کارشناسان امنیت سایبری درباره حملات گروه PowerPool به ویندوز با استفاده از پیامهای فیشینگی خبر دادند.
منبع : مرکز مدیریت راهبردی افتا
کارشناسان امنیت سایبری درباره حملات گروه PowerPool به ویندوز با استفاده از پیامهای فیشینگی خبر دادند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به تازگی کارشناسان امنیتی ESET عامل تهدیدی را با نام PowerPool شناسایی کردهاند که از آسیبپذیری جدید روز صفر ویندوز سوءاستفاده میکند. حملات PowerPool از طریق پیامهای فیشینگ انجام شدهاست.
این آسیبپذیری در روز ۲۷ آگوست (۵ شهریور) توسط یک پژوهشگر امنیتی کشف شد که کد اکسپلویت این آسیبپذیری را بهصورت عمومی منتشر کرد.
آسیبپذیری سیستمعامل ویندوز را تحتتاثیر قرار میدهد که یک مهاجم با دسترسی محلی میتواند برای افزایش دسترسی در یک سیستم از آن سوءاستفاده کند. آسیبپذیری در رابط (Advanced Local Procedure Call (ALPC ویندوز قرار دارد.
طبق برنامه مایکروسافت، انتظار میرود این آسیبپذیری در بهروزرسانیهای ماه سپتامبر در روز یازدهم این ماه میلادی برطرف شود، اما گزارشهای حملات انجامگرفته توسط این آسیبپذیری ممکن است مایکروسافت را وادار به ارائه هرچه زودتر وصله آن کند. با این حال اخیرا یک وصله غیررسمی توسط patch0 برای این آسیبپذیری منتشر شد.
همانطور که پیشبینی میشد، به تازگی حملهای با سوءاستفاده از این نقص انجام شده است. بر اساس گزارش ESET، گروهی با نام PowerPool از این آسیبپذیری افزایش سطح دسترسی بهره بردهاست. این گروه تعداد کمی از کاربران را هدف قرار داده و بر اساس اطلاعات ESET، کشورهای شیلی، آلمان، هند، فیلیپین، لهستان، روسیه، بریتانیا، امریکا و اوکراین مورد هدف قرار گرفتهاند.
توسعهدهندگان PowerPool از کد اکسپلویت منتشر شده استفاده کردند و آن را از نو کامپایل کردند. برای حصول افزایش دسترسی محلی، مهاجمان باید از فایلی استفاده کنند که بهطور خودکار با دسترسی مدیریت اجرا میشود. از این رو آنها از فایل بهروزرسانیکننده رسمی گوگل، C:\Program Files (x86)\Google\Update\GoogleUpdate.exe، استفاده کردند.
آنها از بدافزار چندمرحلهای استفاده کردند. بدافزار مرحله اول یک در پشتی است که فعالیتهای جاسوسی را انجام میدهد تا جذاب بودن ماشین آلودهشده برای ادامه حمله را شناسایی کند. سپس در پشتی دیگری در مرحله دوم بارگیری میشود که از دستورهای مختلفی برای بارگذاری و بارگیری فایل، متوقف کردن فرایندهای پردازشی و استخراج لیست پوشهها پشتیبانی میکند.
ابزارهای استفادهشده توسط مهاجمان PowerDump ،PowerSploit ،SMBExec ،Quark PwDump و FireMaster هستند.
IoCها: هشها: SHA-۱ نوع ۰۳۸f۷۵dcf۱e۵۲۷۷۵۶۵c۶۸d۵۷fa۱f۴f۷b۳۰۰۵f۳f۳ در پشتی مرحله اول ۲۴۷b۵۴۲af۲۳ad۹c۶۳۶۹۷۴۲۸c۷b۷۷۳۴۸۶۸۱aadc۹a در پشتی مرحله اول ۰۴۲۳۶۷۲fe۹۲۰۱c۳۲۵e۳۳f۲۹۶۵۹۵fb۷۰dcd۸۱bcd۹ در پشتی مرحله دوم b۴ec۴۸۳۷d۰۷ff۶۴e۳۴۹۴۷۲۹۶e۷۳۷۳۲۱۷۱d۱c۱۵۸۶ در پشتی مرحله دوم ۹dc۱۷۳d۴d۴f۷۴۷۶۵b۵fc۱e۱c۹a۲d۱۸۸d۵۳۸۷beea ALPC LPE exploit