انتشار شده در تاریخ 1404/11/14 - 06:03

متهم شدن هکرهای روسی به سوءاستفاده از مایکروسافت آفیس

اوکراین مدعی شد که گروه هکری روسی «APT28» از آسیب‌پذیری روز صفر جدید مایکروسافت آفیس سوءاستفاده کرده‌اند.

به گزارش کارگروه حملات سایبری سایبربان؛ تیم واکنش اضطراری رایانه‌ای اوکراین (CERT-UA) ادعا کرد که مهاجمان مرتبط با روسیه در حال حاضر از جدیدترین آسیب‌پذیری روز صفر مایکروسافت آفیس سوءاستفاده کرده‌اند و تیم دفاع سایبری ملی این کشور نیز هشدار داد که از همین اشکال برای هدف قرار دادن سازمان‌های دولتی در کشور و سازمان‌های سراسر اتحادیه اروپا استفاده می‌شود.

تیم واکنش اضطراری رایانه‌ای اوکراین ادعا کرد که این فعالیت توسط «UAC-0001» انجام شده که بیشتر با نام «APT28» یا «Fancy Bear» شناخته می‌شود و به «CVE-2026-21509»، یک اشکال دور زدن ویژگی امنیتی در مایکروسافت آفیس، وابسته است که مایکروسافت چندی پیش آن را در کنار هشداری مبنی بر اینکه مهاجمان در حال سوءاستفاده از آن در سطح اینترنت هستند، افشا کرد.

به گفته تیم واکنش اضطراری رایانه‌ای اوکراین، اولین سند تنها چند روز پس از اعلام نقص توسط مایکروسافت منتشر شد. فایلی با عنوان «Consultation_Topics_Ukraine(Final).doc» در تاریخ 29 ژانویه امسال به صورت عمومی منتشر شد و موضوع آن بحث‌های اتحادیه اروپا در مورد اوکراین بود. متادِیتای فایل نشان داد که در 27 ژانویه، یک روز پس از انتشار جزئیات این نقص توسط مایکروسافت، ایجاد شده است. این زمان برگشت نشان می‌دهد که زنجیره سوءاستفاده از قبل آماده و منتظر بوده است. در همان روز، به امدادگران اوکراینی در مورد یک کمپین فیشینگ موازی که مکاتبات رسمی مرکز هواشناسی و آب و هوای اوکراین را جعل می‌کرد، هشدار داده شد. بیش از ۶۰ گیرنده، عمدتاً از نهادهای دولتی مرکزی، ایمیل‌هایی حاوی یک پیوست مخرب DOC دریافت کردند. باز کردن فایل در آفیس، بی‌سروصدا یک اتصال «WebDAV» به یک سرور خارجی را آغاز، یک فایل میانبر را دانلود و از آن به عنوان سکوی پرتابی برای بدافزارهای بیشتر استفاده می‌کند.

از آنجا، مهاجمان یک DLL را قرار می‌دهند که به عنوان یک جزء قانونی ویندوز ظاهر می‌شود و «shellcode» را در چیزی ذخیره می‌کنند که به نظر یک فایل تصویری بی‌ضرر می‌رسد. سپس آنها از طریق ربودن «COM» و یک کار برنامه‌ریزی شده که «explorer.exe» را مجدداً راه‌اندازی می‌کند، پایداری ایجاد و از بارگیری مجدد کد مخرب اطمینان حاصل می‌کنند. اکثر کاربران متوجه چیز غیرعادی نمی‌شوند، اما مهاجمان اکنون جای پایی دارند که می‌توانند به آن بازگردند.

نتیجه نهایی، استقرار چارچوب پس از بهره‌برداری «COVENANT» است و مهاجمان ترافیک خود را از طریق یک سرویس ذخیره‌سازی ابری قانونی هدایت می‌کنند. تیم واکنش اضطراری رایانه‌ای اوکراین به مدافعان توصیه کرد که ترافیک مربوط به «Filen» را از نزدیک رصد یا در صورت امکان آن را کاملاً مسدود کنند.

این کمپین محدود به اوکراین نیست. در روزهای پایانی ژانویه امسال، تیم واکنش اضطراری رایانه‌ای اوکراین سه سند مخرب دیگر را شناسایی کرد که از همان زنجیره سوءاستفاده استفاده می‌کردند و سازمان‌هایی را در کشورهای عضو اتحادیه اروپا هدف قرار می‌دادند. در یک مورد، دامنه‌ای که این بار داده را ارائه می‌داد، دقیقاً در همان روزی که استفاده شد، ثبت شده بود که نشان می‌دهد مهاجمان با چه سرعتی در حال نفوذ به زیرساخت‌ها هستند.

مایکروسافت اکنون پچ‌هایی را منتشر کرده، از جمله برای نسخه‌های قدیمی‌تر آفیس که در ابتدا بلاتکلیف بودند، اما تیم واکنش اضطراری رایانه‌ای اوکراین هنوز در مورد سرعت انتشار آنها خوشبین نیست.

تیم واکنش اضطراری رایانه‌ای اوکراین هشدار داد:

«بدیهی است که در آینده نزدیک، از جمله به دلیل بی‌تحرکی فرآیند یا عدم امکان به‌روزرسانی مجموعه مایکروسافت آفیس توسط کاربران و/یا استفاده از مکانیسم‌های حفاظتی توصیه‌شده، تعداد حملات سایبری با استفاده از آسیب‌پذیری شرح داده شده شروع به افزایش خواهد کرد.»