Napredni malver sa sakrivenim makroima preti zaposlenim u Pakistanskim institucijama
Napadači koriste VBA stomping i fake PDF obaveštenja za pristup računarima vladih službi u Pakistanu preko BunnyCDN-a i VS Code tunela.
Šta se desilo?
Otkrivena je sofisticirana kampanja zlonamerne programske podrške usmerena protiv zaposlenih u pakistanskim vladinim institucijama. Napadači koriste lažne email poruke sa dva zlonameraljena prilogom koja koriste VBA stomping tehniku - metodu gde se vidljiv kod makroa uklanja tako da ostane samo skompajlirani kod nevidljiv antivirusima. Oba priloga preuzimaju štetan kod sa BunnyCDN servisa da bi izbegla detekciju.
Koga pogađa?
Primarno su ugroženi zaposleni Autoritet za bezbedne gradove (PSCA) u Pandžabu i PPIC3 institucije. Međutim, napredne tehnike korišćene u ovoj kampanji čine je opasnom za druge vladine institucije i osetljive organizacije u regionu. Svaki zaposleni koji koristi Microsoft Office ili PDF čitač potencijalno je u riziku ukoliko ne bude pažljiv sa prilogama iz nepoznatih izvora.
Kako se zaštititi?
- Nikada ne klikćite na dugme "Enable Content" u dokumentima iz nepoznatih pošiljaoca - to aktivira skrivene makroe
- Blokirajte preuzimanje aplikacija kroz email, posebno ažuriranja čitača dokumenata preko poruka
- Monitorujte VS Code tunelske konekcije na mrežnoj infrastrukturi jer napadači koriste Majkrosoftov servis kao kanal za komunikaciju
- Pratite neobičnu Discord aktivnost sa računara zaposlenih - napadači koriste Discord webhook-ove za obaveštenja
- Primenjujte stroga ograničenja za preuzimanje fajlova sa CDN servisa koji nisu deo odobrenih servisa
- Obučite zaposlene da prepoznaju lažne email adrese i improvizovane nazive datoteka (primer: "CAD Reprot.doc" umesto "Report")
Tehnički detalji
VBA stomping - kompajlirani P-kod ostaje skrit dok je vidljiv makro kod obrisan, što čini anti-virus skeniranje neuspešnim. Prilog Word dokumenta koristi COM-baziranu HTTP konekciju da preuzme code.exe sa adobe-pdfreader.b-cdn.net domena. PDF prilog pokušava preuzeti nesigniranu .NET ClickOnce aplikaciju koja se predstavlja kao Adobe softver. Oba puta koriste istu infrastrukturu za preuzimanje. Payload se izvršava iz temp foldera i uspostavlja persistentni pristup korišćenjem Microsoft VS Code tunnel servisa kao skrivenog komunikacijskog kanala. Joe Sandbox analiza je dala savršenu zlonamerni skor od 100/100. Detektovanje na VirusTotal 56%, ReversingLabs 52%, Suricata i Sigma validiralo je napadački karakter kampanje.
Preporuka Sajber Radara
Vladine institucije i osetljive organizacije trebaju da primene višeslojnu zaštitu - blokirajte makroe po zadanom, pratite CDN promet i obučite zaposlene da budu skeptični prema zahtevima za omogućavanje sadržaja ili instalaciju ažuriranja. Ovo je primer kampanje dizajnirane za dugotrajnu prisutnost u sistemima, što čini preventivne mere kritičnim.
