ادوبی محصول فلش‌پلیر خود را به‌روزرسانی کرد تا یک آسیب‌پذیری روز صفرم را که کارشناسان معتقدند توسط یک گروه نفوذ کره شمالی در راه‌اندازی حملاتی علیه اشخاصی در کره جنوبی مورد بهره‌برداری قرار گرفته است، وصله کند. گروه امنیتی KrCERT/CC مستقر در کره جنوبی، شرکت ادوبی را از این حفره‌ی امنیتی که نسخه‌ی ۲۸.۰.۰.۱۳۷ و نسخه‌های قدیمی‌تر فلش پلیر را تحت تاثیر قرار می‌دهد، مطلع کرد.....

 

این آسیب‌پذیری که با شناسه‌ی CVE-۲۰۱۸-۴۸۷۸ ردیابی می‌شود، در تاریخ ۳۱ ژانویه، که سازمان اینترنت و امنیت کره جنوبی یک هشدار منتشر کرد، آشکار شد. کارشناسان امنیت سایبری مستقر در این کشور گفتند که این اشکال توسط عاملان تهدید کره شمالی علیه اشخاصی از کره جنوبی که روی تحقیق در کره شمالی تمرکز دارند، مورد استفاده قرار گرفته است.

ادوبی قول داده بود که به زودی یک وصله برای این آسیب‌پذیری منتشر خواهد کرد و به قول خود عمل کرد. نسخه‌ی ۲۸.۰.۰.۱۶۱ باید این آسیب‌پذیری را رفع کند. ادوبی این اشکال را به عنوان یک آسیب‌پذیری استفاده پس از آزادسازی توصیف می‌کند که امکان اجرای کد از راه دور را فراهم می‌کند.

گروه امنیتی KrCERT/CC مستقر در کره جنوبی، شرکت ادوبی را از این حفره‌ی امنیتی که نسخه‌ی ۲۸.۰.۰.۱۳۷ و نسخه‌های قدیمی‌تر فلش پلیر را تحت تاثیر قرار می‌دهد، مطلع کرد.

آخرین نسخه‌ی فلش‌پلیر منتشر شده، آسیب‌پذیری CVE-۲۰۱۸-۴۸۷۷ را نیز وصل می‌کند، این اشکال نیز یک یک آسیب‌پذیری استفاده پس از آزادسازی است که امکان اجرای کد از راه دور را فراهم می‌کند. این آسیب‌پذیری توسط یک پژوهش‌گر امنیتی با نام کاربری bo۱۳oy از گروه Qihoo ۳۶۰ Vulcan، از طریق ZDI ترند میکرو به ادوبی گزارش شده است. به نظر می‌رسد که هیچ حمله‌ای با بهره‌برداری از CVE-۲۰۱۸-۴۸۷۷ راه‌اندازی نشده است.

فایرآی حملات مربوط به آسیب‌پذیری CVE-۲۰۱۸-۴۸۷۸ را تحلیل کرده و معتقد است این اشکال روز صفرم توسط یک گروه که با نام TEMP.Reaper شناخته می‌شود، مورد بهره‌برداری قرار گرفته است. این شرکت امنیتی، با توجه به آدرس‌های آی‌پی که برای دسترسی به کارگزارهای دستور و کنترل مورد استفاده قرار گرفته‌اند، تشخیص داده است که این نفوذگران احتمالا در کره شمالی مستقر هستند.

فایرآی گفت: «این گروه نفوذ بیشتر روی کره جنوبی متمرکز شده و دولت، ارتش و پایگاه دفاع صنعتی و سایر صنایع را در این کشور هدف قرار داده است.»

حملات مشاهده‌شده توسط فایرآی، از اسناد آفیس مخرب و صفحه‌ی گسترده‌ی طراحی شده برای بهره‌برداری از آسیب‌پذیری روز صفرم فلش پلیر استفاده می‌کنند تا یک بدافزار که توسط این شرکت با نام DOGCALL شناحته می‌شود را توزیع کنند.

سیسکو تالوس نیز این پویش را تجزیه و تحلیل کرده و آن را به یک عامل تهدید به نام Group ۱۲۳ نسبت داده است. با این حال سیسکو کره شمالی را به خاطر حملات راه‌اندازی شده توسط Group ۱۲۳ مقصر نمی‌داند، این شرکت با انتشار اطلاعاتی درباره‌ی چندین پویش که کره جنوبی را هدف قرار داده بودند اظهار کرد که گروه‌های نفوذ از عناوین مرتبط با کره شمالی برای توزیع بدافزارهای خود استفاده می‌کنند.

پژوهش‌گران خاطرنشان کردند که بررسی‌های آن‌ها نشان می‌دهد که این گروه نفوذ به یک گروه بسیار پیشرفته و پر انگیزه تبدیل شده است.

 منبع: news.asis.io