تروجان‌های Android.Spy.Lydia توانایی انجام فعالیت‌های جاسوسی مختلف را در دستگاه‌های اندرویدی آلوده دارند و به حمله‌کنندگان قابلیت کنترل از راه دور برای دزدیدن اطلاعات شخصی و مالی فراهم می‌کنند. همچنین این تروجان‌ها دارای یک مکانیزم دفاعی هستند که بررسی می‌کنند آیا در یک شبیه‌ساز اجرا می‌شوند یا روی یک دستگاه آزمایشی. در مواردی که در شبیه‌ساز یا دستگاه آزمایشی اجرا می‌شوند، تروجان‌ها از کار می‌افتند.
توزیع تروجان‌ها از طریق وب‌سایت‌های مخرب صورت می‌گیرد که به عنوان سازمان‌های مالی نمایان می‌شوند، مانند صرافی‌های آنلاین. یکی از مثال‌های این وب‌سایت‌ها به صورت زیر است:

hxxp[:]//biuy.are-eg[.]com/dashbord/

در این صفحه، از قربانی خواسته می‌شود که اطلاعات شخصی خود را وارد کند: نام و نام خانوادگی، شماره تلفن همراه و شماره ملی. پس از وارد کردن این اطلاعات، کاربر به صفحه  hxxp[:]//biuy.are-eg[.]com/dashbord/dl.php  هدایت می‌شود، جایی که به او اطلاع داده می‌شود برای دسترسی به جلسه معاملاتی نیاز به دانلود و نصب نرم‌افزار ویژه دارند. اما پس از کلیک بر روی دکمه دانلود، به جای برنامه معتبر مورد انتظار، قربانی به یکی از نسخه‌های تروجان Android.Spy.Lydia.1 هدایت می‌شود.
 

وقتی تروجان اجرا می‌شود، درخواستی برای یک لینک به یک صفحه تقلبی از hxxp[:]//teuoi[.]com ارسال و سپس از طریق مؤلفه WebView بدون اینکه مرورگر باز شود، روی صفحه نمایش داده می‌شود. نسخه‌ی مخربی که ما دریافت کرده‌ایم، لینک زیر را باز کرده است:

hxxps[:]//my-edalatsaham[.]sbs/fa/app.php

صفحه تقلبی که توسط WebView بارگذاری می‌شود، در تصویر زیر نمایش داده شده است:

این صفحه شامل یک فرم برای وارد کردن شماره ملی است که به آن وعده "پرداخت سود" در آینده داده شده است. در این مرحله، تروجان شناسه منحصر به فرد خود و اطلاعاتی را که دستگاه با موفقیت آلوده شده است به سرور C&C خود ارسال می‌کند.
هنگامی که یک دستگاه آلوده شود، تروجان به میزبان از راه دور در ws[:]//httpiamaloneqs[.]xyz:80 از طریق WebSocket متصل می‌شود و منتظر دستوراتی برای ارسال به تمام دستگاه‌های آلوده به صورت همزمان می‌ماند. هر دستورحاوی شناسه دستگاهی است که به آن ارسال شده است. تصویر زیر دستوراتی را که از سرور C&C به شبکه بات‌نت ارسال شده است نشان می‌دهد:
 

تروجان‌های Android.Spy.Lydia می‌توانند عملیات زیر را انجام دهند:

1. جمع‌آوری اطلاعات در مورد برنامه‌های نصب شده در دستگاه.
2. پنهان کردن یا نمایش آیکون خود در لیست برنامه‌های صفحه اصلی.
3. ساکت کردن صدا در دستگاه.
4. ارسال محتوای پیام‌های ورودی از پیامک به سرور یا به یک شماره تلفن مشخص شده توسط مهاجمان.
5. ارسال محتوای کلیپ‌بورد به سرور.
6. ارسال پیام‌کوتاه با متن دلخواه به شماره‌های مشخص شده.
7. بارگیری مخاطبین از دفترچه تلفن به سرور.
8. افزودن مخاطبین جدید به دفترچه تلفن.
9. دانلود صفحات وب مشخص با استفاده از مؤلفه WebView

قابلیت‌های ذکر ده، به افراد مخرب اجازه می‌دهد از این تروجان‌ها برای رهگیری پیامک‌ها، تشخیص برنامه‌های بانکی مورد استفاده یک قربانی و انجام اقدامات تقلبی با حساب‌های بانکی آنها استفاده نمایند. به عنوان مثال، مهاجمان می‌توانند پیامک ارسالی از بانک‌ها را بخوانند تا جزئیاتی در مورد موجودی حساب و خریدهای انجام شده بیابند. به علاوه، با استفاده از تکنولوژی A2P که اجازه ارسال پیامک از برنامه‌ها را می‌دهد و ضعف‌های موجود در پروتکل پیامکی، جلوی ارسال پیامک‌های جعلی به عنوان بانک‌ها توسط کلاه‌برداران را می‌گیرند و از کاربران می‌خواهند اقداماتی را انجام دهند که امنیت حساب‌های بانکی خود را به خطر بیاندازند. پس از خواندن مکاتبات یک قربانی، کلاه‌برداران می‌توانند تظاهر به یکی از آشناها کنند و از آنها درخواست وام پول، کمک به پرداخت یک قبض و غیره کنند. در نهایت، این تروجان می‌تواند برای انجام دو مرحله‌ای احراز هویت و کمک به هکرها برای دسترسی کامل به یک حساب بانکی استفاده شود، با فرض اینکه اطلاعات ورود به سیستم یا جزئیات کارت اعتباری را قبلاً دزدیده باشند.

توصیه‌های امنیتی:
به شدت توصیه می‌شود یک برنامه آنتی‌ویروس بر روی دستگاه خود نصب کنید

منبع:

https://news.drweb.com/show/?i=14748&lng=en&c=5

یک خانواده جدید از بدافزار‌های رمزگذاری‌کننده به نام 3AM به تازگی ظاهر شده است. نرم‌افزار آسیب‌پذیرکننده 3AM به زبان برنامه‌نویسی Rust نوشته شده است و به نظر می‌رسد یک خانواده کاملاً جدید از نرم‌افزارهای مخرب باشد. این نرم‌افزار آسیب‌پذیرکننده قبل از اقدام به رمزگذاری فایل‌ها، سعی می‌کند خدمات متعددی را در کامپیوتر مورد نفوذ خود متوقف کند. پس از انجام عملیات رمزگذاری، سعی می‌کند نسخه‌های Volume Shadow (VSS) را پاک کند.

نحوه امادگی برای حمله:
فعالیت مشکوک اولیه از سوی افراد تهدیدی شامل استفاده از دستور gpresult برای جمع‌آوری تنظیمات سیاست‌های اعمال شده بر روی کامپیوتر برای یک کاربر مشخص بود. حمله‌کننده همچنین اجرای اجزای مختلف Cobalt Strike را انجام داد و تلاش کرد تا امتیازات کاربری را در کامپیوتر با استفاده از ابزار PsExec ارتقا دهد.
سپس حمله‌کنندگان دستورات تجسسی مانندwhoami، netstat، quser  و net share را اجرا و تلاش می‌کنند تا سرورهای دیگری را برای حرکت جانبی با استفاده از دستورات quser و net view بررسی کنند. آنها همچنین یک کاربر جدید برای پایداری اضافه کردند و از ابزار Wput برای انتقال فایل‌های قربانیان به سرور FTP  خود استفاده کردند.
ابتدا حمله‌کنندگان تلاش کردند تا از نرم‌افزار باج افزار LockBit استفاده کنند، اما زمانی که این عملیات مسدود شد، به جای آن از  3AM استفاده کردند. استفاده از 3AM  تنها تا حدودی موفق بود. حمله‌کنندگان تنها توانستند آن را بر روی سه دستگاه در شبکه سازمانی نصب کنند و دو مورد آن مسدود شد.

تحلیل نرم‌افزار آلودگی به نام 3AM:
نرم‌افزار آلودگی به نام 3AM  با اجرای یک الگوی معمول، ابتدا اطلاعات را دزدیده و سپس آن‌ها را رمزگذاری کرده و یک یادداشت خواهشی را قرار می‌دهد که تهدید به فروش اطلاعات دزدیده شده دارد تا زمانی که مبلغ مورد نیاز پرداخت شود.
در زیر، نسخه‌ای از متن یادداشت آمده است که در یک فایل به نام 'RECOVER-FILES.txt' در هر پوشه‌ای که نرم‌افزار آلودگی آن را اسکن می‌کند، قرار دارد:

Hello. "3 am" The time of mysticism, isn't it?
All your files are mysteriously encrypted, and the systems "show no signs of
life", the backups disappeared. But we can correct this very quickly and return
all your files and operation of the systems to original state.
All your attempts to restore data by himself will definitely lead to their
damage and the impossibility of recovery. We are not recommended to you to
do it on our own!!! (or do at your own peril and risk).
There is another important point: we stole a fairly large amount of sensitive
data from your local network: financial documents; personal information of your
employees, customers, partners; work documentation, postal correspondence and
much more.
We prefer to keep it secret, we have no goal to destroy your business.
Therefore can be no leakage on our part.
We propose to reach an agreement and conclude a deal.
Otherwise, your data will be sold to DarkNet/DarkWeb. One can only guess how
they will be used.
Please contact us as soon as possible, using Tor-browser:
http://threeamxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.onion/recovery
Access key:
xxx

شرح متن به صورت زیر است:

1. نامگذاری: نرم‌افزار آلودگی به نام 3AM  به دلیل افزودن پسوند .threeamtime به فایل‌های رمزگذاری شده، این نام را دارد.
2. متن یادداشت خواهشی: در یادداشت خواهشی نرم‌افزار آلودگی، اشاره به ساعت 3 صبح و جلب طلسم و رمزآمیزی شده است. این نکته نشان از تلاش حمله‌کنندگان برای ایجاد اثر ترسناکی در متن یادداشت دارد.
3. رمزگذاری فایل‌ها: نرم‌افزار 3AM  فایل‌های رمزگذاری شده را با پسوند .threeamtime انتهای نام فایل‌ها می‌چسباند.
4. تهدید با فروش اطلاعات: یادداشت خواهشی حاوی تهدید به فروش اطلاعات حساسی است که از شبکه محلی شما دزدیده شده است. این اطلاعات شامل اسناد مالی، اطلاعات شخصی کارکنان، مشتریان، همکاران، اسناد کاری، مکاتبات پستی و موارد دیگر است.
5. پیشنهاد توافق: حمله‌کنندگان پیشنهاد می‌دهند تا توافقی برای بازگرداندن داده‌ها و عملکرد سیستم‌ها به وضعیت اولیه ببندند.
6. تهدید با فروش به  Darkweb: اگر توافقی انجام نشود، حمله‌کنندگان تهدید می‌کنند که داده‌های دزدیده شده را در تاریک‌نت (DarkNet) یا وب تاریک (DarkWeb) به فروش برسانند، و تبعات نامشخصی که این عمل ممکن است داشته باشد را ترسیم می‌کنند.
7. راه ارتباطی: حمله‌کنندگان از طریق مرورگر Tor ارتباط برقرار کرده و یک لینک به آدرس onion برای تماس ارائه داده‌اند.
8. کلید دسترسی: در این یادداشت، کلید دسترسی برای بازگشت داده‌ها ذکر شده است که با استفاده از پارامتر خط فرمان -k مشخص می‌شود.

به طور کلی، نرم‌افزار آلودگی3AM  با ایجاد یک فضای ترسناک و تهدید به فروش اطلاعات حساس، تلاش می‌کند تا قربانی را به پرداخت جمع‌آوری پول متقاعد کند تا داده‌هایش را بازیابی کند.
این توضیحات مرتبط با تحلیل نرم‌افزار آلودگی 3AM اطلاعات مفصلی ارائه داده‌اند. نرم‌افزار آلودگی 3AM یک اجرایی 64 بیتی است که با زبان برنامه‌نویسی Rust نوشته شده است. این نرم‌افزار آلودگی دارای پارامترهای خط فرمانی خاصی است که در زیر توضیح داده شده‌اند:

1. "-k" – این پارامتر با 32 کاراکتر Base64 تعیین می‌شود و در یادداشت خواهشی به عنوان "کلید دسترسی" اشاره شده است.
2. "-p" – مقدار این پارامتر نامشخص است.
3. "-h" – مقدار این پارامتر نیز نامشخص است.
4. "-m" – این پارامتر تعیین می‌کند که نرم‌افزار آلودگی 3AM  قبل از اجرای منطق رمزگذاری یکی از دو مقدار "local" یا "net" را بررسی می‌کند.
5. "-s" – این پارامتر موقعیت‌های مورد استفاده برای رمزگذاری فایل‌ها را برای کنترل سرعت رمزگذاری مشخص می‌کند و به صورت اعداد اعشاری نمایش داده می‌شود.

پارامترهای "-m" و "-h" متقابل هستند، به این معنا که از آن دو به تنهایی استفاده می‌شود. همچنین استفاده از پارامترهای "-h" و "-m" و مقادیر "local" و "net" در آن‌ها به شکلی مشابه با آرگومان‌هایی است که توسط نرم‌افزارهای مخربی مانند Conti استفاده می‌شود.
این فهرست دستورات نشان می‌دهد که نرم‌افزار آلودگی 3AM تلاش می‌کند تا در زمان اجرای خود به توقف نرم‌افزارها و سرویس‌های مختلف مرتبط با امنیت و پشتیبان‌گیری در سیستم هدف برسد که در زیر به انها اشاره شده است:

1.    netsh.exe advfirewall firewall set rule "group=”Network Discovery”" new enable=Yes:

• تلاش برای فعال کردن یک قانون در جدار برقی ویندوز به نام "Network Discovery" که امکان کشف دستگاه‌های در شبکه را فراهم می‌کند.

2.    wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet:

•  حذف پشتیبان‌های مربوط به وضعیت سیستم با استفاده از ابزار مدیریت پشتیبان‌گیری ویندوز.

3.    wbadmin.exe DELETE SYSTEMSTATEBACKUP:

• حذف پشتیبان‌های مرتبط با وضعیت سیستم.

4.    wbadmin.exe DELETE SYSTEMSTATEBACKUP -deleteOldest:

• حذف پشتیبان‌های مرتبط با وضعیت سیستم با حفظ آخرین پشتیبان.

5.    bcdedit.exe /set {default} recoveryenabled No:

• غیرفعال کردن ویژگی بازیابی در بوت سیستم.

6.    bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures:

• تنظیم ویژگی بوت برای نادیده گرفتن همه‌ی خطاها در بوت سیستم.

7.    wmic.exe SHADOWCOPY DELETE /nointeractive:

• حذف سایه‌کپی‌های ویندوز.

8.    cmd.exe /c wevtutil cl security:

• پاکسازی رویدادهای امنیتی ویندوز.

9.    cmd.exe /c wevtutil cl system:

• پاکسازی رویدادهای سیستم ویندوز.

10.    cmd.exe /c wevtutil cl application:

• پاکسازی رویدادهای برنامه‌های کاربردی در ویندوز.

۱۱.  دستورات net stop برای متوقف کردن سرویس‌ها و ابزارهای مختلف، که نام بعضی از آنها عبارتند از: vmcomp، vmwp، veeam، Back، xchange، backup، Backup، acronis، AcronisAgent، AcrSch2Svc، sql، Enterprise، Veeam، VeeamTransportSvc، VeeamNFSSvc، AcrSch و غیره.

۱۲.  دستورات net stop برای متوقف کردن سرویس‌ها و ابزارهای مرتبط با محصولات امنیتی و پشتیبان‌گیری نیز وجود دارند، از جمله McAfee و McShield، Kaspersky (KAVF)، Symantec (svc$)، و بسیاری دیگر.

تمام این دستورات به نظر می‌آید که به توقف و از بین بردن ابزارها و تنظیمات مرتبط با امنیت و پشتیبان‌گیری در سیستم هدف توسط نرم‌افزار آلودگی 3AM به منظور تسهیل در عملیات رمزگذاری توسط این نرم‌افزار پرداخته‌اند.

علائم هشدار:
نقض‌های رمزگذاری: به دلیل استقلال افزایشی رابط‌های رمزگذاری از اپراتورهای رمزگذاری، نقض‌های رمزگذاری با دو نوع مختلف رمزگذاری در یک حمله تکراری نیست. این نشان می‌دهد که حمله‌کنندگان در تلاش برای استفاده از ابزارها و روش‌های متنوع‌تر هستند.
ظهور خانواده‌های جدید رمزگذاری: خانواده‌های جدید نرم‌افزار آلودگی به طور متداول ظاهر می‌شوند و بیشتر به سرعت گم می‌شوند یا هیچگاه نمی‌توانند موفقیت چشمگیری کسب کنند. اما واقعیت این است که 3AM به عنوان یک پشتیبان توسط یک شریک LockBit استفاده شده است، که نشان می‌دهد که این نرم‌افزار ممکن است مورد توجه حمله‌کنندگان قرار گیرد و در آینده ممکن است دوباره مشاهده شود.

حفاظت و کاهش خطر:
برای به‌روزرسانی‌های حفاظتی جدیدتر، لطفاً به بولتن حفاظتی Symantec مراجعه کنید.

منابع:

1-https://www.bleepingcomputer.com/news/security/hackers-use-new-3am-ransomware-to-save-failed-lockbi…
2- https://socradar.io/lockbit-attack-fails-3am-ransomware-steps-in-as-plan-b/
3- https://gbhackers.com/3am-ransomware-attack/

بدافزار جدید لینوکس با نام SprySOCKS در حملات جاسوسی سایبری استفاده می‌شود. در اوایل سال 2021، مقاله‌ای تحقیقی منتشر شد که در آن به بررسی عملکرد یک عامل تهدید به نام "Earth Lusca" پرداخته شد. از زمان انتشار تحقیق اولیه، این گروه فعالیت خود را ادامه داده و حتی در نیمه اول سال 2023 عملیات‌های خود را گسترش داده و به کشورهای مختلف در سراسر جهان حمله کرده است.
یک گروه محقق در حین نظارت بر این گروه، موفق به به‌دست آوردن یک فایل رمزگذاری شده جالب از سرور تهدیدکننده شد و توانست بارگذار اصلی این فایل را در VirusTotal پیدا کرده و با موفقیت آن را رمزگشایی کنند. جالب اینجاست که پس از رمزگشایی، این گروه متوجه شدند که این بارگذار یک درب پشتی جدید برای سیستم‌های لینوکس است که تا آن زمان دیده نشده بود. این درب پشتی جدید به نام "SprySOCKS" نامگذاری شده است، که به سرعت و توانایی اجرایی Trochilusو پیاده‌سازی جدید امنیتی SOCKS اشاره دارد.
تحلیل درب پشتی SprySOCKS نشان می‌دهد که این درب پشتی دارای ویژگی‌های جالبی است. این درب پشتی حاوی نشانگری است که به شماره نسخه آن اشاره دارد. دو نسخه مختلف از درب پشتی SprySOCKS با دو شماره نسخه متفاوت شناسایی شده، که نشان می‌دهد که این درب پشتی همچنان در دست توسعه است. علاوه بر این، پروتکل (C&C) SprySOCKS شبیه به پروتکلی است که توسط درب پشتی RedLeaves که یک تروجان دسترسی از راه دور (RAT) برای سیستم‌های ویندوز است، استفاده می‌شود. این پروتکل شامل دو مؤلفه، بارگذار و بارگذاری کردن بسته‌های اصلی رمزگذاری شده است. بارگذار مسئولیت خواندن، رمزگشایی و اجرای بسته‌های اصلی را دارد.
در نیمه اول سال 2023، Earth Lusca فعالیت خود را ادامه داد و حملات آن به‌طور اساسی بر روی کشورهای جنوب شرق آسیا، آسیای مرکزی و کشورهای بالکان تمرکز داشت (با چندین حمله گسترده به کشورهای لاتین و آفریقایی). اهداف اصلی این گروه ادارات دولتی هستند که در امور خارجی، فناوری و ارتباطات فعالیت دارند.
Earth Lusca در حال حاضر به‌طور فزاینده‌ای به سرورهای عمومی حمله می‌کند. علاوه بر این، ما دیده‌ایم که آنها به‌طور مکرر آسیب‌پذیری‌های N-day مبتنی بر سرور را بهره‌بری می‌کنند، از جمله (اما نه محدود به) آسیب‌پذیری‌های زیر:
•    CVE-2022-40684: یک آسیب‌پذیری دور زدن احراز هویت در Fortinet FortiOS، FortiProxy و FortiSwitchManager
•    CVE-2022-39952: یک آسیب‌پذیری اجرای کد از راه دور بدون نیاز به احراز هویت (RCE) در Fortinet FortiNAC
•    CVE-2021-22205: یک آسیب‌پذیری اجرای کد از راه دور بدون احراز هویت (RCE) در GitLab CE/EE
•    CVE-2019-18935: یک آسیب‌پذیری اجرای کد از راه دور بدون احراز هویت در Progress Telerik UI for ASP.NET AJAX
•    CVE-2019-9670 / CVE-2019-9621: یک دسته از دو آسیب‌پذیری برای اجرای کد از راه دور بدون احراز هویت در Zimbra Collaboration Suite
•    ProxyShell (CVE-2021-34473، CVE-2021-34523v، CVE-2021-31207): یک مجموعه از سه آسیب‌پذیری متصل که اجرای کد از راه دور بدون احراز هویت در Microsoft Exchange را انجام می‌دهند.
Earth Lusca از آسیب‌پذیری‌های سرور برای نفوذ به شبکه‌های قربانیان خود بهره می‌گیرد، پس از آن یک پوسته وب (web shell) را نصب کرده و Cobalt Strike را برای جابجایی جانبی استفاده می‌کند. اسناد و اطلاعات از حساب‌های ایمیل را جابجا می‌کند، همچنین به نصب داده‌های پشتیبان پیشرفته مانند ShadowPad و نسخه لینوکسی Winnti برای انجام فعالیت‌های جاسوسی بلندمدت علیه اهداف خود می‌پردازد.

توصیه‌های امنیتی
1.  به‌روزرسانی سیستم‌ها و نرم‌افزارها:  اطمینان حاصل کنید که تمام سیستم‌ها، نرم‌افزارها و ابزارهای خود به‌روزرسانی شده و با آخرین تصحیحات امنیتی مجهز باشند. به‌خصوص، توجه داشته باشید که به روزرسانی‌های امنیتی مهمی را که توسط تأمین کنندگان نرم‌افزار ارائه می‌شوند، اعمال کنید.
2.  مدیریت آسیب‌پذیری‌ها:  اسکن دوره‌ای آسیب‌پذیری‌های سیستم‌ها و شبکه‌ها را انجام دهید و آسیب‌پذیری‌های شناخته شده را به‌سرعت رفع کنید. SprySOCKS از آسیب‌پذیری‌ها برای حملات خود استفاده می‌کند.
3.  پشتیبانی از داده‌ها:  ایجاد نسخه‌پشتیبان منظم از داده‌های مهم و اطلاعات حیاتی در مواجهه با احتمال حملات و بهره‌برداری‌های ناخواسته به کمک می‌آید.

تحلیل بدافزار
یک فایل با نام libmonitor.so.2 در سرور تحویل Earth Lusca مشاهده شده که ابتدا، به نظر می‌رسید یک فایل باینری است که فقط بایت‌های تصادفی دارد، که شبیه به یک فایل رمزنگاری شده است. نام منحصر به فرد فایل برای جستجو در VirusTotal استفاده شد که امکان شناسایی یک فایل ELF مرتبط با نام "mkmon" را فراهم نماید.
 (SHA256: 65b27e84d9f22b41949e42e8c0b1e4b88c75211cbf94d5fd66edc4ebe21b7359) این فایل ELF برای رمزگشایی فایل libmonitor.so.2 مورد استفاده قرار گرفت و پیامدهای اصلی آن را بازیابی کرد، که نشان می‌دهد "mkmon" لودری است که با libmonitor.so.2 همراه است.
این لودر از ابتدا توسعه داده نشده بود - توسعه‌دهنده آن از یک ابزار نهایی Linux ELF عمومی به نام "mandibule" استفاده کرده بود. پروژه اصلی این ELF ابزاری خط فرمانی است که توانایی تزریق یک بارگیری را به خودش (self-injection) یا به یک پروژه دیگر دارد. به‌عنوان یک ابزار معمولی خط فرمانی، متن استفاده از آن که پارامترهای پشتیبانی شده را فهرست می‌کند، چاپ می‌کند. این درزنده اصلی همچنین پیام‌های اشکال‌زدایی متنوعی را برای آگاهی کاربر از پیشرفت درزنده چاپ می‌کند.
 

شکل 1. لودر با اطلاعات اشکال زدایی توزیع شده است. توجه داشته باشید که بخش ".debug_*" وجود دارد

تهدید کننده از پروژه mandibule به‌عنوان پایه برای لودر بدافزار خود استفاده کرد. خالق پروژه متن استفاده از اسکرین استفاده و قابلیت تزریق به پروسه‌های دیگر را حذف کرده و سپس یک تابع برای بارگیری و رمزگشایی مرحله دوم اضافه کرده بود.

 شکل 2. پیام های اشکال زدایی که هنگام اجرای لودر نمایش داده می شوند

پیام‌های اشکال‌زدایی نمایش داده شده در شکل 2 دارای دو نشان‌گر متمایز هستند. نشان‌گر ">" از پروژه اصلی mandibule استفاده شده است، در حالی که نشان‌گرهای "[+]" یا "[-]" پیام‌های اشکال‌زدایی اضافه شده به لودر توسط تهدید کننده می‌باشند.
نام فرآیند لودر توسط دستور prctl به "kworker/0:22" تنظیم شده است. به‌طور معمول، kworker یک فرآیند نمادگذاری‌شده برای رشته‌های کارگر هستند. اما در این حالت، نام "kworker" هیچ ارتباطی با رشته‌های worker هسته ندارد. به جای این، لودر از این نام سوءاستفاده می‌کند تا از شناسایی جلوگیری کند، وقتی کاربر تمام وظایف در حال اجرا را از طریق دستورهایی مانند ps یا top فهرست می‌کند.

شکل 3. نام فرآیند روی "kworker/0:22" تنظیم شده است

لودر دو پارامتر خط فرمان را قبول می‌کند: مسیر فایل مرحله دوم رمزنگاری شده و پرچم خودپاک‌شونده (self-delete). مرحله دوم با یک رمزگذاری AES-ECB رمزنگاری شده است و رمز عبور به‌صورت ثابت در لودر وارد شده است.
 

شکل 4. فهرست فرآیندهای "kworker*" در یک ماشین آلوده. فرآیند برجسته شده لودر تحلیل شده است

لودر دو پارامتر خط فرمان را قبول می‌کند: مسیر به فایل مرحله دوم رمزنگاری شده و پرچم خودپاک‌شونده (self-delete). مرحله دوم با یک رمزگذاری AES-ECB رمزنگاری شده است و رمز عبور به‌صورت ثابت در لودر وارد شده است.
لودر نیز مسئولیت تنظیم بقایا (persistence) را بر عهده دارد. ابتدا خود را و مرحله دوم رمزنگاری شده را به دایرکتوری /usr/sbin/ کپی می‌کند (لطفاً یادداشت‌های اشکال‌زدایی "[+] rename loader ok" و "[+] rename server ok" را مشاهده کنید). سپس از chkconfig یا systemd برای شروع لودر به‌عنوان یک سرویس استفاده می‌کند. اگر پرچم خودپاک‌شونده به "1" تنظیم شده باشد، آنگاه لودر اصلی اجرا شده و فایل‌های مرحله رمزنگاری شده همچنین حذف می‌شوند.
 

شکل 5. تابع رمزگشایی مرحله دوم

اجزای SprySOCKS
در هنگام بررسی مرحله دوم رمزنگاری شده، رشته‌های قابل مشاهده نشان می‌دهند که این ماژول به‌صورت استاتیک با پروژه HP-Socket که یک چارچوب شبکه با عملکرد بالا و منشأ چینی است، کامپایل شده است.
 

 شکل 6. مراجع به HP-Socket در میان رشته‌های قابل مشاهده

مراحل مقدماتی نشان می‌دهد که یک رمز عبور AES-ECB به‌صورت ثابت برای رمزنگاری ارتباط با سرور C&C (کنترل و کنترل) استفاده شده است.
 

شکل 7. رمز عبور AES برای ارتباط با C&C

آدرس و پورت C&C نیز در ماژول به‌صورت ثابت وارد شده است، اما رمزنگاری نشده و به‌صورت متن ساده قابل مشاهده است.
 

شکل 8. تنظیمات سرور و پورت C&C

ارتباط C&C شامل بسته‌هایی است که از طریق پروتکل TCP (پروتکل کنترل انتقال) ارسال می‌شوند. هر بسته دارای سربرگی با طول 0x12 بایت است، که پس از آن پیامی رمزنگاری شده با AES-ECB و کدگذاری پایه 64 دنبال می‌شود. مشابه جدول B-2 در تجزیه و تحلیل قبلی بدافزار RedLeaves، سربرگ شامل برخی از مقادیر تصادفی و ثابت است، به علاوه طول بسته (در شکل 9 به رنگ آبی مشخص شده است).
 

شکل 9. نمونه‌ای از بسته‌ای که از ماشین قربانی به سرور C&C ارسال می‌شود

مقدار ثابت مورد استفاده در نسخه اصلی Trochilus 0xAFAFBFBF است، در حالی که در نسخه RedLeaves مقدار آن 0xBFD9CBAE است.

شکل 10. مقدار ثابت 0xACACBCBC; در بسته های ارسالی در افست 4 تا 7 رخ می دهد

پس از رمزگشایی و رمزگذاری پیام، کلمات کلیدی مانند "__handler"، "__msgid"، "__serial" و "clientid" آشکار می‌شوند. برخی از این کلمات کلیدی در Trochilus قابل یافتن هستند، اما بیشتر از همه، این پیام‌ها به‌طور نزدیک به پروتکل ارتباطی RedLeaves شباهت دارند.
 

شکل 11. پیام رمزگشایی و رمزگذاری شده AES-ECB

این RAT چندین دستور پشت‌در را اجرا می‌کند، از جمله جمع‌آوری اطلاعات سیستم، شروع یک شل تعاملی، لیست اتصالات شبکه، ایجاد پروکسی SOCKS، بارگذاری و دانلود فایل‌ها، و دیگر عملیات پایه فایل (لیست‌کردن، حذف، تغییرنامه‌دهی و ایجاد دایرکتوری). جدول 1 شناسه‌های پیام و توضیحات تقریبی مربوط به توابع پیام را نشان می‌دهد.

جدول 1. فهرست پیام های مدیریت شده و توضیح عملکرد آنها

منبع خبر:

https://www.trendmicro.com/en_us/research/23/i/earth-lusca-employs-new-linux-backdoor.html

انتشار بدافزار 'Bumblebee' پس از دو ماه تعطیلی، با یک کمپین جدید آغاز شده است که از تکنیک‌های توزیع جدیدی استفاده می‌کند که از خدمات 4shared WebDAV سوءاستفاده می‌کند.
WebDAV (Web Distributed Authoring and Versioning) یک توسعه از پروتکل HTTP است که به کلاینت‌ها امکان انجام عملیات نویسندگی از راه دور مانند ایجاد، دسترسی، به‌روزرسانی و حذف محتوای سرور وب را می‌دهد.
محققان گزارش می‌دهند که کمپین جدید Bumblebee که از اواسط سپتامبر 2023 آغاز شده است، از خدمات 4shared WebDAV برای توزیع بارگذاری، اجرای زنجیره حمله و انجام چندین عملیات پس از آلودگی بهره می‌برد.
سوءاستفاده از پلتفرم 4shared که یک سرویس معتبر و شناخته‌شده ارائه دهنده خدمات میزبانی فایل، به اپراتورهای Bumblebee کمک می‌کند تا از لیست‌های مسدودکننده فرار کنند و از تجهیزات زیرساختی سوء استفاده کنند.
استفاده از پروتکل WebDAV به هکرها چندین راه برای دور زدن سیستم‌های تشخیص رفتاری و از مزیت توزیع بهینه، تغییر آسان بار و غیره را امکان پذیر می‌کند.
استفاده از ایمیل‌های اسپم:
کمپین فعلی Bumblebee بر اساس ایمیل‌های اسپم کار می‌کند که تظاهر به اسکن، صورتحساب و اعلامیه‌ها می‌کنند تا گیرندگان را به دانلود پیوست‌های مخرب مجبور کنند.
بیشتر پیوست‌ها فایل‌های میانبر LNK ویندوز هستند، اما برخی فایل‌های ZIP حاوی فایل‌های LNK نیز وجود دارند. باز کردن فایل LNK دستوراتی را روی ماشین قربانی اجرا می‌کند، شامل یک دستور برای متصل کردن یک پوشه WebDAV به یک درایو شبکه با استفاده از اطلاعات ورود ثابت برای یک حساب ذخیره‌سازی 4shared.
 

شکل 1. فایل‌های ضمیمه مشاهده شده در کمپین

4Shared یک وب‌سایت اشتراک گذاری فایل است که به کاربران اجازه می‌دهد فایل‌ها را در ابر ذخیره کرده و به آن‌ها از طریق WebDAV، FTP و SFTP دسترسی داشته باشند. این سرویس قبلاً در گزارش بازارهای بدنام دولت آمریکا در سال 2016 برای میزبانی محتوای حق تکثیر درج شده بود.
 

شکل 2. برنامه‌های مخرب میزبانی شده در 4shared

تحلیل‌گران همچنین نسخه به‌روز شده از بارگذاری بدافزار Bumblebee را کشف کرده‌اند که در این کمپین استفاده می‌شود و از پروتکل WebSocket به TCP برای ارتباط با سرور کنترل و کنترل (C2) استفاده می‌کند.
به‌علاوه، بارگذاری جدید از استفاده از آدرس‌های C2 به صورت ثابت منصرف شده است. اکنون از الگوریتم تولید دامنه (DGA) برای تولید 100 دامنه در فضای دامنه سطح بالا ".life" هنگام اجرا استفاده می‌کند.
دامنه‌ها با استفاده از مقدار بذر ثابت 64 بیتی تولید می‌شوند و Bumblebee با تکرار لیست ایجاد شده از طریق آن‌ها متصل می‌شود تا یکی را پیدا کند که به یک آدرس IP سرور C2 فعال ترجمه می‌شود.
قبلاً Bumblebee با توزیع بار محتوای رمزنگاری شده ارتباط داشته و با توزیع ویژگی‌هایی نظیر Conti و Akira ارتباط داشته است، بنابراین انتخاب یک کانال توزیع کارآمدتر و مخفیانه نگران‌کننده است.
همچنین، استفاده از DGA سخت‌تر می‌کند تا زیرساخت‌های Bumblebee نقشه برداری شود، دامنه‌های آن مسدود شوند و به طور قابل توجهی عملیات آن را مختل کند، که پیچیدگی اضافی در پیاده‌سازی اقدامات پیشگیری در مقابل بارگذاری بدافزار اضافه می‌کند.

توصیه های امنیتی
1.  آموزش کارکنان: افرادی که با ایمیل‌ها و پیوست‌ها سروکار دارند، باید به طور منظم آموزش داده شوند تا اسپم ایمیل‌ها و پیام‌های مشکوک را تشخیص دهند و از دانلود فایل‌های ناشناخته خودداری کنند.
2.  به‌روزرسانی سیستم: مطمئن شوید که سیستم‌عامل و نرم‌افزارهای شما به‌روز هستند و تمامی به‌روزرسانی‌های امنیتی نصب شده‌اند.
3.  استفاده از یک راهکار امنیتی: از راهکارهای امنیتی نظیر آنتی‌ویروس استفاده کنید و آن‌ها را به‌روز نگه دارید.
4.  فیلترهای ایمیل: از فیلترهای ایمیل برای تشخیص و مسدود کردن ایمیل‌های اسپم و مشکوک استفاده کنید.
5.  به‌روزرسانی مرورگر: مرورگرهای وب خود را به‌روز کنید و از افزونه‌ها یا پلاگین‌های امنیتی استفاده کنید.
6.  استفاده از فایروال: یک فایروال سخت‌افزاری یا نرم‌افزاری را برای محافظت از شبکه خود در برابر تهدیدهای خارجی اجرا کنید.
7.  پشتیبان‌گیری منظم: اطلاعات مهم خود را به طور منظم پشتیبان‌گیری کنید تا در صورت حمله بدافزار، بتوانید به اطلاعات خود دسترسی داشته باشید.
8.  بررسی لینک‌ها و پیوست‌ها: هنگام دریافت ایمیل‌ها، لینک‌ها و پیوست‌ها را با دقت بررسی کنید و اگر مشکوک به نظر می‌آیند، از دانلود آن‌ها خودداری کنید.

منبع خبر:

https://www.bleepingcomputer.com/news/security/bumblebee-malware-returns-in-new-attacks-abusing-web…

سرویس‌دهندگان ارتباطات تلفنی در منطقه خاورمیانه هدف یک مجموعه حمله جدید به‌نام ShroudedSnooper هستند که از یک درب پشتی پنهان به نام HTTPSnoop استفاده می‌کند.
Cisco Talos در یک گزارش اعلام کرده است: HTTPSnoop یک بک‌دور ساده ولی موثر است که از تکنیک‌های نوآورانه برای تعامل با درایورها و دستگاه‌های هسته است که از HTTP استفاده می‌کند تا درخواست‌های ورودی برای URLهای خاص HTTP(S) را گوش کند و محتوای مرتبط را در دستگاه آلوده اجرا کند.
بخشی از ابزارکار تهاجمی این گروه نیز با نام PipeSnoop نامگذاری شده است که می‌تواند شل‌کد خودساخته‌ای از طریق یک لوله نام‌گذاری شده دریافت کرده و آن را در دستگاه آلوده اجرا کند.
ShroudedSnooper از سرورهای قابل دسترسی اینترنتی استفاده می‌کند و HTTPSnoop را برای به‌دست آوردن دسترسی اولیه به محیط‌های هدف مستقر می‌کند. هر دو نوع ابزار مخرب به‌عنوان اجزایی از برنامه Cortex XDR شبکه‌های Palo Alto Networks (CyveraConsole.exe) جلوه می‌کنند تا از تشخیص متخصصان امنیتی فرار کنند.
تا کنون سه نسخه مختلف از HTTPSnoop شناسایی شده است. این درب پشتی از APIهای ویندوز سطح پایینی برای گوش دادن به درخواست‌های ورودی با الگوهای URL تعریف شده استفاده می‌کند. این الگوها سپس برای استخراج شل‌کد جهت اجرا در میزبان استفاده می‌شوند. این URLهای HTTP به شبیه‌سازی URLهای مربوط به خدمات تبادل اطلاعات وب مایکروسافت، OfficeTrack و خدمات تخصیص مرتبط با یک شرکت ارتباطات شبیه‌سازی شده‌اند تا درخواست‌های مخرب به نظر درخواست‌های بی‌خطری بیایند.
تحقیقات می‌گویند: URLهای HTTP مورد استفاده توسط HTTPSnoop به همراه اتصال به وب سرور معمولی ویندوز نشان می‌دهد که احتمالاً برای کار روی سرورهای اینترنتی و وب و همچنین سرورهای خدمات تبادل اطلاعات (EWS) طراحی شده است. اما PipeSnoop با توجه به نامش احتمالاً برای عمل در داخل یک شرکت مورد تخریب استفاده می‌شود و به‌نظر می‌رسد برای دستگاه‌های مخرب با اولویت‌ها یا ارزش‌های بالاتر طراحی شده باشد.
PipeSnoop نمی‌تواند به‌عنوان یک ابزار مخرب مستقل کار کند و به یک جزء کمکی نیاز دارد که به‌عنوان یک سرور عمل کرده و شل‌کد را از طریق روش‌های دیگر دریافت کند و از طریق لوله نام‌گذاری شده آن را به درب پشتی منتقل کند.
حمله به بخش مخابرات، به‌ویژه در منطقه خاورمیانه، در سال‌های اخیر به یک الگو تبدیل شده است. در ژانویه 2021، ClearSky یک سری حملاتی را کشف کرد که توسط Lebanese Cedar اجرا شده بود و به اپراتورهای مخابراتی در ایالات متحده، انگلستان و منطقه خاورمیانه هدف می‌گرفت.
تحقیق‌گران Talos می‌گویند: سازمان‌های مخابراتی دید کاملی از ترافیک اینترنتی را دارند، هم در بخش خدمات خرده‌فروشی و هم در بخش‌های مرتبط با شرکت‌ها. علاوه بر این، بیشتر زیرساخت‌های مخابراتی از شبکه‌های مهمی تشکیل شده‌اند که برای برقراری اتصالات داخلی و خارجی اساسی هستند و به همین دلیل ارزش بسیاری برای گروه‌های حمایتی دولتی دارند.

منبع خبر:

https://thehackernews.com/2023/09/shroudedsnoopers-httpsnoop-backdoor.html

گروه باج‌افزار "Snatch" یک گروه با هدف انجام عملیات باج‌افزاری RaaS  (باج‌افزار به عنوان یک سرویس) می‌باشد که حداقل از سال ۲۰۱۸ فعال بوده است. این بدافزار رایانه‌های ویندوز را مجبور می‌کند قبل از رمزگذاری فایل‌ها مجددا به حالت Safe Mode راه‌اندازی شوند.
این هشدار حاکی از آن است که مهاجمان، طیف گسترده‌ای از بخش‌های حیاتی زیرساخت، از جمله بخش فناوری اطلاعات، پایگاه‌های صنعتی دفاعی، و بخش غذا و کشاورزی  را با آخرین حملاتی که در ماه ژوئن اتفاق افتاده مورد هدف قراردهند.
مشاوران امنیتی خاطرنشان کردند: از اواسط سال ۲۰۲۱، عاملان Snatch به طور مداوم تاکتیک‌های خود را برای استفاده از روش‌های موفقیت‌آمیز فعلی مجرمان سایبری و سایر باج‌افزارها توسعه داده‌اند. مشاهده شده‌است که عوامل تهدید Snatch در حال خرید داده‌های سرقت شده قبلی از سایر باج‌افزارها برای سوء‌استفاده بیشتر از قربانیان و اخذ باج به ازای جلوگیری از انتشار اطلاعات آن‌ها در وبلاگ اخاذی Snatch هستند.
گروه باج‌افزار Snatch در ۱۲ تا ۱۸ ماه گذشته فعالیت بیشتری داشته است و مسئولیت چندین حمله پرمخاطب اخیر را بر عهده گرفته‌اند.
Snatch بدافزاری است که سیستم‌های ویندوزی را وادار می‌کند تا در میانه‌ی زنجیره حمله به حالت Safe Mode مجددا راه‌اندازی شوند تا بتواند فایل‌ها را بدون شناسایی توسط ابزارهای آنتی ویروس (که اغلب در حالت Safe Mode اجرا نمی‌شوند) رمزگذاری کند.
Sophos که یکی از اولین فروشندگان امنیتی که این باج‌افزار است، در اواخر سال 2019  هشدار داده بود که نمی توان شدت خطر باج‌افزاری که در حالت Safe Mode اجرا می شود را نادیده گرفت.
به گفته Mumcuoglu: «یک تاکتیک منحصربه‌فرد که توسط گروه باج‌افزار Snatch استفاده می‌شود، بکارگیری از «بدافزار مخفی» است، به این صورت که بسیاری از رایانه‌های ویندوز اغلب مکانیسم‌های محافظت از end-point را در حالت Safe Mode اجرا نمی‌کنند.»
مانند بسیاری از انواع باج‌افزار، Snatch دارای قابلیت رمزگذاری داده‌ها و همچنین مؤلفه‌ای جهت سرقت داده‌ها از سیستم‌های در معرض خطر قبل از فرایند رمزگذاری است. مهاجمان به طور معمول از این قابلیت جهت استخراج داده‌های حساس از سازمان‌های قربانی سوءاستفاده کرده و تهدید می‌کنند که در صورت عدم پرداخت باج، داده‌ها را به صورت عمومی افشا خواهند کرد و یا به دیگران می فروشند.
در بسیاری از حملات، اپراتورهای Snatch از نقاط ضعف پروتکل Remote Desktop Protocol یا RDP استفاده کرده‌اند تا به شبکه هدف، با دسترسی سطح ادمین به دست آورند. در موارد دیگر، آن‌ها از اعتبارنامه‌های سرقت یا خریداری شده جهت به دست آوردن جایگاه اولیه استفاده کرده‌اند. هنگامی که مهاجم در یک شبکه قرار می‌گیرد، گاهی می‌تواند تا سه ماه در شبکه به جستجوی فایل‌ها و پوشه‌های مورد نظر بپردازد. مشاوران تصریح کردند که اپراتورهای Snatch از ترکیبی از ابزارهای مشروع و مخرب در شبکه‌های در معرض خطر استفاده می‌کنند. این ابزارها شامل ابزارهای پس از بهره‌برداری مانند ابزار تست نفوذ متن باز Metasploit، Cobalt Strike برای بهره‌برداری‌های بعدی و ابزارهایی مانند sc.exe جهت ایجاد، پرس‌و جو، افزودن و حذف سرویس‌ها و انجام دیگر عملیات مخرب است.

بعد از گزارش درباره‌ی یک ضعف بحرانی در کروم در اواخر هفته‌ی گذشته، به نظر می‌آید که مرورگر گوگل تنها تحت تأثیر این باگ نیست. مرورگرهای مبتنی بر Chromium از جمله Firefox، Edge و Brave نیز به حملات احتمالی حساسیت دارند. با این حال، تمام شرکت‌هایی که مرورگرهایشان تحت تأثیر این ضعف قرار گرفته است، نسخه‌های جدیدی را منتشر کرده‌اند تا این ضعف امنیتی را برطرف کنند.
این آسیب‌پذیری به علت یک ضعف توده‌ای در بافر WebP ایجاد می‌شود و در صورت بهره‌برداری از آن، می‌تواند برای اجرای کد خودسرانه در Chrome، Firefox، Edge و Brave مورد استفاده قرار گیرد. برای هشدار قوی‌تر، گوگل در یک پست مشاوره امنیتی اعلام کرد که یک نسخه از آسیب‌پذیری هنوز وجود دارد و هکرها در حال استفاده از آن در حملات خود هستند.
بنابراین، به همین دلیل باید به سرعت مرورگر خود را به آخرین نسخه به‌روزرسانی کنید تا در معرض حملاتی که از این آسیب‌پذیری بهره می‌برند، قرار نگیرید. در ادامه، نسخه‌های آخرین مرورگرهای Chrome، Firefox، Edge و Brave (تا زمان انتشار این مقاله) آمده است تا بتوانید بررسی کنید که مرورگر شما به‌روز است یا خیر:
- گوگل: نسخه‌ی Chrome 116.0.5846.187 (Mac / Linux); نسخه‌های Chrome 116.0.5845.187/.188 (ویندوز)
- موزیلا: Firefox 117.0.1؛ Firefox ESR 102.15.1؛ Firefox ESR 115.2.1؛ Thunderbird 102.15.1؛ Thunderbird 115.2.2
- مایکروسافت: نسخه‌ی Edge 116.0.1938.81
- Brave: نسخه‌ی Brave Browser 1.57.64
همچنین برنامه‌های مبتنی بر Electron و برنامه‌های چندپلتفرمی که با Flutter ساخته شده‌اند نیز در معرض آسیب‌پذیری هستند. برنامه‌ی پیام‌رسان رمزگذاری شده Signal و مشاهده‌کننده‌ی رایگان تصاویر Honeyview هر دو بر اساس Electron ساخته شده‌اند، در حالی که برنامه‌هایی مانند GIMP، LibreOffice، Telegram و بسیاری از بهترین برنامه‌های اندروید با Flutter ساخته شده‌اند. در همین حال، اپل نیز macOS Ventura را به نسخه‌ی 13.5.2 از طریق یک به‌روزرسانی امنیتی فوری در هفته‌ی گذشته به‌روز کرد تا این ضعف را برطرف کند.

توصیه‌های امنیتی
چگونه از حملاتی که از این باگ بهره می‌برند، ایمن بمانیم:
- در مورد ضعف‌های امنیتی حیاتی مانند این مورد، مهم‌ترین کاری که می‌توانید انجام دهید، اطمینان حاصل کردن از به‌روز بودن تمام نرم‌افزارهایتان به محض انتشار تعمیرات امنیتی است. این ممکن است سخت باشد، اما به‌روزرسانی تمام نرم‌افزارهایتان همچنان آسان‌تر از مواجهه با دزدی هویت یا تبعات دیگر است.
- علاوه بر به‌روزرسانی، باید از بهترین نرم‌افزارهای آنتی‌ویروس برای کامپیوترهای شخصی، کامپیوترهای مکینتاش و یکی از بهترین برنامه‌های آنتی‌ویروس اندرویدی بر روی تلفن همراه اندرویدی خود استفاده کنید. با نصب آخرین به‌روزرسانی‌های نرم‌افزار و استفاده از نرم‌افزارهای آنتی‌ویروس در دستگاه‌هایتان، می‌توانید از همه نوع حملات سایبری محافظت کنید.
- اگرچه تمام مرورگرهای اصلی و بسیاری از برنامه‌های محبوب تحت تأثیر این ضعف امنیتی قرار دارند، اما نرم‌افزارهای دیگر هم ممکن است از حملاتی که از این ضعف بهره می‌برند، آسیب‌پذیر باشند. به همین دلیل باید به اطلاعات جاری دقت کنید و آخرین به‌روزرسانی‌های تمامی نرم‌افزارهای دیگرتان را نصب کنید تا ایمنی خود را حفظ کنید.

منبع خبر:

[1]https://www.tomsguide.com/news/critical-bug-leaves-chrome-firefox-edge-and-loads-of-other-apps-vuln…

Adobe به‌روزرسانی‌های امنیتی را برای اصلاح یک آسیب‌پذیری روز صفر در Acrobat و Reader با برچسب اکسپلویت حملات منتشر کرده است. اگرچه هنوز اطلاعات بیشتری در مورد این حملات فاش نشده است، این آسیب‌پذیری روز صفر بر سیستم‌های ویندوز و macOS تأثیر می‌گذارد.

جزئیات آسیب‌پذیری
آسیب‌پذیری امنیتی مهم با عنوان CVE-2023-26369 ردیابی می شود و می تواند به مهاجمان اجازه دهد پس از اکسپلویت موفقیت‌آمیز از ضعف نوشتن خارج از محدوده، اجرای کد را دریافت کنند. در حالی که عوامل تهدید می توانند از آن در حملات با پیچیدگی کم، بدون نیاز به دسترسی اکسپلویت کنند، این آسیب‌پذیری فقط می‌تواند توسط مهاجمان محلی اکسپلویت شود.
این آسیب‌پذیری به عنوان یک نوشتن خارج از محدوده توصیف می‌شود، اکسپلویت موفقیت‌آمیز از آسیب-پذیری می‌تواند با باز کردن یک سند PDF ساخته‌شده خاص منجر به اجرای کد شود.  Adobe جزئیات بیشتری در مورد این آسیب‌پذیری یا هدف قرار دادن آن افشا نکرد.
به‌روزرسانی Adobe برای سپتامبر 2023 همراه با وصله‌ای برای یک آسیب‌پذیری امنیتی بحرانی در Acrobat  و Reader ارائه شده است که می‌تواند به مهاجم اجازه دهد تا کد مخرب را روی سیستم‌های حساس اجرا کند.
 Adobe آسیب‌پذیری‌های امنیتی بیشتری را برطرف کرده است که می‌تواند به مهاجمان امکان اجرای کد دلخواه را در سیستم‌هایی که نرم‌افزار Adobe Connect و Adobe Experience Manager وصله‌نشده را اجرا می‌کنند، داشته باشد.
در ماه جولای، Adobe یک به‌روزرسانی امنیتی ColdFusion اضطراری را برای رسیدگی به یک روز صفر (CVE-2023-38205) که در طبیعت به عنوان بخشی از حملات محدود اکسپلویت شود، ارائه کرد.

محصولات تحت تأثیر
آسیب‌پذیری با ‌عنوان CVE-2023-26369 بر نسخه‌های Windows و macOS Acrobat DC، Acrobat Reader DC،  Acrobat 2020 و Acrobat Reader 2020 تأثیر می‌گذارد.

منابع خبر:

[1] https://www.bleepingcomputer.com/news/security/adobe-warns-of-critical-acrobat-and-reader-zero-day-…
[2] https://thehackernews.com/2023/09/update-adobe-acrobat-and-reader-to.html

سه آسیب‌پذیری امنیتی با شدت بالا در Kubernetes کشف شده‌اند که می‌توانند برای دستیابی به اجرای کد از راه دور با دسترسی بالا، در نقاط انتهایی ویندوز در یک cluster اکسپلویت شوند.

جزئیات آسیب‌پذیری
این آسیب‌پذیری‌ها با عنوان CVE-2023-3676، CVE-2023-3893، CVE-2023-3955 و امتیاز 8.8 ارزیابی شده‌اند و بر تمام محیط‌های Kubernetes با گره‌های ویندوز تاثیر می‌گذارند. آسیب‌پذیری CVE-2023-3676 به مهاجم اجازه می‌دهد، تعامل با API Kubernetes را انجام دهد و کد دلخواه را تزریق کند که روی ماشین‌های ویندوز راه دور با امتیازات SYSTEM اجرا می‌شود.
این آسیب‌پذیری به دسترسی کمی نیاز دارد و بنابراین، نوار پایینی را برای مهاجمان تعیین می‌کند. تنها چیزی که آن‌ها باید داشته باشند، دسترسی به یک گره و اعمال امتیاز است.
این آسیب‌پذیری همراه با CVE-2023-3955، به دلیل عدم پاکسازی ورودی ایجاد می‌شود، در نتیجه یک رشته مسیر ساخته‌شده خاص را قادر می‌سازد تا به عنوان پارامتری برای یک فرمان PowerShell تجزیه شود و عملاً منجر به اجرای دستور شود.
آسیب‌پذیری  CVE-2023-3893 به یک مورد افزایش دسترسی در پروکسی Container Storage Interface (CSI)  مربوط می‌شود که به یک عامل مخرب اجازه می‌دهد تا دسترسی مدیر در گره را به دست آورد.
نرم افزار به درستی ورودی‌های کاربر را تایید یا پاکسازی نمی کند. عدم اعتبارسنجی درنظارت، به کاربران مخرب امکان می دهد تا پادهایی را با متغیرهای محیطی و مسیرهای میزبان ایجاد کنند که هنگام پردازش منجر به رفتارهای نامطلوب مانند افزایش دسترسی می‌شود.
این آسیب‌پذیری امکان اجرای کد از راه دور با دسترسی SYSTEM را در تمام نقاط انتهایی ویندوز در یک خوشه Kubernetes فراهم می‌کند. برای اکسپلویت این آسیب‌پذیری، مهاجم باید یک فایل YAML مخرب را روی  cluster اعمال کند.
خدمات وب آمازون (AWS)، Google Cloud و Microsoft Azure توصیه هایی را برای این آسیب‌پذیری‌ها منتشر کرده‌اند که برنسخه‌های kubelet<v1.28.1، kubelet <v1.27.5،kubelet < v1.26.8 ،   kubelet < v1.25.13 وkubelet < v1.24.17   تاثیرگذار بوده‌اند.

منابع خبر:

[1] https://thehackernews.com/2023/09/alert-new-kubernetes-vulnerabilities.html
[2] https://access.redhat.com/security/cve/cve-2023-3676
[3] https://vuldb.com/?id.237868
[4] https://feedly.com/cve/CVE-2023-3955

Mozilla به‌روزرسانی‌های امنیتی اضطراری را برای رفع یک آسیب‌پذیری بحرانی روز صفر که اکسپلویت شده است و بر مرورگر وب فایرفاکس و کلاینت ایمیل Thunderbird تأثیر گذاشته است، منتشر کرد.

جزئیات آسیب‌پذیری
این آسیب‌پذیری امنیتی که با ‌عنوان CVE-2023-4863 ردیابی شده است، ناشی از سرریز پشته‌ای بافر در کتابخانه کد WebP (libwebp) است که تأثیر آن از خرابی تا اجرای کد دلخواه را در بر می‌گیرد.
آسیب‌پذیری روز صفر CVE-2023-4863 بر سایر نرم افزارها نیز با استفاده از نسخه کتابخانه کد WebP آسیب پذیر تأثیر می گذارد. یکی از این نرم‌افزارها، مرورگر وب Goggle Chrome است که روز دوشنبه در برابر این آسیب‌پذیری وصله شد. گوگل هشدار داد که یک اکسپلویت برای CVE-2023-4863  وجود دارد. به‌روزرسانی‌های امنیتی Chrome برای کاربران کانال‌های پایدار و منتشر شده‌اند و انتظار می‌رود طی روزها یا هفته‌های آینده به کل کاربران برسد.
یک روز پس از انتشار راه حلی برای گوگل در مرورگر Google Chrome آسیب‌پذیری که به شناسه CVE-2023-4863  اختصاص داده شده است، یک آسیب‌پذیری سرریز بافر پشته در قالب تصویر WebP است که می‌تواند منجر به اجرای کد، هنگام پردازش یک تصویر ساخته شده خاص شود.
باز کردن یک تصویر WebP مخرب می تواند منجر به سرریز پشته بافر در فرآیند محتوا شود.
طبق توضیحات پایگاه داده ملی آسیب پذیری (NVD)، این آسیب‌پذیری می‌تواند به مهاجم راه دور اجازه دهد تا از طریق یک صفحه HTML دستکاری شده، نوشتن حافظه خارج از محدوده را انجام دهد.
 مهندسی و معماری امنیتی اپل (SEAR) و آزمایشگاه شهروندی در دانشکده Munk دانشگاه تورنتو، مسئول گزارش این آسیب‌پذیری امنیتی هستند.

محصولات تحت تأثیر
این آسیب‌پذیری در Forefox 117.0.1، Firefox ESR 115.2.1، Firefox ESR 102.15.1، Thunderbird 102,15,1 و115,2,2 Thunderbird آدرس داده شده است.

توصیه‌های امنیتی
به کاربران توصیه می‌شود که نسخه‌های به روز شده Firefox و Thunderbird را نصب کنند تا از سیستم خود در برابر حملات احتمالی محافظت کنند.

منابع خبر:

[1] https://thehackernews.com/2023/09/mozilla-rushes-to-patch-webp-critical.html
[2] https://www.bleepingcomputer.com/news/security/mozilla-patches-firefox-thunderbird-against-zero-day…
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-4863
[4] https://vuldb.com/?id.239475