش جدیدی نیست، اما یک روش غیرمعمول است. بااینحال، مهمترین جنبهی کشف WhieShadow این است که به نظر میرسد یک سرویس توزیع بدافزار جدید است که توسط عاملان تهدید مختلف در حملات استفاده میشود. شرکت Proofpoint نتیجهگیری میکند که سازمانها باید هم از ایمیلهای مخرب ورودی و هم ترافیک خروجی در پورت TCP 1433 که باید مسدود باشد و یا حداقل در پیکربندیهای ACL پیشرفته در دیوار آتش محدود شود، اطلاع داشته باشند. درحالحاضر، این پویشها نسبتاً کوچک هستند و حجم پیامها در حد صدها و هزاران پیام است، اما نظارت و بازرسی جریانهای مربوطه همچنان ادامه خواهد داشت.
