سواستفاده هکرها از نقص MSHTML برای جاسوسی از اهداف دولتی و دفاعی

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir hackers exploited mshtml flaw to spy on government and defence targets 1
محققان امنیت سایبری روز سه‌شنبه به یک کمپین جاسوسی چند مرحله‌ای که با هدف قرار دادن مقامات بلندپایه دولتی ناظر بر سیاست امنیت ملی و افراد در صنعت دفاع در غرب آسیا اقدام به فعالیت می‌کرد، پایان دادند.

ترلیکس-Trellix (شرکتی جدید که پس از ادغام شرکت‌های امنیتی McAfee Enterprise و FireEye ایجاد شد) در گزارشی که با هکر نیوز به اشتراک گذاشته شده است گفت: "این حمله منحصربه‌فرد است زیرا از Microsoft OneDrive به عنوان یک سرورcommand-and-control (C2) استفاده می‌کند و به شش مرحله تقسیم می‌شود تا حد الامکان پنهان بماند".

در ادامه Trellix توضیح داد: "این نوع ارتباط به بدافزار اجازه می‌دهد تا در سیستم‌های قربانیان مورد توجه قرار نگیرد، زیرا فقط به دامنه‌های قانونی مایکروسافت متصل می‌شود و ترافیک شبکه مشکوکی را از خود نشان نمی‌دهد".

گفته می‌شود اولین نشانه‌های فعالیت مرتبط با این عملیات مخفی در اوایل ۱۸ ژوئن ۲۰۲۱، با دو قربانی در ۲۱ و ۲۹ سپتامبر و پس از آن ۱۷ قربانی دیگر در یک بازه زمانی کوتاه سه روزه بین ۶ و ۸ اکتبر آغاز شد.

ظاهراً Trellix حملات پیچیده را با سطح متوسط به گروه APT28 مستقر در روسیه نسبت داد که همچنین با نام‌های Sofacy، Strontium، Fancy Bear و Sednit شناخته می‌شود و بر اساس شباهت‌ها در کد منبع و همچنین در شاخص‌های حمله و اهداف ژئوپلیتیکی معرفی و دنبال می‌شوند.
takian.ir hackers exploited mshtml flaw to spy on government and defence targets 2
مارک الیاس، محقق امنیتی Trellix گفت: "بر اساس نحوه راه‌اندازی زیرساخت‌ها، کدگذاری بدافزار و عملیات، ما کاملاً مطمئن هستیم که با یک عامل سایبری بسیار ماهر روبرو هستیم".

زنجیره آلودگی با اجرای یک فایل مایکروسافت اکسل حاوی یک اکسپلویت برای آسیب‌پذیری اجرای کد راه دور MSHTML (CVE-۲۰۲۱-۴۰۴۴۴) آغاز می‌شود، که برای اجرای یک باینری مخرب استفاده می‌شود و به عنوان دانلودکننده یک بدافزار مرحله سوم به اسم گرافیت نام گرفته است.

فایل اجرایی DLL از OneDrive به عنوان سرور C2 از طریق Microsoft Graph API استفاده می‌کند تا بدافزار مرحله‌ای اضافی را بازیابی کند که در نهایت Empire را دانلود و اجرا می‌کند و یک فریمورک متن‌باز پس از بهره‌برداری مبتنی بر PowerShell به طور گسترده توسط عوامل تهدید برای فعالیت‌های بعدی مورد سواستفاده قرار می‌گیرد.

در هر صورت، این توسعه نشان‌دهنده بهره‌برداری مداوم از نقص موتور رندر MSTHML است؛ و Microsoft و SafeBreach Labs کمپین‌های متعددی را افشا می‌کنند که آسیب‌پذیری را برای نصب بدافزار و توزیع‌کننده‌های سفارشی Cobalt Strike Beacon فعال و استفاده کرده‌اند.

برچسب ها: Microsoft OneDrive, ترلیکس, Empire, OneDrive, Microsoft Graph API, Sednit, Sofacy, Strontium, McAfee Enterprise, Trellix, APT28, Cobalt Strike Beacon, MSHTML, اکسل, Cobalt Strike, DLL, PowerShell, command and control, cybersecurity, Microsoft, کمپین بزرگ هکینگ, malware, جاسوسی, مایکروسافت, روسیه, Fancy Bear, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ