অফিসে মাইক্রোসফ্ট-এর ম্যাক্রো-ব্লকিংয়ের চারপাশে হুমকি অভিনেতা পিভট

হুমকির অভিনেতারা মাইক্রোসফ্টের অফিস স্যুটে ম্যাক্রোগুলির ডিফল্ট ব্লক করার জন্য তাদের পথ খুঁজে পাচ্ছেন, বিকল্প ফাইলগুলি ব্যবহার করে দূষিত পেলোড হোস্ট করার জন্য এখন হুমকি প্রদানের জন্য একটি প্রাথমিক চ্যানেল কেটে দেওয়া হচ্ছে, গবেষকরা খুঁজে পেয়েছেন।

প্রুফপয়েন্টের প্রকাশিত নতুন তথ্য অনুসারে, অক্টোবর 66 এবং জুন 2021 এর মধ্যে হুমকি অভিনেতাদের দ্বারা ম্যাক্রো-সক্ষম সংযুক্তিগুলির ব্যবহার প্রায় 2022 শতাংশ হ্রাস পেয়েছে একটি ব্লগ পোস্টে বৃহস্পতিবার। হ্রাসের শুরুটি এক্সেল ব্যবহারকারীদের জন্য ডিফল্টরূপে XL4 ম্যাক্রোগুলিকে ব্লক করা শুরু করার মাইক্রোসফ্টের পরিকল্পনার সাথে মিলে যায়, এই বছর অফিস স্যুট জুড়ে ডিফল্টভাবে VBA ম্যাক্রোগুলিকে ব্লক করার সাথে অনুসরণ করে৷

প্রুফপয়েন্ট থ্রেট রিসার্চ টিমের গবেষক সেলেনা লারসন, ড্যানিয়েল ব্ল্যাকফোর্ড এবং অন্যান্যরা বলেছেন, হুমকি অভিনেতারা, তাদের সাধারণ স্থিতিস্থাপকতা প্রদর্শন করে, এখন পর্যন্ত এই পদক্ষেপের দ্বারা নিঃশব্দ দেখা যাচ্ছে, যা "সাম্প্রতিক ইতিহাসে সবচেয়ে বড় ইমেল হুমকির ল্যান্ডস্কেপ পরিবর্তনগুলির মধ্যে একটি" চিহ্নিত করেছে। একটি পোস্ট.

যদিও সাইবার অপরাধীরা আপাতত ফিশিং প্রচারাভিযানে ব্যবহৃত দূষিত নথিতে ম্যাক্রো নিয়োগ করা চালিয়ে যাচ্ছে, তারা মাইক্রোসফটের প্রতিরক্ষা কৌশলের চারপাশে পিভট করতে শুরু করেছে অন্যান্য ফাইলের ধরনগুলিকে ম্যালওয়্যারের জন্য জাহাজ হিসাবে বাঁকিয়ে-যেমন, কন্টেইনার ফাইল যেমন ISO এবং RAR সংযুক্তিগুলির পাশাপাশি উইন্ডোজ শর্টকাট (LNK) ফাইল, তারা বলেন.

প্রকৃতপক্ষে, একই আট মাসের সময়ের ফ্রেমে যেখানে ম্যাক্রো-সক্ষম নথির ব্যবহার হ্রাস পেয়েছে, আইএসও, আরএআর এবং এলএনকে সংযুক্তি সহ কন্টেইনার ফাইলগুলিকে ব্যবহার করে ক্ষতিকারক প্রচারণার সংখ্যা প্রায় 175 শতাংশ বৃদ্ধি পেয়েছে, গবেষকরা খুঁজে পেয়েছেন।

"এটি সম্ভবত হুমকি অভিনেতারা ম্যাক্রো-সক্ষম সংযুক্তিগুলির উপর কম নির্ভর করে ম্যালওয়্যার সরবরাহ করার জন্য কন্টেইনার ফাইল ফর্ম্যাটগুলি ব্যবহার করা চালিয়ে যাবে," তারা উল্লেখ করেছে।

ম্যাক্রো আর নেই?

ম্যাক্রো, যা অফিসে প্রায়শই ব্যবহৃত কাজগুলি স্বয়ংক্রিয় করার জন্য ব্যবহৃত হয়, সবচেয়ে বেশি ছিল জনপ্রিয় উপায় অন্ততপক্ষে দূষিত ইমেল সংযুক্তিতে ম্যালওয়্যার সরবরাহ করতে এক দশকের ভালো অংশ, যেহেতু অনুরোধ করা হলে ব্যবহারকারীর অংশে একটি সাধারণ, একক মাউস-ক্লিক দিয়ে অনুমতি দেওয়া যেতে পারে।

ম্যাক্রো দীর্ঘদিন ধরে অফিসে ডিফল্টরূপে অক্ষম করা হয়েছে, যদিও ব্যবহারকারীরা সর্বদা সেগুলিকে সক্ষম করতে পারে—যা হুমকি অভিনেতাদের উভয় VBA ম্যাক্রোকে অস্ত্র দেওয়ার অনুমতি দিয়েছে, যা অফিস অ্যাপে ম্যাক্রোগুলি সক্ষম হলে স্বয়ংক্রিয়ভাবে দূষিত সামগ্রী চালাতে পারে, সেইসাথে এক্সেল-নির্দিষ্ট XL4 ম্যাক্রো . সাধারণত অভিনেতারা ব্যবহার করে সামাজিকভাবে প্রকৌশলী ফিশিং প্রচারণা ম্যাক্রো সক্ষম করার জন্য জরুরীতার শিকার ব্যক্তিদের বোঝানোর জন্য যাতে তারা যা জানে না তা খুলতে পারে দূষিত ফাইল সংযুক্তি।

যদিও মাইক্রোসফটের ম্যাক্রোগুলিকে সম্পূর্ণরূপে ব্লক করার পদক্ষেপ এখনও পর্যন্ত হুমকি অভিনেতাদের সম্পূর্ণরূপে ব্যবহার করতে বাধা দেয়নি, এটি অন্যান্য কৌশলগুলিতে এই উল্লেখযোগ্য স্থানান্তরকে উত্সাহিত করেছে, প্রুফপয়েন্ট গবেষকরা বলেছেন।

এই পরিবর্তনের মূল চাবিকাঠি হল মার্ক অফ দ্য ওয়েব (MOTW) অ্যাট্রিবিউটের উপর ভিত্তি করে VBA ম্যাক্রো ব্লক করার জন্য মাইক্রোসফটের পদ্ধতিকে বাইপাস করার কৌশল যা দেখায় যে Zone.Identifier নামে পরিচিত একটি ফাইল ইন্টারনেট থেকে এসেছে কিনা, গবেষকরা উল্লেখ করেছেন।

"মাইক্রোসফ্ট অ্যাপ্লিকেশনগুলি ওয়েব থেকে ডাউনলোড করার সময় কিছু নথিতে এটি যুক্ত করে," তারা লিখেছেন। "তবে, কন্টেইনার ফাইল ফরম্যাট ব্যবহার করে MOTW বাইপাস করা যেতে পারে।"

প্রকৃতপক্ষে, আইটি নিরাপত্তা কোম্পানি সুবিধামত Outflank বিশদ প্রুফপয়েন্ট অনুসারে, এমওটিডব্লিউ মেকানিজমকে বাইপাস করার জন্য অ্যাটাক সিমুলেশনে বিশেষজ্ঞ নৈতিক হ্যাকারদের জন্য একাধিক বিকল্প - যা "রেড টিমার্স" নামে পরিচিত। পোস্টটি হুমকি অভিনেতাদের অলক্ষিত হয়েছে বলে মনে হয় না, কারণ তারাও এই কৌশলগুলি স্থাপন করতে শুরু করেছে, গবেষকরা বলেছেন।

ফাইল-ফর্ম্যাট সুইচেরু

ম্যাক্রো ব্লকিং বাইপাস করার জন্য, আক্রমণকারীরা ম্যাক্রো-সক্ষম ডকুমেন্ট পাঠাতে আইএসও (.iso), RAR (.rar), ZIP (.zip) এবং IMG (.img) ফাইলের মতো ফাইল ফরম্যাট ব্যবহার করছে, গবেষকরা বলেছেন। এর কারণ হল যদিও ফাইলগুলির নিজেরাই MOTW অ্যাট্রিবিউট থাকবে, তবে ডকুমেন্ট যেমন ম্যাক্রো-সক্ষম স্প্রেডশীট থাকবে না, গবেষকরা উল্লেখ করেছেন।

"যখন নথিটি বের করা হয়, তখনও ব্যবহারকারীকে ম্যাক্রো সক্ষম করতে হবে দূষিত কোডটি স্বয়ংক্রিয়ভাবে কার্যকর করার জন্য, তবে ফাইল সিস্টেমটি নথিটিকে ওয়েব থেকে আসা হিসাবে চিহ্নিত করবে না," তারা পোস্টে লিখেছেন।

উপরন্তু, হুমকি অভিনেতারা অতিরিক্ত সামগ্রী যেমন LNKs যোগ করে সরাসরি পেলোড বিতরণ করতে কন্টেইনার ফাইল ব্যবহার করতে পারে, DLLs, বা এক্সিকিউটেবল (.exe) ফাইল যা একটি দূষিত পেলোড চালানোর জন্য ব্যবহার করা যেতে পারে, গবেষকরা বলেছেন।

প্রুফপয়েন্ট এক্সএলএল ফাইলগুলির অপব্যবহারের ক্ষেত্রেও সামান্য বৃদ্ধি দেখেছে—এক্সেলের জন্য এক ধরনের ডায়নামিক লিঙ্ক লাইব্রেরি (ডিএলএল) ফাইল—এছাড়াও দূষিত প্রচারাভিযানে, যদিও ISO, RAR, এবং LNK ফাইলগুলির ব্যবহারের মতো উল্লেখযোগ্য বৃদ্ধি নয়। , তারা উল্লেখ করেছে।