هشدارهای افتایی
گروه Buhtrap اخیرا در حملات جاسوسی سایبری خود از یک آسیب‌پذیری روز صفر ویندوز بهره‌برداری کرده که این آسیب‌پذیری در به‌روزرسانی‌های ماه ژوئن 2019 توسط مایکروسافت رفع شده است.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer، نقص روز صفر مورد سوء استفاده توسط گروه Buhtrap یک آسیب‌پذیری افزایش سطح دسترسی محلی با شناسه CVE-2019-1132 است که در صورت بهره‌برداری موفق، مهاجم می‌تواند یک کد دلخواه در حالت کرنل را اجرا کند.
گروه Buhtrap در ابتدا موسسات و کسب و کارهای مالی را هدف قرار می‌داد، اما اخیرا این گروه به عملیات‌های جاسوسی سایبری می‌پردازد. پژوهشگران ESET عملیات‌های ماه اخیر این گروه را مورد بررسی قرار داده‌اند که در آن‌ها از آسیب‌پذیری روز صفر ویندوز در نسخه‌های قدیمی این سیستم‌عامل سوء استفاده شده است. طبق اعلام پژوهشگران، اکسپلویت CVE-2019-1132 نسخه‌های زیر را تحت تاثیر قرار می‌دهد:
•    Windows 7 for 32-bit Systems Service Pack 1
•    Windows 7 for x64-based Systems Service Pack 1
•    Windows Server 2008 for 32-bit Systems Service Pack 2
•    Windows Server 2008 for Itanium-Based Systems Service Pack 2
•    Windows Server 2008 for x64-based Systems Service Pack 2
•    Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
•    Windows Server 2008 R2 for x64-based Systems Service Pack 1

گروه Buhtrap به انجام عملیات‌های مخفیانه مشهور است. با این حال در فوریه سال 2016 کد منبع درپشتی آن‌ها به طور عمومی منتشر شد و باعث توزیع گسترده آن در میان عوامل تهدید شد. این گروه در ادامه ابزارهای بیشتری را به Toolkit خود اضافه کرد و همانطور که پیش‌تر اشاره شد، حملات خود را به انجام عملیات‌های جاسوسی سایبری گسترش داد. بدلیل در دسترس عموم قرار داشتن کد منبع ابزارهای گروه Buhtrap، نسبت دادن چنین عملیات‌هایی به این گروه کار دشواری است، اما فرایندها و تکنیک‌های مشابه گذشته در حملات استفاده شده است.
در ادامه نشانه‌های آلودگی (IoC) عملیات جاسوسی سایبری گروه Buhtrap ارائه شده است:
هش‌ها:
•    CBC93A9DD769DEE98FFE1F43A4F5CADAF568E321
•    2F2640720CCE2F83CA2F0633330F13651384DD6A
•    E0F3557EA9F2BA4F7074CAA0D0CF3B187C4472FF
•    C17C335B7DDB5C8979444EC36AB668AE8E4E0A72
•    9c3434ebdf29e5a4762afb610ea59714d8be2392
سرورهای C&C:
•    https://hdfilm-seyret[.]com/help/index.php
•    https://redmond.corp-microsoft[.]com/help/index.php
•    dns://win10.ipv6-microsoft[.]org
•    https://services-glbdns2[.]com/FIGm6uJx0MhjJ2ImOVurJQTs0rRv5Ef2UGoSc
•    https://secure-telemetry[.]net/wp-login.php


منابع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.