بهره‌برداری هکرهای گروه Fruity Armor از آسیب‌پذیری روز صفر در ویندوز

براساس خبرهای منتشر شده، آسیب‌پذیری روز صفر جدیدی که در ویندوز اصلاحیه‌های امنیتی آن هفته گذشته توسط مایکروسافت منتشر شد، توسط هکرها مورد بهره‌برداری قرار گرفته است. به گفته کسپرسکی، هکرهای Fruity Armor APT با بهره‌جویی از این آسیب‌پذیری موفق به انجام حملات علیه نهادهای مستقر در خاورمیانه شده‌اند.

حدود دو ماه پیش، یک آسیب‌پذیری روز صفر توسط متخصصان آزمایشگاه کسپرسکی شناسایی و سپس به شرکت مایکروسافت گزارش شد که هفته گذشته، اصلاحیه‌های امنیتی آن به‌صورت عمومی برای سیستم عامل ویندوز منتشر شد.

این آسیب‌‌پذیری در ویندوز که با شناسه CVE-2018-8453 ثبت شده است، باعث می‌شود تا مهاجمان با بهره‌جویی از ضعف‌های نرم‌افزاری در ویندوز، به سطح دسترسی بالاتر در دستگاه قربانیان خود دست یابند.

اما بررسی‌های جدید کسپرسکی نشان می‌دهد که آسیب‌پذیری CVE-2018-8453 توسط یک گروه APT معروف با نام FruityArmor مورد سوءاستفاده قرار گرفته است؛ گروهی که اولین بار در سال ۲۰۱۶ هنگامی که فعالان، محققان و افراد مربوط به سازمان‌های دولتی را هدف قرار داده بود، شناسایی شد.

 

هکرهای گروه FruityArmor

به گفته کسپرسکی، در ماه آگوست ۲۰۱۸، سامانه شناسایی و مقابله با اکسپلویت‌های این شرکت، موفق به تشخیص تلاش‌هایی در جهت بهره‌برداری از یک ضعف در سیستم مدیریت مایکروسافت ویندوز شد که هدف اصلی آن، بدست آوردن سطح دسترسی بالاتر در نسخه‌های مختلف ویندوز، از جمله ویندوز ۱۰ معرفی شده است.

حملاتی که طی آن از یک «درب‌ پشتی» اختصاصی استفاده شده بود که پیش از این توسط گروه FruityArmor مورد استفاده قرار گرفته بود. همچنین هم‌پوشانی در زیرساخت‌های سرورهای فرمان و کنترل مهاجمان و تشابه آن با حملات پیشین FruityArmor، نمایانگر حضور فعال این گروه در حملات شناسایی شده است.

متخصصان کسپرسکی بر این باورند که فعالیت‌های FruityArmor از دو سال گذشته تاکنون پیشرفت چشمگیری داشته و در حملات جدید خود، ۱۲ نهاد مسقر در خاورمیانه را مورد هدف قرار داده است.

به گفته محققان این آسیب‌پذیری روز صفر شباهت زیادی با یکی از آسیب‌پذیری‌های قدیمی‌ در ویندوز با شناسه CVE-2017-0263 دارد که توسط مایکروسافت در ماه می ۲۰۱۷ اصلاح شده بود که پیش از اصلاح آن، توسط گروه سایبری APT28 وابسته به روسیه مورد سوء‌استفاده قرار گرفته بود.

 

 

توضیحات بیشتر در:

-  Zero-day exploit (CVE-2018-8453) used in targeted attacks