حدود دو ماه پیش، یک آسیبپذیری روز صفر توسط متخصصان آزمایشگاه کسپرسکی شناسایی و سپس به شرکت مایکروسافت گزارش شد که هفته گذشته، اصلاحیههای امنیتی آن بهصورت عمومی برای سیستم عامل ویندوز منتشر شد.
این آسیبپذیری در ویندوز که با شناسه CVE-2018-8453 ثبت شده است، باعث میشود تا مهاجمان با بهرهجویی از ضعفهای نرمافزاری در ویندوز، به سطح دسترسی بالاتر در دستگاه قربانیان خود دست یابند.
اما بررسیهای جدید کسپرسکی نشان میدهد که آسیبپذیری CVE-2018-8453 توسط یک گروه APT معروف با نام FruityArmor مورد سوءاستفاده قرار گرفته است؛ گروهی که اولین بار در سال ۲۰۱۶ هنگامی که فعالان، محققان و افراد مربوط به سازمانهای دولتی را هدف قرار داده بود، شناسایی شد.
هکرهای گروه FruityArmor
به گفته کسپرسکی، در ماه آگوست ۲۰۱۸، سامانه شناسایی و مقابله با اکسپلویتهای این شرکت، موفق به تشخیص تلاشهایی در جهت بهرهبرداری از یک ضعف در سیستم مدیریت مایکروسافت ویندوز شد که هدف اصلی آن، بدست آوردن سطح دسترسی بالاتر در نسخههای مختلف ویندوز، از جمله ویندوز ۱۰ معرفی شده است.
حملاتی که طی آن از یک «درب پشتی» اختصاصی استفاده شده بود که پیش از این توسط گروه FruityArmor مورد استفاده قرار گرفته بود. همچنین همپوشانی در زیرساختهای سرورهای فرمان و کنترل مهاجمان و تشابه آن با حملات پیشین FruityArmor، نمایانگر حضور فعال این گروه در حملات شناسایی شده است.
متخصصان کسپرسکی بر این باورند که فعالیتهای FruityArmor از دو سال گذشته تاکنون پیشرفت چشمگیری داشته و در حملات جدید خود، ۱۲ نهاد مسقر در خاورمیانه را مورد هدف قرار داده است.
به گفته محققان این آسیبپذیری روز صفر شباهت زیادی با یکی از آسیبپذیریهای قدیمی در ویندوز با شناسه CVE-2017-0263 دارد که توسط مایکروسافت در ماه می ۲۰۱۷ اصلاح شده بود که پیش از اصلاح آن، توسط گروه سایبری APT28 وابسته به روسیه مورد سوءاستفاده قرار گرفته بود.
توضیحات بیشتر در:
- Zero-day exploit (CVE-2018-8453) used in targeted attacks