در وصله های منتشر شده این ماه، مایکروسافت یک آسیب پذیری Zero-day در CLFS را رفع نمود که به صورت فعال توسط مهاجمان سایبری در حملات باج افزاری Nokoyawa مورد بهره برداری قرار گرفته است.
این آسیب پذیری با شماره CVE-2023-28252 شناخته شده است.
آسیب پذیری مذکور در همه ورژن های سروری و کلاینتی ویندوز وجود داشته و می تواند توسط مهاجمان به راحتی و بدون نیاز به دخالت کاربر مورد بهره برداری قرار گیرد. با بهره برداری موفق از این حفره امنیتی مهاجم می تواند به مجوزهای SYSTEM دسترسی پیدا کرده و کل سیستم ویندوز هدف را در معرض خطر قرار دهد.
لازم به ذکر است این آسیب پذیری در وصله های امنیتی ماه آپریل 2023 مایکروسافت رفع شده است و بهتر است در اسرع وقت نسبت به نصب به این به روز رسانی ها اقدام شود.
بهره برداری در حملات باج افزاری
محققان امنیتی کسپرسکی این آسیب پذیری را در حملات باج افزاری Nokoyawa رهگیری نموده اند.
آسیب پذیری CVE-2023-28252 در ماه فوریه پیرو بررسی های انجام شده روی برخی از تلاش های صورت گرفته برای بهره برداری از ویندوز سرورها در سازمانهای مختلف در خاورمیانه و شمال آمریکا کشف شده بود و در ورژن جدیدتر حملات باج افزاری Nokoyawa آن را شناسایی نمودند.
طبق گزارشات، این گروه باج افزاری از سال 2022 از سایر اکسپلویت های موجود در CLFS نیز استفاده نموده اند. این گروه حداقل از 5 اکسپلویت در CLFS بهره برداری کرده و سازمانهای مختلفی در زمینه صنایع، انرژی، تولیدی، سلامت و نرم افزاری را هدف حملات خود قرار داده است.
به علاوه مهاجمان سایبری بیش از پیش به بهره برداری از آسیب پذیری های zero-day روی آورده اند و با اینکه قبلا این حفره ها ابزاری برای APTها محسوب می شدند اما در حال حاضر مهاجمان سایبری منابعی برای دسترسی به اینگونه آسیب پذیری ها و استفاده روتین از آنها در حملات را دارند.
سیر تکاملی باج افزار
باج افزار Nokoyawa ابتدا در فوریه 2022 مشاهده شد که ویندوزهای 64 بیتی را هدف حملات خود قرار داده بود و فایل های حساس در شبکه های آسیب دیده را به سرقت برد و تهدید کرد که در صورت عدم پرداخت باج درخواستی آنها را به صورت آنلاین منتشر خواهد کرد.
این باج افزار کدی را با باج افزارهای JSWorm، Karma و Nemty به اشتراک گذاشت که مجددا در سپتامبر 2022 بازنویسی شد و به ورژن جداگانه ای از Nokoyawa تبدیل شد.
در این حمله مهاجمان سایبری از ورژن جدیدتر Nokoyawa استفاده نموده اند که از پایگاه داده JSWorm کاملا متمایز است.
منبع:
https://www.bleepingcomputer.com
