بهره‌برداری TelegramRat از آسیب‌پذیری قدیمی آفیس

0
390
بهره‌برداری TelegramRat از آسیب‌پذیری قدیمی آفیس

محققان امنیتی Netskope به تازگی نوعی تروجان به نام TelegramRat شناسایی کرده‌اند که از آسیب‌پذیری ۱۷ ساله آفیس بهره‌برداری می‌کند.

در حمله تروجان TelegramRat، از یک سند مخرب برای اکسپلویت آسیب‌پذیری قدیمی مایکروسافت استفاده می‌شود. این آسیب‌پذیری با کد شناسایی CVE-2017-11882 در Microsoft Equation Editor از سال ۲۰۰۰ وجود داشته است.

این سند مخرب با استفاده از سرویس  کوچک کننده لینک Bit.ly، بار داده TelegramRat را پنهان می‌کند. این بار داده در دراپ باکس میزبانی شده و سایز نسبتاً بالایی دارد. این سایز بالا به‌عنوان یک راهکار شک کمتری جذب می‌کند.

گفتنی است بدافزار TelegramRat از اپلیکیشن پیام‌رسان تلگرام به‌عنوان کنترل فرمان و از پلت فرم ذخیره‌سازی ابری، برای ذخیره بار داده خود استفاده می‌کند که این نحوه عملکرد، باعث می‌شود از دید اسکنرهای امنیتی قدیمی پنهان بماند.

به گفته محققان، مهاجمان به دلیل استفاده تلگرام از ارتباط رمزنگاری‌شده، از برقراری ارتباط امن بدون شنود این سرویس بهره می‌برند. در واقع می‌توان گفت بعدازاینکه یک سیستم از طریق تروجان TelegramRat آلوده شد، برای دریافت فرمان و ارسال پاسخ  به مهاجم، به کانال تلگرام بات از طریق یک ارتباط امن HTTPS متصل می‌شود. از سوی دیگر مهاجم نیز به همان کانال متصل شده دستورات لازم را صادر می‌کند.

آن‌ها با استفاده از این تروجان و سوءاستفاده از آسیب‌پذیری قدیمی آفیس می‌توانند دستورات خطرناکی همچون گرفتن اسکرین شات، اجرای دستورات شل، کپی فایل‌ها، حذف فایل و فولدر ، دانلود فایل از سیستم قربانی، رمزنگاری و رمزگشایی فایل‌ها و نیز ضبط صدا از طریق میکروفون را صادر کنند.

لازم به ذکر است این بار داده مخرب به دراپ باکس نیز گزارش و به دنبال آن حذف شده است با این وجود این به معنای عدم وجود چنین موارد مشابهی نخواهد بود. در همین راستا محققان امنیتی توصیه کرده‌اند  بهتر است تمام آپلودها و دانلودها از/ به اپلیکیشن های کلود اسکن شوند.