به‌روزرسانی حیاتی مایکروسافت ورد را دانلود کنید تا قربانی نشوید

شرکت امنیتی FireEye گزارش کرده است هکرها از ماه ژانویه تا به امروز در اختفای کامل از آسیب‌پذیری روز صفر موجود در واژه‌پرداز ورد به منظور نفوذ به سامانه‌های کاربران استفاده کرده‌اند. خبر جالب‌تری که در ارتباط با آسیب‌پذیری فوق وجود دارد، در ارتباط با خود هکرها است. هکرهایی که بدافزارهای مبتنی بر این آسیب‌پذیری را طراحی کرده‌اند، همگی تحت حمایت آژانس‌های دولتی قرار داشته‌اند. این آسیب‌پذیری به شماره CVE-2017-0199 به ثبت رسیده است. خبر مربوط به بهره‌برداری از این آسیب‌پذیری از سوی هکرهای دولتی پس از آن عمومی شد که شرکت امنیتی FireEye جزییات مربوط به آن‌را منتشر کرد. شرکتی که به طور مستقل آسیب‌پذیری موجود در نرم‌افزارها را شناسایی می‌کند، متوجه جاسوس‌افزاری به نام FinSpy شد. جاسوس‌افزاری که از ماه ژانویه تا به امروز برای انجام یکسری فعالیت‌های جاسوسی از آسیب‌پذیری موجود در واژه‌پرداز ورد آفیس سوء‌استفاده می‌کرد. مایکروسافت در بولتن امنیتی که سه‌شنبه هفته گذشته منتشر کرد آسیب‌پذیری فوق را ترمیم کرد.

آسیب‌پذیری فوق به هکرها اجازه می‌داد یک برنامه مخرب HTML را دانلود کنند و این فایل HTML را در قالب یک سند مبتنی بر فرمت RTF مایکروسافت پنهان سازند. جاسوس‌افزار FinSpy که به نام FinFisher نیز معروف است با هدف نصب بدافزار Latentbot مورد استفاده قرار می‌گرفت. از این بدافزار به منظور پیاده‌سازی حملات سایبری در ارتباط با اهداف اقتصادی، به سرقت بردن داده‌ها و دستیابی به سیستم‌های کاربران استفاده می‌شد. Latentbot دارای چند ویژگی تخریبی است. این بدافزار قادر است، اعتبارنامه‌ها را سرقت کرده، آنتی‌ویروس‌ها را غیر فعال کرده، توابع راه دور را مورد استفاده قرار داده و داده‌های هارددیسک را پاک کند.

‌هکرها درست یک روز قبل از عرضه بولتن امنیتی مایکروسات، تغییراتی در شیوه عملکرد خود به وجود آوردند و بدافزار دیگری موسوم به Terdot را روی سیستم‌ قربانیان نصب کردند. بدافزار فوق به محض آن‌که روی دستگاه قربانی نصب می‌شود با سرور کنترل و فرمان‌دهی ارتباط برقرار کرده و همچنین به منظور مصنون نگه داشتن خود از سامانه‌های تشخیص بدافزاری از تکنیک‌های پنهان‌سازی استفاده می‌کند. به طوری که سرور تحت کنترل هکرها غیر قابل شناسایی باشد. آن‌گونه که شرکت FireEye گزارش کرده است، جاسوس‌افزار FinSpy به شکل کاملا مهندسی شده‌ای از آسیب‌پذیری روز صفر واژه‌پرداز ورد برای آلوده ساختن هدف‌های خاص استفاده می‌کند.

تحلیل‌های انجام شده از سوی این شرکت نشان می‌دهد یک کارشناس امنیتی برای اولین بار موفق شده بود این آسیب‌پذیری را شناسایی کرده و آن‌را در ازای مبلغ قابل توجهی به آژانس‌های دولتی بفروشد. جالب آن‌که عصر روز دوشنبه، کارشناسان امنیتی شرکت ProofPoint موفق شدند یک کمپین ارسال هرزنامه‌ای را شناسایی کنند. کمپینی که به طور مستقیم میلیون‌ها کاربر شاغل در موسسات مالی کشور استرالیا را هدف قرار داده بود. هکرها از طریق آسیب‌پذیری روزصفر واژه‌پرداز ورد موفق شده بودند تروجان بانکی Dridex را برای این کاربران ارسال کنند.

کارشناسان شرکت FireEye اعلام کرده‌اند به درستی مشخص نیست بدافزار Dridex چگونه طراحی شده است اما به نظر می‌رسد گزارشی که یک هفته قبل شرکت مک‌آفی منتشر کرد و جزییاتی را در رابطه با این آسیب‌پذیری ارائه کرد به هکرها کمک کرده است تا بدافزار فوق را طراحی کنند. همچنین این احتمال وجود دارد تا فردی که آسیب‌پذیری را کشف کرده آن‌را در اختیار هکرها قرار داده باشد.

مایکروسافت هفته گذشته وصله مربوط به ترمیم این آسیب‌پذیری را عرضه کرد. با توجه به آن‌که آسیب‌پذیری فوق با درجه بحرانی گزارش شده است به کاربران توصیه می‌کنیم در اولین فرصت ممکن وصله‌های جدید مایکروسافت را دانلود کنند تا از گزند حملات هکری به دور باشند.