Siber Suç , Dolandırıcılık Yönetimi ve Siber Suç , Coğrafi Odak: Asya
PDF Dosyalarının İçinde Gizlenen Kötü Amaçlı Word Dosyaları Yapılandırılmış Makroları Yürütüyor
Jayant Chakraborty (@JayJay_Tech) •
30 Ağustos 2023
Japon hükümeti müfettişleri, siber suçluların, kullanıcıları zararsız PDF görünümündeki kötü amaçlı Word dosyalarını indirmeleri için kandıran yeni bir teknik kullandıklarını söylüyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
JPCERT analisti Yuma Masubuchi’nin bir blogda belirttiğine göre, Japonya’nın Bilgisayar Acil Durum Müdahale Ekibi, Temmuz ayında siber suçluların Japon kuruluşlarına yönelik saldırılarda geleneksel kötü amaçlı yazılım tespitini atlatmak için “maldocs” tekniğini kullandığını tespit etti. Maldoc’lar, kendi kendine çalışan kod içeren ve yürütmek için kullanıcı izni gerektiren dosyalardır. Bu dosyalar, yerleşik kötü amaçlı javascript içeren PDF’leri veya yerleşik VBA makroları içeren Microsoft Office belgelerini içerir.
JPCERT, kötü amaçlı Word dosyalarını PDF’lere yerleştiren tehdit aktörlerini gözlemledi. PDF açıldığında, gömülü Word dosyasının Microsoft Word’de açılmasını tetikler ve kötü amaçlı makro daha sonra yürütülerek hedef sisteme veya verilere zarar verme potansiyeline sahip olabilir.
Tehdit aktörleri de kullanıldı [.]Kötü amaçlı belgenin sihirli sayılara ve PDF dosya yapısına sahip olsa bile Word’de açılmasını sağlamak için dosya uzantısı olarak doc’u kullanın.
Masubuchi, pdfid gibi herhangi bir PDF analiz aracının maldoc’taki kötü amaçlı kodu tespit etmesinin pek olası olmadığını ve sistemin dosyayı PDF olarak tanıdığı için mevcut sandbox veya antivirüs yazılımında da aynı durumun geçerli olduğunu söyledi. Dosya, PDF görüntüleyicide açıldığında herhangi bir kötü amaçlı davranış göstermiyor ancak Microsoft Word’de açıldığında kötü amaçlı kod çalıştırıyor.
OLEVBA gibi Microsoft Word dosyalarına yönelik belirli analiz araçlarının, yazılımın gömülü makroları okuyup kötü amaçlı kodu ayrı ayrı analiz etmesi nedeniyle maldoc’taki kötü amaçlı kodu tespit edebildiğini söyledi.
JPCERT’in uyarısı, Çinli APT gruplarından şüphelenilen grupların Mayıs ayında Hiroşima’daki G7 zirvesine katılan yabancı hükümet yetkililerine karşı kötü amaçlı yazılım saldırıları başlatmak için 17 yıllık bir Microsoft Office güvenlik açığından yararlanmasından kısa bir süre sonra geldi (bkz: Çinli Hackerlar MS Office Kusuruyla G7 Zirvesini Hedefledi).
Daha yakın zamanlarda, Çinli ulus-devlet bilgisayar korsanlarının, Microsoft Office’teki sıfır gün güvenlik açığından yararlanarak ve e-posta hesabına erişim sağlamak için sahte kimlik doğrulama belirteçleri kullanarak ABD’nin Çin Büyükelçisi Nicholas Burns’ün e-posta hesabını tehlikeye attığı bildirildi.
Microsoft tarafından Storm-0558 olarak tanımlanan hacker grubu, ABD Dışişleri ve Ticaret bakanlıkları da dahil olmak üzere dünya çapında 25 farklı kuruluştaki yetkililerin e-posta hesaplarını da ihlal etti.