يستخدم المتسللون الذين ترعاهم الدولة خطأ Microsoft “Follina” لاستهداف الكيانات في أوروبا والولايات المتحدة.

0

يستخدم المتسللون الذين ترعاهم الدولة خطأ Microsoft “Follina” لاستهداف الكيانات في أوروبا والولايات المتحدة. تم ربط عنصر تهديد مشتبه به متحالف مع الدولة بموجة جديدة من الهجمات التي تستهدف الكيانات الحكومية في أوروبا والولايات المتحدة باستخدام ثغرة أمنية في Microsoft Office “Follina”.

قالت شركة Proofpoint ، وهي شركة لأمن المؤسسات ، إنها منعت محاولات استغلال خطأ تنفيذ التعليمات البرمجية عن بُعد CVE-2022-30190 (درجة CVSS: 7.8). تلقت الأهداف أكثر من 1000 رسالة تصيد تحتوي على مستند إغراء.

أوضحت الشركة في سلسلة تغريدات: “تظاهرت هذه الحملة بأنها زيادة في الرواتب واستخدمت RTF مع تحميل الاستغلال الذي تم تنزيله من 45.76.53 [.] 253”.

الحمولة ، التي تأخذ شكل برنامج PowerShell النصي ، يتم ترميزها باستخدام Base64 وتعمل بمثابة أداة تنزيل لبرنامج نصي PowerShell ثانٍ من خادم بعيد يُعرف باسم “إشعار البائع [.] مباشر.”

“يتحقق هذا البرنامج النصي من المحاكاة الافتراضية ، ويسرق المعلومات من المتصفحات المحلية ، وعملاء البريد ، وخدمات الملفات ، ويقوم بإعادة تأهيل الآلة ، ثم يضغطها من أجل exfil [tration] إلى 45.77.156 [.] 179 ،” وفقًا للشركة.

لم يتم ربط حملة التصيد الاحتيالي بمجموعة معروفة سابقًا ، لكن خصوصية الاستهداف وقدرات الاستطلاع واسعة النطاق لحمولة PowerShell تشير إلى أنها نفذتها جهة فاعلة تابعة للدولة.

يأتي هذا التطور في أعقاب محاولات الاستغلال النشطة من قبل ممثل تهديد صيني يُعرف باسم TA413 لتقديم أرشيفات مضغوطة مُسلَّحة تحتوي على مستندات Microsoft Word مصابة ببرامج ضارة.

لا تزال ثغرة Follina ، التي تستخدم نظام بروتوكول URI “ms-msdt:” للتحكم عن بعد في الأجهزة المستهدفة ، غير مصححة ، وتنصح Microsoft العملاء بتعطيل البروتوكول لتجنب متجه الهجوم.

قال شيرود ديجريبو ، نائب رئيس أبحاث التهديدات ، لصحيفة LEZRفي بيان: “تواصل Proofpoint رؤية الهجمات المستهدفة التي تستفيد من CVE-2022-30190”.

“يوضح الاستطلاع الشامل الثاني لبرنامج PowerShell النصي أن هناك فاعلًا مهتمًا بمجموعة واسعة من البرامج على كمبيوتر الهدف.” هذا ، جنبًا إلى جنب مع استهداف الحملة الصارم للحكومات الأوروبية والحكومات المحلية الأمريكية ، أدى بنا إلى الاعتقاد بأنها ترعاها الدولة.

اذا وجدت هذه المقالة مثيرة للاهتمام؟ تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره. يستخدم المتسللون الذين ترعاهم الدولة خطأ Microsoft “Follina” لاستهداف الكيانات في أوروبا والولايات المتحدة.

اترك رد

لن يتم نشر عنوان بريدك الإلكتروني.