شناسایی فایل‌های ODT حاوی تروجان‌‌های دسترسی از راه دور

محققان امنیتی چندین عملیات جرایم سایبری را با استفاده از پرونده‌های Open Document Text یا ODT برای توزیع بدافزارهایی که به طور معمول توسط موتورهای آنتی ویروس مسدود می‌شوند، مشاهده کردند. این کمپین‌ها کاربران انگلیسی و عربی زبان را هدف قرار می‌دهند.

فایل های ODT، نوعی فایل بایگانی هستند که می‌توانند متن، تصاویر و اشیاء مانند فایل‌های مبتنی بر XML را توسط مایکروسافت آفیس و نرم‌افزارهای منبع باز و مشابه آن (LibreOffice ،OpenOffice) باز کنند.

برخی از موتورهای آنتی ویروس با پرونده‌های ODT به عنوان بایگانی‌های استاندارد رفتار کرده و سند را به عنوان پرونده مایکروسافت آفیس باز نمی‌کنند و امکان بارگیری بدافزارها را در میزبان مورد نظر، فراهم می‌کنند.

در یکی از کمپین‌هایی که کاربران مایکروسافت آفیس را هدف قرار داده بود، مجرمان سایبری در اسناد ODT برای بارگیری تروجان‌های معروف دسترسی از راه دور (RAT)، یک OLE را در اسناد ODT جاسازی کرده بودند.

در حمله دوم محققان دریافتند که مهاجمین از یک فایل ODT مخرب استفاده می‌‎کنند و سرقت اطلاعات با نام AZORult صورت می‌گیرد.

این فرایند شامل یک باینری جدید به عنوان منبعی است که آن را با تعداد زیادی از بسته‌های مختلف مانند Goliath ،babelfor.NET و 9rays اجرا می‌کند.

محققان سومین بارگیری فایل‌های ODT با هدف كاربران OpenOffice و LibreOffice را کشف کرده و دریافتند که معادل ماكروها در اسناد مایکروسافت آفیس در نرم‌افزار منبع باز StarOffice Basic است.

همچنین دریافتند که از این ماکروی مخرب به منظور بازیابی و اجرای “plink443.exe” استفاده می‌شود که ارتباطات SSH را برقرار می‌کند. هدف از اینکار هنوز مشخص نیست، زیرا یک IP شبکه محلی برای این کار و بارگیری سایر موارد اجرایی استفاده شده است.

این یافته‌ها، همراه با اقدامات ذکر شده برای بارگیری‌های چندگانه Metasploit، نشان می‌دهد که عامل تهدید قصد داشته به صورت جانبی در داخل شبکه حرکت کند.

استفاده از فرمت‌های پرونده‌ای با محبوبیت کمتر مانند ODT ممکن است پتانسیل حملات مشخصی را افزایش دهد. مجرمان سایبری می‌توانند سوابق عمومی سازمان‌هایی را که به مجموعه‌های دفتر منبع باز تبدیل شده‌اند بررسی کرده و اهداف خود را از آنجا انتخاب کنند.

علیرغم اینکه تنها سه کمپین کشف شده است که از قالب فایل استفاده می‌کنند، به دلیل عدم برخورداری از برخی محصولات آنتی ویروس با این فرمت، امکان استفاده مجدد از آن در آینده نیز وجود دارد، بنابراین سرعت تشخیص پایین تری را می‌طلبد.