محققان امنیتی پروف‌پوینت گزارش دادند یک گروه نفوذ چینی از یک آسیب‌پذیری روز-صفرم در مایکروسافت که اخیراً وصله نیز شده است، بهره‌برداری کرده و شرکت‌های فعال در حوزه‌ی مالی را هدف حمله‌ی خود قرار داده است. محققان امنیتی معتقدند این گروه نفوذ TA۴۵۹ نام داشته و حداقل از سال ۲۰۱۳ میلادی فعال است و عملیات مخرب خود را از چین انجام می‌دهد. گفته می‌شود این گروه نفوذ در حملات خود علیه کشور روسیه و سایر کشورهای همسایه از بدافزارهایی مانند NetTraveler ،PlugX ،Saker ،Netbot ،DarkStRat و ZeroT استفاده می‌کند.

محققان پروف‌پوینت اخیراً حملاتی را توسط این گروه علیه سازمان‌های نظامی و هوافضا در کشورهای روسیه و بلاروس شناسایی کردند. در تاریخ ۲۰ آوریل نیز محققان یک پویش جاسوسی را شناسایی کردند که مؤسسات مالی در روسیه و کشورهای مجاور را هدف قرار داده بود. محققان معتقدند این پویش همانند پویش جاسوسی است که در سال ۲۰۱۵ میلادی به راه افتاده بود.

این گروه نفوذ در حملات اخیرِ خود، رایانامه‌های فیشینگ به سمت قربانیان ارسال می‌کند که در آن یک پرونده‌ی مخرب مایکروسافت ورد ضمیمه شده و سعی دارد از آسیب‌پذیری با شناسه‌ی CVE-۲۰۱۷-۰۱۹۹ که یک آسیب‌پذیری اجرای کد از راه دور است، بهره‌برداری کند. مهاجمان بهره‌برداری از این آسیب‌پذیری را درست چند روز بعد از اینکه مایکروسافت برای آن وصله منتشر کرد، آغاز کرده‌اند.

زمانی‌که پرونده‌ی مخرب باز می‌شود یک پرونده‌ی اجرایی HTML در قالب یک پرونده‌ی RTF بارگیری می‌شود. در ادامه نیز ابزارِ خط فرمان پاورشِل برای واکشی و اجرای بارگیری‌کننده‌ی ZeroT مورد استفاده قرار می‌گیرد. بدافزار ZeroT برای اولین بار در حمله به سازمان‌های نظامی و هوافضا توسط محققان پروف‌پوینت مورد بررسی قرار گرفت ولی بهبودها و تغییراتی در آخرین نسخه‌ی آن اعمال شده بود. یکی از تغییرات عمده این بود که از ابزار قانونی مک‌آفی بجای ابزار نورمن Safeground برای بارگذاری‌های جانبی استفاده می‌شد.

بدافزار ZeroT معمولاً توسط مهاجمان سایبری برای بار داده‌ی مرحله‌ی اول مورد استفاده قرار می‌گیرد و در مرحله‌ی دوم از نوع دیگری از بدافزارها استفاده می‌شود. در حملات اخیر، محققان پروف‌پوینت به بدافزارهای PlugX و یک تروجان با نام PCrat/Gh۰st اشاره کردند که کمتر توسط این گروه مورد استفاده قرار می‌گیرند. این حقیقت که مهاجمان سایبری از آسیب‌پذیری CVE-۲۰۱۷-۰۱۹۹ در عملیات خود استفاده می‌کنند خیلی تعجب‌آور نیست. این آسیب‌پذیری پیش از اینکه مایکروسافت وصله‌ای برای آن منتشر کند، توسط چند گروه نفوذ مورد بهره‌برداری قرار گرفته بود.

منبع: asis

درباره نماد امن

کانال اخبار فناوری اطلاعات نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

جاسوسان چینی از یک آسیب‌پذیری روز-صفرم در مایکروسافت برای حمله به مؤسسات مالی بهره‌برداری کردند

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *