حمله به سرورهای مایکروسافت SQL برای استقرار باج افزار FreeWorld 

شکل 1- تصویری از باج افزار FreeWorld

در حال حاضر، عوامل تهدیدی یا هکرها، از سرورهای Microsoft SQL (MS SQL) که امنیت پایین دارند، به منظور ارسال دو نوع بدافزار به نام‌های Cobalt Strike و FreeWorld استفاده می‌کنند. این دو بدافزار به عنوان ابزارهایی برای حملات سایبری و باج‌افزار به‌کار می‌روند.
شرکت امنیتی به نام Securonix این حمله را با نام DB#JAMMER شناخته و آن را از دیگر حملات مشابه به دلیل نحوه استفاده از ابزارها و زیرساخت‌ها متمایز می‌کند.
تحلیل‌گران امنیتی در یک تحلیل فنی از این حمله اظهار می‌کنند که ابزارهایی مانند نرم‌افزارهای شمارش، بارگذاری نرم‌افزار RAT (Remote Access Trojan)، نرم‌افزارهای انتزاع اطلاعات و دزدیدن اطلاعات اعتباری و در نهایت نرم‌افزارهای باج‌افزار از جمله ابزارهای استفاده شده در این حمله هستند.
نکته قابل توجه در اینجا این است که نوع بدافزار باج‌افزار مورد استفاده در این حمله یک نسخه جدیدتر از باج‌افزار Mimic به نام FreeWorld به‌نظر می‌آید.
مراحل این حمله به شرح زیر است:
1. دستیابی به دسترسی اولیه به سیستم هدف با استفاده از حمله brute-force به سرور MS SQL.
2. استفاده از این دسترسی برای شمارش دیتابیس و استفاده از گزینه تنظیم xp_cmdshell به منظور اجرای دستورات شل و انجام عملیات تجسس.
3. مرحله بعدی شامل اقداماتی برای مختل کردن دیواره آتش سیستم و ایجاد تثبیت با اتصال به یک سهمی (SMB) اشتراکی از راه دور به منظور انتقال فایل‌ها به/ از سیستم قربانی و نصب ابزارهای مخرب مانند Cobalt Strike است.
4. این مراحل در نهایت به اجرای نرم‌افزار AnyDesk منجر می‌شود که برای پخش باج‌افزار FreeWorld به‌کار می‌رود. اما قبل از این مرحله، حمله‌کنندگان اقداماتی برای جلوگیری از تشکیل اتصال دائمی RDP از طریق Ngrok نیز انجام می‌دهند.
Ngrok یک سرویس تونلینگ است که به افراد اجازه می‌دهد تا سرویس‌های محلی را به صورت ایمن از طریق اینترنت در دسترس عمومی قرار دهند. این ابزار به‌طور معمول توسط توسعه‌دهندگان و مهندسان سیستم برای تست و دسترسی به سیستم‌ها و خدمات محلی از راه دور استفاده می‌شود.
حالا، ایده "RDP persistence through Ngrok" این است که حمله‌کننده پس از نفوذ به سیستم هدف، از Ngrok به‌عنوان یک ابزار برای ایجاد اتصال دائمی RDP به سیستم استفاده می‌کند. این اتصال RDP از طریق اینترنت ایجاد می‌شود و توسط Ngrok به سیستم متصل می‌شود. این کار به حمله‌کننده اجازه می‌دهد که به‌طور مداوم و بدون اکتشاف از راه دور به سیستم هدف دسترسی داشته باشد و از تثبیت پنهان استفاده کند.
در کل، این روش به حمله‌کننده امکان می‌دهد که دسترسی دائمی به سیستم هدف را ایجاد کرده و از طریق RDP به آن دسترسی پیدا کند، حتی اگر از راه دور و بدون اطلاع کاربران یا مدیران سیستم باشد. این یکی از راه‌هایی است که حمله‌کنندگان برای حفظ دسترسی به سیستم‌ها بعد از نفوذ از آن استفاده می‌کنند.
 تحلیل‌گران به اهمیت رمزهای عبور قوی، به‌ویژه در سرویس‌های عمومی اشاره می‌کنند.
این حمله نخستین بار نیست که سرورهای MS SQL درست امن‌نشده را به عنوان هدف حملات سایبری برای اجرای بدافزارها انتخاب می‌کند. هفته گذشته، AhnLab Security Emergency Response Center (ASEC) جزئیات حمله جدیدی را منتشر کرد که با استفاده از بدافزارهای LoveMiner و projacking روی سرورهای تخریب‌شده طراحی شده‌اند.
این حمله در موازات با ادعای اپراتورهای باج‌افزار Rhysida در مورد داشتن ۴۱ قربانی، از جمله بیش از نیمی از آن‌ها در اروپا، انجام شده است.

Rhysida یک نوع باج‌افزار (Ransomware) است، که یک نوع خاص از نرم‌افزار مخرب بوده و فایل‌های کامپیوتری را رمزگذاری می‌کند که برای بازگشت دسترسی به آن‌ها از قربانیان پول (رمزگشایی) می‌خواهد. Rhysida به‌عنوان یکی از جدیدترین نسخه‌های باج‌افزار در سال ۲۰۲۳ ظاهر شده است.
 

شکل 2- تصویری از باج افزار Rhysida

همچنین این حمله مطابق با انتشار یک ابزار decryptor رایگان برای نوعی باج‌افزار به‌نام Key Group انجام شده است، که از اشتباهات رمزنگاری در برنامه بهره می‌برد. Key Group همانند دیگر باج‌افزارها به منظور به‌دست آوردن پول از قربانیان استفاده می‌شود. بر اساس آماری که Coveware در جولای 2023 به اشتراک گذاشته است، سال 2023 شاهد افزایش بی‌سابقه حملات باج افزار بوده است، حتی با وجود اینکه درصد حوادثی که منجر به پرداخت قربانی شده است به پایین‌ترین سطح خود یعنی 34 درصد کاهش یافته است. از سوی دیگر، میانگین مبلغ باج پرداختی به 740,144 دلار رسیده است که 126 درصد نسبت به سه ماهه اول 2023 افزایش یافته است. نوسانات در نرخ کسب درآمد با عوامل تهدید باج افزار همراه است که باعث توسعه تجارت اخاذی می‌شود، از جمله به اشتراک گذاری جزئیات تکنیک‌های حمله توسط هکرها افزایش یافته است.
 توصیه های امنیتی

•  به‌روزرسانی نرم‌افزار: اطمینان حاصل کنید که سیستم عامل، نرم‌افزارها و برنامه‌های خود را به‌روز نگه دارید. بسیاری از حملات باج‌افزار از آسیب‌پذیری‌هایی که در نسخه‌های قدیمی نرم‌افزارها وجود دارد، بهره می‌برند.
•  استفاده از نرم‌افزار امنیتی: نصب یک نرم‌افزار امنیتی و آنتی‌ویروس قوی می‌تواند به شما در شناسایی و پاک‌سازی باج‌افزارها کمک کند.
• پشتیبان‌گیری منظم: اطلاعات مهم و فایل‌های حساس خود را به‌صورت منظم پشتیبان‌گیری کنید. این کار می‌تواند در صورت رمزگشایی توسط باج‌افزار، از از دست رفتن اطلاعات شما جلوگیری کند.
• اجتناب از باز کردن فایل‌های پیوست ناشناخته: هرگز فایل‌های پیوست ایمیل یا لینک‌های مشکوک را باز نکنید و به دقت ایمیل‌های ناشناخته را حذف کنید.
• محدود کردن دسترسی: دسترسی به منابع حساس مانند سرورها و پایگاه‌های داده را محدود کنید. فقط افرادی که به‌طور واقعی نیاز به دسترسی دارند، باید به آنها دسترسی داشته باشند.
• مانیتورینگ فعال: سیستم‌های مانیتورینگ فعال راهکارهای موثری برای شناسایی حملات باج‌افزاری هستند. آگاهی داشتن از فعالیت‌های عجیب در سیستم‌های خود می‌تواند به شما کمک کند تا به سرعت واکنش مناسبی نسبت به حملات انجام دهید.

منبع خبر

MalDoc در PDF: یک حمله چند زبانه جدید که به مهاجمان اجازه می‌دهد آنتی ویروس را دور بزنند. محققان امنیت سایبری یک تکنیک جدید فرار از آنتی ویروس را کشف کرده‌اند که شامل جاسازی یک فایل مخرب مایکروسافت ورد در یک فایل PDF است.

شکل 1- تصویری از بدافزار MalDoC در PDF

گفته می‌شود که این روش مخفیانه که توسط JPCERT/CC در PDF به نام MalDoc نامگذاری شده است، قبلا در یک حمله در ژوئیه 2023 مورد استفاده قرار گرفته است. «یک فایل ایجاد شده با Maldoc در PDF می‌تواند در Word باز شود، حتی اگر دارای ساختار فایل PDF باشد». محققان می‌گویند: «اگر فایل دارای یک ماکروی پیکربندی شده باشد، با باز کردن آن در Word ، VBS رفتارهای مخرب را اجرا و انجام می‌دهد.»
چنین فایل‌هایی که به‌طور خاص ساخته شده‌اند، چند زبانه نامیده می‌شوند، زیرا شکلی قانونی از چندین نوع فایل مختلف، در این مورد، هم PDF و هم Word (DOC) هستند. این موضوع، مستلزم افزودن یک فایل MHT است که در Word ایجاد شده و یک ماکرو پس از شی فایل PDF پیوست شده است. نتیجه نهایی یک فایل PDF معتبر است که می‌تواند در برنامه Word نیز باز شود. به‌عبارت دیگر، سند PDF در درون خود یک سند Word با یک ماکرو VBS تعبیه می‌کند که برای دانلود و نصب فایل بدافزار MSI در صورت باز شدن به‌عنوان یک فایل DOC در Microsoft Office طراحی شده است. هنوز مشخص نیست که چه بدافزاری به این شکل توزیع شده است. یک محقق امنیتی، می‌گوید: «وقتی سندی از اینترنت یا ایمیل دانلود می‌شود، دارای MotW می‌باشد.» بدین ترتیب، کاربر باید روی «فعال کردن ویرایش» کلیک کند تا از نمای محافظت شده خارج شود. در این مرحله آنها یاد می‌گیرند که ماکروها غیرفعال هستند.
در حالی که حملات دنیای واقعی با استفاده از MalDoc در PDF کمی بیش از یک ماه پیش مشاهده شد، شواهدی وجود دارد که نشان می‌دهد ("DummymhtmldocmacroDoc.doc") در اوایل ماه مه آزمایش شده بود. این توسعه در بحبوحه افزایش کمپین‌های فیشینگ با استفاده از کدهای QR برای انتشار URL های مخرب انجام می‌شود. Trustwave هفته گذشته گفت: «نمونه‌هایی که ما با استفاده از این تکنیک مشاهده کرده‌ایم عمدتاً به عنوان اعلان‌های احراز هویت چند عاملی (MFA) پنهان شده‌اند که قربانیان خود را به اسکن کد QR با تلفن‌های همراه خود می‌کشند تا به اطلاعات آنها دسترسی پیدا کنند. یکی از این کمپین‌ها که اعتبار کاربران مایکروسافت را هدف قرار می‌دهد، از ماه می 2023 شاهد افزایش بیش از 2400 درصدی بوده است، و اشاره کرد که چگونه اسکن یک کد QR در دستگاه تلفن همراه کاربر را خارج از حفاظت‌های محیط سازمانی قرار می‌دهد.»

شکل 2- تصویری از نوتیفیکیشن‌های MFA

حملات مهندسی اجتماعی، همانطور که در حملات مرتبط با LAPSUS$ و Muddled Libra مشهود است، زمانی که عوامل تهدید از تاکتیک‌های vishing و فیشینگ برای دستیابی به دسترسی غیرمجاز به سیستم‌های هدف استفاده می‌کنند، پیچیده‌تر می‌شوند.
در یک نمونه که توسط سوفوس برجسته شده است، یک هکر با ترکیب تلفن و ایمیل، قربانی را فریب می‌دهد تا یک زنجیره حمله پیچیده علیه کارمند یک سازمان مستقر در سوئیس راه اندازی کند. تماس‌گیرنده که صدایش شبیه یک مرد میانسال بود، به کارمند گفت که او راننده تحویل یک بسته فوری به مقصد یکی از مکان‌های شرکت است. برای تحویل مجدد بسته، کارمند باید کدی را که شرکت حمل‌ونقل ایمیل می‌فرستد، با صدای بلند بخواند. شرکت حمل‌ونقل جعلی، قربانی را متقاعد کرد که فایلی را باز کند که به نظر می‌رسید یک پیوست پی‌دی‌اف حاوی کد است، اما در واقعیت، مشخص شد که این یک تصویر ثابت است که در متن پیام طراحی شده است درست مانند یک پیام Outlook با یک پیام ضمیمه‌ی ایمیل.
حمله هرزنامه تصویر جعلی در نهایت گیرنده را از طریق یک زنجیره تغییر مسیر به یک وب سایت جعلی برد که به نوبه خود، یک فایل اجرایی فریبنده را به‌عنوان یک سرویس بسته «سرویس بسته جهانی» اجرا کرد، که هنگام راه اندازی، به عنوان یک کانال عمل می‌کرد. برای ارائه اسکریپت‌های PowerShell اضافی برای سرقت داده‌ها و beacon به یک سرویس مخفی TOR راه دور.
در کمپین دیگری که توسط Cyble مورد توجه قرار گرفت، یک اسکریپت ویژوال بیسیک که از طریق یک فایل مخرب مایکروسافت اکسل اجرا شده بود، یافت شد که از کد PowerShell برای دانلود یک تصویر JPG حاوی یک بار دات نت با کد Base64 پنهان مانند Agent Tesla، LimeRAT و Remcos RAT استفاده می‌کرد. 

توصیه های امنیتی

• عدم باز کردن اسناد ناشناخته**: همیشه اسناد Wordی که از فرستندگان ناشناخته دریافت می‌کنید را با دقت بررسی کنید و تا اطمینان از امنیت آنها نداشته باشید، باز نکنید.
• فعال‌سازی محدودیت‌های ماکرو**: اگر یک اسناد Word مظنون به حاوی ماکروهای مخرب است، می‌توانید اجازه اجرای ماکروها را غیرفعال کنید. این کار را با تنظیم مرحله ‌به مرحله انجام دهید.
• استفاده از نرم‌افزارهای امنیتی**: از نرم‌افزارهای آنتی‌ویروس و ضد مخرب به‌روز و قوی استفاده کنید تا اسناد را اسکن کرده و تشخیص دهند.
• به‌روزرسانی نرم‌افزارها و سیستم‌عامل**: اطمینان حاصل کنید که نرم‌افزارهای شما و سیستم عامل به‌روز هستند تا از آسیب‌پذیری‌های امنیتی که ممکن است توسط Maldocها بهره‌برداری شود، جلوگیری شود.

همچنین به یاد داشته باشید که از هر چیزی که به نظر مشکوک می‌آید و از فرستندگان ناشناخته دریافت می‌کنید، دوری کنید و از تعامل با آن پرهیز کنید تا از تهدیدات امنیتی جلوگیری کنید.

منبع خبر

مهاجمان از دو آسیب پذیری اخیر MinIO برای نفوذ به سیستم های ذخیره سازی اشیا و دسترسی به اطلاعات خصوصی، اجرای کد از راه دور و کنترل سرورها اکسپلویت می کنند. 
MinIO یک سرویس ذخیره سازی اشیاء منبع باز است که توانایی سازگاری با آمازون S3 و ذخیره داده های بدون ساختار، گزارش ها، پشتیبان گیری و ارائه تصاویر کانتینر تا اندازه 50 ترابایت را دارد. عملکرد بالا و تطبیق پذیری، به ویژه برای برنامه های کاربردی AI/ML و داده ها در مقیاس بزرگ، MinIO را به یک انتخاب محبوب و مقرون به صرفه تبدیل می کند. دو آسیب‌پذیری که در حملات واکنش‌دهنده‌های امنیتی به‌صورت زنجیره‌ای یافت می‌شوند، باعنوان CVE-2023-28432 وCVE-2023-28434 و شدت بالا ارزیابی شده اند که همه نسخه‌های MinIO را قبل ازRELEASE.2023-03-20T20-16-18Z  تحت تأثیر قرار می‌دهند.
این نفوذ یک زنجیره اکسپلویت در دسترس عموم را برای درب پشتی نمونه MinIO به کار گرفته است. عامل تهدید در اسکریپت‌های bash و پایتون مهارت دارد و از دسترسی درب پشتی برای رها کردن بارهای اضافی از یک سرور راه دور برای اکسپلویت از طریق یک اسکریپت دانلودر استفاده می‌کند. این اسکریپت که می‌تواند  محیط‌های ویندوز و لینوکس را هدف قرار دهد، به‌عنوان دروازه‌ای برای پروفایل میزبان‌های در معرض خطر عمل می‌کند، که بر اساس آن پایان اجرا مشخص می شود. این نقطه پایانی به‌عنوان یک درب پشتی داخلی عمل می‌کند و به افراد غیرمجاز امکان اجرای دستورات را بر روی میزبانی که برنامه را اجرا می‌کند، ایجاد می کند.
این دو آسیب‌پذیری پتانسیل افشای اطلاعات حساس موجود در نصب در معرض خطر را دارند و اجرای کد از راه دور (RCE) را در میزبانی که برنامه MinIO در آن فعال است، تسهیل می‌کنند. آسیب پذیری ها توسط مهاجم برای به دست آوردن اعتبار مدیریت و اکسپلویت پایگاه برای جایگزینی مشتری MinIO روی میزبان با نسخه تروجانیزه شده با راه اندازی یک فرمان به روز رسانی که یک MIRROR_URL را مشخص می کند، مورد استفاده قرار گرفته است. 
مدیران سیستم ابری باید سریعا با اعمال به‌روزرسانی امنیتی موجود، برای محافظت از اطلاعات خود در برابر اپراتورهای Evil MinIO حرکت کنند.
منابع خبر

[2] https://nvd.nist.gov/vuln/detail/CVE-2023-28434

عوامل تهدید از یک آسیب پذیری کد راه دور شناخته شده در سرورهای RocketMQ برای آلوده کردن دستگاه ها با بدافزار DreamBus اکسپلویت می کنند. حملات مداوم بدافزار بات نتDreamBus، سرورهای RocketMQ را در برابر آسیب پذیری اجرای کد از راه دور بحرانی هدف قرار داده اند که با عنوان CVE-2023-33246 و امتیاز  9.8ردیابی شده اند. مهاجمان پس از استفاده از شناسایی منبع باز "interactsh" برای انجام ارزیابی های آسیب پذیری سرور، اقدام به دانلود اسکریپت مخرب bash "reketed" کردند که دانلود و نصب ماژول DreamBus را تسهیل کرده است. ماژول اصلی DreamBus که تمام اسکن‌های VirusTotal AV را نیز از طریق بسته‌بندی سفارشی UPX  بدون شناسایی انجام می‌دهد، دارای چندین اسکریپت کدگذاری شده با base64 است که عملکردهای مختلفی از جمله دانلود ماژول‌های اضافی برای بدافزار را انجام می‌دهند. ماژول اصلی کارهایی مانند سیگنال دادن به وضعیت آنلاین آن بهC2، دانلود XMRig منبع بازMonero miner، اجرای اسکریپت های bash اضافی یا دانلود نسخه جدید بدافزار DreamBus را انجام می دهد. همچنین، با راه‌اندازی یک سرویس سیستم و یک کار cron که هر دو به صورت ساعتی اجرا می‌شوند، تضمین می‌کند که در سیستم‌های آلوده فعال باقی می‌ماند. عوامل تهدید می توانند عملیات DreamBus را برای انجام حملات متنوع تر تقویت کنند. 
این بدافزار همچنین دارای مکانیسم‌های انتشار جانبی با استفاده از ابزارهایی مانند ansible ،knife ،salt و pssh و یک ماژول اسکنر است که محدوده IP خارجی و داخلی را برای آسیب‌پذیری‌های قابل کشف بررسی می‌کند.

این آسیب پذیری بر RocketMQ نسخه 5.1.0 و قبل تر تأثیر می‌گذارد و به مهاجمان اجازه می‌دهد اجرای کد از راه دور را انجام دهند. 
برای جلوگیری از آخرین حملات DreamBus، توصیه می شود که مدیرانRockerMQ  را به نسخه5.1.1 یا بالاتر ارتقا دهند. نسخه‌های قبلی بدافزارDreamBus، برای هدف قرار دادن Redis، PostgreSQL، Hadoop YARN، Apache Spark، HashiCorp Consul و SaltStack شناخته شده‌اند، بنابراین برای مقابله با این تهدید، دنبال کردن مدیریت وصله، در تمامی محصولات نرم‌افزاری توصیه می‌شود.
منابع خبر

VMware Aria Operations for Networks  در برابر یک آسیب پذیری Bypass تایید هویت با شدت بحرانی، آسیب پذیر است که می تواند به مهاجمان راه دور اجازه دهد تا تایید هویت SSH را دور بزنند و به نقاط پایانی خصوصی دسترسی داشته باشند. VMware Aria مجموعه ای برای مدیریت و نظارت بر محیط های مجازی و ابرهای ترکیبی، امکان اتوماسیون فناوری اطلاعات، مدیریت گزارش، تولید تجزیه و تحلیل، دید شبکه، برنامه ریزی امنیت و ظرفیت و مدیریت عملیات کامل است. این آسیب پذیری که توسط تحلیلگران در ProjectDiscovery Research کشف شده است، با عنوان CVE-2023-34039 و CVSS: 9.8 ارزیابی شده است که مربوط به یک مورد دور زدن تایید هویت است که در نتیجه عدم تولید کلید رمزنگاری منحصر به فرد ایجاد شده است. مهاجم با دسترسی شبکه به Aria Operations for Networks می تواند تایید هویت SSH را دور بزند تا به Aria Operations for Networks CLI دسترسی پیدا کند. اکسپلویت آسیب پذیری CVE-2023-34039 می تواند منجر به استخراج یا دستکاری داده ها از طریق رابط خط فرمان محصول شود و منجر به اختلال در شبکه، اصلاح پیکربندی، نصب بدافزار و حرکت جانبی شود.
VMware به‌روزرسانی‌های نرم‌افزاری را برای تصحیح آسیب‌پذیری امنیتی در Aria Operations برای شبکه‌ها منتشر کرده است که می‌توانند برای دور زدن تایید هویت و به دست آوردن اجرای کد از راه دور مورد اکسپلویت قرار گیرند.
آسیب‌پذیری‌هایی که VMware Aria Operations Networks نسخه‌های 6.2، 6.3، 6.4، 6.5.1، 6.6، 6.7، 6.8، 6.9، 6.10 را تحت تأثیر قرار می‌دهند، در مجموعه‌ای از وصله‌های منتشر شده توسط VMware برای هر یک از نسخه‌ها برطرف شده‌اند.
ضروری است که کاربران سریعا VMware را به نسخه 6.11 به روزرسانی کنند تا از تهدیدات احتمالی محافظت کنند.
منابع خبر

[2] https://thehackernews.com/2023/08/critical-vulnerability-alert-vmware.html

بدافزار بانکی اندرویدی جدید به نام MMRat از سریال‌سازی داده‌های protobuf استفاده می‌کند تا تا به‌طور موثرتری داده‌ها را از دستگاه‌های در معرض خطر سرقت کند.  MMRat برای اولین بار توسط Trend Micro در اواخر ژوئن 2023 مشاهده شد که عمدتاً کاربران در جنوب شرقی آسیا را هدف قرار می‌داد و در سرویس‌های اسکن آنتی ویروس مانند VirusTotal ناشناخته باقی می‌ماند. در حالی که محققان نمی‌دانند چگونه بدافزار در ابتدا برای قربانیان تبلیغ می‌شود، آن‌ها دریافتند که MMRat از طریق وب‌سایت‌هایی که به‌عنوان فروشگاه‌های برنامه رسمی پنهان‌شده‌اند توزیع می‌شود. قربانیان برنامه‌های مخربی را که دارای MMRat هستند دانلود و نصب می‌کنند که معمولاً از یک برنامه دولتی رسمی یا برنامه دوستیابی تقلید می‌کنند و مجوزهای خطرناکی مانند دسترسی به سرویس دسترس‌پذیری Android را در حین نصب اعطا می‌کنند. این بدافزار به‌طور خودکار از ویژگی دسترس‌پذیری سوءاستفاده می‌کند تا به خود مجوزهای بیشتری بدهد که به آن اجازه می‌دهد تا طیف گسترده‌ای از اقدامات مخرب را روی دستگاه آلوده انجام دهد.

قابلیت های MMRat
هنگامی‌که MMRat یک دستگاه Android را آلوده می‌کند، یک کانال ارتباطی با سرور C2 ایجاد می‌کند و فعالیت دستگاه را برای کشف دوره‌های بیکاری نظارت می‌کند. در این مدت، عامل تهدید از سرویس دسترسی برای فعال کردن دستگاه از راه دور، باز کردن قفل صفحه و انجام کلاهبرداری بانکی در زمان واقعی سوء استفاده می‌کند.
قابلیت‌های اصلی MMRat را می‌توان در موارد زیر خلاصه کرد:

• جمع‌آوری اطلاعات شبکه، صفحه و باتری
• استخراج لیست مخاطبین کاربر و لیست برنامه‌های نصب ‌شده
• گرفتن ورودی کاربر از طریق keylogging
• ضبط محتوای صفحه به طور بلادرنگ با سوءاستفاده از MediaProjection API
• ضبط و انتقال زنده داده‌های دوربین 
• ضبط داده‌های صفحه نمایش و ارسال به C2 
• حذف شدن خودکار برای پاک کردن تمام شواهد آلودگی

تمام دستورات پشتیبانی شده توسط بدافزار (Trend Micro)

مزیت Protobuf
MMRat از پروتکل سرور فرمان و کنترل منحصربه‌فرد (C2) مبتنی بر بافرهای پروتکل(Protobuf)  برای انتقال کارآمد داده استفاده می‌کند که در بین تروجان های اندروید غیرمعمول است. Protobuf روشی برای سریال سازی داده‌های ساختاریافته است که گوگل ایجاد کرده است.
MMRat از پورت‌ها و پروتکل‌های مختلفی برای تبادل داده با C2 استفاده می‌کند، مانند HTTP در پورت 8080 برای استخراج داده، RTSP و پورت 8554 برای پخش ویدئو و Protobuf سفارشی در 8887 برای فرمان و کنترل. به طور خلاصه، MMRat نشان می‌دهد پیچیدگی تروجان‌های بانکی اندرویدی در حال رشد است و سازندگان بدافزار به شکل ماهرانه‌ای مخفی کاری و ارسال داده با کارایی بالا را با هم ترکیب می‌کنند.
منبع

هکرها از یک زنجیره اکسپلویت بحرانی برای هدف قراردادن سوئیچ های Juniper EX و فایروال های  SRX از طریق رابط پیکربندی J-Web استفاده می کنند. اکسپلویت موفقیت‌آمیز از این آسیب¬پذیری، به مهاجمان تاییدهویت نشده امکان می‌دهد، تا کد از راه دور خود را روی دستگاه‌های وصله‌نشده Juniper اجرا کنند. مهاجم می‌تواند با یک درخواست خاص که نیازی به تایید هویت ندارد، فایل‌های دلخواه را از طریقJ-Web آپلود کند که این عامل، منجر به از دست دادن یکپارچگی قسمت خاصی از سیستم فایل می‌شود که ممکن است امکان زنجیره‌سازی به آسیب‌پذیری‌های دیگر را فراهم کند .
یک هفته پس از افشا و انتشار به‌روزرسانی‌های امنیتی Juniper برای اصلاح چهار آسیب پذیری  که  برای دستیابی به اجرای کد از راه دور زنجیره‌ای استفاده شده است، محققان امنیتی  WatchTowr  Labs یک اکسپلویت از اثبات مفهوم (PoC) را منتشر کردند که باگ‌های فایروال SRX را هدف قرار می‌دهد. این آسیب پذیری با عنوان CVE-2023-36846 و  CVE-2023-36845ارزیابی شده است. 
با توجه به سادگی اکسپلویت و موقعیت ممتازی که دستگاه های JunOS در یک شبکه دارند، امکان اکسپلویت در مقیاس بزرگ فراهم است.
در حالی که Juniper گفته است هیچ مدرکی بر بهره برداری فعال وجود ندارد، WatchTowr Labs  می گوید که معتقد است، مهاجمان به زودی دستگاه های Juniper وصله نشده را در حملات گسترده هدف قرار خواهند داد.
مدیر عامل Shadowserver، تأیید کرده است که مهاجمان از اکسپلویت‌هایی استفاده می‌کنند که با استفاده از PoC WatchTowr Labs ساخته شده‌اند. به نظر می رسد تلاش های بهره برداری مبتنی بر این POC اکسپلویت است و مهاجم با اعمال برخی تغییرات، تلاش می کند یک فایل PHP را آپلود کند و سپس آن را اجرا کند. 

به ادمین ها توصیه می شود وصله ها را اعمال کنند و JunOS را به آخرین نسخه ارتقا دهند و یا دسترسی اینترنت به رابط J-Web را برای حذف بردار حمله غیرفعال کنند. 
منابع خبر

[2] https://thehackernews.com/2023/08/alert-juniper-firewalls-openfire-and.html

Microsoft Edge اطلاعیه‌ای را منتشر کرده است که در آن به یک آسیب‌پذیری افزایش سطح دسترسی (Privilege escalation vulnerability) اشاره کرده است که دارای CVSS Score 8.3 است.
این نقص با شناسه CVE-2023-36741 و شدت بالا گزارش شده است. مهاجم از راه دور می‌تواند از این آسیب‌پذیری که به تعامل کاربر نیاز دارد بهره‌برداری کند. دامنه این آسیب‌پذیری فراتر از مؤلفه آسیب‌پذیر Microsoft Edge است و هیچ کد اکسپلویت شناخته شده‌ای برای آن موجود نیست.
مایکروسافت در اطلاعیه خود عنوان کرد که آسیب‌پذیری مذکور بر محرمانگی، یکپارچگی و در دسترس بودن برنامه آسیب‌دیده و محیط آن تأثیر می‌گذارد. 
Microsoft-Edge مبتنی بر Chromium قبل از نسخه 116.0.1938.62 تحت تأثیر این آسیب‌پذیری قرار دارد.
به کاربران این مرورگر توصیه می‌شود برای رفع این آسیب‌پذیری و جلوگیری از سوءاستفاده مهاجمان، در اسرع وقت آن را به آخرین نسخه ارتقاء دهند.
منابع خبر

https://gbhackers.com/microsoft-edge-privilege-escalation-flaw/

دستگاه های دروازه امنیتی ایمیل شبکه هایBarracuda(ESG) که در برابر آسیب پذیری مهم که اخیرا فاش شده وصله شده‌اند، همچنان در معرض خطر احتمالی گروه های هکر قرار دارند. همچنین، اصلاحات انجام شده بی اثر بوده و نفوذهای فعال ادامه دارند و همه دستگاه‌های تحت تاثیرBarracuda ESG را در معرض آسیب‌پذیری این اکسپلویت قرار می‌دهند.
این آسیب‌پذیری روز صفر، با عنوان CVE-2023-2868 و امتیاز 9.8 ارزیابی شده است. مهاجمان سایبری از این آسیب‌پذیری برای وارد کردن بارهای مخرب در دستگاه ESG با قابلیت‌های مختلف استفاده کرده اند که دسترسی دائمی، اسکن ایمیل، جمع‌آوری اعتبار و استخراج داده‌ها را ممکن می‌سازد. این شرکت اطلاعاتی تهدید، UNC4841  را تهاجمی و ماهر توصیف کرده است، که به سرعت ابزار سفارشی خود را برای به کارگیری مکانیسم‌های پایداری اضافی و حفظ جایگاه خود در اهداف با اولویت بالا تطبیق می‌دهد. آسیب‌پذیری تزریق فرمان از راه دور که نسخه‌های 5.1.3.001 تا 9.2.0.006 را تحت تأثیر قرار می‌دهد، امکان اجرای غیرمجاز دستورات سیستم با دسترسی مدیر را در محصول ESG فراهم می‌کند.
آژانس فدرال به مشتریان توصیه می‌کند که تمام دستگاه‌های ESG آسیب‌دیده را جدا کرده و فورا جایگزین کنند و شبکه‌ها را برای ترافیک خروجی اسکن کنند. برای احتیاط و پیشبرد استراتژی مهار آسیب پذیری، به مشتریان آسیب دیده توصیه شده است دستگاه آسیب دیده خود را تعویض کنند. اگر مشتری اعلان رابط کاربری را دریافت کرده یا نماینده پشتیبانی فنی Barracuda با او تماس گرفته است، مشتری باید با support@barracuda[.]com تماس بگیرد تا دستگاه ESG را جایگزین کند. Barracuda محصول جایگزین را بدون هیچ هزینه ای به مشتریان آسیب دیده ارائه می دهد. به مشتریانی که تحت تأثیر این حادثه قرار گرفته اند، اطلاع داده شده است، اگر دستگاه ESG یک اعلان را در رابط کاربری نمایش می¬دهد، نشانگر سازش دستگاه با آسیب پذیری است.
منابع خبر

[2] https://www.bleepingcomputer.com/news/security/barracuda-warns-of-email-gateways-breached-via-zero-…

 طبق بررسی‌ها، تعدادی پکیج مخرب در رجیستری جعبه زبان برنامه‌نویسی Rust کشف شده است. مجموعه Phylum در گزارشی که به‌تازگی منتشر شد، اعلام کرده است که کتابخانه‌هایی که بین ١٤ الی ١٦ آگوست ٢٠٢٣ بارگذاری شده توسط کاربری به نام "amaperf" منتشر شده‌اند. جهت مطالعه بیشتر اینجا کلیک نمایید.