انتشار بدافزار FELIXROOT با استفاده از آسیب‌پذیری‌های آفیس

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

انتشار بدافزار FELIXROOT با استفاده از آسیب‌پذیری‌های آفیس

q764

به تازگی حملات بدافزاری جدیدی کشف شده است که با توزیع در پشتی قدرتمند FELIXROOT، از آسیب‌پذیری‌های Microsoft Office بهره می گیرد تا سیستم های ویندوزی قربانیان را آلوده کند.
حملات FELIXROOT برای اولین بار در سپتامبر ۲۰۱۷ کشف شد که از طریق اسناد مخرب در قالب فایل‌های مربوط به یک بانک اوکراینی توزیع می شود. اسناد به یک کد مایکرو مجهز هستند که در پشتی را از سرور کنترل و دستور (C&C) دانلود می کند. اسناد از آسیب‌پذیری های CVE-۲۰۱۷-۰۱۹۹ و CVE-۲۰۱۷-۱۱۸۸۲ مربوط به Microsoft Office سوء استفاده می کنند و بدافزار از طریق اسنادی با زبان روسی منتشر می‌شود.
بدافزار در سند مخربی با نام Seminar.rtf توزیع می شود که حاوی فایل binary جاسازی شده در خود است که در آدرس %temp% قرار داده می شود که برای اجرای dropper در پشتی FELIXROOT استفاده می شود. این dropper دو فایل را ایجاد می کند، یک فایل LNK که به آدرس system۳۲%\rundll۳۲.exe% اشاره می کند و دیگری مولفه FELIXROOT loader.
در پشتی FELIXROOT از پروتکلهای HTTP و HTTPS POST برای برقراری ارتباط با سرور C&C استفاده می‌کند و پس از دریافت اطلاعات از سیستم قربانی، دادهها بصورت رمزگذاری شده و مرتب شده در ساختاری سفارشی به شبکه ارسال می شوند. طبق اعلام FireEye، بدافزار نام رایانه، نام کاربر، volume serial number، ویرایش ویندوز، معماری پردازنده و دو مقدار اضافی دیگر را به سرقت می برد و آنها را از طریق رمزگذاری AES و با استفاده از پروتکل های HTTP و HTTPS به سرور C&C منتقل می کند. پس از اجرای کامل بدافزار و سرقت اطلاعات ماشین آلوده، FELIXROOT متوقف می شود و آثار خود را نیز از ماشین آلوده پاکسازی می کند.

IoCهای بدافزار در جدول زیر آورده شده است.

q765