شناسایی فایلهای ODT حاوی تروجانهای دسترسی از راه دور

محققان امنیتی چندین عملیات جرایم سایبری را با استفاده از پروندههای Open Document Text یا ODT برای توزیع بدافزارهایی که به طور معمول توسط موتورهای آنتی ویروس مسدود میشوند، مشاهده کردند. این کمپینها کاربران انگلیسی و عربی زبان را هدف قرار میدهند.
فایل های ODT، نوعی فایل بایگانی هستند که میتوانند متن، تصاویر و اشیاء مانند فایلهای مبتنی بر XML را توسط مایکروسافت آفیس و نرمافزارهای منبع باز و مشابه آن (LibreOffice ،OpenOffice) باز کنند.
برخی از موتورهای آنتی ویروس با پروندههای ODT به عنوان بایگانیهای استاندارد رفتار کرده و سند را به عنوان پرونده مایکروسافت آفیس باز نمیکنند و امکان بارگیری بدافزارها را در میزبان مورد نظر، فراهم میکنند.
در یکی از کمپینهایی که کاربران مایکروسافت آفیس را هدف قرار داده بود، مجرمان سایبری در اسناد ODT برای بارگیری تروجانهای معروف دسترسی از راه دور (RAT)، یک OLE را در اسناد ODT جاسازی کرده بودند.
در حمله دوم محققان دریافتند که مهاجمین از یک فایل ODT مخرب استفاده میکنند و سرقت اطلاعات با نام AZORult صورت میگیرد.
این فرایند شامل یک باینری جدید به عنوان منبعی است که آن را با تعداد زیادی از بستههای مختلف مانند Goliath ،babelfor.NET و 9rays اجرا میکند.
محققان سومین بارگیری فایلهای ODT با هدف كاربران OpenOffice و LibreOffice را کشف کرده و دریافتند که معادل ماكروها در اسناد مایکروسافت آفیس در نرمافزار منبع باز StarOffice Basic است.
همچنین دریافتند که از این ماکروی مخرب به منظور بازیابی و اجرای “plink443.exe” استفاده میشود که ارتباطات SSH را برقرار میکند. هدف از اینکار هنوز مشخص نیست، زیرا یک IP شبکه محلی برای این کار و بارگیری سایر موارد اجرایی استفاده شده است.
این یافتهها، همراه با اقدامات ذکر شده برای بارگیریهای چندگانه Metasploit، نشان میدهد که عامل تهدید قصد داشته به صورت جانبی در داخل شبکه حرکت کند.
استفاده از فرمتهای پروندهای با محبوبیت کمتر مانند ODT ممکن است پتانسیل حملات مشخصی را افزایش دهد. مجرمان سایبری میتوانند سوابق عمومی سازمانهایی را که به مجموعههای دفتر منبع باز تبدیل شدهاند بررسی کرده و اهداف خود را از آنجا انتخاب کنند.
علیرغم اینکه تنها سه کمپین کشف شده است که از قالب فایل استفاده میکنند، به دلیل عدم برخورداری از برخی محصولات آنتی ویروس با این فرمت، امکان استفاده مجدد از آن در آینده نیز وجود دارد، بنابراین سرعت تشخیص پایین تری را میطلبد.