یک آسیبپذیری اجرای کد از راه دور در مجموعه نرمافزاری مایکروسافت آفیس مربوط به واسطهای OLE در ماه آوریل سال جاری وصله شد. اما اکنون مهاجمان در بخشهای مختلفی همچنان از این آسیبپذیری بهرهبرداری میکنند. پژوهشگران امنیتی کمپین بدافزاری جدیدی را شناسایی کردند که از همین آسیبپذیری بهرهبرداری میکند و حمله با استفاده از یک پیوست آلوده در رایانامههای فیشینگ آغاز میشود. محصولات شرکت مایکروسافت از قبیل آفیس ۲۰۰۷ سرویسپک ۳، آفیس ۲۰۱۰ سرویسپک ۲، آفیس ۲۰۱۳ سرویسپک ۱، آفیس ۲۰۱۶، ویندوز ویستا سرویسپک ۲، ویندوز سرور ۲۰۰۸ سرویسپک ۲، ویندوز هفت سرویسپک ۱ و ویندوز ۸٫۱ دارای این آسیبپذیری هستند. فایل مخرب، یک اکسپلویت از آسیبپذیری CVE-2017-0199 را هدف قرار میدهد که روند آلودگی را آغاز میکند. در نتیجه کد مخرب با استفاده از ویژگیهای انیمیشنهای پاورپوینت اجرا میشود و یک فایلِ لوگو را دانلود مینماید. فایل logo.doc کدهای XML و Javascript را در بر میگیرد که پاورشل را برای اجرای فایلی به نام RATMAN.EXE به راه میاندازد – یک نسخه تروجانی از ابزار دسترسی از راه دور Remcos – که سپس به سرور فرماندهی و کنترل وصل میشود. هنگامیکه سیستم راهاندازی میشود، Remcos قادر است با استفاده از ریسک ماشین آلوده نسبت به کیلاگینگ، اسکرینلاگینگ، رکوردهای وبکم و میکروفن و همچنین دانلود و اجرای بدافزارهای دیگر، عملیات مخرب زیادی را انجام دهد. در واقع مهاجم یک کنترل کامل بر دستگاه آلوده – بدون آگاهی دارندۀ دستگاه – بدست میآورد. با توجه به گزارش پژوهشگران، اولین بار هست که اکسپلویتی برای هدف قرار دادن کاربران محصول پاورپوینت مایکروسافت و انتشار تروجان از طریق آن مورد استفاده قرار میگیرد.
گستردگی جغرافیایی:
تمامی کاربران محصولات مایکروسافت به این حمله آسیبپذیر هستند.
راهکارهای پیشگیری و مقابله:
تنها راه جلوگیری از آلوده شدن به این بدافزارها بهروزرسانی مایکروسافت و اعمال وصله منتشر شده برای این آسیبپذیری در این آدرس میباشد.
منابع:
🌏: Microsoft
🌏: ZDNet
🌏: Security Week
🇮🇷: کاشف
در اطلاعیه مرکز ماهر آمده است: در هفته های اخیر، گزارشات متعددی از حمله باج افزارها به سرورهای ویندوزی ازجمله چندین سامانه بیمارستانی در کشور واصل شده است که خسارات جبران ناپذیری به بار آورده است. بررسی های فنی نشان داده که در بسیاری از این حملات، مهاجمان با سوءاستفاده از دسترسی به سرویس دسترسی از راه دور در سیستم عامل ویندوز که مبتنی بر پروتکل RDP است، وارد شده، آنتی ویروس نصب شده را غیرفعال می کنند و با انتقال فایل باج افزار، اقدام به رمزگزاری فایل های سرور می کنند. حتی در مواردی، مشاهده شده است که مهاجمان، با صرف زمان کافی و پس از کسب شناخت و انجام انواع دیگری از سوء استفاده های ممکن، زمان و الگوی انجام پشتیبان گیری از اطلاعات را نیز شناسایی کرده و موفق به انجام حملات باج افزاری بی نقص شده اند.
بر پایۀ گزارشی که شرکت «بیت دیفندر» همین هفته منتشر کرده است، گروه تهدید دارک هتل با استفاده از روش هایی تازه در حمله های خود، سراغ کارکنان دولتی رفته است و اکنون، بر کشور کره شمالی متمرکز شده است. فعالیت های گروه دارک هتل در نوامبر ۲۰۱۴ – هنگام نشر گزارش کسپرسکی – آشکار شد. گروه یادشده، آن زمان به مسافران تجاری در منطقه آسیا-اقیانوس آرام حمله کرده بود. تقریباً یک دهه از فعالیت گروه یادشده می گذرد و برخی پژوهشگران معتقدند که اعضای آن کره ای هستند. مهاجمان این گروه با استفاده از روش های گوناگونی، مانند: وای فای هتل، بهره جویی های روز-صفرم و وبگاه های به اشتراک گذاری نظیر به نظیر به قربانیان حمله می کند و تقریباً یک سال پیش دیدیم که روش تازه ای را نیز به کار گرفته است و یک بهره جویی اش از نهاد سازنده جاسوس افزار در ایتالیا، با نام: Hacking Team افشاء شد. دارک هتل در چندین کشور، مانند: کره شمالی، روسیه، کره جنوبی، ژاپن، بنگلادش، تایلند، تایوان، چین، آمریکا، هند، موزامبیک، اندونزی و آلمان قربانیانی داشته است؛ اگرچه تا همین نزدیکی ها، چنین می پنداشتیم که حمله هایش روی مدیران شرکت، پژوهشگران و کارکنان توسعه از بخش های گوناگون، مانند: پایگاه صنعت دفاعی، نظامی، انرژی، دولت، سازمان های غیردولتی، تولید الکترونیک، داروسازی و پزشکی متمرکز شده است.
به تازگی، به «بای ثام» -یکی از بازارهای بزرگ ارزهای مجازی – بیت کوین و “Ether” – رخنه شده است. پس از اینکه حساب های کاربری در این بازار به خطر افتادند، ارز مجازی به ارزش یک/۱ میلیون دلار در اثر این حادثه از دست رفته است. این بازار یکی از مراکز مبادله ارز مجازی در کره جنوبی است که بیست/۲۰ درصد از سهم بازار “Ether” و ده/۱۰ درصد از سهم بیت کوین را در دست دارد. هم اینک، این بازار چهارمین دارندۀ بیت کوین و نخستین دارندۀ «اثِرِم» جهان به شمار می رود. هفته گذشته، به این بازار رخنه شد و به بسیاری از حساب های کاربری حمله شد و موجودی شان را – بالغ بر یک/۱ میلیون دلار – ربودند. در این رخنه از یکی از حساب ها نزدیک به ده/۱۰ میلیون وون – واحد پول کره جنوبی – در قالب بیت کوین ربوده شده است. افزون بر ربودن ارز مجازی در این حمله، اطلاعات شخصی نزدیک به ۳۱۸۰۰ کاربر را نیز از وبگاه “Bithumb” ربوده شد. این اطلاعات، دربردارندۀ: نام، رایانشانی و شمارۀ تلفن همراه بوده اند. با این حال شرکت “Bithumb” مدعی شده است که تنها بر سه/۳ درصد از مشتریان از این رخنه تأثیر گرفته اند.
