شماره: IRCNE2015042484
تاريخ: 02/01/94
FireEye اخيرا حمله اي را كشف كرده است كه توسط كمپين جاسوسي سايبري روسي راه اندازي شده واز يك رخنه جديد در مايكروسافت و آسيب پذير هاي zero-day فلش سوء استفاده مي كنند.
آسيب پذيري فلش CVE-2015-3043 مي باشد كه زماني مي توان آن سوء استفاده كرد كه قرباني بر روي لينكي از يك وب سايت مخرب كه تحت كنترل هكرها است كليك نمايد. حامل HTML/JS حاوي كد سوء استفاده است و زماني كه كد shell اجرا شد و يك فايل اجرايي را بر روي سيستم ويندوز راه اندازي كرد، بنا به نوع سيستم مبني بر 32 يا 64 بيتي بودن، كد سوء استفاده مورد نظر را ارسال مي كند. سپس براي سرقت توكن هاي سيستم از يك رخنه در ويندوز با شناسه CVE-2015-1701 سوء استفاده مي كند.
رخنه CVE-2015-1701، يك آسيب پذيري افزايش سطح دسترسي مي باشد. كد سوء استفاده مربوط به آن ابتدا با استفاده از اين آسيب پذيري داده ها را قبل از اجراي كد ازSystem استخراج كرده و با اجراي كد kernel، مهاجم قادر خواهد بود تا توكن هاي سيستم را به سرقت ببرد و دسترسي معادل دسترسيSystem داشته باشد. در اين حمله بدافزاري از خانواده بدافزارهاي CHOPSTICK و CORESHELL مورد استفاده قرار مي گيرد.
FireEye اعلام كرد كه با توجه به فناوري به كار رفته در اين حمله و زيرساخت سرور كنترل و فرمان، به احتمال زياد APT28 مسئول اين حمله مي باشد.
در حال حاضر اصلاحيه اي براي آسيب پذيري كشف شده در ويندوز وجود ندارد اما مايكروسافت در حال كار بر روي انتشار يك اصلاحيه براي اين آسيب پذيري مي باشد. اين مشكل ويندوز 8 و نسخه هاي بالاتر از آن را تحت تاثير قرار نمي دهد. هم چنين توصيه مي شود تا آخرين نسخه از نرم افزار ادوب فلش نصب شود.
- 3