بهره‌برداری از آسیب‌پذیری روز-صفرم مایکروسافت آفیس توسط نفوذگران ایرانی علیه رژیم صهیونیستی

کمیته رکن چهارم – یک شرکت امنیتی مدعی شده است یک آسیب‌پذیری روز-صفرم در مایکروسافت آفیس که اخیراً وصله شده است، توسط نفوذگران ایرانی علیه سازمان‌های رژیم صهیونیستی مورد بهره‌برداری قرار گرفته است. این شرکت می‌گوید در بازه‌ی ۱۹ تا ۲۴ ماه آوریل در پویشی، نفوذگران ایرانی از آسیب‌پذیری با شناسه‌ی CVE-۲۰۱۷-۰۱۹۹ با اهداف سیاسی بهره‌برداری کرده‌اند.

به گزارش کمیته رکن چهارم،این آسیب‌پذیری در مایکروسافت آفیس وجود داشت و اوایل همین ماه وصله شده بود در حالی‌که اینک در دنیای واقعی شاهد بهره‌برداری از آن هستیم. به‌دلیل اینکه بسیاری از سازمان‌ها نیز در اسرع وقت وصله‌ها را اعمال نکرده‌اند، نفوذگران توانسته‌اند به حملات خود ادامه دهند. این حملات سازمان‌های مختلف در رژیم صهیونیستی را هدف قرار داده و از طریق رایانامه‌هایی که به کاربران ارسال می‌شد، این آسیب‌پذیری مورد بهره‌برداری قرار می‌گرفت.

این رایانامه‌ها به‌طور ویژه به سمت کاربران در دانشگاه بن-گوریون که یکی از مراکز امنیت سایبری است ارسال شده است. مهاجم از کد اثبات مفهومی این آسیب‌پذیری که پس از وصله‌ی آن منتشر شده بود استفاده کردند تا با بهره‌برداری از آسیب‌پذیری، نسخه‌ی بدونِ پرونده‌ی تروجان Helminth را توزیع کنند.

محققان امنیتی اشاره کردند که سازمان‌های سطح بالای این رژیم از جمله سازمان‌های فناوری، پزشکی و آمورزش و پرورش، قربانیان این حمله بوده‌اند. آن‌ها همچنین این حملات را به یک گروه نفوذ ایرانی نسبت دادند که مسئول پویش بدافزاری OilRig هستند. در بررسیِ بدافزار بدونِ پرونده‌ی Helminth، محققان نزدیکی بسیار زیادی را با بدافزار OilRig کشف کردند. گفته می‌شد بدافزار OilRig نزدیک به ۱۴۰ سازمان در خاورمیانه را هدف حمله قرار داده است.

محققان امنیتی همچنین اشاره کردند که نفوذگران این گروه، از ماکروهای مخرب در اسناد اکسل و ورد به سمت بهره‌برداری از آسیب‌پذیری‌ها متمایل شده‌اند. این گروه نفوذ، حملات خود را بسیار سریع انجام داده چرا که احتمال دارد بازه‌ی زمانی بین افشاء آسیب‌پذیری و وصله‌ی آن توسط کاربران بسیار کوتاه باشد.

در این آسیب‌پذیری از یک سند RTF جعلی استفاده می‌شود که به محض باز شدن آن، یک پرونده‌ی HTML بارگیری شده که بار داده‌ی مخرب و نهایی را بر روی دستگاه قربانی بارگیری و نصب می‌کند. مایکروسافت در تاریخ ۱۱ آوریل با انتشار به‌روزرسانی‌های امنیتی، این آسیب‌پذیری را وصله کرده است ولی گفته می‌شود فرآیند وصله کردن پیش از حملات نفوذگران انجام نشده است.

منبع:security week