هشدار درباره‌ی بهره‌برداری از آسیب‌پذیری Outlook توسط گروه نفوذ APT33

مرکز Cyber Command امریکا (USCYBERCOM) هشدار داد که حملاتی را مشاهده کرده است که از یک آسیب‌پذیری مایکروسافت Outlook با شناسه‌ی CVE-2017-11774 بهره‌برداری می‌کند تا بدافزار توزیع کند. طبق گزارش USCYBERCOM که به اشتراک‌گذاری نمونه‌های بدافزاری از طریق سرویس اطلاعاتی ویروس توتال را در ماه نوامبر سال ۲۰۱۸ میلادی آغاز کرد، مهاجمان بااستفاده از دامنه‌ی customermgmt.net بدافزار توزیع می‌کنند. USCYBERCOM چند نمونه‌ی بدافزاری مرتبط با حمله را به اشتراک گذاشته است و به کاربران توصیه کرده است تا اطمینان حاصل کنند که CVE-2017-11774 وصله شده است.

این آسیب‌پذیری که مایکروسافت در ماه اکتبر سال ۲۰۱۷ میلادی آن را رفع کرد، یک ویژگی امنیتی را دور می‌زند که به یک مهاجم اجازه می‌دهد تا دستورات دلخواه را در سیستم‌های هدف اجرا کند. این آسیب‌پذیری توسط پژوهش‌گران SensePost که این بهره‌برداری را داخل ابزار آزمایش متن‌باز خود به نام Ruler یکپارچه کرد، کشف شد.

شرکت امنیتی فایرآی معتقد است که این حملات توسط APT33‌ راه‌اندازی شده است. فایرآی بیان کرد که بخش زیادی از اطلاعات به اشتراک گذاشته شده در ماه دسامبر همچنان در پویش فعلی این عامل تهدید که در اواسط ماه ژوئن آغاز شده است، استفاده می‌شود. بهره‌برداری از CVE-2017-11774 همچنان موجب سردرگمی بسیاری از کارشناسان امنیتی می‌شود. قبل از آن‌که بتوان از این بردار حمله بهره‌برداری کرد، یک مهاجم به گواهی‌نامه‌های کاربری معتبر نیاز دارد. APT33 اغلب از طریق دسترسی به گذرواژه به این گواهی‌نامه‌ها دست پیدا می‌کند.

این شرکت افزود که حداقل یک سال است که APT33 و APT34 به دلیل عدم وجود کنترل‌های دسترسی به ایمیل چند مرحله‌ای مناسب در سازمان‌ها با موفقیت از این روش استفاده کرده‌اند. پژوهش‌گر Palo Alto Networks، برایان لی، این نمونه‌ها را به APT33 و ابزار Ruler نسبت داده است.

مهاجمان Magic Hound و APT33 به حملاتی ارتباط داده شده‌اند که در بدافزار مخرب پاک‌سازی حافظه‌ی Shamoon شرکت دارند. لِون بیان کرد به‌نظر می‌رسد که فایل‌های اجرایی بارگذاری‌شده توسط USCYBERCOM به فعالیت Shamoon2 مرتبط است. این فایل‌های اجرایی ابزار بارگیری نیز هستند که از پاورشل برای بارگذاری PUPY RAT استفاده می‌کنند. همچنین USCYBERCOM سه ابزار بارگذاری کرده است که احتمالاً برای دست‌کاری وب‌سرورها و بهره‌برداری از آن‌ها استفاده شده است. هر ابزاری یک هدف متفاوت دارد، اما یک قابلیت مشخص در این مهاجم وجود دارد تا با سرورهای آسیب‌دیده تعامل برقرار کند.

APT33 که Elfin نیز شناخته می‌شود، به‌تازگی پس از آن‌که سیمانتیک در ماه مارس اعلام کرد که این گروه همچنان به حملات خود علیه سازمان‌های عربستان سعودی و امریکا ادامه می‌دهد، زیرساخت خود را به‌روزرسانی کرده است. APT33 حداقل از سال ۲۰۱۵ میلادی فعال بوده است و سازمان‌هایی را در بخش‌های دولتی، پژوهشی، شیمیایی، مهندسی، مشاوره‌ای، مالی، تولید و مخابرات هدف قرار داده است.

منبع

پست‌های مشابه

Leave a Comment

2 × 5 =