• info@arka.ir
  • تماس با ما: ۰۲۱۹۱۰۷۰۴۷۶ - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷

آرشیوها

اخبار

Arka | آرکا - راهکارهای جامع شبکه و امنیت/اخبار
4 آگوست 2021

سرقت اعتبارنامه کاربران با حمله فیشینگ جدید WeTransfer

بر اساس گزارش آرمور بلاکس، مجرمان سایبری سیستم میزبانی و اشتراک گذاری فایل WeTransfer را جعل می کنند تا حملات فیشینگ را انجام دهند. حملات فیشینگی که در آن، ایمیل های جعلی کاربر را به سمت یک صفحه فیشینگ با نام و برند Microsoft Excel هدایت میکند.

هدف اصلی این حمله بازیابی و به دست آوردن اعتبارنامه های ایمیل Office 365 قربانیان است. لازم به ذکر است که WeTransfer برای به اشتراک گذاری فایل هایی استفاده می شود که حجم آنها برای ارسال از طریق ایمیل زیاد است.

درباره حمله

به نظر می رسد ایمیل فیشینگ توسط WeTransfer ارسال می شود چرا که نام فرستنده Wetransfer را با خود دارد و عنوانی با توضیح View Files Sent Via WeTransfer را در خود جای داده است. همین شباهت کافی است تا چنین ایمیلی به عنوان یک ایمیل واقعی از WeTransfer به چشم مخاطب بخورد و به راحتی بتوان از این طریق کاربران ناشناس را فریب داد. بدنه و ساختار ایمیل همچنین چندین اشاره به شرکت هدف می کند تا از نظر ظاهری، مشروع به نظر برسد.

به گزارش هک رید، متن ایمیل نشان می دهد که WeTransfer دو فایل را با قربانی به اشتراک گذاشته است و همچنین لینکی برای مشاهده آنها نیز در این ایمیل وجود دارد. وقتی قربانی روی View Files کلیک می کند، لینک موجود در این صفحه، او را به صفحه فیشینگی با ظاهر Microsoft Excel هدایت می نماید.

علاوه بر این، در پس زمینه یک صفحه اطلاعات و جدول مبهم و مات نشان داده میشود و یک فرم نیز در پیش زمینه ارائه داده می شود که از قربانی میخواهد تا اعتبارنامه های ورود به سیستم را وارد کند. این فرم آدرس ایمیل قربانی را برای ایجاد حس مشروع و صحیح بود، در خود جای داده است.

تکنیک های مورد استفاده در حمله فیشینگ
مارک رویال از آرمور بلاکس، در یک پست وبلاگی نوشته است: از طیف وسیعی از تکنیک ها برای فرار از فیلترهای امنیتی رایج ایمیل و جلب کاربران غیرمشکوک استفاده شده است. این موارد شامل مهندسی اجتماعی می شود، زیرا عنوان ایمیل، محتوا و نام فرستنده برای ایجاد حس “اعتماد و ضرورت در قربانیان” طراحی شده است.

یکی دیگر از تکنیک های مورد استفاده در این کمپین، جعل هویت نام تجاری است. ظاهر HTML ایمیل بسیار شبیه WeTransfer است و صفحه فیشینگ طوری طراحی شده است که به عنوان صفحه ورود قانونی Microsoft Excel ظاهر شود. تنها چیزی که باعث می شود این صفحه مشکوک ظاهر شود این است که مایکروسافت با شکل و عنوان MicroSoft نوشته شده است.

 

چگونه از این حمله در امان بمانیم؟
به ناسازگاری ها و ناهماهنگی های جزئی در نام فرستنده، آدرس ایمیل و نام دامنه بسیار توجه کنید. به زبان مورد استفاده در ایمیل توجه کنید. پیاده سازی احراز هویت چند عاملی (MFA) در تمام حساب های شخصی و تجاری را فراموش نکنید. و هرگز از رمز عبور یکسان برای دسترسی به حساب های مختلف استفاده ننمایید.

2 آگوست 2021

کشف سرور C&C مرتبط با بدافزار WellMess

محققان امنیت سایبری روز جمعه از زیرساخت های جدید command-and-control (C2) متعلق به عامل تهدیدکننده روسی با نام APT29، معروف به Cozy Bear، که به طور فعال در حال ارائه سرویس به بدافزار WellMess به عنوان بخشی از یک کمپین حمله مداوم، رونمایی و افشاگری کردند.

شرکت RiskIQ که زیرمجموعه شرکت امنیت سایبری متعلق به مایکروسافت است، در گزارشی که با خبرگزاری ها به اشتراک گذاشته، بیان کرده است که بیش از ۳۰ سرور C2 که توسط اطلاعات خارجی روسیه اداره می شده، کشف شده است.

به نظر می رسد APT29 (نامی است که به عوامل دولتی که برای سرویس اطلاعات خارجی روسیه (SVR) کار می کنند اطلاق میشود)، مغز متفکر حمله بزرگ زنجیره تامین SolarWinds که در اواخر سال گذشته آشکار شد، میباشد و دولتهای انگلیس و ایالات متحده به شکل رسمی از اوایل آوریل امسال، روسیه را مسئول این اتفاقات دانسته اند.

این فعالیت توسط جامعه امنیت سایبری تحت اسم رمزهای مختلف، از جملهUNC2452 (FireEye) ،Nobelium (Microsoft) ،SolarStorm (Unit 42) ، StellarParticle (Crowdstrike) ،Dark Halo (Volexity) و Iron Ritual (Secureworks)، با استناد به تفاوت هایشان در تاکتیک ها، تکنیک ها و رویه هایی (TTPs) که توسط عامل مخرب با پروفایل مهاجم و با عنوان APT29 به کار‌ میرود، شناخته میشوند.

به نقل از هکر نیوز، بدافزاز WellMess (معروف به WellMail) که برای اولین بار توسط JPCERT/CC ژاپن در سال ۲۰۱۸ در کمپین های جاسوسی که توسط عامل تهدید برای سرقت مالکیت معنوی از چندین سازمان درگیر در فرایند تحقیق و توسعه واکسن COVID-19 در انگلستان، ایالات متحده و کانادا، شناسایی شد.

مرکز ملی امنیت سایبری بریتانیا (NCSC) در توصیه نامه امنیتی که در جولای سال ۲۰۲۰ منتشر شد، خاطرنشان کرده است: “این گروه از ابزارها و تکنیک های مختلفی برای هدف گیری عمدتاً اهداف دولتی، دیپلماتیک، اتاق های فکر، سیستم های سلامت و انرژی برای دستیابی به اطلاعات استفاده می کند.”.

موسسه RiskIQ گفت که تحقیقات خود را در مورد زیرساخت های حمله APT29 پس از افشای عمومی در مورد سرور WellMess C2 جدید در ۱۱ ژوئن آغاز کرد، که منجر به کشف دسته ای با حدود کمتر از ۳۰ سرور فعال C2 شد. اگرچه مشخص نیست که چگونه از این سرورها استفاده می شود و اهداف آنها چه کسانی هستند، اما اعتقاد بر این است که یکی از سرورها در ۹ اکتبر ۲۰۲۰ فعال بوده است.

این اولین بار نیست که RiskIQ ردپای command-and-control مربوط به هکرهای SolarWinds را شناسایی می کند. در ماه آوریل، مجموعه دیگری از ۱۸ سرور که با درصد اطمینان بالایی احتمالاً با اهدافشان از طریق دیتاهای Cobalt Strike ثانویه که توسط بدافزار TEARDROP و RAINDROP در حملات مستقر شده بود ارتباط برقرار می کردند، کشف شدند.

کوین لایولی، مدیر اطلاعات تهدید RiskIQ گفت: “تیم اطلس RiskIQ با اطمینان بالایی ارزیابی کرده است که این آدرس ها و گواهینامه های IP توسط APT29 در حال استفاده فعال هستند. ما نتوانستیم بدافزاری را که با این زیرساخت ارتباط برقرار میکند، پیدا کنیم، اما گمان می کنیم که شبیه نمونه های شناسایی شده قبلی باشد.”.

2 آگوست 2021

توئیتر برای کشف باگ الگوریتمش جایزه می‌دهد

توئیتر به تیم‌هایی که بتوانند باگ‌های تبعیض‌آمیز را در الگوریتم کراپ عکس پیدا کنند، ۳۵۰۰ دلار جایزه می‌دهد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، توئیتر مسابقه‌ای برگزار کرده تا هکرها و محققان، تبعیض‌ها و باگ های الگوریتم کراپ عکس‌هایش را بیابند و به تیم‌های برنده جایزه می‌دهد.

توئیتر امیدوار است به ارائه دسترسی به کدها و مدل کراپ عکس خود به گروه‌های مختلف آنها موارد مخرب الگوریتم را ردیابی کنند. مانند کراپ عکس به شیوه‌ای که موضوع تصویر حذف شود.

شرکت کنندگان در این رقابت باید توضیحات و مخزن اطلاعاتی به یافته‌هایشان اضافه کنند که بتواند در الگوریتم فعال شود و چالش را نشان دهد.

در مرحله بعد توئیتر براساس آزارهای یافت شده، تعیین می‌کند این موارد تا چه حد تأثیر گذار هستند.

تیم برنده ۳۵۰۰ دلار جایزه دریافت می‌کند. همچنین یک جایزه هزار دلاری برای نوآورانه ترین یافته‌ها نیز درنظر گرفته شده است.

توئیتر پس از آنکه متهم شد پیش نمایش عکس الگوریتم کراپ اش نژاد پرست است، در ماه می تحقیقاتی انجام داد. پس از آن نیز پژوهشی درباره شیوع تبعیض آمیز بودن نرم افزار ش منتشر کرد.

از آن زمان تاکنون توئیتر تا حد ممکن از کراپ پیش نمایش عکس‌ها خودداری می‌کند. اما هنوز در نسخه دسک تاپ توئیتر از این الگوریتم استفاده می‌شود.

27 جولای 2021

هشتمین آسیب‌پذیری روز صفر از مرورگر کروم رفع شد

شرکت گوگل، آسیب‌پذیری روز صفر دیگری را نیز با به‌روزرسانی مرورگر کروم برطرف کرد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت گوگل به‌تازگی مرورگر کروم را برای ویندوز، مک و لینوکس تا نسخه ۹۱.۰.۴۴۷۲.۱۶۴ به‌روزرسانی کرده و یک آسیب‌پذیری روز صفر دیگر را با شناسه CVE-۲۰۲۱-۳۰۵۶۳ برطرف کرد.

این آسیب‌پذیری از نوع type confusion بوده و از سوی یک محقق ناشناس به گوگل گزارش شده است. مهاجم از راه دور می‌تواند یک صفحه وب مخصوصی ایجاد کرده و قربانی را برای بازدید از آن فریب دهد، سپس با ایجاد خطای type confusion کدهای دلخواه را روی سیستم هدف اجرا کند. بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری می‌تواند منجر به آلودگی کامل سیستم آسیب‌پذیر گردد.

این نقص امنیتی هشتمین آسیب‌پذیری روز صفری است که در سال ۲۰۲۱ از کروم برطرف شده است. پیشتر آسیب‌پذیری‌های CVE-۲۰۲۱-۲۱۱۴۸ ،CVE-۲۰۲۱-۲۱۱۶۶، CVE-۲۰۲۱-۲۱۱۹۳ ،CVE-۲۰۲۱-۲۱۲۲۰ و CVE-۲۰۲۱-۳۰۵۵۱ نیز از این مرورگر رفع شده‌اند.

هفتمین آسیب‌پذیری روز صفر نیز چندی پیش وصله شد. گوگل مرورگر کروم را برای ویندوز، مک و لینوکس تا نسخه ۹۱.۰.۴۴۷۲.۱۱۴ به رسانی کرده و با رفع ۴ نقص امنیتی یک آسیب‌پذیری روز صفر با شناسه CVE-۲۰۲۱-۳۰۵۵۴ را برطرف کرد.

مرجع : سایبربان
27 جولای 2021

هشدار مایکروسافت درباره هدف قرار گرفتن سیستم های ویندوز و لینوکس با بدافزار LemonDuck

یک بدافزار مخرب استخراج رمزارز کراس پلتفرم معروف، همچنان با هدف قرار دادن آسیب پذیری های قدیمی و تکیه بر آنها، ضمن بسط دادن همزمان انواع مکانیسم های توزیع و ارتقای تکنیک های خود برای به حداکثر رساندن اثربخشی کمپین هایش، به ضربه زدن به سیستم عامل های ویندوز و لینوکس ادامه می دهد.

مایکروسافت در مقاله فنی که هفته پیش منتشر شد، اعلام کرد: “LemonDuck، یک بدافزار فعال به روز شده و نیرومند است که اساساً به خاطر اقداماتش در راستای استخراج رمزارز و بات نت شناخته می شود. این بدافزاز با اتخاذ رفتارهای پیچیده تر و افزایش عملیات های خود، همان مسیر قبل را در پیش گرفته و دنبال میکند. امروزه، فراتر از استفاده از منابع برای فعالیت های سنتی بات ها و استخراج رمز ارز، LemonDuck اطلاعات را سرقت می کند، کنترلر های امنیتی را حذف می کند، از طریق ایمیل گسترش یافته و پخش میشود، به صورت جانبی حرکت می کند و در نهایت ابزارهای بیشتری را برای فعالیت های مبتنی بر کنترل اپراتور مستقر مینماید”.

این بدافزار به دلیل توانایی انتشار سریع در شبکه آلوده برای تسهیل سرقت اطلاعات و تبدیل دستگاه ها به بات های استخراج رمزارز به وسیله هدایت منابع محاسباتی خود به سمت استخراج غیرقانونی رمزارز، مشهور است. قابل ذکر است که LemonDuck به عنوان یک لودر برای حملات بعدی عمل می کند که شامل سرقت اعتبارنامه ها و نصب ایمپلنت هایی برای مراحل بعد است که می توانند به عنوان دروازه ورودی برای انواع تهدیدات مخرب، از جمله باج افزار باشند.

فعالیت های LemonDuck برای اولین بار و قبل از شروع به استفاده از ترندهایی با مضمون COVID-19 در حملات ایمیل سال ۲۰۲۰ و حتی نقایص سرور Exchange ProxyLogon که اخیراً به آن پرداخته شده است تا دسترسی به سیستم های پچ نشده را پیدا کند، در ماه می سال ۲۰۱۹ در چین مشاهده گردیده است. تاکتیک قابل توجه دیگر آن نیز، توانایی پاک کردن سایر مهاجمان از یک دستگاه آسیب دیده با خلاص شدن از شر بدافزارهای مخرب و جلوگیری از هرگونه آلودگی جدید به وسیله پچ کردن آسیب پذیری هاییست که برای دسترسی مشابه استفاده میشده است.

حملات شامل بدافزار LemonDuck در بخشهای اصلی تولید و IoT متمرکز بوده است. همچنین کشورهایی از جمله ایالات متحده آمریکا، روسیه، چین، آلمان، انگلیس، هند، کره، کانادا، فرانسه و ویتنام نیز بیشترین برخوردها و درگیری ها را با این بدافزار داشته اند.

افزون بر این، مایکروسافت از فعالیت بدافزار دومی که بر LemonDuck برای دستیابی به اهداف جداگانه تکیه می کند، پرده برداشت. شرکت مایکروسافت اسم رمز این بدافزاز را “LemonCat” گذاشته است. گفته می شود که زیرساخت حمله همراه با نوع “Cat” در ژانویه ۲۰۲۱ ظهور کرده است و در نهایت منجر به استفاده از آن در حملات سواستفاده از آسیب پذیری های هدف قرار دادن Microsoft Exchange Server شده است. نفوذهای بعدی با استفاده از دامنه های Cat منجر به نصب backdoor، سرقت اعتبارنامه ها و داده ها و استقرار بدافزار شده است که غالباً یک تروجان ویندوز به نام Ramnit است.

مایکروسافت بیان داشت: “این واقعیت که از زیرساخت Cat برای فعالیت های خطرناک تر استفاده می شود، آلودگی های مخرب را از طریق زیرساخت Duck کم نمی کند. در عوض، این اطلاعات زمینه مهمی را برای درک بهتر این تهدید اضافه می کند: همان مجموعه از ابزارها، دسترسی ها و روش ها را مجددا می توان در فواصل زمانی پویا برای تأثیر بیشتر و بهتر، استفاده کرد”.

24 جولای 2021

استارتاپ یک ایرانی در بورس نیویورک عرضه شد

  • استارتاپ یک ایرانی به ارزش چهار میلیارد دلار در بورس نیویورک عرضه شده است. ارزش این استارتاپ ۱۰۰ هزار میلیارد تومان یعنی ۱۰ برابر کل درآمد نفتی کشور در سال گذشته است.

 

  • استارتاپ Blend فعال درحوزه فین تک است که توسط نیما قمصری و هم‌بنیان‌گذار دیگر او اداره می‌شود.

 

  • نیما قمصری، کارآفرینی ایرانی است که در کودکی مهاجرت کرده . او قبل از تاسیس این استارتاپ در دانشگاه استنفود تحصیل کرده است. قمصری که حالا ۳۴ سال سن دارد، سال۲۰۱۲ کار خود را بصورت تدریجی در استارتاپ در دانشگاه شروع کرد.

 

  • شرکت Blend یک شرکت فین تک در سیلیکون‌ولی آمریکاست. در واقع یک پلتفرم آنلاین است که درخواست وام مسکن و قسط‌بندی آن را به صورت آنلاین آماده می کند و ارائه می دهد. این نرم‌افزار امروز با معتبرترین بانک‌های آمریکایی همکاری دارد.

 

  • این نرم افزار روزانه بیش از دو میلیارد دلار وام را برای بانک‌ها پردازش می‌کند و فرایند تصویب وام را به حدود سه دقیقه رسانده است. این استارت‌تاپ بین سال‌های ۲۰۱۵ تا ۲۰۱۷ رشد زیادی داشت و در تعداد مشتریان با سه برابر افزایش روبه‌رو شد. آنها تنها سال گذشته ۱٫۴ هزار میلیارد دلار وام را پردازش کردند.

 

  • این شرکت از ماه مارس ۲۰۲۰ تا پایان آن سال نسبت به همان دوره در سال ۲۰۱۹ معادل ۱۶۶ درصد رشد را برای تراکنش‌های خود گزارش کرده است.

 

  • این شرکت امسال در لیست ۵۰ فین‌تک برتر فوربز هم قرار گرفت.

 

  • بیزینس اینسایدر هم بر اساس تحلیلی که از طریق تماس با مشتریان تیم و متخصصان صنعتی داشته به این باور رسیده که Blend قرار است به یکی از مهمترین شرکت‌های نرم‌افزار به عنوان خدمات(SaaS) در امور مالی و رهن تبدیل شود.

 

  • نام نیما قمصری همچنین در رده‌بندی فورچون از افراد بانفوذ زیر ۴۰ سال قرار گرفته است.