یک حمله جدید بر روی گوشی‌های اندرویدی با استفاده از نسخه جدید بدافزار GravityRAT از ماه آگوست ۲۰۲۲ در حال گسترش است. این بدافزار با نام 'BingeChat' یک برنامه چت تروجانی شده است که سعی در سرقت اطلاعات از دستگاه های قربانی می کند. به گزارش لوکاس استفانکو، پژوهشگر ESET که پس از دریافت یک اطلاعات از تیم MalwareHunterTeam، نمونه را تحلیل کرد، یکی از افزوده های جدید قابل توجه در نسخه جدید GravityRAT سرقت فایل های پشتیبان WhatsApp است. فایل‌های پشتیبان WhatsApp برای کمک به کاربران برای انتقال تاریخچه پیام‌ها، فایل‌های چندرسانه‌ای و داده‌ها به دستگاه‌های جدید ایجاد می‌شوند، بنابراین ممکن است حاوی اطلاعات حساسی مانند متن، ویدئو، عکس، اسناد و غیره باشند.
GravityRAT, با استفاده از برنامه چت تروجانی 'BingeChat'، اقدام به نفوذ به دستگاه‌های اندرویدی کرده و سعی در سرقت اطلاعات حساس از آنها دارد. از جمله اطلاعاتی که GravityRAT هدف قرار می‌دهد، فایل‌های پشتیبان WhatsApp است که حاوی تاریخچه پیام‌ها، فایل‌های چندرسانه‌ای و داده‌های کاربران است.این بدافزار با نفوذ به گوشی‌ها، فایل‌های پشتیبان WhatsApp را سرقت می‌کند که به صورت روشن و بدون رمزنگاری قرار دارند. این فایل‌های پشتیبان ممکن است اطلاعات حساسی مانند مکالمات صوتی و تصویری، پیام‌های متنی، تصاویر، ویدئوها و سایر فایل‌های مرتبط با WhatsApp را شامل شوند. GravityRAT  از سال ۲۰۱۵ فعالیت خود را آغاز کرده است، اما برای اولین بار در سال ۲۰۲۰ به سوی سیستم‌عامل اندروید هدف گرفته است. اپراتورهای آن، با نام "SpaceCobra" شناخته می‌شوند و از این جاسوس اطلاعات به صورت انحصاری و در عملیات هدفمند استفاده می‌کنند. در حال حاضر، GravityRAT با نام "BingeChat" شناخته شده است و به عنوان یک برنامه چت با رمزنگاری نهایی به نهایی (end-to-end) با رابط کاربری ساده و قابلیت‌های پیشرفته معرفی می‌شود.
به گفته ESET، اپلیکیشن از طریق "bingechat[.]net" و احتمالاً دامنه‌ها و کانال‌های توزیع دیگری ارسال می‌شود، اما دانلود این اپلیکیشن بر اساس دعوت است و برای ورود کاربران نیاز به اعتبارهای معتبر یا ثبت نام در حساب جدید دارد. اگرچه ثبت نام‌ها در حال حاضر بسته شده است، این روش فقط به آنها امکان توزیع برنامه‌های مخرب به افراد هدف را می‌دهد. همچنین، برای پژوهشگران دسترسی به یک نسخه برای تحلیل دشوارتر می‌شود. اپراتورهای GravityRAT در سال ۲۰۲۱ با استفاده از یک اپلیکیشن چت به نام 'SoSafe' و قبل از آن با نام 'Travel Mate Pro'، فایل‌های APK مخرب اندروید را به افراد هدف ارسال کردند. استفانکو متوجه شده است که این اپلیکیشن یک نسخه تروجانی شده از OMEMO IM است، که یک اپلیکیشن لحظه‌ای متن‌باز و معتبر برای اندروید است. پس از بررسی بیشتر، تحلیلگر ESET متوجه شد که SpaceCobra از OMEMO IM به عنوان پایه برای یک اپلیکیشن جعلی دیگر به نام "Chatico" استفاده کرده است که در تابستان سال ۲۰۲۲ از طریق "chatico.co[.]uk" که در حال حاضر آفلاین است به افراد هدف توزیع شده است.

نمودار عملیاتی (ESET)

GravityRAT دارای قابلیت‌های زیر است:
پس از نصب برنامه BingeChat بر روی دستگاه هدف، این برنامه درخواست دسترسی به مجوزهای خطرناک را دارد که شامل دسترسی به مخاطبین، موقعیت مکانی، تلفن، پیامک، حافظه، سوابق تماس، دوربین و میکروفون است. این مجوزها برای برنامه‌های پیام‌رسان معمولی است و احتمالاً برای قربانی شبیه به یک عملکرد طبیعی به نظر می‌رسد و تشکیل شک و تردید نمی‌دهد.
قبل از ثبت نام کاربر در BingeChat، این برنامه سوابق تماس‌ها، لیست مخاطبین، پیامک‌ها، موقعیت دستگاه و اطلاعات پایه دستگاه را به سرور فرمان و کنترل (C2) تهدید ارسال می‌کند.
علاوه بر این، فایل‌های رسانه‌ای و اسناد با پسوندهای jpg، jpeg، log، png، PNG، JPG، JPEG، txt، pdf، xml، doc، xls، xlsx، ppt، pptx، docx، opus، crypt14، crypt12، crypt13، crypt18 و crypt32 نیز سرقت می‌شوند. پسوندهای فایل crypt به فایل‌های پشتیبانی از برنامه WhatsApp Messenger اشاره دارند که قبلاً ذکر شد.

استخراج داده ها از دستگاه قربانی (ESET)

یکی از ویژگی‌های قابل توجه دیگر GravityRAT قابلیت دریافت سه دستور از C2 است، به عبارتی "حذف همه فایل‌ها" (با یک پسوند مشخص شده)، "حذف همه مخاطبین" و "حذف همه سوابق تماس" است. اگرچه کمپین‌های SpaceCobra بسیار هدفمند و عمدتاً در هند متمرکز هستند، همه کاربران اندروید باید از دانلود فایل‌های APK از خارج از Google Play خودداری کرده و در هنگام نصب هر برنامه، درخواست‌های مجوزهای خطرناک را با احتیاط مورد بررسی قرار دهند.
بنابراین، توجه به امنیت دستگاه‌های اندرویدی و جلوگیری از نصب برنامه‌های مشکوک و ناشناس بسیار مهم است. همچنین، استفاده از راهکارهای امنیتی مانند برنامه‌های آنتی‌ویروس و بروزرسانی منظم سیستم‌عامل اندروید نیز توصیه می‌شود تا به حفاظت از اطلاعات شخصی و حساس خود بپردازید.

 مراجع

چندین آسیب پذیری تزریق SQL در Gentoo Soko گزارش شده است که می تواند منجر به اجرای کد از راه دور (RCE) در سیستم های آسیب پذیر شود. تزریق های SQL، با وجود استفاده از یک کتابخانه شی رابطه ای (ORM) و گزارش های اعلام شده، اکسپلویت شدند و ممکن است به دلیل پیکربندی نادرست پایگاه داده، به اجرای کد از راه دور در Soko منجر شوند. این آسیب پذیری ها، پس از گذشت یک روز از گزارش آنها در 17 مارس 2023، مورد بررسی قرار گرفتند. Soko یک ماژول نرم افزار Go است که به packages.gentoo.org کمک می کند و روشی آسان برای جستجو در بسته های مختلف Portage که برای توزیع Linux Gentoo در دسترس هستند، به کاربران ارائه می دهد. آسیب پذیری های کشف شده در این سرویس، به مهاجم اجازه می دهد با تزریق کدهای ساختگی، اطلاعات حساس را در معرض دید قرار دهد. 
این آسیب پذیری که در قسمت جستجوی Soko کشف شد، با عنوان CVE-2023-28424 و امتیاز 9.1 ارزیابی شده است و بر عملکرد Search/Search Feed تاثیر می گذارد. دستکاری آرگومان q با یک ورودی نامعتبر، به آسیب پذیری تزریق SQL منجر می شود. از این رو، مهاجم تایید هویت نشده میتواند پرس و جوهای SQL را در https://packages.gentoo.org  جستجو کند. 
این آسیب پذیری در نسخه قبل از 1.0.2 با استفاده از عبارات آماده شده، برای وارد کردن  داده های کنترل شده توسط کاربر، در پرس وجوهای SQL کشف شد.
برای رفع این آسیب پذیری، توصیه می شود به نسخه 1.0.2 ارتقاء داده شود. همچنین، استفاده از patch این آسیب پذیری را رفع می کند. 
 منابع خبر

[2] https://nvd.nist.gov/vuln/detail/CVE-2023-28424

حدود 200000 وب سایت وردپرسی در معرض خطر حملات مداوم هستند که از یک آسیب پذیری امنیتی وصله نشده حیاتی در افزونه Ultimate Member سوء استفاده می کنند. این نقص که با شناسهCVE-2023-3460  و با امتیازCVSS: 9.8 ردیابی می‌شود بر تمام نسخه‌های افزونه Ultimate Member، از جمله آخرین نسخه آن (2.6.6) که در 29 ژوئن 2023 منتشر شد، تأثیر می‌گذارد.
Ultimate Member یک افزونه محبوب وردپرس است که ایجاد پروفایل‌های کاربر و انجمن ها را در سایت های وردپرس تسهیل می کند. همچنین ویژگی های مدیریت حساب را فراهم می کند. شرکت امنیتی وردپرس WPScan در هشداری گفت: "این یک مسئله بسیار جدی است: مهاجمان احراز هویت نشده ممکن است از این آسیب پذیری برای ایجاد حساب های کاربری جدید با امتیازات ادمین سوء‌استفاده کنند و به آنها قدرت کنترل کامل سایت های آسیب دیده را بدهند."
اگرچه جزئیات مربوط به این نقص به دلیل سوء‌استفاده فعال مخفی شده‌است، اما از منطق نامناسب لیست بلاک ناشی می‌شود که مهاجمان مقدار متای کاربرwp_capabilities، را برای تعریف نقش کاربری خود به عنوان مدیر تعیین می‌کنند و به مهاجمان دسترسی کامل به سایت آسیب‌پذیر را می‌دهد.
کلویی چمبرلند، محقق Wordfence، گفت: در حالی که این افزونه دارای یک لیست از پیش تعیین شده از کلیدهای ممنوعه است که کاربر نباید قادر‌به به‌روز‌رسانی آن باشد، روش‌های ساده‌ایی برای دور زدن فیلتر‌های قرار داده‌شده وجود دارد، مانند استفاده از موارد مختلف، اسلش‌ها و رمزگذاری کاراکتر‌ها در یک مقدار متا کلید ارائه شده در نسخه های آسیب پذیر افزونه. این مشکل پس از انتشار گزارش‌هایی مبنی بر اضافه شدن حساب‌های مدیران سرکش به سایت‌های آسیب‌دیده آشکار شد و نگه‌دارندگان افزونه را بر آن داشت تا اصلاحات جزئی را در نسخه‌های 2.6.4، 2.6.5 و 2.6.6 صادر کنند.
WPScan اشاره کرد که وصله‌ها ناقص هستند و روش‌های متعددی برای دور زدن آنها پیدا کرده است، به این معنی که این مشکل هنوز به طور فعال قابل بهره‌برداری است.در حملات مشاهده شده، از این نقص برای ثبت حساب‌های جدید تحت نام‌های apadmins، se_brutal، segs_brutal، wpadmins، wpengine_backup و wpenginer  برای آپلود افزونه‌ها و تم‌های مخرب از طریق پنل مدیریت سایت استفاده می‌شود.
به کاربران Ultimate Member توصیه می شود تا زمانی که یک وصله مناسب که حفره امنیتی را به طور کامل بر‌طرف می کند، افزونه را غیرفعال کنند. همچنین توصیه می‌شود همه کاربران سطح مدیر در وب‌سایت‌ها را بررسی کنند تا مشخص شود آیا حساب‌های غیرمجاز اضافه شده‌اند یا خیر.

نویسندگان Ultimate Member نسخه 2.6.7 این افزونه را در تاریخ 1 جولای منتشر کرده‌اند تا به نقص افزایش امتیاز که به طور فعال مورد سوء‌استفاده قرار گرفته‌است، رسیدگی کند. به عنوان یک اقدام امنیتی اضافی، آنها همچنین قصد دارند یک ویژگی جدید را در این افزونه ارسال کنند تا مدیران وب سایت بتوانند رمز‌عبور‌ها را برای همه کاربران بازنشانی کنند. نگهدارندگان در یک مشاوره مستقل گفتند: "ورژن 2.6.7 لیست سفید را برای کلیدهای متا معرفی می کند که هنگام ارسال فرم ها ذخیره می کنیم. همچنین داده های تنظیمات فرم و داده های ارسالی را جدا می کند و آنها را در 2 متغیر مختلف نگهداری می‌کند."
 
منابع

https://www.wordfence.com/blog/2023/06/psa-unpatched-critical-privilege-escalation-vulnerability-in…

عملیات باج‌افزار Akira از یک رمزگذار لینوکس برای رمزگذاری ماشین‌های مجازی VMware ESXi در حملات اخاذی مضاعف علیه شرکت‌ها در سراسر جهان استفاده می‌کند. Akira برای اولین بار در مارس 2023 ظهور کرد و سیستم‌های ویندوز را در صنایع مختلف از جمله آموزش، امور مالی، املاک و مستغلات، تولید و مشاوره هدف قرار داد.
مانند سایر باج‌افزارهایی که سازمان‌ها را هدف قرار می‌دهند، بازیگران تهدید داده‌ها را از شبکه‌های مورد رخنه به سرقت می‌برند و فایل‌ها را رمزگذاری می‌کنند تا از قربانیان، اخاذی مضاعف انجام دهند و خواهان پرداخت‌هایی تا چندین میلیون دلار هستند. 
نسخه لینوکس آکیرا اولین بار توسط تحلیلگر بدافزار به نام rivitna کشف شد که هفته گذشته نمونه‌ای از رمزگذار جدید را در VirusTotal به اشتراک گذاشت. تجزیه و تحلیل BleepingComputer از رمزگذار لینوکس نشان می‌دهد که نام پروژه Esxi_Build_Esxi6 است که نشان می‌دهد عوامل تهدید آن را به‌طور خاص برای هدف قرار دادن سرورهای VMware ESXi طراحی کرده‌اند. برای مثال یکی از فایل‌های کد منبع پروژه /mnt/d/vcprojects/Esxi_Build_Esxi6/argh.h است.
در چند سال گذشته، گروه‌های باج‌افزار به طور فزاینده‌ای رمزگذارهای لینوکس سفارشی را برای رمزگذاری سرورهای VMware ESXi ایجاد کرده‌اند، زیرا شرکت‌ها به دلیل  بهبود مدیریت دستگاه و استفاده کارآمد از منابع به سمت استفاده از سرورهای ماشین مجازی رفته‌اند. با هدف قرار دادن سرورهای ESXi، یک عامل تهدید می‌تواند بسیاری از سرورهایی را که به‌عنوان ماشین‌های مجازی در حال اجرا هستند، در یک اجرای رمزگذار باج‌افزار رمزگذاری کند.
با این حال، بر خلاف دیگر رمزگذارهای VMware ESXi که توسط BleepingComputer آنالیز می‌شوند، رمزگذارهای Akira دارای ویژگی‌های پیشرفته زیادی نیستند، مانند خاموش شدن خودکار ماشین‌های مجازی قبل از رمزگذاری فایل‌ها با استفاده از دستور esxcli.
p --encryption_path -)مسیرهای فایل/پوشه هدف)
)-s --share_file مسیر درایو شبکه هدف)
n --encryption_percent -(درصد رمزگذاری)
fork--)ایجاد فرآیند فرزند برای رمزگذاری)
پارامتر -n به ویژه قابل توجه است زیرا به مهاجمان اجازه می‌دهد تا تعیین کنند چه مقدار داده در هر فایل رمزگذاری شود. هرچه مقدار این پارامتر کمتر باشد، رمزگذاری سریع‌تر است، اما احتمال اینکه قربانیان بتوانند فایل‌های اصلی خود را بدون پرداخت باج بازیابی کنند، بیشتر می‌شود.

گسترش دامنه هدف‌گیری آکیرا در تعداد قربانیانی که اخیراً توسط این گروه اعلام‌ شده است، منعکس شده است که نشان دهنده شدیدتر شدن تهدید برای سازمان‌ها در سراسر جهان است. متأسفانه، افزودن پشتیبانی لینوکس یک روند رو به رشد در میان گروه‌های باج‌افزار است و بسیاری از آنها از ابزارهای در دسترس برای انجام آن استفاده می‌کنند، زیرا این یک راه آسان و تقریباً بی‌خطر برای افزایش سود است.
سایر عملیات‌های باج‌افزاری که از رمزگذارهای باج‌افزار لینوکس استفاده می‌کنند و بیشتر VMware ESXi را هدف قرار می‌دهند، عبارت‌اند از: Royal، Black Basta، LockBit، BlackMatter، AvosLocker، REvil، HelloKitty، RansomEXX و Hive.

منبع:

یک آسیب پذیری مهم در پلاگین miniOrange's Social Login and Register وردپرس اکسپلویت شده است که به مهاجم اجازه می دهد با تایید هویت غیر مجاز، بجای هر کاربری وارد شود و موجب افشای اطلاعات کاربران  شود. miniOrange یک پلاگین محبوب و ضروری وردپرس است که راه حل های امنیتی در اختیار صاحبان وب سایت قرار می دهد. همچنین، طیف وسیعی از ویژگی های امنیتی مانند تایید هویت و مدیریت کاربر را برای وب سایت های وردپرسی ارائه می کند و به کاربران این امکان را فراهم می کند تا با استفاده از اعتبار رسانه های اجتماعی خود از پلتفرم ها و ارائه دهندگان خدمات محبوب، وارد یک وب سایت وردپرسی شوند. این پلاگین در بیش از 30000 سایت استفاده می شود.
هدف این قابلیت ها، افزایش امنیت سایت های وردپرس با افزودن یک لایه حفاظتی اضافی، در برابر دسترسی های غیرمجاز است. 
این آسیب پذیری بحرانی با شناسه CVE-2023-2982 و امتیاز 9.8 ردیابی شده است. یک مهاجم تایید هویت نشده می تواند در صورت داشتن آدرس ایمیل، به حساب کاربری سایت دسترسی پیدا کند، حتی می تواند به حساب مدیر سایت هم دسترسی یابد. مشکل اصلی این آسیب پذیری در کلید رمزنگاری است. کلید رمزنگاری، برای امنیت اطلاعات در هنگام ورود به سیستم با استفاده از حساب های رسانه های اجتماعی استفاده می شود. رمزنگاری، یک لایه امنیتی اضافی برای محافظت در برابر دستکاری های غیرمجاز و تایید هویت غیرمجاز اضافه می کند. در نسخه های آسیب-پذیر این پلاگین، کلید رمزنگاری کد سختی دارد. از این رو، پلاگین را در معرض آسیب پذیری قرار می دهد. نکته قابل توجه دیگر این است که این کلید رمزنگاری شده در نصب های مختلف وردپرس یکسان باقی می-ماند و باعث می شود پلاگین در دسترس مهاجمان قرار گیرد. مهاجم می تواند یک درخواست معتبر با یک آدرس ایمیل رمزنگاری شده مناسب، برای شناسایی کاربر ایجاد کند. 
رفع آسیب پذیری bypass تایید هویت، علاوه بر حفظ امنیت وب سایت های آسیب پذیر، برای حفظ اطلاعات کاربران آنها نیز ضروری است.

پلاگین Social Login and Register وردپرس (Discord, Google, Twiteer, Linkedin) در برابر تایید هویت در نسخه های 7.6.4 آسیب پذیر است. بروزرسانی پلاگین به نسخه  7.6.5 این آسیب پذیری را رفع می-کند.
 منابع خبر

[2] https://vuldb.com/?id.232541

با توجه به  دسترس بودن برنامه Swing VPN در دستگاه های Android و iOS ، محققان تنها نسخه اندروید را به عنوان یک بات نت DDoS شناسایی کرند. برنامه Swing VPN که در فروشگاه رسمی گوگل پلی با نام Swing VPN - Fast VPN Proxy موجود است، بیش از ۵ میلیون بار و بخصوص توسط کاربران ایرانی دانلود شده است. نرم‌افزار Swing VPN یک برنامه VPN قانونی است که توسط Limestone Software Solutions برای سیستم‌های اندروید و iOS توسعه‌یافته است. با‌این‌حال، به گفته محقق سایبری به نام لکرومی، نسخه اندروید این برنامه یک بات‌نت DDoS است و گفته می‌شود که دارای هدف مخربی است زیرا می‌تواند حملات Distributed Denial-of-Service (حملات DDoS) را انجام دهد.

همه چیز از زمانی شروع شد که دوست لکرومی به او اطلاع داد که الگوی درخواست‌های غیرمعمولی روی گوشی همراهش را مشاهده کرده است. گوشی به صورت مداوم درخواست‌ها را هر 10 ثانیه به یک وبسایت خاص ارسال می‌کرد. ادعا می‌شد که اپلیکیشن از تاکتیک‌های مختلفی برای پنهان کردن اقدامات خبیثانه‌اش استفاده کرده است تا حمله به‌صورتی که قابل تشخیص نباشد، انجام شود. ابتدا، لکرومی این مشکل را به علت وجود نرم‌افزار مخرب یا ویروس می‌پنداشت. با این حال، بررسی‌های بیشتر نشان داد که تمام درخواست‌ها از اپلیکیشن Swing VPN ارسال می‌شوند که دوست لکرومی آن را در گوشی خود نصب کرده بود. درخواست‌ها به همان وبسایتی ارسال می‌شدند که دوست لکرومی تاکنون به آن دسترسی یا بازدیدی نداشته بود، که این امر باعث شک و تردید پژوهشگر نسبت به این اپلیکیشن شد. برای بررسی‌های بیشتر، لکرومی مشاهده کرد که اپلیکیشن Swing VPN برخی از درخواست‌ها را به یک وبسایت ارسال می‌کند.
او مشخص کرد که اپلیکیشن بلافاصله پس از نصب، انتخاب زبان و پذیرش سیاست حفظ حریم خصوصی، آدرس IP واقعی را تشخیص می‌دهد. سپس یک درخواست با عنوان "What is my IP?" به بینگ و گوگل ارسال می‌کند. لکرومی همچنین فهمید که اصولاً برای یافتن فایل‌های پیکربندی جهت بارگذاری آدرس‌های IP را از پاسخ‌ها استخراج می‌کند.
بعد از شناسایی نوع پیکربندی مورد نیاز، اپلیکیشن درخواست‌هایی به دو فایل پیکربندی متفاوت که در حساب Google  Drive  شخصی توسعه دهنده ذخیره شده‌اند ارسال می‌کند. این فایل‌ها از سرورهای شخصی خاص، چند مخزن GitHub یا حساب‌های Google Drive درخواست می‌شوند. اپلیکیشن فرآیند مقدماتی خود را با اتصال به شبکه تبلیغاتی برای بارگذاری تبلیغات انجام می‌دهد و در نهایت پیش از رفتن به یک سایت داده‌ها را در حافظه محلی ذخیره می‌کند DDoS.
تا ژوئن ۲۰۲۳، این اپلیکیشن بیش از ۵ میلیون نصب بر روی اندروید داشته است و با تقسیم آن بر ده، پتانسیلی حدود ۵۰۰ هزار درخواست بر ثانیه (RPS) ایجاد می‌کند. این برای یک حمله DDoS به شدت قابل توجه است. لکرومی به گوگل انتقاد کرد که سیستم امنیتی ضعیفی دارد که به اپلیکیشن‌های مخرب امکان استفاده از دستگاه‌های کاربران بی‌گناه را می‌دهد.

مراجع

سه آسیب‌پذیری (CVE-2023-32434، CVE-2023-32435 و CVE-2023-32439) در اپل، دو نقص در VMware (CVE-2023-20867  و CVE-2023-2087)، و یک نقص در دستگاه‌هاZyxel با شناسه (CVE-2023-27992) وصله شده است.
آسیب‌پذیری‌های CVE-2023-32434 و CVE-2023-32435، محصولات اپل مانند iOS، iPadOS، macOS و watchOS را تحت تأثیر قرار می‌دهند و ممکن است باعث اجرای کد دلخواه شوند. اپل به روزرسانی‌هایی را برای رفع این آسیب‌پذیری‌ها منتشر کرده‌است و تأیید کرده‌است که ممکن است به صورت فعال مورد سوء‌استفاده قرار گرفته‌باشد. گفته می‌شود این دو آسیب‌پذیری به عنوان آسیب‌پذیری‌های روز صفر مورد سواستفاده قرار گرفته‌اند تا نرم‌افزار جاسوسی را به عنوان بخشی از یک کمپین جاسوسی سایبری چند ساله که از ۲۰۱۹ آغاز شده‌است، گسترش دهند. این فعالیت به نام عملیات مثلث نام‌گذاری شده‌است، فعالیتی که در نهایت منجر به استقرار TriangleDB می‌شود که برای برداشت اطلاعات گسترده‌ای از دستگاه‌های آسیب‌پذیر طراحی شده‌است، مانند ایجاد، تغییر، حذف و دزدیدن فایل ها، فهرست کردن و خاتمه دادن به فرآیندها، جمع آوری اعتبارنامه‌ها از iCloud Keychain و ردیابی مکان کاربر.
زنجیره حمله با دریافت یک پیام iMessage با یک پیوست حاوی یک اکسپلویت توسط قربانی به صورت هدفمند شروع می‌شود که به طور خودکار بدون نیاز به هیچ گونه تعاملی، اجرای کد را آغاز می‌کند و آن را به یک سوء‌استفاده zero-click تبدیل می کند. کسپرسکی در گزارش اولیه خود ذکر کرده‌است: "پیام مخرب دارای شکل نادرستی است و هیچ هشدار یا اعلانی را برای کاربر ایجاد نمی کند."
توصیه می‌شود وصله‌های ارائه‌شده توسط فروشندگان را برای ایمن کردن شبکه‌های خود در برابر تهدیدات احتمالی اعمال کنند. این توسعه در حالی رخ می دهد که CISA یک هشدار صادر کرده است که از سه باگ در مجموعه نرم افزار BIND9 DNS هشدار می دهد که ممکن است راه را برای یک شرایط منع خدمات (DoS) هدایت کند.
از معایب سه آسیب‌پذیری CVE-2023-2828 ، CVE-2023-2829 و CVE-2023-2911 می توان گفت که از راه دور می‌توانند مورد سوء‌استفاده قرار گیرند ، که منجر به پایان ناگهانی سرویس BIND9 یا اشغال تمام حافظه کامپیوتر میزبان می‌شود که منجر‌به حمله DOS می‌شود.
 
منابع

https://www.helpnetsecurity.com/2023/06/22/spyware-cve-2023-32435/

تروجان بانکی Anatsa که با نام‌های TeaBot و Toddler نیز شناخته می‌شود برای اولین بار در اوایل سال 2021 میلادی شناسایی شد. این بدافزار یکی از پرکاربرد‌ترین بدافزارهای بانکی به شمار می‌رود که قابلیت مدیریت از راه دور دارد و تاکنون بیش از 400 موسسه مالی در سراسر جهان را هدف قرار داده است. این بدافزار قادر به جمع‌آوری اطلاعات حساسی مانند اطلاعات ورود، اطلاعات کارت‌های بانکی، جزئیات تراکنش‌های بانکی کاربران است. مهاجمان از این اطلاعات برای کلاهبرداری بانکی استفاده می‌کنند. همچنین این بدافزار قابلیت در دست گرفتن کنترل دستگاه کاربر و انجام تراکنش‌های بانکی به جای کاربر را دارد. Anatsa پس از گذراندن فرآیند بررسی برنامه‌ها در Google Play، آنها را آلوده می‌کند و به این ترتیب توزیع می‌شود. این بدافزار در قالب برنامه‌های قانونی مانند PDFخوان‌ها و برنامه‌های office در Google Play مشاهده شده است. 
پس از وقفه‌ای شش‌ماهه در توزیع بدافزار-ماه مارس 2023- عوامل تهدید، کمپین بدافزاری جدیدی را برای هدف قرار دادن مشتریان بانکی در ایالات متحده آمریکا، بریتانیا، آلمان، اتریش و سوئیس راه‌اندازی کردند. این بار هدف مهاجمان، سرقت اطلاعات موردنیاز برای نفوذ در برنامه‌های بانکداری تلفن همراه و انجام تراکنش‌های جعلی است. برنامه‌های آلوده به این بدافزار تا به امروز بیش از 30000 مرتبه نصب شده‌اند. این امر نشان می‌دهد Google Play به عامل مؤثری برای توزیع این بدافزار تبدیل شده است. تحلیلگران امنیتی بر این باورند که انتشار برنامه‌های آلوده به این بدافزار بسیار سریع است و حتی در صورت حذف آنها، برنامه‌های آلوده جدید به سرعت جایگزین خواهند شد.
 
مرجع:

https://www.threatfabric.com/blogs/anatsa-hits-uk-and-dach-with-new-campaign

یک بات نت جدید DDoS-as-a-Service به نام Condi، آسیب پذیری در روترهای Wi-Fi TP-Link Archer AX21(AX1800) را با ایجاد ربات هایی برای انجام حملات، اکسپلویت کرده است. AX1800، یک روتر6 Wi-Fi دو بانده، مبتنی بر لینوکس با پهنای باند  1.8 گیگابایت در ثانیه است که معمولا توسط کاربران خانگی، دفاتر کوچک، مغازه ها، کافه ها و غیره استفاده می شود. 
این آسیب پذیری با شناسه CVE-2023-1389 ارزیابی شده است. نسخه های اخیر کد منبع بات نت، جهت هدف قرار دادن روترهای TP-Link Archer AX21 از این آسیب پذیری استفاده می کنند. این آسیب پذیری به مهاجم اجازه می دهد، دستوراتی را که به صورت root اجرا می شوند، با یک درخواست POST تزریق کند و امکان اجرای از راه دور را از طریق API رابط مدیریت روتر ایجاد می کند. در حملات انجام شده، مهاجمان برای دسترسی به سازمان های قربانی، این آسیب پذیری را اکسپلویت کردند و پس از بدست آوردن دسترسی لازم، از طریق بدافزارهای جدید و شناخته شده در سازمان های قربانی مستقر شدند. 
نمونه های دیگری از Condi، چندین آسیبپذیری امنیتی را اکسپلویت کرده اند که نشان می دهد نرم افزار اصلاح نشده، مورد هدف بدافزار بات نت قرار می گیرد. Condi، ممکن است از دستگاههای جدیدی برای ایجاد یک بات نت قدرتمند DDoS، برای انجام حملات TCP و UDP به وب سایت ها و سرویس ها استفاده کند.
این آسیب پذیری  در نسخه های میان افزارTP-Link Archer AX21 قبل از1.1.4 Build 20230219 وجود دارد. 
بروزرسانی سیستم عامل نسخه 1.1.4 Build 20230219 آسیب پذیری را رفع کرده است. به مدیران توصیه می شود از رمزهای عبوری پیچیده استفاده کنند و آنها را بصورت دوره ای تغییر دهند تا از سرور لینوکس در برابر حملات brute force محافظت کنند و برای جلوگیری از حملات آسیب پذیری، همواره سیستم های خود را به آخرین وصله بروزرسانی نمایند.

منابع خبر

نرم‌افزار Cisco Secure Client، که قبلا با نام Cisco AnyConnect Secure Mobility Client شناخته می‌شد، به کسب و کارها کمک می‌کند تا قابلیت‌های دسترسی به شبکه خود را گسترش دهند و به کارمندان از راه دور اجازه دهند از طریق اتصالات سیمی و بی سیم از جمله VPN به شبکه سازمان متصل شوند و قابلیت‌های نظارتی را فراهم کنند. در اوایل ژوئن ، سیسکو یک هشدار امنیتی در مورد CVE-2023-20178 ، یک آسیب‌پذیری در فرآیند به روزرسانی کلاینت هر دو نرم افزار Cisco AnyConnect Secure Mobility Client و Cisco Secure Client برای ویندوز منتشر کرد.
سیسکو هشدار داد :” این آسیب‌پذیری به این دلیل وجود دارد که مجوزهای نادرست به دایرکتوری موقتی که در طول فرآیند به‌روزرسانی ایجاد می‌شود، اختصاص داده می شود. یک مهاجم می‌تواند با سوء‌استفاده از یک عملکرد خاص از فرآیند نصب ویندوز از این آسیب پذیری سوء‌استفاده کند. یک حمله موفق می‌تواند به مهاجم اجازه دهد تا کد را با امتیازات سیستم اجرا کند.” از آنجا که هیچ راه‌حلی برای این آسیب‌پذیری وجود ندارد ، به کاربران توصیه شده است که نرم‌افزار را در اسرع وقت به روزرسانی کنند.
این نقص تأثیری بر Cisco AnyConnect Secure Mobility Client و Cisco Secure Client برای لینوکس و مک و Cisco Secure Client-AnyConnect برای اندروید و iOS ندارد.

 PoC بر روی Cisco Secure Client 5.0.01242 و Cisco AnyConnect 4.10.06079 آزمایش شده است.  هنگامی که یک کاربر به vpn متصل می شود، فرآیند vpndownloader.exe در پس زمینه شروع می شود و یک دایرکتوری در c:\ windows \ temp با مجوزهای پیش فرض در قالب .tmp ایجاد می کند. پس از ایجاد این دایرکتوری vpndownloader.exe  بررسی می کند که آیا این دایرکتوری خالی است یا نه و اگر نباشد، تمام فایل ها و دایرکتوری های موجود در آن را حذف می‌کند. از این رفتار می توان برای انجام حذف فایل دلخواه به عنوان حساب NT Authority \ SYSTEM  سوء‌استفاده کرد.
در حالت کلی ، این یک مسئله حذف پوشه دلخواه است که می‌تواند در طول فرآیند به‌روزرسانی نرم‌افزار، هنگامی که یک پوشه موقت برای ذخیره نسخه‌های فایل‌هایی که در‌حال تغییر هستند ، ایجاد می‌شود فعال شود، تا در صورت عدم تکمیل فرآیند نصب، امکان بازگشت مجدد وجود داشته باشد.
یک مهاجم که از این پوشه موقت آگاهی دارد، می‌تواند یک اکسپلویت حاوی یک فایل اجرایی را که برای شروع فرآیند به‌روزرسانی طراحی شده است، اجرا کند، اما در اواسط راه، بازگشت به عقب را آغاز کند. در همان زمان، اکسپلویت به طور مداوم سعی می‌کند محتوای پوشه موقت را با فایل‌های مخرب جایگزین کند. هنگامی که فرآیند به‌روزرسانی متوقف می‌شود ، ویندوز سعی می‌کند فایل‌های موجود در پوشه موقت را به محل اصلی خود بازگرداند ، اما به جای آن محتوای مخرب مهاجم را مصرف می کند.
 
منابع