مایکروسافت آسیب پذیری Zero Day برای بدافزار QakBot برطرف کرد

مایکروسافت یک آسیب‌پذیری روز صفر را که در حملات بدافزار QakBot در سیستم‌های آسیب‌پذیر ویندوز مورد سوء استفاده قرار می‌گرفت، رفع کرده است.

این آسیب پذیری تحت CVE-2024-30051 شناخته شده و منجر به بالا رفتن امتیاز می شود. این آسیب پذیری ناشی از باگ buffer overflow بر پشته کتابخانه هسته DWM (مدیریت پنجره دسکتاپ) است . پس از بهره برداری موفقیت آمیز، مهاجمان می توانند امتیازات SYSTEM را به دست آورند.

Desktop Window Manager یک سرویس ویندوز معرفی شده از ویندوز ویستا به بعد است. این ابزار برنامه ای است که تمامی افکت های زیبای ویندوز همچون پنجره های شفاف، حالت های پویا، انیمیشن ها و… دسکتاپ را رندر و مدیریت می نماید.

محققان امنیتی کسپرسکی این آسیب‌پذیری را در حین بررسی یکی دیگر از باگ‌های افزایش امتیاز کتابخانه هسته‌ای Windows DWM که به‌عنوان CVE-2023-36033 شناخته می شود و همچنین به عنوان آسیب پذیری zero day حملات مورد سوء استفاده قرار می‌گیرد، کشف کردند.

در حین بررسی داده‌های مربوط به اکسپلویت‌های اخیر و حملات مرتبط، به یک فایل جذاب که در ۱ آوریل ۲۰۲۴ در VirusTotal آپلود شده بود، برخورد کرده اند که  نام فایل حاکی از آن بود که حاوی جزئیات آسیب‌پذیری ویندوز است.

علیرغم کیفیت پایین سند و برخی حذفیات در مورد نحوه بهره برداری از آسیب پذیری، کسپرسکی وجود یک آسیب پذیری جدید افزایش امتیاز روز صفر را در کتابخانه هسته ویندوز DWM تأیید کرد. مایکروسافت شناسه CVE-2024-30051 CVE را اختصاص داد و آسیب‌پذیری را در Patch Tuesday این ماه fix کرد.

کسپرسکی گفت: «پس از ارسال یافته‌های خود به مایکروسافت، ما شروع به نظارت دقیق بر آمار خود در جستجوی اکسپلویت‌ها و حملاتی کردیم که از این آسیب‌پذیری روز صفر سوءاستفاده می‌کنند و در اواسط آوریل، یک اکسپلویت برای این آسیب‌پذیری روز صفر کشف کردیم.

ما شاهد استفاده از آن به همراه QakBot و سایر بدافزارها بوده‌ایم و معتقدیم که چندین عامل تهدید به آن دسترسی دارند.»

QakBot (همچنین با نام Qbot شناخته می شود) به عنوان یک تروجان بانکی در سال ۲۰۰۸ شروع به کار کرد و برای سرقت اعتبار بانکی، کوکی های وب سایت و کارت های اعتباری برای ارتکاب کلاهبرداری مالی مورد استفاده قرار گرفت. با گذشت زمان، QakBot به یک سرویس تحویل بدافزار تبدیل شد و با سایر گروه‌های تهدید همکاری کرد تا دسترسی اولیه به شبکه‌های سازمانی و خانگی را برای حملات باج‌افزار، جاسوسی یا سرقت داده‌ها فراهم کند.

در حالی که زیرساخت های آن در آگوست ۲۰۲۳ به دنبال یک عملیات اجرای قانون چند ملیتی به رهبری FBI و معروف به عملیات “شکار اردک” برچیده شد، این بدافزار دوباره در کمپین های فیشینگ که صنعت مهمان نوازی را هدف قرار می داد در دسامبر ظاهر شد.

مجریان قانون، QakBot را به حداقل ۴۰ حمله باج‌افزاری که شرکت‌ها، ارائه‌دهندگان مراقبت‌های بهداشتی، و سازمان‌های دولتی در سراسر جهان را هدف قرار می‌دهند مرتبط دانستند، که طبق برآوردهای محافظه‌کارانه صدها میلیون دلار خسارت به بار آورد.

در طول سال‌ها، Qakbot به عنوان عضو اصلی باج افزارهایی مانند Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex, and, most recently, Black Basta عمل کرده است.