عوامل تهدید تحت حمایت دولت روسیه مشاهده شد که از آسیب‌پذیری چاپگر قدیمی برای حذف بدافزار سفارشی در نقاط پایانی هدف سوء استفاده می‌کنند.

این بدافزار به آنها کمک کرد تا اطلاعات حساس و اعتبار ورود به سیستم را استخراج کنند. این بر اساس گزارش جدیدی از Microsoft Threat Intelligence است که اوایل این هفته منتشر شد.

طبق این گزارش، از اواسط سال 2019، گروهی به نام Fancy Bear از یک باگ امتیازی که در چاپگرهای ویندوز یافت می‌شود، سوء استفاده می‌کند. این آسیب‌پذیری با نام CVE-2022-38028 در سال 2022 کشف شد و در اکتبر همان سال اصلاح شد.

سقوط Moobot

با این حال، حتی پس از انتشار اصلاحیه، Fancy Bear نقاط پایانی اصلاح نشده در شرکت‌های دولتی، غیردولتی، آموزشی و حمل‌ونقل واقع در اوکراین، اروپای غربی و کشورهای آمریکای شمالی را هدف قرار داد.

پس از یافتن، این دستگاه‌ها به بدافزاری به نام GooseEgg آلوده می‌شوند که به مهاجمان امتیازات بالایی می‌دهد و می‌تواند اعتبارنامه‌ها را در سیستم‌های در معرض خطر سرقت کند.

از آنجایی که این پچ تقریباً دو سال است که در دسترس است، بهترین و ساده ترین راه برای محافظت از نقاط پایانی در برابر جاسوسان روسی است.

Fancy Bear احتمالاً محبوب ترین بازیگر تهدید روسیه است. برخی از محققان آن را به GRU - اداره اطلاعات اصلی ستاد کل روسیه - آژانس اطلاعات نظامی خارجی ستاد کل نیروهای مسلح فدراسیون روسیه مرتبط می‌دانند.

در اواسط فوریه امسال، ماموران مجری قانون ایالات متحده با موفقیت یک بات نت مخرب Fancy Bear را بستند. در آن زمان، وزارت دادگستری ایالات متحده (DoJ) بيان کرد که ماموران آن یک «عملیات مجاز دادگاه» را انجام دادند که شبکه‌ای از «صدها روتر کوچک دفتر/دفتر خانگی (SOHO)» را خنثی کرد.

همانطور که توسط وزارت دادگستری توضیح داده شده است، اکثر روترهای Ubiquiti Edge OS مورد استفاده در بات نت قبلاً توسط بدافزاری به نام Moobot آلوده شده بودند که توسط یک گروه هک خصوصی توسعه داده شده بود. این گروه روترهایی را با تنظیمات کارخانه و در غیر این صورت رمزهای عبور آسان برای نصب بدافزار هدف قرار دادند. سپس، APT 28 (به قول آنها Fancy Bear) وارد شد و بدافزار را تصاحب کرد و دستگاه‌های آلوده را به یک «پلتفرم جهانی جاسوسی سایبری» تبدیل کرد.

از طریق ثبت نام

بیشتر از TechRadar Pro