מסמכים מאיימים של Microsoft Office זרוק את התוכנה הזדונית של LokiBot
בשבוע עמוס באירועים משמעותיים עבור מיקרוסופט, כולל התקפת APT סינית ותיקון של ימי אפס מנוצלים במהלך יום שלישי של תיקון, חוקרים גילו תגלית מדאיגה תוך התבוננות במספר מקרים של מסמכי Microsoft Office זדוניים שעם ביצועם משחררים את התוכנה הזדונית LokiBot למערכת הממוקדת. תוכנה זדונית זו מאיימת ברצינות על קורבנות בכך שהיא חודרת למערכות שלהם, מה שעלול להוביל לגישה לא מורשית ולגניבת נתונים.
תוך ניצול פגיעויות ידועות, כלומר CVE-2021-40444 (CVSS 7.8) ו-CVE-2022-30190 (CVSS 7.8), המסמכים המאיימים של Microsoft Office היו השער לחדירת התוכנה הזדונית LokiBot הידועה לשמצה. למרות התיקונים שהיו זמינים עבור פגיעויות אלה במשך יותר משנה, התוקפים ניצלו מערכות ללא תיקונים.
תוכן העניינים
מה זה LokiBot?
LokiBot, טרויאני ותיק גניבת מידע הידוע מאז 2015, מתמקד בפלטפורמות Windows, ומבקש לחלץ נתונים יקרי ערך ממכונות שנפגעו. הנוכחות המתמשכת שלו בנוף האיומים מדגישה את החשיבות של שמירה על אמצעי אבטחה חזקים כדי להתגונן מפני איומי סייבר מתפתחים.
LokiBot משתמש בשילוב של טכניקות מזיקות כדי לבצע את הפעילויות המזיקות שלו. הוא מנצל נקודות תורפה מרובות ומשתמש בפקודות מאקרו של Visual Basic for Applications (VBA) כדי ליזום התקפות. בנוסף, LokiBot משלב מזרק Visual Basic המסייע בהתחמקות מזיהוי וניתוח. על ידי מינוף המזרק הזה, התוכנה הזדונית יכולה לעקוף אמצעי אבטחה ספציפיים, מה שהופך אותה לאיום אדיר על המשתמשים. היכולת של LokiBot להשתמש בטכניקות מתקדמות אלו מדגישה את החשיבות של יישום אמצעי אבטחה חזקים ושמירה על ערנות מפני איומי סייבר מתפתחים.
טועה בצד של זהירות
חוקרים ממליצים בחום למשתמשים לנקוט משנה זהירות ולאמץ גישה זהירה כאשר הם מתמודדים עם מסמכי Office או קבצים לא מוכרים, במיוחד אלה המכילים קישורים לאתרים חיצוניים. הם מדגישים את החשיבות של שמירה על ערנות והימנעות מלחיצה על קישורים חשודים או פתיחת קבצים מצורפים ממקורות לא מהימנים. בנוסף, שמירה על עדכניות התוכנה ומערכות ההפעלה עם תיקוני האבטחה העדכניים היא חיונית כדי להפחית את הסיכון של ניצול תוכנות זדוניות.
פגיעויות ידועות אלו מהוות אתגר משמעותי מכיוון שהן מנצלות טכניקות הנדסה חברתית קלאסיות המכוונות למשתמשי קצה. התוקפים מסתמכים על קבצים מצורפים מפתים, בתקווה שמשתמשים תמימים או לא מוגנים מספיק יפתחו אותם. זה מדגיש את הצורך במודעות ובחינוך חזקים לאבטחת סייבר כדי להעצים את המשתמשים בזיהוי והימנעות של איומים פוטנציאליים.
למרבה המזל, מיקרוסופט נקטה באמצעים יזומים כדי לטפל ולספק פתרונות לבעיה, והדגישה את הצורך של צוותי אבטחה להבטיח שמוצרי הגנת נקודות הקצה שלהם מעודכנים.
זה חיוני להתייחס תמיד לפרצות של ביצוע קוד מרחוק כעדיפות עליונה לגבי רמת האיום. מוטב שתבדוק ביסודיות אינדיקטורים של פשרה ותערוך חקירות ראשוניות כדי לוודא אם הפגיעות השפיעה עליהם. גישה פרואקטיבית זו מאפשרת לארגונים לזהות ולצמצם כל השפעה פוטנציאלית באופן מיידי.
הופעתה של האריזה החדשה הזו עבור LokiBot מעוררת דאגות קשות בשל יכולתה להתחמק מגילוי, להסתיר את פעילותה ולסכן נתונים רגישים. כדי להתמודד עם זה, ארגונים לא צריכים פשוט להפסיק את השימוש ב-Microsoft Office אלא לתעדף פעולות כדי לשמור על הגנה על המערכות שלהם. זה כולל עדכון שוטף של תיקונים וחתימות נגד תוכנות זדוניות וחינוך משתמשים לגבי שמירה על זהירות בעת טיפול במסמכי Office. על ידי נקיטת אמצעים יזומים אלה, ארגונים יכולים לחזק את ההגנה שלהם ולמזער את הסיכון ליפול קורבן לפעילויות מזיקות כאלה.
מסמכים מאיימים של Microsoft Office זרוק את התוכנה הזדונית של LokiBot צילומי מסך
