کمتر از یک هفته پس از این که مایکروسافت در 23 آبان اقدام به انتشار یک Patch برای CVE-2017-11882 نمود، متخصصان امنیت سایبری دریافتند که مهاجمی با استفاده از یک کد مخرب و آسیبپذیریهای مایکروسافت آفیس اقدام به حمله سایبری به یک سازمان دولتی در خاورمیانه نموده اند. با توجه به ارزیابی که شرکت امنیتی FireEye انجام داده است این اقدام توسط یک گروه سایبری تحت عنوان APT34 صورت گرفته است که به منظور رسیدن به اهداف خود از یک PowerShell Backdoor استفاده مینماید.
به اعتقاد این شرکت، گروه APT34 که از سال 2014 در حال فعالیت است، درگیر یک عملیات بلند مدت سایبری بوده و به صورت عمده بر روی عملیات شناسایی آسیب پذیری ها متمرکز است. این گروه که عملیات خود را در خاورمیانه متمرکز نموده است اهداف گستردهای در صنایع متفاوت از جمله مالی، حکومتی، انرژی، شیمیایی و ارتباطات مخابراتی دارد.
این گروه از ترکیبی از ابزارهای عمومی و غیرعمومی استفاده کرده و معمولا با عملیات Spear Phishing از حسابهای دستکاری شده استفاده مینماید که این اقدام گاهی با روشهای مهندسی اجتماعی نیز همراه است. FireEye در اردیبهشت ماه 95 یک Blog حاوی جزئیاتی از بانکهای هدف در منطقه خاورمیانه منتشر نمود که برای پخش کردن بدافزار POWBAT از پیوستهای Macro-Enabled استفاده میکرد، که به ادعای شرکت امنیتی سایبری FireEye به گروه APT34 نسبت داده شده است. در تیرماه 96 مشاهده شد که این گروه با استفاده از یک Backdoor مبتنی بر PowerShell با نام POWRUNER و همچنین با استفاده از ابزار دانلود با قابلیت الگوریتم تولید دامنه با نام BONDUPDATER و بر اساس Stringهای درون بدافزار، در حال هدف قرار دادن سازمانی در خاورمیانه میباشد. این Backdoor از طریق یک فایل rtf. مخرب که در آسیبپذیری CVE-2017-0199 ارائه شده است، استفاده می کند.
این گروه در آخرین فعالیت خود به منظور پیادهسازی POWRUNER و BONDUPDATER از آسیبپذیری CVE-2017-11882 مایکروسافت آفیس استفاده کرده است.
گرچه ممکن است گروه APT34 چندان با گزارش های عمومی مربوط به گروه “OilRig” همخوانی نداشته باشد زیرا همانطور که هر سازمان به نوبهی خود برای ردیابی مهاجمان از مجموعه دادههای متفاوتی استفاده مینماید، به همین صورت هم محتمل است که دستهبندیهای این سازمان امنیتی از فعالیتهای این گروه کاملا با یکدیگر سازگار نباشد.
آسیب پذیری Stack Memory Corruption مایکروسافت آفیس
آسیبپذیری CVE-2017-11882 چندین نسخه از مایکروسافت آفیس را تحت تاثیر قرار میداد و هنگامی که مورد Exploit واقع شد به کاربر Remote اجازه میداد تا کد دلخواه خود را در متن کاربر به عنوان نتیجهی رسیدگی نادرست اطلاعات در حافظه به اجرا درآورد. نسخهی Patch این آسیبپذیری در 23 آبان 96 توسط مایکروسافت منتشر و نسخهی کامل Proof-Of-Concept یا به اختصار PoC نیز یک هفته بعد منتشر گردید.
این آسیبپذیری در نسخهی قدیمی (Equation Editor (EQNEDT32.EXE یکی از اجزای مایکروسافت آفیس که به منظور قرار دادن و ارزیابی نمودن فرمولهای ریاضی مورد استفاده قرار میگیرد، نیز موجود بود. Equation Editor در اسناد آفیس جاسازی شده و از تکنولوژی OLE استفاده مینماید و به عنوان فرایندی جداگانه و نه به عنوان فرایندی وابسته به برنامههای آفیس ایجاد شده است. در صورتی که یک فرمول ساخته شده به Equation Editor منتقل شود، در هنگام کپی دادهها، طول آنها توسط این برنامه مورد بررسی قرار نمیگیرد در نتیجه Stack Memory Corruption ایجاد خواهد شد. از آنجا که EQNEDT32.exe با استفاده از یک کامپایلر قدیمیتر کامپایل میشود و از تکنیک Address Space Layout Randomization یا به اختصار ASLR پشتیبانی نمینماید، تکنیکی که به منظور جلوگیری از سواستفاده از آسیبپذیریهای Memory Corruption پیکربندی شده است به خوبی عمل نکرده و در نتیجه مهاجم میتواند به آسانی مسیر اجرای برنامه را تغییر دهد.
الگوریتم اجرای فایل مخرب
این اسکریپت مخرب با استفاده از یک سری مراحل با موفقیت اجرا شده و در نهایت اتصالی به سرور کامند و کنترل (C2) برقرار میسازد. نقطه آغازین این جریان از یک Document مخرب نشان داده شده در شکل زیر میباشد.
پس از اجرای موفق مراحل ذکر شده در بخش بالا، سرویس Task Scheduler در ویندوز هر ثانیه فایل GoogleUpdateschecker.vbs را راهاندازی میکند که در نتیجه این فایل، اسکریپتهای dUpdateCheckers.ps1 و hUpdateCheckers.ps1 را اجرا مینماید. این اسکریپتهای PowerShell بارهای نهایی فرایند میباشند که شامل یک دانلودکننده با قابلیت الگوریتم تولید دامنه یا به اختصار DGA و اجزای Backdoor است، که برای دریافت دستورات و انجام فعالیتهای مخرب دیگر، به سرور C2 متصل میشوند.
