شرکت Palo Alto Networks اعلام کرد که حملات هدفمند بدافزار جدیدی توزیع میکنند که از یک بهرهبرداری که قبلا با گروه نفوذ وابسته به روسیه به نام Turla مرتبط بود، استفاده میکند. Turla که گفته میشود از طرف سرویس امنیت فدرال روسیه (FSB) فعالیت میکند و با نامهای Waterbug، Venomous Bear و KRYPTON نیز شناخته میشود، اولین عامل تهدید شناختهشده برای سوءاستفاده از درایور دستگاه شخص ثالث برای غیرفعال کردن Driver Signature Enforcement (DSE)، ویژگی امنیتی معرفیشده در ویندوز ویستا برای جلوگیری از بارگیری درایورهای بدون امضا، بود.
بهرهبرداری Turla که یک درایور VirtualBox امضاشده را هدف قرار میدهد تا DSE را غیرفعال کند و درایورهای بار دادهی بدون امضا را بارگیری کند، از دو آسیبپذیری سوءاستفاده میکند که تنها یکی از آسیبپذیریها رفع شده بود. نسخهی دوم این بهرهبرداری تنها آسیبپذیری ناشناخته را هدف قرار میدهد.
درحالحاضر Palo Alto Networks اعلام میکند که یک عامل تهدید ناشناس غیرمرتبط با Turla برای بهرهبرداری از نسخههای جدیدتر درایور VirtualBox VBoxDrv.sys از همان آسیبپذیری امنیتی وصلهنشده سوءاستفاده میکند. مهاجمان با بهرهبرداری از نسخهی ۲٫۲٫۰ این درایور، حداقل دو سازمان مختلف روسی را در سال ۲۰۱۷ میلادی هدف قرار دادهاند که احتمالاً دلیل آن ناشناخته بودن آسیبپذیری این نسخه بود. مهاجمان یک خانوادهی بدافزاری ناشناخته را مستقر کردند که پژوهشگران آن را AcidBox نامیدهاند.
از آنجا که هیچ قربانی دیگری یافت نشده است، Palo Alto Networks معتقد است که این بدافزار بسیار نادری است که تنها در حملات هدفمند مورد استفاده قرار میگیرد. AcidBox یک بدافزار پیچیده است که احتمالاً با یک عامل تهدید پیشرفته مرتبط است و در صورت فعال بودن مهاجم، ممکن است همچنان در حال استفاده باشد.
بااینحال، Palo Alto Networks پیشبینی میکند که این بدافزار تا حدی بازنویسی شده است. همچنین براساس اطلاعات موجود معتقد است که این عامل تهدید ناشناخته با Turla مرتبط نیست. پژوهشگران با همکاری شرکتهای امنیتی دیگر سه نمونهی حالت کاربر این بدافزار و یک درایور بار دادهی حالت کرنل را شناسایی کردهاند. همهی این نمونهها دارای یک نشانهی زمانی مربوط به ۹ مِه سال ۲۰۱۷ میلادی هستند که احتمالاً در یک پویش در همان سال مورد استفاده قرار گرفته است. هیچ نمونهی جدیدتری کشف نشده است و هنوز مشخص نیست که آیا این عامل تهدید همچنان فعال است یا خیر؟
AcidBox که دادههای حساس را بهعنوان پوششی در آیکونها اضافه میکند، از رابط SSP برای پایداری در تزریق و ذخیرهی بار دادهی خود در رجیستری ویندوز سوءاستفاده میکند و هیچ همپوشانی مشخصی با بدافزار شناختهشده را نشان نمیدهد. Palo Alto Networks قادر نیست ابزاری را که AcidBox بخشی از آن است، شناسایی کند اما این شرکت دو قانون YARA برای شناسایی و یک اسکریپت پایتون به اشتراک گذاشته است که به قربانیان کمک میکند تا دادههای حساس اضافهشده به آیکونها را استخراج کنند.
