انتشار شده در تاریخ 1404/03/21 - 14:32

سوءاستفاده از آسیب‌پذیری روز صفر ویندوز در حمله به ترکیه

مایکروسافت وصله‌ای امنیتی برای یک آسیب‌پذیری روز صفر در ویندوز منتشر کرده است؛ این آسیب‌پذیری توسط یک گروه هکری شناخته‌شده که دولت‌ها در آفریقا و خاورمیانه را هدف قرار می‌دهد، مورد سوءاستفاده قرار گرفته است.

به گزارش کارگروه امنیت خبرگزاری سایبربان، این باگ توسط پژوهشگران شرکت امنیت سایبری چک پوینت (Check Point) کشف شد.

این شرکت در روز سه‌شنبه با انتشار یک پست وبلاگی اعلام کرد که حین بررسی یک حمله سایبری ناکام در ماه مارس علیه «یک سازمان دفاعی بزرگ در ترکیه» متوجه این آسیب‌پذیری شده‌اند.

مایکروسافت این آسیب‌پذیری را با کد CVE-2025-33053 شناسایی و آن را به عنوان بخشی از به‌روزرسانی‌های امنیتی ماه ژوئن (Patch Tuesday) ترمیم کرد.

این آسیب‌پذیری مربوط به ابزاری در ویندوز به نام نوشتن و نسخه‌بندی توزیع‌شده وب (Web Distributed Authoring and Versioning) یا همان WebDAV است.

WebDAV افزونه‌ای برای HTTP است که به کاربران امکان مدیریت و ویرایش فایل‌ها روی یک سرور راه‌دور را می‌دهد.

این ابزار در سیستم عامل ویندوز، در مرورگرهای اینترنت اکسپلورر (Internet Explorer) و اج (Edge) وجود دارد و معمولاً در سیستم‌های مدیریت اسناد، پلتفرم‌های همکاری و ابزارهای قدیمی اشتراک‌گذاری فایل استفاده می‌شود.

این آسیب‌پذیری با امتیاز شدت بالا 8.8 از 10 به فهرست آسیب‌پذیری‌های مورد سوءاستفاده آژانس امنیت سایبری و زیرساخت آمریکا (CISA) اضافه شده است.

مایکروسافت اعلام کرد که برای سوءاستفاده از این آسیب‌پذیری، کاربر باید روی یک لینک خاص کلیک کند.

شرکت چک پوینت توضیح داد که این عملیات با یک فایل .url آغاز شده که به‌صورت یک فایل پی دی اف (PDF) مربوط به آسیب تجهیزات نظامی جعل شده بود.

این فایل احتمالاً از طریق ایمیل فیشینگ ارسال شده و به مهاجمان اجازه می‌داد بدون جلب توجه، کدهایی را از یک سرور راه‌دور اجرا کنند.

در این حمله، مهاجمان از ابزارهای سفارشی‌سازی‌شده‌ای به نام‌های هوروس ایجنت (Horus Agent) و هوروس لودر (Horus Loader) استفاده کردند که هدف آن‌ها جاسوسی سایبری و دور زدن ابزارهای امنیتی بوده است.

چک پوینت این حمله را به گروه هکری استیلث فالکون (Stealth Falcon) نسبت داد؛ گروهی که سابقه همکاری نزدیک با دولت امارات متحده عربی را دارد و در ده‌ها مورد جاسوسی سایبری علیه دولت‌های خاورمیانه و آفریقا نقش داشته است.

این گروه به استفاده از ایمیل‌های فیشینگ هدفمند علیه نهادهای دولتی و نظامی در کشورهایی چون ترکیه، قطر، مصر و یمن معروف است.

چک پوینت تأکید کرد که استیلث فالکون طی سال‌ها با بهره‌گیری از اکسپلویت‌های روز صفر و ابزارهای پیچیده‌ی سفارشی، عملیات جاسوسی سایبری در منطقه را انجام داده است.

با اینکه برخی عوامل صنعت سایبری این گروه را به دولت امارات نسبت داده‌اند، اما چک پوینت گفته که شخصاً چنین انتسابی نمی‌کند.

این شرکت در وبلاگ خود نوشت:

امروزه، استیلث فالکون به خاطر استفاده از اکسپلویت‌های روز صفر، بدافزارهای سفارشی، و مکانیزم‌های پیچیده تحویل شناخته می‌شود؛ نشانه‌های کلاسیک یک گروه ای پی تی (APT) با منابع قابل توجه.

به گفته‌ی چک پوینت، این گروه همچنان در حال پیشرفت است و با ترکیب اکسپلویت روز صفر CVE-2025-33053، ابزارهای قانونی، بارگذارهای چندمرحله‌ای و ایمپلنت‌های اختصاصی، کارزاری مقاوم و پیشرفته را دنبال می‌کند.