ابزارHAProxy می‌‌‌‌تواند اطلاعات حساس را افشاء کند  و یک پراکسی سریع در مجموعه سیستم عامل Ubuntu و برخی نسخه‌‌‌‌های دیگر لینوکس بشمار می‌آید. بررسی‌‌‌‌ها نشان می‌‌‌‌دهد که نسخه‌‌‌‌های قبل از 2.8.2 ابزار HAProxy اجزاء URL، کاراکترِ # را به شکل اشتباه مدیریت می‌کند که این پردازش اشتباه اجازه می-دهد تا یک مهاجم از راه دور بتواند از این نقص جهت به دست آوردن اطلاعات حساس یا دور زدن برخی از قوانین path_end، نظیر مسیردهی index.html#.png به یک سرور استاتیک بهره‌برداری کند. این آسیب-پذیری با شناسه CVE-2023-45539 و شدت 8.2 (بالا) شناسایی شده است.

محصولات تحت تأثیر
نسخه‌‌‌‌های آسیب‌‌‌‌پذیر HAProxy در سیستم‌‌‌‌عامل‌‌‌‌های Ubuntu، Debian و Lunchpad مورد استفاده قرار گرفته و نسخه‌‌‌‌های زیر از سیستم‌عامل Ubuntu تحت تأثیر این آسیب‌‌‌‌پذیری قرار دارند:
•    Ubuntu 23.04 
•    Ubuntu 22.04 LTS 
•    Ubuntu 20.04 LTS

توصیه‌های امنیتی
نقص امنیتی مذکور را می‌‌‌‌توان از طریق اعمال به‌‌‌‌روزرسانی‌‌‌‌های زیر برطرف نمود:

•    Ubuntu 23.04 : haproxy - 2.6.9-1ubuntu1.2
•    Ubuntu 22.04 : haproxy - 2.4.22-0ubuntu0.22.04.3
•    Ubuntu 20.04 : haproxy - 2.0.31-0ubuntu0.3

منابع خبر:

[1] https://linuxsecurity.com/advisories/ubuntu/ubuntu-6530-1-haproxy-vulnerability-d7ewg5ghoowv
[2] https://ubuntu.com/security/notices/USN-6530-1
[3] https://ubuntu.com/security/CVE-2023-45539

شرکت Qualcomm اطلاعاتی در خصوص سه نقص امنیتی با شدت بالا منتشر کرده است که گفته می‌شود در اکتبر 2023 مورد بهره‌‌‌‌‌‌‌برداری محدود و هدفمند قرار گرفته‌‌‌‌‌‌‌اند.
آسیب پذیری‌های اعلام شده به شرح زیر هستند:
•    CVE-2023-33063 (شدت CVSS: 7.8): تخریب حافظه در سرویس‌‌‌‌‌‌‌های DSP در طول call از HLOS به DSP
•    CVE-2023-33106 (شدت CVSS: 8.4): تخریب حافظه در Graphics هنگام ارسال لیست بزرگی از نقاط همگام‌‌‌‌‌‌‌سازی در یک دستور AUX به IOCTL_KGSL_GPU_AUX_COMMAND
•    CVE-2023-33107 (شدت CVSS: 8.4): تخریب حافظه در Graphics Linux در حین اختصاص حافظه مجازی مشترک در طول IOCTL call
گروه تحقیقاتی گوگل فاش کردند که این سه نقص به همراه آسیب‌پذیری CVE-2022-22071 (شدت CVSS: 8.4)، در حملات هدفمند مورد بهره‌برداری قرار گرفته‌اند.
 

محصولات تحت تاثیر
آسیب‌‌‌‌‌‌‌پذیری‌‌‌‌‌‌‌ها و حملات یادشده، تراشه‌‌‌‌‌‌‌های شرکت کوالکام را تحت تأثیر قرار داده‌اند.

توصیه‌های امنیتی
با توجه به حساسیت موضوع، پیشنهاد می‌‌‌‌‌‌‌شود تا اقدامات اصلاحی یا کاهشی طبق دستورالعمل‌‌‌‌‌‌‌های شرکت سازنده اعمال گردد یا در صورت در دسترس نبودن اقدامات اصلاحی یا کاهشی، فعلاً استفاده از محصولات متوقف گردد.

منبع خبر:

[1] https://thehackernews.com/2023/12/qualcomm-releases-details-on-chip.html

گوگل در آخرین به‌روزرسانی‌ امنیتی خود، چند آسیب‌پذیری‏ بحرانی را در اندروید رفع کرده است. این آسیب‌پذیری‌ها می‌توانند توسط مهاجمان برای اهدافی چون اجرای کد از راه دور، دسترسی به اطلاعات حساس و اقدامات مشکوک بر روی دستگاه‌های کاربران مورد بهره‌برداری قرار گیرند.
یکی از این آسیب‌پذیری‌ها با شناسه CVE-2023-40088  و شدت 9.8، در مؤلفه System اندروید وجود دارد و به مهاجم اجازه می‌دهد که بدون نیاز به کلیک و تعامل کاربر، کد دلخواه خود را از راه دور اجرا کند.
سه آسیب‌پذیری بحرانی دیگر با شناسه‌های CVE-2023-40077 ،CVE-2023-40076  و  CVE-2023-45866 نیز در مؤلفه‌های Framework و  System رفع شده‌اند. با بهره‌برداری از این آسیب‌پذیری‌ها مهاجم قادر خواهد بود به اطلاعات حساس دسترسی پیدا کند، اقدامات مشکوک را بر روی دستگاه‌های کاربران انجام دهد و یا از طریق ارسال پیام‌های مخرب، دستگاه‌های آسیب‌پذیر را مورد بهره‌برداری قرار دهد. این آسیب‌پذیری‌ها به ترتیب دارای شدت ۹.۱، ۹.۱ و ۸.۴  در مقیاس CVSS ارزیابی شده‌اند.
همچنین، یک آسیب‌پذیری بحرانی با شناسه CVE-2022-40507 در مؤلفه Qualcomm نیز رفع شده است. این آسیب‌پذیری می‌تواند موجب شود که مهاجمان بتوانند به حافظه دستگاه‌های مجهز به Qualcomm دسترسی پیدا کنند و کدهای دلخواه را در آن اجرا کنند. شدت این آسیب‌پذیری نیز ۷.۸ گزارش شده است.

توصیه‌های امنیتی
گوگل توصیه می‌کند که کاربران اندروید برای حفاظت از دستگاه‌های خود در برابر این آسیب‌پذیری‌ها، دستگاه‌های خود را به‌روزرسانی کنند. برای بررسی وضعیت به‌روزرسانی دستگاه خود، می‌توانید به تنظیمات، درباره دستگاه و به‌روزرسانی سیستم مراجعه کنید.

منابع خبر:

[1] https://www.bleepingcomputer.com/news/security/december-android-updates-fix-critical-zero-click-rce…
[2] https://source.android.com/docs/security/bulletin/2023-12-01

Atlassian چند شناسه آسیب‌پذیر با شدت بحرانی بر روی محصولات خود منتشر کرد. آسیب‌پذیری با شناسه‌ CVE-2023-22522 و شدت بحرانی 9.0 امکان اجرای کد از راه دور (RCE) از طریق Confluence Data Center و Server را برای مهاجم احراز هویت‌شده فراهم می‌آورد. در این آسیب‌پذیری با استفاده از تزریقTemplate ، مهاجم احراز هویت‌شده (از جمله مهاجم با دسترسی ناشناس (anonymous)) می‌تواند ورودی کاربر ناامن را به صفحه Confluence تزریق کند. با استفاده از این روش، مهاجم می‌تواند به اجرای کد از راه دور (RCE) در یک نمونه آسیب‌‌پذیر دست پیدا کند. 
آسیب‌پذیری با شناسه‌ CVE-2023-22523 و شدت بحرانی 9.8 امکان اجرای کد از راه دور (RCE) بر روی ماشین‌هایی که Assets Discovery agent را نصب نموده‌اند، را برای مهاجم فراهم می‌آورد. این آسیب‌پذیری در Assets Discovery application (که قبلا به نام Insight Discovery شناخته می‌شد) و Assets Discovery agent وجود دارد. 
Assets Discovery که می‌تواند از طریق Atlassian Marketplace بارگیری شود، یک ابزار اسکن شبکه است که می‌تواند با/بدون یک عامل (agent) با سرویس مدیریت ابر، مرکز داده یا سرور Jira استفاده شود. همچنین سخت‌فزار و نرم‌افزار متصل به شبکه محلی را شناسایی و اطلاعات دقیقی از هر دارایی (asset) را استخراج می‌کند. سپس این داده‌ها را می‌توان به Assets در Jira Service Management داد تا مدیریت تمام دستگاه‌ها و موارد پیکربندی در شبکه محلی را انجام دهد. Assets Discovery agents  فرآیندهای مستقلی هستند که می‌توانند داده‌هایی را از سیستم‌هایی که همیشه آنلاین نیستند، کشف کنند یا داده‌ها را از سیستم‌های Windows بدون باز کردن پورت WMI ورودی (inbound WMI Port) و پورت‌های Dynamic DCOM جمع‌آوری کنند.
آسیب‌پذیری با شناسه‌ CVE-2023-22524 و شدت بحرانی 9.6 امکان اجرای کد از راه دور (RCE) در برخی از نسخه‌های برنامه Atlassian Companion برای  MacOSرا برای مهاجم فراهم می‌آورد. یک مهاجم می‌تواند از WebSockets جهت دور زدنblocklist  در Atlassian Companion  وMacOS Gatekeeper  جهت اجرای کد استفاده کند.

محصولات تحت تأثیر
این آسیب‌پذیری برخی از محصولات Atlassian شامل Confluence Data Center و Server نسخه‌های 4.X.X، 5.X.X، 6.X.X، 7.X.X، 8.0.X، 8.1.X، 8.2.X، 8.3.X، 8.4.0، 8.4.1، 8.4.2، 8.4.3، 8.4.4، 8.5.0، 8.5.1، 8.5.2 و 8.5.3 و  Confluence Data Center نسخه‌های 8.6.0 و 8.6.1، Assets Discovery application و Assets Discovery agent و برخی از نسخه‌های برنامه Atlassian Companion  برای  MacOSرا تحت تأثیر خود قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Confluence Data Center  و Server به نسخه‌های 7.19.17 (LTS)، 8.4.5 و 8.5.4 (LTS)، Confluence Data Center به‌ نسخه‌های  8.6.2  یا بالاتر (فقط Data Center) و 8.7.1 یا بالاتر (فقط Data Center)، Assets Discovery application و Assets Discovery agent و برخی از نسخه‌های برنامه Atlassian Companion  برای  MacOS به نسخه‌های وصله ‌شده اقدام نمایند.

منابع خبر:

[1] https://confluence.atlassian.com/pages/viewpage.action?pageId=1319570362

[2] https://nvd.nist.gov/vuln/detail/CVE-2023-22523
[3] https://nvd.nist.gov/vuln/detail/CVE-2023-22524

شرکت مایکروسافت نسبت به شروع موج جدیدی از حملات باج‌افزار CACTUS هشدار داده است که از تبلیغات بدافزاری مبتنی بر بدافزار DanaBot به عنوان یک ابزار ایجاد دسترسی اولیه استفاده می‌کند. بدافزار DanaBot (storm-1044) یک ابزار چند منظوره در پی بدافزارهای Emotet، TrickBot، QakBot و IcedID است که می‌تواند به عنوان یک دزد و یک نقطه ورود برای محتواهای آلوده مرحله بعدی حمله عمل کند. به گفته محققان شرکت مایکروسافت، مهاجمان از دسترسی اولیه توسط آلودگی‌‌‌‌های بدافزار QakBot نیز استفاده کرده‌اند. 
بدافزار DanaBot یک تروجان ماژولار بانکی چند مرحله‌‌‌‌ای است که در دلفی نوشته شده است و اولین بار در سال 2018 کشف  شد. این بدافزار یک ساختار ماژولار را پیاده‌‌‌‌سازی می‌‌‌‌کند که به مهاجمان این  امکان را می‌‌‌‌دهد تا با افزودن افزونه‌‌‌‌های جدید از عملکردهای جدید پشتیبانی کنند. به نظر می‌‌‌‌رسد کمپین فعلی Danabot که برای اولین بار در ماه نوامبر مشاهده شد، از یک نسخه بدافزار سرقت اطلاعات به جای ارائه بدافزار به عنوان یک سرویس استفاده می‌‌‌‌کند. اعتبار جمع‌‌‌‌آوری شده توسط بدافزار به یک سرور کنترل شده منتقل می‌‌‌‌شود. این افشاگری چند روز پس از آن صورت می‌گیرد که مجموعه دیگری از حملات باج‌افزار CACTUS فاش شد که به طور فعال از آسیب‌پذیری‌های حیاتی در پلتفرم تحلیل داده Qlik Sense جهت دسترسی به شبکه‌های شرکتی بهره‌برداری می‌کند.

محصولات تحت تأثیر
ابزار حمله Danabot از طریق ایمیل و پیام‌‌‌‌های مهندسی اجتماعی منتشر می‌‌‌‌شود.

توصیه‌های امنیتی
با توجه به اینکه بدافزار Danabot یک ابزار منتشر شده از طریق ایمیل می‌‌‌‌باشد، تقویت مکانیزم‌‌‌‌های بررسی محتواهای ضمیمه شده در ایمیل‌‌‌‌ها مورد تاکید است. به‌‌‌‌روزرسانی ابزارهای امنیتی در سرورهای ایمیل و سیستم‌‌‌‌های کاربران نیز حائز اهمیت می‌باشد. همچنین باید هشدارهای لازم به کارکنان سازمان‌‌‌‌ها در خصوص حملات مهندسی اجتماعی داده شود.

منابع خبر:

[1] https://thehackernews.com/2023/12/microsoft-warns-of-malvertising-scheme.html
[2] https://securityaffairs.com/155184/cyber-crime/danabot-spread-cactus-ransomware.html 

امروزه، کسب و کارهای بیشتری از فناوری‌‌‌‌‌‌های مجازی‌‌‌‌‌‌سازی برای میزبانی سرور استفاده می‌‌‌‌‌‌کنند. در این میان، VMware ESXi به دلیل کارایی مطلوب در مجازی‌‌‌‌‌‌سازی سرورها محبوب شده است. با این حال، مهاجمان به سرعت با این روند سازگار شده و رمزگذارهای تخصصی را برای به خطر انداختن این سرورهای مجازی توسعه داده‌اند. به تازگی محققان امنیتی یک نسخه لینوکسی از باج‌افزار Qilin را کشف کرده‌اند که به طور خاص برای هدف قرار دادن سرورهای VMware ESXi طراحی شده است. این باج‌‌‌‌‌‌افزار یکی از پیشرفته-ترین و قابل تنظیم‌ترین رمزگذارهای لینوکسی مشاهده شده تاکنون است.
در حالی‌‌‌‌‌‌که بسیاری از عملیات‌‌‌‌‌‌های باج افزار از کدهای منبع موجود استفاده می‌‌‌‌‌‌کنند، برخی دیگر از رمزگذارها به طور خاص برای سرورهای لینوکس توسعه یافته‌‌‌‌‌‌اند. کشف اخیر یک رمزگذار لینوکس ELF64 را برای Qilin آشکار کرده است که قابلیت سازگاری با سرورهای لینوکس، FreeBSD و VMware ESXi را دارد.
باج افزار Qilin که در ابتدا به عنوان باج افزار Agenda در آگوست 2022 شروع به کار نمود، در سپتامبر تغییر نام داده است. این یکی از معدود بدافزارهای نوشته شده در Golang است که احتمالاً می‌‌‌‌‌‌تواند برخی از قابلیت‌های ضد تشخیص پیشرفته را به آن اعطا کند. Qilin با اجرای روش‌‌‌‌‌‌های معمول باج‌افزار هدف‌گیری سازمانی، به شبکه‌ها نفوذ می‌کند، داده‌ها را استخراج می‌کند و متعاقباً باج‌افزار را برای رمزگذاری همه دستگاه‌های متصل به کار می‌گیرد.
رمزگذار Qilin دارای پیکربندی‌هایی است که پسوند فایل، خاتمه فرآیند، گنجاندن یا حذف فایل و رمزگذاری یا حذف پوشه را دیکته می‌کند. همچنین این بدافزار به شدت بر ماشین‌های مجازی که فراتر از رمزگذاری فایل هستند، تأکید دارد. رمزگذار Qilin قابلیت سفارشی‌‌‌‌‌‌سازی گسترده‌ای را به مهاجمان می‌‌‌‌‌‌دهد. این گزینه‌ها از فعال کردن حالت‌های اشکال‌‌‌‌‌‌زدایی گرفته تا سفارشی کردن رمزگذاری ماشین‌های مجازی و snapshotهای آنها را شامل می‌شود. علاوه بر این، رمزگذار به مهاجم اجازه می‌‌‌‌‌‌دهد تا لیستی از ماشین‌‌‌‌‌‌های مجازی را که از رمزگذاری مستثنی هستند، مشخص کنند.

محصولات تحت تاثیر
Qilin کاربران و سازمان هایی را هدف قرار می‌دهد که هایپروایزر ESXi را اجرا می‌‌‌‌‌‌کنند. این بدافزار فایل‌ها را روی دستگاه‌های USB متصل با رمزگذاری AES-256 و یک کلید عمومی RSA که به‌ طور تصادفی تولید می‌شود، رمزگذاری می‌کند. همچنین در هر پوشه یک فایل HTML ایجاد می‌کند که دارای فایل‌های رمزگذاری‌شده حاوی دستورالعمل‌هایی درباره پرداخت باج و محل دریافت کلیدهای رمزگشایی است.
اگرچه برخی از محققان امنیتی معتقدند که بدافزار اخیر بیشتر یک گزینه فرصت طلب برای انتشار Qilin از طریق دستگاه‌‌‌‌‌‌های آلوده USB است و سازمان یا صنعت خاصی را برای حمله، مد نظر ندارد، اما برخی دیگر از محققان معتقدند که Qilin سازمان‌‌‌‌‌‌ها و شرکت‌‌‌‌‌‌های با ارزش بالا را انتخاب می‌‌‌‌‌‌کند و عمدتاً بر سازمان‌های بخش‌های بهداشت و درمان و آموزش در آفریقا و آسیا تمرکز دارد.

توصیه‌های امنیتی
چند روش برای شناسایی باج افزار Agenda و حفظ امنیت در شبکه عبارتند از:
•    آموزش و آموزش کارکنان: مؤثرترین روش آموزش اصول اولیه حفظ امنیت سایبری به کارکنان است.
•    فایل پشتیبانی اطلاعات: در صورت امکان به صورت آفلاین از اطلاعات نسخه پشتیبان تهیه شود. این کار از خراب شدن کپی‌‌‌‌‌‌های داده آفلاین جلوگیری می‌‌‌‌‌‌کند و به بازیابی داده‌‌‌‌‌‌ها بدون تلاش زیاد کمک می‌‌‌‌‌‌کند.
•    ابزارهای امنیتی: توصیه می‌شود از ابزارهای امنیتی استفاده کنید که از امضا، کشف یا الگوریتم‌های هوش مصنوعی برای شناسایی و مسدود کردن فایل‌ها یا فعالیت‌های مشکوک استفاده می‌کنند. چنین ابزارهایی می‌‌‌‌‌‌توانند انواع باج افزارهای شناخته شده را شناسایی و مسدود کنند.
•    ترافیک شبکه: نظارت بر ترافیک شبکه برای هرگونه نشانه‌ای از به خطر افتادن، همانند الگوهای ترافیک غیرمعمول یا ارتباط با سرورهای فرمان و کنترل شناخته شده، امکان شناسایی فعالیت‌های مشکوک را فراهم می‌کند.
•    ممیزی‌‌‌‌‌‌های امنیتی: ممیزی‌ها و ارزیابی‌های امنیتی منظم برای شناسایی آسیب‌پذیری‌های شبکه و سیستم برای حفظ حفاظت به‌روز توصیه می‌شود.

منابع خبر:

[1] https://www.bleepingcomputer.com/news/security/linux-version-of-qilin-ransomware-focuses-on-vmware-…
[2] https://linuxsecurity.com/news/cryptography/linux-version-of-qilin-ransomware-focuses-on-vmware-esxi
[3] https://gridinsoft.com/blogs/qilin-ransomware-vmware-esxi/#:~:text=In%20a%20disturbing%20developmen….

ده‌ها هزار سرور ایمیل Microsoft Exchange در اینترنت عمومی قرار دارند، در برابر نقص‌های اجرای کد از راه دور آسیب‌پذیر هستند. بررسی‌ها نشان می‌دهد که در حال حاضر نزدیک به 20000 سرور Microsoft Exchange از طریق اینترنت عمومی قابل دسترسی هستند که به مرحله پایان عمر (EoL) رسیده‌اند.
این بررسی‌ها نشان می‌دهد که:
•    275 نمونه از Exchange Server 2007
•    4062 نمونه از Exchange Server 2010
•    26298 نمونه از Exchange Server 2013
در حال استفاده می‌باشد که اکثرأ دیگر توسط توسعه‌دهندگان پشتیبانی نمی‌‌‌‌شوند.
برخی از ماشین‌هایی که نسخه‌های قدیمی‌تر سرور ایمیل Exchange را اجرا می‌کنند، در برابر ProxyLogon آسیب‌پذیر هستند، یک مشکل امنیتی حیاتی که با شناسه‌های CVE-2021-26855 و CVE-2021-27065 شناسایی می‌شوند باعث می‌‌‌‌شود که مهاجم احراز هویت نشده قادر به اجرای کد از راه دور شود. طی بررسی و اسکن‌های صورت گرفته، این ماشین و دستگاه‌ها در برابر نقص‌های امنیتی زیر نیز آسیب‌پذیر هستند:
•    CVE-2020-0688 با شدت 8.8
•    CVE-2021-26855 با شدت 9.8
•    CVE-2021-27065 با شدت 7.8
•    CVE-2022-41082 با شدت 8.8
•    CVE-2023-21529 با شدت 8.8
•    CVE-2023-36745 با شدت 8.0
•     CVE-2023-36439 با شدت 8.0

توصیه‌های امنیتی
جهت رفع این آسیب‌پذیری، اعمال به‌‌‌‌روزرسانی به آخرین نسخه منتشر شده در مواردی که هنوز توسط توسعه‌دهنده پشتیبانی می‌‌‌‌شوند می‌‌‌‌تواند راه حل موقتی باشد و همچنین در مورد مواردی که به پایان پشتیبانی رسیده‌اند، تنها گزینه باقی مانده ارتقاء به نسخه‌ای است که همچنان به‌روزرسانی‌های امنیتی را دریافت می‌کند.

منابع خبر:

[1]https://www.bleepingcomputer.com/news/security/over-20-000-vulnerable-microsoft-exchange-servers-ex…;
[2] https://proxylogon.com/  
[3] https://nvd.nist.gov/vuln/detail/ 

در افزونه MW WP Form، یک آسیب‌پذیری با شناسه CVE-2023-6316 و شدت 9.8 شناسایی شده است که می‌تواند توسط مهاجم برای بارگذاری فایل‌های مخرب در وب‌سایت‌های آسیب‌پذیر مورد بهره‌برداری قرار گیرد.
این آسیب‌پذیری به کاربران اجازه می‌دهد تا فایل‌های خود را بدون محدودیت در وب‌سایت بارگذاری کنند. در نسخه‌های آسیب‌پذیر این افزونه، یک نقص در کد برنامه وجود دارد که باعث می‌شود افزونه، فایل‌های مخرب را بدون بررسی کافی، بارگذاری کند. این امر می‌تواند منجر به بارگذاری فایل‌هایی با پسوندهایی از جمله "php." و "exe." شود.
مهاجم می‌تواند با ارسال یک درخواست خاص به وب‌سایت آسیب‌پذیر، موجب شود که افزونه MW WP Form یک فایل مخرب را بارگذاری کند. این فایل می‌تواند شامل کد مخرب باشد که توسط مهاجم برای انجام اقدامات زیر استفاده شود:
•    بارگذاری فایل‌های مخرب که می‌توانند داده‌های وب سایت را حذف، ویرایش یا سرقت کنند.
•    نصب نرم‌افزار مخرب که می‌تواند به سیستم‌های قربانیان آسیب برساند.
•    حملات DDoS که می‌توانند عملکرد وب سایت را مختل کنند.

توصیه‌های امنیتی
برای محافظت دربرابر این آسیب‌پذیری، باید افزونه MW WP Form به نسخه 5.0.2 به‌روز شود. همچنین، توصیه می‌شود اقدامات امنیتی زیر انجام شود تا از وب‌سایت در برابر آسیب‌پذیری‌های مشابه محافظت شود:
•    از افزونه‌ها و قالب‌های معتبر و به روز شده استفاده شود.
•    از یک پلتفرم مدیریت امنیت (CMS) که به طور منظم بروزرسانی می‌شود استفاده شود.
•    از یک سیستم امنیتی وب پیشرفته برای محافظت از وب‌سایت در برابر حملات استفاده شود.

منبع‌خبر:

[1] https://securityonline.info/cve-2023-6316-unauthenticated-arbitrary-file-upload-mw-wp-form/

محققان نوع جدیدی از باج‌افزار DJvu به نام Xaro را کشف کرده‌‌‌‌اند که از طریق نرم‌‌‌‌افزارهای کرک شده منتشر می‌‌‌‌شود. این بدافزار یک بدافزار بارگذار است و در کنار بارگیری سایر بدافزارها، جهت سرقت اطلاعات و آلوده نمودن سیستم‌‌‌‌ها کاربرد دارد. آلودگی به بدافزار جدید زمانی شروع می‌‌‌‌شود که کاربر فایل بایگانی install.7z را از یک منبع نامعتبر دانلود می‌‌‌‌کند که خود را سایت قانونی توزیع‌‌‌‌کننده نرم‌افزارهای رایگان معرفی می‌‌‌‌کند. پس از باز شدن فایل موردنظر با استفاده از Winrar، فایل install.exe اجرا و در ادامه بارگذار بدافزار دانلود می‌شود. در حالی که فایل هش‌شده برای install.exe هنوز ناشناخته است، تجزیه و تحلیل sandbox نشان می‌‌‌‌دهد که این مورد یک نمونه از PrivateLoader است. پس از اجرا، باج‌افزار Xaro پسوند xaro. را به فایل‌‌‌‌های رمزگذاری شده اضافه و سپس یک یادداشت باج‌‌‌‌خواهی به نام file_readme.txt ایجاد می‌‌‌‌کند.
محققان خاطرنشان کردند که مهاجمان از رویکرد موسوم به تفنگ شاتگان به عنوان بخشی از فرآیند آلوده-سازی جهت استقرار باج‌افزار استفاده نموده‌‌‌‌اند. آن‌ها به طور تصادفی ماشین‌‌‌‌های آسیب‌پذیر را آلوده می‌‌‌‌کنند و از قربانیان باج می‌‌‌‌گیرند. علاوه بر باج‌افزار Xaro، این ارتباطات منجر به دانلود و اجرای انواع بدافزارهای دیگر مانند RedLine Stealer، Vidar، Amadey، Nymaim، XmRig و LummaStealer، شده است.

محصولات تحت تاثیر
اگرچه در گزارش‌‌‌‌ها به صورت مشخص به نرم‌‌‌‌افزار یا سیستم‌عامل خاصی اشاره نشده است، اما به نظر می‌‌‌‌رسد هدف حمله جمع‌آوری و استخراج اطلاعات حساس برای اخاذی مضاعف است.

توصیه‌های امنیتی
در این حمله، مهاجمان از نرم‌‌‌‌افزارهای کرک شده یا جعلی به عنوان راهی جهت استقرار مخفیانه کدهای مخرب استفاده نموده‌‌‌‌اند. از آنجایی که دامنه چنین خطراتی می‌‌‌‌تواند ویرانگر باشد، کاربران باید از دانلود نرم-افزار از منابع یا سایت‌‌‌‌های غیرقابل اعتماد خودداری کنند. علاوه بر این، به سازمان‌ها توصیه می‌شود جهت ایمن ماندن از گزند این تهدیدات، برنامه‌ها یا سایت‌های معتبر را در قالب یک لیست، به پرسنل خود ارائه دهند.

منبع خبر:

[1] https://cyware.com/news/djvu-ransomware-latest-variant-xaro-emerges-in-the-threat-landscape-0bcf9e4a
 

محققان گزارشی در خصوص یک سایت با عنوان Persian Remote World منتشر کردند که اقدام به فروش بدافزارهای مختلف کرده است. محققان با یک Loader جدید به نام Persian Loader در VirusTotal مواجه شدند و با بررسی آن به یک کانال تلگرامی رسیدند. در این کانال، به سایتی با عنوان Persian Remote World پیوند داده شده است که محل فروش بدافزارهای مختلفی از جمله RAT(Remote Access Trojans)، Loaders و Crypter است. تحقیقات نشان می‌دهد که این وب‌سایت‌،Persian RAT  را به ‌همراه پنلی برای مدیریت سیستم‌های آلوده ارائه می‌دهد. این پنل RAT شامل جزئیاتی نظیر نام کامپیوتر، سرور، آدرس IP، مشخصات کاربر، نسخه ویندوز، معماری، CPU، GPU و کشور می‌باشد. توسعه دهندگان، این RATها را به صورت اشتراکی به فروش می‌‌رسانند که هزینه اشتراک یک ماهه 20 دلار و تا مادام العمر 200 دلار است.
 

شکل 1: Persian RAT در وب سایت

علاوه بر اینRAT، یکLoader  مخرب به نام Persian Loader هم در این سایت تبلیغ می‌شود که به همراه یک پنل ساخت باینری و کنترل کلاینت‌ها ارائه می‌شود. این پنل همانطور که در شکل 2 مشاهده می‌کنید، لیستی از قربانیان فعال را نشان می‌دهد و این امکان را فراهم می‌کند تا بتوان فایل دلخواه را در این سیستم‌ها اجرا کرد.
 

شکل 2 :Persian Loader  در وب‌سایت

بدافزار Persian Security نوع دیگری از یک بدافزارCrypter  است. این بدافزار می‌تواند فایل‌های اجرایی را رمزگذاری و مبهم کند تا از شناسایی و آنالیز آن‌ها جلوگیری کند. این بدافزار به صورت اشتراکی از ماهی 45 دلار تا مادام‌العمر 650 دلار ارائه می‌شود.
 

شکل 3: Persian Security در وب سایت

در سایت Persian Remote World آدرس یک کانال تلگرامی است که در تاریخ 18 اکتبر ایجاد شده است و نشان می‌دهد که توسعه دهندگان شروع به توسعه بدافزار کرده‌اند. در این کانال نسخه رایگان Persian Loder Builder  و نسخه پولی آن با قیمت 20 دلار در ماه موجود است.
 

شکل 4: کانال تلگرامی Persian Remote World

• آنالیز فنی بدافزار Persian RAT

نمونه‌ بررسی شده توسط محققان، 3.75 مگابایت حجم دارد که نسبت به نمونه‌های مشابه، حجم بالاتری دارد. بعد از اجرای برنامه مخرب Persian RAT، یک Mutex با عنوان Persian از طریق CreateMutexW ایجاد می‌کند. این Mutex از اجرای چند نمونه از بدافزار جلوگیری می‌کند و فرآیند Multithreading را آسان می‌کند. شکل 5 فرآیند ایجاد Mutex را نشان می‌دهد.
 

شکل 5: ایجاد Mutex توسط Persian RAT

بعد از ایجاد Mutex، بدافزار از طریق AdjustTokenPrivileges امتیازات SeShutdownPrivilege و SeDebugPrivilege را فعال می‌کند. این امتیازات به ترتیب برای ریستارت سیستم و دسترسی به حافظه‌ پروسه‌های دیگر استفاده می‌شوند. شکل 6 نشان‌دهنده تنظیم این امتیازات به وسیله بدافزار است.
 

شکل 6 : تنظیم امتیازات SeShutdownPrivilege و SeDebugPrivilege

این بدافزار به صورت دستی کنترل می‌شود و فعالیت‌های مخرب خود را از سرور C2 دریافت می‌کند. سایر ویژگی‌های این بدافزار به شرح زیر است:
•    عملیات روی فایروال
Persian RAT  دارای تابعی است که امکان دستکاری فایروال را از طریق دستورات netsh می‌دهد.
•    کیلاگر
این بدافزار قابلیت ضبط کلیدهای فشرده شده و ارسال آن به مهاجم را دارد. مهاجم می‌تواند این کیلاگر را فعال یا غیرفعال کند.
•    سرقت کوکی و پسوردها
بدافزار می‌تواند پسوردها و کوکی ها را از مرورگرهای زیر در سیستم قربانی بردارد :

 - Mozilla Firefox
 - Google Chrome
 - Microsoft Edge

•    بازی‌ها و برنامه‌ها
همچنین بدافزار روی بازی‌ها و نرم افزارهای نصب شده روی سیستم هم تمرکز دارد. مهاجم میتواند بازی‌ها و نرم‌افزارهای مختلف روی سیستم را اسکن کند و فایلهای حساس را استخراج کند.
•    دستورات
این بدافزار تعدادی دستورات هم دارد که مربوط به UAC، دستکاری فایروال، عملیات باج‌افزاری، ضبط اسکرین و تعامل با سایتهای بانکی است.
•    هدف قرار دادن موسسات مالی و بانک‌ها
بدافزار همچنین روی بانک‌ها و موسسات مالی هم کار می‌کند.
 

• آنالیز فنی بدافزار Persian Loader

بدافزار Persian Loader  امکان اجرای فایلهای اجرایی دیگر را روی سیستم قربانی فراهم می‌کند. بدافزار با استفاده از TCP Socket می‌تواند اجرای Payload مرحله دوم را روی سیستم آلوده تسهیل کند. سازنده Persian Loader و ابزار مدیریتی آن به نام Persian X Loader 5.0، به صورت رایگان در کانال تلگرامی مذکور قرار دارد. شکل 7 زیر نشان‌دهنده پنل Persian X Loader 5.0 Builder است.

شکل 7:  پنل Persian X Loader 5.0 Builder

برنامه مخرب Persian X Loader 5.0 می‌تواند یک listener server سفارشی ایجاد کند که امکان اتصال به هر پورت مشخص شده را می‌دهد. مهاجم می‌تواند باینری مخرب را با استفاده از Persian X Loader 5.0 از طریق اضافه کردن پورت و آدرس IP مربوط به listener server در داخل builder بسازد. وقتی در سیستم قربانی اجرا می‌شوند، فایل اجرایی ساخته شده جدید به listener server روی listener port متصل می‌شود. Persian Loader دارای یک پنل برای مدیریت Loaderهای مستقر شده در سیستم‌های قربانی است. شکل 8 این پنل را نشان می‌دهد که در آن قرار است یک فایل اجرایی دیگر روی سیستم قربانی اجرا شود.
 

شکل 8 : اجرای فایل در سیستم قربانی

توصیه‌های امنیتی
•    دسترسی اولیه RATها و Loaderها معمولا از طریق وب سایتها یا ایمیل‌های فیشینگ انجام می‌شود. برنامه‌ها را از منابع ناشناخته دانلود و نصب نکنید و از باز کردن ایمیلهایی که از یک منبع ناشناخته ارسال شده است، خودداری کنید.
•    وب‌سایتها را از لحاظ دارا بودن پروتکل https و املای دقیق، بررسی کنید.
•    از محصولات امنیتی قوی برای شناسایی و حذف فایلهای مخرب استفاده کنید.
•    از رمزهای عبور قوی و منحصربه فرد برای هر حساب کاربری استفاده کنید و در صورت امکان، قابلیت تایید دو مرحله‌ای را فعال کنید.
•    از داده‌ها منظم پشتیبان‌گیری کنید تا اگر گرفتار بدافزار شدید، بتوان آن‌ها را مجدد بازیابی کرد. همچنین، کاربران را از روش‌های جدید فیشینگ و مهندسی اجتماعی مطلع کنید.
 

منبع خبر:

[1] https://cyble.com/blog/new-persian-remote-world-selling-a-suite-of-malicious-tools/