شرکت امنیتی پروف‌پوینت۱ روز پنج‌شنبه گزارش داد، گروه جاسوسی سایبری وابسته به روسیه که به نام APT۲۸ شناخته می‌شود از یک آسیب‌پذیری ادوبی فلش‌پلیر که اخیرا وصله شده برای هدف قرار دادن نهادهای دولتی و شرکت‌های هوا و فضا بهره‌برداری می‌کند.
آسیب‌پذیری فلش‌پلیر که با شناسه‌ی ز ردیابی می‌شود، ۱۶ اکتبر توسط ادوبی وصله شد. زمانی که وصله منتشر شد، این آسیب‌پذیری در وضعیت روز-صفرم بود، در نتیجه آن از اهداف مورد حمله توسط یک عامل تهدید خاورمیانه‌ای به نام BlackOasis برای توزیع جاسوس‌افزار FinFisher بهره‌برداری می‌کرد.
شرکت پروف‌پوینت می‌گوید، گروه APT۲۸ که همچنین با نام‌های خرس فانتزی، پاون استورم، استرانیوم، سوفیسی، سدنیت و گروه تزار نیز شناخته می‌شود، ۱۸ اکتبر با بهره‌برداری از آسیب‌پذیری CVE-۲۰۱۷-۱۱۲۹۲ راه‎‌اندازی حملاتی را آغاز کرد. مشخص نیست که APT۲۸ خود به تنهایی این بهره‌برداری را کشف کرده، آن‌را خریده، یا روی بهره‌برداری مورد استفاده در حمله‌ی BlackOasis مهندسی معکوس انجام داده است.
با این حال، پروف‌پوینت اشاره کرد که احتمالا جاسوسان سایبری تلاش می‌کنند تا قبل از این‌که وصله‌ی منتشرشده توسط ادوبی به صورت گسترده‌ای توسط کاربران مورد استفاده قرار بگیرد، از مزایای این آسیب‌پذیری بهره‌برداری کنند.
حملات انجام‌شده در حالی که سازمان‌های آمریکا، اروپا و دیگر کشورها را هدف قرار داده بود، توسط شرکت امنیتی پروف‌پوینت مشاهده شد. اهداف شامل سازمان‌های دولتی خارجی با مسئولیت‌هایی مشابه وزارت امور خارجه‌ی آمریکا و شرکت‌های هوا و فضای بخش خصوصی بودند.
شرکت امنیتی پروف‌پوینت گفت، پیام‌هایی که این بهره‌برداری را توزیع می‌کردند بسیار هدفمند بودند و توسط سرویس‌های رایانامه‌ی رایگان ارسال می‌شدند. مهاجمان از اسناد مخرب و بستر بهره‎‌برداری فلش‌پلیر قبلی با نام DealersChoice برای توزیع مرحله‌ی اول بهره‌برداری مخصوصا یک ابزار شناسایی استفاده کرده‌اند.
با این‌که آسیب‌پذیری CVE-۲۰۱۷-۱۱۲۹۲ روی سامانه‌های ویندوز، لینوکس و مک اثر می‌گذارد، ظاهرا گروه APT۲۸ حملات خود را فقط علیه کاربران ویندوز راه‌اندازی کرده است. آزمایش‌های انجام‌شده توسط محققان نشان داد که این بهره‌برداری روی سامانه‌های دارای ویندوز ۷ یا ویندوز ۱۰ با مایکروسافت آفیس ۲۰۱۳ کار می‌کند. اما اجرای این بهره‌برداری در سامانه‌های ۶۴ بیتی که به‌روزرسانی Fall Creators ویندوز ۱۰ و آفیس ۲۰۱۶ را اجرا می‌کنند، با شکست مواجه می‌شود.
محققان پروف‌پوینت توضیح دادند: «APT۲۸ یک گروه پیشرفته‌ی دولتی است که از آسیب‌پذیری‌ها برای حمله بالقوه به اهداف ارزشمند استفاده می‌کند اما احتمالا عاملان تهدید دیگری از آن‌ها پیروی کرده و تلاش خواهند کرد تا به صورت گسترده‌تری در بسته‌های بهره‌برداری یا از طریق دیگر بردارهای حمله از این آسیب‌پذیری بهره‌برداری کنند.» این شرکت امنیتی در تلاش است تا دامنه‌های دستور و کنترل مورد استفاده در این حملات را از کار بیندازد.

۱. Proofpoint

کانال اخبار فناوری اطلاعات نماد امن

منبع: asis

درباره نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

سوء‌استفاده از آسیب‌پذیری وصله‌ شده‌ی فلش توسط نفوذگران روسی

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *