بهره گیری از ماکروهای Outlook برای توزیع بدافزار
به گزارش کارگروه امنیت سایبربان ، به نقل از پایگاه اینترنتی BleepingComputer، مهاجمان Gamaredon با غیرفعال کردن سازوکار حفاظتی در Outlook اسکریپتهای مخرب خود را تحت ماکرو (Macro) اجرا کرده و در ادامه از طریق حملات فیشینگ هدفمند بدافزارها را بر روی سایر سیستمها گسترش میدهند.
Gamaredon که بانام Primitive Bear نیز شناخته میشود از اواخر سال ۲۰۱۳ فعال بوده است. فعالیت این گروه از دسامبر ۲۰۱۹ شدت بیشتری یافته است.
در کارزارهای مخرب اخیر، بسته جدید مورداستفاده Gamaredon شامل یک پروژه Visual Basic for Applications – بهاختصار VBA – (در قالب فایل OTM) است که Microsoft Outlook را با ماکروی حاوی اسکریپتهای مخرب هدف قرار میدهد.
هک کردن حساب ایمیل برای توزیع بدافزار بر روی سیستم کاربرانی که در فهرست تماس قربانی قرار دارند موضوع جدیدی نیست؛ اما بر اساس گزارشی که شرکت ESET آن را منتشر کرده سازوکار استفادهشده توسط Gamaredon تا پیشازاین بهصورت عمومی مستند نشده بوده است.
با تحلیل ماژول، محققان این شرکت زنجیرهای از رویدادها را کشف کردهاند که نقطه آغاز آنیک کد VBScript است که پروسه Outlook را متوقف میکند.
در ادامه، اسکریپت، ضمن دستدرازی به مقادیر محضرخانه (Registry) بهنحویکه کنترلهای امنیتی ماکرو در Outlook غیرفعال شوند یک فایل مخرب OTM را که وظیفه آن تسهیل ارسال اسناد مخرب به نشانیهای ایمیل درجشده در فهرست تماس است بر روی دیسک ذخیره میکند.
Outlook درآنواحد تنها از یک پروژه VBA پشتیبانی میکند و فایل OTM استفادهشده در کارزار Gamaredon شامل ماکرویی با اسکریپت VBA در یک پیوست مخرب ایمیل است.
برخی مواقع نیز ممکن است شامل فهرستی از اهداف باشد که میبایست پیامهایی به آنها ارسال شود. به گفته ESET مهاجمان میتوانند تمامی ایمیلهای موجود در فهرست تماس قربانی، همه افراد سازمان یا مجموعهای از ایمیلهای خاص را هدف حملات فیشینگ خود قرار دهند.
کد VBA مسئولیت ایجاد ایمیل و تکمیل آن را با متن و فایلهای مخرب پیوست (با پسوند DOCX و LNK) بر عهده دارد.
به گفته محققان، Gamaredon مجهز به چندین نسخه از ماژول CodeBuilder است. کار این ماژول تزریق ماکروهای مخرب یا الگوهای موسوم به Remote Template در اسناد ذخیرهشده بر روی دستگاه آلوده است.
این سازوکار ازآنجهت مؤثر است که اسناد معمولاً در میان کاربران سازمان به اشتراک گذاشته میشوند و به دلیل تعدد باز شدن اسناد مخرب عملاً بدافزار جای پای خود را در سازمان محکم میکند.
ESET معتقد است که این ماژولهای تزریق ماکرو قادر به دستدرازی به تنظیمات امنیتی ماکرو در Microsoft Office هستند. بنابراین قربانی متوجه آلوده شدن مجدد دستگاه در هر بار باز شدن هر یک از اسناد آلوده نمیشود. در پیادهسازی این روشها از زبانهای برنامه/کد نویسی C#، C++ و VBScript استفادهشده است.
در کارزار Gamaredon انواع کدهای مخرب زیر بر روی دستگاه قربانی اجرا میشوند:
- دریافتکنندگان (Downloader) که یک بدافزار را دریافت و اجرا میکنند.
- دربهای پشتی (Backdoor) و سارقین (Stealer) که با پویش اسناد آنها را به سرور فرماندهی (C۲) ارسال میکنند. همچنین میتوانند با دریافت کدهای دیگر از سرور فرماندهی نسبت به اجرای آنها بر روی سیستم قربانی اقدام کنند.
- فایل Batch/ VBScript که با پویش سیستم برای یافتن اسناد Word نام آنها را در یک فایل متنی ذخیره میکند.
برخی نمونهها از موارد مذکور نسخی بهروز شده از کدهایی هستند از سال ۲۰۱۷ مورداستفاده قرار میگرفتهاند. تعدادی نیز نسخی هستند که با زبان برنامهنویسی متفاوت بازنویسی شدهاند.
در کدهای مخرب Gamaredon، بهخصوص در اسکریپتهای آن، باگها و خطاهایی به چشم میخورد که ESET معتقد است که دلیل آن تعداد بالای کدهای تولیدشده توسط این مهاجمان و سرعتبالا در فرایند ایجاد آنهاست.
مشروح گزارش ESET در لینک زیر قابل دریافت و مطالعه است:
https://www.welivesecurity.com/۲۰۲۰/۰۶/۱۱/gamaredon-group-grows-its-game/
نشانههای آلودگی:
|
۶F۷۵F۲۴۹۰۱۸۶۲۲۵C۹۲۲FE۶۰۵۹۵۳۰۳۸BDEB۵۳۷FEE |
Outlook VBA module |
|
DFC۹۴۱F۳۶۵E۰۶۵۱۸۷B۵C۴A۴BF۴۲E۷۷۰۰۳۵۹۲۰۸۵۶ |
C# Office macro injection module |
|
۹AFC۹D۶D۷۲F۷۸B۲EB۷۲C۵F۲B۸۷BDC۷D۵۹C۱A۱۴ED |
Batch file/VBScript Office macro injection module |
|
۳DD۸۳D۷۱۲۳AEFBE۵۵۷۹C۹DC۹CF۳E۶۸BCAFC۹E۶۵E |
C# compiler module |
|
۹۴۱F۳۴۱۷۷۰B۶۷F۹E۸EE۸۱۱B۴B۸۳۸۳۱۰۱F۳۵B۲۷CD |
GitHub project module |
|
DC۸BD۲F۶۵FD۲۱۹۹CE۴۰۲C۷۶A۶۳۲A۹۷۴۳۶۷۲EFE۲D |
C/C++ backdoor |
|
۳۳۶C۱۲۴۴۶۷۴BB۳۷۸F۰۴۱E۹۰۶۴EA۱۲۷E۹E۰۷۷D۵۹D |
C# backdoor |
|
۵FC۱B۶A۵۵A۹F۵A۵۲۴۲۲۸۷۲A۸E۳۴A۲۸۴CDBDD۰۵۲۶ |
Batch file/VBScript backdoor |
