Uznemirujuća Istraživanja: Napad WordDrone Otkrit Kroz Microsoft Word
Nedavna istraga Acronis Threat Research Unit (TRU) otkrila je složen napad koji je koristio staru verziju Microsoft Worda kao alat za instalaciju trajne backdoor prijetnje na zaraženim sustavima. Ovaj napad, poznat kao WordDrone, posebno se usredotočuje na tvrtke u Tajvanu, a posebice na one uključene u industriju proizvodnje dronova.
Rastuća Industrija Dronova u Tajvanu
Kako je vlada Tajvana značajno investirala u svoju industriju dronova od 2022. godine, ove tvrtke su postale privlačne mete za špijunažu i napade na lance opskrbe. Napadači koriste tehniku poznatu kao DLL side-loading za instalaciju malvera kroz kompromitiranu verziju Microsoft Worda 2010.
Tehnika DLL Side-Loading
Napad se oslanja na instalaciju tri glavne datoteke na ciljani sustav:
- Legitimna kopija Winword (Microsoft Word)
- Maliciozno izrađena wwlib.dll datoteka
- Datoteka s nasumičnim imenom i ekstenzijom
Legitimni Winword koristi se za sideloadiranje malicioznog DLL-a, koji služi kao loader za stvarni payload skriven unutar enkriptirane datoteke. Ova metoda otežava tradicionalnim sigurnosnim alatima da otkriju napad, jer napadači čak digitalno potpisuju neke od malicioznih DLL-ova s nedavno isteklim certifikatima.
Faze Napada i Ustrajnost Malvera
Nakon što se napad aktivira, niz malicioznih radnji počinje. Prvi korak uključuje izvršavanje shellcode stub-a koji dekompresira i self-injecta komponentu poznatu kao install.dll. Ova komponenta osigurava ustrajnost na ciljanom sustavu i pokreće sljedeću fazu izvođenjem ClientEndPoint.dll, koja služi kao srž backdoor funkcionalnosti.
Malver prioritetizira održavanje ustrajnosti na zaraženom sustavu putem install.dll, podržavajući tri načina rada:
- Instalacija host procesa kao usluge
- Postavljanje kao zakazani zadatak
- Injektiranje sljedeće faze bez uspostavljanja ustrajnosti
Neutralizacija Sigurnosnih Alata
Jedan od sofisticiranijih aspekata malvera je njegova sposobnost komunikacije s Command-and-Control (C2) poslužiteljem. Konfiguracija za C2 komunikaciju usađena je u malver i temelji se na vremenskom rasporedu. Malver također koristi tehniku poznatu kao EDR silencing za neutralizaciju popularnih alata za detekciju i odgovor na krađe podataka (EDR).
Zaključak: Pripazite na Pretnje
Iako je početni vektor pristupa napadu još uvijek nejasan, istražitelji su primijetili da su prve zlonamerne datoteke pronađene u mapi popularnog tajvanskog ERP softvera, što ukazuje na mogućnost napada na lanac opskrbe. Ovaj alarmantni slučaj naglašava potrebu za jačanjem sigurnosnih mjera unutar poslovanja, posebno na područjima s visokom tehnološkom i vojnom vrijednošću.
