تهدید اسناد مایکروسافت آفیس بدافزار LokiBot را رها کنید

در یک هفته پر از رویدادهای مهم برای مایکروسافت، از جمله حمله APT چینی و وصله‌سازی روزهای صفر مورد سوء استفاده در طول وصله سه‌شنبه، محققان با مشاهده چندین نمونه از اسناد مخرب مایکروسافت آفیس که پس از اجرا، بدافزار LokiBot را منتشر می‌کنند، به کشف نگران‌کننده‌ای دست یافته‌اند. بر روی سیستم مورد نظر این بدافزار با نفوذ به سیستم قربانیان را به طور جدی تهدید می کند و به طور بالقوه منجر به دسترسی غیرمجاز و سرقت داده می شود.

با استفاده از آسیب‌پذیری‌های شناخته شده، یعنی CVE-2021-40444 (CVSS 7.8) و CVE-2022-30190 (CVSS 7.8)، اسناد تهدیدآمیز Microsoft Office دروازه‌ای برای نفوذ بدافزار بدنام LokiBot بوده است. علیرغم اینکه وصله‌هایی برای این آسیب‌پذیری‌ها برای بیش از یک سال در دسترس بودند، مهاجمان از سیستم‌های وصله نشده استفاده کردند.

LokiBot چیست؟

LokiBot، یک تروجان با سابقه سرقت اطلاعات که از سال 2015 شناخته شده است، بر روی پلتفرم های ویندوز تمرکز دارد و به دنبال استخراج داده های ارزشمند از ماشین های در معرض خطر است. حضور مداوم آن در چشم انداز تهدید، اهمیت حفظ اقدامات امنیتی قوی برای دفاع در برابر تهدیدات سایبری در حال تکامل را نشان می دهد.

LokiBot از ترکیبی از تکنیک های مضر برای انجام فعالیت های مضر خود استفاده می کند. از چندین آسیب پذیری بهره می برد و از ماکروهای Visual Basic for Applications (VBA) برای شروع حملات استفاده می کند. علاوه بر این، LokiBot دارای یک انژکتور ویژوال بیسیک است که به فرار از تشخیص و تجزیه و تحلیل کمک می کند. با استفاده از این انژکتور، بدافزار می تواند اقدامات امنیتی خاص را دور بزند و آن را به تهدیدی بزرگ برای کاربران تبدیل کند. توانایی LokiBot برای به کارگیری این تکنیک‌های پیشرفته، اهمیت اجرای تدابیر امنیتی قوی و هوشیار ماندن در برابر تهدیدات سایبری در حال تکامل را برجسته می‌کند.

از جانب احتیاط اشتباه کنید

محققان اکیداً به کاربران توصیه می‌کنند که هنگام برخورد با اسناد آفیس یا فایل‌های ناآشنا، به‌ویژه آن‌هایی که حاوی پیوندهایی به وب‌سایت‌های خارجی هستند، احتیاط کنند و رویکردی محتاطانه اتخاذ کنند. آنها بر اهمیت هوشیاری و خودداری از کلیک کردن روی پیوندهای مشکوک یا باز کردن پیوست‌ها از منابع نامعتبر تأکید می‌کنند. به‌علاوه، به‌روز نگه داشتن نرم‌افزار و سیستم‌عامل‌ها با آخرین وصله‌های امنیتی برای کاهش خطر سوءاستفاده از بدافزار بسیار مهم است.

این آسیب‌پذیری‌های شناخته‌شده چالش مهمی را ایجاد می‌کنند زیرا از تکنیک‌های مهندسی اجتماعی کلاسیک که کاربران نهایی را هدف قرار می‌دهند، بهره‌برداری می‌کنند. مهاجمان به پیوست‌های فریبنده تکیه می‌کنند و امیدوارند که کاربران ناموفق یا با محافظت ناکافی آنها را باز کنند. این امر نیاز به آگاهی و آموزش امنیت سایبری قوی برای توانمندسازی کاربران در شناخت و اجتناب از تهدیدات بالقوه را برجسته می‌کند.

خوشبختانه، مایکروسافت اقدامات پیشگیرانه ای را برای رسیدگی به این مشکل و ارائه راه حل هایی برای آن انجام داده است، که بر نیاز تیم های امنیتی برای اطمینان از به روز بودن محصولات محافظت از نقطه پایانی خود تأکید می کند.

بسیار مهم است که همیشه آسیب‌پذیری‌های اجرای کد از راه دور را به عنوان اولویت اصلی در مورد سطح تهدید در نظر بگیرید. بهتر است شاخص های سازش را به طور کامل بررسی کنید و بررسی های اولیه را انجام دهید تا بررسی کنید که آیا آسیب پذیری بر آنها تأثیر گذاشته است یا خیر. این رویکرد پیشگیرانه به سازمان ها اجازه می دهد تا هر گونه تأثیر بالقوه را به سرعت شناسایی و کاهش دهند.

ظهور این بسته بندی جدید برای LokiBot به دلیل توانایی آن در فرار از تشخیص، پنهان کردن فعالیت های آن و به خطر انداختن داده های حساس بالقوه نگرانی های شدیدی را ایجاد می کند. برای مقابله با آن، سازمان ها نباید به سادگی استفاده از مایکروسافت آفیس را متوقف کنند، بلکه باید اقداماتی را برای محافظت از سیستم های خود در اولویت قرار دهند. این شامل به‌روزرسانی منظم وصله‌ها و امضاهای ضد بدافزار و آموزش کاربران در مورد احتیاط در هنگام کار با اسناد Office است. با انجام این اقدامات پیشگیرانه، سازمان ها می توانند دفاع خود را تقویت کرده و خطر قربانی شدن در چنین فعالیت های مخربی را به حداقل برسانند.

تهدید اسناد مایکروسافت آفیس بدافزار LokiBot را رها کنید اسکرین شات