استفاده مهاجمان از آسیبپذیری روز-صفرم اینترنت اکسپلورر برای دوری از محققان امنیتی
یکی از آسیبپذیریهای روز-صفرم اینترنت اکسپلورر که سهشنبهی هفته گذشته وصله شد در پویشهای تبلیغاتی مورد استفاده قرار گرفته و به مهاجمان کمک میکند تا از تحلیلهای خودکار و محققان امنیتی دوری کنند.
این ماه مایکروسافت کلاً ۴ آسیبپذیری روز-صفرم را معرفی کرد که شامل یک مشکل افشای اطلاعات در اینترنت اکسپلورر (CVE-۲۰۱۶-۳۲۹۸) بود که از روش مدیریت اشیاء در حافظه ناشی میشد. این شرکت اعلام کرد مهاجم میتواند با هدایت قربانی به یک وبگاه جعلی، از این آسیبپذیری بهرهبرداری کرده و بررسی کند که چه پروندههایی بر روی حافظهی دیسک وجود دارد.
شرکت امنیتی Proofpoint که محققان این شرکت این آسیبپذیری را به مایکروسافت گزارش دادند، میگوید این آسیبپذیری در مقیاس وسیع در پویشهای تبلیغاتی توسط عاملان تهدید با نامهای AdGholas و GooNky مورد بهرهبرداری قرار گرفته است.
محققان ابتدا این آسیبپذیری را به عنوان تهدیدی از طرف پویش تبلیغاتی GooNky بررسی کردند که کاربرانی در فرانسه را هدف قرار داده بود اما آنها بر این باورند که در حال حاضر این آسیبپذیری توسط کمپین AdGholas تقویت شده است.
وقتی که کیت بهرهبرداری Angler ناپدید شد، گروه GooNky به عملیات خود با استفاده از کیت Neutrino ادامه دادند. پس از چند از این مهاجرت، بهرهبرداری جدیدی با شناسهی CVE-۲۰۱۶-۳۲۹۸ به کیت Neutrino اضافه شد.
همین گروهها آسیبپذیری CVE-۲۰۱۶-۳۳۵۱ را نیز مورد بهرهبرداری قرار دادند، آسیبپذیری مشابهی که مرورگر اینترنت اکسپلورر و Edge را تحت تأثیر قرار میداد و ماه گذشته توسط مایکروسافت وصله شد. محققان اشاره میکنند که این آسیبپذیری از سال ۲۰۱۴ در پویشهای تبلیغاتی استفاده میشد.
این دو آسیبپذیری افشای اطلاعات به مجرمان سایبری این امکان را داده است تا مطمئن شوند، سامانهای که هدف قرار دادهاند متعلق به محققان امنیتی نیست.
مهاجمان بررسیهای نوع MIME را نیز انجام دادهاند تا مشخص کنند آیا پروندههای نوع خاصی وجود دارد که محققان از آن استفاده کرده باشند و این پروندهها متعلق به یک نرمافزار خاص باشد. آنها وجود پروندههایی با پسوند py ،.pcap. و saz. را بررسی میکنند و اگر پروندهای پیدا کردند تشخیص میدهند که محیط یک محیط تحلیلی است. در برخی موارد مشاهده شده که مهاجمان وجود پروندههایی با پسوند mkv. و doc. را نیز بررسی کردهاند تا متوجه شوند که آیا سامانه متعلق به یک کاربر عادی است یا خیر.
شرکت Proofpoint در پستی توضیح داده است: «عاملان تهدید به سمت نقصهایی تغییر موضع دادهاند که بیشتر بر روی کاربران سطح بالا همچون محققان، شرکتها و جعبهشنی تمرکز دارد که میتوانند حضور این عاملان را شناسایی و تحلیل کنند. آسیبپذیریهای افشای اطلاعات همچون CVE-۲۰۱۶-۳۲۹۸ و CVE-۲۰۱۶-۳۳۵۱ به مهاجمان این امکان را میدهد تا بسته به نوع برنامههای امنیتی و پیکربندیهای موجود در محیطهای تحقیقات امنیتی، عملیات خود را مسدود کنند.»