تحقیقات اخیر توسط واحد تحقیقات تهدید Acronis (TRU) یک حمله پیچیده را نشان داده است که از یک نسخه قدیمی Microsoft Word به عنوان مجرای برای نصب یک درب پشتی دائمی بر روی سیستم‌های آلوده استفاده می‌کند.

WordDrone بر شرکت‌هایی در تایوان، به ویژه آنهایی که در صنعت تولید پهپاد فعالیت می‌کنند، تمرکز دارد. تحقیقات نشان داد که این بدافزار بر روی سیستم‌های شرکت‌هایی که در صنعت رو به رشد هواپیماهای بدون سرنشین تایوان کار می‌کنند نصب شده است، که از سال 2022 شاهد سرمایه‌گذاری قابل توجهی از سوی دولت بوده است.

موقعیت استراتژیک تایوان در هر دو بخش فناوری و نظامی احتمالاً این سازمان ها را به اهداف جذابی برای جاسوسی یا حملات زنجیره تأمین تبدیل کرده است.

آسیب پذیری های Microsoft Word

مهاجمان از تکنیکی به نام بارگذاری جانبی DLL برای نصب بدافزار از طریق نسخه در معرض خطر Microsoft Word 2010 استفاده می‌کنند. سه فایل اصلی را در سیستم هدف نصب می‌کند که یک کپی قانونی از Winword (Microsoft Word)، یک wwlib.dll مخرب ساخته شده است. فایل و فایلی با نام و پسوند تصادفی.

برنامه قانونی Winword برای بارگذاری جانبی DLL مخرب استفاده می شود، که به عنوان بارگیری برای بار واقعی پنهان شده در فایل با نام تصادفی رمزگذاری شده عمل می کند.

بارگذاری جانبی DLL تکنیکی است که از نحوه بارگیری کتابخانه ها توسط برنامه های کاربردی ویندوز سوء استفاده می کند. در این مورد، مهاجمان از یک نسخه قدیمی مایکروسافت ورد استفاده می‌کنند که دارای یک آسیب‌پذیری بود که به آن اجازه می‌داد یک فایل DLL مخرب را که به عنوان بخشی قانونی از نصب مایکروسافت آفیس پنهان شده بود، بارگیری کند. فایل مخرب wwlib.dll به عنوان یک لودر عمل می کند و بار واقعی بدافزار پنهان شده در فایل رمزگذاری شده دیگری را رمزگشایی و اجرا می کند. این استفاده از بارگذاری جانبی DLL، تشخیص حمله را برای ابزارهای امنیتی سنتی دشوار می کند.

مهاجمان تا آنجا پیش می روند که به صورت دیجیتالی برخی از DLL های مخرب را با گواهی هایی که به تازگی منقضی شده اند امضا می کنند. این تاکتیک به بدافزار اجازه می‌دهد تا از شناسایی توسط سیستم‌های امنیتی که کاملاً به باینری‌های امضا شده اعتماد دارند، فرار کند.

هنگامی که حمله آغاز می شود، یک سری اقدامات مخرب آشکار می شود. حمله با اجرای یک shellcode شروع می شود، که یک جزء به نام install.dll را از حالت فشرده خارج کرده و خود تزریق می کند. این مؤلفه پایداری را در سیستم هدف ایجاد می کند و با اجرای ClientEndPoint.dll، که به عنوان هسته عملکرد درب پشتی عمل می کند، فاز بعدی را آغاز می کند.

پس از نصب، بدافزار حفظ پایداری سیستم آلوده را در اولویت قرار می دهد و از مؤلفه install.dll برای رسیدن به این هدف استفاده می کند. این مؤلفه از سه روش عملیاتی پشتیبانی می کند: نصب فرآیند میزبان به عنوان یک سرویس، تنظیم آن به عنوان یک کار برنامه ریزی شده، یا تزریق مرحله بعدی بدون ایجاد پایداری. این گزینه‌ها به بدافزار اجازه می‌دهد تا فعال بماند و از شناسایی فرار کند، و تضمین می‌کند که می‌تواند فعالیت‌های مخرب خود را حتی پس از راه‌اندازی مجدد سیستم ادامه دهد.

مرحله آخر حمله با دو وظیفه مهم آغاز می شود. ابتدا، بدافزار حذف NTDLL را انجام می دهد، تکنیکی که برای حذف قلاب های احتمالی قرار داده شده توسط نرم افزار امنیتی استفاده می شود. این بدافزار با بارگذاری یک نمونه جدید از کتابخانه NTDLL تضمین می کند که هیچ قلابی نمی تواند در عملیات مخرب آن دخالت کند. دوم، این بدافزار از تکنیکی به نام خاموش کردن EDR برای خنثی کردن ابزارهای رایج تشخیص و پاسخ نقطه پایانی (EDR) استفاده می‌کند. فهرست فرآیندها را برای ابزارهای امنیتی شناخته شده اسکن می کند و قوانین مسدودسازی را برای هر مسابقه به فایروال ویندوز اضافه می کند. این به طور موثر توانایی نرم افزار امنیتی برای شناسایی یا جلوگیری از فعالیت های مخرب بیشتر را غیرفعال می کند.

یکی از پیچیده‌ترین جنبه‌های این بدافزار، توانایی آن در برقراری ارتباط با یک سرور Command-and-Control (C2) است. پیکربندی برای ارتباط C2 در بدافزار تعبیه شده است و بر اساس یک برنامه زمان‌بندی است. آرایه بیتی در پیکربندی هر ساعت در هفته را نشان می‌دهد، و اگر ساعت خاصی به عنوان فعال علامت‌گذاری شود، بدافزار سعی می‌کند با سرور C2 ارتباط برقرار کند.

این بدافزار همچنین از چندین پروتکل برای ارتباط از جمله TCP، TLS، HTTP، HTTPS و WebSocket پشتیبانی می کند. پس از برقراری ارتباط، بدافزار می تواند دستورات یا بارهای اضافی را از سرور C2 دریافت کند. فرمت باینری سفارشی مورد استفاده در ارتباطات، تشخیص و تجزیه و تحلیل ترافیک را دشوارتر می کند.

بردار دسترسی اولیه برای حمله همچنان نامشخص است، اما محققان بيان کرد ند که اولین ظاهر فایل های مخرب در پوشه یک نرم افزار ERP محبوب تایوانی بود. این امر احتمال حمله زنجیره تامین را افزایش داد، جایی که مهاجمان نرم افزار ERP را برای توزیع بدافزار به خطر انداختند.

بیشتر از TechRadar Pro