MalDocs σε Word και Excel: Μια διαρκής πρόκληση για την κυβερνοασφάλεια

Επίμονες απειλές από παλιές ευπάθειες

Στον συνεχώς εξελισσόμενο κόσμο της κυβερνασφάλειας, νέες απειλές εμφανίζονται καθημερινά. Ωστόσο, ορισμένες παλιές ευπάθειες, συγκεκριμένα στο Microsoft Word και το Excel, εξακολουθούν να αποτελούν σημαντικό κίνδυνο. Σε αυτές περιλαμβάνονται τα CVE-2017-11882, CVE-2017-0199 και CVE-2018-0802, τα οποία εξακολουθούν να χρησιμοποιούνται αποτελεσματικά σε επιθέσεις στον κυβερνοχώρο παρά το γεγονός ότι δεν αποτελούν ευπάθειες μηδενικής

ημέρας.

Χρήση από γνωστά κακόβουλα λογισμικά

Αυτές οι ευπάθειες έχουν συμβάλει στην εξάπλωση διαφόρων διαβόητων οικογενειών κακόβουλου λογισμικού. Για παράδειγμα, το κακόβουλο λογισμικό Dridex εκμεταλλεύτηκε το CVE-2017-0199 το 2017, ενώ, τα επόμενα χρόνια, τα GuLoader και Agent Tesla χρησιμοποίησαν το CVE-2017-11882. Ένα ακόμη παράδειγμα περιλαμβάνει η Gamaredon APT που εκμεταλλεύτηκε το CVE-2017-0199 το 2023. Αυτές οι επιθέσεις στόχευαν κυρίως τομείς με υψηλό δυναμικό κέρδους, όπως ο τραπεζικός τομέας, η κυβέρνηση και η υγειονομική περίθαλψη.

Δυσκολίες ανίχνευσης

Παρά το γεγονός ότι είναι γνωστά εδώ και αρκετά χρόνια, αυτά τα MalDocs συχνά ξεγλιστρούν από τα δίχτυα ασφαλείας. Χρησιμοποιούν διάφορες τεχνικές για να αποφύγουν την ανίχνευση, συμπεριλαμβανομένης της κρυπτογράφησης, των ιδιόμορφων διευθύνσεων URL και της απόκρυψης shellcode. Αυτό καθιστά ιδιαίτερα δύσκολη την ανίχνευση και εξουδετέρωση τους από τα αυτοματοποιημένα συστήματα ασφαλείας.

Πληροφόρηση για τις επιθέσεις σε βιομηχανίες και χώρες

Επιθέσεις σε βιομηχανίες

Η χρήση των MalDocs που αξιοποιούν παλαιά CVEs ήταν ιδιαίτερα διαδεδομένη σε βιομηχανίες όπου η δυνατότητα εκμετάλλευσης δεδομένων και οικονομικού κέρδους είναι σημαντική. Κλάδοι που περιλαμβάνονται είναι:

1. Χρηματοοικονομικά/Τραπεζικές υπηρεσίες: Δεδομένων των ευαίσθητων οικονομικών δεδομένων, ο τομέας αυτός αποτελεί πρωταρχικό στόχο για τους εγκληματίες του κυβερνοχώρου. Οι επιθέσεις κακόβουλου λογισμικού συχνά αποσκοπούν στην κλοπή διαπιστευτηρίων, στη χειραγώγηση συναλλαγών ή στην απόκτηση άμεσης πρόσβασης σε οικονομικούς πόρους.

2. Κυβερνητικές υπηρεσίες: Αυτές οι επιθέσεις συνήθως επικεντρώνονται στην απόσπαση εμπιστευτικών κρατικών πληροφοριών, στη διατάραξη των δημόσιων υπηρεσιών ή στην κατασκοπεία.

3. Υγειονομική περίθαλψη: Με πρόσβαση σε προσωπικές πληροφορίες υγείας και κρίσιμες υποδομές, ο τομέας αυτός είναι ευάλωτος σε ransomware και κλοπή δεδομένων.

Τα MalDocs έχουν σχεδιαστεί για να παραδίδουν payloads που βρίσκονται στην κορυφή των επικρατούντων στους καταλόγους κακόβουλου λογισμικού, υποδεικνύοντας μια στρατηγική και στοχευμένη προσέγγιση από τους επιτιθέμενους. Αυτά τα payloads αποτελούν συχνά μέρος πιο εκτεταμένων εκστρατειών με συγκεκριμένους στόχους, είτε πρόκειται για οικονομικό κέρδος, είτε για κλοπή δεδομένων, είτε για διακοπή των υπηρεσιών.

Xώρες που έχουν δεχτεί επίθεση

Αξιοσημείωτη είναι επίσης η γεωγραφική εξάπλωση των επιθέσεων. Παρόλο που η έκθεση δεν παρέχει συγκεκριμένες λεπτομέρειες για κάθε χώρα που έχει πληγεί, παρατηρείται ότι χώρες με σημαντική οικονομική ή γεωπολιτική σημασία είναι πιο πιθανό να αποτελέσουν στόχο. Αυτό μπορεί να οφείλεται στην υψηλότερη αξία των δεδομένων ή των συστημάτων σε αυτές τις περιοχές ή στη σημασία τους στις παγκόσμιες υποθέσεις.

Highlighted Payloads

Τα payloads που παραδίδονται από αυτά τα MalDocs περιλαμβάνουν διάφορους τύπους κακόβουλου λογισμικού, καθένα από τα οποία έχει σχεδιαστεί για συγκεκριμένους σκοπούς:

1. Τραπεζικά Trojans όπως το Dridex: Αποσκοπούν στην κλοπή τραπεζικών διαπιστευτηρίων.

2. Downloaders όπως το GuLoader: Χρησιμοποιούνται για την εγκατάσταση πρόσθετου κακόβουλου λογισμικού.

3. Info stealers όπως τα Agent Tesla και Formbook: Σχεδιασμένα για την απόσπαση ευαίσθητων πληροφοριών, όπως διαπιστευτήρια σύνδεσης και προσωπικά δεδομένα.

Τα δολώματα σε διαφορετικές εκστρατείες επίθεσης

Τα είδη δολωμάτων

Τα δολώματα που χρησιμοποιούνται σε αυτές τις εκστρατείες είναι έξυπνα σχεδιασμένα για να δελεάσουν τον στόχο να ανοίξει το maldoc. Αυτά τα δολώματα μπορεί να είναι:

1. Ηλεκτρονικά μηνύματα που μιμούνται νόμιμες επικοινωνίες: Εμφανίζονται σαν να προέρχονται από αξιόπιστες πηγές, όπως τράπεζες ή κυβερνητικές υπηρεσίες.

2. Επίκαιρα θέματα: Αξιοποίηση τρεχόντων γεγονότων ή θεμάτων που βρίσκονται σε εξέλιξη για να κεντρίσουν την περιέργεια ή τον χαρακτήρα του επείγοντος.

3. Εξατομικευμένο περιεχόμενο: Προσαρμοσμένο στα ενδιαφέροντα ή τις δραστηριότητες του στόχου, με βάση πληροφορίες που έχουν συλλέξει.

Τρικ για να ξεγελάσετε τα αυτοματοποιημένα Sandboxes

Παρά την ηλικία αυτών των CVEs, τα MalDocs έχουν εξελιχθεί ώστε να παρακάμπτουν τις σύγχρονες άμυνες ασφαλείας, ιδίως τα αυτοματοποιημένα sandboxes, μέσω διαφόρων τεχνικών:

1. Συγκάλυψη του κακόβουλου κώδικα: Χρήση τεχνικών όπως η κρυπτογράφηση και η κωδικοποίηση για την απόκρυψη της πραγματικής φύσης του κώδικα.

2. Χρήση νομιμοφανών URL και Domain Names: Για την αποφυγή κόκκινης σημαίας στα αυτοματοποιημένα συστήματα.

3. Shellcode με Junk οδηγίες: Συμπερίληψη άσχετου κώδικα ή εντολών για την παραπλάνηση των αυτοματοποιημένων εργαλείων ανάλυσης.

4. Εκτέλεση με βάση τον χρόνο: Ορισμένες κακόβουλες ενέργειες καθυστερούν ή ενεργοποιούνται από συγκεκριμένες αλληλεπιδράσεις του χρήστη, οι οποίες ενδέχεται να μην αναπαράγονται σε περιβάλλον sandbox.

5. Απομακρυσμένα πρότυπα και σύνδεσμοι χωρίς επεκτάσεις: Κάνοντας λιγότερο προφανές το τι θα αποκαλύψει ο ιστότοπος με τον οποίο έρχεται σε επαφή, περιπλέκοντας την ανίχνευση για τις λύσεις ασφαλείας.

6. Κόλπα μορφοποίησης εγγράφων: Όπως η απαίτηση από τον χρήστη να “ενεργοποιήσει την επεξεργασία” ή να “ενεργοποιήσει το περιεχόμενο”, η οποία μπορεί να παρακάμψει ορισμένα αυτοματοποιημένα μέτρα ασφαλείας που δεν αλληλεπιδρούν με τα έγγραφα όπως θα έκανε ένας χρήστης.

7. Ενσωμάτωση κακόβουλων payloads σε μη εκτελέσιμες μορφές αρχείων: Όπως έγγραφα του Word ή του Excel, τα οποία είναι λιγότερο πιθανό να επισημανθούν ως επικίνδυνα σε σύγκριση με τα εκτελέσιμα αρχεία.

Εξελισσόμενες τακτικές

Οι τεχνικές αυτές φανερώνουν την προσαρμοστικότητα των εγκληματιών του κυβερνοχώρου απέναντι στα εξελισσόμενα μέτρα ασφαλείας στον κυβερνοχώρο. Η χρήση καλοσχεδιασμένων δελεαστικών και εξελιγμένων τακτικών αποφυγής καθιστά δύσκολο για τα αυτοματοποιημένα συστήματα να συντονιστούν, γεγονός που καθιστά αναγκαίο έναν συνδυασμό προηγμένων τεχνολογιών ανίχνευσης και αυξημένης ευαισθητοποίησης των χρηστών για την αποτελεσματική καταπολέμηση αυτών των απειλών. 

Συμπερασματικά, αν και τα εν λόγω CVE δεν είναι νέα, η συνεχής εκμετάλλευσή τους υπογραμμίζει την ανάγκη για συνεχή επαγρύπνηση στις πρακτικές κυβερνοασφάλειας. Η κατανόηση των στοχευόμενων κλάδων, των χωρών και της εξελισσόμενης φύσης αυτών των επιθέσεων είναι ζωτικής σημασίας για την ανάπτυξη αποτελεσματικών στρατηγικών άμυνας κατά των επίμονων αυτών απειλών.

Συμπέρασμα και συστάσεις

Η συνεχιζόμενη σημασία αυτών των παλαιών ευπαθειών υπογραμμίζει τη σημασία της επαγρύπνησης στην ασφάλεια στον κυβερνοχώρο. Για τον μετριασμό αυτών των κινδύνων, είναι απαραίτητο:

– Να ενημερώνετε τα λειτουργικά συστήματα και τις εφαρμογές.

– Να είστε προσεκτικοί σε μη αναμενόμενα μηνύματα ηλεκτρονικού ταχυδρομείου με συνδέσμους, ιδίως από άγνωστους αποστολείς.

– Να ενισχύσετε την ευαισθητοποίηση των εργαζομένων σε θέματα κυνερνοασφάλειας

– Να συμβουλεύεστε ειδικούς σε θέματα ασφάλειας για τυχόν αμφιβολίες ή αβεβαιότητες.

Οι πελάτες της Check Point παραμένουν προστατευμένοι από την απειλή που περιγράφεται στην παρούσα έρευνα.

Το Check Point Threat Emulation και το Harmony Endpoint παρέχουν ολοκληρωμένη κάλυψη των τακτικών επίθεσης, των τύπων αρχείων και των λειτουργικών συστημάτων και προστατεύουν από τον τύπο των επιθέσεων και των απειλών που περιγράφονται στην παρούσα έκθεση.

Against CVE-2017-11882:

RTF.CVE-2017-11882.gen.TC.*Win32.CVE-2017-11882.TC.*HEUR:Exploit.MSOffice.CVE-2017-11882..TC.

Against CVE-2017-0199:

MSOffice.CVE-2017-0199..TC.RTF.CVE-2017-0199..TC.Win32.CVE-2017-0199.TC.*HEUR:Exploit.MSOffice.CVE-2017-0199.gen.TC.*Wins.Maldoc_cve-2017-0199.*

Against CVE-2018-0802:

MSOffice.CVE-2018-0802.gen.TC.*RTF.CVE-2018-0802.gen.TC.*Win32.CVE-2018-0802.TC.*HEUR:Exploit.MSOffice.CVE-2018-0802.gen.TC.*