سو استفاده هکرهای کره شمالی از آسیب پذیری جت برینز

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، دو گروهی که توسط مایکروسافت با نام‌های دایموند اسلیت (Diamond Sleet) و اونیکس اسلیت (Onyx Sleet) ردیابی می‌شدند، در حال سوءاستفاده از آسیب پذیری (CVE-2023-42793) مشاهده شدند؛ اشکالی که ماه گذشته پیدا شد و محصولی به نام تیم سیتی (TeamCity) را تحت تأثیر قرار می‌دهد که توسط توسعه‌دهندگان برای آزمایش و تبادل کد نرم‌افزار قبل از انتشار استفاده می‌شود.

به گفته محققان پرودرفت (PRODRAFT)، این شرکت یک وصله برای این مشکل در 20 سپتامبر منتشر کرد، اما انتشار بعدی جزئیات فنی منجر به بهره برداری فوری توسط طیفی از باج افزارها شد.

بیش از 1200 سرور بدون وصله آسیب پذیر در برابر این مشکل کشف شده است.

مایکروسافت روز چهارشنبه گفت که به مشتریانی که مورد هدف قرار گرفته اند یا قبلاً در معرض خطر قرار گرفته اند، اطلاع داده است.

مایکروسافت گفت:

در حالی که این دو عامل تهدید از یک آسیب‌پذیری مشابه سوء استفاده می‌کنند، گروه های دایموند اسلیت و اونیکس اسلیت از مجموعه‌های منحصربه‌فردی از ابزارها و تکنیک‌ها پس از بهره‌برداری موفقیت‌آمیز استفاده می‌کردند.

مایکروسافت بر اساس مشخصات سازمان‌های قربانی تحت تأثیر این نفوذها ارزیابی کرده است که عاملان تهدید ممکن است سرورهای آسیب‌پذیر را به‌طور فرصت‌طلبانه به خطر بیندازند.

با این حال، هر دو عامل تهدید، بدافزار و ابزاری را به کار گرفته‌اند و از تکنیک‌هایی استفاده کرده‌اند که ممکن است امکان دسترسی دائمی به محیط‌های قربانی را فراهم کند.

دایموند اسلیت با استقرار در پشتی از طریق به خطر انداختن آسیب‌پذیری، اجازه دسترسی مداوم به سیستم قربانی را بدست می آورد و در همین حال، اونیکس اسلیت یک حساب کاربری جدید در سیستم در معرض خطر ایجاد کرده و به آن دسترسی در سطح سرپرست می دهد.

از آنجایی که اونیکس اسلیت سعی می‌کند اعتبارنامه‌ها و سایر داده‌های ذخیره شده توسط مرورگرها را بدزدد و در عین حال سرویس تیم سیتی را نیز متوقف کند، احتمالاً در تلاش برای جلوگیری از دسترسی سایر عوامل تهدید می باشد.

مایکروسافت درباره اینکه چه سازمان‌هایی در کمپین‌ها مورد حمله قرار گرفته‌اند و هدف کلی آن چه بوده است، توضیحی ارائه نداده است.

اما هر دو گروه برای سال ها توسط شرکت های امنیتی و محققان ردیابی شده اند.

اونیکس اسلیت معمولا سازمان های خدمات دفاعی و فناوری اطلاعات در کره جنوبی، ایالات متحده و هند را هدف قرار می دهد.

سال گذشته نیز مایکروسافت، اونیکس اسلیت را به ایجاد باج‌افزار هولی گوست (H0lyGh0st) و استفاده از آن برای حمله به مشاغل کوچک در چندین کشور از سپتامبر 2021 متهم کرده بود.

این گروه سازمان‌های تولیدی، بانک‌ها، مدارس، و شرکت‌های برنامه‌ریزی رویدادها و جلسات را مورد حمله باج افزاری قرار می دهد؛ باج‌گیری تا سقف 5 بیت‌کوین (حدود 140 هزار دلار).

دایموند اسلیت، اقدامات خود را بر جاسوسی، سرقت داده ها، سود مالی و تخریب شبکه متمرکز می کند و رسانه ها، خدمات فناوری اطلاعات و نهادهای مرتبط با دفاع را در سراسر جهان هدف قرار می دهد.

این گروه در ماه سپتامبر، زمانی که مایکروسافت فاش کرد که سازمان‌هایی را در روسیه، یکی از معدود متحدان کره شمالی، هدف قرار داده است، موجی را به راه انداخت.

مایکروسافت دو هفته پیش هشدار داد که هکرهای متصل به دایموند اسلیت، در حال استفاده از نرم افزارهای منبع باز قانونی هستند.

هنگامی که برای اولین بار آسیب پذیری CVE-2023-42793 کشف شد، باعث ایجاد هشدار قابل توجهی در میان محققان شد و توضیح دادند که هکرها می توانند از آن برای تسلط بر خط توسعه استفاده کنند و به آنها اجازه می دهد در سراسر شبکه داخلی شرکت حرکت کنند و آسیب های زیادی وارد کنند.