کمیته رکن چهارم – محققان امنیتی یک پویش حملهی چند مرحلهای جدید را کشف کردهاند که از بهرهبرداریهای آژانس امنیت ملی آمریکا (NSA) استفاده میکند تا دستگاههای قربانیان را با یک بدافزار استخراج مونرو تحت تاثیر قرار دهد.
این حمله با پویش برای کارگزارهای آسیبپذیر آغاز میشود: به خصوص کارگزارهایی که در برابر آسیبپذیری آپاچی استراتس با شناسهی CVE-۲۰۱۷-۵۶۳۸ که منجربه نشت اطلاعاتی در Equifax شد، و آسیبپذیری بستر مدیریت محتوای DotNetNuke با شناسهی CVE-۲۰۱۷-۹۸۲۲ آسیبپذیر هستند.
در صورتی که یک دستگاه ویندوز شناسایی شود، مهاجمان دو روش بهرهبرداری مرتبط با آژانس امنیت ملی آمریکا (NSA) را اجرا میکنند که در اوایل سال جاری توسط نفوذگران دولتی روسیه به نام کارگزاران سایه «Shadow Brokers» افشاء شدند.
بهرهبرداریهای EternalSynergy و EternalBlue به مهاجمان کمک میکند تا در شبکههای هدف توزیع شوند. سپس یک عامل پاورشل بسیار مبهم مستقر میشود تا بار کاری نهایی برای استخراج مونرو نصب شود.
برای دستگاههای لینوکس، یک عامل پایتون مبتنیبر چارچوب پس از بهرهبرداری به نام EmpireProject استفاده میشود تا بار کاری استخراج ارز مجازی مونرو نصب شود.
دو کارشناس به نامهای Maxim Zavodchik و Liron Segal از شرکت F۵ Networks گفتند: «به نظر میرسد، Zealot اولین پویشی است که از بهرهبرداریهای آژانس امنیت ملی آمریکا برای توزیع در شبکههای داخلی استفاده میکند و پویشهای بدافزاری دیگری مانند ناتپتیا و باجافزار گریه، و همچنین پویش بدافزار استخراج ارز مجازی به نام Adylkuzz وجود دارند که به طور مستقیم در اینترنت برای پروتکلهای بلوک پیام کارگزار (SMB) پویش میکنند تا با استفاده از ابزارهای آژانس امنیت ملی آمریکا، که توسط گروه نفوذ کارگزاران سایه افشاء شدند، از سامانههای قربانی بهرهبرداری کنند.»
این کارشناسان افزودند: «با این حال به نظر میرسد که پویش Zealot از بردارهای حملهی جدیدی استفاده میکند، از طریق آسیبپذیریهای برنامههای کاربردیِ وب به طور خودکار بدافزارها را در شبکههای داخلی توزیع میکند. سطح پیچیدگی که ما در حال حاضر در پویش Zealot مشاهده میکنیم، ما را به این باور میرساند که این پویش توسط عاملان تهدید سطح بالایی توسعه یافته است.»
دانشمند ارشد اطلاعاتی شرکت نرمافزاری Rapid۷، باب رادیس، به سازمانها هشدار داد که ۱۰۰ درصد این احتمال وجود دارد که نفوذگران در آینده نیز به دنبال راهاندازی چنین حملاتی باشند.
او افزود: «سازمانها برای محافظت خود باید دانش کاملی دربارهی فناوریهای داخلی و خارجی خود داشته باشند و وصلههای ارائهشده برای نرمافزارها و برنامههای خود را دنبال کنند.»
او گفت: «سازمانها باید وصلههای ارائهشده را با بیشترین سرعت ممکن اعمال کنند یا از کنترلهای دسترسی به شبکه و سامانه استفاده کنند تا سامانههای که نمیتوانند وصله شوند را از دیگر سامانهها جدا کنند. در این مورد، سازمانها باید سامانههایی که در برابر آسیبپذیریهای CVE-۲۰۱۷-۵۶۳۸ و CVE-۲۰۱۷-۹۸۲۲ آسیبپذیر هستند را پیدا کرده و بلافاصله آنها را وصله کنند.»
منبع : news.asis.io
