حملہ آور اسپائی ویئر فراہم کرنے کے لیے ایک 6 سالہ پرانی Microsoft Office ریموٹ کوڈ ایگزیکیوشن (RCE) کی خامی کا استحصال کر رہے ہیں، ایک ای میل مہم میں جو بدنیتی پر مبنی Excel اٹیچمنٹ کے ذریعے ہتھیار بنائے گئے ہیں اور چوری کے جدید حربوں سے نمایاں ہیں۔
دھمکی آمیز اداکار اسپام ای میلز میں کاروباری سرگرمی سے متعلق لالچ کو جھکاتے ہیں جو فائلوں پر مشتمل ہوتی ہیں۔ CVE-2017-11882، ایک RCE خامی جو 2014 سے شروع ہوئی ہے اور سسٹم پر قبضے کی اجازت دے سکتی ہے، Zscaler نے انکشاف کیا بلاگ پوسٹ 19 دسمبر کو شائع ہوا۔ حملے کا آخری ہدف لوڈ کرنا ہے۔ ایجنٹ ٹیسلا، ایک ریموٹ ایکسیس ٹروجن (RAT) اور ایڈوانسڈ کیلاگر پہلی بار 2014 میں دریافت ہوا تھا، اور حملہ آوروں کے ذریعے چلائے جانے والے ٹیلیگرام بوٹ کے ذریعے متاثرہ سسٹم سے اسناد اور دیگر ڈیٹا نکالتا ہے۔
CVE-20170-11882 مائیکروسافٹ آفس کے ایکویشن ایڈیٹر میں پائی جانے والی میموری کی بدعنوانی کی خامی ہے۔ ایک حملہ آور جو اس خامی کا کامیابی سے فائدہ اٹھاتا ہے وہ موجودہ صارف کے تناظر میں صوابدیدی کوڈ چلا سکتا ہے اور یہاں تک کہ اگر صارف ایڈمنسٹریٹر کے حقوق کے ساتھ لاگ ان ہوتا ہے تو متاثرہ نظام پر قبضہ بھی کر سکتا ہے۔ اگرچہ کمزوری طویل عرصے سے ختم ہو چکی ہے، پرانے ورژن of مائیکروسافٹ آفس اب بھی استعمال میں کمزور ہو سکتا ہے.
تقریباً ایک دہائی پرانا ہونے کے باوجود، ایجنٹ ٹیسلا باقی ہے۔ ایک عام ہتھیار حملہ آوروں کے ذریعہ استعمال کیا جاتا ہے اور اس میں کلپ بورڈ لاگنگ، اسکرین کی لاگنگ، اسکرین کیپچرنگ، اور مختلف ویب براؤزرز سے ذخیرہ شدہ پاس ورڈز نکالنے جیسی خصوصیات شامل ہیں۔
حملہ کرنے والا ویکٹر اس لحاظ سے منفرد ہے کہ یہ a جوڑتا ہے۔ دیرینہ خطرہ نئی پیچیدگی اور چوری کے ہتھکنڈوں کے ساتھ جو حملہ آوروں کے انفیکشن کے طریقوں میں موافقت کا مظاہرہ کرتے ہیں، اس طرح "تنظیموں کے لیے یہ ضروری ہو جاتا ہے کہ وہ اپنے ڈیجیٹل منظر نامے کی حفاظت کے لیے سائبر خطرات کے بارے میں اپ ڈیٹ رہیں،" Zscaler کے سینئر سیکیورٹی محقق کیولیا کھرسلے نے پوسٹ میں نوٹ کیا۔
ای میل پر مبنی سائبر اٹیک: عام لالچ، ناول کی حکمت عملی
اس کے ابتدائی انفیکشن ویکٹر میں، مہم غیر معمولی معلوم ہوتی ہے، جس میں دھمکی دینے والے اداکار استعمال کرتے ہیں۔ سماجی طور پر انجنیئر ای میلز "آرڈرز" اور "انوائسز" جیسے الفاظ کے ساتھ پیغامات میں کاروبار پر مبنی لالچ کے ساتھ۔ پیغامات وصول کنندگان سے فوری جواب کی درخواست کرکے عجلت کا احساس پیدا کرتے ہیں۔
لیکن ایک بار جب صارف چارہ لے لیتا ہے، تو حملے کا طریقہ غیر روایتی ہو جاتا ہے، محققین نے پایا۔ کھولنا بدنیتی پر مبنی ایکسل منسلکہ اسپریڈشیٹ ایپ کے کمزور ورژن کے ساتھ ایک بدنیتی پر مبنی منزل کے ساتھ مواصلت شروع کرتی ہے جو اضافی فائلوں کو آگے بڑھاتی ہے، جن میں سے پہلی ایک بھاری بھرکم VBS فائل ہے جو 100 حروف طویل متغیر ناموں کا استعمال کرتی ہے۔ اس سے "تجزیہ میں پیچیدگی کی ایک تہہ اور ڈی اوبسکیشن کا اضافہ ہوتا ہے،" خرسالے نے لکھا۔
یہ فائل بدلے میں ایک نقصان دہ JPG فائل کا ڈاؤن لوڈ شروع کرتی ہے، جس کے بعد VBS فائل ایک پاور شیل کو ایگزیکیوٹیبل کرتی ہے جو تصویر فائل سے Base64-encoded DLL کو بازیافت کرتی ہے، DLL کو ڈی کوڈ کرتی ہے، اور ڈی کوڈ شدہ DLL سے بدنیتی پر مبنی طریقہ کار کو لوڈ کرتی ہے۔
پاور شیل لوڈ ہونے کے بعد، ایک اور نیا حربہ ہے: یہ RegAsm.exe فائل کو چلاتا ہے - جس کا بنیادی کام عام طور پر رجسٹری پڑھنے لکھنے کے آپریشنز سے منسلک ہوتا ہے، خرسیل نے نوٹ کیا۔ تاہم، حملے کے تناظر میں، فائل کا مقصد ایک حقیقی آپریشن کی آڑ میں بدنیتی پر مبنی سرگرمیاں انجام دینا ہے۔ یہاں سے، DLL ایجنٹ ٹیسلا پے لوڈ حاصل کرتا ہے اور RegAsm کے عمل میں ایک دھاگہ داخل کرتا ہے۔
ایجنٹ ٹیسلا مالویئر ان ایکشن
ایک بار تعیناتی، سپائیویئر RAT متعدد براؤزرز، میل کلائنٹس، اور FTP ایپلیکیشنز سے ڈیٹا چوری کرنے کے لیے آگے بڑھتا ہے، اور اسے دھمکی آمیز عناصر کے زیر کنٹرول نقصان دہ منزل پر بھیجتا ہے۔ یہ تمام کی اسٹروکس کی نگرانی کے لیے کی بورڈ اور کلپ بورڈ ہکس کو تعینات کرنے کی کوشش کرتا ہے اور صارف کے ذریعے کاپی کیے گئے ڈیٹا کو کیپچر کرتا ہے۔
خاص طور پر، ایجنٹ ٹیسلا ونڈو ہکنگ کا استعمال کرتا ہے، ایک تکنیک جو ایونٹ کے پیغامات، ماؤس ایونٹس، اور کی اسٹروکس کی نگرانی کے لیے استعمال ہوتی ہے۔ خرسالے نے کہا کہ جب کوئی صارف کام کرتا ہے تو دھمکی آمیز اداکار کا فعل کارروائی سے پہلے ہی روکتا ہے۔ یہ میلویئر بالآخر خارج شدہ ڈیٹا ٹیلیگرام بوٹ کو بھیجتا ہے جسے دھمکی دینے والے اداکار کے ذریعے کنٹرول کیا جاتا ہے۔
Zscaler نے بلاگ پوسٹ میں سمجھوتہ کے اشارے (IoCs) کی ایک جامع فہرست شامل کی ہے — بشمول exfiltration کے لیے استعمال ہونے والے Telegram URLs کی فہرست؛ بدنیتی پر مبنی URLS؛ مختلف بدنیتی پر مبنی ایکسل، VBS، JPG، اور DLL فائلیں؛ اور بدنیتی پر مبنی ایگزیکیوٹیبلز - یہ شناخت کرنے میں مدد کے لیے کہ آیا کسی سسٹم سے سمجھوتہ کیا گیا ہے۔ اس پوسٹ میں براؤزرز اور میل اور FTP کلائنٹس کی ایک وسیع فہرست بھی شامل ہے جہاں سے ایجنٹ ٹیسلا اداروں کو چوکس رہنے میں مدد کے لیے اسناد چرانے کی کوشش کرتا ہے۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/cloud-security/attackers-exploit-microsoft-office-bug-spyware
