CVE-2017-11882'nin sömürülmesi yoluyla birden fazla Windows ve Android fare (Uzaktan Erişim Araçları) sunan bir Kambil Kampanyası'na sahip bir Roman Tehditi Aktör.
Bu dört yaşındaki Microsoft Office Denklem Editör hatası Kasım 2017 yamasında ele alındı, ancak bu kampanyanın hedeflerinin temel aldığı Hindistan ve Afganistan'da, hala kaldıraç için hala mevcut olduğu anlaşılıyor.
Tehdit oyuncusu, "Bunsse Technologies" adlı bir Pakistanlı BT ön şirketi dışında, belirli bir ülkeye güçlü bir bağlantı bulamayan Cisco Talos'taki araştırmacılar tarafından tespit edildi.
Aktör, diplomatik ve insani yararlı çabalar gibi siyasi temaları içeren birden fazla etki alanı kaydetmiştir ve onları mağdurlara kötü amaçlı yazılım yükler sunmak için kullanır.
Enfeksiyon, mağdurla ilgili bir RTF (Zengin Metin Belgesi) dosyasını yukarıda belirtilen web sitelerinden birinden indirerek başlar ve savunmasız bir MS Office sürümünde açılırsa, keyfi kod yürütülmesi tetiklenir.
İlk başta, bir yükleyici çalıştırılabilir bir başlangıç girişi oluşturarak sistemdeki varlığını belirler ve kodlanmış C # kodunu çalıştırılabilir bir şekilde derleyebilir.
Elde edilen ikili, enfekte bitiş noktasındaki tüm belge dosyalarını keşfeden ve C2'ye dosya adları ve yollarıyla bir liste gönderen özel bir dosya numaralandırıcı modülüdür.
Son olarak, aktörler için bir solucan olarak hizmet veren DOCXS ve Exes gibi iyi olmayan dosyaları etkileyen bir dosya bulaşıcı derlenir.
Bu şekilde, enfeksiyon, diğer kullanıcıların kurcalanan dosyaları açtığı gibi bir ağ boyunca yayılabilir.
İzlenen kampanyada kullanılan yükler aşağıdakilerdir:
Bunu yazarken, Bunse Technologies için site alındı, ancak BleepingComputer, ilişkili bir Twitter hesabı başardı.
Firmanın CEO'su, bir penetrasyon test cihazı ve etik hacker olarak kendini teşvik eder ve kişisel olmayan Hindistan ve Taliban İçeriğini kişisel Facebook hesabına gönderir.
Talos, kişiye ait olan GitHub depolarını bulabildi ve bunlardan biri DCRAT kaynak kodunu içeriyordu. Bu nedenle, belirli bireye atıfta bulunmak orta derecede kendinden emin.
Her ne kadar aktör genel olarak bu kampanyada emtia kötü amaçlı yazılım kullanıyor olsa da, özel indiricilerin ve dosya bulaşıcılarının görünümü, tespit edilebilir araçları kullanmaktan uzak durmaları için bir işarettir.
Afganistan ve Hindistan'daki kuruluşlar, bu tür tehditlere karşı uyanık kalmalı, bu da ağlarının içindeki hızla ve gizlice yayılabilir.
Kore'de Webhards ve Torrents aracılığıyla yayılan sıçan kötü amaçlı yazılım
Çince bilgisayar korsanları, Savunma'ya saldırmak için Windows sıfır gününü kullanıyor, BT firmaları
Masif Kampanya, Şifre Çalma Kötü Amaçlı Yazılımları itmek için YouTube'u kullanır.
Devlet destekli bilgisayar korsanları özel kötü amaçlı yazılımlı telcot'u ihlal etti
Acer, Hindistan'daki satış sonrası servis sistemlerinin ihlalini onaylar
Kaynak: Bleeping Computer