گسترش تروجان ها با استفاده از Hangul Word و PostScript
به گزارش کار گروه امنیت سایبربان؛ بار دیگر مهاجمان با استفاده از برنامه پردازش متن HWP کاربران کره جنوبی را هدف حملات سایبری خود قرار دادهاند. این در حالی است که نرمافزار مذکور بهعنوان یکی از پرطرفدارترین نرمافزارهای کرهای به شمار میرود که مهاجمان با هک این نرمافزار علیه شخصیتهای کشوری اقدام میکنند.
در حملات اخیر، هکرها از پردازشگر نامبرده با استفاده از PostScript حمله کردهاند. در این میان مهاجمان با استفاده از ایمیلهای مخرب فرایند اجرای فعالیتهای خود را اجرا میکنند.
این در حالی است که مهاجمان با استفاده از Encapsulated PostScript محدودیتهایی را برای امنیت سیستم در هنگام باز کردن یک سند اضافه میکند، نسخههای قدیمی HWP این محدودیتها را بهطور نامناسب اجرا میکنند. مهاجمان شروع به استفاده از پیوستهای حاوی پست اسکریپت مخرب برای حذف کلیدهای میانبر یا فایلهای مخرب روی سیستم آسیبدیده میکنند.
پس از بررسیهای صورت گرفته توسط کارشناسان مشخص شد برخی از خطوط موضوعی و اسناد مورداستفاده مهاجمان شامل بیت کوین و استاندارد امنیتی مالی است. محققان تأکید کردند که مهاجمان از یک سوءاستفاده واقعی استفاده نمیکنند، اما از قابلیت PostScript برای دستکاری در فایلها استفاده میکنند.
PostScript قادر به اجرای دستورات پوسته نیست، اما مهاجمان رفتار مشابهی را با حذف فایلها در پوشههای راهاندازی مختلف به دست میآورند، سپس این فایلها زمانی اجرا میشوند که کاربر دستگاه را به حالت مجدد راهاندازی میکند.
برخی راهکارها که مهاجمان از آن استفاده میکنند بهصورت زیر است.
- برای اجرای فایلهای Javascript از پوشه میانبر MSHTA.exe استفاده میکنند.
- ایجاد میانبر در پوشه راهاندازی و ایجاد فایل DLL در دایرکتوری ٪ Temp٪. این میانبر، rundll32.exe را برای اجرای فایل DLL ذکرشده قرار میدهد.
یکی از حملات مشاهدهشده توسط محققان در Trend Micro، فایل gswin32c.exe را بازنویسی میکند که مترجم PostScript است و توسط برنامه پردازشگر Word Hangul استفاده میشود. پس از اجرای فایل با یک نسخه قانونی Calc.exe جایگزین شده است که مهاجمان با اجرای مطالب PostScript Embedded جلوگیری میکنند.
در این میان به کاربران توصیه میشود برای مقابله با آسیبهای موجود در این برنامه نسخه نرمافزاری خود را بروز رسانی کنند.
