به گزارش کارگروه حملات سایبری سایبربان؛ یک کمپین بدافزاری جدید که هند و افغانستان را مورد هدف قرار می دهد، در حال بهره برداری از نقص امنیتی 20 ساله ای است که مایکروسافت آفیس را تحت الشعاع قرار می دهد. این کمپین با استفاده از مجموعه ای از RAT ها این امکان را به مهاجمین می دهد تا کنترل نقاط انتهایی نا ایمن را به صورت کامل در دست بگیرند.
لازم به ذکر می باشد این نقص امنیتی در حال حاضر اصلاح شده است.
شرکت سیسکو این کمپین سایبری را به بازیگر مخربی ارتباط داده است که با نقاب شرکت IT جعلی به نام Bunse Technologies فعالیت های مخربی را ترتیب می دهد. این بازیگر مخرب به اصطلاح "Lone Wolf" یا همان گرگ تنها سابقه اشتراک گذاری اطلاعاتی همسو با پاکستان و طالبان را از سال 2016 در کارنامه دارد.
این حملات با بهره گیری از دامین هایی با تم دولتی و سیاسی صورت می پذیرد که از پی لودهای بدافزاری میزبانی می کنند. زنجیره آلوده سازی با افزایش سطح دسترسی به اسناد RTF آلوده و اسکریپت های پاورشلی آغاز میشود که بدافزار را به قربانیان انتشار می دهند.
فایل های RTF آلوده با بهره برداری از آسیب پذیری CVE-2017-11882 دستورات پاور شل هایی را اجرا می کنند که وظیفه استفاده از بدافزارهای اضافی و همچنین شناسایی را بر عهده دارند.
مرحله شناسایی، زنجیره حملات مشابهی را به دنبال خواهد داشت که با استفاده از آسیب پذیری نام برده منجبر به نصب محصولات بدافزاری مانند DcRAT و QuasarRAT خواهد شد.
استفاده از یک سرقت کننده داده های احراز هویت مرورگر برای گوگل کروم، موزیلا فایرفاکس، یاندکس، اوپرا، مایکروسافت اج، اوپرا جی ایکس و Brave نیز در این حملات مورد توجه بود.
