کشف یک کمپین بدافزاری که از اسناد HWP استفاده می‌کند

محققان شرکت امنیتی تالوس بیان داشتند که یکی از کمپین‌های بدافزاری که به تازگی کاربران کره‌ی جنوبی را هدف حمله قرار داده از اسناد Hangul Word Processor (به اختصار HWP) برای آلوده کردن اهداف خود استفاده کرده است. 

این کمپین که بین نوامبر ۲۰۱۶ و ژانویه‌ی ۲۰۱۷ فعالیت کرده تعداد محدودی از کاربرانی را هدف حمله قرار داده که از یک جای‌گزین مایکروسافت آفیسِ توسعه‌یافته توسط Hancom استفاده می‌کردند، این حمله بیشتر به این خاطر بوده که ابزار مذکور بین کاربران کره‌ی جنوبی محبوبیت دارد. این اسناد آلوده که به زبان کره‌ای نوشته شده‌اند ظاهراً توسط وزارت وحدت کره‌ی جنوبی تهیه شده‌اند.

این اسناد برای این‌که مجاز و عادی جلوه کنند، تلاش می‌کردند تا یک پرونده را از یک وب‌گاه دولتی کره بارگیری کنند: kgls.or.kr.

پرونده‌ی مورد نظر کدی بوده که در پوشش یک پرونده‌ی jpeg پنهان شده بود، کدی که برای این آلودگی‌سازی اجرا می‌شد.

محققان تالوس گمان می‌کنند که این وب‌گاه بیشتر به خاطر مشروعیت بخشیدن به حمله‌ی مورد بحث مورد نفوذ واقع شده است. آن‌ها همچنین خاطرنشان کردند که یک عامل پیچیده پشت این پرده قرار دارد، چرا که وب‌گاه‌های تحت نفوذ یا پاک‌سازی شده‌اند و یا بعد از انجام حمله حذف گردیده‌اند و محتوای نهایی حمله هیچ‌جا کشف نشده است. علاوه بر این، نفوذگران از یک زیرساخت مشترک برای بیش از چند روز استفاده نکرده‌اند و هیچ‌گاه زیرساخت مورد استفاده را مجدداً به کار نبرده‌اند.

با توجه به این شواهد می‌توان احتمال داد که این بارکننده توسط یک گروه مرفه طراحی شده تا به وسیله‌ی آن نهادهای مستقر در بخش عمومی کره‌ی جنوبی مورد حمله قرار بگیرند. بسیاری از این روش‌ها مشابه مشخصه‌های کمپین‌هایی هستند که پیش‌تر علیه گروه‌های دولتی دست به فعالیت زده‌اند.

استفاده از پرونده‌های HWP برای آلوده‌سازی اگرچه متداول نیست ولی در پشت‌زمینه این حس را القاء می‌کند که این نرم‌افزار به‌طور گسترده‌ای در کره و به ویژه توسط دولت کره‌ی جنوبی استفاده می‌شود. همچنین از آن‌جایی که این یک قالب پرونده‌ی محلی است، ممکن است دستگاه‌های امنیتی برای پردازش پرونده‌های HWP تجهیز نشوند، و این باعث شود که نفوذگر عامل ماجرا به احتمال زیاد شناسایی نشود.

این سند که دارای عنوان «تجزیه و تحلیل (سال نوی شمالی) در ۲۰۱۷» نام دارد شامل لوگوی وزارت اتحاد این کشور است، که برای اتحاد مجدد شمال و جنوب کره‌ی جنوبی فعالیت می‌کند. این سند حاوی اطلاعاتی همچون جشن سال جدید در کره‌ی شمالی است و در پایان دربرگیرنده‌ی دو پیوند به اسناد دیگر است، این سند به کاربران اطلاع می‌دهد که بایست برای دست پیدا کردن به این اسناد روی پیوندها دو بار کلیک نمایند.

پس از آن‌که سند طعمه باز شد، کدها منجر به اجرای wscript.exe شده و شل‌کد را به این فرآیند اجار می‌کنند. این شل‌کد که در یک منبع به نام BIN ذخیره شده است، یک PE32 دیگر را در رویه‌ی مجاز wscript.exe قرار داده و آن را اجرا می‌کند.

ممکن است از این اطلاعات برای شناسایی استفاده شود تا به این ترتیب تعیین شود که آیا محموله‌ی نهایی ارسال شده یا خیر. این نمونه‌ی تحلیل‌شده سعی دارد تا به یک پرونده‌ی index.php و سپس به یک پرونده‌ی jpg. وصل شود، پرونده‌ای که به‌طور خودکار توسط پرونده‌ی index.php و بر مبنای داده‌های جمع‌آوری‌شده ایجاد شده است. این محتوای پرونده‌ی jpg با عنوان «officepatch.exe» ذخیره و اجرا می‌شود.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید