Bilgisayar korsanları uzun süredir Word ve Excel belgelerini kötü amaçlı yazılım için teslimat araçları olarak kullanmıştır ve 2025’te bu hileler modası geçmiş olmaktan uzaktır. Kimlik avı planlarından sıfır tıkaç istismarlarına kadar, kötü amaçlı ofis dosyaları hala bir kurbanın sisteminin en kolay yollarından biridir.

İşte bu yıl hala turlar yapan en iyi üç Microsoft ofis tabanlı istismar ve bunlardan kaçınmak için bilmeniz gerekenler.

1. MS Office’te Kimlik Yardımı: Hala Hacker’ların Favorisi

Microsoft Office dosyalarını kullanan kimlik avı saldırıları yıllardır var ve hala güçleniyorlar. Neden? Çünkü, özellikle ekiplerin sürekli kelime değiştirdikleri ve belgeleri mükemmelleştirdiği iş ortamlarında çalışıyorlar.

Saldırganlar, özellikle bir meslektaşına, müşteriye veya ortağa benzeyen şeyden geldiklerinde, insanların ofis dosyaları açmaya alışık olduklarını bilirler. Sahte bir fatura, paylaşılan bir rapor veya bir iş teklifi: Birini tıklamaya ikna etmek çok fazla zaman almaz. Ve dosya açıldığında, saldırganın şansı vardır.

Ofis dosyalarıyla kimlik avı genellikle giriş bilgilerini çalmayı amaçlar. Bu belgeler şunları içerebilir:

• Sahte Microsoft 365 Oturum Açma Sayfalarına Bağlantılar
• Şirket araçlarını veya hizmetlerini taklit eden kimlik avı portalları
• Sonunda kimlik bilgisi hasat sitelerine inen zincirleri yönlendirin

Herhangi bir şekilde kötü amaçlı yazılım analiz oturumu, bir excel dosyası kötü amaçlı kimlik avı bağlantısı içerir:

Excel Dosyası ile Analiz Oturumunu Görüntüle

Herhangi bir içinde tespit edilen kötü niyetli bağlantı içeren excel dosyası.

Tıklandığında, kurban bir Cloudflare “İnsan Olduğunuzu Doğrula” kontrolünü gösteren bir web sayfasına götürülür.

Cloudflare doğrulaması herhangi biriyle geçti. Run’un otomatik etkileşimi

Tıkladıktan sonra başka bir yönlendirme var; Bu sefer sahte bir Microsoft giriş sayfasına.

Rastgele karakterlerle sahte Microsoft Giriş sayfasına kötü niyetli bağlantı

İlk bakışta gerçek görünebilir. Ancak herhangi bir sandbox’ın içinde, kırmızı bayrakları tespit etmek kolaydır. Microsoft Oturum Açma URL’si resmi değil; Rastgele karakterlerle doludur ve açıkça Microsoft’un alanına ait değildir.

Tehditleri güvenli bir ortamda daha hızlı tespit etmek, araştırmak ve raporlamak için ekibinize doğru aracı verin.

Herhangi bir deneme alın. Run Gelişmiş kötü amaçlı yazılım analizine erişmek için

Bu sahte giriş sayfası, kurbanın bilmeden giriş kimlik bilgilerini doğrudan saldırgana teslim ettiği yerdir.

Saldırganlar da daha yaratıcı hale geliyor. Son zamanlarda, bazı kimlik avı belgeleri içine gömülü QR kodları ile birlikte gelir. Bunlar, bir akıllı telefonla taranması, kurbanı kimlik avı web sitesine göndermesi veya kötü amaçlı yazılım indirmesini tetiklemesi anlamına gelir. Bununla birlikte, herhangi bir araçla algılanabilir ve analiz edilebilirler.

2. CVE-2017-11882: Ölmeyecek Denklem Düzenleyicisi istismarı

İlk olarak 2017’de keşfedilen CVE-2017-11882, Microsoft Office’in modası geçmiş sürümlerini çalıştıran ortamlarda bugün hala kullanılmaktadır.

Bu güvenlik açığı, eski ofis yapılarının bir parçası olan nadiren kullanılan bir bileşen olan Microsoft denklem düzenleyicisini hedefler. İstismar etmek tehlikeli bir şekilde basittir: Sadece kötü niyetli bir kelime dosyası açmak istismar tetikleyebilir. Makro yok, ekstra tıklamalara gerek yok.

Bu durumda, saldırgan, genellikle uzak sunucu bağlantısı aracılığıyla arka planda bir kötü amaçlı yazılım yükü indirmek ve çalıştırmak için kusuru kullanır.

Analiz oturumumuzda, teslim edilen yük, tuş vuruşlarını, kimlik bilgilerini ve pano verilerini yakalamak için kullanılan bilinen bir info-stealer olan Ajan Tesla idi.

Kötü amaçlı yüklü analiz oturumunu görüntüleyin

Kötü niyetli excel ekini içeren kimlik avı e -postası

Bu analizin MITER ATT & CK bölümünde, herhangi birinin nasıl olduğunu görebiliriz.Run Sandbox, saldırıda kullanılan bu özel tekniği tespit etti:

Herhangi bir kişi tarafından tespit edilen denklem editörünün sömürülmesi

Microsoft yıllar önce güvenlik açığını yamamasına rağmen, güncellenmemiş sistemleri hedefleyen saldırganlar için hala yararlıdır. Ve daha yeni ofis sürümlerinde varsayılan olarak devre dışı bırakıldığında, CVE-2017-11882, garantili yürütme isteyen siber suçlular için bir geri dönüş haline geldi.

3. CVE-2022-30190: Follina hala oyunda

Follina istismarı (CVE-2022-30190), basit bir nedenden ötürü saldırganlar arasında favori olmaya devam ediyor: makro olmadan çalışır ve bir kelime dosyası açmanın ötesinde herhangi bir kullanıcı etkileşimi gerektirmez.

Follina, uzaktan kodu yürütmek için ofis belgelerine gömülü Microsoft Destek Teşhis Aracı’nı (MSDT) ve özel URL’leri kötüye kullanır. Bu, dosyanın görüntülenmesinin, bir komut ve kontrol sunucusuyla iletişim kuran kötü amaçlı komut dosyalarını başlatmak için yeterli olduğu anlamına gelir.

Follina ile Analiz Oturumunu Görüntüle

Follina tekniği herhangi birinin içinde tespit edildi. Run Sandbox

Kötü amaçlı yazılım analiz örneğimizde saldırı bir adım daha ileri gitti. Steganografinin kullanımını gösteren “Stegocampaign” etiketini gözlemledik – kötü amaçlı yazılımların görüntü dosyalarının içinde gizlendiği bir teknik.

Saldırıda steganografi kullanımı

Görüntü, PowerShell kullanılarak indirilir ve işlenir ve gerçek yükü hemen alarm vermeden çıkarır.

Herhangi bir içinde analiz edilen kötü niyetli yüklü görüntü.

Daha da kötüsü, Follina genellikle çok aşamalı saldırı zincirlerinde kullanılır, etkiyi artırmak için diğer güvenlik açıklarını veya yükleri birleştirir.

MS Office kullanan ekipler için bu ne anlama geliyor?

Ekibiniz günlük çalışma için büyük ölçüde Microsoft Office’e güveniyorsa, yukarıda belirtilen saldırılar bir uyandırma çağrısı olmalıdır.

Siber suçlular ofis dosyalarının güvenilir olduğunu ve iş dünyasında yaygın olarak kullanıldığını bilir. Bu yüzden onları sömürmeye devam ediyorlar. Bir kimlik avı bağlantısını gizleyen basit bir excel sayfası ister sessizce kötü niyetli kod çalıştıran bir kelime belgesi olsun, bu dosyalar kuruluşunuzun güvenliği için ciddi riskler oluşturabilir.

İşte ekibinizin yapabileceği:

• Ofis belgelerinin dahili olarak nasıl ele alındığını gözden geçirin; Dış kaynaklardan dosyaları kimin açabileceğini veya indirebileceğini sınırlayın.
• Any.run gibi araçlar kullanın Sandbox, şüpheli dosyaları ekibinizdeki herkes onları açmadan önce güvenli, izole bir ortamda incelemek için.
• Tüm ofis yazılımlarını düzenli olarak güncelleyin ve mümkün olduğunca makro veya denklem düzenleyicisi gibi eski özellikleri devre dışı bırakın.
• Bilgilendirilmiş kalın Güvenlik ekibinizin hızlı bir şekilde yanıt verebilmesi için ofis biçimlerine bağlı yeni istismar teknikleri hakkında.

Mobil kötü amaçlı yazılımları Any.Run’un yeni Android işletim sistemi desteğiyle analiz edin

Tehdit ofis dosyalarında durmuyor. Mobil cihazlar artık önemli bir hedeftir ve saldırganlar sahte uygulamalar, kimlik avı bağlantıları ve kötü amaçlı APS aracılığıyla kötü amaçlı yazılım yayıyor.

Bu, işletmeler için büyüyen bir saldırı yüzeyi ve daha geniş görünürlük ihtiyacı anlamına gelir.

RUN’un yeni Android işletim sistemi desteği ile güvenlik ekibiniz artık şunları yapabilir:

• Android kötü amaçlı yazılımları gerçek bir mobil ortamda analiz edin
• Üretim cihazlarına çarpmadan önce şüpheli APK davranışını araştırın
• Mobil tehditlere daha hızlı ve daha açık bir şekilde yanıt verin
• Hem masaüstü hem de mobil ekosistemlerde olay yanıtını destekleyin

Tam kapsam için büyük bir adımdır ve ücretsiz de dahil olmak üzere tüm planlarda mevcuttur.

İlk Android tehdit analizinize bugün başlayın ve güvenlik analistlerinize mobil saldırı yüzeyinizi korumak için ihtiyaç duydukları görünürlüğü verin.

Zero Operasyonu, sadece Rus hükümetine ve yerel Rus şirketlerine sıfır günleri satın alan ve satan bir şirket, Perşembe günü duyuruldu Popüler mesajlaşma uygulaması telgrafı için istismar arıyor ve onlar için 4 milyon dolara kadar sunmaya istekli.

Exploit broker, “tek tıklamayla” uzaktan kod yürütme (RCE) istismar için 500.000 dolara kadar teklif veriyor; Sıfır tıkırtılı bir RCE istismarı için 1,5 milyon dolara kadar; ve muhtemelen bilgisayar korsanlarının bir hedefin telgraf hesabına erişmekten tüm işletim sistemlerine veya cihazlarına ulaşmasına izin veren bir dizi hataya atıfta bulunarak, “tam zinciri” istismar zinciri için 4 milyon dolara kadar.

Zero Operasyonu gibi sıfır gün şirketleri, popüler işletim sistemlerinde ve uygulamalarında güvenlik açıkları geliştirir veya edinir ve daha sonra bunları daha yüksek bir fiyata yeniden satar. Şirketin telgrafa odaklanması mantıklı, mesajlaşma uygulamasının özellikle hem Rusya hem de Ukrayna’daki kullanıcılar arasında popüler olduğunu düşünüyor.

İstismar broker müşterileri-esas olarak Rus hükümeti-kamu fiyat etiketi göz önüne alındığında, sıfır gün piyasasındaki önceliklere, özellikle de Rusya’nın, bir ülke ve siber güvenlik piyasası, genellikle gizlilik içinde örtülmüş bir bakış sunuyor.

İstismar brokerlerinin, zamanında talep olduğunu bildiklerinde belirli uygulamalarda veya sistemlerde hata aradıklarının reklamını yapmaları nadir değildir. Bu, Rus hükümetinin Zero Operasyonuna telgraf böcekleri aradığını söylediği anlamına geldiği anlamına gelir, bu da brokeri aslında bir reklam olanı yayınlamaya ve daha yüksek ödemeler sunmaya iter, çünkü Rus hükümetini onlar için daha fazla ücretlendirebileceğini bilir.

Zero Operasyonu genel müdür Sergey Zelenyuk, TechCrunch’ın yorum talebine yanıt vermedi.

Sıfır günler, yazılım veya donanım üreticileri tarafından bilinmeyen güvenlik açıklarıdır, bu da onları istismar brokerlerinin büyüyen endüstrisinde ve bunları satın almak isteyenler-çünkü bilgisayar korsanlarına, yapımcı veya hedefin bu konuda çok şey yapabilmesi olmadan hedef teknolojiyi kullanma şansı verir.

RCE, en değerli kusur türlerinden biridir, çünkü bilgisayar korsanlarının bir uygulamanın veya işletim sisteminin uzaktan kontrolünü ele geçirmesine izin verir. Sıfır-tıkaç istismarları, bir kimlik avı saldırısının aksine, hedeften herhangi bir etkileşim gerektirmez, örneğin, bu hataları daha değerli hale getirir.

Sıfır tıkaç, RCE sıfır günü aslında en değerli istismar kategorisidir.

Telegram’ı hedefleme

Telegram Bugs için Yeni Ödül, Ukrayna hükümeti olarak geliyor telgraf kullanımını yasakladı Geçen yıl hükümet ve askeri personel cihazlarında, Rus hükümet hacker’larına karşı özellikle savunmasız olabilecekleri korkusuyla.

Güvenlik Ve mahremiyet uzmanlar sahip olmak tekrar tekrar Telegram’ın WhatsApp ve Signal gibi rakipler kadar güvenli düşünülmemesi gerektiği konusunda uyardı. Birincisi, Telegram varsayılan olarak uçtan uca şifrelemeyi kullanmaz ve kullanıcılar etkinleştirdiğinde bile, uygulama iyi bilinen ve denetlenmiş uçtan uca şifrelemeyi kullanmaz, bu da yol açmaz Matthew Green gibi kripto uzmanları “Bire bir telgraf konuşmalarının büyük çoğunluğu-ve kelimenin tam anlamıyla her grup sohbeti-muhtemelen Telegram’ın sunucularında görülebilir.”

İstismar piyasası hakkında bilgiye sahip bir kişi, Zero Operasyonunun telgraf fiyatlarının “biraz düşük” olduğunu söyledi, ancak bunun nedeni Zero Operasyonu, istismarları sattığında belki iki veya üç kat daha fazla ücret almayı bekliyor olabilir.

Basınla konuşmaya yetkili olmadıkları için anonim kalmasını isteyen kişi, Zero Operasyonunun da farklı müşterilere birkaç kez satabileceğini ve bazı kriterlere bağlı olarak daha düşük fiyatlar ödeyebileceğini söyledi.

“Aslında tam ödeme yapacaklarını sanmıyorum [price]. İstismarın temizlenmediği ve sadece kısmi bir ödeme yapacaklar ”dediler.” Dediler.

Sıfır gün endüstrisinde çalışan başka bir kişi, Zero Operasyonu tarafından ilan edilen fiyatların “çılgınca kapalı” olmadığını söyledi. Ancak, münhasırlık gibi faktörler olup olmadığına ve bu fiyatın Zero Operasyonunun istismarları dahili olarak yeniden geliştireceği veya bir broker olarak yeniden satacağına bağlı olup olmadığına bağlı olduğunu söylediler.

Uygulamalar ve platformların hacklenmesi zorlaştıkça, son birkaç yılda sıfır günlerin fiyatları arttı. TechCrunch’ın 2023’te bildirdiği gibi, WhatsApp için sıfır gün o zaman 8 milyon dolara mal olabilir, bu da uygulamanın ne kadar popüler olduğunu da dikkate alan bir fiyat.

Zero Operasyonu, bilgisayar korsanlarının iOS ve Android cihazlarının tam kontrolünü ele geçirmesine izin verecek hack araçları için 20 milyon dolar sunmak için manşetler yaptı. Şirket şu anda bu tür hatalar için sadece 2,5 milyon dolar sunuyor.