هکرها مجددا با کمک اکسپلویت جدیدی، توانستند پچ امنیتی مایکروسافت برای MSHTML را دور زده و از آن طریق بدافزار Formbook را انتشار دهند.
محقق شرکت امنیتی Sophos Labs در گزارش خود چنین ابراز کرد : “این حمله نشان میدهد که انتشار پچهای امنیتی همیشه نمیتواند سد راه فعالیت مجرمان با انگیزه و توانمند شود”.
آسیبپذیری CVE-2021-40444 با سطح خطر ۸.۸، یک آسیبپذیری اجرای کد از راه دور در MSHTML بوده که با استفاده از فایلهای مایکروسافت آفیس قابل بهرهجویی است. با وجود اینکه مایکروسافت با انتشار پچ امنیتی در سپتامبر ۲۰۲۱، آن آسیبپذیری را برطرف ساخته بود اما با انتشار جزئیات آن، تا کنون چندین بار هدف حملات هکرها قرار گرفته است.
در همان ماه دو حمله بزرگ با بهرهجویی از این آسیبپذیری رخ داده که در یکی از آنها سیستمهای موشکی کوبالت مورد هدف قرار گرفته و در دیگری هکرهای ایرانی سیستم قربانیان فارسی زبان جاسوس افزار نصب کردند.
در این کمپین جدید که توسط سوفوس شناسایی شده، هکرها با استفاده از جزئیات منتشر شده در گیتهاب، نسخه نوینی از اکسپلویت را ایجاد کرده و از آن برای انتشار بدافزار Formbook بهرهجویی کردند. این شرکت اعلام کرد که بخشی از موفقیت این حمله به واسطه پچ بسیار متمرکز و کم عمق شرکت رخ داده است.
در نسخه اولیه این باگ، فایل مخرب آفیس میتواند ویروس بدافزار را روی فایل .CAB سوار کند. پس از اینکه مایکروسافت این حفره را بست، هکرها متوجه شدند که میتوانند با استفاده یک فایل RAR (فشرده شده) همان فایل آفیس مخرب را دوباره به سیستم قربانی هدایت کنند.
نسخه تغییر یافته این آسیبپذیری با نام CAB-less 40444 شناخته شده که فقط ۳۶ ساعت (از ۲۴ تا ۲۵ اکتبر) توانست به فعالیت بپردازد. در این بازه زمانی، ایمیلهای فراوانی که حاوی فایل RAR دستکاری شده بود، به قربانیان ارسال گردید. در داخل این فایل، یک اسکریپت WSH داخل فایل ورد قرار داده شده بود که از طریق آن، سیستم به سرور راه دور هکر متصل میشد.
با اجرای فایل، کد جاوا اسکریپتی که در داخل فایل ورد قرار داده شده بود، یک دستور پاورشل را از طریق WSH اجرا میکرد که ویروس بدافزار Formbook را از وبسایت تحت اختیار هکر دریافت مینمود.
دلیل توقف سریع این حمله این بود که فایل RAR دستکاری شده، با نسخههای قدیمی WinRAR قابل اجرا نبود. به عبارت دیگر، بر خلاف سایر حملات سایبری، اینبار افرادی که از نسخههای قدیمیتر و منسوخ شده استفاده میکردند، در امان بودند.
کمپین اخیر دوباره به ما یادآور شد که نباید هر ایمیلی را باز کرده و محتویات آن را دانلود کنیم. رعایت این نکته برای سازمانها و شرکتها از اهمیت بیشتری برخوردار است.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.