بدافزار XWorm از آسیب پذیری Follina در موج جدید حملات سوء استفاده می کند

 ۱۲ مه ۲۰۲۳  تهدید سایبری / بدافزار Ravie Lakshmanan

محققان امنیت سایبری یک کمپین فیشینگ در حال انجام را کشف کرده اند که از یک زنجیره حمله منحصر به فرد برای ارائه بدافزار XWorm در سیستم های هدف استفاده می کند.

Securonix که این خوشه فعالیت را تحت نام MEME#4CHAN ردیابی می کند، بیان کرد که برخی از حملات عمدتاً شرکت های تولیدی و کلینیک های مراقبت های بهداشتی واقع در آلمان را هدف قرار داده اند.

محققان امنیتی دن ایوزویک، تیم پک و اولگ کولسنیکوف در تحلیل جدیدی که با The Hacker News به اشتراک گذاشته شده است، می‌گویند: «کمپین حمله از کد PowerShell پر از میم‌های غیرمعمول استفاده می‌کند و به دنبال آن یک محموله XWorm به شدت مبهم برای آلوده کردن قربانیان خود استفاده می‌کند.

این گزارش بر اساس یافته‌های اخیر آزمایشگاه‌های امنیتی Elastic است که فریبنده‌هایی با مضمون رزرو این بازیگر تهدید برای فریب قربانیان برای باز کردن اسناد مخربی که قادر به تحویل محموله‌های XWorm و Agent Tesla هستند را نشان می‌دهد.

حملات با حملات فیشینگ برای توزیع اسناد فریبنده مایکروسافت ورد آغاز می شوند که به جای استفاده از ماکروها، آسیب پذیری Follina (CVE-2022-30190، امتیاز CVSS: 7.8) را به سلاح تبدیل می کند تا یک اسکریپت مبهم PowerShell را رها کند.

از آنجا، عوامل تهدید از اسکریپت PowerShell برای دور زدن رابط اسکن ضد بدافزار (AMSI)، غیرفعال کردن Microsoft Defender، ایجاد پایداری و در نهایت راه اندازی باینری دات نت حاوی XWorm سوء استفاده می کنند.

جالب اینجاست که یکی از متغیرهای اسکریپت PowerShell "$CHOTAbheem" ​​نام دارد، که احتمالاً اشاره ای به Chhota Bheem ، یک مجموعه تلویزیونی کمدی ماجراجویی انیمیشن هندی است.

محققان با اشاره به اینکه چنین کلمات کلیدی به هکر نیوز گفتند: "بر اساس یک تحلیل سریع، به نظر می رسد که فرد یا گروهی که مسئول این حمله است می تواند پیشینه خاورمیانه/هندی داشته باشد، اگرچه انتساب نهایی هنوز تایید نشده است. " همچنین می تواند به عنوان پوشش استفاده شود.

XWorm یک بدافزار کالایی است که برای فروش در انجمن‌های زیرزمینی تبلیغ می‌شود و دارای طیف گسترده‌ای از ویژگی‌ها است که به آن اجازه می‌دهد اطلاعات حساس را از میزبان‌های آلوده دریافت کند.

این بدافزار همچنین یک چاقوی ارتش سوئیس است زیرا می‌تواند عملیات کلیپر، DDoS و باج‌افزار را انجام دهد، از طریق USB پخش شود و بدافزار اضافی را رها کند.

منشأ دقیق عامل تهدید در حال حاضر نامشخص است، اگرچه Securonix بیان کرد که روش حمله دارای مصنوعاتی مشابه با روش TA558 است که در گذشته مشاهده شده است که صنعت مهمان‌نوازی را تحت تأثیر قرار داده است.

اگرچه ایمیل‌های فیشینگ به ندرت از اسناد مایکروسافت آفیس استفاده می‌کنند، زیرا مایکروسافت تصمیم به غیرفعال کردن ماکروها به‌طور پیش‌فرض گرفته است، امروز شاهد شواهدی هستیم که نشان می‌دهد هنوز مهم است که در مورد فایل‌های سند مخرب مراقب باشیم، به‌خصوص در این مورد که هیچ گونه اجرای VBscript از آن‌ها وجود ندارد. ماکروها،" محققان گفتند.