به تازگی خبر یک Zero-day خطرناک در مرورگر نه چندان محبوب اینترنت اکسپلورر منتشر شده است، خبری که به نظر می رسد نه تنها برای کاربران این مرورگر، بلکه برای هکرها نیز مهم بوده است. چند روز پس از انتشار به‌روزرسانی مایکروسافت برای رفع این آسیب‌پذیری، مهاجمان کمپینی را برای نفوذ به سیستم‌های آسیب‌پذیر و دسترسی به اطلاعات کاربران راه‌اندازی کردند. محققان امنیتی در طول تحقیقات خود متوجه وجود بدافزار پیشرفته مبتنی بر VBA در این حملات شدند که گزینه های زیادی مانند دسترسی به فایل های ذخیره شده در سیستم قربانی، بارگذاری و اجرای سربار مخرب را در اختیار مهاجمان قرار می دهد. یکی از روش های انتشار این اسب تروجان، همانطور که گفتیم، سوء استفاده از آسیب پذیری موجود در اینترنت اکسپلورر با شناسه مرجع CVE-2021-26411 است که البته اخیراً توسط مایکروسافت با ارائه به روز رسانی اصلاح شد، اما همچنان مهاجمان به دلیل سهل انگاری کاربر در حین نصب. آنها از اصلاحات امنیتی به موقع سوء استفاده کرده اند. با ما همراه باشید تا ببینید آیا شما قربانی این آسیب پذیری هستید یا خیر؟!

اگر به هر نحوی سندی به نام Manifest.docx دریافت کرده اید به هیچ وجه آن را باز نکنید زیرا مهاجمان کدهای مخربی را در این سند قرار داده اند تا بتوانند از Zero-day در مرورگر اینترنت اکسپلورر سیستم شما استفاده کرده و قرار دهند. یک در پشتی روی آن ایجاد و خرابکاری کنید. پس از این مرحله با انجام سیلک، RAT مذکور را در سیستم شما نصب می کنند.

مهاجمان فعال پشت اسب تروا از انگیزه های سیاسی برای فریب قربانیان استفاده کردند و محتوای سند مخرب خود را به عنوان اظهاراتی مغایر با سیاست های ولادیمیر پوتین قرار دادند. در این سند ادعا می کنند که پلتفرمی به نام مقاومت خلق ساخته اند و قصدشان مخالفت و رویاپردازی با پوتین رئیس جمهور روسیه است.

البته استفاده از آسیب‌پذیری‌ها در اینترنت اکسپلورر تنها راه انتشار این RAT نیست، مهاجمان نیز از مهندسی اجتماعی برای انتشار ماکرو آلوده استفاده کرده‌اند که مسئول انتشار این بدافزار است. این کمپین مخرب با استفاده از دو روش به طور همزمان موفق شد نرخ موفقیت بالاتری را به ارمغان بیاورد.

اگرچه هر دو روش از تزریق قالب آلوده برای نصب یک اسب تروا پیشرفته استفاده می کنند، اما همین مشکل و استفاده از دو روش برای رسیدن به این هدف، پیچیدگی نیت مهاجمان را در پشت این حملات نشان می دهد. البته این اغراق نیست، زیرا وقتی اهداف سیاسی تعیین می شود و این گروه ها توسط دولت ها حمایت می شوند، روش ها، بدافزارها و به طور کلی همه چیز پیچیده تر و پیشرفته تر می شود.

تروجان همچنین قادر به شناسایی راه حل های تشخیص بدافزار است و با استفاده از دستوراتی که از سرور راه دور دریافت می کند، می تواند از این راه حل ها پنهان شود و دستورات را روی سیستم قربانی دریافت و اجرا کند و نتایج را به سرورها برگرداند.

آسیب‌پذیری شناسایی‌شده در مرورگر IE شناسایی‌شده با شناسه مرجع CVE-2021-26411 توسط این کمپین به تنهایی یا با پوشش سیاسی مورد سوء استفاده قرار نگرفت. تیم مخرب Lazarus همچنین از این آسیب‌پذیری برای دسترسی به نتایج محققان امنیتی که بر روی این آسیب‌پذیری‌ها کار می‌کنند، استفاده می‌کنند. این گروه خرابکار که با دولت کره شمالی مرتبط است، قصد دارد در نتایج تحقیقات محققان، روزهای صفر بیشتری کسب کند تا بتواند حملات هدفمند بیشتری را انجام دهد.

اوایل فوریه امسال، آژانس امنیت سایبری کره شمالی ENKI اعلام کرد که چندین تلاش ناموفق برای استفاده از Zero Day علیه محققان خود انجام داده است. این آژانس می‌گوید فایل‌های MHTML آلوده را در تلاشی ارسال کرده است که پس از باز شدن، سربار مخرب را از یک سرور راه دور دانلود می‌کند، که یکی از آنها حاوی یک سوء استفاده برای استفاده از Zero-day در اینترنت اکسپلورر است.

علاوه بر این، محققان Malwareytes یک پنل مبتنی بر PHP به نام Ekipa کشف کردند که قربانیان را ردیابی کرده و به اطلاعات آنها دسترسی دارد. در این فرآیند، آنها از آسیب‌پذیری‌ها در اینترنت اکسپلورر سوء استفاده کرده و RAT را نصب می‌کنند.

آرمان داده پویان توصیه می کند برای مدیریت صحیح آسیب پذیری های سازمان خود از راهکارهایی مانند GFI Languard استفاده کنید تا بتوانید آسیب پذیری های شبکه را قبل از مشتریان خود شناسایی کرده و به موقع آن ها را اصلاح کنید. همچنین برای مشاوره و کسب اطلاعات بیشتر می توانید با کارشناسان ما تماس بگیرید.