چندین برنامه‌های مخرب اندروید که حاوی بدافزار می‌باشند در Google Play یافت شده است و نزدیک به 10 میلیون بار بر روی دستگاه‌های تلفن همراه نصب شده‌اند. این برنامه‌ها به عنوان ابزارهای ویرایش تصویر، صفحه کلید مجازی، بهینه‌ساز سیستم و موارد دیگر ظاهر می‌شوند. اما در واقعیت هدف آن‌ها ارسال تبلیغات مزاحم، اشتراک کاربران در خدمات ویژه و حتی سرقت حساب‌های شبکه اجتماعی کاربران است. این برنامه‌های مخرب توسط تیم آنتی‌ویروس Dr. Web کشف شده‌اند. گوگل اکثر برنامه‌های ارائه شده را حذف کرده است، اما همچنان برنامه‌های مخرب قابل دانلود و نصب در Google Play وجود دارند. باید توجه داشت  اگر برنامه‌ای بر روی دستگاه نصب شده است، باید آن‌ها را به صورت دستی از دستگاه حذف کرد و یک اسکن آنتی‌ویروس جهت بررسی برای هر گونه آثار مخرب از دستگاه انجام شود.
این برنامه‌ها از کاربران می‌خواهند که خود را به لیست صرفه‌جویی در مصرف انرژی اضافه کنند. همانطور که در شکل زیر مشاهده می‌کنید، این امر موجب خواهد شد که حتی پس از بسته شدن برنامه توسط کاربر، برنامه مخرب به کار خود ادامه دهد و در پس‌زمینه فعالیت کند.

برنامه‌های مخرب و درخواست مجوز برای حذف از لیست صرفه‌جویی در باتری

این برنامه‌های مخرب تلاش می‌کنند تا نماد‌های خود را از صفحه برنامه‌ها (app drawer) پنهان کنند یا خود را با نمادهای مهم سیستم مانند "SIM Toolkit" جایگزین کنند. این اقدام به منظور عدم شناسایی توسط کاربران و ابزارهای امنیتی انجام می‌شود.

تلاش برای فریب کاربران با جایگزینی نماد

برنامه‌های مخرب دیگری هم شناسایی شده‌اند که با نصب آن‌ها، کاربران بطور ناخواسته و بدون اطلاع، به خدمات پرداختی اشتراک متصل می‌شوند. این اشتراک باعث کسر هزینه‌هایی از موبایل کاربران می‌شود.

 دو نمونه از برنامه‌های مخرب در Play Store

سرقت اطلاعات کاربری فیسبوک توسط ویرایشگر تصویر محبوب 

توصیه‌های امنیتی
برنامه‌های مخرب اندروید همیشه راهی برای ورود به Google Play پیدا می‌کنند و گاهی ممکن است این برنامه‌ها برای ماه‌ها در آن‌جا بمانند. بنابراین، نباید به راحتی به هیچ برنامه‌ای اعتماد کرد. همچنین جهت کاهش اثر این تهدیدات، رعایت نکات زیر توصیه شده است:
•    نظرات و امتیازات کاربران بررسی شود.
•    وب‌سایت توسعه‌دهنده دیده شود.
•    سیاست حفظ حریم خصوصی خوانده شود.
•    در هنگام نصب به مجوزهای درخواستی توجه شود.

منبع خبر:

https://www.bleepingcomputer.com/news/security/new-android-malware-apps-installed-10-million-times-…

به دنبال کشف مجموعه‌‌‌‌‌‌‌‌ای از آسیب‌‌‌‌‌‌‌‌پذیری‌‌‌‌‌‌‌‌های مختلف در سیستم عامل SUSE،  نسخه به‌‌‌‌‌‌‌‌روز شده هسته این سیستم‌عامل با شناسه اعلامی SUSE-SU-2023:4654-1 منتشر گردید.
مجموعه آسیب‌‌‌‌‌‌‌‌پذیری‌‌‌‌‌‌‌‌های زیر در نسخه جدید برطرف شده است:
•    CVE-2022-23820: شکست در تأیید اعتبار بافر ارتباطی AMD SMM ممکن است به مهاجم اجازه دهد تا SMRAM را خراب کند که به طور بالقوه منجر به اجرای کد دلخواه می‌‌‌‌‌‌‌‌شود.
•    CVE-2021-46774: عدم اعتبارسنجی درست ورودی در ABL ممکن است یک مهاجم را قادر به نوشتن دلخواه DRAM کند که به طور بالقوه منجر به اجرای کد و افزایش سطح دسترسی می‌‌‌‌‌‌‌‌شود.
•    CVE-2023-20533: اعتبار سنجی ناکافی آدرس DRAM در واحد مدیریت سیستم ( SMU) ممکن است به مهاجمی که از DMA استفاده می‌‌‌‌‌‌‌‌کند اجازه دهد از/به آدرس DRAM نامعتبر بخواند/بنویسد و منجر به انکار سرویس شود.
•    CVE-2023-20519: یک آسیب‌پذیری Use-After-Free در مدیریت یک صفحه محتوای SNP guest ممکن است به یک هایپرویزور مخرب اجازه دهد تا به عنوان عامل مهاجرت guest ظاهر شود و منجر به از دست دادن یکپارچگی guest شود.
•    CVE-2023-20566: اعتبارسنجی نامناسب آدرس در ASP با SNP فعال ممکن است به طور بالقوه به مهاجم اجازه دهد یکپارچگی حافظه guest را به خطر بیندازد.
•    CVE-2023-20521 : TOCTOU در بارگذار بوت ASP ممکن است به مهاجمی با دسترسی فیزیکی اجازه دهد تا پس از تأیید محتوای حافظه، رکوردهای SPI ROM را دستکاری کند، و منجر به از دست دادن محرمانگی یا انکار سرویس ‌‌‌‌‌‌‌‌شود.
•    CVE-2021-46766: پاک‌‌‌‌‌‌‌‌سازی نادرست داده‌‌‌‌‌‌‌‌های حساس در بارگذار بوت ASP ممکن است کلیدهای مخفی را در معرض دید یک مهاجم قرار دهد که به ASP SRAM دسترسی دارد و منجر به از دست رفتن محرمانگی ‌‌‌‌‌‌‌‌شود.
•    CVE-2022-23830: هنگامی‌‌‌‌‌‌‌‌که SNP فعال است ممکن است پیکربندی SMM، همانطور که در نظر گرفته شده است، تغییرناپذیر نباشد و منجر به از دست دادن یکپارچگی حافظه guest ‌‌‌‌‌‌‌‌شود.
•    CVE-2023-20526: عدم اعتبارسنجی درست ورودی در بارگذار بوت ASP ممکن است یک مهاجم با دسترسی فیزیکی را قادر سازد تا محتویات حافظه ASP را در معرض دید قرار دهد و به از دست دادن محرمانگی منجر ‌‌‌‌‌‌‌‌شود.
•    CVE-2021-26345: عدم اعتبارسنجی مقدار در APCB ممکن است به مهاجمی که دسترسی فیزیکی دارد، اجازه دهد تا رمز APCB را دستکاری کند تا شرایط خواندن حافظه خارج از محدوده را فراهم آورد و در نهایت منجر به انکار سرویس ‌‌‌‌‌‌‌‌شود.
•    CVE-2023-20592: مشکل با دستورالعمل INVD با نام CacheWarpAttack (bsc#1215823).

توصیه‌های امنیتی
کاربران سیستم‌‌‌‌‌‌‌‌عامل SUSE در اولین فرصت هسته سیستم‌‌‌‌‌‌‌‌عامل خود را به نسخه جدید ارتقاء دهند.

منبع خبر:

[1] https://linuxsecurity.com/advisories/suse/suse-2023-4654-1-important-kernel-firmware-fbjynlcvckgs

ابزارHAProxy می‌‌‌‌تواند اطلاعات حساس را افشاء کند  و یک پراکسی سریع در مجموعه سیستم عامل Ubuntu و برخی نسخه‌‌‌‌های دیگر لینوکس بشمار می‌آید. بررسی‌‌‌‌ها نشان می‌‌‌‌دهد که نسخه‌‌‌‌های قبل از 2.8.2 ابزار HAProxy اجزاء URL، کاراکترِ # را به شکل اشتباه مدیریت می‌کند که این پردازش اشتباه اجازه می-دهد تا یک مهاجم از راه دور بتواند از این نقص جهت به دست آوردن اطلاعات حساس یا دور زدن برخی از قوانین path_end، نظیر مسیردهی index.html#.png به یک سرور استاتیک بهره‌برداری کند. این آسیب-پذیری با شناسه CVE-2023-45539 و شدت 8.2 (بالا) شناسایی شده است.

محصولات تحت تأثیر
نسخه‌‌‌‌های آسیب‌‌‌‌پذیر HAProxy در سیستم‌‌‌‌عامل‌‌‌‌های Ubuntu، Debian و Lunchpad مورد استفاده قرار گرفته و نسخه‌‌‌‌های زیر از سیستم‌عامل Ubuntu تحت تأثیر این آسیب‌‌‌‌پذیری قرار دارند:
•    Ubuntu 23.04 
•    Ubuntu 22.04 LTS 
•    Ubuntu 20.04 LTS

توصیه‌های امنیتی
نقص امنیتی مذکور را می‌‌‌‌توان از طریق اعمال به‌‌‌‌روزرسانی‌‌‌‌های زیر برطرف نمود:

•    Ubuntu 23.04 : haproxy - 2.6.9-1ubuntu1.2
•    Ubuntu 22.04 : haproxy - 2.4.22-0ubuntu0.22.04.3
•    Ubuntu 20.04 : haproxy - 2.0.31-0ubuntu0.3

منابع خبر:

[1] https://linuxsecurity.com/advisories/ubuntu/ubuntu-6530-1-haproxy-vulnerability-d7ewg5ghoowv
[2] https://ubuntu.com/security/notices/USN-6530-1
[3] https://ubuntu.com/security/CVE-2023-45539

شرکت Qualcomm اطلاعاتی در خصوص سه نقص امنیتی با شدت بالا منتشر کرده است که گفته می‌شود در اکتبر 2023 مورد بهره‌‌‌‌‌‌‌برداری محدود و هدفمند قرار گرفته‌‌‌‌‌‌‌اند.
آسیب پذیری‌های اعلام شده به شرح زیر هستند:
•    CVE-2023-33063 (شدت CVSS: 7.8): تخریب حافظه در سرویس‌‌‌‌‌‌‌های DSP در طول call از HLOS به DSP
•    CVE-2023-33106 (شدت CVSS: 8.4): تخریب حافظه در Graphics هنگام ارسال لیست بزرگی از نقاط همگام‌‌‌‌‌‌‌سازی در یک دستور AUX به IOCTL_KGSL_GPU_AUX_COMMAND
•    CVE-2023-33107 (شدت CVSS: 8.4): تخریب حافظه در Graphics Linux در حین اختصاص حافظه مجازی مشترک در طول IOCTL call
گروه تحقیقاتی گوگل فاش کردند که این سه نقص به همراه آسیب‌پذیری CVE-2022-22071 (شدت CVSS: 8.4)، در حملات هدفمند مورد بهره‌برداری قرار گرفته‌اند.
 

محصولات تحت تاثیر
آسیب‌‌‌‌‌‌‌پذیری‌‌‌‌‌‌‌ها و حملات یادشده، تراشه‌‌‌‌‌‌‌های شرکت کوالکام را تحت تأثیر قرار داده‌اند.

توصیه‌های امنیتی
با توجه به حساسیت موضوع، پیشنهاد می‌‌‌‌‌‌‌شود تا اقدامات اصلاحی یا کاهشی طبق دستورالعمل‌‌‌‌‌‌‌های شرکت سازنده اعمال گردد یا در صورت در دسترس نبودن اقدامات اصلاحی یا کاهشی، فعلاً استفاده از محصولات متوقف گردد.

منبع خبر:

[1] https://thehackernews.com/2023/12/qualcomm-releases-details-on-chip.html

گوگل در آخرین به‌روزرسانی‌ امنیتی خود، چند آسیب‌پذیری‏ بحرانی را در اندروید رفع کرده است. این آسیب‌پذیری‌ها می‌توانند توسط مهاجمان برای اهدافی چون اجرای کد از راه دور، دسترسی به اطلاعات حساس و اقدامات مشکوک بر روی دستگاه‌های کاربران مورد بهره‌برداری قرار گیرند.
یکی از این آسیب‌پذیری‌ها با شناسه CVE-2023-40088  و شدت 9.8، در مؤلفه System اندروید وجود دارد و به مهاجم اجازه می‌دهد که بدون نیاز به کلیک و تعامل کاربر، کد دلخواه خود را از راه دور اجرا کند.
سه آسیب‌پذیری بحرانی دیگر با شناسه‌های CVE-2023-40077 ،CVE-2023-40076  و  CVE-2023-45866 نیز در مؤلفه‌های Framework و  System رفع شده‌اند. با بهره‌برداری از این آسیب‌پذیری‌ها مهاجم قادر خواهد بود به اطلاعات حساس دسترسی پیدا کند، اقدامات مشکوک را بر روی دستگاه‌های کاربران انجام دهد و یا از طریق ارسال پیام‌های مخرب، دستگاه‌های آسیب‌پذیر را مورد بهره‌برداری قرار دهد. این آسیب‌پذیری‌ها به ترتیب دارای شدت ۹.۱، ۹.۱ و ۸.۴  در مقیاس CVSS ارزیابی شده‌اند.
همچنین، یک آسیب‌پذیری بحرانی با شناسه CVE-2022-40507 در مؤلفه Qualcomm نیز رفع شده است. این آسیب‌پذیری می‌تواند موجب شود که مهاجمان بتوانند به حافظه دستگاه‌های مجهز به Qualcomm دسترسی پیدا کنند و کدهای دلخواه را در آن اجرا کنند. شدت این آسیب‌پذیری نیز ۷.۸ گزارش شده است.

توصیه‌های امنیتی
گوگل توصیه می‌کند که کاربران اندروید برای حفاظت از دستگاه‌های خود در برابر این آسیب‌پذیری‌ها، دستگاه‌های خود را به‌روزرسانی کنند. برای بررسی وضعیت به‌روزرسانی دستگاه خود، می‌توانید به تنظیمات، درباره دستگاه و به‌روزرسانی سیستم مراجعه کنید.

منابع خبر:

[1] https://www.bleepingcomputer.com/news/security/december-android-updates-fix-critical-zero-click-rce…
[2] https://source.android.com/docs/security/bulletin/2023-12-01

Atlassian چند شناسه آسیب‌پذیر با شدت بحرانی بر روی محصولات خود منتشر کرد. آسیب‌پذیری با شناسه‌ CVE-2023-22522 و شدت بحرانی 9.0 امکان اجرای کد از راه دور (RCE) از طریق Confluence Data Center و Server را برای مهاجم احراز هویت‌شده فراهم می‌آورد. در این آسیب‌پذیری با استفاده از تزریقTemplate ، مهاجم احراز هویت‌شده (از جمله مهاجم با دسترسی ناشناس (anonymous)) می‌تواند ورودی کاربر ناامن را به صفحه Confluence تزریق کند. با استفاده از این روش، مهاجم می‌تواند به اجرای کد از راه دور (RCE) در یک نمونه آسیب‌‌پذیر دست پیدا کند. 
آسیب‌پذیری با شناسه‌ CVE-2023-22523 و شدت بحرانی 9.8 امکان اجرای کد از راه دور (RCE) بر روی ماشین‌هایی که Assets Discovery agent را نصب نموده‌اند، را برای مهاجم فراهم می‌آورد. این آسیب‌پذیری در Assets Discovery application (که قبلا به نام Insight Discovery شناخته می‌شد) و Assets Discovery agent وجود دارد. 
Assets Discovery که می‌تواند از طریق Atlassian Marketplace بارگیری شود، یک ابزار اسکن شبکه است که می‌تواند با/بدون یک عامل (agent) با سرویس مدیریت ابر، مرکز داده یا سرور Jira استفاده شود. همچنین سخت‌فزار و نرم‌افزار متصل به شبکه محلی را شناسایی و اطلاعات دقیقی از هر دارایی (asset) را استخراج می‌کند. سپس این داده‌ها را می‌توان به Assets در Jira Service Management داد تا مدیریت تمام دستگاه‌ها و موارد پیکربندی در شبکه محلی را انجام دهد. Assets Discovery agents  فرآیندهای مستقلی هستند که می‌توانند داده‌هایی را از سیستم‌هایی که همیشه آنلاین نیستند، کشف کنند یا داده‌ها را از سیستم‌های Windows بدون باز کردن پورت WMI ورودی (inbound WMI Port) و پورت‌های Dynamic DCOM جمع‌آوری کنند.
آسیب‌پذیری با شناسه‌ CVE-2023-22524 و شدت بحرانی 9.6 امکان اجرای کد از راه دور (RCE) در برخی از نسخه‌های برنامه Atlassian Companion برای  MacOSرا برای مهاجم فراهم می‌آورد. یک مهاجم می‌تواند از WebSockets جهت دور زدنblocklist  در Atlassian Companion  وMacOS Gatekeeper  جهت اجرای کد استفاده کند.

محصولات تحت تأثیر
این آسیب‌پذیری برخی از محصولات Atlassian شامل Confluence Data Center و Server نسخه‌های 4.X.X، 5.X.X، 6.X.X، 7.X.X، 8.0.X، 8.1.X، 8.2.X، 8.3.X، 8.4.0، 8.4.1، 8.4.2، 8.4.3، 8.4.4، 8.5.0، 8.5.1، 8.5.2 و 8.5.3 و  Confluence Data Center نسخه‌های 8.6.0 و 8.6.1، Assets Discovery application و Assets Discovery agent و برخی از نسخه‌های برنامه Atlassian Companion  برای  MacOSرا تحت تأثیر خود قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Confluence Data Center  و Server به نسخه‌های 7.19.17 (LTS)، 8.4.5 و 8.5.4 (LTS)، Confluence Data Center به‌ نسخه‌های  8.6.2  یا بالاتر (فقط Data Center) و 8.7.1 یا بالاتر (فقط Data Center)، Assets Discovery application و Assets Discovery agent و برخی از نسخه‌های برنامه Atlassian Companion  برای  MacOS به نسخه‌های وصله ‌شده اقدام نمایند.

منابع خبر:

[1] https://confluence.atlassian.com/pages/viewpage.action?pageId=1319570362

[2] https://nvd.nist.gov/vuln/detail/CVE-2023-22523
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-22524

شرکت مایکروسافت نسبت به شروع موج جدیدی از حملات باج‌افزار CACTUS هشدار داده است که از تبلیغات بدافزاری مبتنی بر بدافزار DanaBot به عنوان یک ابزار ایجاد دسترسی اولیه استفاده می‌کند. بدافزار DanaBot (storm-1044) یک ابزار چند منظوره در پی بدافزارهای Emotet، TrickBot، QakBot و IcedID است که می‌تواند به عنوان یک دزد و یک نقطه ورود برای محتواهای آلوده مرحله بعدی حمله عمل کند. به گفته محققان شرکت مایکروسافت، مهاجمان از دسترسی اولیه توسط آلودگی‌‌‌‌های بدافزار QakBot نیز استفاده کرده‌اند. 
بدافزار DanaBot یک تروجان ماژولار بانکی چند مرحله‌‌‌‌ای است که در دلفی نوشته شده است و اولین بار در سال 2018 کشف  شد. این بدافزار یک ساختار ماژولار را پیاده‌‌‌‌سازی می‌‌‌‌کند که به مهاجمان این  امکان را می‌‌‌‌دهد تا با افزودن افزونه‌‌‌‌های جدید از عملکردهای جدید پشتیبانی کنند. به نظر می‌‌‌‌رسد کمپین فعلی Danabot که برای اولین بار در ماه نوامبر مشاهده شد، از یک نسخه بدافزار سرقت اطلاعات به جای ارائه بدافزار به عنوان یک سرویس استفاده می‌‌‌‌کند. اعتبار جمع‌‌‌‌آوری شده توسط بدافزار به یک سرور کنترل شده منتقل می‌‌‌‌شود. این افشاگری چند روز پس از آن صورت می‌گیرد که مجموعه دیگری از حملات باج‌افزار CACTUS فاش شد که به طور فعال از آسیب‌پذیری‌های حیاتی در پلتفرم تحلیل داده Qlik Sense جهت دسترسی به شبکه‌های شرکتی بهره‌برداری می‌کند.

محصولات تحت تأثیر
ابزار حمله Danabot از طریق ایمیل و پیام‌‌‌‌های مهندسی اجتماعی منتشر می‌‌‌‌شود.

توصیه‌های امنیتی
با توجه به اینکه بدافزار Danabot یک ابزار منتشر شده از طریق ایمیل می‌‌‌‌باشد، تقویت مکانیزم‌‌‌‌های بررسی محتواهای ضمیمه شده در ایمیل‌‌‌‌ها مورد تاکید است. به‌‌‌‌روزرسانی ابزارهای امنیتی در سرورهای ایمیل و سیستم‌‌‌‌های کاربران نیز حائز اهمیت می‌باشد. همچنین باید هشدارهای لازم به کارکنان سازمان‌‌‌‌ها در خصوص حملات مهندسی اجتماعی داده شود.

منابع خبر:

[1] https://thehackernews.com/2023/12/microsoft-warns-of-malvertising-scheme.html
[2] https://securityaffairs.com/155184/cyber-crime/danabot-spread-cactus-ransomware.html 

امروزه، کسب و کارهای بیشتری از فناوری‌‌‌‌‌‌های مجازی‌‌‌‌‌‌سازی برای میزبانی سرور استفاده می‌‌‌‌‌‌کنند. در این میان، VMware ESXi به دلیل کارایی مطلوب در مجازی‌‌‌‌‌‌سازی سرورها محبوب شده است. با این حال، مهاجمان به سرعت با این روند سازگار شده و رمزگذارهای تخصصی را برای به خطر انداختن این سرورهای مجازی توسعه داده‌اند. به تازگی محققان امنیتی یک نسخه لینوکسی از باج‌افزار Qilin را کشف کرده‌اند که به طور خاص برای هدف قرار دادن سرورهای VMware ESXi طراحی شده است. این باج‌‌‌‌‌‌افزار یکی از پیشرفته-ترین و قابل تنظیم‌ترین رمزگذارهای لینوکسی مشاهده شده تاکنون است.
در حالی‌‌‌‌‌‌که بسیاری از عملیات‌‌‌‌‌‌های باج افزار از کدهای منبع موجود استفاده می‌‌‌‌‌‌کنند، برخی دیگر از رمزگذارها به طور خاص برای سرورهای لینوکس توسعه یافته‌‌‌‌‌‌اند. کشف اخیر یک رمزگذار لینوکس ELF64 را برای Qilin آشکار کرده است که قابلیت سازگاری با سرورهای لینوکس، FreeBSD و VMware ESXi را دارد.
باج افزار Qilin که در ابتدا به عنوان باج افزار Agenda در آگوست 2022 شروع به کار نمود، در سپتامبر تغییر نام داده است. این یکی از معدود بدافزارهای نوشته شده در Golang است که احتمالاً می‌‌‌‌‌‌تواند برخی از قابلیت‌های ضد تشخیص پیشرفته را به آن اعطا کند. Qilin با اجرای روش‌‌‌‌‌‌های معمول باج‌افزار هدف‌گیری سازمانی، به شبکه‌ها نفوذ می‌کند، داده‌ها را استخراج می‌کند و متعاقباً باج‌افزار را برای رمزگذاری همه دستگاه‌های متصل به کار می‌گیرد.
رمزگذار Qilin دارای پیکربندی‌هایی است که پسوند فایل، خاتمه فرآیند، گنجاندن یا حذف فایل و رمزگذاری یا حذف پوشه را دیکته می‌کند. همچنین این بدافزار به شدت بر ماشین‌های مجازی که فراتر از رمزگذاری فایل هستند، تأکید دارد. رمزگذار Qilin قابلیت سفارشی‌‌‌‌‌‌سازی گسترده‌ای را به مهاجمان می‌‌‌‌‌‌دهد. این گزینه‌ها از فعال کردن حالت‌های اشکال‌‌‌‌‌‌زدایی گرفته تا سفارشی کردن رمزگذاری ماشین‌های مجازی و snapshotهای آنها را شامل می‌شود. علاوه بر این، رمزگذار به مهاجم اجازه می‌‌‌‌‌‌دهد تا لیستی از ماشین‌‌‌‌‌‌های مجازی را که از رمزگذاری مستثنی هستند، مشخص کنند.

محصولات تحت تاثیر
Qilin کاربران و سازمان هایی را هدف قرار می‌دهد که هایپروایزر ESXi را اجرا می‌‌‌‌‌‌کنند. این بدافزار فایل‌ها را روی دستگاه‌های USB متصل با رمزگذاری AES-256 و یک کلید عمومی RSA که به‌ طور تصادفی تولید می‌شود، رمزگذاری می‌کند. همچنین در هر پوشه یک فایل HTML ایجاد می‌کند که دارای فایل‌های رمزگذاری‌شده حاوی دستورالعمل‌هایی درباره پرداخت باج و محل دریافت کلیدهای رمزگشایی است.
اگرچه برخی از محققان امنیتی معتقدند که بدافزار اخیر بیشتر یک گزینه فرصت طلب برای انتشار Qilin از طریق دستگاه‌‌‌‌‌‌های آلوده USB است و سازمان یا صنعت خاصی را برای حمله، مد نظر ندارد، اما برخی دیگر از محققان معتقدند که Qilin سازمان‌‌‌‌‌‌ها و شرکت‌‌‌‌‌‌های با ارزش بالا را انتخاب می‌‌‌‌‌‌کند و عمدتاً بر سازمان‌های بخش‌های بهداشت و درمان و آموزش در آفریقا و آسیا تمرکز دارد.

توصیه‌های امنیتی
چند روش برای شناسایی باج افزار Agenda و حفظ امنیت در شبکه عبارتند از:
•    آموزش و آموزش کارکنان: مؤثرترین روش آموزش اصول اولیه حفظ امنیت سایبری به کارکنان است.
•    فایل پشتیبانی اطلاعات: در صورت امکان به صورت آفلاین از اطلاعات نسخه پشتیبان تهیه شود. این کار از خراب شدن کپی‌‌‌‌‌‌های داده آفلاین جلوگیری می‌‌‌‌‌‌کند و به بازیابی داده‌‌‌‌‌‌ها بدون تلاش زیاد کمک می‌‌‌‌‌‌کند.
•    ابزارهای امنیتی: توصیه می‌شود از ابزارهای امنیتی استفاده کنید که از امضا، کشف یا الگوریتم‌های هوش مصنوعی برای شناسایی و مسدود کردن فایل‌ها یا فعالیت‌های مشکوک استفاده می‌کنند. چنین ابزارهایی می‌‌‌‌‌‌توانند انواع باج افزارهای شناخته شده را شناسایی و مسدود کنند.
•    ترافیک شبکه: نظارت بر ترافیک شبکه برای هرگونه نشانه‌ای از به خطر افتادن، همانند الگوهای ترافیک غیرمعمول یا ارتباط با سرورهای فرمان و کنترل شناخته شده، امکان شناسایی فعالیت‌های مشکوک را فراهم می‌کند.
•    ممیزی‌‌‌‌‌‌های امنیتی: ممیزی‌ها و ارزیابی‌های امنیتی منظم برای شناسایی آسیب‌پذیری‌های شبکه و سیستم برای حفظ حفاظت به‌روز توصیه می‌شود.

منابع خبر:

[1] https://www.bleepingcomputer.com/news/security/linux-version-of-qilin-ransomware-focuses-on-vmware-…
[2] https://linuxsecurity.com/news/cryptography/linux-version-of-qilin-ransomware-focuses-on-vmware-esxi
[3] https://gridinsoft.com/blogs/qilin-ransomware-vmware-esxi/#:~:text=In%20a%20disturbing%20developmen….

ده‌ها هزار سرور ایمیل Microsoft Exchange در اینترنت عمومی قرار دارند، در برابر نقص‌های اجرای کد از راه دور آسیب‌پذیر هستند. بررسی‌ها نشان می‌دهد که در حال حاضر نزدیک به 20000 سرور Microsoft Exchange از طریق اینترنت عمومی قابل دسترسی هستند که به مرحله پایان عمر (EoL) رسیده‌اند.
این بررسی‌ها نشان می‌دهد که:
•    275 نمونه از Exchange Server 2007
•    4062 نمونه از Exchange Server 2010
•    26298 نمونه از Exchange Server 2013
در حال استفاده می‌باشد که اکثرأ دیگر توسط توسعه‌دهندگان پشتیبانی نمی‌‌‌‌شوند.
برخی از ماشین‌هایی که نسخه‌های قدیمی‌تر سرور ایمیل Exchange را اجرا می‌کنند، در برابر ProxyLogon آسیب‌پذیر هستند، یک مشکل امنیتی حیاتی که با شناسه‌های CVE-2021-26855 و CVE-2021-27065 شناسایی می‌شوند باعث می‌‌‌‌شود که مهاجم احراز هویت نشده قادر به اجرای کد از راه دور شود. طی بررسی و اسکن‌های صورت گرفته، این ماشین و دستگاه‌ها در برابر نقص‌های امنیتی زیر نیز آسیب‌پذیر هستند:
•    CVE-2020-0688 با شدت 8.8
•    CVE-2021-26855 با شدت 9.8
•    CVE-2021-27065 با شدت 7.8
•    CVE-2022-41082 با شدت 8.8
•    CVE-2023-21529 با شدت 8.8
•    CVE-2023-36745 با شدت 8.0
•     CVE-2023-36439 با شدت 8.0

توصیه‌های امنیتی
جهت رفع این آسیب‌پذیری، اعمال به‌‌‌‌روزرسانی به آخرین نسخه منتشر شده در مواردی که هنوز توسط توسعه‌دهنده پشتیبانی می‌‌‌‌شوند می‌‌‌‌تواند راه حل موقتی باشد و همچنین در مورد مواردی که به پایان پشتیبانی رسیده‌اند، تنها گزینه باقی مانده ارتقاء به نسخه‌ای است که همچنان به‌روزرسانی‌های امنیتی را دریافت می‌کند.

منابع خبر:

[1]https://www.bleepingcomputer.com/news/security/over-20-000-vulnerable-microsoft-exchange-servers-ex…;
[2] https://proxylogon.com/  
[3] https://nvd.nist.gov/vuln/detail/ 

در افزونه MW WP Form، یک آسیب‌پذیری با شناسه CVE-2023-6316 و شدت 9.8 شناسایی شده است که می‌تواند توسط مهاجم برای بارگذاری فایل‌های مخرب در وب‌سایت‌های آسیب‌پذیر مورد بهره‌برداری قرار گیرد.
این آسیب‌پذیری به کاربران اجازه می‌دهد تا فایل‌های خود را بدون محدودیت در وب‌سایت بارگذاری کنند. در نسخه‌های آسیب‌پذیر این افزونه، یک نقص در کد برنامه وجود دارد که باعث می‌شود افزونه، فایل‌های مخرب را بدون بررسی کافی، بارگذاری کند. این امر می‌تواند منجر به بارگذاری فایل‌هایی با پسوندهایی از جمله "php." و "exe." شود.
مهاجم می‌تواند با ارسال یک درخواست خاص به وب‌سایت آسیب‌پذیر، موجب شود که افزونه MW WP Form یک فایل مخرب را بارگذاری کند. این فایل می‌تواند شامل کد مخرب باشد که توسط مهاجم برای انجام اقدامات زیر استفاده شود:
•    بارگذاری فایل‌های مخرب که می‌توانند داده‌های وب سایت را حذف، ویرایش یا سرقت کنند.
•    نصب نرم‌افزار مخرب که می‌تواند به سیستم‌های قربانیان آسیب برساند.
•    حملات DDoS که می‌توانند عملکرد وب سایت را مختل کنند.

توصیه‌های امنیتی
برای محافظت دربرابر این آسیب‌پذیری، باید افزونه MW WP Form به نسخه 5.0.2 به‌روز شود. همچنین، توصیه می‌شود اقدامات امنیتی زیر انجام شود تا از وب‌سایت در برابر آسیب‌پذیری‌های مشابه محافظت شود:
•    از افزونه‌ها و قالب‌های معتبر و به روز شده استفاده شود.
•    از یک پلتفرم مدیریت امنیت (CMS) که به طور منظم بروزرسانی می‌شود استفاده شود.
•    از یک سیستم امنیتی وب پیشرفته برای محافظت از وب‌سایت در برابر حملات استفاده شود.

منبع‌خبر:

[1] https://securityonline.info/cve-2023-6316-unauthenticated-arbitrary-file-upload-mw-wp-form/