تهدیدی جدید برای شهروندان ترکیه: بهره‌برداری از آسیب‌پذیری روز-صفرم فلش پلیر

مایکروسافت دو گروه APT مجزا با نام‌های پرومتیوم۱ و نئودیمیم۲ کشف کرده که هر دو گروه از آسیب‌پذیری روز-صفرم یکسان در فلش پلیر بر روی اهداف یکسان، بهره‌برداری می‌کنند. از این آسیب‌پذیری با شناسه‌ی CVE-۲۰۱۶-۴۱۱۷ در پویش‌های جاسوسی علیه شهروندان ترکیه‌ای و سایر شهروندان ترک در کشورهای اروپایی بهره‌برداری می‌شود. هر دوی این گروه‌ها قبل از افشای این آسیب‌پذیری به‌طور عمومی، از آن بهره‌برداری می‌کردند و قربانیان یکسانی را هدف قرار داده بودند.

قبلاً نیز در گزارش‌های کسپرسکی در خصوص فعالیت‌های گروه پرومتیوم که StrongPity نامیده می‌شد، خبرهایی را شنیدیم. در مهرماه گزارشی توسط کسپرسکی منتشر شد که گروه StrongPity در یک پویش جاسوسی، کاربران ایتالیایی و بلژیکی را هدفِ حمله‌ی watering holes قرار داده است.

کارشناسان متوجه شباهت‌هایی بین این دو گروه شدند و حدس زده می‌شود این دو گروه APT با هم در ارتباط هستند. این گروه‌ها از زیرساخت‌ها و بدافزارهای مختلفی استفاده می‌کنند ولی شباهت‌هایی بین آن‌ها در سطوح بالای سازمانی به چشم می‌خورد.

این آسیب‌پذیری در ۲۳ اردیبهشت توسط شرکت ادوبی وصله شد ولی کارشناسان بهره‌برداری از این آسیب‌پذیری را در کیت‌های بهره‌برداری مشاهده کرده‌اند. گروه پرومتیوم حداقل از سال ۲۰۱۲ فعال بوده است و نفوذگران از برنامه‌های پیام‌رسان در قالب بردار حمله استفاده کرده‌ و پیوندهای مخربی را که به بهره‌برداری از آسیب‌پذیری CVE-۲۰۱۶-۴۱۱۷ اشاره می‌کند، توزیع کرده‌اند. محققان مایکروسافت مشاهده کردند که مهاجمان از بدافزار ویژه‌ای با نام Truvasys استفاده کرده و کاربران ترکیه‌ای را هدف قرار داده‌اند.

در گزارش امنیتی مایکروسافت آمده است: «این حمله با دریافت پیوندهایی در کارخواه پیام‌رسان آغاز می‌شود. این پیوندها باعث باز شدن اسناد مخربی حاوی کد بهره‌برداری شده و بدافزار Truvasys را بر روی دستگاه قربانی اجرا می‌کند.» گروه پرومتیوم در حملات هدف‌مند خود از بدافزار دیگری با نام Myntor استفاده می‌کند.

گروه نئودیمیم از اردیبهشت ماه از آسیب‌پذیری CVE-۲۰۱۶-۴۱۱۷ از طریق پیام‌های فیشینگ بهره‌برداری می‌کند. این گروه دوم از یک دربِ پشتی با نام Wingbird استفاده می‌کند که بسیار شبیه به برنامه‌ی نظارتی FinFisher است.
اکثریت قریب به اتفاق قربانیان نئودیمیم در ترکیه (۸۰٪) واقع شده‌اند اما چند آلودگی نیز در آمریکا، آلمان و انگلستان تشخیص داده شده است.

۱. PROMETHIUM
۲. NEODYMIUM

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap