Microsoft Word ve Excel’de 0 günlük, hatta 1 günlük güvenlik açığı olmamasına rağmen, iyi bilinen ve güncelliğini yitirmiş üç CVE, siber güvenlik sektörü için tehdit oluşturmaya devam ediyor.
Araştırmacılar, bu üç CVE’de, kötü amaçlı belgelerin zararlı doğasını gizlemeye yönelik teknik hileler ve kullanıcıları yanıltarak belgeyi açmaya yönelik konuları cezbetmeye yönelik teknik hileler de dahil olmak üzere çeşitli bağlantılar buldu.
“2023 yılında eski CVE’leri kullanan 13.000’den fazla örnek ortalıkta gizleniyor. Farklı formatlar (DOC(X), XLS(X), RTF) ve hileler kullanılıyor ve hepsi aynı amaç için kullanılıyor: kurbanı tuzağa düşürmek. CheckPoint, tıklamanın ardından gelen kötü amaçlı yazılımın yayılmasına neden olduğunu söyledi.
Malloc operatörlerinin seçtiği saldırı alanları arasında bankacılık ve finans, hükümet ve sağlık hizmetleri gibi kazançlı sektörler yer alıyor.
Etkilenen Ülkeler
Microsoft Word ve Excel’de Kullanılan 3 Eski ve İyi Bilinen CVE
- CVE-2017-11882 (Palo Alto tarafından yapılan teknik analiz)
- CVE-2017-0199 (Algı Noktası ile teknik analiz)
- CVE-2018-0802 (Check Point Software Technologies tarafından yapılan teknik analiz)
Belirtilen CVE’lere sahip Maldoc’lar, 2017’de Dridex (CVE-2017-0199), 2021’de Guloader (CVE-2017-11882), 2018’de LokiBot (CVE-2018-0802) ve diğerleri gibi birçok kötü şöhretli kötü amaçlı yazılım ailesini yaymak için kullanıldı.
Ajan Tesla, Gamaredon APT ve Formbook/Xloader tarafından kullanılan örnekler gibi dağıtılan yüklere bazı kayda değer eklemelerin tespit edilmesine rağmen senaryo 2023’te değişmeden kaldı.
Gamaredon APT faaliyetlerinde kullanılan örnekler en dikkat çekenler arasında yer alıyor. Rus devleti tarafından desteklenen kötü şöhretli bir hacker çetesinin adı Gamaredon APT’dir.
Agent Tesla, Ekim 2022’de en yaygın kötü amaçlı yazılımlar listesinin başında yer alan, tanınmış bir kötü amaçlı yazılım ailesidir. Keylogger ve bilgi çalıcı olarak işlev gören gelişmiş bir RAT’tır.
GuLoader, maldocs kullanılarak dağıtıldığı gözlemlenen başka bir kötü amaçlı yazılım ailesidir. GuLoader adlı iyi bilinen kabuk kodu tabanlı bir indirici, “en çok aranan” kötü amaçlı yazılımın çeşitli türlerini dağıtmak için çok sayıda saldırıda kullanıldı.
İlk olarak 2016 yılında tanımlanan Formbook, bilgi hırsızlığı yapan bir kötü amaçlı yazılımdır (CVE-2017-11882). Çevrimiçi tarayıcılarda saklanan ekran görüntüleri, tuş vuruşları ve kimlik bilgileri, güvenliği ihlal edilmiş sistemlerden alınan veri türlerinden yalnızca birkaçıdır.
Maldoc’lar çeşitli biçimlerde olabilir, ancak bunların tuzaklarından biri, yine de kullanıcının bu belge için “düzenlemeyi etkinleştirmesini” gerektiren, kötü biçimlendirilmiş bir metindir.
Excel’deki kötü amaçlı belgeler şifrelenmiş olabilir ve bu da analizi karmaşık hale getirebilir. MS Enhanced RSA ve AES kripto sağlayıcıları, şifreleme ve şifre çözme işlemini gerçekleştirmek için kullanılır.
Kötü amaçlı belgelerdeki kabuk kodları, devasa oleObject’ler, gizlenmiş VBA makroları ve garip URL’ler, maldocs’ta kullanılan tekniklerden bazılarıdır.
Araştırmacılar, “5 yıllık yayılma yönteminin metodolojisinin iyi bilinmesi ve bu kötü amaçlı yazılımın mümkün olduğu kadar erken tespit edilip durdurulması gerekiyor” dedi.
Öneri
- İşletim sistemini ve yüklü uygulamaları güncelleyin.
- Tanımadığınız gönderenlerden gelen istenmeyen e-postalardaki bağlantılara asla tıklamayın.
- Personelin siber güvenlik konusundaki farkındalığını artırın
- Emin değilseniz bir güvenlik uzmanıyla konuşun; Bir sorunu önlemek, onu tedavi etmekten daha tercih edilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi takip edin LinkedIn & heyecan.