یک گروه نفوذ برای توزیع جاسو‌س‌افزار از آسیب‌پذیری روز-صفرم فلش‌پلیر بهره‌برداری می‌کند

به نظر می رسد یک گروه مهاجم در خاورمیانه قرار دارد که از آسیب پذیری روز-صفرم ادوبی فلش پلیر استفاده می کند تا بخشی از نرم افزار جاسوسی را به افرادی که هدف قرار گرفته اند، ارائه دهد. گفته شده، آسیب پذیری فلش پلیر، که یک آسیب پذیری اجرای کد از را ه دور است و با شناسه CVE-2017-11292 شناسایی می شود، در روز دوشنبه توسط ادوبی وصله شد. محققان آزمایشگاه کسپرسکی، که حملات را شناسایی کرده و حفره امنیتی ادوبی را گزارش دادند، پست وبلاگی را منتشر کرده اند که جزئیات حملات را ارائه می دهد.


این گروه نفوذ با عنوان BlackOasis از آسیب پذیری CVE-2017-11292 در حملات بسیار هدفمند استفاده می‌کند، تا جاسوس‌افزار FinFisher، که یک ابزار ردیابی قانونی بحث‌برانگیز مثل FinSpy و WingBir است، را ارائه دهد. کسپرسکی معتقد است که کشوری که از BlackOasis حمایت می‌کند احتمالا یکی از مشتریان Gamma Group، شرکتی پنهان در پشت FinFisher است.


در ماه گذشته، مایکروسافت یک آسیب‌پذیری روز-صفرم دات‌نت که توسط همان گروه مهاجم از طریق اسناد مخرب برای ارائه بدافزار FinFisher مورد بهره‌برداری قرار گرفته بود، را وصله کرد. این حمله، برای اولین بار توسط متخصصان FireEye مشاهده شد، اما کسپرسکی، براساس سرور دستور و کنترل (C&C) که توسط نفوذگران استفاده شده بود، این حمله را به حملات اخیر ارتباط داد.


از ماه ژوئن سال ۲۰۱۵ میلادی، این پنجمین آسیب‌پذیری روز-صفرم است که توسط آزمایشگاه کسپرسکی به گروه BlackOasis نسبت داده شده است. طبق گفته‌های کسپرسکی، در این حملات، از آسیب‌پذیری CVE-2017-11292 که با ارائه یک سند آفیس مخرب از طریق رایانامه شروع می‌شود، استفاده می‌شود. این سند حاوی یک شیء ActiveX است که شامل بهره‌برداری فلش پلیر است.


محققان کسپرسکی تشریح کردند: «این بهره‌برداری یک آسیب‌پذیری خرابی حافظه است که در کلاس «com.adobe. tvsdk.mediacore. BufferControlParameters» وجود دارد. اگر این بهره‌برداری موفقیت‌آمیز باشد، به عملیات خواندن و نوشتن دلخواه در حافظه دسترسی می‌یابد و به این ترتیب اجازه می‌دهد تا شل‌کد مرحله دوم را اجرا کند.» مرحله دوم شل‌کد، آخرین نسخه‌ی نرم‌افزارهای جاسوسی FinFisher را دانلود و اجرا می‌کند، و یک سند مخرب را که برای جلوگیری از افزایش سوءظن نمایش داده می‌شود را واکشی می‌کند. آخرین نسخه‌ی نرم‌افزار جاسوسی شامل چندین قابلیت جدید است که تحلیل این تهدید را برای محققان سخت‌تر می‌کند.


کسپرسکی گزارش داد که قربانیان BlackOasis در کشورهای روسیه، عراق، افغانستان، نیجریه، لیبی، اردن، تونس، عربستان سعودی، ایران، هلند، بحرین، انگلیس، و آنگولا دیده می‌شود. کسپرسکی گفت: «BlackOasis، یک گستره وسیعی از چهره‌های درگیر در سیاست‌های خاورمیانه و جنبش‌های مربوط به منطقه را از جمله چهره‌های برجسته سازمان ملل متحد، اپوزیسیون وبلاگ‌نویسان و فعالان، و خبرنگاران منطقه‌ای را شامل می‌شود. طی سال ۲۰۱۶ میلادی، ما علاقه شدیدی به آنگولا داشتیم، که نمونه‌ای از اسناد محرمانه که نشان‌دهنده اهداف مرتبط با ارتباطات مشکوک نفتی، پولشویی و سایر فعالیت‌های غیرقانونی است را ارائه می‌دهد. همچنین به فعالان و مخالفان بین‌المللی نیز علاقه‌مند هستیم.»


مایکروسافت، که گروه BlackOasis را با عنوان NEODYMIUM دنبال می‌کند، در سال گذشته گزارش داد که مهاجم، از بهره‌برداری فلش پلیر برای ارائه بدافزار FinFisher استفاده می‌کند. بیش از ۸۰ درصد قربانیان، آن زمان در ترکیه شناسایی شدند.

 

منبع

پست‌های مشابه

Leave a Comment

چهارده − 10 =