براساس گزارش منتشر شده توسط شرکت امنیتی پالوآلتو نتورکز، بررسیهای جدید محققان نشان میدهد که کشورهای روسیه، چین، هلند، استرالیا و ایالات متحده آمریکا میزبان بیشترین نشانیهای اینترنتی مخرب و توزیعکنندههای ابزارهای نفوذ و بهرهبرداری هستند.
مطالعات پالوآلتو نشان میدهد که تعداد دامنههای مخرب میزبانی شده در ایالات متحده در سه ماهه دوم سال ۲۰۱۸، از ۲۵۷ مورد به ۲۴۸ دامنه کاهش یافته است. به جز هلند که در آن تعداد دامنههای مخرب در سه ماهه دوم، بیش از دو برابر شده است، در پنج کشور نخست معرفی شده، تعداد دامنههای مخربی که میزبانی میکردند کاهش یافته است. در میان این کشورها، تعداد دامنههای مخرب در چین کاهش چشمگیری داشته و از ۱۰۶ دامنهای که در سه ماهه اول وجود داشتند، تنها دو دامنه باقی ماندهاند. روسیه نیز کاهشی از ۲۰ مورد به دو دامنه را تجربه کرده است.
ابزارهای نفوذ و بهرهبرداری
براساس بررسیهای پالوآلتو، تنها چهار ابزار نفوذ و کیت بهرهبرداری «Exploit Kit» در سه ماهه دوم سال فعال بودند:
- Grandsof
- Sundown
- RIG
- KaiXin
همچنین آمریکا همچنان در صدر فهرست توزیعکنندگان کیت بهرهبرداری نیز قرار دارد. به گفته پالوآلتو، کیتهای Grandsoft ،Sundown و Rig با بیشترین استفاده در صدر قرار داشته و پس از آنها KaiXin در جایگاه بعد قرار دارد.
علاوه براین، ابزار KaiXin که به مدت بیش از چهار سال است به عنوان یک آسیبپذیری با شناسه CVE-2014-6332 در کاتالوگ سازمان ملی امنیت آمریکا دستهبندی میشود، در آسیا بهخصوص در چین و هنگکنگ محبوبیت بیشتری دارد.
آسیبپذیریهای قدیمی همچنان فعال هستند
مجرمان سایبری در مورد آسیبپذیریهایی که انتخاب میکنند، سختگیری خاصی به خرج نمیدهند. همینقدر که بتوانند تعداد زیادی از کامپیوترها را آلوده کنند برای آنها کافی است.
تحقیقات پالوآلتو نشان میدهد که کیتهای بهرهبرداری هنوز بر اشکالات امنیتی که ۹ سال پیش کشف شدهاند، تکیه دارند. به عنوان مثال میتوان از ۵۰ نشانی اینترنتی مخرب مختلف به ابزارهای نفوذی دسترسی پیدا کرد که با بهرهبرداری از آسیبپذیریهای CVE-2008-4844 و CVE-2009-0075 در اینترنت اکسپلورر ۵، ۶ و ۷ عمل میکنند.
همچنین آسیبپذیریهای CVE-2014-6332 ،CVE-2015-5122 و CVE-2016-0189 بیشترین استفاده را در سه ماهه دوم سال ۲۰۱۸ داشتهاند.
جدیدترین خطر امنیتی که در ابزارهای نفوذ و بهرهبرداری استفاده میشود CVE-2018-8174 است. این آسیبپذیری که یک اشکال اجرای کد در VBscript بهنام DoubleKill است، توسط فیشینگ Darkhotel APT در حملات روز صفر استفاده شده است.
در حوزه آسیبپذیریها، ثبات قابل ملاحظهای وجود دارد، بهطوری که فهرست آسیبپذیریهای مورد حمله در سه ماهه امسال با فهرست سه ماهه سال گذشته تقریبا مشابه است. تنها مورد قابل توجهی که به این فهرست اضافه شده، آسیبپذیری است که در حملات روز صفر استفاده میشود.
توضیحات بیشتر در: