باج‌افزار Royal برای اولین بار در اوایل سال 2022 مشاهده شد. طبق بررسی‌های صورت گرفته، گروه توسعه‌دهنده این باج‌افزار در ابتدا از باج‌افزارهای دیگری از قبیل BlackCat و Zeon در حملات خود استفاده می‌کردند که در نهایت در سپتامبر 2022 تصمیم گرفتند تا باج‌افزار شخصی‌سازی شده خود را توسعه و به کار گیرند. بر اساس گزارش رتبه‌بندی سرویس اطلاعاتی DarkFeed، باج‌افزار Royal در سال 2022 با 44 قربانی، در صدر موفق‌ترین باج‌افزارها حتی بالاتر از باج‌افزار LockBit قرار گرفت.

1 مقدمه
باج‌افزار Kuiper برای اولین بار در سپتامبر 2023 مشاهده شد. این باج‌افزار که با زبان برنامه‌نویسی Go توسعه یافته است، در انجمن‌های زیرزمینی روسیه به عنوان RaaS در حال خرید و فروش بود. باج‌افزاری به شدت پیچیده که با سیستم‌عامل‌های ویندوز، لینوکس و MacOS سازگار است. باج‌افزار Kuiper از ترکیب الگوریتم‌های AES، Chacha20 و RSA برای رمزگذاری فایل‌های قربانیان استفاده می‌کند. تبلیغاتی که در شبکه‌های زیرزمینی دارک‌وب برای فروش این باج‌افزار دست به دست می‌شد حاکی از توسعه یافته بودن ساختار کد آن می‌باشد.

1    بدافزار PlugX
تیم تحقیقاتی و امنیتی Sekoia با انتشار گزارشی، از انتشار یک کرم رایانه‌ای بسیار خطرناک با نام PlugX خبر داد. بدافزار PlugX نوعی Post-Exploitation RAT می‌باشد که پس از نفوذ به سیستم قربانی می‌تواند اعمال مخرب خود را انجام دهد. این کرم از طریق حافظه‌های USB انتشار یافته و ایران در لیست آلوده‌ترین کشورها به این بدافزار می‌باشد. در ادامه برخی از نکات اولیه شناسایی شده درباره PlugX ذکر شده‌ است:

با توجه به تحولات حوزه امنیت سایبری، پیشتاز بودن در تهدیدات سایبری فعلی و پیش‌بینی رویدادهای آینده برای استراتژی‌های دفاعی مؤثر بسیار مهم است. با پایان سال 2023، چندین روند کلیدی در امنیت سایبری مشخص شده است که به طور قابل توجهی بر نحوه آماده‌سازی سازمان‌ها و واکنش به تهدیدات سایبری تأثیر می‌گذارد. با گسترش قلمرو دیجیتال، اهمیت اقدامات پیشگیرانه و جامع امنیت سایبری حیاتی‌تر می‌شود. در ادامه به بررسی این روندها و تأثیر بالقوه آینده آن‌ها بر چشم‌انداز امنیت‌سایبری پرداخته می‌شود.

 1    آنالیز پیکربندی بدافزار Lu0Bot
بدافزار Lu0Bot که در زبان node.js نوشته شده است، در ابتدا صرفأ رباتی جهت حمله انکار‌سرویس توزیع‌شده بنظر می‌آمد و انتظار می‌رفت بواسطه محدودیت‌های ذاتی node.js چندان توانمند نباشد اما قابلیت‌های چشمگیری دارد و می‌تواند با اجرای یک فرآیند مبهم‌سازی چند لایه مبتنی بر پلتفرم، اهدافش را به طور جدی تهدید ‌کند. 

Nautilus  یک کمپین جدید کشف کرده است که از آسیب‌پذیری Openfire (CVE-2023-32315) بهره‌برداری می‌کند که در سال جاری افشا شده است، تا نرم‌افزار Kinsing و یک ماینر رمزارز را راه‌اندازی کند. این آسیب‌پذیری منجر به حمله می‌شود، که به یک کاربر غیرمجاز دسترسی به محیط تنظیم Openfire را می‌دهد. سپس این به افراد هدف اجازه می‌دهد تا کاربر ادمین جدیدی ایجاد کرده و پلاگین‌های مخربی را آپلود کنند. در نهایت مهاجم می‌تواند کنترل کاملی بر روی سرور پیدا کند. سرور Openfire، یک سرور چت متن باز مبتنی بر جاوا (XMPP) است که ٩ میلیون بار دانلود شده است.

چندین عامل تهدید در حال شخصی‌سازی بدافزار سرقت اطلاعات SapphireStealer پس از فاش شدن کد منبع (Source Code) آن هستند. محققان Cisco Talos گزارش دادند که پس از انتشار کد منبع این بدافزار در GitHub، چندین عامل تهدید نسخه شخصی‌سازی شده خود را از SapphireStealer ایجاد کرده‌اند. نرم‌افزارهای جمع‌آوری اطلاعات می‌توانند برای به‌دست آوردن اطلاعات حساس، از جمله اعتبارهای شرکتی استفاده شوند که اغلب به سایر عوامل تهدید که دسترسی را برای حملات اضافی، از جمله عملیات مرتبط با جاسوسی یا رمزگذاری/ابزارهای تهدید و انتزاع استفاده می‌کنند.

به تازگی یک نرم‌افزار مخرب پیشرفته اندروید شناسایی شده است که به صورت یک برنامه چت بدون ارتباط واقعی است. این نرم‌افزار مخرب خاص دارای یک مکانیسم عملیاتی مشابه با نرم‌افزارهای مخربی است که قبلاً شناسایی شده‌اند (توسط گروه APT معروف به "DoNot" از طریق فروشگاه Google Play توزیع شده است)، با این تفاوت که این نرم‌افزار دارای مجوزهای بیشتری است و بنابراین سطح تهدید بالاتری ارائه می‌دهد. این نرم‌افزار مخرب اندروید مشکوک که به نام ابتدایی "CoverIm" شناخته می‌شد، از طریق WhatsApp به قربانیان تحویل داده شده و به عنوان یک برنامه چت دیگر با نام "SafeChat" نمایش داده می‌شود.

بسته‌های npm کشف شده است که فایل‌های اجرایی TurkoRAT را که از NodeJS تبعیت می‌کنند، ارائه می‌دهند. پژوهشگران توانسته‌اند چندین بسته npm را کشف کنند که با نام‌هایی برگزیده از کتابخانه‌های NodeJS نام‌گذاری شده‌اند و حتی یک فایل اجرایی ویندوز را شبیه سازی کرده‌اند که به نظر NodeJS می‌آید، اما یک تروجان مخرب را نصب می‌کند. این بسته‌ها، با توجه به رفتار ناشناس و نرخ کشف بسیار پایین، بیش از دو ماه قبل از کشف آنها، توسط پژوهشگران در npm وجود داشتند.

یک شکل کاملاً جدید و گزارش نشده از BPFdoor اخیراً توسط آزمایشگاه