پنجشنبه ۹ فروردين ۱۴۰۳ , 28 Mar 2024
جالب است ۰
انتقال تروجان با سوءاستفاده از اکسل

بهره‌گیری از فایل‌های اکسل مخرب برای گسترش FlawedAmmyy

تروجان FlawedAmmyy با استفاده از فایل‌های اکسل مخرب در حال گسترش است.
منبع : مرکز مدیریت راهبردی افتا
تروجان FlawedAmmyy با استفاده از فایل‌های اکسل مخرب در حال گسترش است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مایکروسافت عملیات سایبری جدیدی را شناسایی کرده‌است که برای انتقال تروجان با دسترسی از راه دور FlawedAmmyy RAT به‌عنوان payload نهایی از یک زنجیره آلوده‌سازی پیشرفته بهره‌می‌برد. حملات با ارسال یک ایمیل حاوی پیوست اکسل (XLS) آغاز می‌شوند.

حملات پیشین که بدافزار FlawedAmmyy را منتقل می‌کردند توسط عوامل تهدید TA۵۰۵ انجام شده بودند. در این حملات با اجرای موفق درِ پشتی، مهاجم سیستم هدف را تحت کنترل خود درمی‌آورد و می‌تواند فایل‌های قربانی را مدیریت کند و از صفحه اسکرین‌شات بگیرد.

در حملاتی که اخیرا شناسایی شده، از فایل‌های XLS مخرب در ایمیل‌ها استفاده شده‌است. این فایل‌ها پس از اجرا به طور خودکار یک ماکرو را اجرا می‌کنند که این ماکرو فایل msiexec.exe را اجرا می‌کند. فایل msiexec.exe برای دانلود و نصب بسته‌های MSI و MSP در ویندوز به‌کار می‌رود. این فایل سپس یک فایل اجرایی دیگر با نام wsus.exe را رمزگشایی و در حافظه اجرا می‌کند. این زنجیره در نهایت منجر به رمزگشایی و اجرای payload نهایی در حافظه می‌شود.

به گفته تیم امنیتی مایکروسافت، payload نهایی که مستقیما به حافظه منتقل می‌شود همان بدافزار FlawedAmmyy است. از قابلیت‌های FlawedAmmyy می‌توان به موارد زیر اشاره کرد:

• کنترل از راه دور دسکتاپ،
• مدیریت فایل‌های سیستم،
• پشتیبانی از پراکسی،
• گفت‌وگوی صوتی.

در اوایل سال جاری نیز گروه TA۵۰۵ تروجان FlawedAmmyy را از طریق اسناد اکسل مخرب و حاوی کد ماکرو منتشر کرده‌بود که به‌سختی با کنترل‌های امنیتی استاندارد قابل شناسایی بود.
کد مطلب : 15499
https://aftana.ir/vdchwknz.23nmwdftt2.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی