6 يونيو، 2022 0 تعليقات

قراصنة مدعومون من الدولة يستغلون خطأ Microsoft “Follina” للكيانات المستهدفة في أوروبا والولايات المتحدة

يُنسب عنصر تهديد مشتبه به متحالف مع الدولة إلى مجموعة جديدة من الهجمات التي تستغل نقطة ضعف Microsoft Office “Follina” لاستهداف الكيانات الحكومية في أوروبا والولايات المتحدة

قالت شركة Proofpoint لأمن المؤسسات إنها منعت محاولات استغلال ثغرة تنفيذ التعليمات البرمجية عن بُعد ، والتي يتم تتبعها CVE-2022-30190 (درجة CVSS: 7.8). تم إرسال ما لا يقل عن 1000 رسالة تصيد تحتوي على مستند إغراء إلى الأهداف.

وقالت الشركة في سلسلة تغريدات : “هذه الحملة تنكرت كزيادة في الرواتب واستخدمت RTF مع تحميل الحمولة من 45.76.53 [.] 253” .

الحمولة ، التي تظهر في شكل نص برمجي PowerShell ، مشفرة باستخدام Base64 وتعمل كأداة تنزيل لاسترداد برنامج PowerShell نصي ثانٍ من خادم بعيد يسمى “إشعار البائع [.] مباشر.”

وأضافت الشركة: “يتحقق هذا البرنامج النصي من المحاكاة الافتراضية ، ويسرق المعلومات من المتصفحات المحلية وعملاء البريد وخدمات الملفات ، ويقوم بإعادة تأهيل الجهاز ثم ضغطه من أجل exfil [tration] إلى 45.77.156 [.] 179”.

لم يتم ربط حملة التصيد الاحتيالي بمجموعة معروفة سابقًا ، لكنها قالت إنها شنتها جهة فاعلة تابعة للدولة بناءً على خصوصية الاستهداف وقدرات الاستطلاع واسعة النطاق لحمولة PowerShell.

يأتي هذا التطوير بعد محاولات استغلال نشطة من قبل ممثل تهديد صيني متتبع باسم TA413 لتقديم أرشيفات مضغوطة مُسلَّحة تحتوي على مستندات Microsoft Word مزوّرة ببرامج ضارة.

لا تزال ثغرة Follina ، التي تستفيد من مخطط بروتوكول URI “ms-msdt:” للتحكم عن بعد في الأجهزة المستهدفة ، غير مصححة ، حيث تحث Microsoft العملاء على تعطيل البروتوكول لمنع متجه الهجوم.

قال شيرود ديغريبو ، نائب رئيس أبحاث التهديدات ، في بيان مشترك مع The Hacker News: “تواصل Proofpoint رؤية الهجمات المستهدفة التي تستفيد من CVE-2022-30190”.

“الاستطلاع المكثف الذي أجراه نص PowerShell الثاني يوضح فاعلًا مهتمًا بمجموعة كبيرة ومتنوعة من البرامج على كمبيوتر الهدف. هذا ، إلى جانب الاستهداف الشديد للحكومة الأوروبية وحكومات الولايات المتحدة المحلية ، دفعنا إلى الشك في أن هذه الحملة لها دولة موالية nexus “.