یک آسیب‌پذیری امنیتی با شناسه CVE-2023-42361 در محصولات Jira Server و Jira Data Center شرکت  Atlassianشناسایی شده است. این آسیب‌پذیری یک نقص Local File Inclusion (LFI) در افزونه Better PDF Exporter در سرور Jira و مرکز داده Jira عنوان شده است. این افزونه با هزاران نصب از برجسته‌ترین افزونه‌ها در بازار Atlassian است. در Jira Server یا Jira Data Center، یک تصویر جعلی باعث ایجاد نقص در فرآیند اکسپورت کردن فایل‌های PDF توسط افزونه Better PDF Exporter می‌شود. این نقص به کاربران غیرمجاز اجازه می‌دهد تا علاوه بر دسترسی به فایل‌های دلخواه، تأثیرات دیگری نیز بر روی سیستم هدف بر جای بگذارند. همچنین، این آسیب‌پذیری ابزاری را برای مهاجم فراهم می‌کند تا برنامه‌های کاربردی وب را در شبکه داخلی شناسایی کند و منجر به حمله جعل درخواست سمت سرور یا Server-side request forgery (SSRF)  شود.
آسیب‌پذیریLocal File Inclusion (LFI)  به مهاجم این اجازه را می‌دهد که از طریق مرورگر، فایل‌های خود را در سرور بارگذاری کند. نقص LFI زمانی به وجود می‌آید که وب‌سایت، ورودی‌ها را به درستی اعتبارسنجی نکرده و در نتیجه مهاجم قادر است ورودی را دستکاری کند و کاراکتر‌های پیمایش مسیر را در آن قرار دهد.
از جمله تأثیرات مخرب این آسیب‌پذیری می‌توان به موارد زیر اشاره کرد:
-    حملات LFI و SSRF
-    افزایش امتیازات سیستمی و سطوح دسترسی
-    افشای اطلاعات حساس
-    دور زدن لیست سفید IP (IP whitelisting) و شناسایی شبکه

محصولات تحت تأثیر
این آسیب‌پذیری محصولات  Atlassian شامل Jira Server و Jira Data Center نسخه‌های 10.3.0 و قبل‌تر را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Jira Server و Jira Data Center به نسخه 11.0.0 یا نسخه جدیدتر اقدام نمایند.

منبع خبر:

[1]‌ https://marketplace.atlassian.com/apps/5167/better-pdf-exporter-for-jira?tab=versions&hosting=datac…

آسیب‌پذیری با کد شناسه CVE-2023-29552 و امتیاز CVSS 7.5 یک آسیب‌پذیری انکار سرویس است که می‌تواند برای اجرای حملات گسترده تشدید انکارسرویس استفاده شود. پروتکل مکان سرویس(SLP) یک آسیب‌پذیری انکارسرویس را دربر دارد که می‌تواند به یک مهاجم  احرازهویت نشده از راه دور اجازه دهد خدمات را ثبت کند و از ترافیک UDP جعلی برای انجام یک حمله انکار سرویس (DoS) با ضریب تقویت قابل توجهی استفاده کند. SLP پروتکلی است که به سیستم‌هایی که در یک شبکه‌ محلی مشترک(LAN) هستند امکان تشخیص و برقراری ارتباط با یکدیگر را می‌دهد.
جزئیات دقیق پیرامون ماهیت بهره‌برداری از این نقص شدید امنیتی در حال حاضر ناشناخته است، اما Bitsight قبلاً هشدار داده بود که این نقص می تواند برای DoS با ضریب تقویت بالا مورد سوءاستفاده قرار گیرد. این ضریب تقویت بسیار بالا، به یک مهاجم با دسترسی کمتری به منابع، اجازه می دهد تا از طریق یک حمله تقویتی بازتابی DoS تاثیر قابل توجهی بر روی یک شبکه هدفمند یا سرور داشته باشد.

با توجه به حملات دنیای واقعی که این نقص را به کار می‌گیرند، سازمان‌ها باید اقدامات کاهشی لازم را از جمله غیرفعال کردن سرویس SLP در سیستم‌های در حال اجرا در شبکه‌های غیرقابل اعتماد برای ایمن کردن شبکه‌های خود در برابر تهدیدات احتمالی اعمال کنند.

 پلتفرم‌های تحت تاثیر
VMware این آسیب‌پذیری را بررسی کرده و مشخص کرده است که نسخه‌های ESXi که در حال حاضر پشتیبانی می‌شوند (ESXi 7.x, 8.x) تحت تأثیر قرار نمی‌گیرند. با این حال، نسخه هایی که به پایان پشتیبانی عمومی (EOGS) رسیده اند، مانند 6.7 و 6.5، تحت تأثیر این آسیب‌پذیری قرار گرفته اند.
طبق دستورالعمل‌های قبلی، VMware توصیه می‌کند که بهترین گزینه برای رسیدگی به این نقص، ارتقا به یک نسخه پشتیبانی‌شده است که تحت تأثیر آسیب‌پذیری قرار نگیرد. ESXi 7.0 U2c و جدیدتر، و ESXi 8.0 GA و جدیدتر، ضمن حصول اطمینان از اینکه که سرویس SLP به‌طور پیش‌فرض غیرفعال و توسط فایروال فیلتر شده‌باشد. مدیران ESXi ‌همچنین باید بررسی کنند که هاست ESXi در معرض شبکه های نامعتبر قرار نگرفته‌باشند و همچنین SLP را طبق دستورالعمل های KB76372 غیرفعال کنند.
 
منابع

Microsoft گزارش چندین آسیب‌پذیری در مرورگر Edge (Chromium-based) را منتشر کرد. این  آسیب‌پذیری‌ها که در تاریخ 9 و 10 نوامبر 2023 منتشر شده‌اند، به شرح زیر می‌باشند:
آسیب‌پذیری با شناسه CVE-2023-36014 و شدت 7.3 که به واسطه آن مهاجم قادر است کد دلخواه خود را از راه دور در سیستم هدف اجرا کند.
آسیب‌پذیری با شناسه CVE-2023-36024 و شدت 7.1 و آسیب‌پذیری با شناسه CVE-2023-36027 و شدت 7.1 که امکان افزایش امتیاز و سطح دسترسی (Elevation of Privilege) را برای مهاجم به وجود می‌آورد.

محصولات تحت تأثیر
این آسیب‌پذیری‌ها Microsoft Edge (Chromium-based) نسخه‌های قبل از 119.0.2151.58 و قبل از 118.0.2088.102 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Microsoft Edge (Chromium-based) به نسخه‌های وصله شده اقدام نمایند.

منابع خبر:

[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36014
[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36024
[3] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36027

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-41036 و شدت 7.8 در Macvim (یک ویرایشگر متن برای MacOS) شناسایی شده است. این آسیب‌پذیری امکان اجرای کد دلخواه با سطح دسترسی ریشه را برای مهاجم فراهم می‌آورد. Macvim از مکانیزم IPC ناامن استفاده می‌کند که می‌تواند منجر به افزایش سطح دسترسی شود. اگر MacVim به‌ عنوان ریشه (root) اجرا ‌شود، یک برنامه مخرب می‌تواند جهت افزایش امتیاز و سطح دسترسی از این آسیب‌پذیری بهره‌برداری کند.
اشیاء توزیع شده (distributed objects) مفهومی است که توسط اپل معرفی شده است و به یک برنامه اجازه می‌دهد یک رابط را در اختیار برنامه دیگری قرار دهد. هر روشی که از طریق این رابط‌ها در معرض دید قرار می‌گیرد، برای هر فرآیند دیگری در سیستم قابل استفاده است.
 باید مراقب بود از MacVim برای ویرایش فایل‌هایی که نیاز به امتیازات ریشه دارند استفاده نشود.

محصولات تحت تأثیر
این آسیب‌پذیری، Macvim نسخه‌های قبل از 178 را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Macvim به نسخه 178 اقدام نمایند.

منبع خبر:

[1] https://github.com/macvim-dev/macvim/security/advisories/GHSA-9jgj-jfwg-99fv

مایکروسافت مشکلی که باعث ظاهر شدن صفحات آبی و خطاهای بوت در ماشین‌های مجازی ویندوز سرور 2022 روی میزبان‌های VMware ESXi شده بود، شناسایی واعلام کرده است. مدیران ویندوز اعلام کرده‌اند که پس از نصب به‌روزرسانی اکتبر 2023 با شناسه KB5031364، با مشکل در راه‌اندازی ماشین‌های مجازی (VM) مواجه شده‌اند. اکنون، شرکت مایکروسافت این مشکلات را تأیید کرده و اعلام کرده است که این مشکلات تنها بر روی میزبان‌های VMware ESXi تأثیر گذاشته‌اند که مدیران به‌روزرسانی منتشر شده را به عنوان بخشی از "پچ " نصب کرده‌اند.
"ماشین‌های مجازی تحت تأثیر یک خطا با یک صفحه آبی و کد توقف: PNP DETECTED FATAL ERROR مواجه خواهند شد". این مشکل تنها بر میزبان‌های VMware ESXi با پیکربندی زیر تأثیر می‌گذارد:
•    پردازنده فیزیکی  AMD Epyc
•    فعال بودن "Expose IOMMU to guest OS" در تنظیمات VMware برای ماشین مجازی.
•    فعال بودن "Enable Virtualization Based Security" در ویندوز سرور 2022.
•    فعال بودن "System Guard Secure Launch" در ویندوز سرور 2022.
تیم مهندسی مایکروسافت در حال کار بر روی رفع این مشکلات راه‌اندازی مجدد و مشکلات بوت ماشین‌های مجازی است، با احتمال آنکه رفع ممکن است در هفته آینده اعمال شود.

راه حل های موقت 
برای حل این مشکل شناخته‌شده، مدیران می‌توانند گزینه "Expose IOMMU to guest OS" را در تنظیمات ماشین‌های مجازی تحت تأثیر غیرفعال کنند. با این حال، این رفع موقت تنها در برخی از سیستم‌ها کار می‌کند، زیرا برخی محیط‌ها نیاز دارند که این گزینه فعال باشد.
مدیران ویندوز با دستگاه‌های تحت تأثیر همچنین گزارش داده‌اند که حذف بروزرسانی مشکل را حل خواهد کرد (هرچند همچنان تمام به‌روزرسانی‌های امنیتی را که این بروزرسانی ارائه می‌دهد را حذف می‌کند) و این اجازه را می‌دهد که ماشین‌های مجازی بدون هیچ مشکلی راه‌اندازی مجدد شوند.
برای انجام این کار، می‌توانید از ابزار Windows Update Standalone Installer (WUSA) استفاده کنید، که به نصب و حذف بسته‌های به‌روزرسانی از طریق Windows Update Agent API کمک می‌کند.

ابتدا منوی Start را باز کنید، CMD را تایپ کنید، روی برنامه Command Prompt راست کلیک کرده و گزینه 'Run as Administrator' را انتخاب کنید، سپس دستور زیر را اجرا کنید:
 
همچنین مایکروسافت در ژانویه و دسامبر ۲۰۲۲ به‌روزرسانی‌های اضطراری ویندوز سرور را منتشر کرد تا مشکلات شناخته‌شده‌ای که باعث متوقف شدن ماشین‌های مجازی Hyper-V و مشکلات در ایجاد ماشین‌های مجازی جدید در برخی از میزبان‌های Hyper-V می‌شد، را حل کند.

 مراجع

محققان IBM X-Force  نوع جدیدی از بدافزار GootLoader با نام GootBot را شناسایی کرده‌‌‌‌‌‌اند. این بدافزار جدید، به سرعت منتشر شده و سسیستم‌های زیادی را آلوده می‌کند و به سادگی نیز قابل شناسایی نیست.
براساس اعلام محققان IBM X-Force، گروه GootLoader بات اختصاصی خود را به منظور جلوگیری از شناسایی در آخرین مرحله حملات، در زمان استفاده از ابزارهایی C2 نظیر CobaltStrike یا RDP ارائه کرده است. GootBot امکان انتشار سریع در شبکه را به مهاجمان می‌‌‌‌‌‌دهد. بدافزار GootLoader به مهاجمان اجازه می‌دهد تا پس از جذب قربانیان به کمک راه‌‌‌‌‌‌کارهای SEO، بدافزار مرحله بعدی را برروی سیستم آنها دانلود نماید. این بدافزار با عامل مخرب Hive0127 (معروف به UNC2565) مرتبط است.
GootBot به یک تغییر تاکتیکی اشاره می‌کند که هدف آن دانلود یک محتوای بدافزاری، پس از آلوده‌‌‌‌‌‌شدن توسط GootLoader است. این بدافزار شامل یک اسکریپت مبهم PowerShell است و هدف آن اتصال به یک سایت وردپرس، جهت فرمان و کنترل و دریافت دستورات بیشتر است. نکته مهم در این میان استفاده از سرور C2 با کدنویسی سخت (hard-coded) و منحصر به فرد برای هر نمونه GootBot است که مسدود کردن ترافیک مخرب را دشوار می‌‌‌‌‌‌کند.
بدافزار GootBot هر 60 ثانیه یک بار اطلاعات را به سرور C2 خود ارسال می‌کند تا دستورات جدید PowerShell را برای اجرا دریافت کند و نتایج اجرا را در قالب درخواست‌های HTTP POST به سرور منتقل کند.
بدافزار GootLoader از راهکارهای SEO برای آلوده کردن سیستم‌های هدف استفاده می‌‌‌‌‌‌کند. در این شرایط کاربر در سایت‌‌‌‌‌‌های به ظاهر معتبر و قانونی، اقدام به پر کردن فرم‌‌‌‌‌‌هایی می‌‌‌‌‌‌کند و سپس پیامی به کاربر نشان داده می‌‌‌‌‌‌شود تا یک نسخه آرشیوی از اطلاعات ثبت شده را دانلود کند. این آرشیو با یک کد جاوا اسکریپت آلوده شده است.

توصیه‌های امنیتی
کشف GootBot نشان از عمق پیشرفت مهاجمان برای گریز از شناسایی و انجام اقدامات مخفیانه دارد. بنابراین کاربران باید در ورود به سایت‌‌‌‌‌‌ها و ثبت اطلاعات خود و سپس دانلود نسخه‌‌‌‌‌‌های آرشیوی از اطلاعات ثبت شده، دقت لازم را داشته باشند. به روزرسانی نرم‌‌‌‌‌‌افزارهای امنیتی جهت بررسی امنیتی فایل‌‌‌‌‌‌های دانلود شده و محدودسازی اجرای کدهای جاوا اسکریپت در مرورگرها، در جلوگیری از حملات این بدافزارها موثر است.

منابع خبر:
 

[1] https://thehackernews.com/2023/11/new-gootloader-malware-variant-evades.html
[2] https://securityintelligence.com/x-force/gootbot-gootloaders-new-approach-to-post-exploitation/
[3] https://isp.page/news/new-gootloader-malware-variant-evades-detection-and-spreads-rapidly/
[4] https://duo.com/decipher/new-gootloader-malware-variant-harder-to-detect-block

گوگل برای ماه نوامبر، 39 آسیب پذیری را در اندروید اصلاح کرده است. بیشتر آسیب پذیری ها شدت بالا دارند به غیر از 5 مورد که شدت بحرانی دارند. گوگل در بروزرسانی این ماه، مواردی رو به‌عنوان زیرودی مشخص نکرده است. علاوه بر بروزرسانی و اصلاح آسیب پذیری‌ها، گوگل یک ویژگی امنیتی جدید را هم برای برنامه های VPN فعال کرده است. برای مطالعه بیشتر اینجا کلیک نمایید.

مجموعه جدیدی از پکیج‌های مخرب پایتون با هدف سرقت اطلاعات حساس از سیستمهای توسعه‌دهندگان در مخزن پکیجهای پایتون (PyPl) شناسایی شده است. Checkmarx در گزارشی بیان کرد که: این پکیج‌ها بعنوان ابزارهای مبهمسازی استفاده میشوند و در ظاهر سالم و بی ضرر جلوه میکنند اما در اصل حاوی کدهای مخرب و بدافزار BlazeStealer هستند. این بدافزار یک اسکریپت مخرب اضافی را از یک منبع خارجی بازیابی کرده و یک ربات را فعال می‌کند که به مهاجمان کنترل کامل بر سیستم قربانی را می‌دهد.
این کمپین که از ژانویه 2023 آغاز شده است در مجموع هشت پکیج مخرب با نام‌های Pyobftoexe، Pyobfusfile، Pyobfexecute، Pyobfpremium، Pyobflite، Pyobfadvance، Pyobfuse و pyobfgood را انتشار داده‌اند که آخرین آنها در اکتبر منتشر شده است.
این ماژول‌ها دارای فایل‌های setup.py و init.py هستند که برای بازیابی اسکریپت پایتون میزبانی شده در transfer[.]sh طراحی شده‌اند و بلافاصله پس از نصب اجرا میشوند. این بدافزار که BlazeStealer نام دارد یک ربات Discord را اجرا می‌کند که با استفاده از آن مهاجم قادر است تا طیف گستردهای از اطلاعات مانند رمزعبورهای ذخیره شده در مرورگر وب و تصاویر را جمع‌آوری کند، دستورات مختلفی را اجرا کرده و بعد از غیرفعال‌سازی آنتی‌ویروس Microsoft Defender فایل‌های موجود در سیستم آلوده شده را رمزگذاری کند.
علاوه‌براین این بدافزار میتواند میزان استفاده از CPU را افزایش داده، اسکریپت Windows Batch را در لیست راه‌اندازی سیستم برای خاموش کردن دستگاه و حتی ایجاد خطای صفحه آبی (Blue Screen) سیستم را غیرقابل استفاده کند. Gelb خاطرنشان کرد: «این منطقی است که توسعهدهندگانی که درگیر مبهم‌سازی کد هستند، احتمالاً با اطلاعات ارزشمند و حساس سروکار دارند. بنابراین، برای یک هکر، این به معنای هدفی است که ارزش دنبال کردن دارد.»
حوزه متن‌باز همچنان زمینه مناسبی برای نوآوری است، اما نیاز به احتیاط دارد. توسعه‌دهندگان باید هوشیار باشند و پکیج‌ها را قبل از استفاده بررسی کنند. این توسعه از زمانی شروع شده است که شرکت امنیتی Phylum مجموعه‌ای از ماژول‌های npm با مضمون رمزنگاری - puma-com، erc20-testenv، blockledger، cryptotransact و chainflow را با قابلیت‌هایی برای ارائه مخفیانه بدافزار کشف کرد. در سال‌های اخیر، مخازن متنباز به عنوان راهی پرسود برای مهاجمان در انتشار بدافزارها ظاهر شده‌اند. طبق گزارش Phylum's Evolution of Software Supply Chain Security برای سه ماهه سوم 2023، 13708 پکیج در چندین اکوسیستم برای اجرای کدهای مشکوک در حین نصب یافت شده است.
با توجه به اینکه توسعه‌دهندگان زیادی از زبان برنامه‌نویسی پایتون استفاده میکنند و در حین توسعه ابزارهای مختلف از پکیج‌های مختلفی استفاده می‌کنند، لازم است تا به هشدارهای امنیتی توجه داشته و قبل از دانلود پکیج‌ها از سالم بودن آنها اطمینان داشته باشد. 
منابع خبر

https://thehackernews.com/2023/11/beware-developers-blazestealer-malware.html

محققین امنیتی شرکت Phylum پکیج های npm مخربی را کشف کرده اند که با استفاده از کدهای جاوااسکریپت سعی در آلوده سازی سیستم دارند. در حال حاضر 48 پکیج بعنوان پکیج مخرب شناسایی شده اند که از بین آن ها 39 پکیج هنوز قابل دسترس می باشد. محققین امنیتی شرکت Phylum مجموعه جدیدی از 48 پکیج مخرب npm را در مخازن npm کشف کردند که قابلیت استقرار reverse shell بر روی سیستم های در معرض خطر را دارند. این پکیج ها که بطور فریبنده ای نامگذاری شده اند حاوی جاوااسکریپت های مبهمی هستند که برای شروع یک reverse shell در هنگام نصب آن ها طراحی شده اند.
تمام این پکیج های مخرب و تقلبی توسط یک کاربر با نام hktalent (Github, X) منتشر شده است که در حال حاضر 39 پکیج از تمام پکیج های مخرب بارگذاری شده و برای دانلود موجود هستند. زنجیره حمله پس از نصب پکیج از طریق package.json فعال می شود که یک کد جاوااسکریپت را برای ایجاد reverse shell به rsh.51pwn[.]com فراخوانی می کند.
در این مورد مهاجم ده ها پکیج سالم را با چندین لایه مبهم سازی شده و تاکتیک های فریبنده منتشر کرده است (مهاجمان از روش های هوشمندانه مبهم سازی و تکنیک های مختلف برای جلوگیری از ردیابی از طریق تجزیه و تحلیل ایستا و بازرسی بصری استفاده می کنند) تا در نهایت یک reverse shell را روی هر ماشینی که به سادگی قابلیت نصب یکی از این پکیج ها را دارد، استقرار کند.
یافته ها پس از افشای دو پکیج منتشر شده در پکیج های پایتون (PyPl) با پوشش ساده سازی کدهای مخربی که برای حذف داده های حساس برنامه دسکتاپ تلگرام و اطلاعات حساس سیستم طراحی شده بود، بدست آمدند. پکیج هایی که به نام های localization-utils و locute نامگذاری شده اند، برای بازیابی پیلود نهایی از URL Pastebin بصورت پویا و ارسال اطلاعات استخراج شده به یک کانال تلگرامی تحت کنترل مهاجمان کشف شدند.
توسعه چنین پکیج هایی علاقه مهاجمان به محیط های متن باز را نشان می دهد که به آن ها اجازه می دهد تا حملات زنجیره تامین تاثیرگذاری را راه اندازی کنند که می تواند مشتریان و کاربران زیادی را مورد هدف قرار دهد. 
توصیه های امنیتی
یافته ها نشان می دهد که مهاجمان علاقه زیادی به فعالیت در حوزه پکیج های متن باز دارند و قصد دارند از این طریق حملات خود را عملی کنند. لذا توصیه می شود که برنامه نویسان و افرادی که قصد استفاده از چنین پکیج هایی دارند، ابتدا از سالم بودن آن اطمینان داشته باشند.  
منابع خبر

https://thehackernews.com/2023/11/48-malicious-npm-packages-found.html

بات‌نتی به نام Socks5Systemz  ده‌ها هزار سیستم را آلوده کرده است. این بدافزار پس از آلوده کرده سیستم، به صورت پنهانی از آن به عنوان proxy استفاده کرده و فعالیت‌های غیرقانونی و مخربی انجام می‌دهد .این بدافزار رایانه‌ها را آلوده می‌کند و آن‌ها را به پراکسی‌های انتقال ترافیک جهت ایجاد ترافیک مخرب، غیرقانونی یا ناشناس تبدیل می‌کند. این سرویس را به مشترکینی می‌فروشد که برای دسترسی به آن بین 1 تا 140 دلار در روز به صورت رمزنگاری پرداخت می‌کنند. در گزارش منتشر شده توسط BitSight، بات‌نت Socks5Systemz دست کم از سال 2016 فعالیت داشته است. 
ربات Socks5Systemz توسط بدافزار PrivateLoader و Amadey توزیع می‌شود که اغلب از طریق فیشینگ، کیت‌های بهره‌برداری، آلوده سازی فایل‌ها با بدافزار، فایل‌های اجرایی آلوده شده به تروجان دانلود شده و از شبکه‌های P2P و غیره منتشر می‌شوند. نمونه‌هایی که توسط BitSight مشاهده می‌شوند «previewer.exe» نام دارند و وظیفه آن‌ها تزریق ربات پراکسی به حافظه میزبان و ایجاد پایداری برای آن از طریق یک سرویس ویندوز به نام «ContentDWSvc» است. بارگذاری ربات پروکسی یک DLL 32 بیتی 300 کیلوبایتی است. از یک الگوریتم تولید دامنه (DGA) جهت اتصال به سرور کنترل و فرمان (C2) و ارسال اطلاعات پروفایل روی دستگاه آلوده استفاده می‌کند. در پاسخ، C2 می‌تواند یکی از دستورات زیر را برای اجرا ارسال کند:
idle : هیچ عملی انجام ندهید.
Connect: به سرور backconnect متصل شوید.
Disconnect: سرور backconnect قطع ارتباط کنید.
Updips: لیست آدرس‌های IP مجاز برای ارسال ترافیک را به‌روز کنید.
Upduris: هنوز پیاده‌سازی نشده است.
دستور اتصال بسیار مهم است و به ربات دستور می‌دهد تا یک اتصال سرور پشتیبان را از طریق پورت 1074/TCP برقرار کند. پس از اتصال به زیرساخت، دستگاه آلوده اکنون می‌تواند به عنوان یک سرور پروکسی استفاده شود و به سایرین فروخته شود.

 

هنگام اتصال به سرور backconnect، از فیلدی‌هایی استفاده می‌کند که آدرس IP، رمز عبور پروکسی، لیست پورت‌های مسدود شده و غیره را تعیین می‌کنند. این پارامترها تضمین می‌کنند که فقط ربات‌های موجود در لیست مجاز و با اعتبار ورود لازم می‌توانند با سرورهای کنترل تعامل داشته باشند و مسدود شوند. 
 

BitSight یک زیرساخت کنترل گسترده از 53 ربات پراکسی، بک‌کانکت، DNS و سرورهای کسب آدرس را که عمدتاً در فرانسه و در سراسر اروپا (هلند، سوئد، بلغارستان) واقع شده‌اند، ترسیم کرد.
از آغاز ماه اکتبر، تحلیلگران 10000 تلاش ارتباطی متمایز بر روی پورت 1074/TCP با سرورهای بک‌کانکت شناسایی شده را ثبت کردند که نشان دهنده تعداد مساوی قربانیان است. دسترسی به خدمات پراکسی Socks5Systemz در دو سطح اشتراک، یعنی "Standard" و "VIP" فروخته می‌شود، که مشتریان از طریق درگاه پرداخت ناشناس (بدون KYC) "Cryptomus" پرداخت می‌کنند. مشترکین باید آدرس IP را که ترافیک پروکسی از آنجا منشأ می‌گیرد، اعلام کنند تا به لیست مجاز ربات اضافه شود.
مشترکین استاندارد به یک رشته و نوع پراکسی محدود می شوند، در حالی که کاربران VIP می‌توانند از 100-5000 رشته استفاده کنند و نوع پروکسی را روی SOCKS4، SOCKS5 یا HTTP تنظیم کنند. قیمت هر یک از خدمات ارائه شده در تصویر زیر آورده شده است.

 

بات‌نت‌های پروکسی یک تجارت پرسود است که تأثیر قابل توجهی بر امنیت اینترنت و ربودن غیرمجاز پهنای باند دارد. این خدمات معمولاً برای دور زدن محدودیت‌های جغرافیایی مورد استفاده قرار می‌گیرند که باعث محبوبیت آن‌ها می‌شود. 

منبع خبر:

https://www.bleepingcomputer.com/news/security/socks5systemz-proxy-service-infects-10-000-systems-w…