بهرهبرداری از آسیبپذیری روز صفر ویندوز: حملات هدفمند علیه سازمانهای دفاعی و دولتی
آسیبپذیریهای روز صفر همیشه بهعنوان یکی از جدیترین تهدیدات در دنیای امنیت سایبری شناخته میشوند. این آسیبپذیریها که قبل از انتشار وصلهای برای اصلاح آنها توسط هکرها مورد بهرهبرداری قرار میگیرند، میتوانند خسارات جبرانناپذیری به سازمانها و کسبوکارها وارد کنند. یکی از این آسیبپذیریها که اخیراً کشف شده و تحت بهرهبرداری قرار گرفته است، آسیبپذیری CVE-2023-36884 در سیستمعامل ویندوز و محصولات آفیس مایکروسافت است.
معرفی آسیبپذیری CVE-2023-36884
آسیبپذیری CVE-2023-36884 یکی از تازهترین تهدیدات امنیتی است که توسط مایکروسافت در تاریخ 11 جولای 2023 اعلام شد. این آسیبپذیری در سیستمعامل ویندوز و محصولات آفیس مایکروسافت وجود دارد و به مهاجمان این امکان را میدهد تا با ایجاد یک سند آفیس مخرب، به اجرای کدهای مخرب از راه دور در سیستم قربانی دست بزنند. نکته قابل توجه این است که برای بهرهبرداری از این آسیبپذیری، قربانی باید فایل مخرب را باز کند، که این مسئله باعث شده است که این حملات بهطور خاص هدفمند باشند.
چگونه این آسیبپذیری بهرهبرداری میشود؟
بر اساس گزارشهای منتشر شده توسط مایکروسافت، این آسیبپذیری توسط یک گروه تهدید به نام Storm-0978 (که با نام RomCom نیز شناخته میشود) مورد بهرهبرداری قرار گرفته است. این گروه حملاتی را علیه سازمانهای دولتی و دفاعی در اروپا و آمریکای شمالی انجام داده است. حملات با استفاده از اسناد مایکروسافت ورد انجام شده است که بهگونهای طراحی شدهاند که به نظر میرسد اطلاعاتی در مورد کنگره جهانی اوکراین ارائه میدهند.
این حملات ابتدا توسط شرکت بلکبری در تاریخ 8 جولای 2023 مستند شد، جایی که مشخص شد هدف این حملات میهمانان نشست ناتو بودند. در آن زمان، هنوز مشخص نبود که از آسیبپذیری روز صفر در این حملات استفاده شده است.
شناخت گروه Storm-0978 (RomCom)
گروه Storm-0978 که با نام RomCom نیز شناخته میشود، یکی از گروههای تهدید مرتبط با روسیه است که در فعالیتهای جاسوسی و جنایت سایبری دست دارد. این گروه نام خود را از طریق استفاده از تروجان دسترسی از راه دور (RAT) به نام RomCom کسب کرده است.
این گروه بهشدت با گروه دیگری که توسط شرکت Symantec با نام Hawker شناخته میشود، مرتبط است. گروه Hawker توسعهدهنده باجافزار Cuba است. آژانس امنیت سایبری و زیرساختهای ایالات متحده (CISA) اعلام کرده است که احتمالاً ارتباطاتی بین Hawker، RomCom و گروههای فعال در حوزه باجافزار Industrial Spy وجود دارد. همچنین، گزارشی که سال گذشته توسط شرکت Palo Alto منتشر شد، نشان میدهد که گروه RomCom (که در آن گزارش با نام Tropical Scorpius معرفی شده است) از تروجان RomCom برای انتقال باجافزار Cuba به قربانیان خود استفاده کرده است.
اگرچه ارتباط قوی بین گروههای Storm-0978 (RomCom) و Hawker وجود دارد، هنوز مشخص نیست که آیا این دو گروه یکی هستند یا خیر.
شدت آسیبپذیری CVE-2023-36884
تا زمانی که وصلهای برای این آسیبپذیری منتشر نشود، سازمانها باید تمامی استراتژیهای کاهش ریسک ممکن را به کار بگیرند. هرچند که این آسیبپذیری تاکنون فقط در حملات هدفمند مورد بهرهبرداری قرار گرفته است، اما خبر انتشار این آسیبپذیری بدون شک سایر مهاجمان را به تکرار این حملات تحریک خواهد کرد.
راهکارهای محافظتی و کاهش ریسک
سیمانتک بهعنوان یکی از بزرگترین شرکتهای امنیت سایبری در جهان، راهکارهایی برای محافظت در برابر این آسیبپذیری ارائه کرده است. این راهکارها شامل موارد زیر میباشد:
محافظت در برابر حملات ایمیلی: محصولات امنیت ایمیل سیمانتک پوشش لازم را در برابر این تهدیدات فراهم میکنند.
محافظت در برابر فایلهای مخرب: محصولات امنیتی سیمانتک قادر به شناسایی و مسدود کردن فایلهای مخرب مانند Trojan.Mdropper و WS.Malware.1 هستند.
محافظت در سطح شبکه: سیمانتک از طریق محصولات شبکهای خود مانند WebPulse، ترافیکهای مخرب را شناسایی و مسدود میکند.
محافظت در سطح وب: دامنهها و آیپیهای مرتبط با این حملات توسط سیمانتک شناسایی و در دستهبندیهای امنیتی محصولات WebPulse قرار داده شدهاند.
سیمانتک همچنان در حال بررسی بیشتر این آسیبپذیری و امکان ارائه محافظتهای بیشتر است و ممکن است امضاهای جدیدی را برای شناسایی این تهدیدات ارائه دهد.
آلما شبکه نماینده رسمی آنتی ویروس سیمانتک، با مدیریت آقای وحید فوائدی، آماده ارائه کلیه لایسنس های امنیتی شرکت سیمانتک در ایران می باشد.
آسیبپذیری CVE-2023-36884 نمونهای از تهدیدات پیچیدهای است که سازمانها در دنیای دیجیتال امروزی با آن مواجه هستند. این آسیبپذیری که در حملات هدفمند علیه سازمانهای دولتی و دفاعی در اروپا و آمریکای شمالی مورد بهرهبرداری قرار گرفته است، نشاندهنده اهمیت بهروزرسانی مداوم سیستمها و استفاده از راهکارهای امنیتی قدرتمند است. سازمانها باید علاوه بر انتظار برای انتشار وصلهای از سوی مایکروسافت، از تمامی راهکارهای کاهش ریسک موجود استفاده کنند تا از خطرات ناشی از این آسیبپذیری در امان بمانند.
