سوءاستفاده‌ی بدافزار ASRUEX از آسیب‌پذیری‌های قدیمی جهت آلوده‌سازی اسناد PDF و WORD – بخش اول

سوءاستفاده‌ی بدافزار ASRUEX از آسیب‌پذیری‌های قدیمی جهت آلوده‌سازی اسناد PDF و WORD – بخش اول

طبق گزارش خبرنگار آی تی پرس به نقل از مرکز ماهر ، نوع جدیدی از فعالیت‌های درب‌پشتی ‫Asruex مشاهده شده است که ‫آسیب‌پذیری‌های قدیمی در Microsoft Office و Adobe Reader و Acrobat 9.x را هدف قرار می‌دهد.

Asruex ابتدا در سال ۲۰۱۵ کشف شد و قبلاً با جاسوس‌افزار DarkHotel همراه بود. DarkHotel گروه شناخته‌شده‌ای است که بازدیدکنندگان تجاری هتل را از طریق شبکه‌ی WiFi هتل هدف قرار می‌دهد. به نظر می‌ر‌سد بدافزار Asruex علاوه بر قابلیت‌های درب‌پشتی، می‌تواند دو آسیب‌پذیری قدیمی با شناسه‌های CVE-2012-0158 و CVE-2010-2883 را نیز هدف قرار دهد.

آسیب‌پذیری CVE-2012-0158، یک نقص بحرانی سرریز بافر در یک مؤلفه‌ی ActiveX در نسخه‌های ۲۰۰۳، ۲۰۰۷ و ۲۰۱۰ است که سوءاستفاده از آن منجر به اجرای کد از راه دور می‌شود.آسیب‌‌پذیری CVE-2010-2883، یک نقص سرریز بافر مبتنی بر پشته در محصولات Adobe است که می‌تواند برای تزریق کد به فایل‌های PDF مورد سوءاستفاده قرار گیرد. این نقص یک آسیب‌‌ پذیری روز صفرم است که قبلاً زمانی که برای اولین بار کشف شد، به طور گسترده‌ای مورد سوءاستفاده قرار گرفته بود.

با توجه به اینکه ممکن است محققان فایل‌ها را برای آلوده‌سازی Asruex مورد بررسی قرار ندهند و فقط توجهشان به قابلیت‌های درب‌پشتی آن باشد، این قابلیت‌های منحصر به ‌فرد آلوده‌سازی، شناسایی حملات را به طور بالقوه دشوارتر می‌سازد.
به گفته‌ Trend Micro، این نوع از بدافزار Asruex به گونه‌ای طراحی شده است که سازمان‌هایی که نسخه‌های وصله‌ نشده‌ Adobe Reader 9.x تا پیش از ۹٫۴ و نسخه‌های Acrobat 8.x تا پیش از ۸٫۲٫۵ را در Windows و Mac OS X استفاده می‌کنند، هدف قرار می‌دهد.

Asruex برای آلوده‌کردن ماشین‌ها، از یک فایل میانبر با یک اسکریپت دانلود Powershell استفاده می‌کند. این بدافزار، برای انتشار از درایوهای قابل جابجایی و درایوهای شبکه استفاده می‌‌کند.نوع جدید این بدافزار، ابتدا در قالب یک فایل PDF مشاهده شد. این فایل PDF توسط عاملین پشت این تهدید ایجاد نشده بود؛ اما توسط نوعی Asruex آلوده شده بود.