کشف یک آسیب پذیری در فیلیپین

به گزارش کارگروه حملات سایبری سایبربان؛ محققان شرکت امنیتی «فورتینت» (Fortinet)، به تازگی یک بدافزار به نام‌های «هاسارینی» (Hussarini) و «سرهاست» (Sarhust) شناسایی کردند که در خانواده‌ی درب پشتی APT ها قرار می‌گیرد. این بدافزار از طریق یک فایل آفیس فیلیپین را هدف قرار داده است.

بدافزار هاساینی از طریق یک فایل آفیس آلوده با نام «Draft PH-US Dialogue on Cyber Security.doc» قربانیان خود را آلوده می کند. این حملات به کشورهای حوزه ی آسه‌آن صورت گرفته است.

پژوهشگران امنیتی توضیح دادند فیلیپین آسیب پذیرترین کشور در برابر حملات APT به حساب می آید. تعدادی از سازمان های این کشور همچنان از رایانه هایی قدیمی استفاده می کنند که دیگر توسط نرم افزارهای ضد ویروس و ضد بدافزار پشتیبانی نمی شوند.

فایل آفیس یاد شده از آسیب پذیری «Microsoft CVE-2017-11882» سو استفاده کرده است. زمانی که این فایل دریافت و اجرا می گردد، دو فایل «Outllib.dll» و «OutExtra.exe» در «%Temp%» کپی خواهند شد.

مجرمان با استفاده از «Microsoft’s finder.exe» و هایجک DLL (DDL hijacking) مذکور از درب پشتی هاسارینی بهره می بردند. هایجک DLL به معنی فریب فایل های اجرایی «.exe» به منظور کدهای مخرب است. در نتیجه بدافزار بدون اینکه توسط سامانه ی «HIPS» برنامه های امنیتی مورد بررسی قرار گیرد فعالیت خود را آغاز خواهد کرد.

هاسارینی از قابلیت های محدودی برخوردار بوده و می تواند به دانلود و اجرای فایل یا اجزای مخرب بپردازد.