استفاده از بهره‌برداری Turla برای هدف قرار دادن سازمان‌های روسی توسط بدافزار AcidBox

شرکت Palo Alto Networks  اعلام کرد که حملات هدفمند بدافزار جدیدی توزیع می‌کنند که از یک بهره‌برداری که قبلا با گروه نفوذ وابسته به روسیه به نام Turla مرتبط بود، استفاده می‌کند. Turla که گفته می‌شود از طرف سرویس امنیت فدرال روسیه (FSB) فعالیت می‌کند و با نام‌های Waterbug، Venomous Bear و KRYPTON نیز شناخته می‌شود، اولین عامل تهدید شناخته‌شده برای سوءاستفاده از درایور دستگاه شخص ثالث برای غیرفعال کردن Driver Signature Enforcement (DSE)، ویژگی امنیتی معرفی‌شده در ویندوز ویستا برای جلوگیری از بارگیری درایورهای بدون امضا، بود.

بهره‌برداری Turla که یک درایور VirtualBox امضاشده را هدف قرار می‌دهد تا DSE را غیرفعال کند و درایورهای بار داده‌ی بدون امضا را بارگیری کند، از دو آسیب‌پذیری سوءاستفاده می‌کند که تنها یکی از آسیب‌پذیری‌ها رفع شده بود. نسخه‌ی دوم این بهره‌برداری تنها آسیب‌پذیری ناشناخته را هدف قرار می‌دهد.

درحال‌حاضر Palo Alto Networks اعلام می‌کند که یک عامل تهدید ناشناس غیرمرتبط با Turla برای بهره‌برداری از نسخه‌های جدیدتر درایور VirtualBox VBoxDrv.sys از همان آسیب‌پذیری امنیتی وصله‌نشده سوءاستفاده می‌کند. مهاجمان با بهره‌برداری از نسخه‌ی ۲٫۲٫۰ این درایور، حداقل دو سازمان مختلف روسی را در سال ۲۰۱۷ میلادی هدف قرار داده‌اند که احتمالاً دلیل آن ناشناخته بودن آسیب‌پذیری این نسخه بود. مهاجمان یک خانواده‌ی بدافزاری ناشناخته را مستقر کردند که پژوهش‌گران آن را AcidBox نامیده‌اند.

از آن‌جا که هیچ قربانی دیگری یافت نشده است، Palo Alto Networks معتقد است که این بدافزار بسیار نادری است که تنها در حملات هدفمند مورد استفاده قرار می‌گیرد. AcidBox یک بدافزار پیچیده است که احتمالاً با یک عامل تهدید پیشرفته مرتبط است و در صورت فعال بودن مهاجم، ممکن است همچنان در حال استفاده باشد.

بااین‌حال، Palo Alto Networks پیش‌بینی می‌کند که این بدافزار تا حدی بازنویسی شده است. همچنین براساس اطلاعات موجود معتقد است که این عامل تهدید ناشناخته با Turla مرتبط نیست. پژوهش‌گران با همکاری شرکت‌های امنیتی دیگر سه نمونه‌ی حالت کاربر این بدافزار و یک درایور بار داده‌ی حالت کرنل را شناسایی کرده‌اند. همه‌ی این نمونه‌ها دارای یک نشانه‌ی زمانی مربوط به ۹ مِه سال ۲۰۱۷ میلادی هستند که احتمالاً در یک پویش در همان سال مورد استفاده قرار گرفته است. هیچ نمونه‌ی جدیدتری کشف نشده است و هنوز مشخص نیست که آیا این عامل تهدید همچنان فعال است یا خیر؟

AcidBox که داده‌های حساس را به‌عنوان پوششی در آیکون‌ها اضافه می‌کند، از رابط SSP برای پایداری در تزریق و ذخیره‌ی بار داده‌ی خود در رجیستری ویندوز سوء‌استفاده می‌کند و هیچ همپوشانی مشخصی با بدافزار شناخته‌شده را نشان نمی‌دهد. Palo Alto Networks قادر نیست ابزاری را که  AcidBox بخشی از آن است، شناسایی کند اما این شرکت دو قانون YARA برای شناسایی و یک اسکریپت پایتون به اشتراک گذاشته است که به قربانیان کمک می‌کند تا داده‌های حساس اضافه‌شده به آیکون‌ها را استخراج کنند.

منبع

پست‌های مشابه

Leave a Comment

هفت − 1 =