هجوم إلكتروني صيني يثير حالة من الذعر بشأن ثغرة أمنية في نظام تشغيل مايكروسوفت عمرها ست سنوات

أضافت وكالة الأمن السيبراني وأمن البنية التحتية في الولايات المتحدة (CISA) ثغرة أمنية في Microsoft يعود تاريخها إلى عام 2018 إلى قائمة التهديدات الأمنية الخاصة بها. نقاط الضعف المعروفة المستغلة (KEV) بعد ظهور أدلة على أنه يتم استخدامه في سلسلة هجمات من قبل جماعة مدعومة من الصين ابت41 مجموعة التهديدات المستمرة المتقدمة.

CVE-2018-0824 كان تم تناولها أولاً بواسطة Microsoft في تحديث الثلاثاء لشهر مايو 2018. إنه خلل في تنفيذ التعليمات البرمجية عن بعد (RCE) في Microsoft COM لنظام التشغيل Windows نتيجة لفشل في التعامل بشكل صحيح مع الكائنات التسلسلية.

وللاستفادة بنجاح من هذه الميزة، يتعين على المهاجم إقناع المستخدم النهائي المعرض للخطر بفتح وتشغيل ملف أو برنامج نصي مصمم خصيصًا لأداء الإجراءات، والتي يمكن تحقيقها إما عن طريق هجوم تصيد أو عن طريق إغرائه بالدخول إلى موقع ويب مصاب.

في عام 2018، قالت شركة Microsoft إن الثغرة الأمنية لم يتم الكشف عنها علنًا ولم يُعرف أنها مستغلة، ويبدو أن خطر حدوث ذلك منخفض نسبيًا. ومع ذلك، في 1 أغسطس 2024، أعلنت وحدة أبحاث التهديدات Talos التابعة لشركة Cisco الأدلة المكشوفة حملة ضارة من قبل APT41 استغلت CVE-2018-0824 في سلسلة الهجوم.

يبدو أن هذه الحملة بدأت في منتصف عام 2023 وكانت تستهدف معهدًا بحثيًا تابعًا للحكومة يقع في تايوان، حيث قدمت APT41 برامج ShadowPad الضارة وCobalt Strike وأدوات مخصصة أخرى للنشاط بعد الاختراق.

وكجزء من الهجوم، اكتشف الباحثون أيضًا أن APT41 أنشأت أداة تحميل مخصصة لحقن برنامج ضار يسمى UnmarshalPwn، والذي يستغل CVE-2018-0824 مباشرة في الذاكرة. وبهذه الطريقة، تمكنوا من رفع امتيازاتهم بشكل فعال داخل أنظمة الضحية.

وقال فريق تالوس، الذي يضم جوي تشين وأشلي شين وفيتور فينتورا، إن مجموعة APT41 ربما استخدمت بالفعل نفس سلسلة الهجوم ضد آخرين.

وقالوا “بفضل القطع الأثرية التي عثرنا عليها في هذه الحملة، تمكنا من اكتشاف بعض العينات والبنية الأساسية التي من المحتمل أن تكون قد استخدمت من قبل نفس الجهات الفاعلة في التهديد ولكن في حملات مختلفة”.

“على الرغم من أننا لا نملك رؤية أعمق حول تفاصيل أكثر حول هذه الحملات في الوقت الحالي، إلا أننا نأمل أن يؤدي الكشف عن هذه المعلومات إلى تمكين المجتمع من ربط النقاط والاستفادة من هذه الأفكار لإجراء تحقيقات إضافية.”

يعد كتالوج KEV التابع لـ CISA موردًا مصممًا في المقام الأول لفرض التصحيحات السريعة والفعالة عبر وكالات الحكومة الفيدرالية الأمريكية، والتي ملزمة قانونًا بتنفيذ إرشاداتها في إطار زمني محدد – في هذه الحالة بحلول 26 أغسطس 2024، أي بعد ثلاثة أسابيع من الآن.

ومع ذلك، فإن إضافة ثغرة أمنية مستغلة إلى القائمة هي إشارة إلى أنه ينبغي لجميع المنظمات أن تكون على دراية بها ومعالجتها في أقرب وقت ممكن. مزيد من المعلومات حول سلسلة الهجوم وتحليل الأدوات المستخدمة ضد الضحية التايوانية متوفرة من شركة Cisco Talos.