انتشار شده در تاریخ 1395/02/28 - 17:37

آسیب‌پذیری روز-صفرم ویندوز در حملات مالی

به گزارش واحد متخصصین سایبربان، برخی از حملاتی که در ماه مارس توسط عوامل تهدیدی که انگیزه مالی داشته‌اند علیه سازمان‌های آمریکای شمالی رخ‌داده است که شامل آسیب‌پذیری روز-صفرم در افزایش سطح دسترسی بوده و بر سیستم‎عامل ویندوز تأثیر می‌گذارد.

به گفته شرکت فایرآی، این گروه پیچیده سایبری، به بیش از ۱۰۰ شرکت حمله کرده است که اکثر آن‎ها از شرکت‌های خرده‌فروشی، هتلداری و رستوران‌ها هستند.

مهاجمان از رایانامه‌های فیشینگ و اسناد مایکروسافت وردی که دارای ماکرو بوده‌اند برای انتشار PUNCHBUGGY یک پرونده‎ی بارگیری کننده‌ی DLL استفاده کرده‌اند که به آن‌ها اجازه می‌دهد تا با سامانه‌های به خطر افتاده تعامل داشته و به‌صورت جانبی در شبکه‌ی قربانی حرکت کنند.

این گروه، ‌همچنین از یک بدافزار پایانه فروش (PoS) که توسط فایرآی به نام PUNCHTRACK نام‌گذاری شده استفاده کرده‌اند تا داده‌های مربوط به پرداخت کارت‌های اعتباری را از دستگاه‌های آلوده سرقت کنند. محققان اشاره‌کرده‌اند که این بدافزار توسط یک راه‌انداز مبهم بارگیری شده و اجرا می‌شود و به‌گونه‌ای طراحی‌شده که هرگز سطح دیسک دستگاه را لمس نمی‌کند.

در برخی از این حملات که فایرفاکس در ماه مارس مشاهده کرده است، عوامل این تهدید بر آسیب‌پذیری افزایش امتیاز دسترسی در ویندوز (CVE-2016-0167) تکیه کرده‌اند که تا به این لحظه هنوز نامشخص است. این شرکت امنیتی گزارش داده است که یک بهره‌برداری روز-صفرم را در حملات محدود هدفمند این گروه در تاریخ ۸ مارس مشاهده کرده است.

مایکروسافت این حفره را در تاریخ ۱۲ آوریل با بولتن MS۱۷-۰۳۹ پوشش داده بود و علاوه بر این ویندوز را در برابر حملات مشابه با به‎روزرسانی منتشرشده در این هفته (MS16-062) تقویت کرده است.

محققان می‌گویند که مهاجمان در ابتدا سامانه‌های هدف را آلوده کرده و از طریق پیوست‌های آلوده اسناد در رایانامه‌های فیشینگ، به اجرای کد از راه دوردست می‎زنند و سپس از بهره‌برداری CVE-2016-0167 برای اجرای کد در سطح بالای دسترسی سامانه استفاده می‌کنند.

فایرآی این گروه و فعالیت‎های آن را در سال گذشته موردبررسی قرار داده است و مشخص کرده که این تنها گروه تهدیدی است که از بارگیری کننده PUNCHBUGGY و بدافزار پایانه فروش PUNCHTRACK در عملکردهای خود استفاده می‌کند.

محققان فایرآی در پست وبلاگ خود نوشته‌اند: «این عوامل تهدید، عملکردهای خود را در مقیاسی وسیع و با سرعتی بسیار بالا انجام می‌دهند که نشان‎دهنده سطحی از هوشیاری عملیاتی و توانایی سازگاری بالا است. این توانایی‌ها در ترکیب با استفاده‌ی هدفمند از بهره‌برداری افزایش سطح دسترسی و شناسایی‌های موردنیاز جداگانه برای ارسال رایانه‌های فیشینگ به قربانیان، بلوغ این گروه تهدید را در پیچیدگی آن‎ها در انجام عملیات‌ها نشان می‌دهد».

این تنها گروه پیچیده مجرمان سایبری نیست که به‌وسیله فایرآی بررسی‌شده‌اند. ماه گذشته، این شرکت فعالیت‌های یک گروه تهدید را با عنوان «FINE6» که میلیون‌ها سابقه کارت‌های پرداخت را از سامانه‌های پایانه فروش PoS سرقت می‌کردند، تشریح کرد. کارشناسان معتقد هستند که FINE6 می‌تواند سود قابل‌توجهی را با فروش اطلاعات به سرقت رفته در بازارهای زیرزمینی کسب کند.