• info@arka.ir
  • تماس با ما: 02191300476 - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷

بایگانی برچسب: s

28 سپتامبر 2021

بدافزار Tangle Bot می‌تواند کاربران اندروید را گمراه کند تا نرم‌افزار دستکاری‌شده‌ای را که به همراه پیام جعلی واکسن دوز سوم کرونا ارسال‌ شده‌است، نصب کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت امنیت سایبری پروف پوینت (Proofpoint)، اخیراً تهدید جدیدی را شناسایی کرده که می‌تواند تلفن همراه قربانی را از طریق پیامک تسخیر کند. این تهدید در آمریکا و کانادا پیدا شده و طبق گزارش‌ها، کاربران اندروید هدف اصلی این بدافزار هستند.

این تهدید امنیتی به دلیل توانایی در کنترل چندین عملکرد دستگاه، تانگل بات Tangle Bot نام‌گذاری شده است. عملکردهای متأثر از این بدافزار ممکن است شامل لیست مخاطبان، سابقه تلفن، دوربین و میکروفون به همراه قابلیت استفاده از اینترنت باشد.

تانگل بات مانند بدافزار فلو بات (Flu Bot) کار می‌کند که هنوز در انگلستان و اروپا وجود دارد. این بدافزار می‌تواند قربانی را گمراه کند تا او نرم‌افزار دستکاری‌شده‌ای که به همراه پیام جعلی واکسن کرونا ارسال‌شده را نصب کند. این پیام جعلی حاوی اطلاعاتی در مورد دز سوم واکسن کرونا به همراه سیاست‌های نظارتی جدید است.

قربانی پس از ضربه زدن روی لینک با صفحه وبی مواجه می‌شود که از او می‌خواهد برنامه آدوبه فلش پلییِر (Adobe Flash Player) خود را به‌روز کند، اگر کاربر با این به‌روزرسانی موافقت کند و دکمه نصب را لمس کند، آنگاه بدافزار تانگل بات نصب‌شده و مهاجم می‌تواند کنترل چندین عملکرد ازجمله لیست شماره‌ها، ضبط صفحه و باز کردن دوربین و میکروفون را به دست گیرد.

به گفته شرکت امنیت سایبری پروف پوینت این بدافزار حتی می‌تواند با پوشاندن صفحه روی صفحه به برنامه‌های مالی آنلاین دسترسی پیدا کند و بعداً از دستگاه قربانی برای ارسال پیام‌های جعلی واکسن کرونا استفاده کند.

اگر کاربر به نحوی بفهمد که دستگاه او توسط یک بدافزار آلوده‌ شده و آن را حذف کند، هکر تا مدتی از اطلاعات سرقت شده استفاده نمی‌کند و کاربر را فریب می‌دهد تا باور کند چیزی سرقت نشده است.

به همین دلیل است که بهترین راه برای محافظت از دستگاه در برابر مجرمان، جلوگیری از باز کردن لینک‌هایی است که از شماره‌های ناشناخته دریافت می‌شوند و برنامه‌ها باید فقط از منابع قابل‌اعتماد نصب شوند.

مرجع : سایبربان
25 سپتامبر 2021

محققان امنیت سایبری تکنیک جدیدی را که عامل تهدید به صورت عمدی برای جلوگیری از تشخیص و شناسایی به کمک امضا‌های نادرست دیجیتالی payload‌های بدافزار خود استفاده کرده است، فاش کرده‌اند.

نیل مهتا از گروه تجزیه و تحلیل تهدیدات گوگل در گزارشی که روز پنجشنبه منتشر شد، اعلام کرد: “مهاجمان امضا‌های کد ناقصی را ایجاد کرده‌اند که توسط ویندوز معتبر تلقی می‌شوند اما نمی‌توانند با کد OpenSSL که در تعدادی از محصولات اسکن امنیتی استفاده می‌شود، رمزگشایی یا بررسی شوند”.

مشخص گردیده است که این مکانیسم جدید توسط گروه بدنامی از نرم‌افزار‌های ناخواسته معروف به OpenSUpdater مورد استفاده قرار می‌گیرد، که برای بارگیری و نصب سایر برنامه‌های مشکوک در سیستم‌های آسیب دیده استفاده می‌شود. بیشتر اهداف این کمپین کاربرانی هستند که در ایالات متحده قرار دارند و مستعد دانلود نسخه‌های کرک شده بازی‌ها و سایر نرم‌افزار‌های نامشخص و نامطمئن هستند.

این یافته‌ها از مجموعه‌ای از نمونه‌های OpenSUpdater نشات می‌گیرد که حداقل از اواسط ماه آگوست در VirusTotal بارگذاری شده‌اند.

در حالی که مهاجمان در گذشته برای جاسوسی از ابزار‌های تبلیغاتی مزاحم و سایر نرم‌افزار‌های ناخواسته در شناسایی ابزار‌های مخرب یا جاسازی کد حمله در اجزای نرم‌افزاری معتبر و دارای امضای دیجیتالی با آلوده کردن زنجیره تأمین نرم‌افزار، به گواهی‌های دیجیتالی غیرقانونی تکیه کرده‌اند، OpenSUpdater به دلیل توانایی استفاده عمدی از امضای ناقص برای عبور از سد دفاعی، برجسته است.
takian.ir google warns of new way hackers can make malware undetectable on windows 2
بدافزار‌ها در ویندوز قابل تشخیص نیستند
بدافزار‌های طراحی شده با یک گواهی نامعتبر X. ۵۰۹ امضا شده و به گونه‌ای ویرایش شده‌اند که المان “parametrs” در زمینه SignatureAlgorithm شامل نشانگر پایان محتوا (EOC) به جای برچسب NULL است. اگرچه اینگونه رمزگذاری‌ها توسط محصولاتی که از OpenSSL برای بازیابی اطلاعات امضا استفاده می‌کنند، نامعتبر است، اما بررسی‌های سیستم‌های ویندوز اجازه می‌دهد فایل بدون هیچگونه هشدار امنیتی اجرا شود.

جلوگیری از نشت اطلاعات
مهتا افزود: “این اولین بار است که TAG مهاجمانی را که از این تکنیک برای فرار از تشخیص و شناسایی استفاده می‌کنند، مشاهده می‌کند و در عین حال امضای دیجیتالی معتبر روی فایل‌های PE را حفظ می‌نماید”.

این محقق همچنین اضافه کرد: “امضا‌های کد بر روی قسمت‌های اجرایی ویندوز، ضمانتهایی را در مورد یکپارچگی یک فایل اجرایی امضا شده و همچنین اطلاعاتی در مورد هویت امضاکننده، ارائه می‌دهد. مهاجمانی که قادرند هویت خود را در امضا کتمان و پنهان کنند، بدون اینکه بر تمامیت و کلیت امضا تأثیر بگذارد، می‌توانند برای مدتی طولانی از امکان تشخیص جلوگیری کرده و طول عمر گواهینامه‌های دارای امضای کد خود را به منظور آلوده کردن سیستم‌های بیشتر، افزایش داده و تمدید نمایند″.

22 سپتامبر 2021

موجی از حملات بدافزار که به تازگی کشف شده است با استفاده از تاکتیک‌های مختلف برای به بردگی درآوردن دستگاه‌های حساس و مشخصاً با سطح اعتبار ادمین برای بهره کشی از آن‌ها در یک شبکه با هدف استخراج غیرقانونی رمزارز، مشاهده شده است.

لری کشدالر، محقق امنیتی Akamai، در مقاله‌ای که روز یکشنبه منتشر شد، گفت: “تاکتیک اصلی این بدافزار گسترش با استفاده از سیستم‌های آسیب‌پذیر و اعتبارنامه‌های ضعیف ادمین است. پس از آلوده شدن، این سیستم‌ها برای استخراج رمزارز استفاده می‌شوند”.

این بدافزار مبتنی PHP، با اسم رمز “Capoae” (مخفف “Сканирование”، کلمه روسی “اسکن”)، گفته می‌شود که از طریق یک افزونه backdoor به افزونه وردپرس به نام “download-monitor” که پس از تحمیل موفقیت‌آمیز اعتبارنامه ادمین به وردپرس نصب می‌گردد، در دستگاه میزبان مستقر می‌شود. این حملات همچنین شامل استقرار یک فایل باینری مبتنی بر زبان برنامه‌نویسی Go با قابلیت رمزگشایی است که payload‌ های مبهم با استفاده از افزونه حاوی تروجان برای درخواست GET از یک دامنه تحت کنترل مهاجم بازیابی می‌شوند.

به نقل از هکرنیوز، همچنین یک ویژگی دیگر نیز برای رمزگشایی و اجرای payload‌ های اضافی وجود دارد و از طریق فایل باینری Golang که از چندین نقص اجرای کد از راه دور در Oracle WebLogic Server (CVE-۲۰۲۰-۱۴۸۸۲) ،NoneCms (CVE-۲۰۱۸-۲۰۰۶۲) و Jenkins ( CVE-۲۰۱۹-۱۰۰۳۰۲۹ و CVE-۲۰۱۹-۱۰۰۳۰۳۰) رنج می‌برد، بهره گرفته تا بتواند راه خود را به سیستم‌هایی که SSH را اجرا می‌کنند پیدا کرده و در نهایت نرم‌افزار استخراج XMRig را نصب و راه‌اندازی نماید.

جلوگیری از حملات باج‌افزار
علاوه بر این، زنجیره حمله به دلیل ترفند‌های خاص خود برای ماندگاری در دستگاه‌ها، که شامل انتخاب یک مسیر سیستمی با ظاهر قانونی در دیسک است که احتمالاً باینری سیستم در آن یافت می‌شود و همچنین ایجاد یک نام فایل تصادفی شش کاراکتری که بعداً برای کپی کردن باج‌افزار در محلی جدید در سیستم و قبل از حذف بدافزار و هنگام اجرا استفاده می‌گردد، شناخته می‌شود.

کشدالر گفت: “استفاده کمپین Capoae از آسیب‌پذیری‌ها و تاکتیک‌های متعدد نشان می‌دهد که این اپراتور‌ها به چه میزان قصد دارند تا جایی که ممکن است بر روی بسیاری از دستگاه‌ها برای رسیدن له مقصود خود تکیه کنند. خبر خوب این است که همان تکنیک‌هایی که ما به اکثر سازمان‌ها توصیه می‌کنیم تا سیستم‌ها و شبکه‌ها را ایمن نگه دارند، هنوز در این مورد قابل اعمال است”.

کشدالر افزود: “از اعتبارنامه‌های ضعیف یا پیش فرض برای سرور‌ها یا برنامه‌های کاربردی استفاده نکنید. همچنین اطمینان حاصل کنید که برنامه‌های کاربردیتان را با جدیدترین پچ‌های امنیتی به روز نگه می‌دارید و هر از گاهی آن‌ها را بررسی می‌کنید. به علاوه مراقب مصرف بیش از حد معمول منابع سیستم، فرایند‌های عجیب و غریب غیرمنتظره، فرایند‌های ساختگی مشکوک و لاگ‌های ورودی دسترسی مشکوک باشید. دقت، شناسایی و توجه به این موارد، به شما کمک می‌کند تا به طور بالقوه دستگاه‌های آسیب دیده را شناسایی کنید″.

2 آگوست 2021

محققان امنیت سایبری روز جمعه از زیرساخت های جدید command-and-control (C2) متعلق به عامل تهدیدکننده روسی با نام APT29، معروف به Cozy Bear، که به طور فعال در حال ارائه سرویس به بدافزار WellMess به عنوان بخشی از یک کمپین حمله مداوم، رونمایی و افشاگری کردند.

شرکت RiskIQ که زیرمجموعه شرکت امنیت سایبری متعلق به مایکروسافت است، در گزارشی که با خبرگزاری ها به اشتراک گذاشته، بیان کرده است که بیش از ۳۰ سرور C2 که توسط اطلاعات خارجی روسیه اداره می شده، کشف شده است.

به نظر می رسد APT29 (نامی است که به عوامل دولتی که برای سرویس اطلاعات خارجی روسیه (SVR) کار می کنند اطلاق میشود)، مغز متفکر حمله بزرگ زنجیره تامین SolarWinds که در اواخر سال گذشته آشکار شد، میباشد و دولتهای انگلیس و ایالات متحده به شکل رسمی از اوایل آوریل امسال، روسیه را مسئول این اتفاقات دانسته اند.

این فعالیت توسط جامعه امنیت سایبری تحت اسم رمزهای مختلف، از جملهUNC2452 (FireEye) ،Nobelium (Microsoft) ،SolarStorm (Unit 42) ، StellarParticle (Crowdstrike) ،Dark Halo (Volexity) و Iron Ritual (Secureworks)، با استناد به تفاوت هایشان در تاکتیک ها، تکنیک ها و رویه هایی (TTPs) که توسط عامل مخرب با پروفایل مهاجم و با عنوان APT29 به کار‌ میرود، شناخته میشوند.

به نقل از هکر نیوز، بدافزاز WellMess (معروف به WellMail) که برای اولین بار توسط JPCERT/CC ژاپن در سال ۲۰۱۸ در کمپین های جاسوسی که توسط عامل تهدید برای سرقت مالکیت معنوی از چندین سازمان درگیر در فرایند تحقیق و توسعه واکسن COVID-19 در انگلستان، ایالات متحده و کانادا، شناسایی شد.

مرکز ملی امنیت سایبری بریتانیا (NCSC) در توصیه نامه امنیتی که در جولای سال ۲۰۲۰ منتشر شد، خاطرنشان کرده است: “این گروه از ابزارها و تکنیک های مختلفی برای هدف گیری عمدتاً اهداف دولتی، دیپلماتیک، اتاق های فکر، سیستم های سلامت و انرژی برای دستیابی به اطلاعات استفاده می کند.”.

موسسه RiskIQ گفت که تحقیقات خود را در مورد زیرساخت های حمله APT29 پس از افشای عمومی در مورد سرور WellMess C2 جدید در ۱۱ ژوئن آغاز کرد، که منجر به کشف دسته ای با حدود کمتر از ۳۰ سرور فعال C2 شد. اگرچه مشخص نیست که چگونه از این سرورها استفاده می شود و اهداف آنها چه کسانی هستند، اما اعتقاد بر این است که یکی از سرورها در ۹ اکتبر ۲۰۲۰ فعال بوده است.

این اولین بار نیست که RiskIQ ردپای command-and-control مربوط به هکرهای SolarWinds را شناسایی می کند. در ماه آوریل، مجموعه دیگری از ۱۸ سرور که با درصد اطمینان بالایی احتمالاً با اهدافشان از طریق دیتاهای Cobalt Strike ثانویه که توسط بدافزار TEARDROP و RAINDROP در حملات مستقر شده بود ارتباط برقرار می کردند، کشف شدند.

کوین لایولی، مدیر اطلاعات تهدید RiskIQ گفت: “تیم اطلس RiskIQ با اطمینان بالایی ارزیابی کرده است که این آدرس ها و گواهینامه های IP توسط APT29 در حال استفاده فعال هستند. ما نتوانستیم بدافزاری را که با این زیرساخت ارتباط برقرار میکند، پیدا کنیم، اما گمان می کنیم که شبیه نمونه های شناسایی شده قبلی باشد.”.

27 جولای 2021

یک بدافزار مخرب استخراج رمزارز کراس پلتفرم معروف، همچنان با هدف قرار دادن آسیب پذیری های قدیمی و تکیه بر آنها، ضمن بسط دادن همزمان انواع مکانیسم های توزیع و ارتقای تکنیک های خود برای به حداکثر رساندن اثربخشی کمپین هایش، به ضربه زدن به سیستم عامل های ویندوز و لینوکس ادامه می دهد.

مایکروسافت در مقاله فنی که هفته پیش منتشر شد، اعلام کرد: “LemonDuck، یک بدافزار فعال به روز شده و نیرومند است که اساساً به خاطر اقداماتش در راستای استخراج رمزارز و بات نت شناخته می شود. این بدافزاز با اتخاذ رفتارهای پیچیده تر و افزایش عملیات های خود، همان مسیر قبل را در پیش گرفته و دنبال میکند. امروزه، فراتر از استفاده از منابع برای فعالیت های سنتی بات ها و استخراج رمز ارز، LemonDuck اطلاعات را سرقت می کند، کنترلر های امنیتی را حذف می کند، از طریق ایمیل گسترش یافته و پخش میشود، به صورت جانبی حرکت می کند و در نهایت ابزارهای بیشتری را برای فعالیت های مبتنی بر کنترل اپراتور مستقر مینماید”.

این بدافزار به دلیل توانایی انتشار سریع در شبکه آلوده برای تسهیل سرقت اطلاعات و تبدیل دستگاه ها به بات های استخراج رمزارز به وسیله هدایت منابع محاسباتی خود به سمت استخراج غیرقانونی رمزارز، مشهور است. قابل ذکر است که LemonDuck به عنوان یک لودر برای حملات بعدی عمل می کند که شامل سرقت اعتبارنامه ها و نصب ایمپلنت هایی برای مراحل بعد است که می توانند به عنوان دروازه ورودی برای انواع تهدیدات مخرب، از جمله باج افزار باشند.

فعالیت های LemonDuck برای اولین بار و قبل از شروع به استفاده از ترندهایی با مضمون COVID-19 در حملات ایمیل سال ۲۰۲۰ و حتی نقایص سرور Exchange ProxyLogon که اخیراً به آن پرداخته شده است تا دسترسی به سیستم های پچ نشده را پیدا کند، در ماه می سال ۲۰۱۹ در چین مشاهده گردیده است. تاکتیک قابل توجه دیگر آن نیز، توانایی پاک کردن سایر مهاجمان از یک دستگاه آسیب دیده با خلاص شدن از شر بدافزارهای مخرب و جلوگیری از هرگونه آلودگی جدید به وسیله پچ کردن آسیب پذیری هاییست که برای دسترسی مشابه استفاده میشده است.

حملات شامل بدافزار LemonDuck در بخشهای اصلی تولید و IoT متمرکز بوده است. همچنین کشورهایی از جمله ایالات متحده آمریکا، روسیه، چین، آلمان، انگلیس، هند، کره، کانادا، فرانسه و ویتنام نیز بیشترین برخوردها و درگیری ها را با این بدافزار داشته اند.

افزون بر این، مایکروسافت از فعالیت بدافزار دومی که بر LemonDuck برای دستیابی به اهداف جداگانه تکیه می کند، پرده برداشت. شرکت مایکروسافت اسم رمز این بدافزاز را “LemonCat” گذاشته است. گفته می شود که زیرساخت حمله همراه با نوع “Cat” در ژانویه ۲۰۲۱ ظهور کرده است و در نهایت منجر به استفاده از آن در حملات سواستفاده از آسیب پذیری های هدف قرار دادن Microsoft Exchange Server شده است. نفوذهای بعدی با استفاده از دامنه های Cat منجر به نصب backdoor، سرقت اعتبارنامه ها و داده ها و استقرار بدافزار شده است که غالباً یک تروجان ویندوز به نام Ramnit است.

مایکروسافت بیان داشت: “این واقعیت که از زیرساخت Cat برای فعالیت های خطرناک تر استفاده می شود، آلودگی های مخرب را از طریق زیرساخت Duck کم نمی کند. در عوض، این اطلاعات زمینه مهمی را برای درک بهتر این تهدید اضافه می کند: همان مجموعه از ابزارها، دسترسی ها و روش ها را مجددا می توان در فواصل زمانی پویا برای تأثیر بیشتر و بهتر، استفاده کرد”.

19 جولای 2021

ویرجینیا تک می گوید که در دو حمله سایبری اخیر مورد هدف قرار گرفته است اما احساس اطمینان می کند هیچ اطلاعاتی به سرقت نرفته است.

سخنگوی ویرجینیا تك ، Mark Owczarski به Roanoke Times Friday روز جمعه گفت كه چند واحد دانشگاهی از Kaseya ، یک شرکت نرم افزاری در اوایل ماه ژوئیه در یک حمله گسترده باج افزار مورد سواستفاده قرار گرفت که مشاغل مختلف در سراسر جهان را به دام انداخت.

Owzzarski گفت بدافزاری که هکرها به مشتریان Kaseya منتقل کردند می توانست اطلاعات دانشجویی را افشا کند اما دانشگاه هیچ مدرکی در این باره پیدا نکرد.

روزنامه گزارش داد ، در حمله جداگانه ای در ماه مه ، از داده های رمزگذاری برای حمله به سرور دانشگاه استفاده شد و توانایی دانشگاه برای دسترسی به داده ها را مسدود کرد. Owczarski گفت كه در حالی كه هكرها از نرم افزارهای آسیب پذیر در سرور سو استفاده می كنند ، اما هیچ مدرکی نیز در دست نیست.

وی به روزنامه گفت دانشگاه در هر دو حمله پول باج پرداخت نکرده است. مشکلات مربوط به حمله اول برطرف شده است اما هنوز کار برای بازگرداندن رایانه ها از حمله اخیر ، که گسترده تر بود ، ادامه دارد.

  • 1
  • 2