ITanalyze

کارشناسان ادعا کردند که هکرهای کره شمالی از یک آسیب‌پذیری صفرروز (0-day) برای آلوده کردن رایانه‌های کره جنوبی به بدافزار استفاده کردند. هکرها که گمان می‌رود بخشی از گروه «APT37» تحت حمایت دولت هستند، از اسناد مایکروسافت آفیس برای سوءاستفاده از یک آسیب‌پذیری روزصفر در اینترنت اکسپلورر استفاده کردند.

• همه چیز از مایکروسافت آفیس شروع می‌شود

بنابه ادعای محققان، کره شمالی به عنوان حامی دولتی تروریسم سایبری شناخته شده و با بدافزارهای مخربی مانند واناکرای (WannaCry) و بسیاری دیگر مرتبط است.

محققان گوگل در 31 اکتبر امسال این حمله اخیر را کشف کردند. حمله با فریب دادن قربانیان به باز کردن یک سند مایکروسافت آفیس آغاز می‌شود. در مثال ارائه شده به‌وسیله گوگل، مهاجمان از یک سند ورد (Word) با عنوان « 221031Seoul Yongsan Itaewon accident response situation (06:00).docx» استفاده کردند، زیرا این رویداد بسیار مورد توجه کره جنوبی است و احتمال به اشتراک‌گذاری و باز شدن آن بیشتر است.

• ساختار حمله پیچیده

این فایل‌ها توانایی واکشی فایل‌های «RTF» و «HTML» را از اینترنت دارند، اما قبل از این کار، هشداری ظاهر می‌شود که به کاربران می‌گوید ممکن است حاوی ویروس باشند. خواننده باید روی «Enable Editing» کلیک کند تا به سند وُرد اجازه دهد آسیب خود را وارد کند. پس از فشار دادن دکمه، سند وُرد یک فایل RFT را دانلود می‌کند، یک کوکی منحصر به فرد را در سرصفحه پاسخ قرار می‌دهد و محتوای HTML راه دور را واکشی می‌کند.

شما فقط به این دلیل که از اکسپلورر استفاده نمی‌کنید، ایمن نیستید

هنگامی که محتوای HTML واکشی می‌شود، بهینه‌سازی نادرست «JIT» در «jscript9» باعث سردرگمی نوع می‌شود که سپس به مهاجم اجازه می‌دهد کد دلخواه را در اینترنت اکسپلورر اجرا کند. با وجود اینکه اکثر دستگاه‌های ویندوز از اینترنت اکسپلورر استفاده نمی‌کنند، آفیس همچنان محتوای HTML را با استفاده از مرورگر وب ارائه می‌کند.

در این حمله، کد مخرب تحویل داده شده به دستگاه، حافظه پنهان و تاریخچه مرورگر را پاک و مسیرهای آن را قبل از دانلود «بارگیری» پنهان می‌کند.

• تگ کنید، شما هستید

کارشناسان معتقدند که گروه تحلیل تهدید گوگل (TAG) موفق به شناسایی محموله حمله نشد. با این حال، APT37 برای کاشت درب‌های پشتی روی ماشین‌هایی مانند «ROKRAT»، «BLUELIGHT»، یا دلفین (DOLPHIN) شناخته شده است.

گروه تحلیل تهدید گوگل اظهار داشت : «اینها به مهاجمان اجازه می‌دهد تا رانندگان و دستگاه‌های قابل حمل را زیر نظر بگیرند، فایل‌ها و کلیدهای گزارش را استخراج کنند، اسکرین‌شات بگیرند و اعتبارنامه‌های امنیتی را سرقت کنند. گمان می‌رود که کره شمالی از این حملات برای به دست آوردن اطلاعات راهبردی حمایت می‌کند. اگر پاسخ سریع و پچ این آسیب‌پذیری از سوی تیم مایکروسافت را تأیید نکنیم، نادیده گرفته می‌شویم.»

به گفته کارشناسان، مایکروسافت در 31 اکتبر امسال به‌وسیله گروه تحلیل تهدید گوگل در مورد این آسیب‌پذیری مطلع شد و در 8 نوامبر سال جاری موفق شد آن را اصلاح کند. برای محافظت از خود در برابر این حملات و حملات مشابه ضروری است که دستگاه خود را به روز نگه دارید و فقط فایل‌ها را از منابعی که به آنها اعتماد دارید باز کنید. اگر همه چیز شکست خورد، باید به یک نرم‌افزار آنتی ویروس مطمئن اعتماد کنید.(منبع:سایبربان)