يستغل مجرمو الإنترنت غير المعروفين ثغرة أمنية ثابتة في Internet Explorer لتوزيع حصان طروادة للوصول عن بُعد (RAT) مكتوب بلغة برمجة VBA. البرنامج الضار قادر على الوصول إلى الملفات الموجودة على أنظمة Windows المعرضة للخطر وتنزيل الحمولات الضارة وتنفيذها.
وفقًا لما أفاد به المتخصصون في شركة Malwarebytes ، ينتشر الباب الخلفي عبر مستند مزيف بعنوان Manifest.docx ، والذي يبدأ تشغيل الثغرة الأمنية وينفذ كود قذيفة لنشر RAT.
بالإضافة إلى جمع البيانات الوصفية للنظام ، تم تصميم RAT لاكتشاف منتجات مكافحة الفيروسات على نظام مصاب وتنفيذ أوامر خادم القيادة والتحكم ، بما في ذلك قراءة الملفات التعسفية وحذفها وتحميلها ، بالإضافة إلى نقل نتائج الأوامر مرة أخرى إلى الخادم.
اكتشف الخبراء أيضًا لوحة مكتوبة بلغة PHP تسمى Ekipa ، والتي يستخدمها المهاجم لتتبع الضحايا وعرض المعلومات حول أساليب العملية التي أدت إلى اختراق ناجح.
يشار إلى أن هذه الثغرة الأمنية (CVE-2021-26411) قد تم استغلالها بالفعل من قبل مجموعة Lazarus ، بدعم من كوريا الشمالية ، لشن هجمات على متخصصي أمن المعلومات. استخدمت مجموعة Lazarus Group ملفات MHTML لمهاجمة باحثي الأمن السيبراني . حلل الخبراء الحمولات التي تم تحميلها بواسطة ملف MHT ووجدوا ثغرة لثغرة يوم الصفر في Internet Explorer. قامت Microsoft بإصلاح هذه المشكلة بتحديثات الأمان لشهر مارس.
0 تعليقات