استفاده از نرم‌افزار ساخت اسناد آلوده در حملات APT د ر شرق آسیا

محققان شرکت مهندسی امنیت شبکه و تیم پاسخ Arbor (ASERT) ابزاری را شناسایی کرده‌اند که اعتقاد دارند در حملات تهدید پیشرفته (APT) مورد استفاده قرار می‌گرفته است و سازمآن‌های مختلفی را در شرق آسیا هدف قرار داده است.
تحلیلی که از چندین حادثه از مجموعه‌ای بزرگتری از فعالیت‌ها صورت گرفته است کارشناسان را متقاعد کرده که اسناد متنی مخرب RTF در فعالیت‌ این مهاجمان در حملات به کار رفته‌اند که همه آن‌ها توسط یک سازنده ایجاد شده‌اند.
این حملات به وسیله ASERT به عنوان بخشی از حملات APT مورد تجزیه و تحلیل قرار گرفته است که جامعه تبتیان و گروه‌های حقوق بشری را در تایوان و هنگ‌کنگ و اویغورها را هدف قرار داده‌اند.
این عملیات‌ها با استفاده از ابزارهای بدافزاری معروفی چون Kivars PlugX ،Gh۰stRAT T۹۰۰۰ ،Graber و Agent.XST صورت گرفتند.
به گفته محققان، ارسال این تهدیدات عمدتاً از راه رایانامه‌های فیشینگ به قربانیان انجام می‌شد و شامل یک سند RTF با پسوند .doc بوده است.
جالب است که هر کدام از این پرونده‌ها طوری تنظیم شده بودند که از دو تا چهار آسیب‌پذیری سوء‌استفاده کنند و محققان شبکه آربور بر این باور هستند که آن‌ها ممکن است توسط یک نرم‌افزار ساخت سند مسلح شده که «شمشیر چهار عنصری» نام گرفته ساخته شده باشند.
نرم‌افزار شمشیر چهار عنصری یا Four Element Sword قادر است تا کدهایی را جاسازی کند که بتواند از آسیب‌پذیری‌های اجرای کد دلخواه در نرم‌افزارهای مختلف مایکروسافت آفیس سوء‌استفاده کند. دو مورد از این حفره‌ها، CVE-۲۰۱۲-۰۱۵۸ و CVE-۲۰۱۲-۱۸۵۶ اول بار در سال ۲۰۱۰ کشف شدند و مایکروسافت در سال ۲۰۱۲ آن‌ها را اصلاح کرد، در حالیکه دو مورد دیگر CVE-۲۰۱۵-۱۶۴۱ و CVE-۲۰۱۵-۱۷۷۰ سال گذشته وصله شده‌اند. در حالی‌که برخی از این بهره‌برداری‌ها بسیار قدیمی هستند، محققان تصور می‌کنند که آن‌ها هنوز هم می‌توانند علیه برخی از گروه‌های مشخص که از سامانه‌های قدیمی استفاده می‌کنند، مورد استفاده قرار گیرند.

در هر ۱۲ حمله‌ای که مورد تجزیه و تحلیل قرار گرفته‌اند، شرکت آربور ارتباطاتی را با بدافزار و زیرساخت‌های مشاهده شده در حملات قبلی یافته است.
انواع متفاوت این اهداف، و قطعات بدافزاری استفاده شده در زیرساخت‌ و ارتباطات با حملات گذشته‌ای همپوشانی داشته‌اند که به چین مرتبط بوده است. ASERT شواهدی یافته است که این حملات در حال استفاده از اسناد RTF آلوده هستند.
به گفته محققان نرم‌افزار سندساز شمشیر چهار عنصری همچنین به وسیله مجرمان سایبری نیز مورد استفاده قرار می‌گیرد. در عملیات‌های مجرمان سایبری که به وسیله این شرکت امنیتی دیده شده‌اند، و قرار است در گزارش آینده جزییات مربوط به آن ارائه شود، در هر سند ۲ یا سه آسیب‌پذیری آفیس مورد بهره‌برداری قرار می‌گیرد.
همزمان با گزارش ASERT آزمایشگاه دانشگاه شهروندان تورنتو از جزییات یک حمله جاسوسی سایبری پرده برداشت که علیه فعالان دموکراسی در هنگ‌کنگ صورت می‌گرفته است. این عملیات که به وسیله آزمایشگاه شهروندان شرح داده شده است، به فعالیت‌های مربوط به تهدیدات نمایش داده شده توسط ASERT پیوند دارند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.