Злоумышленники используют файлы .odt для того, чтобы прятать различные троянцы от антивирусов, а также задействуют аналог макросов, унаследованный от StarOffice, чтобы заражать целевые системы различными вредоносами.
«Контрабанда» на LibreOffice
Неизвестная APT-группировка начала использовать документы LibreOffice для доставки вредоносного ПО. Причем речь идет не о каких-то экзотических вредоносах, а о вполне общеизвестных программах, с которыми обычно легко расправляются антивирусы. Однако документы формата .odt, как ни странно, обеспечивают рассылаемым троянцам эффективное прикрытие.
Файл формата .odt (или, шире, .odf — OpenDocument Format) представляет собой ZIP-архив: он включает в себя файловую иерархию, содержащую XML-файл самого документа, файлы включений (например, картинок или активных элементов), вспомогательные файлы с метаинформацией, картинку-миниатюру страницы документа и т. д.
Некоторые антивирусные решения рассматривают odf/odt-файлы как стандартные архивы и не проверяют их содержимое. Тем самым у злоумышленников появляется возможность «провозить контрабандой» вредоносы на целевую систему.
К тому же, как отмечают в Cisco Talos, информация о том, какие организации перешли на LibreOffice, публикуется в общем доступе, и злоумышленники легко могут использовать это в своих целях.
Два RAT-троянца и средство для кражи информации
Одна из выявленных исследователями из Cisco Talos киберкриминальных кампаний, как выяснилось, использовала файлы .odt для атак на пользователей Microsoft Office (который вполне способен открывать файлы этого формата, наряду с «родными»). В документы формата .odt внедрялись активные OLE-объекты, которые запускали исполняемые файлы HTA, а те, в свою очередь, скачивали либо RevengeRAT, либо njRAT, два популярных у киберзлоумышленников троянца для удаленного управления зараженной системой.
В другом случае с помощью ODT-файла в систему устанавливался крадущий данные троянец AZORult. Процесс установки включал OLE-объект, который выгружал запускаемый файл, якобы относившийся к музыкальному сервису Spotify.
Была также отмечена серия атак на пользователей OpenOffice и LibreOffice, в ходе которой, по выражению экспертов Talos, использовался «эквивалент макросов в Microsoft Office, использовавшийся в открытой платформе StarOffice Basic.
StarOffice — старый офисный пакет, последняя версия которого вышла в 2008 г. Однако именно его исходники — и, соответственно, код, отвечающий за аналог макросов, — легли в основу OpenOffice.org, предшественника Apache OpenOffice.
Исследователи обнаружили, что злоумышленники встраивают в файлы OpenOffice макросы, которые используются для скачивания и запуска файла plink443.exe, устанавливающего SSH-соединения. Смысл этого, правда, остается неясным, поскольку для скачивания других вредоносов оно не использовалось.
Что касается других вредоносных программ, то это преимущественно эксплойты из набора Metasploit. По мнению экспертов Talos, хакеры пытаются обеспечить себе возможность перемещаться по всей локальной сети атакованной организации.
«Использование файлов OpenOffice/LibreOffice — очень эффективный инструмент для кибератак, и не только по причине того, что антивирусы зачастую их игнорируют, — считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Как справедливо отмечают в своей публикации коллеги из Talos, сведения об организациях, перешедших на LibreOffice, публикуются в открытом доступе; найти организации, использующие OpenOffice — тоже не так сложно. А это делает их и идеальными мишенями для целевых атак. Плюс злоумышленники могут выдавать эти же организации за источники вредоносной корреспонденции. Увы, пока что единственным надежным способом защититься от подобных атак будет регулярное обучение персонала распознавать сомнительные сообщения и не открывать вложения из них».