آزمایشگاه FortiGuard اخیراً در تحقیقات خود کشف نگرانکنندهای را کشف کرده است که یک سری اسناد مخرب مایکروسافت آفیس را نشان میدهد که برای استفاده از آسیبپذیریهای شناخته شده طراحی شدهاند.
این اسناد از آسیبپذیریهای اجرای کد از راه دور، یعنی CVE-2021-40444 و CVE-2022-30190 (Follina) برای تزریق بدافزار LokiBot (معروف به Loki PWS) به سیستم قربانیان سوء استفاده میکنند.
LokiBot، یک تروجان بدنام فعال از سال 2015، متخصص در سرقت اطلاعات حساس از دستگاه های ویندوز است که تهدیدی قابل توجه برای داده های کاربران است.
همه چیز از زمانی شروع شد که آزمایشگاه FortiGuard دو نوع متمایز از اسناد ورد را به دست آورد و آنالیز کرد، که هر دو تهدیدی جدی برای قربانیان ناآگاه بودند. نوع اول یک پیوند خارجی تعبیه شده در یک فایل XML به نام "word/_rels/document.xml.rels" را در خود جای داده است.
در همین حال، نوع دوم از یک اسکریپت VBA استفاده میکرد که پس از باز کردن سند، یک ماکرو مخرب را اجرا کرد. جالب توجه است که هر دو فایل حاوی یک تصویر طعمه از نظر بصری مشابهی بودند که در شکل 1 نشان داده شده است، که نشان دهنده یک ارتباط بالقوه بین حملات است.
سند Word با استفاده از CVE-2021-40444 حاوی فایلی به نام "document.xml.rels" بود که یک پیوند خارجی با استفاده از MHTML (MIME Encapsulation of Aggregate HTML اسناد) را میزبانی می کرد. این پیوند از Cuttly، یک کوتاهکننده URL و پلتفرم مدیریت لینک، برای هدایت کاربران به وبسایت اشتراکگذاری فایل ابری به نام «GoFile» استفاده میکند.
تجزیه و تحلیل بیشتر نشان داد که دسترسی به پیوند باعث دانلود فایلی به نام "defrt.html" شد که از آسیبپذیری دوم CVE-2022-30190 سوء استفاده میکرد. پس از اجرای بارگذاری، دانلود فایل تزریقی با برچسب "oehrjd.exe" از آدرس URL "http//pcwizardnet/yz/ftp/" آغاز می شود.
دومین سند، که در اواخر ماه مه 2023 کشف شد، یک اسکریپت VBA را در فایل Word تعبیه شده بود. این اسکریپت با استفاده از توابع "Auto_Open" و "Document_Open" به صورت خودکار با باز کردن سند اجرا می شود. آرایه های مختلف را رمزگشایی کرد و آنها را به عنوان یک پوشه موقت تحت نام "DD.inf" ذخیره کرد.
قابل ذکر است، این اسکریپت یک فایل "ema.tmp" برای ذخیره داده ها ایجاد کرده، آن را با استفاده از تابع "ecodehex" رمزگذاری کرده و به عنوان "des.jpg" ذخیره می کند. متعاقباً، اسکریپت از rundll32 برای بارگذاری یک فایل DLL حاوی تابع "maintst" استفاده می کند. در طول این فرآیند، تمام فایل های موقت، JPG و INF ایجاد شده به طور سیستماتیک حذف شدند.
این اسناد از آسیبپذیریهای اجرای کد از راه دور، یعنی CVE-2021-40444 و CVE-2022-30190 (Follina) برای تزریق بدافزار LokiBot (معروف به Loki PWS) به سیستم قربانیان سوء استفاده میکنند.
LokiBot، یک تروجان بدنام فعال از سال 2015، متخصص در سرقت اطلاعات حساس از دستگاه های ویندوز است که تهدیدی قابل توجه برای داده های کاربران است.
همه چیز از زمانی شروع شد که آزمایشگاه FortiGuard دو نوع متمایز از اسناد ورد را به دست آورد و آنالیز کرد، که هر دو تهدیدی جدی برای قربانیان ناآگاه بودند. نوع اول یک پیوند خارجی تعبیه شده در یک فایل XML به نام "word/_rels/document.xml.rels" را در خود جای داده است.
در همین حال، نوع دوم از یک اسکریپت VBA استفاده میکرد که پس از باز کردن سند، یک ماکرو مخرب را اجرا کرد. جالب توجه است که هر دو فایل حاوی یک تصویر طعمه از نظر بصری مشابهی بودند که در شکل 1 نشان داده شده است، که نشان دهنده یک ارتباط بالقوه بین حملات است.
سند Word با استفاده از CVE-2021-40444 حاوی فایلی به نام "document.xml.rels" بود که یک پیوند خارجی با استفاده از MHTML (MIME Encapsulation of Aggregate HTML اسناد) را میزبانی می کرد. این پیوند از Cuttly، یک کوتاهکننده URL و پلتفرم مدیریت لینک، برای هدایت کاربران به وبسایت اشتراکگذاری فایل ابری به نام «GoFile» استفاده میکند.
تجزیه و تحلیل بیشتر نشان داد که دسترسی به پیوند باعث دانلود فایلی به نام "defrt.html" شد که از آسیبپذیری دوم CVE-2022-30190 سوء استفاده میکرد. پس از اجرای بارگذاری، دانلود فایل تزریقی با برچسب "oehrjd.exe" از آدرس URL "http//pcwizardnet/yz/ftp/" آغاز می شود.
دومین سند، که در اواخر ماه مه 2023 کشف شد، یک اسکریپت VBA را در فایل Word تعبیه شده بود. این اسکریپت با استفاده از توابع "Auto_Open" و "Document_Open" به صورت خودکار با باز کردن سند اجرا می شود. آرایه های مختلف را رمزگشایی کرد و آنها را به عنوان یک پوشه موقت تحت نام "DD.inf" ذخیره کرد.
قابل ذکر است، این اسکریپت یک فایل "ema.tmp" برای ذخیره داده ها ایجاد کرده، آن را با استفاده از تابع "ecodehex" رمزگذاری کرده و به عنوان "des.jpg" ذخیره می کند. متعاقباً، اسکریپت از rundll32 برای بارگذاری یک فایل DLL حاوی تابع "maintst" استفاده می کند. در طول این فرآیند، تمام فایل های موقت، JPG و INF ایجاد شده به طور سیستماتیک حذف شدند.