یک آسیب‌پذیری با شدت بالا در رابط تحت‌وب ابزار Cacti کشف شده که دسترسی کامل به پایگاه داده آن را فراهم می‌کند. این آسیب‌پذیری با شناسه CVE-2023-51448 و شدت 8.8 از نوع تزریق کد SQL می‌باشد. ابزار Cacti برای جمع‌آوری اطلاعات مربوط به عملکرد شبکه از جمله پهنای باند، مصرف پردازنده، حافظه و غیره مورد استفاده قرار می‌گیرد و استفاده گسترده از آن در سازمان‌های مختلف می‌تواند فرصت جدی برای مهاجمان جهت انجام حملات سایبری فراهم کند. پیدا کردن سیستم‌های آسیب‌پذیر از طریق موتورهای جستجوی اینترنت اشیاء به راحتی قابل انجام است. پیش از این نیز یک آسیبپذیری بحرانی اجرای کد از راه دور با شناسه CVE-2022-46169 در این نرم‌افزار کشف شده بود که کد بهره‌برداری از آن به صورت عمومی در دسترس قرار دارد.
آسیب‌پذیری مذکور از نوع Blind SQL Injection (SQLi) بوده و در ویژگی SNMP Notification Receivers تابع form_actions در فایل managers.php وجود دارد. مهاجم پس از احراز هویت دارای دسترسی Settings/Utilities می‌باشد و می‌تواند با ارسال یک درخواست HTTP GET به مسیر /cacti/managers.php به همراه یک Payload SQLi در پارامتر GET به نام selected_graphs_array از آن بهره‌برداری نماید. بسته به نوع پیکربندی پایگاه داده، این آسیب‌پذیری ممکن است امکان خواندن یا نوشتن فایل‌های دلخواه و اجرای کد از راه دور را نیز فراهم نماید.

نسخه‌های تحت تاثیر
این آسیب‌پذیری در نسخه 1.2.25 نرم‌افزار Cacti وجود دارد.

توصیه‌های امنیتی
نسخه 1.2.26 جهت رفع آسیب‌پذیری CVE-2023-51448 منتشر شده است. این آسیب‌پذیری در صورت ترکیب با آسیب‌پذیری CVE-2023-49084 امکان اجرای کد از راه دور را برای مهاجم فراهم می‌کند. بنابراین توصیه می‌شود در اسرع وقت نسبت به نصب آخرین نسخه اقدام نمایید.

منابع خبر:

[1]https://www.darkreading.com/vulnerabilities-threats/cacti-monitoring-tool-critical-sql-injection-vu…
[2]https://nvd.nist.gov/vuln/detail/CVE-2023-51448
 

Splunk Enterprise Security (ES) یک نرم‌افزار جهت امنیت اطلاعات و مدیریت رویداد (SIEM) می‌باشد که توسط Splunk Inc ارائه شده‌است. Splunk یک پلتفرم نرم‌افزاری است که جهت جستجو، نظارت و تجزیه و تحلیل داده‌های تولیدشده توسط ماشین طراحی شده‌است. Splunk Enterprise Security قابلیت‌های‌ پلتفرم Splunk را گسترش می‌دهد تا به‌طور خاص بر روی داده‌ها و رویدادهای مرتبط با امنیت تمرکزکند.
دو آسیب‌پذیری با شناسه‌های CVE-2024-22165 و CVE-2024-22164 و به ترتیب شدت‌های متوسط 6.5 و4.3 برای این نرم‌افزار کشف شده که جزئیات آن‌ها به شرح ذیل می‌باشد.
آسیب‌پذیری CVE-2024-22165 مربوط نسخه‌های قبل از 7.1.2 Splunk Enterprise Security (ES) می‌باشد که در آن مهاجم می‌تواند از پیوست‌های Investigation جهت اجرای یک حمله انکار سرویس (DoS) در Investigation بهره‌برداری کند. 
بر اساس بردار حمله این آسیب‌پذیری (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H) بهره‌برداری از طریق شبکه مجاور امکان‌پذیر نیست (AV:N)، نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز  نیست (AC:L)، مهاجم برای انجام حمله نیاز به حساب‌کاربری با سطح دسترسی پایین دارد (PR:L)، به تعامل با کاربر نیز نیاز نیست (UI:N)، بهره‌برداری از آن بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و با بهره‌برداری از این آسیب‌پذیری، یک ضلع از سه ضلع امنیت با شدت زیادی تحت تأثیر قرار می‌گیرد.
آسیب‌پذیری CVE-2024-22164 مربوط نسخه‌های قبل از 7.1.2 Splunk Enterprise Security (ES) می‌‌باشد که در آن مهاجم با یکsession  و دسترسی تأیید‌شده می‌تواند یکInvestigation  نادرست برای اجرای حمله انکار سرویس (DoS) ایجاد کند. این Investigation  نادرست، تولید و ارائهInvestigations manager  را تا زمانی که حذف نشود، مختل می‌کند.
بر اساس بردار حمله این آسیب‌پذیری(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L) بهره‌برداری از طریق شبکه مجاور امکان‌پذیر نیست (AV: N)، نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز  نیست (AC:L)، مهاجم برای انجام حمله نیاز به حساب‌کاربری با سطح دسترسی پایین دارد (PR:L)، به تعامل با کاربر نیز نیاز ندارد (UI:N)، بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و با بهره‌برداری از این آسیب‌پذیری، یک ضلع از سه ضلع امنیت با شدت کمی تحت تأثیر قرار می‌گیرد.

محصولات تحت تأثیر
تمام نسخه‌های نرم‌افزار  Splunk Enterprise Security تا قبل از نسخه 7.1.2 در برابر نقص‌های امنیتی مذکور، آسیب‌پذیر هستند.

توصیه‌های امنیتی
نرم‌افزار  Splunk Enterprise Security (ES) را به نسخه های 7.1.2، 7.2.0، 7.3.0 یا بالاتر ارتقا دهید.

منابع خبر:

[1] https://advisory.splunk.com/advisories/SVD-2024-0101 
[2] https://advisory.splunk.com/advisories/SVD-2024-0101 

به تازگی محققان امنیتی موفق به کشف یک آسیب‌پذیری با شدت بالا (7.8) و شناسه CVE-2024-21644 در نرم‌افزار PyLoad شده‌اند. نرم‌افزار مدیریت دانلود PyLoad، یک نرم‌افزار توسعه یافته با زبان برنامه‌نویسی پایتون است که کاربران خود را قادر می‌سازد تا از طریق آن بتوانند هر گونه محتوای قابل دانلود را از شبکه اینترنت یا از شبکه‌های محلی که به آن متصل هستند، دانلود کنند. از جمله فرمت‌های خاصی که PyLoad توانایی دانلود آن‌ها را دارد، container formats (DLC) می‌باشد. ویژگی مهم دیگری که می‌توان به آن اشاره کرد، وجود قابلیت خودکارسازی بسیاری از فرآیندها در این نرم‌افزار از طریق رابط کاربری تحت وب آن است. این رابط کاربری از طریق آدرس http://localhost:8000 با گذرواژه PyLoad قابل مشاهده می‌باشد.
هر مهاجم احراز هویت نشده‌ای با بهره‌برداری از این آسیب‌پذیری قادر است تا از طریق ایجاد یک URL خاص به فایل پیکربندی مربوط به چارچوب Flask دسترسی پیدا کند. این موضوع از آن جهت حائز اهمیت است که داخل این فایل، مقدار متغیر `SECRET_KEY` مربوط به Flask برای مهاجم قابل دسترس می‌باشد. از این متغیر برای امضاء کوکی‌ها در یک Session جهت اطمینان از اعتبار و امنیت آن Session استفاده می‌شود و به هیچ وجه نباید در اختیار مهاجم قرار گیرد.  مهاجم برای به دست آوردن مقدار متغییر SECRET_KEY باید مراحل زیر طی کند.
•    ابتدا باید نرم‌افزار PyLoad را از طریق وارد کردن دستور زیر در محیط ترمینال خود اجرا کند.

PyLoad#

•    اکنون او باید وارد رابط کاربری تحت وب این نرم‌افزار به آدرس زیر شود.

http://localhost:8000 

•    و در نهایت، باید در آدرس URL رابط کاربری تحت وب خود به مسیر زیر برود.

http://localhost:8000/render/info.html

همانطور که در تصویر زیر مشخص است، مهاجم توانسته است با تغییر مسیر اصلی خود به مسیر render/info.html/ نه تنها به فایل پیکربندیFlask ، بلکه به مقدار SECRET_KEY نیز دسترسی پیدا کند. دلیل دست‌یابی مهاجم به SECRET_KEY، عدم رعایت یک نکته امنیتی ساده توسط برنامه‌نویس بوده است. طبق نظر متخصصان امنیتی، برنامه‌نویس هیچ‌گاه نباید مقادیر محرمانه استفاده شده در یک سامانه را در داخل فایل تنظیمات ذخیره کند.

 
محصولات تحت تأثیر
تمام نسخه‌های قبل تر از نسخه 0.5.0b3.dev77 نرم‌افزار PyLoad در معرض این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
کاربران باید در اسرع وقت نرم‌افزار PyLoad خود را به نسخه 0.5.0b3.dev77 به‌روزرسانی کنند. همچنین کاربران می‌توانند جهت اطلاع از تغییرات ایجاد شده در متن این نرم‌افزار، به منبع شماره 3 مراجعه کنند.

منابع خبر:

 [1] https://nvd.nist.gov/vuln/detail/CVE-2024-21644
 [2] https://www.cve.org/CVERecord?id=CVE-2024-21644
 [3]https://github.com/PyLoad/PyLoad/commit/bb22063a875ffeca357aaf6e2edcd09705688c40

شرکت SAP چند آسیب‌پذیری در محصولات خود را اطلاع‌رسانی کرد.

•  آسیب‌پذیری با شناسه CVE-2024-22125 و شدت بالا 7.4 در Microsoft Edge browser extension (SAP GUI connector for Microsoft Edge) که  امکان  افشای اطلاعات حساس را برای مهاجم فراهم می‌آورد. در این آسیب‌پذیری محرمانگی تحت تأثیر قرار می‌گیرد.
   
• آسیب‌پذیری با شناسه CVE-2024-21737 و شدت بالا 8.4 در SAP Application Interface Framework File Adapter که امکان اجرای کد را برای مهاجم احرازهویت شده فراهم می‌کند. مهاجم با سطح دسترسی بالا می‌تواند از یک ماژول تابع جهت عبور از لایه‌های مختلف و اجرای مستقیم دستورات سیستم‌عامل استفاده کند و عملکرد برنامه را کنترل کند. در این آسیب‌پذیری محرمانگی، یکپارچگی و دسترس‌پذیری تحت تأثیر قرار می‌‌گیرند.
   
• آسیب‌پذیری با شناسه CVE-2024-21735 و شدت بالا 7.3 در SAP LT Replication Server به‌دلیل بررسی نادرست مجوزها امکان ارتقاء سطح دسترسی و انجام اقدامات مخرب را برای مهاجم احرازهویت شده فراهم می‌آورد. در این آسیب‌پذیری محرمانگی، یکپارچگی و دسترس‌پذیری تحت تأثیر قرار می‌‌گیرند.

محصولات تحت تأثیر
این آسیب‌پذیری محصولات SAP  شامل Microsoft Edge browser extension (SAP GUI connector for Microsoft Edge) نسخه 1.0، SAP Application Interface Framework File Adapter نسخه 702 و LT Replication Server نسخه‌های S4CORE 103, S4CORE 104, S4CORE 105, S4CORE 106, S4CORE 107 و  S4CORE 108 را تحت تأثیر قرار می‌دهد. 

توصیه‌های امنیتی
به کاربران توصیه می‌شود در اسرع وقت نسبت به ارتقاء محصولات SAP به آخرین نسخه‌ وصله‌‌شده، اقدام نمایند. 

منبع خبر:

https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html

یک آسیب‌پذیری با شناسه‌ CVE-2023-50991 در محصول Tenda i29 شناسایی شده است که امکان سرریز بافر را برای مهاجم از را دور فراهم می‌کند. در این آسیب‌پذیری، مهاجم از طریق پارامتر pingIp در تابع pingSet می‌تواند منجر به حمله انکار سرویس (DoS) شود. در تابع pingSet، زمانی که مقدار پارامتر pingIp بیش از حد بزرگ باشد و با استفاده از تابع strcpy به متغیر پشته ارسال شود، ممکن است سرریز پشته رخ دهد.
آسیب‌پذیری دیگری با شناسه CVE-2023-50585 نیز در محصول Tenda A18 امکان سرریز پشته از طریق پارامتر devName  در تابع  formSetDeviceName را برای مهاجم فراهم می‌آورد. در این آسیب‌پذیری تابع formSetDeviceName پارامتر devName را از یک درخواست POST دریافت می‌کند و آن را به تابع set_device_name ارسال می‌کند. در set_device_name، آرایه mib_vlau  بر روی 256 بایت ثابت شده است. با این حال، از آن‌جایی که کاربر بر روی ورودی devName  کنترل دارد، عبارت sprintf(mib_vlaue, "%s;1", dev_name);  منجر به سرریز بافر می‌شود و devName ارائه شده توسط کاربر می‌تواند از ظرفیت آرایه mib_vlue فراتر رود.

محصولات تحت تأثیر

• آسیب‌پذیری با شناسه‌ CVE-2023-50991 نسخه‌های 1.0 V1.0.0.5 و 1.0 V1.0.0.2  محصول Tenda i29را تحت تأثیر قرار می‌دهد.
• این آسیب‌پذیری با شناسه CVE-2023-50585 نیز نسخه 15.13.07.09 محصول Tenda A18 را تحت تاثیر قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء محصول خود به نسخه‌های وصله ‌شده اقدام نمایند. 
 

منابع خبر:

[1]https://github.com/ef4tless/vuln/blob/master/iot/i29/pingSet.md

[2]https://github.com/LaPhilosophie/IoT-vulnerable/blob/main/Tenda/A18/formSetDeviceName.md 

نرم‌افزار ProofPoint Enterprise Protection یک نرم‌‌افزار پیشرو در رصد و محافظت از ایمیل‌ها‌ است و قابلیت بالایی در شناسایی تهدیدهای امنیتی دارد. این نرم‌افزار که بیشتر در سازمان‌ها مورد استفاده قرار می‌گیرد، تحت تأثیر یک آسیب‌پذیری با شناسه CVE-2023-5770 و شدت CVSS 5.3  قرار گرفته است.
آسیب‌پذیری مذکور در عامل تحویل ایمیل است که به یک مهاجم که احراز هویت نشده اجازه می‌دهد کد HTML رمزنگاری‌شده‌ی مخرب را از طریق موضوع ایمیل به بدنه پیام ایمیل تزریق کند. این آسیب‌پذیری به دلیل رمزنگاری ناصحیح هنگام بازنویسی ایمیل قبل از تحویل رخ می‌دهد.  

محصولات آسیب‌پذیر
نسخه‌های 8.20.2 پیش از وصله‌ی 4809 و 8.20.0 پیش از وصله‌ی 4805 و 8.18.6 پیش از وصله‌ی 4804 و تمام نسخه‌های قبلی آسیب‌پذیر می‌باشند.

توصیه‌های امنیتی
شرکت proofpoint وصله‌های 4809، 4805 و 4804 را برای نسخه‌های آسیب‌پذیر ذکر شده ارائه داده ‌است. به گفته این شرکت اقدامی جز به‌روزرسانی به نسخه‌های وصله‌شده لازم نمی‌باشد.
 

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-5770
[2] https://www.proofpoint.com/us/security/security-advisories/pfpt-sa-2023-0009

 تیم پاسخگویی به حوادث امنیتی محصولات Bosch، آسیب‌پذیری با شناسه CVE-2023-49722 و شدت 8.3 را گزارش‌کرده است که این نقص، WiFi firmware محصولات ترموستات BCC101 ،BCC102 و BCC50 ،دارای یک پورت باز شبکه (8899) است که می‌تواند توسط مهاجم جهت دسترسی به دستگاه از طریق همان شبکه WiFi محلی، مورد بهره‌برداری قرارگیرد. بر اساس بردار حمله این آسیب‌پذیری(CVSS:3.1/ AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H) بهره‌برداری از طریق شبکه مجاور امکان‌پذیر است (AV:A)، نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز  نیست (AC:L)، مهاجم برای انجام حمله به حساب‌کاربری با سطح دسترسی پایین نیاز دارد (PR:N)، به تعامل با کاربر نیز نیاز نیست (UI:N)، بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و با بهره‌برداری از این آسیب‌پذیری، دو ضلع از سه ضلع امنیت با شدت زیادی تحت تأثیر قرار می‌گیرند.

محصولات تحت تأثیر
محصولات ترموستات BCC101 ،BCC102 و BCC50 از نسخه4.13.20  تا 4.13.33، تحت‌تأثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
با به‌روزرسانی به نسخه 4.13.33 ، پورت باز شبکه (8899) WiFi firmware بسته‌ خواهد شد و آسیب‌پذیری رفع می‌شود.

منبع خبر

https://psirt.bosch.com/security-advisories/BOSCH-SA-473852.html

محققان گزارشی منتشر کرده‌اند که احتمالاً حمله به سیستم‌های اسنپ‌فود از طریق بدافزاری به نام StealC صورت گرفته است. در تاریخ 20 دسامبر (29 آذر)، یک مهاجم به نام irleaks اعلام کرده است که به 160,000,000 رکورد از 23 شرکت بیمه در ایران دسترسی دارد و این اطلاعات را در یکی از سایت‌های فروش داده بارگزاری کرده است.
 

شکل 1: لیست شرکت‌های بیمه

داده‌هایی که در طی این حمله استخراج شده‌اند، شامل اطلاعات حساس و گسترده‌ای هستند که احتمالاً معتبر هم می‌باشند. در تاریخ 30 دسامبر (9 دی)، مهاجمی به نام irleaks اعلام کرد که توانسته است به سیستم‌های اسنپ‌فود نفوذ کند و اطلاعات زیر را از این شرکت استخراج نماید:
•    اطلاعات بیش از ۲۰ میلیون کاربر شامل نام کاربری، رمز عبور، ایمیل، نام و نام خانوادگی، شماره موبایل، تاریخ تولد و غیره
•    اطلاعات بیش از ۵۱ میلیون آدرس کاربر، شامل موقعیت GPS، آدرس کامل، شماره تلفن و  غیره.
•    اطلاعات بیش از ۱۸۰ میلیون دستگاه تلفن همراه، شامل نوع و مدل دستگاه، پلتفرم، توکن و غیره.
•    اطلاعات بیش از ۳۶۰ میلیون سفارش، شامل آی‌پی سفارش‌دهنده، آدرس دریافتی، تلفن دریافتی، شهر، مدت زمان دریافت، نام و نام خانوادگی، مشخصات فروشگاه یا رستوران، قیمت، محصول و ...
•    اطلاعات بیش از ۳۵ هزار پیک، شامل نام، نام خانوادگی، شماره تماس، کد ملی، شهر و  غیره.
•    اطلاعات بیش از ۶۰۰  هزار پرداخت سفارش، شامل نام کامل صاحب کارت، نام کامل مشتری، شماره تماس، شماره کارت، نام بانک و  غیره.
•    اطلاعات بیش از ۱۶۰ میلیون سفر انجام شده توسط پیک، شامل نام کامل مبدأ و مقصد، آدرس مبدأ و مقصد، تلفن مبدأ و مقصد، موقعیت جغرافیایی مبدأ و مقصد، تاریخ و  غیره.
•    اطلاعات بیش از ۲۴۰ هزار Vendor، شامل نام کامل، آدرس، تلفن، ایمیل، موقعیت مکانی GPS، نام مدیریت مجموعه و  غیره.
•    اطلاعات بیش از ۸۸۰ میلیون سفارش محصول
 

شکل 2: اطلاعات استخراج شده از اسنپ‌فود

اگرچه منبع نشت اطلاعات مشخص نیست، اما محققان با موفقیت یکی از سیستم‌های کارمندان شرکت اسنپ‌فود را شناسایی کرده‌اند که به بدافزار StealC آلوده بوده است.
 

شکل 3: داده‌های رایانه آلوده یک کارمند

آلوده شدن این کارمند به بدافزار StealC منجر به دسترسی مهاجمان به برخی از اطلاعات حیاتی شرکت اسنپ‌فود شده است. این حمله ممکن است به عنوان بردار اولیه برای حملات بیشتر در نظر گرفته شده باشد. برخی از اطلاعات به دست آمده شامل اعتبارنامه‌های ورود به سرورهایConfluence، سرور Jira و سایر منابع سیستمی می‌باشد. این ورودهای ناخواسته به سیستم‌های اصلی شرکت می‌تواند تهدیدی جدی برای امنیت و حریم خصوصی اطلاعات آن شرکت باشد.
 

شکل 4: اطلاعات اعتبار اضافی مشخص شده بر روی کامپیوتر آلوده

با داشتن این اطلاعات و ورود به دیتابیس‌های مرتبط، مهاجمان می‌توانند به دستگاه‌ها، سرویس‌ها و دیگر منابع حیاتی شرکت دسترسی یابند. این نوع حملات ممکن است به تخریب داده، دسترسی غیرمجاز به اطلاعات حساس، یا حتی تخلیه یا نفوذ به سیستم‌های داخلی شرکت منجر شود. هر چند که عناصر دقیق‌تر این حمله و تبعات آن نیاز به تحقیقات بیشتر دارند، اما این نکته مشخص است که دسترسی به اطلاعات حساس و دیگر منابع شرکت، هدف از این حمله بوده است.

بدافزار StealC
بدافزارStealC، که در دسته بدافزارهای infostealer قرار می‌گیرد، برای اولین بار در تاریخ 9 ژانویه 2023 (19 دی 1401) منتشر شد. این بدافزار که بر اساس بدافزارهای معروفی همچون Vidar، Raccoon، Mars و Redline توسعه یافته است، به زبان C  نوشته شده و از توابع WinAPI استفاده می‌کند. قابلیت‌های این بدافزار شامل جمع‌آوری اطلاعات از مرورگرها، کیف پول‌های دیجیتال، پیام‌رسان‌ها مانند تلگرام، برنامه‌های ایمیل مانند Outlook و موارد دیگر است.
یکی از ویژگی‌های جالب StealC، امکان سفارشی‌سازی جمع‌آوری داده‌ها است، به این ترتیب که مهاجم می‌تواند به بدافزار بگوید که تنها اطلاعات خاصی را سرقت کند. علاوه بر این، بدافزار امکان جمع‌آوری فایل‌ها بر اساس دستورات مهاجم مانند تعیین پسوند فایل‌های مورد نظر جهت سرقت را نیز فراهم می‌کند. اطلاعات حاکی از این است که StealC همچنان در حال بروزرسانی و توسعه است.

بررسی فنی بدافزار StealC
با توجه به گزارش محققان درباره بدافزار Stealc، این بدافزار با روش‌های مشابه Vidar  و Raccoon ارتباط برقرار می‌کند و بر روی 40 سرور C2 متمرکز است. علاوه بر هدف‌گیری معمول اطلاعات مرورگر، اطلاعات افزونه‌ها و کیف‌پول‌های رمزارز را هم مورد سرقت قرار می‌دهد. Stealc همچنین دارای قابلیت سرقت فایل سفارشی است که می‌تواند به گونه‌ای تنظیم شود که هر نوع فایلی که اپراتور می‌خواهد را سرقت کند.
در تحلیل فنی این بدافزار، محققان به نقاط زیر پی بردند:
•    محققان با تحلیل و بررسی بیشتر گزارش‌ها، توانستند بیش از 40 سرور Command and Control (C2) از این بدافزار را شناسایی کنند. این موضوع نشان‌دهنده گسترده بودن استفاده مجرمان سایبری از این بدافزار است.
•    پس از اجرا، تمام رشته‌ها با الگوریتم‌های رمزنگاری RC4 و Base64 رمزگذاری می‌شوند. همچنین، تاریخ سیستم با تاریخ‌های رشته‌های هاردکد شده مقایسه می‌شود و اگر اجرا بعد از تاریخ‌های هاردکد شده باشد، اجرا متوقف می‌شود. این اقدام جهت بررسی وضعیت لایسنس برنامه است.
•    برنامه اطلاعاتی نظیر Machine Name و نام کاربری را با مقادیر هاردکد شده مانند HAL9TH و JohnDoe  مقایسه می‌کند. این اقدام به منظور شناسایی محیط‌های مجازی و سندباکس انجام می‌شود.
•    بدافزار از توابع مختلف WinAPI را به صورت داینامیک بارگذاری کرده و ارتباط اولیه خود را با سرور C2  برقرار می‌کند. این توابع با استفاده از متدهایLoadLibrary  و GetProcAddress به صورت پویا بارگذاری می‌شوند.

توضیحات داده شده نشان می‌دهد که بدافزار StealC یک فرآیند پیچیده و چندگانه دارد که مراحل مختلفی از جمع‌آوری اطلاعات تا ارسال آن‌ها به سرور C2 را پوشش می‌دهد. در ادامه، مراحل ذکر شده را به صورت دقیق‌تر مرور می‌کنیم:
•    ارتباط اولیه با سرور C2: در این مرحله، بدافزار اطلاعاتی به نام Hardware Identifier (HWID) و build name را از طریق یک درخواست POST ارسال می‌کند. این اطلاعات با استفاده از پارامترهای name="hwid" و name="build" ارسال می‌شوند. سرور نیز پاسخی را به صورت رشته Base64 ارسال می‌کند.
•    درخواست اطلاعات مرورگرها: بدافزار دستور مربوط به جمع‌آوری اطلاعات مرورگرها را با استفاده از درخواست POST به سرور C2 ارسال می‌کند. درخواست اطلاعات با پارامترهای name="token" و name="message" (message=browsers) ارسال می‌شود. سپس سرور باز هم پاسخی به صورت رشته Base64 ارسال می‌کند که شامل جزئیات مرورگرها می‌شود.
•    درخواست اطلاعات افزونه‌های مرورگرها: در این مرحله، بدافزار درخواست جمع‌آوری اطلاعات افزونه‌های مرورگرها را با استفاده از درخواست POST به سرور C2 ارسال می‌کند. این درخواست دارای پارامترهای name="token" و name="message" (message=plugins) است. سرور نیز پاسخ خود را به صورت رشته Base64 ارسال می‌کند که حاوی جزئیات افزونه‌های مرورگرها می‌باشد.
•    جمع‌آوری اطلاعات سیستم: در این مرحله، بدافزار با درخواست POST اطلاعات مختلفی از سیستم آلوده را جمع‌آوری می‌کند. اطلاعات موجود در این فایل شامل جزئیاتی از شبکه، سیستم، کاربران، برنامه‌های نصب شده و لیست پروسس‌ها می‌باشد.
•    دانلود فایل‌های DLL برای استخراج داده: در این مرحله، بدافزار از سرور C2 با استفاده از درخواست GET، 7 فایل DLL شخص ثالث قانونی را دانلود می‌کند. این DLLها به ترتیب زیر هستند:
•    استخراج فایل‌ها با پیکربندی مخصوص: در این مرحله، بدافزار فایل‌های خاصی از سیستم را با استفاده از درخواست POST و با فرمتی که در آن پارامترهایی نظیر "token"، "file_name" و "file"  وجود دارند، جمع‌آوری می‌کند. این فایل‌ها به اسم "system_info.txt" هستند و شامل اطلاعات متنوعی از سیستم آلوده می‌شوند. پارامتر "file_name" مشخص‌کننده نام فایل است و پارامتر "file" حاوی محتوای فایل به صورت بیتی (binary) است.
•    درخواست اطلاعات کیف پول: در این مرحله، بدافزار دستوری به نام "wallets" را به سرور C2 ارسال می‌کند تا نحوه‌ی جمع‌آوری اطلاعات مرتبط با کیف‌پول‌ها (wallets) را از سیستم قربانی بفهمد. این درخواست با استفاده از متغیرهای "token" و "message" و در قالب POST ارسال می‌شود.
•    درخواست اطلاعات فایل: در این مرحله، بدافزار دستوری به نام "files" را به سرور C2 ارسال می‌کند تا نحوه‌ی استخراج فایل‌ها از سیستم قربانی را دریافت کند. این درخواست نیز با استفاده از متغیرهای "token" و "message" و در قالب POST ارسال می‌شود. پس از ارسال این درخواست، سرور به صورت پیش‌فرض پاسخ را به صورت Base64 کدگذاری کرده و به بدافزار ارسال می‌کند.
•    استخراج داده‌ها با پیکربندی مخصوص: در این مرحله، داده‌هایی که بدافزار از سیستم قربانی جمع‌آوری کرده است، مشابه مرحله قبل به سرور C2 ارسال می‌شوند. این ارسال داده‌ها نیز با استفاده از متغیرهای "token" و "message" و در قالب POST انجام می‌شود.
•    جمع‌آوری اطلاعات حساس: در این مرحله، بدافزار اطلاعات حساس مرتبط با فایل‌ها و کلیدهای حساس رجیستری موردنظر، همچنین اطلاعات حساس از پنج سرویس Discord، Telegram، Tox، Outlook و Steam را از سیستم قربانی جمع‌آوری می‌کند. این اطلاعات می‌توانند شامل مواردی مانند رمزهای عبور، تنظیمات یا دیگر اطلاعات حساس باشند.
•    پایان فرآیند و پاک‌سازی: پس از جمع‌آوری تمام اطلاعات و ارسال آن‌ها به سرورC2، بدافزار یک پیام درخواست POST در قالب (name=”token”, name=”message” (done)) ارسال می‌کند. سپس، بدافزار و فایل‌های DLL دانلود شده از سرور C2 از طریق یک دستور اجرایی، پاکسازی و حذف می‌شوند.
 

تشخیص بدافزار StealC
تشخیص بدافزار Stealc و سرورهای C2 آن با استفاده از YARA Rules و ردیابی HTTP/HTML ممکن است. یک YARA Rule کمک می‌کند تا الگوهای خاصی که با Stealc مرتبط هستند، شناسایی شوند. برای تشخیص سرورهای Command and Control (C2)، می‌توان از طریق پاسخ‌های پیش‌فرض HTML و HTTP  به این سرورها استفاده کرد. بسیاری از سرورهای C2 در پاسخ به درخواست‌های HTTP با کد وضعیت 200 یک صفحه HTML  از نوع 404 Forbidden که معمولاً به عنوان یک صفحه خطای سرور Apache استفاده می‌شود، را روی پورت 80 ارائه می‌دهند. به عنوان مثال، کد HTML زیر ممکن است در این نوع صفحات نمایش داده شود.

توصیه‌های امنیتی
توصیه می‌شود کاربران کمترین تعامل را با نرم‌افزارهای کرک شده داشته باشند و تنها از وب‌سایت‌های رسمی توسعه‌دهنده برای دانلود محصولات استفاده کنند. به دلیل شناخته شدن این بدافزار از طریق ویدئوهای YouTube  که نحوه نصب نرم‌افزارهای کرک شده را توضیح می‌دهند و به وب‌سایت‌های دانلود مرتبط لینک می‌دهند، افراد باید از دانلود و استفاده از محصولات نرم‌افزاری غیرقانونی و ناامن خودداری کنند.

منابع  خبر:

[1]     https://malpedia.caad.fkie.fraunhofer.de/details/win.stealc
[2]    https://www.bleepingcomputer.com/news/security/new-stealc-malware-emerges-with-a-wide-set-of-steali…
[3]    https://cybernews.com/news/iranians-exposed-mysterious-hacker-sell-personal-data/
[4]    https://www.cynet.com/blog/static-analysis-stealc-infostealer/
[5]    https://blog.sekoia.io/stealc-a-copycat-of-vidar-and-raccoon-infostealers-gaining-in-popularity-par…

محققان امنیتی اخیراً یک نقص امنیتی مهم را در گوگل کشف کرده‌اند که به مهاجمان اجازه می‌دهد بدون نیاز به رمز عبور، به حساب‌های گوگل افراد دسترسی پیدا کنند. این نقص از یک آسیب‌پذیری در پروتکل احراز هویت دو مرحله‌ای گوگل (OAuth2) ناشی می‌شود. در این حمله، آن‌ها ابتدا یک وب‌سایت مخرب ایجاد می‌کنند که می‌تواند کوکی‌های شخص ثالث را در مرورگر کاربران ذخیره کند، سپس قربانیان را فریب می‌دهند تا از آن وب‌سایت بازدید کنند. هنگامی که قربانی از وب‌سایت مخرب بازدید می‌کند، مهاجم می‌تواند کوکی‌های شخص ثالث را از مرورگر قربانی بدست آورد. این کوکی‌ها حاوی اطلاعات احراز هویت کاربر، از جمله رمز عبور و کد تأیید هویت دو مرحله‌ای هستند. با داشتن این اطلاعات، آن‌ها می‌توانند به حساب‌های گوگل قربانی دسترسی پیدا کنند، حتی اگر قربانی رمز عبور خود را تغییر داده باشد.
در صورت موفقیت‌آمیز بودن عملیات، این حمله یک تهدید جدی برای کاربر به شمار می‌آید، زیرا به مهاجم امکان می‌دهد بدون هیچ مشکلی به اطلاعات شخصی کاربران، از جمله ایمیل‌ها، مخاطبین، عکس‌ها، فیلم‌ها، و سایر اطلاعات دسترسی پیدا کند. وی همچنین می‌تواند از این اطلاعات برای اهداف مجرمانه، مانند کلاهبرداری، سرقت هویت، یا انتشار اطلاعات حساس، سوءاستفاده کند.

توصیه‌های امنیتی
کاربران باید به طور مداوم اقداماتی جهت حذف هرگونه بدافزار از رایانه خود انجام دهند. این اقدامات می‌تواند شامل موارد زیر باشد:
•    استفاده از یک برنامه آنتی‌ویروس یا ضد بدافزار معتبر جهت اسکن رایانه به طور منظم.
•    حذف هرگونه نرم‌افزار یا برنامه مشکوک از رایانه.

منابع‌خبری:

[1]https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-google-chrome-could-allow-for-arbit…
[2]https://www.livemint.com/technology/hackers-can-take-control-of-your-google-account-without-needing…
[3]https://www.hindustantimes.com/technology/hackers-can-now-access-your-google-account-without-passwo…

محققان امنیتی نوع جدیدی از تکنیک ربودن DLL  کشف کرده‌اند که می‌تواند توسط مهاجمان برای دور زدن مکانیسم‌های امنیتی و اجرای کدهای مخرب در سیستم‌هایی با ویندوز 10 و 11 استفاده شود.
این ترفند از فایل‌های ویژه در پوشه WinSxS استفاده می‌کند و از یک روش جستجوی کلاسیک DLL بهره می‌برد. با انجام این کار، سیستم را فریب می‌دهد و به مهاجم اجازه عبور از سدهای امنیتی و ورود داده شود.  این اقدام به مهاجمان اجازه می‌دهد تا بدون نیاز به دسترسی بالا، کد دلخواه را در سیستم قربانی اجرا کنند و حتی بدافزار خود را برای مجموعه‌ای از حملات، به سیستم قربانی وارد کنند.
DLL search order hijacking یک تکنیک پیچیده است که توسط مهاجمان برای به هم ریختن ترتیب بارگیری  DLL استفاده می‌شود. این DLLها برای اجرای برنامه‌ها بر روی کامپیوتر ضروری هستند. مهاجمان با استفاده از نقاط ضعف در نحوه جستجو و بارگذاری این کتابخانه‌ها توسط ویندوز، می‌توانند کد مخرب خود را اجرا کنند.
این حملات بر روی برنامه‌هایی متمرکز می‌شوند که به صراحت اشاره نمی‌کنند که در چه مسیری  DLL‌های مورد نیاز خود را پیدا می‌کنند. درعوض، آنها برای یافتن این DLLهای ضروری روی رایانه، بر روی یک ترتیب تعیین شده تکیه می‌کنند. مهاجمان از این اتکا به یک دنباله جستجوی از پیش تعریف شده برای نفوذ مخفیانه و دستکاری فرآیند بارگذاری، بهره‌برداری می کنند و باعث می‌شوند که سیستم ناخواسته، از کد مخرب به جای کتابخانه‌های ایمن مورد نظر استفاده کند.
هنگامی که یک برنامه نیاز به استفاده از یک DLL دارد، آن را در مکان‌ و ترتیب خاصی جستجو می‌کند؛ همانند جستجوی کتاب در یک کتابخانه، اما کامپیوتر مجموعه قوانین خاص خود را دارد که ترتیب آن به شرح زیر است:

1.    ابتدا پوشه‌ای که خود برنامه در آن در حال اجراست را بررسی می‎کند.
2.    اگر DLL را در آنجا پیدا نکرد، در "C:\Windows\System32" بررسی می‌کند.
3.    سپس، "C:\Windows\System" را بررسی می‌کند.
4.    سپس، در پوشه "C:\Windows"  شروع به جست‌وجو می‌کند.
5.    پس از آن، در دایرکتوری‌های فهرست شده در لیست PATH ویژه سیستم به جست‌وجو می‌پردازد.
6.    در نهایت، دایرکتوری‌های فهرست شده در لیست PATH کاربر را بررسی می‌کند.

بنابراین، مانند این است که رایانه این فرآیند گام به گام را طی می‌کند و با بررسی مکان‌های مختلف، DLL مورد نیاز خود را پیدا می‌کند. این سیستم برای برنامه‌ها مفید است، اما فرصت‌هایی را نیز برای حملات پنهانی مهیا می‌کند، مانند ربودن دستور جستجوی DLL که درمورد آن توضیح داده شد.
بررسی‌های صورت گرفته نشان می‌دهد که تمرکز مهاجمان بر روی "C:\Windows\WinSxS" است که مخفف Windows side-by-side می‌باشد و بخش مهمی از ویندوز است. این بخش یک جزء حیاتی ویندوز است که برای سفارشی‌سازی و به‌روزرسانی سیستم‌عامل برای اطمینان از سازگاری و یکپارچگی استفاده می‌شود.
مهاجمان به دنبال نقاط ضعف در برخی فایل‌های ذخیره شده (مانند ngentask.exe و aspnet_wp.exe)  در پوشه WinSxS ویندوز می‌گردند. سپس از ترکیبی از تکنیک‌ها استفاده می‌کنند، از جمله به هم ریختن روش‌های معمولی که ویندوز DLLها را پیدا کرده و بارگذاری می‌کند.

توصیه‌های امنیتی
قرار دادن یک لایه دفاعی اضافی، بررسی دقیق روابط parent-child در میان فرآیندها، نظارت دقیق بر فعالیت‌های انجام شده توسط فایل‌های واقع در پوشه WinSxS، با تاکید خاص بر network communications و file operations، می‌تواند جهت جلوگیری از حملات مهاجمان بسیار موثر واقع شود.

منبع خبر:

https://thehackernews.com/2024/01/new-variant-of-dll-search-order.html?m=1