استفاده مهاجمان از آسیب‌پذیری روز-صفرم اینترنت اکسپلورر برای دوری از محققان امنیتی

یکی از آسیب‌پذیری‌های روز-صفرم اینترنت اکسپلورر که سه‌شنبه‌ی هفته گذشته وصله شد در پویش‌های تبلیغاتی مورد استفاده قرار گرفته و به مهاجمان کمک می‌کند تا از تحلیل‌های خودکار و محققان امنیتی دوری کنند.

 

این ماه مایکروسافت کلاً ۴ آسیب‌پذیری روز-صفرم را معرفی کرد که شامل یک مشکل افشای اطلاعات در اینترنت اکسپلورر (CVE-۲۰۱۶-۳۲۹۸) بود که از روش مدیریت اشیاء در حافظه ناشی می‌شد. این شرکت اعلام کرد مهاجم می‌تواند با هدایت قربانی به یک وب‌گاه جعلی، از این آسیب‌پذیری بهره‌برداری کرده و بررسی کند که چه پرونده‌هایی بر روی حافظه‌ی دیسک وجود دارد.

 

شرکت امنیتی Proofpoint که محققان این شرکت این آسیب‌پذیری را به مایکروسافت گزارش دادند، می‌گوید این آسیب‌پذیری در مقیاس وسیع در پویش‌های تبلیغاتی توسط عاملان تهدید با نام‌های AdGholas و GooNky مورد بهره‌برداری قرار گرفته است.

محققان ابتدا این آسیب‌پذیری را به عنوان تهدیدی از طرف پویش تبلیغاتی GooNky بررسی کردند که کاربرانی در فرانسه را هدف قرار داده بود اما آن‌ها بر این باورند که در حال حاضر این آسیب‌پذیری توسط کمپین AdGholas تقویت شده است.

 

وقتی که کیت بهره‌برداری Angler ناپدید شد، گروه GooNky به عملیات خود با استفاده از کیت Neutrino ادامه دادند. پس از چند از این مهاجرت، بهره‌برداری جدیدی با شناسه‌ی CVE-۲۰۱۶-۳۲۹۸ به کیت Neutrino اضافه شد. 

همین گروه‌ها آسیب‌پذیری CVE-۲۰۱۶-۳۳۵۱ را نیز مورد بهره‌برداری قرار دادند، آسیب‌پذیری مشابهی که مرورگر اینترنت اکسپلورر و Edge را تحت تأثیر قرار می‌داد و ماه گذشته توسط مایکروسافت وصله شد. محققان اشاره می‌کنند که این آسیب‌پذیری از سال ۲۰۱۴ در پویش‌های تبلیغاتی استفاده می‌شد.

 

این دو آسیب‌پذیری افشای اطلاعات به مجرمان سایبری این امکان را داده است تا مطمئن شوند، سامانه‌ای که هدف قرار داده‌اند متعلق به محققان امنیتی نیست.

مهاجمان بررسی‌های نوع MIME را نیز انجام داده‌اند تا مشخص کنند آیا پرونده‌های نوع خاصی وجود دارد که محققان از آن استفاده کرده باشند و این پرونده‌ها متعلق به یک نرم‌افزار خاص باشد. آن‌ها وجود پرونده‌هایی با پسوند py ،.pcap. و saz. را بررسی می‌کنند و اگر پرونده‌ای پیدا کردند تشخیص می‌دهند که محیط یک محیط تحلیلی است. در برخی موارد مشاهده شده که مهاجمان وجود پرونده‌هایی با پسوند mkv. و doc. را نیز بررسی کرده‌اند تا متوجه شوند که آیا سامانه متعلق به یک کاربر عادی است یا خیر.

 

شرکت Proofpoint در پستی توضیح داده است: «عاملان تهدید به سمت نقص‌هایی تغییر موضع داده‌اند که بیشتر بر روی کاربران سطح بالا همچون محققان، شرکت‌ها و جعبه‌شنی تمرکز دارد که می‌توانند حضور این عاملان را شناسایی و تحلیل کنند. آسیب‌پذیری‌های افشای اطلاعات همچون CVE-۲۰۱۶-۳۲۹۸ و CVE-۲۰۱۶-۳۳۵۱ به مهاجمان این امکان را می‌دهد تا بسته به نوع برنامه‌های امنیتی و پیکربندی‌های موجود در محیط‌های تحقیقات امنیتی، عملیات خود را مسدود کنند.»