انتقال تروجان با سوءاستفاده از اکسل
بهره‌گیری از فایل‌های اکسل مخرب برای گسترش FlawedAmmyy
کد مطلب: 15499
تاریخ انتشار : چهارشنبه ۵ تير ۱۳۹۸ ساعت ۱۴:۵۸
 
تروجان FlawedAmmyy با استفاده از فایل‌های اکسل مخرب در حال گسترش است.
بهره‌گیری از فایل‌های اکسل مخرب برای گسترش FlawedAmmyy
 
 
Share/Save/Bookmark
تروجان FlawedAmmyy با استفاده از فایل‌های اکسل مخرب در حال گسترش است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مایکروسافت عملیات سایبری جدیدی را شناسایی کرده‌است که برای انتقال تروجان با دسترسی از راه دور FlawedAmmyy RAT به‌عنوان payload نهایی از یک زنجیره آلوده‌سازی پیشرفته بهره‌می‌برد. حملات با ارسال یک ایمیل حاوی پیوست اکسل (XLS) آغاز می‌شوند.

حملات پیشین که بدافزار FlawedAmmyy را منتقل می‌کردند توسط عوامل تهدید TA۵۰۵ انجام شده بودند. در این حملات با اجرای موفق درِ پشتی، مهاجم سیستم هدف را تحت کنترل خود درمی‌آورد و می‌تواند فایل‌های قربانی را مدیریت کند و از صفحه اسکرین‌شات بگیرد.

در حملاتی که اخیرا شناسایی شده، از فایل‌های XLS مخرب در ایمیل‌ها استفاده شده‌است. این فایل‌ها پس از اجرا به طور خودکار یک ماکرو را اجرا می‌کنند که این ماکرو فایل msiexec.exe را اجرا می‌کند. فایل msiexec.exe برای دانلود و نصب بسته‌های MSI و MSP در ویندوز به‌کار می‌رود. این فایل سپس یک فایل اجرایی دیگر با نام wsus.exe را رمزگشایی و در حافظه اجرا می‌کند. این زنجیره در نهایت منجر به رمزگشایی و اجرای payload نهایی در حافظه می‌شود.

به گفته تیم امنیتی مایکروسافت، payload نهایی که مستقیما به حافظه منتقل می‌شود همان بدافزار FlawedAmmyy است. از قابلیت‌های FlawedAmmyy می‌توان به موارد زیر اشاره کرد:

• کنترل از راه دور دسکتاپ،
• مدیریت فایل‌های سیستم،
• پشتیبانی از پراکسی،
• گفت‌وگوی صوتی.

در اوایل سال جاری نیز گروه TA۵۰۵ تروجان FlawedAmmyy را از طریق اسناد اکسل مخرب و حاوی کد ماکرو منتشر کرده‌بود که به‌سختی با کنترل‌های امنیتی استاندارد قابل شناسایی بود.
مرجع : مرکز مدیریت راهبردی افتا