Trustwave ພົບການໂຈມຕີໂດຍໃຊ້ CVE-2017-11882 ຫຼາຍຂຶ້ນ
Posted by Meesaisak on February 27 2018 22:19:17

Trustwave ພົບການໂຈມຕີໂດຍໃຊ້ ​CVE-2017-11882 ຫຼາຍຂຶ້ນ

Trustwave ຊຶ່ງ​ເປັນ​ຜູ້ຈຳໜ່າຍ (Vendor) ທາງ​ດ້ານ​ຄວາມປອດໄພ ທີ່ມີຊື່ສຽງ ໄດ້​ອອກ​ລາຍງານພົບ​ວ່າ​ການ​ໂຈມ​ຕີ​ໃນປັດຈຸບັນ ​ທາງ​ຜູ້ໂຈມຕີ (Attacker) ບໍ່​ໄດ້ອາໄສ Macro ອີກ​ຕໍ່ໄປ​ ໄດ້ປ່ຽນໄປ​ໃຊ້​ CVE-2017-11882 ແທນ​.


Extended News

Trustwave ພົບການໂຈມຕີໂດຍໃຊ້ ​CVE-2017-11882 ຫຼາຍຂຶ້ນ

Trustwave ຊຶ່ງ​ເປັນ​ຜູ້ຈຳໜ່າຍ (Vendor) ທາງ​ດ້ານ​ຄວາມປອດໄພ ທີ່ມີຊື່ສຽງ ໄດ້​ອອກ​ລາຍງານພົບ​ວ່າ​ການ​ໂຈມ​ຕີ​ໃນປັດຈຸບັນ ​ທາງ​ຜູ້ໂຈມຕີ (Attacker) ບໍ່​ໄດ້ອາໄສ Macro ອີກ​ຕໍ່ໄປ​ ໄດ້ປ່ຽນໄປ​ໃຊ້​ CVE-2017-11882 ແທນ​.

Trustwave ກ່າວ​ວ່າ​ທາງ​ Spammer ຫຼື ​ກໍ່​ຄື​ຄົນທີ່​ສົ່ງ​ Spam email ນັ້ນ​ ເລືອກ​ທີ່​ຈະ​ໃຊ້​ຊ່ອງ​ໂຫວ່​ CVE-2017-11882 ໃນ​ Microsoft Office ແທນ​ທີ່​ຈະ​ເປັນ​ການ​ຝັງ​ Macro ເຂົ້າໄປ​ໃນ​ເອກະສານໂດຍກົງ​ ເພາະ​ຕາມ​ປົກກະຕິ​ແລ້ວ​ CVE-2017-11882 ນັ້ນ​ ເປັນ​ການ​ໂຈມ​ຕີ​ທີ່​ຈະ​ມີ​ Popup ຂຶ້ນ​ມາ​ຖາມ​ໃນ​ການ​ execute ຊຶ່ງ​ກົງກັນຂ້າມ​ກັບ​ຂອງ​ Macro ທີ່ຜູ້ໃຊ້ຕ້ອງ​ກົດ​ enable ເອງ​ທີ່​ດ້ານ​ເທິງ​ ຊຶ່ງທາງ​ Trustwave ກ່າວ​ວ່າ​ການ​ໂຈມ​ຕີຂອງ​ Spammer ຈະ​ມີ​ລັກສະນະ​ຂອງ​ multistage ຫຼາຍ​ຂຶ້ນ​ ຊຶ່ງ​ສະຫຼຸບ​ອອກ​ມາ​ໄດ້​​ດັ່ງ​ນີ້​:

- ເຫຍື່ອ​ໄດ້​ຮັບ Email ພ້ອມ​ແນບ​ໄຟ​ລ໌​ DOCX;

- ເຫຍື່ອ​ດາວໂຫຼດ (download) ແລະ ເປີດ​ DOCX file;

- DOCX file ຈະ​ມີ embedded OLE object ຝັງ​ໄວ້​ຢູ່;

- OLE object ດາວໂຫຼດ ແລະ ເປີດ RTF file;

- DOC file ໃຊ້​ CVE-2017-11882 Office Equation Editor vulnerability;

- Exploit code ຣັນ (runs) ຄຳ​ສັ່ງ​ MSHTA command line;

- MSHTA command line ດາວໂຫຼດ ແລະ​ runs HTA file;

- HTA file ຝັງ​ VBScript ທີ່​ມີ​ PowerShell script;

- PowerShell script ເຮັດວຽກ​ແລ້ວ​ດາວໂຫຼດ ແລະ ຕິດ​ຕັ້ງ​ password stealer;

- Malware ລັກ​ passwords ຈາກ​ browsers, email ແລະ​ FTP clients;

- Malware ອັບໂຫຼດ (data) ກັບ​ໄປ​ຫາ C&C Server.

News Images: trustwave.jpg

ວິທີ​ການ​ໂຈມ​ຕີ​ແບບ​ນີ້​ເລີ່ມ​ແຜ່​ຫຼາຍ​ຂຶ້ນ​ເລື້ອຍ​ໆ​ ແລະ ມີ​ການ​ນຳ​ໄປ​ໃຊ້​ຢ່າງ​ກວ້າງ​ຂວາງ​ ຫາກ​ເປັນ​ໄປ​ໄດ້​ແນະ​ນຳ​ໃຫ້​ໃຜ​ທີ່​ໃຊ້​ Microsoft Office ຢູ່​ອັບເດດແພັດແກ້ໄຂ (Update patch) ເພື່ອ​ປິດ​ຊ່ອງ​ໂຫວ່​ CVE-2017-11882.

ເອກະສານອ້າງອີງ:

  1. https://www.techsuii.com/2018/02/16/multi-stage-word-attack-infects-users-without-using-macros/
  2. https://www.bleepingcomputer.com/news/security/multi-stage-word-attack-infects-users-without-using-macros/