هشدارهای مایکروسافت درباره‌ی CVE-2017-11882

CVE-2017-11882

ماکروسافت در مورد گروه جدیدی که با استفاده از آسیب‌پذیری‌های سال 2017 شروع به فعالیت کردند به کاربرانش هشدار داد. این غول کامیپوتری در توییتر خود عنوان کرده است:

“آسیب پذیری CVE-2017-11882 در سال 2017 برطرف شد، اما ما هنوز هم  تعداد زیادی گزارش مبنی بر سوء استفاده از آن  مشاهده می‌کنیم. به طور مشخص، در چند هفته گذشته شاهد افزایش آن بودیم. و به شدت اعمال بروز رسانی‌های امنیتی را توصیه می‌کنیم.”

“در این کمپین جدید، فایل RTF چندین سند از انواع مختلف را برای دانلود کدمخرب بارگیری و اجرا می کند (سند VB، PowerShell، PHP، و غیره). پس از آن  با ایجاد در پشتی، تلاش می کند تا به یک دامنه مخرب متصل شود و فرمان‌ها مرکز کنترل را دریافت کند.”

اگر چه دامنه شناسایی شده در حال حاضر مسدود شده است ولی هکرها در آینده ممکن است حمله را برای اتصال به یک دامنه‌ی تغییر دهند و  دانلود کد‌های مخرب دیگری را نیز به آن اضاغه کند و شدت خسارت وارده را بالا ببرند.(سرقت اطلاعات بانکی، احراز هویت، حملات انکار سرویس و …)

آنتی ویروس Office 365 atp ایمیل ها و پیوست های استفاده شده در این کمپین را شناسایی می‌کند و آنها را به عنوان اکسپلویتO97M/CVE-2017-11882.AD  و کد مخرب را به عنوان تروجان MSIL/Cretasker معرفی می‌کند. تیم امنیتی Redmond اضافه کرد:

“پاک‌سازی‌های دیگر، مثل قوانین کاهش سطح حمله نیز از این آسیب‌پذیری جلوگیری میکند.”

در گزارش‌ها آمده است که بیشتر سوء استفاده را APT34 که یک گروه جاسوسی سایبری است داشته و تنها در هفته گذشته حملات زیادی با بدافزار (در پشتی) Hawkball انجام داده است. همچنین برای گسترش بدافزار  Cobalt  و RAT  استفاده شده است که از پیام رسان محبوب تلگرام برای فرمان کنترل آن (C & C) استفاده می‌شود.

Microsoft Warns of Campaign Exploiting 2017 Bug