پشتیبانی 24/7 :

031-36691964 | 021-88203003

جستجو

سوء استفاده از آسیب‌پذیری روز صفر ویندوز در عملیات جاسوسی سایبری و ریسک بالای استفاده از ویندوزهای 7و 2008

تیتر مطالب

گروه Buhtrap اخیرا در حملات جاسوسی سایبری خود از یک آسیب‌پذیری روز صفر ویندوز بهره‌برداری کرده که این آسیب‌پذیری در به‌روزرسانی‌های ماه ژوئن ۲۰۱۹ توسط مایکروسافت رفع شده است.

به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer، نقص روز صفر مورد سوء استفاده توسط گروه Buhtrap یک آسیب‌پذیری افزایش سطح دسترسی محلی با شناسه CVE-۲۰۱۹-۱۱۳۲ است که در صورت بهره‌برداری موفق، مهاجم می‌تواند یک کد دلخواه در حالت کرنل را اجرا کند.
گروه Buhtrap در ابتدا موسسات و کسب و کارهای مالی را هدف قرار می‌داد، اما اخیرا این گروه به عملیات‌های جاسوسی سایبری می‌پردازد. پژوهشگران ESET عملیات‌های ماه اخیر این گروه را مورد بررسی قرار داده‌اند که در آن‌ها از آسیب‌پذیری روز صفر ویندوز در نسخه‌های قدیمی این سیستم‌عامل سوء استفاده شده است. طبق اعلام پژوهشگران، اکسپلویت CVE-۲۰۱۹-۱۱۳۲ نسخه‌های زیر را تحت تاثیر قرار می‌دهد:

•    Windows ۷ for ۳۲-bit Systems Service Pack ۱
•    Windows ۷ for x۶۴-based Systems Service Pack ۱
•    Windows Server ۲۰۰۸ for ۳۲-bit Systems Service Pack ۲
•    Windows Server ۲۰۰۸ for Itanium-Based Systems Service Pack ۲
•    Windows Server ۲۰۰۸ for x۶۴-based Systems Service Pack ۲
•    Windows Server ۲۰۰۸ R۲ for Itanium-Based Systems Service Pack ۱
•    Windows Server ۲۰۰۸ R۲ for x۶۴-based Systems Service Pack ۱

 

گروه Buhtrap به انجام عملیات‌های مخفیانه مشهور است. با این حال در فوریه سال ۲۰۱۶ کد منبع درپشتی آن‌ها به طور عمومی منتشر شد و باعث توزیع گسترده آن در میان عوامل تهدید شد. این گروه در ادامه ابزارهای بیشتری را به Toolkit خود اضافه کرد و همانطور که پیش‌تر اشاره شد، حملات خود را به انجام عملیات‌های جاسوسی سایبری گسترش داد. بدلیل در دسترس عموم قرار داشتن کد منبع ابزارهای گروه Buhtrap، نسبت دادن چنین عملیات‌هایی به این گروه کار دشواری است، اما فرایندها و تکنیک‌های مشابه گذشته در حملات استفاده شده است.
در ادامه نشانه‌های آلودگی (IoC) عملیات جاسوسی سایبری گروه Buhtrap ارائه شده است:

هش‌ها:

•    CBC۹۳A۹DD۷۶۹DEE۹۸FFE۱F۴۳A۴F۵CADAF۵۶۸E۳۲۱
•    ۲F۲۶۴۰۷۲۰CCE۲F۸۳CA۲F۰۶۳۳۳۳۰F۱۳۶۵۱۳۸۴DD۶A
•    E۰F۳۵۵۷EA۹F۲BA۴F۷۰۷۴CAA۰D۰CF۳B۱۸۷C۴۴۷۲FF
•    C۱۷C۳۳۵B۷DDB۵C۸۹۷۹۴۴۴EC۳۶AB۶۶۸AE۸E۴E۰A۷۲
•    ۹c۳۴۳۴ebdf۲۹e۵a۴۷۶۲afb۶۱۰ea۵۹۷۱۴d۸be۲۳۹۲

سرورهای C&C:

•    https://hdfilm-seyret[.]com/help/index.php
•    https://redmond.corp-microsoft[.]com/help/index.php
•    dns://win۱۰.ipv۶-microsoft[.]org
•    https://services-glbdns۲[.]com/FIGm۶uJx۰MhjJ۲ImOVurJQTs۰rRv۵Ef۲UGoSc
•   https://secure-telemetry[.]net/wp-login.php

 

منابع :

http://www.afta.gov.ir

https://www.bleepingcomputer.com

https://www.welivesecurity.com