شرکت HP در گزارشی به بررسی فایلی PDF پرداخته که در قالب پیوست ایمیل و با طی مراحلی غیرمعمول اقدام به آلوده کردن دستگاه قربانی به جاسوسافزار میکند.
فایل مورد اشاره HP با نام REMMITANCE INVOICE.pdf خود حاوی فایلی DOCX است که در PDF به اصطلاح Embed شده است. در نتیجه در زمان باز کردن PDF، نرمافزار Adobe Reader در پیامی مشابه با شکل زیر به کاربر در خصوص فایل DOCX مذکور و ریسک اجرای آن اطلاعرسانی میکند.
اما مهاجمان فایل DOCX را بسیار زیرکانه “has been verified. However PDF, Jpeg, xlsx, .docx” نامگذاری کردهاند تا در پیام ظاهرشده از سوی Adobe اینطور القا شود که فایل مذکور بررسی و تایید شده است.
چنانچه کاربر بر روی Open this file کلیک کرده و سپس OK را بزند فایل DOCX در نرمافزار Word باز میشود. حال اگر کاربر ناآگاه با کلیک بر روی Enable Editing فایل را از حالت Protected View خارج کند (تصویر زیر) با برقراری ارتباط با یک نشانی اینترنتی خاص، فایل دیگری، این بار از نوع RTF دانلود و اجرا میشود.
فایل RTF دانلودشده، f_document_shp.doc نام دارد. این فایل حاوی آبجکتهای OLE متعددی است که احتمالاً برای گذر از سد سازوکارهای حفاظتی دستگاه نظیر ضدویروس مبهمسازی (Obfuscation) شدهاند.
وظیفه f_document_shp.doc اکسپلویت یک آسیبپذیری قدیمی با شناسه CVE-2017-11882 و از نوع RCE در Microsoft Equation Editor است. هر چند از آبان 1396 وصله CVE-2017-11882 از سوی Microsoft در دسترس قرار گرفته اما عدم توجه برخی کاربران به اعمال اصلاحیههای امنیتی Office موجب شده که بهرهجویی از آن همچنان در دستور کار مهاجمان سایبری قرار داشته باشد.
در نهایت اینکه مهاجمان با اکسپلویت CVE-2017-11882 از طریق f_document_shp.doc اقدام به اجرای fresh.exe که فایل نصبی جاسوسافزار Snake Keylogger است میکنند.
مشروح گزارش HP در اینجا در دسترس است.
مقابله
آگاهی کاربران در پرهیز از باز کردن پیوستهای مشکوک و عدم کلیک بر روی لینکهای ناآشنا نقشی کلیدی در ایمن ماندن از گزند این تهدیدات دارد. «آروید» محصولی پیشرفته برای رسیدن به این هدف است. این محصول، با شبیهسازی تهدیدات مبتنی بر ایمیل بر پایه جدیدترین نمونههای مخرب فعال در ایران و جهان بهطور مؤثر و چشمگیر میزان آمادگی کارکنان سازمانتان را در مقابله با آنها افزایش میدهد. در صورت نیاز به اطلاعات بیشتر یا دموی این محصول با شماره ۹۱۰۳۱۹۷۳-۰۲۱ تماس بگیرید.
نشانههای آلودگی
EMMITANCE INVOICE.pdf
05dc0792a89e18f5485d9127d2063b343cfd2a5d497c9b5df91dc687f9a1341d
has been verified. however pdf, jpeg, xlsx, .docx
250d2cd13474133227c3199467a30f4e1e17de7c7c4190c4784e46ecf77e51fe
f_document_shp.doc
165305d6744591b745661e93dc9feaea73ee0a8ce4dbe93fde8f76d0fc2f8c3f
f_document_shp.doc_object_00001707.raw
297f318975256c22e5069d714dd42753b78b0a23e24266b9b67feb7352942962
Exploit shellcode
f1794bfabeae40abc925a14f4e9158b92616269ed9bcf9aff95d1c19fa79352e
fresh.exe (Snake Keylogger)
20a3e59a047b8a05c7fd31b62ee57ed3510787a979a23ce1fde4996514fae803
External OLE reference URL
hxxps://vtaurl[.]com/IHytw
External OLE reference final URL
hxxp://192.227.196[.]211/tea_shipping/f_document_shp.doc
Snake Keylogger payload URL
hxxp://192.227.196[.]211/FRESH/fresh.exe
Snake Keylogger exfiltration via SMTP
mail.saadzakhary[.]com:587