حملات فیشینگی PowerPool به ویندوز
کد مطلب: 14476
تاریخ انتشار : دوشنبه ۱۹ شهريور ۱۳۹۷ ساعت ۱۲:۵۴
 
کارشناسان امنیت سایبری درباره حملات گروه PowerPool به ویندوز با استفاده از پیام‌های فیشینگی خبر دادند.
حملات فیشینگی PowerPool به ویندوز
 
 
Share/Save/Bookmark
کارشناسان امنیت سایبری درباره حملات گروه PowerPool به ویندوز با استفاده از پیام‌های فیشینگی خبر دادند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به تازگی کارشناسان امنیتی ESET عامل تهدیدی را با نام PowerPool شناسایی کرده‌اند که از آسیب‌پذیری جدید روز صفر ویندوز سوءاستفاده می‌کند. حملات PowerPool از طریق پیام‌های فیشینگ انجام شده‌است.

این آسیب‌پذیری در روز ۲۷ آگوست (۵ شهریور) توسط یک پژوهشگر امنیتی کشف شد که کد اکسپلویت این آسیب‌پذیری را به‌صورت عمومی منتشر کرد.

آسیب‌پذیری سیستم‌عامل ویندوز را تحت‌تاثیر قرار می‌دهد که یک مهاجم با دسترسی محلی می‌تواند برای افزایش دسترسی در یک سیستم از آن سوء‌استفاده کند. آسیب‌پذیری در رابط (Advanced Local Procedure Call (ALPC ویندوز قرار دارد.

طبق برنامه مایکروسافت، انتظار می‌رود این آسیب‌پذیری در به‌روزرسانی‌های ماه سپتامبر در روز یازدهم این ماه میلادی برطرف شود، اما گزارش‌های حملات انجام‌گرفته توسط این آسیب‌پذیری ممکن است مایکروسافت را وادار به ارائه هرچه زودتر وصله آن کند. با این حال اخیرا یک وصله غیررسمی توسط patch0 برای این آسیب‌پذیری منتشر شد.

همان‌طور که پیش‌بینی می‌شد، به تازگی حمله‌ای با سوءاستفاده از این نقص انجام شده است. بر اساس گزارش ESET، گروهی با نام PowerPool از این آسیب‌پذیری افزایش سطح دسترسی بهره برده‌است. این گروه تعداد کمی از کاربران را هدف قرار داده و بر اساس اطلاعات ESET، کشورهای شیلی، آلمان، هند، فیلیپین، لهستان، روسیه، بریتانیا، امریکا و اوکراین مورد هدف قرار گرفته‌اند.

توسعه‌دهندگان PowerPool از کد اکسپلویت منتشر شده استفاده کردند و آن را از نو کامپایل کردند. برای حصول افزایش دسترسی محلی، مهاجمان باید از فایلی استفاده کنند که به‌طور خودکار با دسترسی مدیریت اجرا می‌شود. از این رو آنها از فایل به‌روزرسانی‌کننده رسمی گوگل، C:\Program Files (x86)\Google\Update\GoogleUpdate.exe، استفاده کردند.

آنها از بدافزار چندمرحله‌ای استفاده کردند. بدافزار مرحله اول یک در پشتی است که فعالیت‌های جاسوسی را انجام می‌دهد تا جذاب بودن ماشین آلوده‌شده برای ادامه حمله را شناسایی کند. سپس در پشتی دیگری در مرحله دوم بارگیری می‌شود که از دستورهای مختلفی برای بارگذاری و بارگیری فایل، متوقف کردن فرایندهای پردازشی و استخراج لیست پوشه‌ها پشتیبانی می‌کند.

ابزارهای استفاده‌شده توسط مهاجمان PowerDump ،PowerSploit ،SMBExec ،Quark PwDump و FireMaster هستند.

IoCها:
هش‌ها:
SHA-۱ نوع
۰۳۸f۷۵dcf۱e۵۲۷۷۵۶۵c۶۸d۵۷fa۱f۴f۷b۳۰۰۵f۳f۳ در پشتی مرحله اول
۲۴۷b۵۴۲af۲۳ad۹c۶۳۶۹۷۴۲۸c۷b۷۷۳۴۸۶۸۱aadc۹a در پشتی مرحله اول
۰۴۲۳۶۷۲fe۹۲۰۱c۳۲۵e۳۳f۲۹۶۵۹۵fb۷۰dcd۸۱bcd۹ در پشتی مرحله دوم
b۴ec۴۸۳۷d۰۷ff۶۴e۳۴۹۴۷۲۹۶e۷۳۷۳۲۱۷۱d۱c۱۵۸۶ در پشتی مرحله دوم
۹dc۱۷۳d۴d۴f۷۴۷۶۵b۵fc۱e۱c۹a۲d۱۸۸d۵۳۸۷beea ALPC LPE exploit

سرورهای C&C:
newsrental[.]net •
rosbusiness[.]eu •
afishaonline[.]eu •
sports-collectors[.]com •
مرجع : مرکز مدیریت راهبردی افتا