• info@arka.ir
  • تماس با ما: 02191300476 - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷

بایگانی برچسب: s

16 آگوست 2021

جاسوس ها با تکنیکی جدید از طریق انتشار نور LED نشانگر برق دستگاه ها برای بازیابی صداها در لوازم جانبی متصل و جاسوسی مکالمات الکترونیکی تا فاصله ۳۵ متری استفاده می کنند.

این یافته ها که از آن با عنوان “حمله کرم شب تاب” نام برده می شود، توسط گروهی از دانشگاهیان دانشگاه بن گوریون شهر نگف در اوایل این هفته منتشر شد و این روش را «حمله نوری TEMPEST» توصیف می کند که می تواند توسط شنودکنندگان برای تحلیل صدا با آنالیز اندازه های اوپتیکال بدست آمده از طریق سنسور الکترواپتیکی که به LED نشانگر برق دستگاه های مختلف متصل هستند، مورد استفاده قرار گیرد.

در ملاحظات آزمایشی، یک تبدیل صوتی نوری (OAT) نیز که امکان بازیابی صدا را با جداسازی گفتار از طریق اندازه گیری های نوری بدست آمده بوسیله هدایت یک سنسور الکترواپتیکال که در LED نشانگر برق دستگاه ها استفاده میشود، به کار برده شده است.

در اصل TEMPEST یک اسم رمز برای حامل اطلاعات ناخواسته است که توسط تجهیزات پردازش اطلاعات الکترونیکی و الکترومکانیکی تولید می شود.

کرم شب تاب یا Glowworm بر اساس حمله مشابهی به نام Lamphone که سال گذشته توسط همین محققان نمایش داده شد، مطرح شده است و بازیابی صدا از اتاق قربانی که حاوی یک لامپ سقفی بالای سر وی است را امکان پذیر می کند.

در حالی که هر دو روش صدا را از طریق یک سنسور الکترو نوری از نور دریافت می کنند، از این جهت نیز متفاوت هستند که حمله Lamphone “یک حمله side-channel است که از ارتعاشات کوچک لامپ، که در نتیجه برخورد امواج صوتی به لامپ ایجاد می شود، استفاده می کند. Glowworm یک حمله TEMPEST است که از نحوه و نوع طراحی مدارهای الکتریکی سواستفاده و بهره برداری می کند. این حمله می تواند صدا را از دستگاه هایی مانند هاب USB که در پاسخ به اطلاعات صوتی پخش شده توسط بلندگوها حرکت نمی کنند، بازیابی کند.

این حمله به همنهشتی اپتیکال بین صدایی که توسط بلندگوهای متصل به دستگاه پخش می شود و شدت LED نشانگر برق آنها که نه تنها مستقیماً به برق وصل می شوند بلکه همچنین بر شدت LED نشانگر برق خود دستگاه که توسط برق مصرفی تحت تأثیر قرار گرفته است، بستگی دارد. علاوه بر این، کیفیت صدای بازیابی شده مبا کیفیت تجهیزات مورد استفاده استراق سمع کننده ارتباط کاملا مستقیمی دارد. (برای مشاهده ویدئوی نحوه انجام این کار کلیک کنید)

در یک سناریوی واقعی، مدل مورد تهدید واقع شده، محتوای سخنرانی را که توسط شرکت کنندگان در یک پلتفرم مجازی مانند Zoom ، Google Meet و Microsoft Teams ایراد کرده اند، هدف قرار میدهد و گروه مخرب در اتاقی در ساختمان مجاور قرار گرفته است و به مهاجمان امکان می دهد که برای بازیابی صدا از LED نشانگر برق بلندگوها برای استراق سمع استفاده نمایند.

در سناریوی حمله غیرمستقیم که LED نشانگر برق از بیرون اتاق قابل مشاهده نیست، استراق سمع کننده می تواند صدا را از LED نشانگر برق دستگاه مورد استفاده برای تأمین برق بلندگو، بازیابی و شنود کند.

اگرچه با قرار دادن یک نوار سیاه روی LED نشانگر برق دستگاه می توان با چنین حملاتی مقابله کرد، اما محققان به سازندگان دستگاه توصیه می کنند که یک خازن یا آمپلیفایر واقعی را برای از بین بردن نوسانات مصرف برق که هنگام تولید صدا از بلندگوها اتفاق می افتد، در دستگاه ها تعبیه کنند.

محققان می گویند: “در حالی که هزینه اقدامات متقابل با این دست حملات ممکن است برای ما ناچیز به نظر برسد، اما با توجه به احتمال تولید انبوه دستگاه ها، افزودن یک جزء کوچک جهت جلوگیری از این نوع حملات، می تواند میلیون ها دلار برای تولیدکننده دستگاه ها هزینه داشته باشد. با توجه به ماهیت هزینه محور مصرف کنندگان و ماهیت سوددهی برای تولیدکنندگان، آسیب پذیری های شناخته شده اغلب به عنوان ابزاری برای کاهش هزینه ها نادیده گرفته می شوند. این واقعیت ممکن است بسیاری از مدارهای الکتریکی را در سالهای آینده در برابر حمله Glowworm آسیب پذیر کند”.

11 آگوست 2021

عاملان تهدید ناشناس به طور فعال از آسیب پذیری دور زدن احراز هویت برای حمله به روترهای خانگی تنها دو روز پس از افشای عمومی آن و به عنوان بخشی از تلاش برای پیوند دادن آنها با بات نت نوع Mirai استفاده می کنند که مشخصا برای انجام حملات DDoS استفاده می شود.

این نقطه ضعف با عنوان CVE-2021-20090 (امتیاز CVSS: 9.9)، مربوط به آسیب پذیری مسیرهای انتقال اینترفیس های وب روترها با سیستم عامل Arcadyan است که می تواند به مهاجمان از راه دور غیر مجاز اجازه بدهد که مرحله احراز هویت را دور زده و از آن عبور کنند.

در طی گزارش هایی که توسط Tenable در سوم آگوست افشا شد، اعتقاد بر این است که این مشکل حداقل ۱۰ سال است که وجود داشته و حداقل ۲۰ مدل را در محصولات ۱۷ تامین کننده مختلف شامل Asus ،Beeline ،British Telecom ،Buffalo ،Deutsche Telekom ،Orange ،Telstra ،Telus ،Verizon و Vodafone را تحت تأثیر قرار داده است.

سواستفاده موفقیت آمیز توسط مهاجم می تواند موانع احراز هویت را دور بزند و به صورت بالقوه به اطلاعات از جمله توکن های درخواست معتبر، که می تواند برای ایجاد درخواست جهت تغییر تنظیمات روتر مورد استفاده قرار گیرد، دسترسی پیدا کند.

شرکت Juniper Threat Labs هفته گذشته اعلام کرد که “برخی از الگوهای حمله را که سعی می کنند از این آسیب پذیری در فضای سایبری از آدرس IP واقع در ووهان، استان هوبی کشور چین استفاده میکنند، شناسایی کرده است”. در این حملات که از ۵ آگوست شروع شده است، مهاجم از آن برای استقرار یک نوع از Mirai در روترهای آسیب دیده استفاده میکند. این حملات از تکنیک های مشابهی که توسط واحد ۴۲ Palo Alto Networks در اوایل ماه مارس آشکار شد، بهره میبرند.

محققان می گویند: “این شباهت می تواند نشان دهنده این نکته باشد که همان عاملان تهدید در پس این حمله جدید هستند و تلاش می کنند تا منابع نفوذ خود را با آسیب پذیری تازه دیگری ارتقا دهند”.

علاوه بر CVE -2021–۲۰۰۹۰، عاملان تهدید دست به حملاتی زدند که در آنها از تعدادی آسیب پذیری دیگر مانند موارد ذیل استفاده میشده است:

• CVE-2020-29557 (اجرای کد پیش احراز هویت از راه دور در دستگاه های D-Link DIR-825 R1)
• CVE-2021-1497 و CVE-2021-1498 (آسیب پذیری تزریق فرمان در Cisco HyperFlex HX)
• CVE-2021-31755 (آسیب پذیری سرریز بافر استک در Tenda AC11 که منجر به اجرای کد دلخواه می شود)
• CVE-2021-22502 (ایراد اجرای کد از راه دور در Micro Focus Operation Bridge Reporter)
• CVE-2021-22506 (آسیب پذیری نشت اطلاعات در Micro Focus Access Manager)

گزارش یونیت ۴۲ قبلاً شش مورد نقص امنیتی شناخته شده و سه مورد ناشناخته را کشف کرده بود که در حملات به مواردی مانند SonicWall SSL-VPN ، فایروال D-Link DNS-320 ، روترهای بی سیم Netis WF2419 و سوئیچ های Netgear ProSAFE Plus که مورد هدف قرار گرفته اند، تحت سواستفاده واقع شده بودند.

برای جلوگیری از هرگونه خطر احتمالی، به کاربران توصیه می شود فریمور روتر خود را به آخرین نسخه به روز نمایند.

محققان می گویند: “واضح است که بازیگران تهدید همه آسیب پذیری های فاش شده را زیر نظر دارند. هر زمان که یک PoC سواستفاده منتشر می شود، اغلب بازه زمانی بسیار کمی برای بهره گیری و ادغام آن آسیب پذیری در پلتفرم آنها و شروع حملات، نیاز است”.

10 آگوست 2021

اگر در بازار و با پلتفرم مدیریت ارتباط با مشتری یا IR CRM مشغول به کار هستید، باید توجه ویژه ای به مقوله امنیت کرده و روی آن تمرکز کنید. این پلتفرم مانند یک معدن طلای مملو از اطلاعات خواهد بود؛ حاوی اطلاعات داخلی مهم در مورد مسائل مالی و اطلاعات شخصی شما که از سهامداران شما جمع آوری شده است.

اگر از ایمن بودن این داده ها اطمینان خاطر ندارید، این احتمال وجود دارد که باعث شوید تا داده های مهم مشتریان و مالکیت خصوصی افشا شده و نشت پیدا کند.

نقض داده ها می تواند شهرت و اعتبار شما را تحت تأثیر قرار دهد و در نتیجه سهام شما سقوط کند. اما مهمتر از همه، اگر عدم امنیت شما علت این نقض باشد، ممکن است با پیامدهای قانونی قابل توجهی نیز روبرو شوید.

قوانین امنیتی و حریم خصوصی صنعت مالی را به شدت تنظیم و مدیریت می کند و هر سازمانی که تشخیص داده شود این قانون را نقض میکند، باید جریمه ها و یا صورت حساب های سنگینی را بپردازد.

برای محافظت از نام تجاری و اندوخته خود، باید به طور کامل در مورد شرکتهای روابط سرمایه گذاران تحقیق کنید و سیاستهای امنیتی آنها را به دقت و با تجزیه و تحلیل دقیق، مقایسه کنید. در اینجا مواردی وجود دارد که باید از ارائه دهنده فناوری IR خود انتظار داشته باشید تا برای شما تامین کند:

رمزگذاری
رمزگذاری تمام ترافیک در حال تبادل و داده های در حالت منفعل، از حداقل ملاحظات امنیتی برخوردار هستند. ارائه دهنده خدمات IR شما باید از جدیدترین مجموعه های رمزنگاری برای اطمینان خاطر از بالاترین سطح رمزگذاری، استفاده کند. برای شفافیت بیشتر، آنها باید نحوه ذخیره این داده ها را نیز با شما به اشتراک بگذارند. در صورت استفاده از فارم های داده شخص ثالث، آنها باید جز ارائه دهندگان خدمات پیشرو در صنعت با امکان حفاظت فیزیکی از سرورها و زیرساخت ها باشند.

اعتبارسنجی
ارائه دهنده خدمات IR قوانین حریم خصوصی و پروتکل های امنیتی خود را مطابق با مقررات سطوح صنعت طراحی می کند. شما می خواهید به دنبال شرکتی باشید که دارای گواهینامه ISO (سازمان بین المللی استاندارد) باشد. ISO 27000 ثابت می کند IR CRM شما از بهترین شیوه های تعیین شده در صنعت مدیریت امنیت اطلاعات پیروی می کند.

گواهینامه دیگری که باید به دنبال آن باشید System and Organization Controls 2 (SOC-2) Type 2 است. این گواهی شخص ثالث، پردازش داده های یک سرویس IR را با پنج اصل اساسی خدمات اعتماد آن مورد سنجش قرار میدهد: امنیت، در دسترس بودن، پردازش، صداقت و شفافیت، محرمانه بودن و حفظ حریم خصوصی. فقط مجموعه هایی که به سطح استانداردهای بالا برای تشخیص نفوذ میرسند و آنها رعایت می کنند، ممکن است دارای چنین اعتبارنامه ای باشند.

ممیزی های انطباق امنیتی
امنیت سایبری یک معیار اساسی و دائمی است. به همین دلیل ضروری است که یک شرکت IR ممیزی های منظمی را انجام دهد تا اطمینان حاصل شود که کنترل های امنیتی آنها به حد کافی میباشد. بهترین سرویس IR، ممیزی های داخلی را به تنهایی و توسط خودشان انجام می دهد و شرکتهای امنیتی شخص ثالث را برای ارزیابی، نظارت، بررسی و بهبود طراحی آنها استخدام می کند.

تست نفوذ
تست نفوذ در واقع یک حمله سایبری شبیه سازی شده است که میزان امنیت را در برابر حملات در سطح برنامه و سطح زیرساخت تجزیه و تحلیل می کند. این کار، دو هدف اصلی را دنبال می نماید:

نشان می دهد پروتکل های امنیتی فعلی چقدر در برابر حمله مقاومت می کنند.
این تست، هر گونه آسیب پذیری بالقوه ای را که یک هکر می تواند از آن سواستفاده کند، آشکار می نماید و به شرکت این امکان را می دهد تا قبل از افشای داده ها، این مشکلات را مرتفع کنند.

نتیجه: این فقط یک شروع است

رمزگذاری، اعتباربخشی، ممیزی های انطباق امنیتی و تست نفوذ تنها برخی از روش هایی است که یک سرویس IR از داده های مدیریت ارتباط با مشتری (CRM) شما محافظت می کند. اگرچه آنها باید در حد استاندارد باشند، اما همه ابزارهای IR دارای این سطح امنیت نیستند. با این وجود، راه های دیگری برای بهبود امنیت و رمزگذاری داده ها وجود دارد.

تنها راهی که می توانید اطمینان حاصل کنید خدمات IR شما با این استانداردها مطابقت دارد یا فراتر از آن است، انجام تحقیق و بررسی میباشد. صرف وقت برای مرور سیاست های حفظ حریم خصوصی و امنیت به شما کمک می کند تا از داده های اختصاصی، اطلاعات مشتری و نام تجاری و برند خود محافظت کنید.

4 آگوست 2021

بر اساس گزارش آرمور بلاکس، مجرمان سایبری سیستم میزبانی و اشتراک گذاری فایل WeTransfer را جعل می کنند تا حملات فیشینگ را انجام دهند. حملات فیشینگی که در آن، ایمیل های جعلی کاربر را به سمت یک صفحه فیشینگ با نام و برند Microsoft Excel هدایت میکند.

هدف اصلی این حمله بازیابی و به دست آوردن اعتبارنامه های ایمیل Office 365 قربانیان است. لازم به ذکر است که WeTransfer برای به اشتراک گذاری فایل هایی استفاده می شود که حجم آنها برای ارسال از طریق ایمیل زیاد است.

درباره حمله

به نظر می رسد ایمیل فیشینگ توسط WeTransfer ارسال می شود چرا که نام فرستنده Wetransfer را با خود دارد و عنوانی با توضیح View Files Sent Via WeTransfer را در خود جای داده است. همین شباهت کافی است تا چنین ایمیلی به عنوان یک ایمیل واقعی از WeTransfer به چشم مخاطب بخورد و به راحتی بتوان از این طریق کاربران ناشناس را فریب داد. بدنه و ساختار ایمیل همچنین چندین اشاره به شرکت هدف می کند تا از نظر ظاهری، مشروع به نظر برسد.

به گزارش هک رید، متن ایمیل نشان می دهد که WeTransfer دو فایل را با قربانی به اشتراک گذاشته است و همچنین لینکی برای مشاهده آنها نیز در این ایمیل وجود دارد. وقتی قربانی روی View Files کلیک می کند، لینک موجود در این صفحه، او را به صفحه فیشینگی با ظاهر Microsoft Excel هدایت می نماید.

علاوه بر این، در پس زمینه یک صفحه اطلاعات و جدول مبهم و مات نشان داده میشود و یک فرم نیز در پیش زمینه ارائه داده می شود که از قربانی میخواهد تا اعتبارنامه های ورود به سیستم را وارد کند. این فرم آدرس ایمیل قربانی را برای ایجاد حس مشروع و صحیح بود، در خود جای داده است.

تکنیک های مورد استفاده در حمله فیشینگ
مارک رویال از آرمور بلاکس، در یک پست وبلاگی نوشته است: از طیف وسیعی از تکنیک ها برای فرار از فیلترهای امنیتی رایج ایمیل و جلب کاربران غیرمشکوک استفاده شده است. این موارد شامل مهندسی اجتماعی می شود، زیرا عنوان ایمیل، محتوا و نام فرستنده برای ایجاد حس “اعتماد و ضرورت در قربانیان” طراحی شده است.

یکی دیگر از تکنیک های مورد استفاده در این کمپین، جعل هویت نام تجاری است. ظاهر HTML ایمیل بسیار شبیه WeTransfer است و صفحه فیشینگ طوری طراحی شده است که به عنوان صفحه ورود قانونی Microsoft Excel ظاهر شود. تنها چیزی که باعث می شود این صفحه مشکوک ظاهر شود این است که مایکروسافت با شکل و عنوان MicroSoft نوشته شده است.

 

چگونه از این حمله در امان بمانیم؟
به ناسازگاری ها و ناهماهنگی های جزئی در نام فرستنده، آدرس ایمیل و نام دامنه بسیار توجه کنید. به زبان مورد استفاده در ایمیل توجه کنید. پیاده سازی احراز هویت چند عاملی (MFA) در تمام حساب های شخصی و تجاری را فراموش نکنید. و هرگز از رمز عبور یکسان برای دسترسی به حساب های مختلف استفاده ننمایید.

2 آگوست 2021

محققان امنیت سایبری روز جمعه از زیرساخت های جدید command-and-control (C2) متعلق به عامل تهدیدکننده روسی با نام APT29، معروف به Cozy Bear، که به طور فعال در حال ارائه سرویس به بدافزار WellMess به عنوان بخشی از یک کمپین حمله مداوم، رونمایی و افشاگری کردند.

شرکت RiskIQ که زیرمجموعه شرکت امنیت سایبری متعلق به مایکروسافت است، در گزارشی که با خبرگزاری ها به اشتراک گذاشته، بیان کرده است که بیش از ۳۰ سرور C2 که توسط اطلاعات خارجی روسیه اداره می شده، کشف شده است.

به نظر می رسد APT29 (نامی است که به عوامل دولتی که برای سرویس اطلاعات خارجی روسیه (SVR) کار می کنند اطلاق میشود)، مغز متفکر حمله بزرگ زنجیره تامین SolarWinds که در اواخر سال گذشته آشکار شد، میباشد و دولتهای انگلیس و ایالات متحده به شکل رسمی از اوایل آوریل امسال، روسیه را مسئول این اتفاقات دانسته اند.

این فعالیت توسط جامعه امنیت سایبری تحت اسم رمزهای مختلف، از جملهUNC2452 (FireEye) ،Nobelium (Microsoft) ،SolarStorm (Unit 42) ، StellarParticle (Crowdstrike) ،Dark Halo (Volexity) و Iron Ritual (Secureworks)، با استناد به تفاوت هایشان در تاکتیک ها، تکنیک ها و رویه هایی (TTPs) که توسط عامل مخرب با پروفایل مهاجم و با عنوان APT29 به کار‌ میرود، شناخته میشوند.

به نقل از هکر نیوز، بدافزاز WellMess (معروف به WellMail) که برای اولین بار توسط JPCERT/CC ژاپن در سال ۲۰۱۸ در کمپین های جاسوسی که توسط عامل تهدید برای سرقت مالکیت معنوی از چندین سازمان درگیر در فرایند تحقیق و توسعه واکسن COVID-19 در انگلستان، ایالات متحده و کانادا، شناسایی شد.

مرکز ملی امنیت سایبری بریتانیا (NCSC) در توصیه نامه امنیتی که در جولای سال ۲۰۲۰ منتشر شد، خاطرنشان کرده است: “این گروه از ابزارها و تکنیک های مختلفی برای هدف گیری عمدتاً اهداف دولتی، دیپلماتیک، اتاق های فکر، سیستم های سلامت و انرژی برای دستیابی به اطلاعات استفاده می کند.”.

موسسه RiskIQ گفت که تحقیقات خود را در مورد زیرساخت های حمله APT29 پس از افشای عمومی در مورد سرور WellMess C2 جدید در ۱۱ ژوئن آغاز کرد، که منجر به کشف دسته ای با حدود کمتر از ۳۰ سرور فعال C2 شد. اگرچه مشخص نیست که چگونه از این سرورها استفاده می شود و اهداف آنها چه کسانی هستند، اما اعتقاد بر این است که یکی از سرورها در ۹ اکتبر ۲۰۲۰ فعال بوده است.

این اولین بار نیست که RiskIQ ردپای command-and-control مربوط به هکرهای SolarWinds را شناسایی می کند. در ماه آوریل، مجموعه دیگری از ۱۸ سرور که با درصد اطمینان بالایی احتمالاً با اهدافشان از طریق دیتاهای Cobalt Strike ثانویه که توسط بدافزار TEARDROP و RAINDROP در حملات مستقر شده بود ارتباط برقرار می کردند، کشف شدند.

کوین لایولی، مدیر اطلاعات تهدید RiskIQ گفت: “تیم اطلس RiskIQ با اطمینان بالایی ارزیابی کرده است که این آدرس ها و گواهینامه های IP توسط APT29 در حال استفاده فعال هستند. ما نتوانستیم بدافزاری را که با این زیرساخت ارتباط برقرار میکند، پیدا کنیم، اما گمان می کنیم که شبیه نمونه های شناسایی شده قبلی باشد.”.

27 جولای 2021

یک بدافزار مخرب استخراج رمزارز کراس پلتفرم معروف، همچنان با هدف قرار دادن آسیب پذیری های قدیمی و تکیه بر آنها، ضمن بسط دادن همزمان انواع مکانیسم های توزیع و ارتقای تکنیک های خود برای به حداکثر رساندن اثربخشی کمپین هایش، به ضربه زدن به سیستم عامل های ویندوز و لینوکس ادامه می دهد.

مایکروسافت در مقاله فنی که هفته پیش منتشر شد، اعلام کرد: “LemonDuck، یک بدافزار فعال به روز شده و نیرومند است که اساساً به خاطر اقداماتش در راستای استخراج رمزارز و بات نت شناخته می شود. این بدافزاز با اتخاذ رفتارهای پیچیده تر و افزایش عملیات های خود، همان مسیر قبل را در پیش گرفته و دنبال میکند. امروزه، فراتر از استفاده از منابع برای فعالیت های سنتی بات ها و استخراج رمز ارز، LemonDuck اطلاعات را سرقت می کند، کنترلر های امنیتی را حذف می کند، از طریق ایمیل گسترش یافته و پخش میشود، به صورت جانبی حرکت می کند و در نهایت ابزارهای بیشتری را برای فعالیت های مبتنی بر کنترل اپراتور مستقر مینماید”.

این بدافزار به دلیل توانایی انتشار سریع در شبکه آلوده برای تسهیل سرقت اطلاعات و تبدیل دستگاه ها به بات های استخراج رمزارز به وسیله هدایت منابع محاسباتی خود به سمت استخراج غیرقانونی رمزارز، مشهور است. قابل ذکر است که LemonDuck به عنوان یک لودر برای حملات بعدی عمل می کند که شامل سرقت اعتبارنامه ها و نصب ایمپلنت هایی برای مراحل بعد است که می توانند به عنوان دروازه ورودی برای انواع تهدیدات مخرب، از جمله باج افزار باشند.

فعالیت های LemonDuck برای اولین بار و قبل از شروع به استفاده از ترندهایی با مضمون COVID-19 در حملات ایمیل سال ۲۰۲۰ و حتی نقایص سرور Exchange ProxyLogon که اخیراً به آن پرداخته شده است تا دسترسی به سیستم های پچ نشده را پیدا کند، در ماه می سال ۲۰۱۹ در چین مشاهده گردیده است. تاکتیک قابل توجه دیگر آن نیز، توانایی پاک کردن سایر مهاجمان از یک دستگاه آسیب دیده با خلاص شدن از شر بدافزارهای مخرب و جلوگیری از هرگونه آلودگی جدید به وسیله پچ کردن آسیب پذیری هاییست که برای دسترسی مشابه استفاده میشده است.

حملات شامل بدافزار LemonDuck در بخشهای اصلی تولید و IoT متمرکز بوده است. همچنین کشورهایی از جمله ایالات متحده آمریکا، روسیه، چین، آلمان، انگلیس، هند، کره، کانادا، فرانسه و ویتنام نیز بیشترین برخوردها و درگیری ها را با این بدافزار داشته اند.

افزون بر این، مایکروسافت از فعالیت بدافزار دومی که بر LemonDuck برای دستیابی به اهداف جداگانه تکیه می کند، پرده برداشت. شرکت مایکروسافت اسم رمز این بدافزاز را “LemonCat” گذاشته است. گفته می شود که زیرساخت حمله همراه با نوع “Cat” در ژانویه ۲۰۲۱ ظهور کرده است و در نهایت منجر به استفاده از آن در حملات سواستفاده از آسیب پذیری های هدف قرار دادن Microsoft Exchange Server شده است. نفوذهای بعدی با استفاده از دامنه های Cat منجر به نصب backdoor، سرقت اعتبارنامه ها و داده ها و استقرار بدافزار شده است که غالباً یک تروجان ویندوز به نام Ramnit است.

مایکروسافت بیان داشت: “این واقعیت که از زیرساخت Cat برای فعالیت های خطرناک تر استفاده می شود، آلودگی های مخرب را از طریق زیرساخت Duck کم نمی کند. در عوض، این اطلاعات زمینه مهمی را برای درک بهتر این تهدید اضافه می کند: همان مجموعه از ابزارها، دسترسی ها و روش ها را مجددا می توان در فواصل زمانی پویا برای تأثیر بیشتر و بهتر، استفاده کرد”.