بهره‌برداری از آسیب‌پذیری‌های روز-صفرم در حملات فیشینگ توسط گروه Fancy Bear

نگاه دیگران
پنج‌شنبه, 27 آبان 1395

گروه تهدید Pawn Storm که با نام‌های APT۲۸ و Fancy Bear نیز شناخته می‌شود، در حملاتی هدفدار از آسیب‌پذیری‌های روز-صفرم که هنوز وصله نشده‌اند، بهره‌برداری کردند.

آسیب‌پذیری‌هایی که توسط این گروه مورد بهره‌برداری قرار گرفته یکی مربوط به ادوبی فلش با شناسه‌ی CVE-۲۰۱۶-۷۸۵۵ بود که در تاریخ ۲۶ اکتبر وصله شد. آسیب‌پذیری دیگر نیز آسیب‌پذیری ارتقاء امتیاز در سامانه عامل ویندوز با شناسه‌ی CVE-۲۰۱۶-۷۲۵۵ بود که در ۸ نوامبر توسط مایکروسافت برطرف شد.

بعد از اینکه آسیب‌پذیری ادوبی فلش برطرف شد، این گروه در بازه‌ی ۲۸ اکتبر تا اوایل نوامبر همچنان از آن در حملات فیشینگ خود استفاده می‌کردند.

در ماه نوامبر نیز گروه Pawn Storm حملات فیشینگ گسترده‌ای را علیه دولت‌ها انجام دادند. در این حملات از رایانامه‌هایی با عنوان «بیانیه‌ی پارلمان اروپا در خصوص تهدیدات هسته‌ای» استفاده می‌شد. مهاجمان در این حملات آدرس رایانامه مدیر مطبوعاتی دفتر روابط رسانه‌ای اتحادیه اروپا را جعل کرده بودند.

وقتی قربانیان بر روی پیوندی که در این رایانامه وجود داشت، کلیک می‌کردند به سمت دامنه‌ای هدایت می‌شدند که بر روی آن کیت بهره‌برداری گروه Pawn Storm میزبانی می‌شد.

در بررسی‌های ترندمیکرو آمده است: «این کیت بهره‌برداری ابتدا سامانه‌ی قربانی را با استفاده از یک کد جاوا اسکریپت انگشت‌نگاری می‌کند و اطلاعاتی همچون نوع سامانه عامل، منطقه‌ی زمانی، افزونه‌های نصب‌شده بر روی مرورگر و زبان سامانه را بر روی کارگزارِ بهره‌برداری بارگذاری می‌کند. این کارگزار بهره‌برداری می‌تواند در پاسخ بر روی سامانه‌ی قربانی کد یک بهره‌برداری را ارسال کند یا قربانی را به سمت یک کارگزار بی‌خطر هدایت کند.»

علاوه بر این محققان پویش‌های فیشینگ دیگری را نیز مشاهده کرده‌اند که از ۲۸ اکتبر تا اوایل نوامبر ادامه داشته‌اند. در این پویش‌ها مهاجمان در رایانامه‌هایی قربانیان را به کنفرانس «تهدیدات هوشمند سایبری و پاسخ به رخدادهای امنیتی» که توسط Defense IQ در ماه نوامبر برگزار می‌شود، دعوت می‌کردند.

این رایانامه‌ی فیشینگ حاوی یک سند RTF با نام Programm Details.doc بود. در این سند یک پرونده‌ی فلش تعبیه شده است که از کارگزار راه دور پرونده‌های اضافی را بارگیری می‌کند.

در ادامه‌ی تحلیل‌های ترندمیکرو می‌خوانیم: «علاوه بر این دو پویشی که عنوان شد، چند پویش دیگر نیز مشاهده شده که توسط این گروه تهدید در بازه‌ی بین کشف و وصله‌ی این آسیب‌پذیری‌ها توسط ادوبی و مایکروسافت، اجرا شده است. این موضوع نشان می‌دهد که گروه Pawn Storm بلافاصله پس از کشف یک آسیب‌پذیری بهره‌برداری از آن را شروع می‌کند. دلیل موفقیت این گروه نیز این مسئله می‌تواند باشد که بسیاری از سازمان‌ها ممکن است نتوانند تا تاریخ ۸ نوامبر آسیب‌پذیری‌های ادوبی و مایکروسافت را وصله کنند.»

منبع خبر: asis

برچسب‌ها امنیت ,