دو آسیب‌‌پذیری بحرانی با شناسه‌‌های CVE-2023-37265 و CVE-2023-37266 و شدت CVSS 9.8 در نرم‌افزار متن‌‌باز CasaOS Cloud کشف شده است که مهاجمان با استفاده از آن‌‌ها می‌‌توانند کنترل سیستم-های حساس را در دست گرفته و کدهای دلخواه خود را بصورت موفق اجرا کنند؛ آن‌ها همچنین می‌‌توانند JWTهای دلخواه خود را ساخته، به بخش‌‌های مختلف دسترسی پیدا کرده و دستورات دلخواه خود را سطح دسترسی root اجرا کنند.
Thomas Chauchefion محقق امنیتی Sonar که این آسیب‌‌پذیری‌‌ها را کشف کرده است بیان کرد که: «این آسیب‌‌پذیری‌‌ها به مهاجمان اجازه می‌‌دهد تا فرآیند احرازهویت را دور زده و به داشبورد CasaOS دسترسی کامل داشته باشند.»
مسئله نگران‌‌کننده‌‌ این است که با استفاده از CasaOS Support برای برنامه‌‌های شخص ثالث می‌‌توان کدها و دستورات دلخواه را بر روی سیستم، برای دسترسی دائمی به دستگاه یا دسترسی به شبکه داخلی استفاده کرد.
خوشبختانه پس از افشای این آسیب‌‌پذیری‌‌ها موارد اعلام شده در نسخه 0.4.4 رفع شده و در 14 جولای 2023 بصورت رسمی منتشر شده است.

جزئیات این دو آسیب‌‌پذیری به شرح زیر می‌باشد:
•    CVE-2023-37265
تشخیص نادرست آدرس IP منبع که به مهاجمان احرازهویت نشده اجازه می‌‌دهد تا دستورات دلخواه خود را بعنوان کاربر root اجرا کنند. براساس گفته‌‌های Chaichefion آدرس‌‌های IP در لایه Application مستعد خطر بوده و نباید برای تصمیم‌‌گیری‌‌های امنیتی به آن اعتماد کرد. 
•    CVE-2023-37266
مهاجمان احرازهویت نشده می‌‌توانند توکن‌‌های وب (JWT) دلخواه را ایجاد کرده و به ویژگی‌‌ها و بخش‌‌هایی که نیاز به احرازهویت دارند دسترسی کامل داشته و دستورات دلخواه خود را بعنوان کاربر root اجرا کنند.
بسیاری از هدرهای مختلف ممکن است که اطلاعات گوناگونی مانند X-Forwarded-For، Forwarded و غیره را منتقل کنند و APIهای زبان برنامه‌‌نویسی گاهی نیاز دارند که تفاوت‌‌های ظریف پروتکل HTTP را به خوبی تفسیر کنند. بطور مشابه همه فریم‌‌ورک‌‌ها نیز ویژگی‌‌های خاص خود را دارند که می‌‌توانند مشکل‌‌ساز باشند و باید بصورت کامل این ویژگی‌‌ها را شناخته و به خوبی استفاده شود.
در نتیجه بهره‌‌برداری موفق از نواقص امنیتی ذکر شده به مهاجمان اجازه می‌‌دهد تا محدودیت احرازهویت را دور زده و امتیازات مدیریتی را در نمونه‌‌های آسیب‌‌پذیر CasaOS بدست آورند.

توصیه امنیتی
این نقص‌های امنیتی در نسخه CasaOS 0.4.4 برطرف شده و کاربران باید هر چه سریع‌تر نرم‌‌افزار خود را به این نسخه ارتقاء دهند.

منابع خبر:

[1] https://thehackernews.com/2023/10/critical-vulnerabilities-uncovered-in.html 
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-37266 
 

در سال‌های اخیر باج‌افزارها به چالش جدی برای کاربران و سازمان‌ها بدل شده‌اند و با رمزنگاری داده‌های ارزشمند کاربران و سازمان‌ها، داده‌ها را در ازای بازگرداندن آن‌ها و دریافت باج، به گروگان می‌گیرند. در حقیقت می‌توان گفت یکی از بزرگ‌ترین تهدیدات رایج دنیای کنونی فضای دیجیتال برای کاربران، شرکت‌ها و سازمان‌های بزرگ و کوچک، باج‌افزارها هستند. از طرفی دیگر با پیشرفت روش‌ها و ابزارهای مبتنی بر هوش مصنوعی، توسعه‌دهندگان این نوع از بدافزارها، جهت ارتقاء قابلیت‌های باج‌افزار خود، انواع جدید و هوشمندتری توسعه داده‌اند که با استفاده از الگوریتم‌های یادگیری ماشین و تکنیک‌های پیشرفته، می‌توانند متن‌های فریبنده‌تری تولید کنند، پیام‌های باج‌خواهی را برای هر قربانی سفارشی کنند، داده‌های مهم و حساس را شناسایی کرده و سطح رمزنگاری را بالاتر و پیچیده‌تر کنند. این باج‌افزارهای هوشمند چالش جدید و بزرگی را برای امنیت سایبری شرکت‌ها و استارت آپ‌ها ایجاد کرده‌اند.
باج‌افزارهای هوشمند چگونه عمل می‌کنند؟
 باج‌افزارهای هوشمند، برخلاف باج‌افزارهای نسل‌های قبل‌تر، از مدل هوش مصنوعی مولد (Generative AI) استفاده می‌کنند که قادر به تولید محتوای جدید و منحصر به فرد هستند. این الگوریتم‌ها، براساس داده‌های آموزش داده شده به آن‌ها، قالب و سبک نوشتار را یاد می‌گیرند و سپس با تغییر جزئیات، محتوای جدید و شبیه به آن را تولید می‌کنند.
 برخی از باج‌افزارهای هوشمند، ازGPT-3  استفاده می‌کنند که یک مدل مولد قدرتمند و پرطرفدار است. GPT-3، براساس 175 میلیارد پارامتر آموزش داده شده است و قادر به تولید محتوای متنی در هر زمینه و سبکی می‌باشد. این الگوریتم، می‌تواند متن‌های فریبنده‌ای را برای ایمیل‌های باج‌خواهی، فاکتورهای جعلی، مقالات تقلبی و حتی کد نرم‌افزاری مخرب تولید کند.
 باج‌افزارهای هوشمند، با استفاده از این الگوریتم‌ها، می‌توانند پیام‌های باج‌خواهی را برای هر قربانی سفارشی‌سازی کنند. برای مثال، آن‌ها می‌توانند نام، سمت، شرکت و داده‌های مورد نظر قربانی را شناسایی کرده و در پیام باج‌خواهی به آن‌ها اشاره کنند. این کار، منجر به افزایش اثربخشی پیام می‌شود و می‌تواند قربانی را تحت فشار بیشتری قرار ‌دهد.
 علاوه بر این، باج‌افزارهای هوشمند، می‌توانند سطح رمزنگاری داده‌ها را بالاتر و پیچیده‌تر کنند. آن‌ها، با استفاده از مدل‌های مولد، می‌توانند کلید رمزگشایی را به صورت تصادفی و منحصر به فرد تولید کنند. این کار، باعث می‌شود که داده‌ها فقط با پرداخت باج قابل دسترس شوند و هرگونه تلاش برای رمزگشایی داده‌ها بدون کلید، ناموفق باشد.
چگونه باج‌افزارهای هوشمند شکل گرفتند؟
باج‌افزارهای هوشمند، نتیجه استفاده نادرست و خلاف قانون از GPT-3 هستند. GPT-3، توسط شرکت OpenAI توسعه داده شده است که در چند سال اخیر در حال کار بر روی این سرویس بوده است. OpenAI، هدف خود را ترویج هوش مصنوعی قرار داده و در تلاش است تا هوش مصنوعی را برای همگان در دسترس قرار دهد.
OpenAI یکAPI  را ارائه داده است که به طور محدود و تحت نظارت به برخی از سازمان‌ها و افراد اجازه می‌دهد تا از GPT-3 استفاده کنند. OpenAI، قوانین اخلاقی و قانونی را جهت استفاده از API تعیین کرده است و از هرگونه استفاده نامطلوب یا خلاف قانون جلوگیری می‌کند.
با این حال، برخی از توسعه‌دهندگان باج‌افزارها و مجرمان سایبری توانسته‌اند به نحوی به API از GPT-3 دسترسی پیدا کنند و از آن جهت توسعه باج‌افزارهای هوشمند استفاده کنند. باج‌افزارهای هوشمند، نمونه‌ای از سوء‌استفاده از هوش مصنوعی توسط مجرمان سایبری است که برای مقابله با این تهدید، لازم است که اقدامات لازم را انجام داد. 
 

توصیه‌های امنیتی
باج‌افزارهای هوشمند، چالش جدید و پیچیده‌ای را برای امنیت سایبری شرکت‌ها و استارت آپ‌ها ایجاد کرده‌اند. جهت مقابله با این تهدید، لازم است که اقدامات پیشگیرانه و واکنشی را به صورت همزمان انجام داد. برخی از این اقدامات عبارتند از:
- استفاده از نرم‌افزارهای شناسایی بدافزار و باج‌افزار به‌روز و قابل اعتماد
- پشتیبان‌گیری منظم و مطمئن از داده‌های مهم و حساس
- آگاهی و آموزش کارکنان درخصوص Spam‌ها، ایمیل‌ها و لینک‌های مخرب
- استفاده از رمز عبور پیچیده و مطمئن و منحصر به فرد برای حساب‌های کاربری مختلف
- محدود کردن دسترسی به داده‌ها و شبکه‌ها براساس نقش و نیاز کاربران
- گزارش هرگونه حمله یا مورد مشکوک به مسئولین فناوری اطلاعات و امنیت سایبری سازمان

منابع و مراجع:

[1]https://www.zdnet.com/article/ransomware-victims-continue-to-pay-up-while-also-bracing-for-ai-enhan…
[2]https://thehackernews.com/2023/10/exploring-realm-of-malicious-generative.html?m=1
 

یک آسیب‌پذیری با شدت بالا در نسخه‌های قبل از 6.23 نرم‌افزار WinRAR کشف شده است که توسط هکرهای (APT29) مورد بهره‌برداری قرار گرفته که منجر به دسترسی از راه‌دور آن‌ها خواهد شد. این آسیب‌‌پذیری با شناسه CVE 2023‌‌38831 در 23 آگوست 2023 توسط NIST گزارش شده است ولی بررسی‌ها نشان می‌دهد که از آوریل 2023 مورد بهره‌برداری قرار گرفته و کاربران زیادی را تحت تأثیر قرار داده است.

براساس گزارش‌های محققان، این آسیب‌‌‌پذیری به این دلیل رخ می‌‌‌دهد که مهاجمان در یک فایل آرشیو ZIP از یک فایل سالم در کنار یک پوشه همنام که دارای فایل‌‌‌های مخرب است استفاده کرده و از این طریق حملات خود را انجام می‌‌‌دهند. تصویر زیر محتویات این فایل آرشیو را نشان می‌‌‌دهد که دارای یک فایل سالم با نام ReadMe.txt و یک پوشه با همین نام است.
 

بررسی این فایل آرشیو نشان می‌دهد که:
•    مهاجمان فایل آرشیو را به گونه‌ای ایجاد می‌کنند که نام پوشه و فایل یکسان باشد.
•    با توجه به اینکه ویندوز اجازه نمی‌دهد تا فایل‌ها و پوشه‌ها در یک مسیر نام یکسانی داشته باشند، نشان می‌دهد که پس از ایجاد یک فایل ZIP معمولی با تغییر بایت‌های مختلف نام فایل و پوشه تغییر یافته و یک نام یکسان استفاده می‌شود.
•    وقتی محتویات پوشه بررسی می‌شود، فایل‌های زیادی وجود دارد که مهم‌ترین آن‌ها یک فایل bat حاوی اسکریپت مخرب است.
•    فایل bat نیز نامی مشابه با فایل سالم همنام پوشه دارد.
•    با بررسی اسکریپت می‌توان دید که cmd را در حالت Minimized راه‌اندازی کرده و سپس به پوشه temp جایی که WinRar فایل‌ها را استخراج می‌کند، رفته و سعی می‌کند تا فایل weakicons.com را که در داخل پوشه وجود دارد، پیدا کند و آن را با wmic اجرا کند.
•    با بررسی weakicon.com متوجه می‌شویم که یک فایل CAB SFX است.
گزارش‌های Cluster25 نشان می‌دهد که گروه‌های هکری (APT29) از این نقص امنیتی سوءاستفاده کرده و با استفاده از حملات فیشینگ سعی دارند تا اعتبارنامه‌های موجود در سیستم‌های در معرض خطر را جمع‌آوری کنند.
فایل آرشیوی که در این حملات استفاده می‌شود شامل یک فایل pdf مخرب است که با کلیک روی آن اسکریپت‌های دسته‌ای ویندوز اجرا می‌شود و با استفاده از دستورات Powershell دسترسی از راه‌دور را برای مهاجمان فراهم می‌آو‌رد.
همچنین یک اسکریپت Powershell تعبیه شده است که داده‌های مختلف از جمله اعتبارنامه ورود را از مرورگرهای Google Chrome و Microsoft Edge جمع‌آوری کرده و برای مهاجمان ارسال می‌کند. 
CVE-2023-38831 یک آسیب‌پذیری با درجه شدت بالا در WinRAR است که به مهاجم اجازه می‌دهد تا دستورات دلخواه خود را هنگام بازکردن فایل مخرب در یک فایل آرشیو ZIP شده اجرا کند. یافته‌های Group-IB نیز نشان می‌دهد که این آسیب‌پذیری از آوریل 2023 بعنوان یک آسیب‌پذیری zero-day در حملات مختلفی، مورد بهره‌برداری قرار گرفته است.

محصولات تحت تأثیر
کلیه سیستم‌هایی که از WinRar نسخه قبل از 6.23 استفاده می‌کنند در برابر این حملات آسیب‌پذیر بوده و باید هرچه زودتر این ابزار را به‌روزرسانی کنند.

توصیه امنیتی
کاربران در اسرع وقت، نرم‌افزار WinRarخود را به نسخه 6.23 ارتقاء دهند.

منابع خبر:

[1] https://thehackernews.com/2023/10/pro-russian-hackers-exploiting-recent.html 
[2] https://www.mcafee.com/blogs/other-blogs/mcafee-labs/exploring-winrar-vulnerability-cve-2023-38831
 

شرکت سیسکو در تاریخ ۱۶ اکتبر ۲۰۲۳ در بولتن امنیتی خود اعلام کرد که یک آسیب‌پذیری جدید و بحرانی بر روی وب UI نرم‌افزار Cisco IOS XE کشف شده است که به صورت فعال توسط مهاجمین در حال بهره‌برداری است. این آسیب‌پذیری بحرانی با درجه حساسیت 10 با شناسه CVE-2023-20198  قابل پیگیر خواهد بود و به مهاجم اجازه می‌دهد که بدون نیاز به هویت‌سنجی، یک حساب کاربری با سطح دسترسی ۱۵ (بالاترین سطح) ایجاد کرده که منجر به دسترسی و کنترل کامل دستگاه توسط مهاجم خواهد شد.
این آسیب‌پذیری تنها زمانی قابل استفاده است که قابلیت وب UI نرم‌افزار Cisco IOS XE فعال باشد و به اینترنت یا شبکه‌های ناامن متصل باشد. شرکت سیسکو توصیه کرده است که برای جلوگیری از سوءاستفاده از این آسیب‌پذیری، قابلیت وب UI را تا زمانی که راه‌حلی پایدار برای آن منتشر کند غیرفعال کنند. با توجه به اینکه در حال حاضر هیچگونه وصله امنیتی برای آسیب‌پذیری مذکور منتشر نشده است، برای جلوگیری از سوء استفاده؛ سرویس Web UI می‌بایست از طریق دستورات زیر غیر فعال شود:

no ip http secure-server

همچنین، شرکت سیسکو در حال تحقیق بر روی این آسیب‌پذیری است و انتظار می‌رود که به محض آماده شدن راه‌حل، راهکار نرم‌افزاری خود را منتشر کند.

منابع و مراجع:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-….

https://www.tenable.com/blog/cve-2023-20198-zero-day-vulnerability-in-cisco-ios-xe-exploited-in-the…

محققان امنیتی در حال تحقیق و بررسی بیشتر ویژگی‌های مختلف یک تروجان بانکی به نام SpyNote می‌باشند که دستگاه‌های اندرویدی را مورد هدف قرار می‌دهد. به گفته یکی از محققان شرکت F-Secure (به نام آمیت تامب)، روش معمول نصب این تروجان از طریق کلیک بر روی پیوند (link) ارسالی از طریق پیامک جعلی می باشد. 
روش شناسایی این تروجان ارسال درخواست مجوزهای مخاطره‌آمیز جهت دسترسی به اطلاعات تماس، دوربین، پیامک و حافظه خارجی می‌باشد. این تروجان جهت جلوگیری از شناسایی، خود را از صفحه اصلی Android و بخش فعالیت‌های اخیر صفحه نمایش پنهان می¬کند.
به گفته آمیت تامب، بدافزار SpyNote را می‌توان از طریق یک درخواست خارجی راه‌اندازی کرد؛ به این صورت که پس از رسیدن به هدف مورد نظر، بدافزار فعالیت اصلی خود را اجرا می‌کند؛ اما مهم‌تر از همه، این تروجان به دنبال مجوزهای دسترسی می‌باشد که از آن‌ها جهت اعطای مجوزهای اضافی برای ضبط تماس‌های صوتی و تلفنی، ورود به سیستم و همچنین گرفتن اسکرین‌شات از تلفن از طریق MediaProjection API استفاده کند.
بررسی دقیق‌تر این بدافزار، حاکی از وجود خدمات diehard services می‌باشد که هدف آن مقاومت در برابر تلاش‌های صورت‌گرفته از طرف قربانیان یا سیستم‌عامل جهت متوقف کردن آن است. این امر با ثبت (رجیستر) یک broadcast receiver انجام می‌شود که به همین منظور طراحی شده است تا هر زمان که قرار است متوقف شود، به طور خودکار آن را مجددا راه‌اندازی کند. 
شایان ذکر است که این بدافزار بر روی دستگاه قربانی پنهان می¬ماند و کاربر به راحتی متوجه وجود آن نخواهد شد. علاوه بر آن حذف آن از دستگاه قربانی بسیار دشوار است و در صورت استقرار، تنها راه‌حل پیش‌روی قربانی ریست کردن دستگاه و برگردادن آن به تنظیمات کارخانه می‌باشد که با انجام این کار کلیه داده¬های خود را نیز از دست خواهد داد.

توصیه امنیتی
به کاربران توصیه می‌شود جهت جلوگیری از آلوده شدن دستگاه‌های اندرویدی خود به این بدافزار، توصیه‌های امنیتی زیر را در نظر بگیرند:

•    از دانلود هر گونه برنامه به صورت مجزا جهت به‌روزرسانی نرم‌افزارهای اندوردیدی خودداری کنید (مثلاً به‌روزرسانی برنامه‌ها جهت افزودن ویژگی‌های جدید به برنامه واتس‌اپ، یا برنامه‌هایی که به‌روزرسانی‌های Android را به صورت مجزا ارائه می‌دهند.)
•    از دانلود برنامه‌های خارج از فروشگاه‌های نرم‌افزاری (اپ‌استورها) رسمی خودداری کنید.
•    مجوزهای دسترسی به برنامه‌های خود را بررسی و مدیریت کنید.
•    مراقب درخواست هر گونه مجوز اضافی و خارج از نیاز جهت دسترسی به برنامه‌های خود باشید (مثلاً مجوز مدیریت دستگاه).
•    از نرم‌افزارهای حفاظتی ایمن جهت جلوگیری از تهدیدات مخرب در دستگاه خود استفاده کنید.

منابع:

 https://thehackernews.com/2023/10/spynote-beware-of-this-android-trojan.html
https://blog.f-secure.com/take-a-note-of-spynote/
https://blog.f-secure.com/android-guncelleme-dissecting-a-malicious-update-installer/

بدافزار جدیدی در قالب یک افزونه وردپرس کشف شده است که سایت‌های وردپرس را مورد هدف قرار خواهد داد و به مهاجم اجازه می‌دهد تا با ایجاد یک حساب کاربری با سطح دسترسی ادمین، فعالیت‌های سایت را کنترل کند.
این بدافزار یک backdoor با عملکرد مختلف می‌باشد که برای مهاجم این امکان را فراهم می‌آورد تا افزونه‌ها را مدیریت کرده و خود را در بین افزونه‌های فعال وب‌سایتی که در معرض خطر است، پنهان و محتوای مورد نظر را جایگزین کند و یا برخی از کاربران را به صفحات مخرب هدایت کند.

تحلیلگران Defiant این بدافزار را در ماه جولای هنگام بازنگری یک وب‌سایت وردپرس، کشف کردند. با بررسی بیشتر این بدافزار مشخص شده است که خود را به عنوان یک ابزار caching پنهان خواهد کرد تا از این طریق به کاهش بار سرور و بهبود زمان بارگذاری صفحه کمک کند. همانطور که پیش‌تر نیز به آن اشاره شد، این افزونه مخرب، خود را از لیست "افزونه‌های فعال" مخفی نگه داشته تا از این طریق بررسی‌های امنیتی را دور بزند. افزونه ی مذکور دارای قابلیت‌های زیر می‌باشد:
•    ایجاد کاربر: با استفاده از یک تابع، کاربری با نام "superadmin" و رمز عبور دشوار خواهد ساخت که دارای سطح دسترسی ادمین می‌باشد، این بدافزار پس از انجام عملیات مخرب، از طریق تابع دیگری، کاربر superadmin را حذف می‌کند.

•    شناسایی ربات: هنگامی که بازدیدکنندگان سایت به عنوان یک ربات شناسایی می‌شوند، بدافزار محتوای مختلفی از جمله هرزنامه را به آن‌ها ارائه خواهد داد تا از این طریق سایت را در معرض خطر محتوای مخرب قرار دهد و این امر موجب خواهد شد تا ادمین سایت شاهد افزایش ناگهانی ترافیک و یا دریافت گزارش‌های شکایت مبنی بر هدایت کاربران به صفحات مخرب شود.

•    جایگزینی محتوا: بدافزار مذکور می‌تواند پست‌ها و محتوای صفحه را تغییر داده و لینک‌های spam را وارد کند و در نهایت به ادمین سایت، محتوای تغییر داده نشده را ارائه خواهد داد تا روند تحقیق و بررسی را از طرف وی به تأخیر بیاندازد.
•    کنترل افزونه: اپراتورهای این بدافزار قادر خواهند بود تا افزونه‌های وردپرس دلخواه خود را از راه دور در سایت هدف، فعال یا غیرفعال کنند و در نهایت ردپای خود را از پایگاه داده سایت پاک کرده تا فعالیت‌های آن مخفی بماند.

•    فراخوانی از راه دور: این backdoor با بررسی کاربران خاص، به مهاجمان اجازه خواهد داد تا از راه دور توابع مخرب را فعال کند.
به گفته محققان، به طور کلی قابلت‌های فوق الذکر مهاجم را قادر خواهد ساخت تا از راه دور به طور کامل کنترل سایت را در دست گرفته و از این طریق کسب درآمد کند. به گفته تحلیلگران Defiant، در حال حاضر هیچ جزئیاتی مبنی بر آن که چه تعداد وب‌سایتی در معرض خطر این بدافزار مخرب قرار گرفته‌اند ارائه نشده است. 
به طور کلی می‌توان گفت روش‌های معمول جهت به خطر انداختن یک وب‌سایت توسط مهاجمان، سرقت اطلاعات ورود کاربر و مجوزهای دسترسی وی، تغییر یا تخصیص گذرواژه‌ و یا بهره‌برداری از یک آسیب‌پذیری در قالب یک افزونه می‌باشد.

توصیه امنیتی
Defiant یک detection signature از نسخه رایگان Wordfence برای کاربران خود منتشر کرده است و یکrule  فایروال جهت محافظت از کاربران Premium، Care و Response در مقابل حملات backdoor اضافه کرده است. شایان ذکر است که مدیران وب‌سایت‌ها باید در ساخت حساب کاربری از اطلاعات ورود قوی و منحصر به فرد استفاده کرده، افزونه‌های خود را به‌روزرسانی کنند و افزونه‌های بلااستفاده را حذف کنند.

منبع خبر:

https://www.bleepingcomputer.com/news/security/new-wordpress-backdoor-creates-rogue-admin-to-hijack…

محققان شرکت AhnLab نوعی از حملات بدافزاری را شناسایی کردند که از آدرس‌های IP تبدیل شده به هگزادسیمال جهت نصب، راه‌ندازی ShellBot و بهره‌برداری از آن استفاده می‌کنند. این بدافزار قادر به دانلود بدافزارهای مخرب دیگر، اجرای حملات DDoS و همچنین استخراج ارزهای دیجیتالی می‌باشد.
مهاجمانی که در پشت ShellBot قرار دارند از آدرس‌های IP تبدیل شده به هگزادسیمال جهت نفوذ به سرورهای SSH لینوکس با مدیریت ضعیف و استقرار بدافزار و اجرای حملات DDoS استفاده می‌کنند.
مرکز پاسخگویی اضطراری امنیتی (ASEC ) شرکت Ahnlab در گزارش جدیدی که منتشر کرده است، بیان کرد که: «جریان کلی حمله همانند سایر حملات است اما آدرس URL دانلودی که مهاجمان جهت نصب ShellBot استفاده می‌کنند، یک آدرس IP معمولی است که به صورت هگزادسیمال تبدیل شده است.»
ShellBot که بعنوان PerlBot نیز شناخته می‌شود به سرورهایی که دارای اعتبارنامه SSH ضعیفی هستند، از طریق حمله دیکشنری ، حملات DDoS خود را اجرا کرده و از آن‌ها جهت استخراج ارزهای دیجیتال استفاده می‌کند.
این بدافزار که در Perl توسعه یافته است، از پروتکل IRC جهت برقراری ارتباط با سرور فرمان و کنترل (C2) استفاده می‌کند.
آخرین حملات مشاهده شده از طریق این بدافزار مربوط به نصب بدافزار از طریق آدرس‌های IP هگزادسیمال شده بصورت hxxp://0x2763da4e می‌‌باشند که با تبدیل آن به آدرس IP معمولی می‌توان مقدار 39.99.218[.]78 را مشاهده کرد. هدف از این تبدیل تلاش برای فرار از امضاهای شناخته شده مبتنی‌بر URL است.
محققان ASEC بیان کردند: «به دلیل استفاده از Curl برای دانلود و توانایی آن جهت پشتیبانی از هگزادسیمال صحیح مانند مرورگرهای وب، ShellBot را می‌توان با موفقیت در یک محیط لینوکس دانلود و از طریق Perl اجرا کرد.»

محصولات تحت تأثیر
شرکت‌‌ها، سازمان و افرادی که از سرور SSH در لینوکس استفاده می‌‌کنند مستعد این حملات هستند و نیاز است که از رمزعبورهای قوی استفاده کرده و آن‌‌ها را بصورت دوره‌‌ای تغییر دهند.

توصیه‌ امنیتی
با توجه به اینکه ShellBot می‌تواند برای نصب بدافزار اضافی یا راه‌اندازی انواع مختلف حملات از سرور آسیب‌دیده استفاده کند، توصیه می‌شود که کاربران از گذرواژه‌های قوی استفاده کرده و بصورت دوره‌ای آنها را تغییر دهند تا در برابر حملات brute-force و dictionary مقاوم باشند.
این خبر زمانی منتشر شد که مهاجمان در تلاش برای توزیع بدافزارهای سرقت اطلاعات مانند Lumma Stealer و نوعی از Redline Stealer که با نام RecordBreaker شناخته می‌‌شود، گواهینامه‌‌های غیرعادی با رشته‌‌های بسیار طولانی برای فیلدهای Subject و Name ایجاد می‌‌کنند.
این نوع بدافزارها از طریق صفحات مخربی که به راحتی از طریق موتورهای وب قابل دسترسی هستند (SEO poisoning)، توزیع می‌‌شوند که تهدیدی برای طیف گسترده‌‌ای از کاربران نامشخص است. این صفحات مخرب در درجه اول از کلمات کلیدی مرتبط با برنامه‌‌های غیرقانونی مانند سریال‌‌ها و کرک‌‌ها استفاده می-کنند.
 

منابع خبر:

[1] https://www.darkreading.com/cloud/shellbot-cracks-linux-ssh-servers-debuts-new-evasion-tactic
[2] https://thehackernews.com/2023/10/shellbot-uses-hex-ips-to-evade.html

گروه باج افزاری AvosLocker که از سال ۲۰۲۱ فعالیت خود را آغاز کرده است، با استفاده از نرم‌افزارهای معتبر و ابزارهای متن‌باز مدیریت سیستم از راه دور، به شبکه‌های سازمان‌ها نفوذ می‌کند و با تهدید به فاش کردن داده‌های سرقت شده، از کاربران درخواست باج می‌کند. این گروه در قالب یک باج‌افزار به عنوان سرویس RaaS (Ransomware as a Service) عمل می‌کند و به دنبال سودآوری هر چه بیشتر است. AvosLocker نام باج‌افزاری است که توسط این گروه پخش می‌شود.
گروه باج افزاری AvosLocker در سال ۲۰۲۳ مشغول به انجام حملات علیه بخش‌های زیرساخت حیاتی در کشورهای مختلف شده که برخی از آن‌ها تا ماه می ۲۰۲۳ شناسایی شده‌ بودند. در بازه زمانی دسامبر ۲۰۲۱ تا فوریه ۲۰۲۲، AvosLocker حدود چهار هزار سرویسRDP  را مورد هدف قرار داد و حوزه‌های مختلف اقتصادی، صنعتی، درمان، تولید، سازمان‌های دولتی و آموزشی قربانیان این حملات شدند.
باید توجه داشت که باج‌افزار AvosLocker از روش‌های مختلفی جهت نفوذ به شبکه‌ها استفاده می‌کند که برخی از روش‌های شناسایی شده عبارتند از:

• استفاده از فیشینگ، سرقت گذرواژه RDP یا حملات brute force
• استفاده از نقص Log4j جهت دریافت باج‌افزار بر روی سیستم قربانی
• استفاده از نرم‌افزار Cobalt Strike جهت حرکت در شبکه و دریافت باج‌افزار

توصیه‌های امنیتی
CISA در تاریخ 11 اکتبر 2023 مجددأ در خصوص افزایش حملات باج افزار AvosLocker هشدار صادر کرد. این سازمان توصیه کرده‌ است که سازمان‌های زیرساخت حیاتی تدابیر لازم را جهت کاهش تأثیر حملات باج‌افزار AvosLocker و سایر حملات باج‌افزاری اتخاذ کرده و رعایت تمهیدات امنیتی زیر را در دستور کار خود قرار دهند:

• قطع دسترسی به سرویس RDP و سایر سرویس‌های دسکتاپ از راه دور
• امن کردن PowerShell و یا محدود کردن استفاده از آن
• به‌روزرسانی سیستم‌عامل و نرم‌افزارها به آخرین نسخه و اعمال به‌روزرسانی‌های رفع آسیب‌پذیری به صورت منظم
• پشتیبان‌گیری منظم از داده‌ها و نگهداری آن‌ها در محل‌های امن

منابع خبر:

[1] https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-284a.
[2] https://www.avertium.com/resources/threat-reports/in-depth-look-at-avoslocker-ransomware.
[3] https://thehackernews.com/2023/10/fbi-cisa-warn-of-rising-avoslocker.html.
[4] https://www.cisa.gov/news-events/alerts/2023/03/02/fbi-and-cisa-release-stopransomware-royal-ransom….
[5]https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2928709/cisa-fbi-nsa-and-internation….
[6]https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/2784757/cisa-fbi-and-nsa-release-con….

به تازگی یک آسیب‌پذیری با شناسه CVE-2023-43641 و شدت 8.8 در رابط گرافیکی دسکتاپ GNOME شناسایی شده است که دلیل آن نقص اختلال در حافظه یا memory corruption در کتابخانه متن باز libcue عنوان شده است. این کتابخانه در Tracker Miner به عنوان ابزار داده¬کاوی در فایل سیستم‌، کاربرد دارد.
این آسیب‌پذیری، ریشه در دسترسی به index ‌های خارج از محدوده (out-of-bounds) یک آرایه در تابع (track_set_index) دارد. مهاجم می‌تواند با فریب دادن قربانی برای کلیک کردن روی پیوند مخرب و دانلود یک فایل cue، امکان اجرای کد در دستگاه قربانی را بدست آورد. از آنجا که در GNOME، فایل¬ها در مسیر /Downloads ذخیره می‌شوند، با توجه به پسوند این فایل، Tracker Miner با استفاده از libcue شروع به تحلیل این فایل می‌کند. از این طریق مهاجم قادر به اجرای حمله کد از راه دور (RCE) خواهد بود.

محصولات تحت تأثیر
این رابط کاربری که در اکثر توزیع¬های لینوکس مانند Debian، Fedora و Ubuntu به عنوان محیط گرافیکی دسکتاپ در حالت پیش‌فرض استفاده می‌شود، طیف وسیعی از کاربران لینوکس را در معرض این آسیب‌پذیری قرار می‌دهد. نسخه‌های 2.2.1 و قبل تر کتابخانه libcue تحت تاثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
کاربران نسخه‌های مختلف لینوکس باید هرچه سریع¬تر، سیستم‌عامل خود را به آخرین منتشر شده بروزرسانی کنند.

منابع خبر:

[1] https://thehackernews.com/2023/10/libcue-library-flaw-opens-gnome-linux.html
[2] https://github.com/lipnitsk/libcue/security/advisories/GHSA-5982-x7hv-r9cj
[3]https://lists.fedoraproject.org/archives/list/packageannounce@lists.fedoraproject.org/message/U7FPN…

به گفته محققان امنیتی یک گروه آلمانی، در دستگاه D-Link DAP-X1860 که از آن برای افزایش فضای تحت پوشش امواج WiFi 6 استفاده می‌شود، یک آسیب‌پذیری با شناسه CVE-2023-45208 شناسایی شده است که به واسطه آن، مهاجم می‌تواند حملات منع سرویس (DOS) و تزریق کد از راه دور(RCI) را اجرا کند.
این آسیب‌پذیری، در زمان راه‌اندازی این دستگاه و زمانی که در حال شناسایی شبکه‌های اطراف خود است، رخ می‎‌دهد. شبکه‌هایی که در نام آن‌ها علامت آپستروف وجود دارد (مثلاً Om') در برابر حمله منع سرویس آسیب‌پذیر هستند. علاوه بر این، به دلیل وجود تابع parsing_xml_stasurvey در libcgifunc.so، مهاجم قادر به تزریق دستورات سیستمی و انجام فعالیت¬هایی است که نیاز به دسترسی root دارند.

محصولات تحت تأثیر
از بین مدل‎‌های مختلف این دستگاه، وجود این آسیب‌پذیری در مدل‌های زیر قطعی بوده و ممکن است سایر مدل‌ها نیز آسیب‌پذیر باشند.

• WiFi range extender مدل 1.00
• WiFi range extender مدل 1.01b94
• WiFi range extender مدل 1.01b05-01

توصیه‌های امنیتی
از آنجا که شرکت Dlink، به هشدارهای اعلام شده توجه نکرده و هنوز هیچ به‌روزرسانی امنیتی برای این محصول خود منتشر نکرده است، این آسیب‌پذیری همچنان توسط مهاجمان قابل بهره‌برداری است و محققان امنیتی، به کاربران پیشنهاد می‌کنند که روش‌های زیر را برای حفظ امنیت شبکه خود به کار گیرند:

• محدود کردن امکان جستجوی دستی شبکه
• بررسی سریع دلیل قطع شدن و وصل شدن یک ارتباط با شبکه
• خاموش کردن دستگاه در زمان‌هایی که مورد استفاده قرار نمی‌گیرد.

منابع خبر:

[1]https://www.bleepingcomputer.com/news/security/d-link-wifi-range-extender-vulnerable-to-command-inj…
[2]https://nvd.nist.gov/vuln/detail/CVE202345208#:~:text=Description,repeater%2C%20via%20a%20crafted%2…