مرکز Cyber Command امریکا (USCYBERCOM) هشدار داد که حملاتی را مشاهده کرده است که از یک آسیبپذیری مایکروسافت Outlook با شناسهی CVE-2017-11774 بهرهبرداری میکند تا بدافزار توزیع کند. طبق گزارش USCYBERCOM که به اشتراکگذاری نمونههای بدافزاری از طریق سرویس اطلاعاتی ویروس توتال را در ماه نوامبر سال ۲۰۱۸ میلادی آغاز کرد، مهاجمان بااستفاده از دامنهی customermgmt.net بدافزار توزیع میکنند. USCYBERCOM چند نمونهی بدافزاری مرتبط با حمله را به اشتراک گذاشته است و به کاربران توصیه کرده است تا اطمینان حاصل کنند که CVE-2017-11774 وصله شده است.
این آسیبپذیری که مایکروسافت در ماه اکتبر سال ۲۰۱۷ میلادی آن را رفع کرد، یک ویژگی امنیتی را دور میزند که به یک مهاجم اجازه میدهد تا دستورات دلخواه را در سیستمهای هدف اجرا کند. این آسیبپذیری توسط پژوهشگران SensePost که این بهرهبرداری را داخل ابزار آزمایش متنباز خود به نام Ruler یکپارچه کرد، کشف شد.
شرکت امنیتی فایرآی معتقد است که این حملات توسط APT33 راهاندازی شده است. فایرآی بیان کرد که بخش زیادی از اطلاعات به اشتراک گذاشته شده در ماه دسامبر همچنان در پویش فعلی این عامل تهدید که در اواسط ماه ژوئن آغاز شده است، استفاده میشود. بهرهبرداری از CVE-2017-11774 همچنان موجب سردرگمی بسیاری از کارشناسان امنیتی میشود. قبل از آنکه بتوان از این بردار حمله بهرهبرداری کرد، یک مهاجم به گواهینامههای کاربری معتبر نیاز دارد. APT33 اغلب از طریق دسترسی به گذرواژه به این گواهینامهها دست پیدا میکند.
این شرکت افزود که حداقل یک سال است که APT33 و APT34 به دلیل عدم وجود کنترلهای دسترسی به ایمیل چند مرحلهای مناسب در سازمانها با موفقیت از این روش استفاده کردهاند. پژوهشگر Palo Alto Networks، برایان لی، این نمونهها را به APT33 و ابزار Ruler نسبت داده است.
مهاجمان Magic Hound و APT33 به حملاتی ارتباط داده شدهاند که در بدافزار مخرب پاکسازی حافظهی Shamoon شرکت دارند. لِون بیان کرد بهنظر میرسد که فایلهای اجرایی بارگذاریشده توسط USCYBERCOM به فعالیت Shamoon2 مرتبط است. این فایلهای اجرایی ابزار بارگیری نیز هستند که از پاورشل برای بارگذاری PUPY RAT استفاده میکنند. همچنین USCYBERCOM سه ابزار بارگذاری کرده است که احتمالاً برای دستکاری وبسرورها و بهرهبرداری از آنها استفاده شده است. هر ابزاری یک هدف متفاوت دارد، اما یک قابلیت مشخص در این مهاجم وجود دارد تا با سرورهای آسیبدیده تعامل برقرار کند.
APT33 که Elfin نیز شناخته میشود، بهتازگی پس از آنکه سیمانتیک در ماه مارس اعلام کرد که این گروه همچنان به حملات خود علیه سازمانهای عربستان سعودی و امریکا ادامه میدهد، زیرساخت خود را بهروزرسانی کرده است. APT33 حداقل از سال ۲۰۱۵ میلادی فعال بوده است و سازمانهایی را در بخشهای دولتی، پژوهشی، شیمیایی، مهندسی، مشاورهای، مالی، تولید و مخابرات هدف قرار داده است.
منبع
