یک آسیب‌پذیری با شناسه‌ CVE-2023-6790 و شدت بالا 8.8 در Palo Alto کشف شده است که امکان حمله XSS مبتنی بر DOM را برای مهاجم از راه دور فراهم می‌آورد. در این آسیب‌پذیری مهاجم هنگام مشاهده یک پیوند ساختگی خاص در رابط وب PAN-OS، پی‌لود (payload) جاوا اسکریپت را در زمینه مرورگر مدیر اجرا می‌کند..

محصولات تحت تأثیر
این آسیب‌پذیری نرم‌افزار Palo Alto Networks PAN-OS نسخه‌های PAN-OS 11.0  تا قبل از 11.0.1، PAN-OS 10.2  تا قبل از 10.2.4، PAN-OS 10.1 تا قبل از 10.1.9، PAN-OS 10.0  تا قبل از 10.0.12، PAN-OS 9.1 تا قبل از 9.1.16، PAN-OS 9.0 تا قبل از 9.0.17  و PAN-OS 8.1 تا قبل از 8.1.25 را تحت تأثیر قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء نرم‌افزار Palo Alto Networks PAN-OS به  به نسخه‌های PAN-OS 8.1.25، PAN-OS 9.0.17، PAN-OS 9.1.16، PAN-OS 10.0.12، PAN-OS 10.1.9، PAN-OS 10.2.4، PAN-OS، PAN-OS 11.0.1 و تمام نسخه‌های بعدی PAN-OS اقدام نمایند.

منبع خبر:

https://security.paloaltonetworks.com/CVE-2023-6790

یک آسیب‌پذیری با شناسه‌ CVE-2023-5379 و شدت بالا 7.5 در Undertow کشف شد که هنگام ارسال یک درخواست AJP، بدون دریافت پاسخ آن، اتصال TCP را ببندد. این امر به ‌این‌ دلیل اتفاق می‌افتد که mod_proxy_cluster نمونه JBoss EAP را هنگامی که اتصال TCP از سمت backend پس از ارسال درخواست AJP بدون دریافت پاسخ AJP بسته می‌شود، به‌عنوان error worker علامت‌گذاری می‌کند و ارسال را متوقف می‌کند. این آسیب‌پذیری می‌تواند به مهاجم اجازه دهد تا درخواست‌هایی را که از max-header-size فراتر می‌رود، به طور مکرر ارسال کند و منجر به حمله انکار سرویس (DoS) می‌شود.
Red Hat JBoss Enterprise Application Platform نسخه 7 یک پلتفرم برای برنامه‌های جاوا بر اساس زمان اجرا برنامه WildFly است.

محصولات تحت تأثیر
این آسیب‌پذیری JBoss Enterprise Application Platform نسخه 7.4.11 را تحت تأثیر قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء JBoss Enterprise Application Platform  به نسخه 7.4.12 اقدام نمایند.

منبع خبر:

[1] https://access.redhat.com/errata/RHSA-2023:4509

چندین آسیب‌پذیری در Fortinet کشف شد که عبارتند از:
•    آسیب‌پذیری با شناسه‌ CVE-2022-27488 و شدت بالا 8.3 در Fortinet FortiVoiceEnterprise، FortiSwitch، FortiMail، FortiRecorder و FortiNDR که امکان  CSRF و اجرای دستورات در CLI از طریق فریب یک مدیر احراز هویت شده جهت اجرای درخواست‌های مخرب GET، را برای مهاجم احراز هویت نشده از راه دور فراهم می‌آورد. 
•    آسیب‌پذیری با شناسه‌ CVE-2023-36639 و شدت بالا 7.2 در Fortinet FortiProxy، FortiOS و FortiPAM که امکان اجرای کد یا دستورات غیرمجاز از طریق درخواست‌های API ساخته‌شده خاص به‌دلیل استفاده از externally-controlled format string، را برای مهاجم احراز هویت شده فراهم می‌آورد. 
•    آسیب‌پذیری با شناسه‌ CVE-2023-41673 و شدت بالا 7.1 در Fortinet FortiADC به‌دلیل بررسی نامناسب مجوزها، امکان خواندن پیکربندی کامل سیستم یا تهیه نسخه پشتیبان از آن را از طریق درخواست‌های HTTP یا HTTPS، برای مهاجم با سطح دسترسی پایین فراهم می‌آورد.
•    آسیب‌پذیری با شناسه‌ CVE-2023-41678 و شدت بالا 8.8 در Fortinet FortiOS و FortiPAM که امکان double free در مدیریت cache و اجرای کد یا دستورات غیرمجاز از طریق درخواست ساخته شده خاص را برای مهاجم فراهم می‌آورد. 
•    آسیب‌پذیری با شناسه‌ CVE-2023-48782 و شدت بالا 8.8 در Fortinet FortiWLM به‌دلیل خنثی‌سازی اشتباه (improper neutralization) عناصر ویژه امکان تزریق فرمان سیستم‌عامل و اجرای کد یا دستورات غیرمجاز از طریق پارامترهای درخواست http get دستکاری شده خاص را برای مهاجم احراز هویت شده از راه دور با سطح دسترسی پایین فراهم می‌آورد.
 •    آسیب‌پذیری با شناسه‌ CVE-2023-48791 و شدت بالا 8.8 درFortiPortal  امکان تزریق فرمان سیستم‌عامل و اجرای دستورات غیرمجاز از طریق آرگومان‌های ساختگی خاص در فیلد صفحه زمانبندی سیستم پشتیبان‌گیری (Schedule System Backup page field) را برای مهاجم احرازهویت شده از راه دور با سطح دسترسی R/W فراهم می‌آورد. 
•    آسیب‌پذیری با شناسه‌ CVE-2023-44252 و شدت بالا 8.8 در FortiWAN به‌دلیل احراز هویت نامناسب، امکان دور زدن احراز هویت و ارتقاء سطح دسترسی از طریق درخواست‌های HTTP یا HTTPs  با مقادیر توکن JWT ساختگی را برای مهاجم احراز هویت شده فراهم می‌آورد. 
•    آسیب‌پذیری با شناسه‌ CVE-2023-44251 و شدت بالا 8.3 درFortiWAN  امکان پیمایش مسیر و خواندن یا حذف فایل‌ دلخواه در سیستم از طریق درخواست‌های HTTP یا HTTPs ساختگی را برای مهاجم احراز هویت شده فراهم می‌آورد. 

محصولات تحت تأثیر
این آسیب‌پذیری محصولات Fortinet شامل FortiVoiceEnterprise  نسخه 6.4.x و 6.0.x، FortiSwitch  نسخه‌های 7.0.0  تا 7.0.4، 6.4.0  تا 6.4.10، 6.2.0  تا 6.2.7  و 6.0.x، FortiMail  نسخه‌های 7.0.0  تا 7.0.3، 6.4.0  تا 6.4.6، 6.2.x  و 6.0.x، FortiRecorder  نسخه‌های 6.4.0  تا 6.4.2 ، 6.0.x، 2.7.x و 2.6.x، FortiNDR  نسخه 1.x.x، FortiProxy  نسخه‌های 7.2.0  تا 7.2.4 و 7.0.0  تا 7.0.10، FortiOS  نسخه‌های 7.4.0، 7.2.0  تا 7.2.4، 7.0.0 تا 7.0.11، 6.4.0  تا 6.4.12، 6.2.0 تا 6.2.15 و 6.0.0 تا 6.0.17، FortiPAM نسخه‌های 1.0.0 تا 1.0.3 و 1.1.0 تا1.1.1 ، FortiADC نسخه 7.4.0 و نسخه قبل از 7.2.2، FortiWLM  نسخه 8.6.0  تا 8.6.5، FortiPortal  نسخه‌های 7.2.0، 7.0.6  و قبل‌تر وFortiWAN  نسخه 5.2.0 تا 5.2.1 و نسخه 5.1.1 تا 5.1.2 را تحت تأثیر قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء محصولات آسیب‌پذیر Fortinet به نسخه‌های وصله ‌شده اقدام نمایند.

منابع خبر:

[1] https://fortiguard.com/psirt/FG-IR-22-038
[2] https://fortiguard.com/psirt/FG-IR-23-138
[3] https://fortiguard.com/psirt/FG-IR-23-270
[4] https://fortiguard.com/psirt/FG-IR-23-196
[5] https://fortiguard.com/psirt/FG-IR-23-450
[6] https://fortiguard.com/psirt/FG-IR-23-425
[7] https://fortiguard.com/psirt/FG-IR-23-061
[8] https://fortiguard.com/psirt/FG-IR-23-265

شرکت اپل با انتشار به‌روزرسانی امنیتی برای سیستم‌عامل‌های ios، ipadOS، tvOS و watchOS و مرورگر سافاری نقص‌های امنیتی موجود را رفع کرد. این به‌روزرسانی شامل وصله 12 نقص امنیتی در نرم‌افزار‌های مربوط به ios و iPadOS بود که ExtensionKit، Find My، ImageIO، Kernel، Safari Private Browsing و webkit را شامل می‌شود. نقص امنیتی قابل توجه مربوط به شناسه “CVE-2023-45866” می‌باشد که منجر به نوعی اختلال در شبکه بلوتوث می‌شود (در سیستم‌عامل‌های ios 17.2، iPados 17.2 و macOS Sonoma 14.2) و به مهاجم اجازه می‌داد تا از طریق روش خاصی با overlay کردن یک کیبورد جعلی، نوشته‌های کاربر را دریافت کند.

توصیه‌های امنیتی
نقص‌های امنیتی با شناسه “CVE-2023-42890” و“CVE-2023-42883” در نسخه 17.2 مرورگر سافاری رفع شده است که از حمله DoS جلوگیری می‌کند. در حال حاضر این نسخه از مرورگر برای سیستم‌عامل‌های macOS Monterey و macOS Ventura موجود است. همچنین شرکت اپل با انتشار به‌روزرسانی‌های iPadOS 16.7.3 و ios 16.7.3 برای دستگاه‌های قدیمی‌تر دو نقص امنیتی با شناسه‌های “CVE-2023-42916” و “CVE-2023-42917” که مربوط به WebKit بود را برطرف ساخت.

منبع خبر:

 
https://thehackernews.com/2023/12/apple-releases-security-updates-to.html

یک آسیب‌پذیری بحرانی در کتابخانه php-svg-lib که کتابخانه‌ای برای تجزیه فایل svg‌ است، با شناسه CVE-2023-50252 و شدت 9.8 شناسایی شده‌است. کتابخانه php-svg-lib هنگام مدیریت تگ <use> که به تگ <image> ارجاع می‌دهد، ویژگی‌ها را از تگ <use> به تگ <image> ادغام می‌کند. آسیب‌پذیری مذکور به خصوص زمانی که ویژگی href از تگ <use> پاک‌سازی نشده باشد ظاهر می‌شود.
این مسئله می‌تواند منجر به خوانش‌ ناامن فایل و درنتیجه بروز آسیب‌پذیری PHAR Deserialization در نسخه‌های قبل از نسخه هشتم php شود.
هنگام تجزیه تگ <use>، سعی می‌شود شیء ارجاع شده توسط ویژگی (attribute) href پیدا شود. اگر پیدا شد، آن را در ویژگی referenced$ ذخیره می‌کند. هنگامی که UseTag::handle فراخوانی می‌شود، ویژگی‌های تگ <use> با ویژگی های تگ ارجاع شده ادغام می شوند.
مشکل زمانی پیش می‌آید که شیء ارجاع‌ داده‌شده، یک تگ <image> باشد. در این صورت هرگونه اعتبارسنجی قبل از تگ <image> دور زده می‌شود.
برای نمایش یک تصویر با تگ <image> از اشاره‌گر (ویژگی href) موجود در تگ <use> استفاده می‌شود و اگر به یک فایل PHAR اشاره داشته ‌باشد، منجر به پردازش آن فایل به جای مرجع اصلی می‌شود که این همان آسیب‌پذیری PHAR  Deserialization است.
مطابق شکل زیر،‌ ویژگی href در تگ <use> به یک فایل PHAR اشاره دارد و کتابخانه php-svg-lib به‌وسیله تابع file_get_contents این فایل را پردازش می‌کند.

محصولات آسیب‌پذیر
نسخه‌های ماقبل نسخه 0.5.1 این کتابخانه، آسیب پذیر هستند و عملیات phar desrialization ذکر شده، در نسخه‌های پیش از نسخه هشتم php رخ می‌دهد.
این نقص همچنین می‌تواند بسته به کلاس‌های موجود در سیستم، نتایجی مانند حذف فایل به نحوی که باعث انکار سرویس شود و حتی اجرای کد از راه دور را نیز به دنبال داشته‌باشد.

توصیه‌های امنیتی
برای جلوگیری از خطرات احتمالی ناشی از آسیب‌پذیری مذکور، توصیه می‌شود در سیستم‌هایی که از php-svg-lib  استفاده می‌کنند، اعتبارسنجی ورودی را با استفاده از منطقی شبیه به کد زیر پیاده‌سازی کنند:

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-50252
[2] https://github.com/dompdf/php-svg-lib/security/advisories/GHSA-jq98-9543-m4cr

یک آسیب‌پذیری شدید out-of-bounds read در کرنل لینوکس کشف شده‌است. این آسیب‌پذیری با شناسه CVE-2023-6606 و شدت CVSS 7.1 تابع smbCalcSize از فایل fs/smb/client/netmisc.c در کرنل لینوکس را تحت تأثیر خود قرار می‌دهد و امکان خواندن داده‌های ثبت‌شده قبل از شروع یا بعد از پایان بافر موردنظر را فراهم کرده و به یک مهاجم محلی این امکان را می‌دهد تا کل سیستم را تخریب یا به اطلاعات داخلی کرنل دسترسی پیدا کند. این امر محرمانگی، یکپارچگی و دسترسی‌پذیری را به خطر می‌اندازد.

محصولات تحت تأثیر

•     Red Hat Enterprise linux 8
•     Red Hat Enterprise linux 9

Red Hat Enterprise linux، توزیعی از لینوکس است که توسط شرکت Red Hat‌ توسعه داده‌شده و در نسخه‌های سرور برای پردازنده‌های x86-64، IBM Z، Power ISA، ARM64 منتشر شده‌است.
توزیع‌های Fedora و CentOs از لینوکس به عنوان منابع بالادستی توزیع Red Hat به حساب می‌آيند.

توصیه‌های امنیتی 
به علت عدم انتشار نسخه جدید از  Red Hat Enterprise linux، امکان اعمال به‌روز رسانی وجود ندارد و تا اطلاع ثانوی تمام نسخه‌ها نسبت به این نقص امنیتی آسیب‌پذیر هستند.
 
منابع خبر:

[1] https://github.com/advisories/GHSA-4m6w-vxqg-9rmm&nbsp;
[2] https://bugzilla.redhat.com/show_bug.cgi?id=2253611&nbsp;
[3] https://access.redhat.com/security/cve/CVE-2023-6606

در به‌روزرسانی امنیتی منتشر شده در تاریخ 12 دسامبر 2023، شرکت مایکروسافت 33 آسیب‌پذیری را برطرف کرده است. از بین این 33 آسیب‌پذیری، 4 مورد دارای شدت بحرانی و 29 مورد دارای شدت بالا طبقه‌بندی شده‌اند. طبق گزارش مایکروسافت، در به‌روزرسانی این ماه هیچ آسیب‌پذیری روز صفری وجود ندارد. البته در این ماه یک آسیب‌پذیری روز صفرم در AMD با شناسه CVE-2023-20588 وصله شده است که در برخی منابع این وصله را در لیست اصلاحیه امنیتی مایکروسافت قید کرده‌اند اما خود AMD به صورت جداگانه اطلاعات آن را منتشر کرده است. 
 
این 33 نقص شامل آسیب‌پذیری‌های زیر می‌باشد:
- 10 مورد Elevation of Privilege
- 8 مورد Remote Code Execution
- 5 مورد Information Disclosure
- 5 مورد Denial of Service
- 5 مورد Spoofing

توصیه‌های امنیتی
شرکت مایکروسافت به کاربران خود توصیه کرده است که به‌روزرسانی محصولات تحت تأثیر را در اسرع وقت انجام دهند. این محصولات عبارتند از:

•    Azure Connected Machine Agent
•    Azure Machine Learning
•    Microsoft Bluetooth Driver
•    Microsoft Dynamics
•    Microsoft Office Outlook
•    Microsoft Office Word
•    Microsoft Power Platform Connector
•    Microsoft WDAC OLE DB provider for SQL
•    Microsoft Windows DNS
•    Windows Cloud Files Mini Filter Driver
•    Windows Defender
•    Windows DHCP Server
•    Windows DPAPI (Data Protection Application Programming Interface)
•    Windows Internet Connection Sharing (ICS)
•    Windows Kernel
•    Windows Kernel-Mode Drivers
•    Windows Local Security Authority Subsystem Service (LSASS)
•    Windows Media
•    Windows MSHTML Platform
•    Windows ODBC Driver
•    Windows Telephony Server
•    Windows USB Mass Storage Class Driver
•    Windows Win32K
•    XAML Diagnostics

منابع خبر:

[1] https://msrc.microsoft.com/update-guide/en-us
[2]https://www.tenable.com/blog/microsofts-december-2023-patch-tuesday-addresses-33-cves-cve-2023-36019
[3]https://www.bleepingcomputer.com/news/microsoft/microsoft-december-2023-patch-tuesday-fixes-34-flaw…

یک آسیب‌پذیری با شناسه‌ CVE-2023-41117 و شدت بالا 8.8 شناساییی شده است که امکان سرقت توابع و رویه‌های SECURITY DEFINER از طریق حملات search_path را برای مهاجم فراهم می‌آورد. این سرقت اطلاعات شامل بسته‌ها، بسته‌های مستقل (standalone packages) و توابعی است که SECURITY DEFINER را اجرا می‌کنند. این آسیب‌پذیری امکان دور زدن مجوز (UTL_FILE) و دسترسی به توابع پیاده‌سازی اساسی را برای مهاجم فراهم می‌آورد. هنگامی که یک superuser (ابرکاربر) مکان‌های فایل را با استفاده از CREATE DIRECTORY پیکربندی می‌کند، این توابع به کاربران اجازه می‌دهد تا طیف گسترده‌ای از اقدامات از جمله خواندن، نوشتن، کپی، تغییر نام و حذف را انجام دهند.
نقص امنیتی مذکور امکان اجرای کوئری‌های دلخواه SQL به‌عنوان یک superuser از طریق تابع کمکی dbms_aq را برای مهاجم فراهم می‌آورد. این امر شامل تابع _dbms_aq_move_to_exception_queue  است که جهت ارتقاء سطح دسترسی کاربر به superuser  استفاده می‌شود. این تابع OID یک جدول را می‌پذیرد و سپس با استفاده از دستورات SELECT  وDML  به آن جدول به‌عنوان superuser دسترسی پیدا می‌کند.

محصولات تحت تأثیر
این آسیب‌پذیری محصول EnterpriseDB Postgres Advanced Server (EPAS) نسخه‌های قبل از 11.21.32، 12.x قبل از 12.16.20، 13.x قبل از 13.12.16، 14.x قبل از 14.9.0 و 15.x قبل از 15.4.0را تحت تأثیر قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء EnterpriseDB Postgres Advanced Server (EPAS) به نسخه‌های وصله ‌شده اقدام نمایند. سپس کلاسترهای نمونه پایگاه‌داده (database instance clusters) موجود با استفاده از edb_sqlpatch وصله شود.
•    تمامی نسخه‌های قبل از 11.21.32 حداقل به نسخه 11.21.32 ارتقاء داده شوند و clusterهای موجود وصله شوند.
•    تمامی نسخه‌های قبل از 12.16.20 حداقل به نسخه 12.16.20 ارتقاء داده شوند و clusterهای موجود وصله شوند.
•    تمامی نسخه‌های قبل از 13.12.17 حداقل به نسخه 13.12.17 ارتقاء داده شوند و clusterهای موجود وصله شوند.
•    تمامی نسخه‌های قبل از 14.9.0 حداقل به نسخه 14.9.0 ارتقاء داده شوند و clusterهای موجود وصله شوند.
•    تمامی نسخه‌های قبل از 15.4.0 حداقل به نسخه 15.4.0 ارتقاء داده شوند و clusterهای موجود وصله شوند.

منابع خبر:

[1] https://www.enterprisedb.com/docs/security/advisories/cve202341117
[2] https://www.enterprisedb.com/docs/security/advisories/cve202341118
[3] https://www.enterprisedb.com/docs/security/advisories/cve202341119

مایکروسافت اعلام کرده است که از تاریخ ۲۹ فوریه ۲۰۲۴ (۱۰ اسفند ۱۴۰۲)، پشتیبانی از برخی از محصولات و خدمات خود را متوقف می‌کند. این محصولات و خدمات شامل نسخه‌های مختلفی از ویندوز، آژور، ویژوال استودیو و ... هستند. بعد از این تاریخ، هیچ به‌روزرسانی امنیتی یا غیر امنیتی، گزینه پشتیبانی رایگان یا پرداختی یا به‌روزرسانی محتوا برای این محصولات و خدمات وجود نخواهد داشت.

مایکروسافت در این‌خصوص توصیه می‌کند که کاربران، این محصولات و خدمات خود را به نسخه‌های جدیدتر و پشتیبانی شده ارتقاء دهند. این کار به افزایش امنیت، کارایی و قابلیت اطمینان محصولات، خدمات و سیستم‌های کاربران کمک می‌کند. همچنین، مایکروسافت اطلاعات و راهنمایی‌های لازم برای ارتقاء محصولات را در وب‌سایت خود منتشر کرده است.

در لیست منتشر شده توسط مایکروسافت معروف به EoS (End of Support) برخی از محصولات و خدمات مهمی که در سال ۲۰۲۴ پشتیبانی آن‌ها پایان می‌یابد عبارتند از:

برای مشاهده لیست کامل محصولات و خدماتی که در سال ۲۰۲۴ پشتیبانی آن‌ها پایان می‌یابد، می‌توانید به لینک قرار داده شده در منبع، مراجعه کنید.
 

منبع خبر:
 

https://learn.microsoft.com/en-us/lifecycle/end-of-support/end-of-support-2024

بدافزار AsyncRAT از طریق فایل‌های اسکریپت WSF توزیع شده است. یک تیم تجزیه و تحلیل امنیتی پیش‌تر درباره توزیع AsyncRAT از طریق فایل‌ها با پسوند .chm اطلاعاتی را ارائه داده بود. اخیراً مشخص شده است که نسخه‌ای از بدافزار AsyncRAT اکنون به صورت فایل اسکریپت WSF منتشر شده است. فایل WSF  از طریق  URLهای موجود در ایمیل‌ها به صورت یک فایل فشرده با پسوند .zip توزیع شده است. پس از خارج کردن اولین فایل از حالت Zip، یک فایل با پسوند .wsf بدست می‌آید.  این فایل در اکثر قسمت‌ها شامل توضیحات است که در شکل زیر نشان داده شده است و تنها یک تگ <script> در وسط قرار گرفته است. در ادامه نمونه‌ای از آدرس‌های دانلود این بدافزار آمده است:

1.    https://*****************.com.br/Pay5baea1WP7.zip
2.    https://************.za.com/Order_ed333c91f0fd.zip
3.    https://*************.com/PAY37846wp.zip
4.    https://*****.****.co/eBills37890913.zip

لینک دانلود در اسکریپت  WSF

وقتی این اسکریپت اجرا می‌شود، یک اسکریپت Visual Basic مطابق شکل زیر از سرور کنتر  و فرمان (C2) دانلود و اجرا می‌شود. این اسکریپت یک فایل با پسوند .jpg (یک فایل Zip در قالب jpg) را از همان آدرس C2  دانلود می‌کند.  در داخل فایل، یک رشته دستوری برای اجرای محتوای فایل به نام Error.vbs وجود دارد. این رشته دستوری سپس به یک فایل XML (C:\Users\Public\temp.xml) تبدیل می‌شود. در نهایت، این اسکریپت از PowerShell  برای اجرای فایل XML استفاده می‌کند.
 

اسکریپت دانلود شده  (c.txt)

فایل فشرده‌ای که دانلود شده است شامل بسیاری از اسکریپت‌های دیگر به غیر از فایل Error.vbs است.

اسکریپت‌های دیگر به غیر از فایل Error.vbs 

درنهایت فایل‌های باقی‌مانده (bat، (ps1 به ترتیب اجرا می‌شوند. نقش و جریان اجرای هر فایل به شرح زیر است:
•    Error.vbs:
o    بررسی مجوزهای مدیریتی (Administrator) و اجرای فایل  Error.bat
•    Error.bat:
o    دور زدن کنترل حساب کاربری (UAC) و اجرای فایل  Error.ps1
•    Error.ps1:
o    ایجاد فایل میانبر با نام  C:\Users\Public\Chrome.lnk
o    ثبت و اجرا خودکار
o    اجرای فایل میانبر
•    pwng.bat:
o    دور زدن کنترل حساب کاربری (UAC) و اجرای فایل pwng.ps1
•    pwng.ps1:
o    حمله، بدون بدون نیاز به ذخیره فایل (Fileless Attack) 
 

نمودار جریان حمله

در مرحله نهایی، فایل pwng.ps1 اجرا می‌شود، رشته‌های متنی موجود در آن را به یک باینری با فرمت .Net تبدیل می‌کند. سپس این باینری را بارگیری و اجرا می‌کند. برای این کار، از یک فرآیند معتبر به نام aspnet_compiler.exe استفاده می‌شود.
 

اسکریپت PowerShell که یک حمله بدون فایل را راه اندازی می‌کند  (pwng.ps1)

در نهایت که بدافزار اجرا می‌شود به عنوان AsyncRAT شناخته خواهد شد که دارای قابلیت انسداد اطلاعات و Back door است. رفتارهای کلیدی آن به شرح زیر است:
1.    حفظ پایداری
•    استفاده از schtasks جهت افزودن یک کار زمان‌بندی شده
•    افزودن یک کلید به رجیستر
•    ایجاد یک فایل bat که خود را اجرا و یا خاتمه می‌دهد.
 

کد جهت حفظ پایداری

2.    جمع‌آوری اطلاعات
•    اطلاعات کامپیوتر: نسخه سیستم‌عامل، کاربران، لیست محصولات ضد بدافزار و غیره.
•    اطلاعات کاربر در مرورگرهای Chrome، Brave-Browser، Edge
•    اطلاعات کیف پول رمزارز
 

کد جمع‌آوری اطلاعات سیستم 

این اطلاعات به صورت یک رشته رمزگذاری شده در داخل فایل قرار دارد و به سرور C2 ارسال می‌شود. مهاجم 
با استفاده از اطلاعات بدست آمده، تلاش‌های اتصال متعددی انجام می‌دهد. این اطلاعات به خوبی نشان می‌دهند که یک تهدید جدید به نام AsyncRAT در حال منتشر شدن است. این تهدید از روش‌های پیچیده‌ای برای انتشار استفاده می‌کند و بدون نیاز به استفاده از فایل‌های اجرایی (EXE) عمل می‌کند. این تهدید اقدامات کلیدی زیر را انجام می‌دهد:

شاخص‌های حمله:

• تشخیص فایل:

•    Downloader/Script.Agent (2023.11.29.02)
•    Trojan/VBS.RUNNER.SC194987 (2023.11.30.04)
•    Trojan/BAT.RUNNER.SC194988 (2023.11.30.04)
•    Trojan/BAT.RUNNER.SC194985 (2023.11.30.04)
•    Trojan/PowerShell.Runner.SC194986 (2023.11.30.04)
•    Trojan/PowerShell.Generic.SC194981 (2023.11.30.04)
•    Trojan/PowerShell.Generic.SC194982 (2023.11.30.04)
•    Trojan/Win.Injector (2023.11.30.04)
•    Backdoor/Win.AsyncRAT (2022.07.12.00)

• مشخصات IoC (MD5):

•    750dc2354b0454eafd66900687a0f7d6 (myfax_nov272023.wsf)
•    790562cefbb2c6b9d890b6d2b4adc548 (Error.vbs)
•    a31191ca8fe50b0a70eb48b82c4d6f39 (Error.bat)
•    0a80a592d407a2a8b8b318286dc30769 (Error.ps1)
•    61b7507a6814e81cda6b57850f9f31da (pwng.bat)
•    ac12d457d3ee177af8824cdc1de47f2a (pwng.ps1)
•    c09266666ee71ade24e0e5f889cc8199
•    b98e76816350a6a527fc311dae62b85e

• سرورC2 

•    hxxp://185.81.157[.]242:222/c.txt
•    hxxp://185.81.157[.]242:222/x.jpg
•    drippmedsot.mywire[.]org:6606
•    drippmedsot.mywire[.]org:7707
•    drippmedsot.mywire[.]org:8808
 

توصیه‌های امنیتی
یک مهاجم با استفاده از روش‌های پیچیده و بدون نیاز به فایل، بدافزار را منتشر می‌کند. کاربران باید همیشه هنگام باز کردن فایل‌ها یا لینک‌های خارجی که در ایمیل‌ها قرار دارند محتاط باشند و از ویژگی‌های نظارتی در محصولات امنیتی استفاده کنند تا دسترسی مهاجمان را شناسایی و محدود کنند.

منبع خبر:

https://asec.ahnlab.com/en/59573