آسیبپذیری روز-صفرم ویندوز در حملات مالی استفاده میشود!
http://sheedantivirus.ir/1395/02/27/%D8 ... AA-%D9%85/
برخی از حملاتی که در ماه مارس توسط عوامل تهدیدی که انگیزه مالی داشتهاند علیه سازمانهای آمریکای شمالی رخ داده است که شامل آسیبپذیری روز-صفرم در افزایش سطح دسترسی بوده و بر سامانهعامل ویندوز تأثیر میگذارد.
به گفته شرکت فایرآی، این گروه پیچیده سایبری، به بیش از ۱۰۰ شرکت حمله کرده است که اکثر آنها از شرکتهای خردهفروشی، هتلداری و رستورانها هستند.
مهاجمان از رایانامههای فیشینگ و اسناد مایکروسافت وردی که دارای ماکرو بودهاند برای انتشارPUNCHBUGGY یک پروندهی بارگیری کنندهی DLL استفاده کردهاند که به آنها اجازه میدهد تا با سامانههای به خطر افتاده تعامل داشته و به صورت جانبی در شبکهی قربانی حرکت کنند.
این گروه، همچنین از یک بدافزار پایانه فروش (PoS) که توسط فایرآی به نام PUNCHTRACK نامگذاری شده استفاده کردهاند تا دادههای مربوط به پرداخت کارتهای اعتباری را از دستگاههای آلوده سرقت کنند. محققان اشاره کردهاند که این بدافزار توسط یک راهانداز مبهم بارگیری شده و اجرا میشود و به گونهای طراحی شده که هرگز سطح دیسک دستگاه را لمس نمیکند.
در برخی از این حملات که فایرفاکس در ماه مارس مشاهده کرده است، عوامل این تهدید بر آسیبپذیری افزایش امتیاز دسترسی در ویندوز (CVE-۲۰۱۶-۰۱۶۷) تکیه کردهاند که تا به این لحظه هنوز نامشخص است. این شرکت امنیتی گزارش داده است که یک بهرهبرداری روز-صفرم را در حملات محدود هدفمند این گروه در تارخ ۸ مارس مشاهده کرده است.
مایکروسافت این حفره را در تاریخ ۱۲ آوریل با بولتن MS۱۷-۰۳۹ پوشش داده بود و علاوه بر این ویندوز را در برابر حملات مشابه با بهروزرسانی منتشر شده در این هفته (MS۱۶-۰۶۲) تقویت کرده است.
محققان میگویند که مهاجمان در ابتدا سامانههای هدف را آلوده کرده و از طریق پیوستهای آلوده اسناد در رایانامههای فیشینگ، به اجرای کد از راه دور دست میزنند و سپس از بهرهبرداری CVE-۲۰۱۶-۰۱۶۷ برای اجرای کد در سطح بالای دسترسی سامانه استفاده میکنند.
فایرآی این گروه و فعالیتهای آن را در سال گذشته مورد بررسی قرار داده است و مشخص کرده که این تنها گروه تهدیدی است که از بارگیری کننده PUNCHBUGGY و بدافزار پایانه فروش PUNCHTRACK در عملکردهای خود استفاده میکند.
محققان فایرآی در پست وبلاگ خود نوشتهاند: «این عوامل تهدید، عملکردهای خود را در مقیاسی وسیع و با سرعتی بسیار بالا انجام میدهند که نشاندهنده سطحی از هوشیاری عملیاتی و توانایی سازگاری بالا است. این تواناییها در ترکیب با استفادهی هدفمند از بهرهبرداری افزایش سطح دسترسی و شناساییهای مورد نیاز جداگانه برای ارسال رایانههای فیشینگ به قربانیان، بلوغ این گروه تهدید را در پیچیدگی آنها در انجام عملیاتها نشان میدهد».
این تنها گروه پیچیده مجرمان سایبری نیست که به وسیله فایرآی بررسی شدهاند. ماه گذشته، این شرکت فعالیتهای یک گروه تهدید را با عنوان «FINE۶» که میلیونها سابقه کارتهای پرداخت را از سامانههای پایانه فروش PoS سرقت میکردند، تشریح کرد. کارشناسان معتقد هستند که FINE۶ میتواند سود قابل توجهی را با فروش اطلاعات به سرقت رفته در بازارهای زیرزمینی کسب کند.