بدافزار جديد مبتنی بر ماکروهای مایکروسافت Word

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره غیر فعال
 

بدافزار جديد مبتنی بر ماکروهای مایکروسافت Word
q974
اخيرا بدافزار جديدی در دنيای سايبری کشف شده است که متعلق به گروه Reaper است. نتايج اخير نشان مي‌دهد که تروجان‌های دسترسی از راه دور KONNI و DOGCALL برای يکجا کار می‌کنند و وظيفه آنها جاسوسی از سازمان‌ها، ارتش و صنعت دفاعی کره جنوبی و کشورهای خاورميانه است.
پژوهشگران حوزه امنيت اخيرا بررسی‌های خود در رابطه با يک تروجان دسترسی از راه دور (RAT) به نام NOKKI را منتشر کرده‌اند که قسمت اعظمی از کد آن با تروجان KONNI هماهنگی دارد و از يک نوع هستند که اولين بار توسط Cisco Talos کشف گرديد.
در بررسی‌های انجام شده روی NOKKI، پژوهشگران متوجه شده‌اند که آخرين حمله‌هايی که با اين RAT اتفاق افتاده است در ماه جولای و به وسيله اسناد مخرب مايکروسافت Word بوده است که قربانيان را به سمت بدافزار فريب می‌داده‌اند. اين يک تکنيک رايج است اما برای جلوگيری از شناسايی از يک تکنيک مخصوص خود استفاده می‌کنند.
اين روش منحصر به فرد برای جلوگيری از شناسايی در يکی ديگر از مستندات مخرب بانک Unit ۴۲ به نام 'World Cup prediction' وجود داشته است. در این روش کدهای ماکرو مخرب دانلود شده و VBScript را اجرا می‌کنند که شامل دو متنی است که به فايل مايکروسافت Word پيوست می‌گردد. اگر قربانی فايل سند را باز کند و کد ماکرو را فعال کند، يکی از دو متن را مي‌خواند در حالی که در پس زمینه DOGCALL RAT دانلود شده و در سيستم نصب می‌گردد.
گروه Reaper با نام‌های APT۳۷، Group۱۲۳، FreeMilk، StarCruft، Operation Daybreak و Operation Erebus نيز شناخته می‌شود.
پژوهشگران علاوه بر مستند 'World Cup prediction' در رابطه با بدافزار Final۱stspy نيز هشدار داده‌اند. بدنه (Payload) نهايی که توسط Final۱stspy منتقل می‌شود از خانواده DOGCALL بوده و می‌تواند تصوير لحظه‌اي (screenshot)، لاگ کليدها و فايل‌های مخرب را دانلود و اجرا نماید و یا با ميکروفن رایانه صدا را ضبط کند.
منبع:


/https://www.bleepingcomputer.com/news/security/report-ties-north-korean-attacks-to-new-malware-linked-by-word-macros



منبع: مرکز مدیریت راهبردی افتا ریاست جمهوری