این باج‌افزار که به نام KoKoLocker نیز شناخته می‌شود، با بهره گیری از الگوریتم AES-256 فایل‌های قربانیان را رمزگذاری کرده و پیغام‌ باج‌خواهی خود را در قالب یک پنجره به صورت زیر در سیستم قربانی نمایش می‌دهد:
در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند .kokolocker می‌باشند. می‌توانید با این رمزگشا فایل‌های خود را رمزگشایی کنید.
به منظور دانلود رمزگشا به لینک زیر مراجعه بفرمایید:

https://www.emsisoft.com/ransomware-decryption-tools/kokokrypt

AgentTesla یک سارق اطلاعات قابل خرید از فوروم‌ها و دارای قابلیت keylogging و تروجان دسترسی از راه دور (RAT) است. این بدافزار که حداقل از سال 2014 تاکنون فعال است و به تازگی در لیست "10 مورد از رایج‌ترین تهدیدات" رتبه‌ی دوم را به خود اختصاص داده است، اخیراً بوسیله‌ی صدور فرمان netsh نه تنها لیستی از WiFiهای دردسترس و رمزهای عبور هر پروفایل، بلکه اطلاعات گسترده‌ای را در مورد سیستم مانند کلاینت‌هایFTP، مرورگرها، نام‌کاربری، نام رایانه، نام ‌سیستم‌عامل، معماریCPU ، رم و غیره را نیز استخراج می‌کند.

برخی از انواع جدید بدافزارهای سرقت اطلاعاتی Agent Tesla اکنون دارای یک ماژول اختصاصی برای سرقت رمزهای عبور WiFi از دستگاه‌های آلوده هستند، اطلاعات کاربری که ممکن است در حملات بعدی برای گسترش و به خطر انداختن سایر سیستم‌ها در همان شبکه‌ی بی‌سیم استفاده شود.
نمونه‌های جدید به شدت مبهم‌سازی شده‌اند و توسط نویسندگان بدافزار طراحی شده‌اند تا بوسیله‌ی صدور یک دستور netsh با یک آرگومان wlan show profileو لیست‌کردن تمام پروفایل‌های WiFi در دسترس، اطلاعات‌ کاربری بی‌سیم را از رایانه‌های به خطر افتاده جمع‌آوری کنند.
همانطور که تیم اطلاعات تهدید Malwarebytes دریافته‌اند، برای به‌دست‌آوردن رمزهای عبور WiFi از‌SSID های کشف شده )نام شبکه‌های(Wi-Fi ، سارق اطلاعاتی Agent Tesla برای نمایش و استخراج رمزعبور، برای هر پروفایل یک دستور جدید netsh را با اضافه‌کردن SSID و یک آرگومان key=clear صادر می‌کند.
به گزارش Malwarebytes فایل اجرایی علاوه بر پروفایل‌هایWi-Fi ، اطلاعات گسترده‌ای را در مورد سیستم شامل کلاینت‌های FTP ، مرورگرها ، بارگیری فایل‌ها ، اطلاعات دستگاه (نام کاربری، نام رایانه، نام‌سیستم عامل، معماریCPU ، رم) جمع آوری کرده و آن‌ها را به لیست اضافه می‌کند.

دانلود متن کامل

به‌روزرسانی‌های امنیتی ماه آوریل #‫مایکروسافت، وصله‌هایی برای 113 آسیب‌پذیری، ازجمله دو نقص اجرای کد از راه دور در ویندوز که به‌طور فعال مورد سوءاستفاده قرار می‌گیرند، منتشر شد.
17 آسیب‌پذیری از اهمیت بحرانی برخوردار هستند و بقیه نیز به‌عنوان مهم ارزیابی می‌شوند.
نقص‌هایی که مایکروسافت در این ماه به آن پرداخته است، بر روی Windows ، Edge ، Internet Explorer ، Office ، Windows Defender ، Dynamics، برنامه‌های اندروید و مک و سایر محصولات تأثیر می‌گذارد.
دو نقص اجرای کد از راه دور (RCE) در ویندوز که با عناوین "CVE-2020-1020" و "CVE-2020-0938" ردیابی می‌شوند، مربوط به کتابخانه‌ی Adobe Type Manager هستند.
آسیب‌پذیری "CVE-2020-1020" زمانی به‌وجود می‌آید که کتابخانه‌ی Windows Adobe Type Manager، یک قلم (فونت) خاص ساخته‌شده (فرمت Adobe Type 1 PostScript ) را به‌نادرستی بکار می‌برد.
کتابخانه‌ی قلم آسیب‌دیده نه‌تنها وقتی که با یک نرم‌افزار شخص ثالث باز است، محتوا را تجزیه می‌کند بلکه توسط اکسپلورر ویندوز برای نمایش محتوای یک پرونده در «پیش نمایش صفحه» یا «جزئیات صفحه» استفاده می‌شود، بدون اینکه نیازی به بازکردن آن توسط کاربر داشته باشد.
نقص "CVE-2020-0938" نیز در کتابخانه‌ی Adobe Type Manager مستقر است که هنگام تجزیه‌ی یک قلم مخرب OpenType به‌وجود می‌آید.
مایکروسافت خاطرنشان کرد که حمله‌ی موفقیت‌آمیز بر روی سیستم‌های دارای نسخه‌های پشتیبانی‌شده از ویندوز 10 تنها می‌تواند منجر به اجرای کد در یک بستر sandbox در AppContainer با امتیازات و قابلیت‌های محدود شود.
سومین نقص ویندوز توسط مایکروسافت، به‌عنوان "CVE-2020-1027" ردیابی شده است. طبق گفته‌ی مایکروسافت، این آسیب‌پذیری یک عیب هسته‌ی ویندوز است که به‌طور فعال در اینترنت مورد سوءاستفاده قرار می‌گیرد.
به‌گفته‌ی این شرکت، این آسیب‌پذیری افزایش امتیاز به گونه‌ای است که هسته‌ی ویندوز از اشیاء موجود در حافظه استفاده می‌کند. مهاجمی که با موفقیت از این آسیب‌پذیری سوءاستفاده کرده است، می‌تواند کد را با مجوزهای بالا اجرا کند. برای سوءاستفاده از این آسیب‌پذیری، یک مهاجم معتبر محلی می‌تواند یک برنامه‌ی ساختگی ویژه را اجرا کند.
مسئله‌ی دیگری که به‌طور گسترده در حملات، مورد بهره‌برداری قرار گرفته است، مسئله‌ی اجرای کد از راه دور در اینترنت اکسپلورر به‌عنوان "CVE-2020-0968" است. این آسیب‌پذیری که در نحوه‌ی کنترل موتور اسکریپت‌نویسی اشیاء در حافظه، وجود دارد، می‌تواند حافظه را به‌گونه‌ای خراب کند که یک مهاجم بتواند کد دلخواه را در متن کاربر فعلی اجرا کند. مهاجمی که با موفقیت از این آسیب‌پذیری سوءاستفاده کرده است، می‌تواند همان کاربر فعلی را به دست آورد. اگر کاربر فعلی با استفاده از حقوق کاربر اداری وارد سیستم شود، مهاجمی که با موفقیت از آسیب‌پذیری سوءاستفاده کرده باشد، می‌تواند کنترل یک سیستم آسیب‌دیده را به‌دست بگیرد. سپس مهاجم می‌تواند برنامه‌هایی را نصب کند، داده‌ها را تغییر دهد یا مشاهده و حذف کند یا حساب‌های جدید با حقوق کامل کاربر ایجاد کند.
به‌روزرسانی ماه آوریل همچنین شامل وصله‌هایی برای 5 عیب اساسی است که بر Microsoft Office SharePoint تأثیر می‌گذارند. 4 مورد از آن‌ها به‌دلیل عدم موفقیت نرم‌افزار در بررسی نشانه‌ی منبع یک بسته‌ی برنامه، به‌وجود می‌آیند و به مهاجمین راه دور امکان اجرای کد دلخواه در دستگاه‌های آسیب‌دیده می‌دهند.
پنجمین عیب SharePoint یک مسئله‌ی اسکریپت مخرب (XSS) در سطح سایت است (CVE-2020-0927) که می‌تواند توسط یک مهاجم معتبر، با ارسال یک درخواست خاص دستکاری‌شده به سرور SharePoint آسیب‌دیده، مورد سوءاستفاده قرار بگیرد.
سایر نقص‌های مهم مایکروسافت که در این ماه برطرف شده است، بر موتور برنامه‌نویسی Chakra ، Microsoft Dynamics 365 Business Central، بنیاد رسانه، اجزای گرافیکی و VBScript تأثیر می‌گذارند و همه‌ی آن‌ها منجر به حملات اجرای کد از راه دور می‌شوند.
به کاربران ویندوز و مدیران سیستم به‌شدت توصیه می‌شود که در اسرع وقت، آخرین به‌روزرسانی‌های امنیتی را برای جلوگیری از امکان دسترسی مجرمان سایبری و هکرها به رایانه‌های خود، اعمال کنند.
کاربران می‌توانند برای نصب جدیدترین به‌روزرسانی‌های امنیتی ویندوز، به تنظیمات ← به‌روزرسانی و امنیت ← به‌روزرسانی ویندوز← بررسی وجود به‌روزرسانی‌ در رایانه، بروند یا می‌توانند به‌روزرسانی‌ها را به‌صورت دستی نصب کنید.

‫اوراکل یک بروزرسانی امنیتی فوری را برای آسیب‌پذیری‌های بحرانی اجرای کد از راه دور، که به واسطه آنها مهاجم می‌تواند کنترل تمام سیستم را بدست آورد، منتشر کرد.
اطلاعیه 14 آوریل 2020، وصله 405 آسیب‌پذیری امنیتی جدید را نشان می‌دهد. اوراکل به مشتریان خود توصیه می‌کند که در اسرع وقت، این وصله امنیتی را اعمال نمایند.
محصولاتی که در این بروزرسانی امنیتی قرار می‌گیرند عبارتند از:
وصله 9 آسیب‌پذیری امنیتی جدید در سرور دیتابیس اوراکل (Oracle Database Server)، که از میان آنها 2 آسیب‌پذیری می‌تواند توسط یک مهاجم از راه دور، بدون احراز هویت، مورد سوء‌استفاده قرار گیرد.
بروزرسانی یک آسیب‌پذیری امنیتی بحرانی در Global Lifecycle Management اوراکل، که مهاجم می‌تواند این آسیب‌پذیری را تنها با داشتن اطلاعات کاربر، اکسپلویت نماید.
وصله یک آسیب‌پذیری موجود در Secure Backup اوراکل، این آسیب‌پذیری می‌تواند توسط مهاجم از راه دور و بدون تایید هویت، مورد سوء‌استفاده قرار گیرد.
برنامه‌های ارتباطی اوراکل، تعداد بالایی از این وصله‌های امنیتی را به خود اختصاص داده‌اند. در کل، 39 وصله امنیتی مربوط به این بخش می‌باشد که از میان آنها، 35 مورد می‌تواند از راه دور و بدون احراز هویت مورد اکسپلویت قرار گیرد.
Construction and Engineering اوراکل نیز 12 وصله امنیتی را به خود اختصاص داده‌اند که از 9 مورد آنها می‌توان از راه دور و بدون تایید هویت بهره‌برداری کرد.
E-Business Suite اوراکل نیز 74 وصله امنیتی دریافت کرده‌اند که 71 مورد از آنها از راه دور قابل اکسپلویت هستند.
برنامه‌های Financial Services اوراکل 34 وصله امنیتی جدید و Fusion Middleware اوراکل نیز 56 وصله امنیتی دریافت می‌کنند.
این بروزرسانی، 45 آسیب‌پذیری امنیتی جدید در Oracle MySQL و 19 آسیب‌پذیری را در سرور virtualization اوراکل پوشش می‌دهد.

منابع:

https://www.oracle.com/security-alerts/cpuapr2020.html
https://gbhackers.com/oracle-critical-patch/

سه ‫آسیب‌پذیری با شدت «مهم»، نسخه‌های 2016 و 2018 از ColdFusion را تحت‌تأثیر قرار داده‌‌اند و سوءاستفاده از آن‌ها می‌تواند به ترتیب منجر به افشای اطلاعات (CVE-2020-3767)، افزایش امتیاز (CVE-2020-3768) و انکار سرویس (CVE-2020-3796) شود.
شرکت #Adobe یک آسیب‌پذیری خواندن خارج از محدوده با شدت «مهم» در After Effects را نیز برطرف ساخته است که سوءاستفاده از آن می‌تواند منجر به افشای اطلاعات در متن کاربر فعلی شود. این نقص با شناسه‌ی CVE-2020-3809 ردیابی می‌شود. برای سوءاستفاده از این آسیب‌پذیری، قربانی باید از یک صفحه‌ی مخرب بازدید کند یا یک فایل مخرب را باز کند. این نقص در تجزیه‌ی فایل‌های TIF وجود دارد. داده‌های ساختگی در یک فایل TIF می‌توانند منجر به خواندن در خارج از انتهای بافر اختصاص‌ داده شده شود. این آسیب‌پذیری نسخه‌های 17.0.1 و پیش از آن برنامه‌ی After Effects را تحت‌تأثیر قرار داده است و در نسخه‌های 17.0.6 از این برنامه در سیستم‌عامل‌های ویندوز و macOS، برطرف شده است.
آخرین وصله، مربوط به یک آسیب‌پذیری افشای اطلاعات با شدت «مهم» است که با شناسه‌ی CVE-2020-3798 ردیابی می‌شود. این نقص ناشی از شمارش فایل (میزبان یا شبکه‌ی محلی) است. نسخه‌های 4.5.11.187212 و قبل از آن در ویندوز تحت‌تأثیر این آسیب‌پذیری قرار گرفته‌اند و در نسخه‌ی 4.5.11.187303 برطرف شده است.
هیچ یک از نقص‌های نامبرده، در حملات مورد سوءاستفاده قرار نگرفته‌اند و Adobe معتقد است بعید است مهاجمان بتوانند از این نقص‌ها به‌زودی سوءاستفاد کنند.
Adobe به کاربران توصیه می‌کند با استفاده از دستورالعمل‌های ذکر شده در بولتین امنیتی هر محصول، نصب محصولات خود را به آخرین نسخه به‌روز کنند.

آسیب‌پذیری اجرای کد از راه دور و حمله DoS در وب سرور IP Phones سیسکو
یک آسیب‌پذیری در وب سرور IP Phones سیسکو با شناسه "CVE-2020-3161" و شدت Critical کشف شده است که می‌تواند به یک مهاجم غیرمجاز و تایید هویت نشده اجازه دهد تا کد دلخواه خود را با دسترسی root اجرا کرده و باعث reload شدن یک IP phone آسیب‌دیده و در نتیجه حمله denial of service (DoS) گردد.

دانلود پیوست

یک آسیب پذیری مهم برروی رابط کاربری تحت وب ابزار #FreeNAS محصول کمپانی iXsystems با شماره CVE-2020-11650 منتشر شده است که امکان اجرای حملات DOS را برای مهاجم فراهم می‌سازد. اسکریپت مخرب بهره برداری از این آسیب پذیری نیز منتشر شده است. نسخه های 11.2 قبل از 11.2-u8 و 11.3 قبل از 11.3-u1 آسیب پذیر می باشند. توصیه می شود در اولین فرصت نسبت به بروز رسانی این محصول به FreeNAS/TrueNAS 11.2-u8 یا بالاتر اقدام نمایید.
جهت دریافت اطلاعات بیشتر به لینک های زیر مراجعه فرمایید:

https://jira.ixsystems.com/browse/NAS-104748
https://security.ixsystems.com/cves/2020-04-08-cve-2020-11650/

آسیب‌پذیری CVE-2020-3952 یک آسیب پذیری بحرانی با شدت مقیاس( CVSSv3) ۱۰.۰ می باشد. این آسیب پذیری در سرویس دایرکتوری VMware با نام (vmdir) وجود دارد، Vmdir بخشی از محصول VMware vCenter server است. این محصول به مدیران شبکه این امکان را می دهد تا ماشین های مجازی و میزبان های مجازی را در یک کنسول به صورت متمرکز کنترل کنند. ورود به این کنسول از طریق یک مکانیزم ورود به حساب SSO مدیریت می شود که به مدیر سیستم این اجازه را می دهد تا با تایید اعتبار خود به اطلاعات تمامی میزبان ها یا VM ها دسترسی داشته باشد و آن ها را کنترل کند. این آسیب پذیری که مدتی قبل توسط این شرکت وصله شد به مهاجم این امکان را می دهد تا مکانیزم ورود به حساب را دور بزند و به اطلاعات و دسترسی های مهمی مانند کل زیر ساخت مجازی و همچنین ماشین های مجازی دسترسی پیدا کند. این اطلاعات می تواند مهاجم را در اقدامات مخرب بعدی کمک کند.
نسخه های آسیب پذیر
vCenter Server 6.7 و نسخه های قبل از 6.7u3f
نکته : صرفا اگر محصول از نسخه های قبل تر مانند 6.0 , 6.5 به نسخه 6.7 ارتقاء داده شده باشد، آسیب پذیر می باشد.
راه‌حل:
استفاده از وصله های امنیتی قرار داده شده در وب سایت شرکت توسعه دهنده نرم افزار.

https://www.vmware.com/security/advisories/VMSA-2020-0006.html
https://kb.vmware.com/s/article/78543
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3952

‫گوگل در به‌روزرسانی ماه آوریل سال 2020، مجموعه‌ای از وصله‌ها جهت رفع بیش از 50 آسیب‌پذیری، از جمله چهار نقص بحرانی در اجزای سیستمی منتشر ساخته است.
تمامی این چهار نقص برطرف‌شده می‌توانند منجر به اجرای کد راه‌دور ‌شوند و نسخه‌های 8.0، 8.1، 9 و 10 از سیستم‌عامل Android را تحت‌تأثیر قرار می‌دهند. رفع نقص‌های مربوط آن‌ها در سطح وصله‌ی امنیتی 2020-04-01 و پس از آن ارایه شده است.
این آسیب‌پذیری‌ها با شناسه‌های CVE-2020-0070، CVE-2020-0071، CVE-2020-0072، CVE-2020-0073 ردیابی می‌شوند.
شدیدترین آسیب‌پذیری، به یک نقص بحرانی در مؤلفه‌ی سیستمی مربوط می‌شود که سوءاستفاده از آن یک مهاجم راه‌دور را قادر می‌سازد بااستفاده از یک فایل ساختگی خاص، کد دلخواه را در متن یک فرایند ممتاز اجرا کند.
وصله‌‌ی مربوط به هشت نقص دیگر نیز در سطح وصله‌ی امنیتی 2020-04-01 گنجانده شده است. شش مورد از این نقص‌ها در مؤلفه‌ی Framework (چهار نقص‌ افزایش امتیاز با شدت «بالا»، یک نقص افشای اطلاعات با شدت «بالا» و یک نقص افشای اطلاعات با شدت «متوسط») و دو مورد دیگر در Media Framework ( دو نقص افزایش امتیاز با شدت «بالا») وجود دارند.
بخش دوم از بولتین امنیتی اندرویدی ماه آوریل سال 2020 گوگل به صورت سطح وصله‌ی امنیتی 2020-04-05 در دستگاه‌ها اجرا می‌شود و وصله‌های مربوط به 43 آسیب‌پذیری را برطرف می‌سازد. این آسیب‌پذیری‌ها در Framework (نقص افشای اطلاعات با شدت بالا)، اجزای Kernel (سه نقص افزایش امتیاز با شدت «بالا»)، اجزای FPC (یک نقص افزایش امتیاز با شدت «بالا» و دو نقص افشای اطلاعات با شدت «متوسط»)، اجزای Qualcomm (یک نقص «بحرانی» و پنج نقص با شدت «بالا») و اجزای متن بسته‌ی (closed-source) Qualcomm (هشت نقص «بحرانی» و بیست و دو نقص با شدت «بالا») وجود دارند.
گوگل همچنین مجموعه‌ی جدیدی از وصله های امنیتی برای دستگاه‌های Pixel جهت رفع 14 آسیب‌پذیری منتشر ساخته است. دو مورد از این آسیب‌پذیری‌ها در اجزای Kernel، نه مورد در اجزای Qualcomm و سه مورد در اجزای متن‌بسته‌ی Qualcomm وجود دارند. تمامی این نقص‌ها از نظر شدت، «متوسط» رتبه‌بندی شده‌اند.
سطح وصله‌ی امنیتی 2020-04-05 و پس از آن، تمامی آسیب‌پذیری‌های موجود در دستگاه‌های Google که در بولتین امنیتی اندروید ماه آوریل سال 2020 و بولتین به‌روزرسانی Pixel ماه آوریل سال 2020 گنجانده شده‌اند را برطرف می‌سازد.

یک کارزار جدید که از 27 مارس فعالیت دارد، از روش‌های مختلفی برای آلوده‌کردن قربانیانش استفاده کرده و کاربران زیادی را در کشور‌های مختلفی به‌خصوص ترکیه، پرتغال، آلمان، اتریش و ایالات متحده، فریب داده‌است. این کارزار جدیداً با ارسال یک ایمیل جعلی از طرف سازمان بهداشت جهانی با مضمون و عنوان ویروس‌کرونا و همچنین با داشتن یک فایل با پسوند غیراجرایی در ظاهر، قربانیان را فریب داده و بدافزار Lockibot را بر روی دستگاه‌های آن‌ها نصب می‌کند. این بدافزار که برای سرقت اطلاعات طراحی شده، جدیداً قابلیت‌های بیشتری نیز پیدا کرده است.

دانلود مستند