چند آسیب‌پذیری امنیتی با شناسه‌های CVE-2023-37502، CVE-2023-37504 و CVE-2023-37503  و شدت‌های 9.0، 7.1 و 8.1 در HCL Software شناسایی شده است که امکان آپلود فایل مخرب، عدم ابطال اعتبارِ sessionها که منجر جعل هویت کاربر و استفاده مجدد از آن می‌شود و عدم رعایت الزامات رمز عبور امن که منجر به حدس زدن رمز عبور و دسترسی به حساب‌های کاربری می‌شود، را برای مهاجم فراهم می‌آورد. 
HCL Compass طیف کاملی از فعالیت‌های آزمایشی و ادغام با ابزارهای توسعه‌دهنده را مدیریت می‌کند.

 محصولات تحت تأثیر

 توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء HCL Compass به نسخه‌های وصله ‌شده اقدام نمایند. 

منابع خبر:

[1] https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0107510
[2] https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0107511  
[3] https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0107512

یک آسیب‌پذیری امنیتی با شناسه CVE-2022-3761 در نرم‌افزار OpenVPN Connect شناسایی شده است که امکان حمله MITM (مرد میانی) را برای مهاجم فراهم می‌آورد. آسیب‌پذیری مذکور  این امکان را برای مهاجم فراهم خواهد آورد تا درخواست‌های دانلود پروفایل پیکربندی را که حاوی اطلاعات کاربری کاربران است، رصد نماید.
نرم‌افزار OpenVPN Connect یک برنامه مشتری است که داده‌ها را از طریق یک تونل امن رمزگذاری‌شده در بستر اینترنت، با استفاده از پروتکل OpenVPN، به یک سرور VPN منتقل می‌کند.

محصولات تحت تأثیر
 OpenVPN Connect به تازگی به‌روزرسانی‌های برای نسخه‌های تحت تأثیر این آسیب‌پذیری منتشر کرده است که به‌طور مؤثر اثرات آن را کاهش می‌دهد.
 

توصیه‌ امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء OpenVPN Connect به نسخه‌های وصله ‌شده اقدام نمایند. 

 منبع خبر:

[1] https://openvpn.net/vpn-server-resources/openvpn-connect-for-windows-change-log
 

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-5632 و شدت 7.5 در Eclipse شناسایی شده است که امکان انجام حمله انکار سرویس (DOS) را برای مهاجم فراهم می‌آورد. Eclipse Mosquitto یک واسطه پیام منبع باز (مجوز EPL/EDL) است که پروتکل MQTT نسخه‌های 5.0، 3.1.1 و 3.1 را پیاده‌سازی می‌کند.

توصیه‌های امنیتی
این آسیب‌پذیری نسخه‌های 2.0.5 و قبل‌تر را تحت تأثیر خود قرار می‌دهد  و به کاربران توصیه می‌شود در اسرع وقت نسبت به ارتقاء Eclipse Mosquitto به نسخه‌ 2.0.6 اقدام نمایند.
 
منابع خبر:

[1] https://github.com/eclipse/mosquitto/pull/2053
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-5632
 

دو آسیب‌‌پذیری بحرانی با شناسه‌‌های CVE-2023-37265 و CVE-2023-37266 و شدت CVSS 9.8 در نرم‌افزار متن‌‌باز CasaOS Cloud کشف شده است که مهاجمان با استفاده از آن‌‌ها می‌‌توانند کنترل سیستم-های حساس را در دست گرفته و کدهای دلخواه خود را بصورت موفق اجرا کنند؛ آن‌ها همچنین می‌‌توانند JWTهای دلخواه خود را ساخته، به بخش‌‌های مختلف دسترسی پیدا کرده و دستورات دلخواه خود را سطح دسترسی root اجرا کنند.
Thomas Chauchefion محقق امنیتی Sonar که این آسیب‌‌پذیری‌‌ها را کشف کرده است بیان کرد که: «این آسیب‌‌پذیری‌‌ها به مهاجمان اجازه می‌‌دهد تا فرآیند احرازهویت را دور زده و به داشبورد CasaOS دسترسی کامل داشته باشند.»
مسئله نگران‌‌کننده‌‌ این است که با استفاده از CasaOS Support برای برنامه‌‌های شخص ثالث می‌‌توان کدها و دستورات دلخواه را بر روی سیستم، برای دسترسی دائمی به دستگاه یا دسترسی به شبکه داخلی استفاده کرد.
خوشبختانه پس از افشای این آسیب‌‌پذیری‌‌ها موارد اعلام شده در نسخه 0.4.4 رفع شده و در 14 جولای 2023 بصورت رسمی منتشر شده است.

جزئیات این دو آسیب‌‌پذیری به شرح زیر می‌باشد:
•    CVE-2023-37265
تشخیص نادرست آدرس IP منبع که به مهاجمان احرازهویت نشده اجازه می‌‌دهد تا دستورات دلخواه خود را بعنوان کاربر root اجرا کنند. براساس گفته‌‌های Chaichefion آدرس‌‌های IP در لایه Application مستعد خطر بوده و نباید برای تصمیم‌‌گیری‌‌های امنیتی به آن اعتماد کرد. 
•    CVE-2023-37266
مهاجمان احرازهویت نشده می‌‌توانند توکن‌‌های وب (JWT) دلخواه را ایجاد کرده و به ویژگی‌‌ها و بخش‌‌هایی که نیاز به احرازهویت دارند دسترسی کامل داشته و دستورات دلخواه خود را بعنوان کاربر root اجرا کنند.
بسیاری از هدرهای مختلف ممکن است که اطلاعات گوناگونی مانند X-Forwarded-For، Forwarded و غیره را منتقل کنند و APIهای زبان برنامه‌‌نویسی گاهی نیاز دارند که تفاوت‌‌های ظریف پروتکل HTTP را به خوبی تفسیر کنند. بطور مشابه همه فریم‌‌ورک‌‌ها نیز ویژگی‌‌های خاص خود را دارند که می‌‌توانند مشکل‌‌ساز باشند و باید بصورت کامل این ویژگی‌‌ها را شناخته و به خوبی استفاده شود.
در نتیجه بهره‌‌برداری موفق از نواقص امنیتی ذکر شده به مهاجمان اجازه می‌‌دهد تا محدودیت احرازهویت را دور زده و امتیازات مدیریتی را در نمونه‌‌های آسیب‌‌پذیر CasaOS بدست آورند.

توصیه امنیتی
این نقص‌های امنیتی در نسخه CasaOS 0.4.4 برطرف شده و کاربران باید هر چه سریع‌تر نرم‌‌افزار خود را به این نسخه ارتقاء دهند.

منابع خبر:

[1] https://thehackernews.com/2023/10/critical-vulnerabilities-uncovered-in.html 
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-37266 
 

در سال‌های اخیر باج‌افزارها به چالش جدی برای کاربران و سازمان‌ها بدل شده‌اند و با رمزنگاری داده‌های ارزشمند کاربران و سازمان‌ها، داده‌ها را در ازای بازگرداندن آن‌ها و دریافت باج، به گروگان می‌گیرند. در حقیقت می‌توان گفت یکی از بزرگ‌ترین تهدیدات رایج دنیای کنونی فضای دیجیتال برای کاربران، شرکت‌ها و سازمان‌های بزرگ و کوچک، باج‌افزارها هستند. از طرفی دیگر با پیشرفت روش‌ها و ابزارهای مبتنی بر هوش مصنوعی، توسعه‌دهندگان این نوع از بدافزارها، جهت ارتقاء قابلیت‌های باج‌افزار خود، انواع جدید و هوشمندتری توسعه داده‌اند که با استفاده از الگوریتم‌های یادگیری ماشین و تکنیک‌های پیشرفته، می‌توانند متن‌های فریبنده‌تری تولید کنند، پیام‌های باج‌خواهی را برای هر قربانی سفارشی کنند، داده‌های مهم و حساس را شناسایی کرده و سطح رمزنگاری را بالاتر و پیچیده‌تر کنند. این باج‌افزارهای هوشمند چالش جدید و بزرگی را برای امنیت سایبری شرکت‌ها و استارت آپ‌ها ایجاد کرده‌اند.
باج‌افزارهای هوشمند چگونه عمل می‌کنند؟
 باج‌افزارهای هوشمند، برخلاف باج‌افزارهای نسل‌های قبل‌تر، از مدل هوش مصنوعی مولد (Generative AI) استفاده می‌کنند که قادر به تولید محتوای جدید و منحصر به فرد هستند. این الگوریتم‌ها، براساس داده‌های آموزش داده شده به آن‌ها، قالب و سبک نوشتار را یاد می‌گیرند و سپس با تغییر جزئیات، محتوای جدید و شبیه به آن را تولید می‌کنند.
 برخی از باج‌افزارهای هوشمند، ازGPT-3  استفاده می‌کنند که یک مدل مولد قدرتمند و پرطرفدار است. GPT-3، براساس 175 میلیارد پارامتر آموزش داده شده است و قادر به تولید محتوای متنی در هر زمینه و سبکی می‌باشد. این الگوریتم، می‌تواند متن‌های فریبنده‌ای را برای ایمیل‌های باج‌خواهی، فاکتورهای جعلی، مقالات تقلبی و حتی کد نرم‌افزاری مخرب تولید کند.
 باج‌افزارهای هوشمند، با استفاده از این الگوریتم‌ها، می‌توانند پیام‌های باج‌خواهی را برای هر قربانی سفارشی‌سازی کنند. برای مثال، آن‌ها می‌توانند نام، سمت، شرکت و داده‌های مورد نظر قربانی را شناسایی کرده و در پیام باج‌خواهی به آن‌ها اشاره کنند. این کار، منجر به افزایش اثربخشی پیام می‌شود و می‌تواند قربانی را تحت فشار بیشتری قرار ‌دهد.
 علاوه بر این، باج‌افزارهای هوشمند، می‌توانند سطح رمزنگاری داده‌ها را بالاتر و پیچیده‌تر کنند. آن‌ها، با استفاده از مدل‌های مولد، می‌توانند کلید رمزگشایی را به صورت تصادفی و منحصر به فرد تولید کنند. این کار، باعث می‌شود که داده‌ها فقط با پرداخت باج قابل دسترس شوند و هرگونه تلاش برای رمزگشایی داده‌ها بدون کلید، ناموفق باشد.
چگونه باج‌افزارهای هوشمند شکل گرفتند؟
باج‌افزارهای هوشمند، نتیجه استفاده نادرست و خلاف قانون از GPT-3 هستند. GPT-3، توسط شرکت OpenAI توسعه داده شده است که در چند سال اخیر در حال کار بر روی این سرویس بوده است. OpenAI، هدف خود را ترویج هوش مصنوعی قرار داده و در تلاش است تا هوش مصنوعی را برای همگان در دسترس قرار دهد.
OpenAI یکAPI  را ارائه داده است که به طور محدود و تحت نظارت به برخی از سازمان‌ها و افراد اجازه می‌دهد تا از GPT-3 استفاده کنند. OpenAI، قوانین اخلاقی و قانونی را جهت استفاده از API تعیین کرده است و از هرگونه استفاده نامطلوب یا خلاف قانون جلوگیری می‌کند.
با این حال، برخی از توسعه‌دهندگان باج‌افزارها و مجرمان سایبری توانسته‌اند به نحوی به API از GPT-3 دسترسی پیدا کنند و از آن جهت توسعه باج‌افزارهای هوشمند استفاده کنند. باج‌افزارهای هوشمند، نمونه‌ای از سوء‌استفاده از هوش مصنوعی توسط مجرمان سایبری است که برای مقابله با این تهدید، لازم است که اقدامات لازم را انجام داد. 
 

توصیه‌های امنیتی
باج‌افزارهای هوشمند، چالش جدید و پیچیده‌ای را برای امنیت سایبری شرکت‌ها و استارت آپ‌ها ایجاد کرده‌اند. جهت مقابله با این تهدید، لازم است که اقدامات پیشگیرانه و واکنشی را به صورت همزمان انجام داد. برخی از این اقدامات عبارتند از:
- استفاده از نرم‌افزارهای شناسایی بدافزار و باج‌افزار به‌روز و قابل اعتماد
- پشتیبان‌گیری منظم و مطمئن از داده‌های مهم و حساس
- آگاهی و آموزش کارکنان درخصوص Spam‌ها، ایمیل‌ها و لینک‌های مخرب
- استفاده از رمز عبور پیچیده و مطمئن و منحصر به فرد برای حساب‌های کاربری مختلف
- محدود کردن دسترسی به داده‌ها و شبکه‌ها براساس نقش و نیاز کاربران
- گزارش هرگونه حمله یا مورد مشکوک به مسئولین فناوری اطلاعات و امنیت سایبری سازمان

منابع و مراجع:

[1]https://www.zdnet.com/article/ransomware-victims-continue-to-pay-up-while-also-bracing-for-ai-enhan…
[2]https://thehackernews.com/2023/10/exploring-realm-of-malicious-generative.html?m=1
 

یک آسیب‌پذیری با شدت بالا در نسخه‌های قبل از 6.23 نرم‌افزار WinRAR کشف شده است که توسط هکرهای (APT29) مورد بهره‌برداری قرار گرفته که منجر به دسترسی از راه‌دور آن‌ها خواهد شد. این آسیب‌‌پذیری با شناسه CVE 2023‌‌38831 در 23 آگوست 2023 توسط NIST گزارش شده است ولی بررسی‌ها نشان می‌دهد که از آوریل 2023 مورد بهره‌برداری قرار گرفته و کاربران زیادی را تحت تأثیر قرار داده است.

براساس گزارش‌های محققان، این آسیب‌‌‌پذیری به این دلیل رخ می‌‌‌دهد که مهاجمان در یک فایل آرشیو ZIP از یک فایل سالم در کنار یک پوشه همنام که دارای فایل‌‌‌های مخرب است استفاده کرده و از این طریق حملات خود را انجام می‌‌‌دهند. تصویر زیر محتویات این فایل آرشیو را نشان می‌‌‌دهد که دارای یک فایل سالم با نام ReadMe.txt و یک پوشه با همین نام است.
 

بررسی این فایل آرشیو نشان می‌دهد که:
•    مهاجمان فایل آرشیو را به گونه‌ای ایجاد می‌کنند که نام پوشه و فایل یکسان باشد.
•    با توجه به اینکه ویندوز اجازه نمی‌دهد تا فایل‌ها و پوشه‌ها در یک مسیر نام یکسانی داشته باشند، نشان می‌دهد که پس از ایجاد یک فایل ZIP معمولی با تغییر بایت‌های مختلف نام فایل و پوشه تغییر یافته و یک نام یکسان استفاده می‌شود.
•    وقتی محتویات پوشه بررسی می‌شود، فایل‌های زیادی وجود دارد که مهم‌ترین آن‌ها یک فایل bat حاوی اسکریپت مخرب است.
•    فایل bat نیز نامی مشابه با فایل سالم همنام پوشه دارد.
•    با بررسی اسکریپت می‌توان دید که cmd را در حالت Minimized راه‌اندازی کرده و سپس به پوشه temp جایی که WinRar فایل‌ها را استخراج می‌کند، رفته و سعی می‌کند تا فایل weakicons.com را که در داخل پوشه وجود دارد، پیدا کند و آن را با wmic اجرا کند.
•    با بررسی weakicon.com متوجه می‌شویم که یک فایل CAB SFX است.
گزارش‌های Cluster25 نشان می‌دهد که گروه‌های هکری (APT29) از این نقص امنیتی سوءاستفاده کرده و با استفاده از حملات فیشینگ سعی دارند تا اعتبارنامه‌های موجود در سیستم‌های در معرض خطر را جمع‌آوری کنند.
فایل آرشیوی که در این حملات استفاده می‌شود شامل یک فایل pdf مخرب است که با کلیک روی آن اسکریپت‌های دسته‌ای ویندوز اجرا می‌شود و با استفاده از دستورات Powershell دسترسی از راه‌دور را برای مهاجمان فراهم می‌آو‌رد.
همچنین یک اسکریپت Powershell تعبیه شده است که داده‌های مختلف از جمله اعتبارنامه ورود را از مرورگرهای Google Chrome و Microsoft Edge جمع‌آوری کرده و برای مهاجمان ارسال می‌کند. 
CVE-2023-38831 یک آسیب‌پذیری با درجه شدت بالا در WinRAR است که به مهاجم اجازه می‌دهد تا دستورات دلخواه خود را هنگام بازکردن فایل مخرب در یک فایل آرشیو ZIP شده اجرا کند. یافته‌های Group-IB نیز نشان می‌دهد که این آسیب‌پذیری از آوریل 2023 بعنوان یک آسیب‌پذیری zero-day در حملات مختلفی، مورد بهره‌برداری قرار گرفته است.

محصولات تحت تأثیر
کلیه سیستم‌هایی که از WinRar نسخه قبل از 6.23 استفاده می‌کنند در برابر این حملات آسیب‌پذیر بوده و باید هرچه زودتر این ابزار را به‌روزرسانی کنند.

توصیه امنیتی
کاربران در اسرع وقت، نرم‌افزار WinRarخود را به نسخه 6.23 ارتقاء دهند.

منابع خبر:

[1] https://thehackernews.com/2023/10/pro-russian-hackers-exploiting-recent.html 
[2] https://www.mcafee.com/blogs/other-blogs/mcafee-labs/exploring-winrar-vulnerability-cve-2023-38831
 

شرکت سیسکو در تاریخ ۱۶ اکتبر ۲۰۲۳ در بولتن امنیتی خود اعلام کرد که یک آسیب‌پذیری جدید و بحرانی بر روی وب UI نرم‌افزار Cisco IOS XE کشف شده است که به صورت فعال توسط مهاجمین در حال بهره‌برداری است. این آسیب‌پذیری بحرانی با درجه حساسیت 10 با شناسه CVE-2023-20198  قابل پیگیر خواهد بود و به مهاجم اجازه می‌دهد که بدون نیاز به هویت‌سنجی، یک حساب کاربری با سطح دسترسی ۱۵ (بالاترین سطح) ایجاد کرده که منجر به دسترسی و کنترل کامل دستگاه توسط مهاجم خواهد شد.
این آسیب‌پذیری تنها زمانی قابل استفاده است که قابلیت وب UI نرم‌افزار Cisco IOS XE فعال باشد و به اینترنت یا شبکه‌های ناامن متصل باشد. شرکت سیسکو توصیه کرده است که برای جلوگیری از سوءاستفاده از این آسیب‌پذیری، قابلیت وب UI را تا زمانی که راه‌حلی پایدار برای آن منتشر کند غیرفعال کنند. با توجه به اینکه در حال حاضر هیچگونه وصله امنیتی برای آسیب‌پذیری مذکور منتشر نشده است، برای جلوگیری از سوء استفاده؛ سرویس Web UI می‌بایست از طریق دستورات زیر غیر فعال شود:

no ip http secure-server

همچنین، شرکت سیسکو در حال تحقیق بر روی این آسیب‌پذیری است و انتظار می‌رود که به محض آماده شدن راه‌حل، راهکار نرم‌افزاری خود را منتشر کند.

منابع و مراجع:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-….

https://www.tenable.com/blog/cve-2023-20198-zero-day-vulnerability-in-cisco-ios-xe-exploited-in-the…

محققان امنیتی در حال تحقیق و بررسی بیشتر ویژگی‌های مختلف یک تروجان بانکی به نام SpyNote می‌باشند که دستگاه‌های اندرویدی را مورد هدف قرار می‌دهد. به گفته یکی از محققان شرکت F-Secure (به نام آمیت تامب)، روش معمول نصب این تروجان از طریق کلیک بر روی پیوند (link) ارسالی از طریق پیامک جعلی می باشد. 
روش شناسایی این تروجان ارسال درخواست مجوزهای مخاطره‌آمیز جهت دسترسی به اطلاعات تماس، دوربین، پیامک و حافظه خارجی می‌باشد. این تروجان جهت جلوگیری از شناسایی، خود را از صفحه اصلی Android و بخش فعالیت‌های اخیر صفحه نمایش پنهان می¬کند.
به گفته آمیت تامب، بدافزار SpyNote را می‌توان از طریق یک درخواست خارجی راه‌اندازی کرد؛ به این صورت که پس از رسیدن به هدف مورد نظر، بدافزار فعالیت اصلی خود را اجرا می‌کند؛ اما مهم‌تر از همه، این تروجان به دنبال مجوزهای دسترسی می‌باشد که از آن‌ها جهت اعطای مجوزهای اضافی برای ضبط تماس‌های صوتی و تلفنی، ورود به سیستم و همچنین گرفتن اسکرین‌شات از تلفن از طریق MediaProjection API استفاده کند.
بررسی دقیق‌تر این بدافزار، حاکی از وجود خدمات diehard services می‌باشد که هدف آن مقاومت در برابر تلاش‌های صورت‌گرفته از طرف قربانیان یا سیستم‌عامل جهت متوقف کردن آن است. این امر با ثبت (رجیستر) یک broadcast receiver انجام می‌شود که به همین منظور طراحی شده است تا هر زمان که قرار است متوقف شود، به طور خودکار آن را مجددا راه‌اندازی کند. 
شایان ذکر است که این بدافزار بر روی دستگاه قربانی پنهان می¬ماند و کاربر به راحتی متوجه وجود آن نخواهد شد. علاوه بر آن حذف آن از دستگاه قربانی بسیار دشوار است و در صورت استقرار، تنها راه‌حل پیش‌روی قربانی ریست کردن دستگاه و برگردادن آن به تنظیمات کارخانه می‌باشد که با انجام این کار کلیه داده¬های خود را نیز از دست خواهد داد.

توصیه امنیتی
به کاربران توصیه می‌شود جهت جلوگیری از آلوده شدن دستگاه‌های اندرویدی خود به این بدافزار، توصیه‌های امنیتی زیر را در نظر بگیرند:

•    از دانلود هر گونه برنامه به صورت مجزا جهت به‌روزرسانی نرم‌افزارهای اندوردیدی خودداری کنید (مثلاً به‌روزرسانی برنامه‌ها جهت افزودن ویژگی‌های جدید به برنامه واتس‌اپ، یا برنامه‌هایی که به‌روزرسانی‌های Android را به صورت مجزا ارائه می‌دهند.)
•    از دانلود برنامه‌های خارج از فروشگاه‌های نرم‌افزاری (اپ‌استورها) رسمی خودداری کنید.
•    مجوزهای دسترسی به برنامه‌های خود را بررسی و مدیریت کنید.
•    مراقب درخواست هر گونه مجوز اضافی و خارج از نیاز جهت دسترسی به برنامه‌های خود باشید (مثلاً مجوز مدیریت دستگاه).
•    از نرم‌افزارهای حفاظتی ایمن جهت جلوگیری از تهدیدات مخرب در دستگاه خود استفاده کنید.

منابع:

 https://thehackernews.com/2023/10/spynote-beware-of-this-android-trojan.html
https://blog.f-secure.com/take-a-note-of-spynote/
https://blog.f-secure.com/android-guncelleme-dissecting-a-malicious-update-installer/

بدافزار جدیدی در قالب یک افزونه وردپرس کشف شده است که سایت‌های وردپرس را مورد هدف قرار خواهد داد و به مهاجم اجازه می‌دهد تا با ایجاد یک حساب کاربری با سطح دسترسی ادمین، فعالیت‌های سایت را کنترل کند.
این بدافزار یک backdoor با عملکرد مختلف می‌باشد که برای مهاجم این امکان را فراهم می‌آورد تا افزونه‌ها را مدیریت کرده و خود را در بین افزونه‌های فعال وب‌سایتی که در معرض خطر است، پنهان و محتوای مورد نظر را جایگزین کند و یا برخی از کاربران را به صفحات مخرب هدایت کند.

تحلیلگران Defiant این بدافزار را در ماه جولای هنگام بازنگری یک وب‌سایت وردپرس، کشف کردند. با بررسی بیشتر این بدافزار مشخص شده است که خود را به عنوان یک ابزار caching پنهان خواهد کرد تا از این طریق به کاهش بار سرور و بهبود زمان بارگذاری صفحه کمک کند. همانطور که پیش‌تر نیز به آن اشاره شد، این افزونه مخرب، خود را از لیست "افزونه‌های فعال" مخفی نگه داشته تا از این طریق بررسی‌های امنیتی را دور بزند. افزونه ی مذکور دارای قابلیت‌های زیر می‌باشد:
•    ایجاد کاربر: با استفاده از یک تابع، کاربری با نام "superadmin" و رمز عبور دشوار خواهد ساخت که دارای سطح دسترسی ادمین می‌باشد، این بدافزار پس از انجام عملیات مخرب، از طریق تابع دیگری، کاربر superadmin را حذف می‌کند.

•    شناسایی ربات: هنگامی که بازدیدکنندگان سایت به عنوان یک ربات شناسایی می‌شوند، بدافزار محتوای مختلفی از جمله هرزنامه را به آن‌ها ارائه خواهد داد تا از این طریق سایت را در معرض خطر محتوای مخرب قرار دهد و این امر موجب خواهد شد تا ادمین سایت شاهد افزایش ناگهانی ترافیک و یا دریافت گزارش‌های شکایت مبنی بر هدایت کاربران به صفحات مخرب شود.

•    جایگزینی محتوا: بدافزار مذکور می‌تواند پست‌ها و محتوای صفحه را تغییر داده و لینک‌های spam را وارد کند و در نهایت به ادمین سایت، محتوای تغییر داده نشده را ارائه خواهد داد تا روند تحقیق و بررسی را از طرف وی به تأخیر بیاندازد.
•    کنترل افزونه: اپراتورهای این بدافزار قادر خواهند بود تا افزونه‌های وردپرس دلخواه خود را از راه دور در سایت هدف، فعال یا غیرفعال کنند و در نهایت ردپای خود را از پایگاه داده سایت پاک کرده تا فعالیت‌های آن مخفی بماند.

•    فراخوانی از راه دور: این backdoor با بررسی کاربران خاص، به مهاجمان اجازه خواهد داد تا از راه دور توابع مخرب را فعال کند.
به گفته محققان، به طور کلی قابلت‌های فوق الذکر مهاجم را قادر خواهد ساخت تا از راه دور به طور کامل کنترل سایت را در دست گرفته و از این طریق کسب درآمد کند. به گفته تحلیلگران Defiant، در حال حاضر هیچ جزئیاتی مبنی بر آن که چه تعداد وب‌سایتی در معرض خطر این بدافزار مخرب قرار گرفته‌اند ارائه نشده است. 
به طور کلی می‌توان گفت روش‌های معمول جهت به خطر انداختن یک وب‌سایت توسط مهاجمان، سرقت اطلاعات ورود کاربر و مجوزهای دسترسی وی، تغییر یا تخصیص گذرواژه‌ و یا بهره‌برداری از یک آسیب‌پذیری در قالب یک افزونه می‌باشد.

توصیه امنیتی
Defiant یک detection signature از نسخه رایگان Wordfence برای کاربران خود منتشر کرده است و یکrule  فایروال جهت محافظت از کاربران Premium، Care و Response در مقابل حملات backdoor اضافه کرده است. شایان ذکر است که مدیران وب‌سایت‌ها باید در ساخت حساب کاربری از اطلاعات ورود قوی و منحصر به فرد استفاده کرده، افزونه‌های خود را به‌روزرسانی کنند و افزونه‌های بلااستفاده را حذف کنند.

منبع خبر:

https://www.bleepingcomputer.com/news/security/new-wordpress-backdoor-creates-rogue-admin-to-hijack…

محققان شرکت AhnLab نوعی از حملات بدافزاری را شناسایی کردند که از آدرس‌های IP تبدیل شده به هگزادسیمال جهت نصب، راه‌ندازی ShellBot و بهره‌برداری از آن استفاده می‌کنند. این بدافزار قادر به دانلود بدافزارهای مخرب دیگر، اجرای حملات DDoS و همچنین استخراج ارزهای دیجیتالی می‌باشد.
مهاجمانی که در پشت ShellBot قرار دارند از آدرس‌های IP تبدیل شده به هگزادسیمال جهت نفوذ به سرورهای SSH لینوکس با مدیریت ضعیف و استقرار بدافزار و اجرای حملات DDoS استفاده می‌کنند.
مرکز پاسخگویی اضطراری امنیتی (ASEC ) شرکت Ahnlab در گزارش جدیدی که منتشر کرده است، بیان کرد که: «جریان کلی حمله همانند سایر حملات است اما آدرس URL دانلودی که مهاجمان جهت نصب ShellBot استفاده می‌کنند، یک آدرس IP معمولی است که به صورت هگزادسیمال تبدیل شده است.»
ShellBot که بعنوان PerlBot نیز شناخته می‌شود به سرورهایی که دارای اعتبارنامه SSH ضعیفی هستند، از طریق حمله دیکشنری ، حملات DDoS خود را اجرا کرده و از آن‌ها جهت استخراج ارزهای دیجیتال استفاده می‌کند.
این بدافزار که در Perl توسعه یافته است، از پروتکل IRC جهت برقراری ارتباط با سرور فرمان و کنترل (C2) استفاده می‌کند.
آخرین حملات مشاهده شده از طریق این بدافزار مربوط به نصب بدافزار از طریق آدرس‌های IP هگزادسیمال شده بصورت hxxp://0x2763da4e می‌‌باشند که با تبدیل آن به آدرس IP معمولی می‌توان مقدار 39.99.218[.]78 را مشاهده کرد. هدف از این تبدیل تلاش برای فرار از امضاهای شناخته شده مبتنی‌بر URL است.
محققان ASEC بیان کردند: «به دلیل استفاده از Curl برای دانلود و توانایی آن جهت پشتیبانی از هگزادسیمال صحیح مانند مرورگرهای وب، ShellBot را می‌توان با موفقیت در یک محیط لینوکس دانلود و از طریق Perl اجرا کرد.»

محصولات تحت تأثیر
شرکت‌‌ها، سازمان و افرادی که از سرور SSH در لینوکس استفاده می‌‌کنند مستعد این حملات هستند و نیاز است که از رمزعبورهای قوی استفاده کرده و آن‌‌ها را بصورت دوره‌‌ای تغییر دهند.

توصیه‌ امنیتی
با توجه به اینکه ShellBot می‌تواند برای نصب بدافزار اضافی یا راه‌اندازی انواع مختلف حملات از سرور آسیب‌دیده استفاده کند، توصیه می‌شود که کاربران از گذرواژه‌های قوی استفاده کرده و بصورت دوره‌ای آنها را تغییر دهند تا در برابر حملات brute-force و dictionary مقاوم باشند.
این خبر زمانی منتشر شد که مهاجمان در تلاش برای توزیع بدافزارهای سرقت اطلاعات مانند Lumma Stealer و نوعی از Redline Stealer که با نام RecordBreaker شناخته می‌‌شود، گواهینامه‌‌های غیرعادی با رشته‌‌های بسیار طولانی برای فیلدهای Subject و Name ایجاد می‌‌کنند.
این نوع بدافزارها از طریق صفحات مخربی که به راحتی از طریق موتورهای وب قابل دسترسی هستند (SEO poisoning)، توزیع می‌‌شوند که تهدیدی برای طیف گسترده‌‌ای از کاربران نامشخص است. این صفحات مخرب در درجه اول از کلمات کلیدی مرتبط با برنامه‌‌های غیرقانونی مانند سریال‌‌ها و کرک‌‌ها استفاده می-کنند.
 

منابع خبر:

[1] https://www.darkreading.com/cloud/shellbot-cracks-linux-ssh-servers-debuts-new-evasion-tactic
[2] https://thehackernews.com/2023/10/shellbot-uses-hex-ips-to-evade.html