اخیرا گزارش شد که یک آسیبپذیری اجرای کد در Microsoft Word در سطح اینترنت توسط گروهی از مجرمان سایبری مورد بهرهبرداری قرار گرفته است[۱] تا بدافزارهایی مانند تروجان بانکی Dridex و Latentbot را گسترش دهند[۲].
در حال حاضر، این مطلب مشخص شده است که یک آسیبپذیری مشابه کشف نشده در Word به نام CVE-2017-0199 نیز به صورت فعال و توسط مهاجمانِ تحتِ حمایتِ دولت از ماه ژانویه ۲۰۱۷ مورد بهرهبرداری قرار گرفته تا از کاربران روسی توسط آن جاسوسی شود.
این خبر بعد از آن منتشر شد که شرکت امنیتی FireEye که به صورت مستقل در ماه گذشته این آسیبپذیری را کشف کرده بود، یک گزارش منتشر کرد[۳] که در آن آشکار شده بود نرمافزار جاسوسی FinSpy پس از منتشر شدن وصله امنیتی مایکروسافت[۴] در روز سه شنبه ۱۱ آوریل ۲۰۱۷، بر روی یک سیستم نصب شده است.
آسیبپذیری CVE-2017-0199 یک اشکال اجرای کد در Word است که هنگام باز کردن یک فایل Word توسط فرد قربانی که شامل شی(۱) OLE2link تله گذاری شده(۲) است، به یک مهاجم اجازه میدهد تا کنترل یک کامپیوتر کاملا به روز شده را از راه دور و به طور کامل به دست گیرد. در مرحله بعد کامپیوتر فرد قربانی یک برنامه HTML مخرب را از یک سرور دانلود میکند که خود را به جای یک فایل که به صورت RTF ساخته شده است، جا میزند.
FinSpy یا FinFisher با شرکت انگلیسی جنجالی Gamma Group در ارتباط است و نرمافزار جاسوسی lawful intercept را به بسیاری از دولتها در سراسر جهان فروخته است.
محققان FireEye میگویند: “با وجود اینکه فقط یک کاربر Finspy مشاهده شده است که از نفوذ این بهرهبرداری روز صفر استفاده کرده است و به دیگر مشتریان نشان داده است که به این آسیبپذیری دسترسی دارند اما هدف تاریخی Finespy قابلیت استفاده از این آسیبپذیری توسط دولتهاست. به علاوه، این اتفاق ماهیت جهانی تهدیدات سایبری و ارزش دیدگاه جهانی را نمایش داد. یک حادثه سایبری جاسوسی که روسها را مورد هدف قرار داده است، میتواند یک موقعیت فراهم کند تا نسبت به جرمهای اینترنتی آگاهی پیدا کرده و آنها را کاهش دهیم.”
در ماه مارج ۲۰۱۷ یک آسیبپذیری روز صفر مشابه برای نصب Latentbot توسط مجرمان با انگیزههای مالی استفاده شده بود که نوعی بدافزار دسترسی از راه دور است و برای دزدیدن دادهها استفاده میشود.
Latentbot چندین قابلیت مخرب دارد که شامل سرقت گواهینامه، توابع remote desktop، پاک کردن دادههای هارد درایو و توانایی غیرفعال کردن آنتیویروس است.
FireEye میگوید که مجرمان از مهندسی اجتماعی به منظور گول زدن قربانیها برای باز کردن ضمیمههایی با موضوعات عمومی مانند hire_form.doc، !!!!URGENT!!!!READ!!!.doc، PDP.doc و document.doc استفاده میکنند.
با این حال، در روز دوشنبه ۱۰ آوریل ۲۰۱۷، مجرمانِ پشتِ این حمله کمپین خود را اصلاح کردند تا یک بسته بدافزار متفاوت به نام Terdot را منتقل کنند، که در مرحله بعد نرمافزاری نصب کند که از سرویس ناشناس TOR استفاده میکند تا هویت سرورهایی که به آن وصل میشوند را مخفی کند.
بر طبق گفته محققان FireEye، بهرهبردار MS Word که توسط جاسوسان دولتی به منظور نصب Finspy بر روی کامپیوترهای روسی مورد استفاده قرار گرفته است و نسخهای که در ماه مارچ ۲۰۱۷ و برای نصب Latentbot توسط مجرمان سایبری استفاده شده است از یک منبع مشابه به دست آمدهاند.
این یافتهها ثابت میکند کسی که در ابتدا این آسیبپذیری را کشف کرده است آن را به بسیاری از افراد دیگر فروخته که شامل شرکتهای تجاری میشدند که در مقوله خرید و فروش بهرهبردارهای روز صفر فعالیت میکنند و همچنین مجرمان آنلاینی که انگیزههای مالی دارند.
همچنین در پایان روز دوشنبه ۱۰ آوریل ۲۰۱۷، محققان شرکت Proofpoint یک کمپین بسیار بزرگ از پستهای الکترونیک اسپم را کشف کردند که میلیونها کاربر شامل مؤسسات مالی در استرالیا را توسط بدافزار بانکی Dridex توسط بهرهبرداری از یک آسیبپذیری مشابه در Word هدف قرار داده بودند [۲].
محققانFireEye همچنان نسبت به منبع اصلی انتقال تروجان بانکی Dridex مطمئن نیستند اما این امکان وجود دارد که آسیبپذیری افشا شده توسط McAfee در هفته گذشته این مطلب را روشن کند که اپراتورهای کمک کننده Dridex از این عیب استفاده کردند یا کسی که به این بهرهبردار Word دسترسی داشته آن را به آنها داده است.
شرکت مایکروسافت این آسیبپذیری موجود در Microsoft Word را در روز سهشنبه ۱۱ آوریل ۲۰۱۷ برطرف کرده است که مهاجمان و همچنین جاسوسان دولتی ماهها بود که آن را مورد بهرهبرداری قرار داده بودند. بنابراین، به کاربران اکیدا توصیه میشود تا به روز رسانی های امنیتی را هرچه زودتر نصب کنند تا از خود نسبت به حملات در پیش رو محافظت کنند.
منابع
[۱] https://apa.aut.ac.ir/?p=2406
[۲] https://apa.aut.ac.ir/?p=2411
[۳] https://www.fireeye.com/blog/threat-research/2017/04/cve-2017-0199_useda.html
[۴] https://apa.aut.ac.ir/?p=2417
[۵] http://thehackernews.com/2017/04/microsoft-word-zeroday.html
(۱) object
(۲) booby-trapped
ثبت ديدگاه