هشدارهای امنیتی پادویش

گروه Magniber به دنبال آسیب پذیری مرورگر Internet Explorer

Magniber ransomware using Internet Explorer flaws

گروه باج‌افزاری Magniber در حال حاضر از دو آسیب‌پذیری مرتبط با Internet Explorer و تبلیغات بدافزاری برای آلوده کردن و رمز نمودن سیستم قربانیان استفاده می‌کند.

این دو آسیب‌پذیری Internet Explorer با عناوین CVE-2021-26411 و CVE-2021-40444 نام‌گذاری شده‌اند و هر دو نیز دارای درجه خطر CVSS v3 = 8.8 هستند.

  • اولین آسیب‌پذیری CVE-2021-26411 یک نقص تخریب حافظه است که پس از بازدید از یک سایت دستکاری شده (جعلی) رخ می‌دهد که در تاریخ مارس 2021 مرتفع شد.
  • دومین آسیب‌پذیری نیز CVE-2021-40444 می‌باشد که یک آسیب‌پذیری روز صفر از نوع اجرای کد از راه دور در موتور رندر Internet Explorer است و در سپتامبر 2021 مرتفع شد.

راه نفوذ Magniber

این گروه به استفاده از آسیب‌پذیری‌ها برای نفوذ به شبکه و استقرار باج‌افزار شناخته شده است. در ماه اوت سال جاری از آسیب‌پذیری‌های PrintNightmare برای نفوذ به سرورهای ویندوزی استفاده می‌کرد که به دلیل تأثیر آن، مدتی طول کشید تا مایکروسافت به آن رسیدگی کند.

آخرین فعالیت این گروه نیز بر بهره‌برداری از آسیب‌پذیری‌های Internet Explorer با استفاده از تبلیغات مخرب که منجر به نفوذ اکسپلویت می‌شود، متمرکز بوده است.

یکی از توضیحات احتمالی برای تغییر رویه Magniber، می‌تواند به این دلیل باشد که مایکروسافت تا حد زیادی آسیب‌پذیری‌های PrintNightmare را در چهار ماه گذشته برطرف کرده و با پوشش وسیع این خبر در رسانه‌ها، ادمین‌های شبکه را مجبور به استفاده از به‌روزرسانی‌های امنیتی کرده است. دلیل دیگری که ممکن است Magniber به آسیب‌پذیری‌های Internet Explorer روی آورده باشد این است که راه اندازی آنها نسبتاً آسان است و صرفاً بر تحریک کنجکاوی کاربر برای باز کردن یک فایل یا صفحه وب متکی است.

شاید به نظر عجیب باشد که از آسیب‌پذیری‌های یک مرورگر قدیمی و غیرمحبوب مانند Internet Explorer سوء استفاده شود، اما آمارها نشان می‌دهد که 1.15% از بازدید صفحات جهانی همچنان از این مرورگر انجام می‌شود.

در حالی که این مقدار بسیار کم به نظر می‌رسد، اما StatCounter نشان داده که بیش از 10 میلیارد بازدید صفحه در ماه انجام می‌شود و از این تعداد، 115 میلیون بازدید به کاربران Internet Explorer اختصاص دارد.

علاوه بر این، هدف قرار دادن کاربران مرورگرهای فایرفاکس، کروم و مایکروسافت Edge بسیار دشوارتر است، چرا که با داشتن مکانیزم به‌روزرسانی خودکار، به سرعت کاربران را در مقابل آسیب‌پذیری‌های شناخته شده حفاظت می‌کنند.

Magniber تهدیدی برای آسیایی‌ها

گروه Magniber در سال 2017 و به عنوان نسل بعدی باج افزار Cerber شروع به کار کرد و در ابتدا تنها کاربران کره جنوبی را تحت تاثیر قرار می‌داد. سپس مقیاس حملات خود را گسترش داد و شرکت‌های چینی (شامل تایوان و هنگ کنگ)، سنگاپور و مالزی را نیز مورد هدف قرار دادند. این مقیاس به مرور تقویت شد و در حال حاضر منحصراً شرکت‌ها و سازمان‌های آسیایی را مورد حمله قرار می‌دهد.

گروه باج‌افزاری Magniber، از زمان راه‌اندازی خود تحت توسعه بسیار فعال بوده و پی لود آن نیز سه بار به طور کامل بازنویسی شده است. باید گفت که هیچ ابزار رمزگشایی برای آن وجود ندارد تا بتوان از طریق آن فایل‌های رمز شده را بازیابی کرد.

خوشبختانه، این گروه به دنبال سرقت اطلاعات و یا اخاذی مضاعف نیست و به همین دلیل آسیب حمله آنها به رمزگذاری فایل‌ها محدود می‌شود. به این ترتیب، تهیه منظم نسخه‌های پشتیبان از سیستم‌های ایمن و ایزوله، یک راه بسیار موثر برای مقابله با این باج‌افزار می‌باشد.

مطالب مرتبط

Security Alert

مراقب کمپین فیشینگ “کالا برگ” باشید!

درب پشتی در کتابخانه XZ

متن‌باز بودن دلیلی بر امن بودن نیست! کشف درب‌پشتی در کتابخانه متن‌باز محبوب کاربران لینوکس

‫‏‫افزایش چشمگیر حملات به سرورهای MSSQL