دور زدن فیلتر‌های امنیتی توسط EtterSilent

نفوذگران سایبری از ابزار هک جدیدی به نام EtterSilent برای انجام حملات روی ایمیل استفاده می‌کنند که می‌تواند دو نوع داکیومنت جعلی Microsoft Office با قابلیت بهره‌برداری از آسیب‌پذیری با شناسه CVE-۲۰۱۷-۸۵۷۰ یا ساخت ماکروهای مخرب ایجاد کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، از اواسط سال گذشته یک ابزار هک جدید برای انجام حملات بر روی ایمیل توسط نفوذگران در انجمن‌های هکری رواج یافته است.

با توجه به تبلیغات و توضیحات درج شده در انجمن‌های هک، استفاده از این ابزار برای دور زدن Windows Defender، Windows AMSI (Antimalware Scan Interface) و همچنین فیلترهای امنیتی سرویس‌های ایمیل معروف ازجمله Gmail موثر است.

محققان امنیت سایبری شرکت امنیتی Intel ۴۷۱ نشان داده‌اند که EtterSilent می‌تواند دو نوع داکیومنت جعلی Microsoft Office با قابلیت بهره‌برداری از آسیب‌پذیری با شناسه CVE-۲۰۱۷-۸۵۷۰ یا ساخت ماکروهای مخرب ایجاد کند.

ازجمله سوءاستفاده‌های موجود در بخش خرابکاری‌های ابزار می‌توان به بهره‌برداری از آسیب‌پذیری‌هایی با شناسه CVE-۲۰۱۷-۸۵۷۰، CVE-۲۰۱۷-۱۱۸۸۲ و CVE-۲۰۱۸-۰۸۰۲ اشاره کرد که البته استفاده از آن‌ها در ویندوز با آخرین نسخه Microsoft Office بیهوده است.

داکیومنت مخرب هنگامی که باز می‌شود، الگویی را نشان می‌دهد که به عنوان DocuSign شناخته می شود. DocuSign نرم افزار محبوبی است که به افراد و سازمان‌ها اجازه می‌دهد اسناد را به‌صورت الکترونیکی امضا کنند. سپس maldoc از ماکروهای Excel ۴.۰ ذخیره شده در یک sheet پنهان استفاده می‌کند ، که به شما امکان می‌دهد یک پیلود میزبان خارجی را دانلود، روی دیسک قرارداده و با استفاده از regsvr۳۲ یا rundll۳۲ اجرا کنید. از آنجا، مهاجمان می‌توانند سایر بدافزارهای مختلف را پیگیری و یا drop کنند.

به طور کلی، مهاجمان در حوزه حملات به ایمیل، بیشتر از گزینه ماکرو مخرب استفاده می‌کنند، چون با هر نسخه Microsoft Office پشتیبانی شده توسط EtterSilent از ۲۰۰۷ تا ۲۰۱۹ سازگار است. همچنین به گفته محققان intel ۴۷۱ استفاده از ماکرو، نسبت به بهره‌برداری مستقیم، سازگاری بالاتری دارد.

در اینجا، قربانی فقط باید متقاعد شود تا عملکرد ماکروها را فعال کند. چنین داکیومنت‌هایی هنوز توسط مهاجمان از سمت DocuSign یا DigiCert توزیع می‌شود.

با این حال، نکته قابل توجه در این مورد این است که به جای استفاده از VBA، از ماکرو Microsoft Excel ۴.۰ XML استفاده می‌شود، در حالی که در اکثر موارد مشابه دیگر، بیشتر اوقات گزینه ثانویه توسط مهاجمان استفاده می‌شود.

در حال حاضر، نشانه‌های استفاده از EtterSilent در ایمیل‌هایی با هدف توزیع Trickbot، BazarLoader و همچنین تروجان‌های بانکی مانند IcedID / BokBot، QakBot / QBot و Ursnif، Rovnix، Gozi و Papras دیده می‌شود.

ابزارهای ساخت داکیومنت‌های مخرب Microsoft office که کار را برای مجرمان اینترنتی آسان می‌کنند، پیش از این ایجاد شده‌اند. کارایی و استفاده از این ابزارها تا زمانی‌که یک پایگاه داده با امضای جعلی به کمک آن ها ایجاد شود کاربرد خواهد داشت.

به گفته کارشناسان امنیت سایبری، یک هفته پیش، نتایج استفاده از EtterSilent تنها با چند اسکنر آنتی‌ویروس از مجموعه VirusTotal نشان داده شده است و اکنون یک‌سوم یا حتی نیمی از آن‌ها شناسایی می‌شود.