منذ يومين، ذكرت FireEye في تقريرها، أن الهجمات الاستغلالية التي تستهدف الثغرة الأمنية الحديثة CVE-2013-3906 بدأت بالفعل؛ حيث تم توجيهها من قِبَل عناصر جديدة مُهَدِّدَة غير العناصر الأصلية. وتتشابه الوثائق المصابة الجديدة مع الهجمات الاستغلالية التي تم الكشف عنها في وقتٍ سابق، إلا أن هذه الوثائق في هذه المرة تحمل حمولةً مختلفة. هذه المرة، يتم استخدام وتوجيه تلك الهجمات الاستغلالية؛ من أجل التوصيل الخفي والسري لبرامج Taidoor وPlugX، وذلك طبقًا لما ذكرته FireEye.
وفي كاسبرسكي لاب، اكتشفنا أيضًا وجود مجموعة عناصرAPT (التهديد المستمر المتطور) أخرى، كانت قد بدأت للتوّ في نشر وثائق مايكروسوفت وورد خبيثة، تستهدف استغلال ثغرة CVE-2013-3906. هذه العناصر APT (التهديد المستمر المتطور)، هي مجموعة Winnti التي وصفناها بالتفصيل هنا. وقد قامت هذه المجموعة بإرسال رسائل إلكترونية تصيُّدية موجَّهة، مرفق معها وثيقة تحتوي على هجمة استغلالية، وكالعادة، كان مرتكبو الجريمة Winnti يحاولون استخدام هذا الأسلوب لتوصيل المرحلة الأولى من البرنامج الخبيث –PlugX.
لقد أصبحنا على علمٍ بهجومٍ موجَّهٍ ضد أجهزة الكمبيوتر الخاصة بألعاب القمار، التي تتعرَّض باستمرار لهجمات من قِبَل مجموعة Winnti. وتُظهِر وثيقة مايكروسوفت وورد المحتوية على الهجوم الاستغلالي نفس TIFF (صيغة ملف الصور الموسومة) “الصورة” –7dd89c99ed7cec0ebc4afa8cd010f1f1- التي تُفَعِّل وتُشَغِّل عملية استغلال الثغرة الأمنية، كما هو الحال في هجمات صداع الكحول (Hangover)، وإذا كانت عملية الاستغلال ناجحة، فسوف يتم تحميل Plugx على نحوٍ خفي وسري من عنوان الإنترنت URL:
hxxp://211.78.90.113/music/cover/as/update.exe.
وطبقًا لما ذكره عنوان PE (المتنقل القابل للتنفيذ)، فإن عينة PlugX هذه كانت قد تم تجميعها في 4 تشرين الثاني/ نوفمبر 2013، وتُعَد مكتبة الربط الديناميكي الوظيفية الداخلية لـ PlugX، التي تم فك تشفيرها وتخصيصها في الذاكرة أثناء تنفيذ وإجراء برنامج ضار أقدم قليلاً؛ حيث تعود إلى تاريخ 30 تشرين الأول/ أكتوبر 2013.
وفيما يخص تطوير الفروع، تعتبر نسخة PlugX التي تم تحميلها مختلفة قليلًا عن نسخة PlugX التقليدية، إلا أنها من نفس نوع البرامج الخبيثة التي اكتشفتها FireEye، وذلك عندما ترسل البرامج الخبيثة حِزَم CnC HTTP POST مع رؤوسٍ إضافية لافتة للنظر:
|
عينة FireEye POST /<random [0-9A-F]{24}> HTTP/1.1 |
الأشكال المختلفة لـ Winnti POST /<random [0-9A-F]{24}> HTTP/1.1 |
يتصل Winnti’sPlugX بنطاق C2, av4.microsoftsp3.com، ويشير هذا النطاق إلى عنوان بروتوكول إنترنت (IP-address) 163.43.32.4. وكانت النطاقات الأخرى ذات الصلة بـ Winnti تشير هنا بدءًا من 3 تشرين الأول/ أكتوبر 2013 إلى:
| ad.msnupdate.bz | ap.msnupdate.bz | |
| book.playncs.com | data.msftncsl.com | ns3.oprea.biz |
مرةً أخرى، نحن نشهد انتشارًا سريعًا لاستخدام الثغرات الأمنية المُكتشَفة حديثًا، والمُستَغَلَّة من قِبَل عناصر APT (التهديد المستمر المتطور) المختلفة، ونظرًا للمستوى العالي للمنافسة، رأينا بالفعل كيف تمت إضافة الهجمات الاستغلالية الجديدة بسرعة إلى الحِزم المختلفة لعمليات الاستغلال، عندما شارك مجرمو الإنترنت في هذا الأمر.
لم يتضح بعد كيف وصلت عناصر APT (التهديد المستمر المتطور) الجديدة إلى الثغرة الأمنية CVE-2013-3906، ربما حصلت على نفس “المُنشئ” مثل مهاجمي Hangover، أو حصلت على عيناتٍ قليلةٍ من وثائق مايكروسوفت وورد المُسَمَّمَة، واستطاعت أن تُكَيِّفُها وتُوظفها وفقًا لاحتياجاتها الخاصة. على أي حال، نستطيع أن نستنتج، أنه مثلما كان مجرمو الإنترنت العاديون تحت ضغط المنافسة، فإن عناصر APT (التهديد المستمر المتطور) أيضًا لن تكون راضيةً عن نفسها وعما وصلت إليه، ولكنها سوف تسعى باستمرارٍ إلى تطوير نفسها، وإتقان عملياتها اليومية، والعمل معًا على نحوٍ أوثق من أي وقتٍ مضى؛ من أجل أن تمثل تهديدًا أكثر خطورة.
العينات المُكتَشَفَة
Exploit.MSOffice.CVE-2013-3906.a
MS Word document: Questionnaire.docx, 63ffbe83dccc954f6a9ee4a2a6a93058
Backdoor.Win32.Gulpix.tu
PlugX backdoor: update.exe, 4dd49174d6bc559105383bdf8bf0e234
Backdoor.Win32.Gulpix.tt
PlugX internal library: 6982f0125b4f28a0add2038edc5f038a
التعليقات
إذا كنت ترغب في التعليق على هذا المقال، يجب عليك أولًا
تسجيل الدخول
النصائح