تهدید اسناد مایکروسافت آفیس بدافزار LokiBot را رها کنید
در یک هفته پر از رویدادهای مهم برای مایکروسافت، از جمله حمله APT چینی و وصلهسازی روزهای صفر مورد سوء استفاده در طول وصله سهشنبه، محققان با مشاهده چندین نمونه از اسناد مخرب مایکروسافت آفیس که پس از اجرا، بدافزار LokiBot را منتشر میکنند، به کشف نگرانکنندهای دست یافتهاند. بر روی سیستم مورد نظر این بدافزار با نفوذ به سیستم قربانیان را به طور جدی تهدید می کند و به طور بالقوه منجر به دسترسی غیرمجاز و سرقت داده می شود.
با استفاده از آسیبپذیریهای شناخته شده، یعنی CVE-2021-40444 (CVSS 7.8) و CVE-2022-30190 (CVSS 7.8)، اسناد تهدیدآمیز Microsoft Office دروازهای برای نفوذ بدافزار بدنام LokiBot بوده است. علیرغم اینکه وصلههایی برای این آسیبپذیریها برای بیش از یک سال در دسترس بودند، مهاجمان از سیستمهای وصله نشده استفاده کردند.
فهرست مطالب
LokiBot چیست؟
LokiBot، یک تروجان با سابقه سرقت اطلاعات که از سال 2015 شناخته شده است، بر روی پلتفرم های ویندوز تمرکز دارد و به دنبال استخراج داده های ارزشمند از ماشین های در معرض خطر است. حضور مداوم آن در چشم انداز تهدید، اهمیت حفظ اقدامات امنیتی قوی برای دفاع در برابر تهدیدات سایبری در حال تکامل را نشان می دهد.
LokiBot از ترکیبی از تکنیک های مضر برای انجام فعالیت های مضر خود استفاده می کند. از چندین آسیب پذیری بهره می برد و از ماکروهای Visual Basic for Applications (VBA) برای شروع حملات استفاده می کند. علاوه بر این، LokiBot دارای یک انژکتور ویژوال بیسیک است که به فرار از تشخیص و تجزیه و تحلیل کمک می کند. با استفاده از این انژکتور، بدافزار می تواند اقدامات امنیتی خاص را دور بزند و آن را به تهدیدی بزرگ برای کاربران تبدیل کند. توانایی LokiBot برای به کارگیری این تکنیکهای پیشرفته، اهمیت اجرای تدابیر امنیتی قوی و هوشیار ماندن در برابر تهدیدات سایبری در حال تکامل را برجسته میکند.
از جانب احتیاط اشتباه کنید
محققان اکیداً به کاربران توصیه میکنند که هنگام برخورد با اسناد آفیس یا فایلهای ناآشنا، بهویژه آنهایی که حاوی پیوندهایی به وبسایتهای خارجی هستند، احتیاط کنند و رویکردی محتاطانه اتخاذ کنند. آنها بر اهمیت هوشیاری و خودداری از کلیک کردن روی پیوندهای مشکوک یا باز کردن پیوستها از منابع نامعتبر تأکید میکنند. بهعلاوه، بهروز نگه داشتن نرمافزار و سیستمعاملها با آخرین وصلههای امنیتی برای کاهش خطر سوءاستفاده از بدافزار بسیار مهم است.
این آسیبپذیریهای شناختهشده چالش مهمی را ایجاد میکنند زیرا از تکنیکهای مهندسی اجتماعی کلاسیک که کاربران نهایی را هدف قرار میدهند، بهرهبرداری میکنند. مهاجمان به پیوستهای فریبنده تکیه میکنند و امیدوارند که کاربران ناموفق یا با محافظت ناکافی آنها را باز کنند. این امر نیاز به آگاهی و آموزش امنیت سایبری قوی برای توانمندسازی کاربران در شناخت و اجتناب از تهدیدات بالقوه را برجسته میکند.
خوشبختانه، مایکروسافت اقدامات پیشگیرانه ای را برای رسیدگی به این مشکل و ارائه راه حل هایی برای آن انجام داده است، که بر نیاز تیم های امنیتی برای اطمینان از به روز بودن محصولات محافظت از نقطه پایانی خود تأکید می کند.
بسیار مهم است که همیشه آسیبپذیریهای اجرای کد از راه دور را به عنوان اولویت اصلی در مورد سطح تهدید در نظر بگیرید. بهتر است شاخص های سازش را به طور کامل بررسی کنید و بررسی های اولیه را انجام دهید تا بررسی کنید که آیا آسیب پذیری بر آنها تأثیر گذاشته است یا خیر. این رویکرد پیشگیرانه به سازمان ها اجازه می دهد تا هر گونه تأثیر بالقوه را به سرعت شناسایی و کاهش دهند.
ظهور این بسته بندی جدید برای LokiBot به دلیل توانایی آن در فرار از تشخیص، پنهان کردن فعالیت های آن و به خطر انداختن داده های حساس بالقوه نگرانی های شدیدی را ایجاد می کند. برای مقابله با آن، سازمان ها نباید به سادگی استفاده از مایکروسافت آفیس را متوقف کنند، بلکه باید اقداماتی را برای محافظت از سیستم های خود در اولویت قرار دهند. این شامل بهروزرسانی منظم وصلهها و امضاهای ضد بدافزار و آموزش کاربران در مورد احتیاط در هنگام کار با اسناد Office است. با انجام این اقدامات پیشگیرانه، سازمان ها می توانند دفاع خود را تقویت کرده و خطر قربانی شدن در چنین فعالیت های مخربی را به حداقل برسانند.
تهدید اسناد مایکروسافت آفیس بدافزار LokiBot را رها کنید اسکرین شات