به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان شرکت بریتانیایی سوفوس (Sophos) اعلام کردند اپراتورهای بدافزار رابینهود (RobbinHood) در حملات سایبری خود علیه ویندوز 7، 8 و 10 تاکتیک جدیدی در پیشگرفتهاند.
به گفته کارشناسان این شرکت، اپراتورهای بدافزار رابینهود برای دور زدن آنتیویروسها و سیستمهای امنیتی اقدام به نصب درایورهای آسیبپذیر مادربورد گیگابایت (Gigabyte) روی سیستمهای هدف میکنند.
آسیبپذیری که هکرها استفاده میکنند با شناسه CVE-2018-19320 شناخته میشود و در سال 2018 توسط محققان امنیتی شناسایی و به شرکت گیگابایت گزارششده است.
توسعهدهندگان مادربرد گیگابایت مدعی شده بودند محصولات آنها هیچگونه آسیبپذیری ندارد و محققان نیز در واکنش به این ادعا جزئیات فنی آسیبپذیری درایور و اکسپلویت اثبات مفهوم (PoC) را منتشر کرده بودند سرانجام گیگابایت نیز استفاده از درایورهای آسیبپذیر را متوقف کرده بود، اما همچنان آسیبپذیری یادشده به قوت خود باقیمانده بود.
اخیراً نیز هکرها از این آسیبپذیری بهرهبرداری کرده و اقدام به انتشار باج افزار رابینهود کردهاند.
اپراتورهای رابینهود در حملات خود طبق مراحل زیر عمل کردهاند:
- نفوذ به شبکه شرکت هدف،
- نصب درایور مشروع هسته Gigabyte GDRV.SYS،
- بهرهبرداری از آسیبپذیری درایور فوق جهت دسترسی به هسته،
- سوءاستفاده از این دسترسی برای غیرفعال سازی موقت استفاده اجباری از امضای دیجیتال درایور در ویندوز،
- استفاده از درایور مخرب هسته RBNL.SYS جهت غیرفعال سازی یا متوقف کردن آنتیویروسهای هاست آلوده،
- راهاندازی باج افزار رابینهود و رمزنگاری فایلهای قربانی.
