‫ اخبار

یک بدافزار #‫اندرویدی در فروشگاه Play در حال انتشار است که توسط فعالان تهدید برای غیرفعال‌کردن سرویس Google Play Protect، تولید نظرات جعلی، نصب برنامه‌های مخرب، نمایش تبلیغات و موارد دیگر به‌کار گرفته شده است.
این بدافزار بسیار مبهم که "Trojan-Dropper.AndroidOS.Shopper.a" نام دارد، از یک آیکون سیستم به نام "ConfigAPKs" استفاده می‌کند. این نام مشابه نام یک سرویس قانونی اندروید است که مسئول پیکربندی برنامه‌ها در هنگام شروع به‌کار‌ دستگاه است.
پس از آلوده‌کردن دستگاه اندروید، این بدافزار payload را بارگیری و رمزگشایی می‌کند، سپس مستقیماً به جمع‌آوری اطلاعات دستگاه مانند کشور، نوع شبکه، فروشنده، مدل تلفن هوشمند، آدرس ایمیل، IMEI و IMSI می‌پردازد. این داده‌ها سپس به کارگزارهای اپراتور منتقل می‌شوند که یک سری دستورات را برای اجرا در تلفن هوشمند یا تبلت آلوده ارسال می‌کنند.
همه‌ی این کارها با سوءاستفاده از سرویس دسترسی انجام می‌شود. این سرویس، یک روش شناخته‌شده‌ است که توسط بدافزار اندرویدی برای انجام طیف گسترده‌ای از فعالیت‌های مخرب و بدون نیاز به تعامل کاربر بکار گرفته می‌شود. اگر تروجان، مجوزی برای دسترسی به این سرویس نداشته باشد، برای گرفتن آن‌ از صاحب دستگاه، از فیشینگ استفاده می‌کند.
این بدافزار همچنین سرویس محافظت از تهدید Google Play Protect را غیرفعال می‌کند. با استفاده از این سرویس، بدافزار تقریباً اختیار نامحدودی برای تعامل با رابط سیستم و برنامه‌ها دارد. به‌عنوان مثال‌، می‌تواند داده‌های نمایش داده‌شده روی صفحه را رهگیری کند‌ و دکمه‌های کلیک‌شده و حرکات کاربر را تقلید کند.
Shopper.a می‌تواند بسته به دستوراتی که دریافت می‌کند، یک یا چند کار زیر را انجام دهد:
• لینک‌های دریافت‌شده از سرور راه دور را در یک پنجره‌ی نامرئی باز کند (با این کار بدافزار تأیید می‌کند که کاربر به یک شبکه‌ی تلفن همراه وصل شده است).
• بعد از بازکردن تعداد مشخصی از قفل صفحه، خود را از فهرست برنامه‌ها مخفی کند.
• در دسترس‌بودن مجوز سرویس دسترسی را بررسی کند و در صورت عدم اعطای آن‌، به‌طور دوره‌ای درخواست فیشینگ را برای ارایه به کاربر ارسال کند.
• Google Play Protect را غیرفعال کند.
• در فهرست برنامه‌ها میانبرهایی را برای سایت‌های تبلیغاتی ایجاد کند.
• برنامه‌های تبلیغ‌شده را در Google Play باز کند و برای نصب آن‌ها کلیک کند.
• نظرات جعلی را از طرف کاربر Google Play ارسال کند.
• هنگام باز کردن صفحه، تبلیغات را نشان دهد.
• کاربران را از طریق حساب‌های گوگل یا فیس‌بوک خود در چندین برنامه ثبت کند.
علاوه‌براین، این تروجان با ارسال نظرات بسیار خوش‌بینانه، به افزایش محبوبیت سایر برنامه‌های مخرب در فروشگاه Play کمک می‌کند و برنامه‌های خاصی را نیز از فروشگاه شخص ثالث به نام "Apkpure [.] com" با اجازه‌ی قربانی نصب می‌کند.
به‌گفته‌ی محققان، روسیه با 46/28٪ بیشترین میزان آلودگی به این بدافزار را داراست و پس از آن کشورهای برزیل و هند به ترتیب با 23/23٪ و 70/18٪ در رتبه‌های دوم و سوم قرار دارند.
به کاربران توصیه می‌شود برای محافظت از خود در برابر چنین حملاتی، موارد احتیاطی زیر را رعایت کنند:
• سیستم‌عامل تلفن‌های همراه خود را همواره به‌روز نگه دارند.
• برنامه‌ها را فقط از منابع معتبر بارگیری کنند.
• هنگام نصب برنامه‌ها به نظرات کاربران توجه کنند.
• از یک آنتی‌ویروس مناسب استفاده کرده و آن‌را همواره به‌روز نگه دارند.

تقریباً تمامی شرکت‌های اجرایی و هک تمایل دارند دستگاه‌های #iPhone را هک کنند. اما Google، رقیب ارشد شرکت اپل، از سال گذشته توانسته است با شناسایی و سوءاستفاده از آسیب‌پذیری‌های بحرانی، دستگاه‌های iPhone را هک کند.
این بار تیم هکرهای کلاه سفید Google در Project Zero نقص‌های قابل سوءاستفاده را شناسایی کرده‌اند تا دستگاه‌های iPhone هدف را در معرض خطر قرار دهند.
یکی از این نقص‌ها، نقص بدون کلیک (clickless) است که برای سوءاستفاده از آن نیازی نیست قربانی بر روی لینک مخرب کلیک کند. مهاجمان فقط به Apple ID گوشی‌های iPhone هدف نیاز دارند تا آن‌ها را از راه دور در معرض خطر قرار دهند.
صرفاً چند دقیقه طول می‌کشد تا یک هکر بتواند داده‌ها از جمله گذرواژه‌ها، رایانامه‌ها و پیام‌های متنی را از گوشی به سرقت ببرد وعملگرهایی مانند میکروفون و دوربین گوشی را فعال سازد. تمامی این اقدامات بدون اطلاع و اجازه‌ی کاربر انجام می‌شود. آسیب‌پذیری که به منظور انجام این حمله مورد سوءاستفاده قرار گرفته است با شناسه‌ی CVE-2019-8641 ردیابی می‌شود. این آسیب‌پذیری، یک نقص خرابی حافظه‌ از راه دور ناشی از خواندن خارج از محدوده است که توسط Samual Grob در ماه جولای سال 2019 کشف و در ماه اوت افشا شد.
Apple آسیب‌پذیری CVE-2019-8641 را ابتدا در iOS 12.4 با بهبود اعتبارسنجی ورودی برطرف ساخت و به‌روزرسانی آن را در 26 اوت سال 2019 منتشر ساخت.
اگرچه این نقص در حال حاضر برطرف شده است، در صورتی که کاربر، iOS را در iPad یا iPhone به‌روزرسانی نکرده باشد، دستگاهش همچنان در معرض خطر است. با این وجود، برای رهایی از خطرات این آسیب‌پذیری کاربران نباید Apple ID خود را با دیگران به اشتراک بگذارند و در صورت منقضی‌شدن Apple ID، باید از داده‌ها پشتیبان تهیه کرده، ID جدیدی ساخته و آن را نزد خود نگه دارند.

این آسیب پذیری در یک مؤلفه #‫ویندوز موسوم به crypt32.dllقرار دارد که وظیفه کنترل گواهینامه ها و پیغام های رمزنگاری در CryptoAPIرا دارد. CryptoAPIسرویسی را به توسعه دهندگان ارائه میدهد که میتوانند با آن عملیاتی مانند رمزگذاری و رمزگشایی را با استفاده ازگواهینامه دیجیتال انجام دهند.

ضعف امنیتی در قسمتی از crypto32.dllاست که سعی بر تایید گواهی نامه های Elliptic Curve Cryptography (ECC)دارد و در تمامی بستر های کلید عمومی و گواهی نامه های SSL/TLSاستفاده می شود.

این آسیب پذیری بحرانی میتواند تعداد زیادی از عملکرد های ویندوز را تحت الشعاع قرار دهد. از جمله تایید اعتبار در سیستم عامل های ویندوز مبتنی بر دسکتاپ یا سرور، یا امنیت اطلاعات حساس ذخیره شده توسط مرورگر Internet Explorer/Edge Microsoftو حتی تعداد زیادی از نرم افزار ها و ابزار های شخص ثالث تحت ویندوز در خطر سو استفاده از این آسیب پذیری هستند.

مهاجمان میتوانند با سوءاستفاده از crypt32.dllبدافزار ها و کد های مخرب خود را با امضای دیجیتال جعلی یک شرکت معتبر و امضا کنند، بطوری که بدافزار مخرب بصورت نرم افزار مجاز به سیستم عامل معرفی می شود.

یکی از پتانسیل های حمله، ارتباطات HTTPSمی باشد. مهاجم می تواند با جعل گواهی نامه ارتباط SSLکلاینت را به اشتباه انداخته و تمامی ارتباطات SSL/TLSرا شنود کند.

شرکت مایکروسافت وصله امنیتی را برای سیستم عامل ویندوز منتشر کرده است. اکیدا توصیه می شود در اسرع وقت اقدام به بروز رسانی سیستم های عامل نمایید.

نسخه های آسیب پذیر :

به دلیل معرفی مولفه crypt32.dllدر هسته ویندوز نسخه NT 4.0 خود این نسخه و تمامی نسخه های بعد از آن مستعد آسیب پذیری هستند.

راه حل:

در لینک زیر وصله های امنیتی برای مرتفع سازی این آسیب پذیری ارائه شده است.

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Jan

سرویس هایی که در اولین فرصت باید بروز رسانی و وصله شوند :

• وب سرور ها
• Domain Controllerها
• سرور های DNS
• سرور هایی که ارتباطات TLSدارند (از جمله تمامی سرور هایی که از RDPبرای مدیریت استفاده می کنند)

منبع:

https://msrc-blog.microsoft.com/2020/01/14/january-2020-security-updates-cve-2020-0601/

در ساعات اولیه بامداد روز ۲۲ دی ۹۸ ادعایی در شبکه‌های اجتماعی مبنی بر دیفیس شدن برخی از زیردامنه‌های ict.gov.ir از سوی یک گروه هکری مطرح گردید.
با تکیه بر همکاران، ابزارها و فناوری‌های مورد استفاده، در چند دقیقه موضوع توسط مرکز ماهر رصد شد و مشخص شد که مهاجم با سواستفاده از یک فرم گزارش‌دهی، اقدام به بارگزاری یک فایل متنی در وبسایت نموده است. این موضوع در همان زمان پیگیری شده و محدودیت‌های لازم بر این قابلیت گزارش دهی اعمال شد.
در این رویداد هیچ گونه نفوذ و دسترسی غیرمجاز ویا اعمال تغییری در محتوای وبسایت صورت نگرفت. لازم به به توضیح است این قابلیت بارگذاری فایل صرفا اجازه بارگذاری فایل‌های بی خطر جهت ارائه خدمت به کاربران را ارائه می نمود.
از سوی دیگر ادعای مطرح شده درخصوص از دسترس خارج شدن وبسایت پس از این رخداد نیز مطلقا صحت نداشته و دسترسی با وبسایت بطور پیوسته برقرار بوده است.

گوگل اولین بولتین امنیتی #‫اندروید خود در سال ۲۰۲۰ را در روز دوشنبه، ششم ماه ژانویه، منتشر ساخت.
بولتین امنیتی اندروید ماه ژانویه سال 2020 گوگل به دو بخش تقسیم می‌شود. بخش اول شامل وصله برای هفت #‫آسیب‌پذیری موجود در Framework، چارچوب چندرسانه‌ای و سیستم و بخش دوم شامل رفع نقص‌ برای 33 آسیب‌پذیری در Kernel، Qualcomm و اجزای متن‌بسته‌ی Qualcomm است.
شش آسیب‌پذیری از هفت آسیب‌پذیری رفع‌شده در سطح وصله‌ی امنیتی 2020-01-01، دارای درجه حساسیت «بالا» و یک مورد، «بحرانی» رتبه‌بندی شده است. شدیدترین آسیب‌پذیری رفع‌شده در این سطح، یک آسیب‌پذیری امنیتی بحرانی است که به یک مهاجم راه‌دور اجازه می‌دهد بااستفاده از یک فایل ساختگی خاص، کد دلخواه را در متن یک فرایند ممتاز اجرا کند. این آسیب‌‌پذیری که با شناسه‌ی CVE-2020-0002 ردیابی می‌شود، تنها در نسخه‌های 8.0، 8.1 و 9 بحرانی درنظر گرفته شده است و برای نسخه‌ی Android 10، یک نقص با درجه حساسیت «متوسط» درنظر گرفته می‌شود.
از سه نقص برطرف‌‌شده در Framework، دو مورد از آن‌ها آسیب‌پذیری‌های افزایش امتیاز هستند (یک مورد نسخه‌های 8.0، 8.1، 9 و 10 از اندروید و دیگری تنها Android 8.0 را تحت‌تأثیر قرار می‌دهد) و آسیب‌پذیری دیگر، یک نقص انکار سرویس است که نسخه‌های 8.0، 8.1، 9 و 10 از اندروید را تحت‌تأثیر قرار می‌دهد.
هر سه نقص برطرف‌شده در سیستم، آ‌سیب‌پذیری‌های افشای اطلاعات هستند که نسخه‌های 8.0، 8.1، 9 و 10 از اندروید را تحت‌تأثیر قرار می‌دهند.
دومین بخش از به‌روزرسانی امنیتی اندروید ماه ژانویه سال 2020 گوگل که سطح وصله‌ی امنیتی 2020-01-05 نامیده می‌شود، شامل چهار رفع نقص در اجزای Kernel، 11 رفع نقص در اجزای Qualcomm و 18 رفع نقص در اجزای متن‌بسته‌ی Qualcomm است. مهم‌ترین آسیب‌پذیری در میان آسیب‌پذیری‌های رفع‌شده در این سطح وصله‌ی امنیتی، یک نقص بحرانی در درایور Realtek rtlwifi است که می‌تواند منجر به اجرای کد راه‌دور شود.
گوگل همچنین یک بولتین امنیتی جدا منتشر ساخت که در آن آسیب‌پذیری‌های رفع‌شده در دستگاه‌های Pixel را شرح می‌دهد. در مجموع 37 رفع نقص در این بولتین گنجانده شده است که 33 مورد آن‌ها از وصله‌های سطح وصله‌ی امنیتی 2020-01-05 و مابقی نقص‌هایی با درجه حساسیت بحرانی در دوربین هستند.
https://www.securityweek.com/androids-january-2020-update-patches-40-vulnerabilities
https://source.android.com/security/bulletin/2020-01-01

محققان امنیتی هشدار داده‌اند كه يك #‫آسيب‌پذيری شناخته‌شده که بر محصول #VPN از شرکت Pulse Secure تأثیر می‌گذارد، توسط مجرمان سایبری برای ارایه‌ی يك قطعه باج‌افزار با نام REvil، مورد استفاده قرار گرفته است.
این نقص که با شناسه‌ی " CVE-2019-11510" ردیابی می‌شود، یک حفره‌ی امنیتی است که به مهاجمین راه دور و بدون اعتبار اجازه می‌دهد تا از راه دور به شبکه‌ی شرکت‌ها متصل شوند، تأیید هویت چندعاملی را غیرفعال کنند و از راه دور سیاهه‌ها و گذرواژه‌های ذخیره‌شده در متن ازجمله گذرواژه‌های حساب کاربری Active Directory را مشاهده کنند.
باج‌افزارREvil (Sodinokibi) در ماه دسامبر سال 2019 کشف شد و طی یک ماه، به چندین درگاه ارائه‌دهنده‌ی خدمات و همچنین بیش از 400 مطب دندانپزشکی نفوذ کرد.
محققان این باج‌افزار را به‌عنوان یکی از باج‌افزارهای خطرناک طبقه‌بندی کرده‌اند؛ چراکه قادر به ایجاد ویرانی‌های شدید در سیستم میزبان است. به‌گفته‌ی آنان، مهاجمان دائماً از این باج‌افزار برای رمزگذاری سیستم‌های تجاری بسیار حساس استفاده و مبلغ هنگفتی را به‌عنوان باج درخواست می‌كنند. در ابتدا، این باج افزار از آسیب‌پذیری Oracle WebLogic در برابر سیستم‌های آلوده استفاده می‌کرد، اما این‌بار هکرها به‌دنبال غیرفعال کردن سیستم‌های ضد ویروس و نفوذ از راه سرورهای Pulse Secure VPN وصله‌نشده هستند.
مهاجمان به‌راحتی و با استفاده از موتور جستجوی Shodan.io، قادر به شناسایی سرورهای آسیب‌پذیر این VPN هستند.
هکرها برای دستیابی به شبکه از همان استراتژی باج‌افزار استفاده می‌کنند. آن‌ها متعاقباً کنترل دامنه را به‌دست گرفته و از نرم‌افزار دسترسی از راه دور برای حرکت در سیستم استفاده می‌کنند. در این مرحله، باج‌افزار REvil می‌تواند ابزارهای امنیتی را غیرفعال کند و از طریق پیام‌های فرمان "PsExec"، به تمام سیستم‌ها نفوذ کند. این فرمان معمولاً یک دستور پنهان است که سیستم قادر به اعمال آن نخواهد بود و تنها باج‌افزار، توانایی انجام آن را دارد.
طبق تحقیقات انجام‌شده، حدود 3820 سرور Pulse Secure VPN وجود دارند که هنوز در برابر این نقص امنیتی به‌روز نشده‌اند. از این تعداد، بیش از 1300 مورد، سرورهای آسیب‌پذیر مستقر در ایالات متحده هستند.
خوشبختانه بسیاری از مشتریان Pulse به‌طور مؤثری از وصله‌ی صادر‌شده در ماه آوریل سال گذشته استفاده کرده‌اند، اما برخی از سازمان‌ها هنوز این وصله‌ها را اعمال نکرده‌اند. این سازمان‌ها، آسیب‌پذیرترین سیستم‌ها در برابر حمله‌ی این باج افزار هستند.
Pulse از مشتریان خود خواسته است كه سیستم‌های خود را سریعاً وصله كنند و در صورت نیاز به کمک به صفحه‌ی پشتیبانی این شرکت با آدرس "https://support.pulsesecure.net/support/support-contacts" مراجعه نمایند.

https://www.securityweek.com/pulse-secure-vpn-vulnerability-exploited-deliver-ransomware
https://www.zdnet.com/article/vpn-warning-revil-ransomware-targets-unpatched-pulse-secure-vpn-servers/