استفاده هکرهای ایرانی از آسیب‌پذیری‌های آفیس برای حملات هکری

به گزارش کارگروه حملات سایبری سایبربان؛ محققان امنیتی شرکت فایرآی در تازه‌ترین ادعای خود، مدعی شدند که در حملات هکری صورت گرفته، به گروه هکری (APT) ایرانی مشکوک شده‌اند. این حملات که با استفاده از آخرین آسیب‌پذیری یافت شده از مجموعه نرم‌افزارهای آفیس صورت گرفته، بسیاری از کشورهای حوزه خلیج‌فارس را هدف قرار داده است.
طبق گزارش محققان شرکت امنیت سایبری فایرآی «FireEye»، بازیگر اصلی این حملات، گروهی موسوم به «APT34» است. این گروه با استفاده از آسیب‌پذیری آفیس با کد «CVE-2017-11882» اقدام به استقرار تروجان در سیستم قربانیان نموده‌اند. آسیب‌پذیری یادشده با استفاده از PowerShell اقدام به جانمایی تروجان های «POWRUNER»، «BONDUPDATED» کرده است.
در ژانویه 2017 شرکت فایرآی در گزارشی اعلام کرد که این دو تروجان توسط گروه هکری «OilRig» نیز استفاده‌شده بود.
 

چندی پیش، براندن والریانو (Dr. Brandon Valeriano)، نویسنده کتاب نبردهای سایبری در برابر واقعیت‌های سایبری (Cyber War versus Cyber Realities) که توسط دانشگاه آکسفورد در سال 2015 به چاپ رسید، به این موضوع اشاره کرد که ایران، به‌تازگی از طریق یک گروه هکری به نام اویل ریگ (OilRig)، اسرائیل را هدف تهاجمات خود قرار داده و این حمله، همانند بسیاری از حملات دیگری که علیه سایر کشورها در جهان انجام داده است، از اهمیت کمی برخوردار بود.
والریانو در ادامه مدعی شد: «حملات سایبری که اخیراً صورت پذیرفت، به‌عنوان یکی از پیچیده‌ترین حملات سایبری ایران معرفی شد، اما واقعیت این بود که این کشور، از کدهای افشاشده توسط گروه کارگزاران سایه و برخی روش‌های ساده فیشینگ بهره‌برداری کرد. حمله مشابهی به شبکه‌های داخلی آمریکا انجام شد که این حمله نیز با شکست مواجه شد. اینکه ما به توافق برسیم که این حملات پیچیده هستند، خیانتی در حق توانایی‌های ما برای قضاوت در مورد اطلاعات و تأثیرگذاری بر عملیات امنیت سایبری است. به‌صورت مشابهی، عملیات شمعون 2 که علیه اهدافی در عربستان صورت پذیرفت، مجدداً به نظر می‌رسد که توسط گروه هکری اویل ریگ سازمان‌دهی شده است و این حمله نیز، همانند سایر حملات و در مقایسه با حملات پیچیده کشورهایی نظیر چین و روسیه، از تأثیرگذاری به‌مراتب کمتری برخوردار بود.»

در ادامه شرکت فایرآی اعلام نمود که این هکرها با استفاده از روش فیشینگ، ایمیلی در قالب یک متن به قربانیان ارسال نموده و در پیوست این ایمیل‌ها فایل‌های مخرب قرار داده‌اند. در پیوست این ایمیل بدافزارهایی وجود داشت که از آسیب‌پذیری شماره «CVE-2017-11882» استفاده می‌کند، این آسیب‌پذیری مربوط به برنامه ویرایشگر معادله مایکروسافت آفیس «Microsoft Equation Editor » است که در وصله امنیت منتشرشده توسط مایکروسافت در تاریخ « 14 نوامبر » مرتفع گردیده است.
این بدافزارها اطلاعات قربانی را در یک پشته (stack) ذخیره کرده و سپس با بهره‌گیری از دستورالعمل منحصربه‌فرد خود، کپی اطلاعات را با اجرای یک اسکریپت به ترتیب به یک دامنه خاص ارسال می‌نماید.
این اسکریپت شامل PowerShell بوده و به‌صورت ذره‌ذره یا قطره‌چکانی اطلاعات را منتقل می‌نماید و ضمناً کلیدی را از دایرکتوری زیر نیز اجرا می‌نماید.

 C:\ProgramData\Windows\Microsoft\java

شرکت فایرآی در گزارشی دیگر اعلام نمود گروه APT34 در طول چند ماه گذشته با ترکیب حداقل دو آسیب‌پذیری «CVE-2017-0199 و CVE-2017-11882» برخی کشورهای حوزه غرب آسیا را هدف حملات خود قرار داده و اطلاعات قربانیان را سرقت نموده است.
واحد 42 شرکت امنیت سایبری پالو آلتو «Palo Alto» چندی پیش در گزارشی استفاده از آسیب‌پذیری «CVE-2017-11882» توسط برخی هکرها را اعلام نمود؛ در این حملات سایبری شرکت‌های مهم و معتبر را هدف قرار داده، ازاین‌رو با استفاده از فاکتورهای جعلی ایمیل‌هایی به این شرکت‌ها ارسال می‌شد و موجبات نفوذ را فراهم می‌آوردند.