اخبار
ایجادکننده اطلاعرسانیهامشاهدات اخیر حاکی از آن است که #باجافزار Sodinokibiکاربران استفاده کننده از مرورگر اینترنت اکسپلورر را در منطقه آسیا مورد هدف قرار داده است. باجافزار Sodinikibiکه به اسامی دیگری از جمله Sodinو Revilنیز شناخته میشود، برای اولین بار در ماه آوریل 2019 میلادی مشاهده گردید. این باجافزار در حال حاضر فاقد رمزگشا میباشد.
طبق گزارشات رسیده، قربانیان این باجافزار پس از بازدید از وبسایتهای آلوده، به سمت آیپیهای حاوی اکسپلویتکیت RIGهدایت شده و از طریق آسیبپذیریهای موجود در نرمافزار فلش پلیر، مورد حمله باجافزار قرار میگیرند. در صورت موفقیتآمیز بودن حمله، اسکریپتی حاوی دستورات مخرب در پس زمینه سیستم اجرا شده و قربانی با پیغامهای مکرری مبنی بر توقف مرورگر اینترنت اکسپلورر مواجه میگردد که در نهایت منجر به بارگزاری و اجرای باجافزار Sodinokibiبر روی سیستم هدف میگردد.
لذا به کاربران توصیه اکید میگردد که از نصب آخرین بهروزرسانیهای امنیتی ویندوز و نرمافزارهای نصب شده بر روی آن اطمینان حاصل نموده و همچنین نسبت به بهروزرسانی اپلیکیشنهای وابسته به اینترنت اکسپلورر نیز اقدام نمایند.
ایجادکننده اطلاعرسانیها#رمزگشا ی جدیدی برای باجافزار Nemtyتوسط پژوهشگران شرکت امنیتی Tesorionهلند ارائه شد.
در تاریخ 21 اوت سال 2019 میلادی، برای نخستین بار خبرهایی از انتشار باجافزار Nemtyمنتشر گردید. بر اساس مشاهدات صورت گرفته، این باجافزار از طریق سرویس دسترسی از راه دور مبتنی بر پروتکل RDPمنتشر میگردد. گزارشهایی نیز مبنی بر سوءاستفاده این باجافزار از اکسپلویت کیت RIG، برای نفوذ به سیستم قربانیان منتشر گردیده است. باجافزار Nemtyاز الگوریتم AESبرای رمزگذاری فایلهای موردنظر خود در سیستم قربانیان استفاده میکند.
در صورتی که فایلهای رمز شده شما توسط این باجافزار دارای پسوند با الگوهای
- _Nemty_<7 کاراکتر تصادفی>_
میباشند، میتوانید به وسیله این رمزگشا فایلهای خود را رمزگشایی کنید.
این رمزگشا در پایگاه پروژه NoMoreRansomقرار گرفته است. برای دانلود رمزگشا و راهنمایی رمزگشایی به آدرس زیر رفته و نام باجافزار را در لیست جستجو کنید:
https://www.nomoreransom.org/en/decryption-tools.html
همچنین شما میتوانید به صورت مستقیم رمزگشا را از لینک زیر دانلود کنید:
https://mdsassets.blob.core.windows.net/downloads/NemtyDecryptor.exe
به تازگی محققان شرکت Symantec برنامهی مخربی را کشف کردهاند که بر روی گوشی تلفن همراه تبلیغات ناخواسته نمایش میدهد، خود را از دید کاربران پنهان میکند و نیز میتواند برنامههای مخرب بیشتری را دانلود کند. این اپلیکیشن که #Xhelper نام دارد پس از حذف، مجدداً خود را نصب می کند و به گونهای طراحی شده است که با ظاهر نشدن در منوی برنامههای گوشی، پنهان میماند. این برنامه در شش ماه گذشته بیش از 45000 دستگاه را آلوده کرده است.
ایجادکننده اطلاعرسانیها
طی هفته جاری بدافزار جدیدی در حوزه #فیشینگ با نام «ضد فیشینگ» شناسایی شده است که ادعا میکند برنامهای جهت تشخیص لینکهای فیشینگ بوده و اینگونه لینکها را از سایر لینکها تشخیص میدهد. اما با بررسی کد برنامه مشخص شد که پس از عضوگیری، روند برنامه تغییر پیدا کرده و کاربران را به صفحات فیشینگ هدایت میکند. کارگزار کنترل و فرمان این بدافزار در آدرس panell.website/antipish قرار دارد و از این طریق، هر زمان که مهاجم بخواهد، رفتار برنامه تغییر میکند. براساس اطلاعات موجود در سرور برنامه، تاکنون بیش از 472 نصب داشته است.
دانلود گزارش کامل
پیرو هشدار قبلی در خصوص افزایش حملات به سرویس دهندههای #SQL_Server بر روی #پورت_۱۴۳۳، نتایج رصد حسگرهای این مرکز نشان دهنده گسترش آلودگی احتمالی سرورها در داخل کشور و فعالیت آنها به عنوان مهاجمین جدید در این حملات است.
با بررسی نمودارهای روند مشخص میشود که در دو ماه اخیر دو پیک حمله بر روی این پورت توسط سنسورهای مرکز ماهر ثبت شده است. اولین پیک حمله در اوایل شهریور ماه ثبت شده که در نمودار(1) در نقطه A قابل مشاهده است، حملات این نقطه حجم کمتری نسبت به حملات نقطه B در اواخر مهر و اوایل آبان ماه دارد. همچنین با بررسی نمودار(2) دو پیک C و D در نقاط زمانی مشابه نمودار قبل قابل مشاهده است. با بررسی این نمودار مشخص میشود که تعداد حملات در نقطه D به طرز چشمگیری نسبت به نقطه C افزایش پیدا کرده است. این موضوع نشاندهنده ایجاد آلودگی بیشتر بر روی سیستمهای داخل کشور است.
در این حمله مهاجم، شبکه هدف را برای یافتن سرورهای SQL Server با گذرواژه ضعیف اسکن کرده و با بکارگیری حمله Brute-force اقدام به ورود به سیستم میکند. در ادامه مهاجم با ایجاد برخی Jobها در SQL Server، فرامین مختلفی را اجرا کرده و یا بدافزارهایی را به سیستم منتقل کند. بدافزارهای منتقل شده در این روش میتوانند هر نوع بدافزاری باشند.
مهاجم با این حمله گسترده در پی یافتن سیستمهای آسیبپذیر در شبکههای مختلف همچون سرورهای دارای گذرواژه ضعیف است. برای جلوگیری نفوذ مهاجمین از طریق این حملات بر روی سرور SQL Server در سازمان توصیه میشود :
- از قرارگیری این سرورهای بصورت نامحدود بر بستر اینترنت اکیدا خودداری کنید
- از گذرواژه مطمئن و مقاوم در برابر حمله brute-force برای اکانت SQL Server استفاده کنید
در صورتی که SQL Server شما در معرض اینترنت قراد داشته است علاوه بر اطلاعات فوق لازم است:
- فهرست SQL Server Agent Job ها را جهت شناسایی موارد ایجاد شدهی احتمالی توسط مهاجمین بررسی کنید
- با توجه به احتمال آلودگی، بررسی دقیقی بر روی سیستم عامل از نظر وجود ردپای نفوذ مهاجمین و آلودگی احتمالی انجام دهید
شرکت Ciscoیکی از بزرگترین تولیدکنندگان تجهیزات نرمافزاری و سختافزاری شبکه می باشد که با توجه به پیشرفت روز افزون حوزه فناوری اطلاعات و به موازات آن افزایش چشمگیر تهدیدات سایبری در سطح جهان و آسیبپذیریهای موجود در این تجهیزات میتواند موجب به خطر افتادن اطلاعات کاربران شود. از این رو بخشهای مختلفCisco به صورت مداوم و چندین مرتبه در ماه اقدام به ارائه آسیبپذیریهای کشف شده در سرویسها و تجهیزات این شرکت کرده و راهحلهایی برای رفع این آسیبپذیریها ارائه میکنند. در این گزارش محصولاتی که دارای آسیبپذیری با سطح (Critical) هستند و میتوان با مراجعه به لینک مشخص شده اطلاعات جامع در مورد آسیبپذیری و نحوه رفع آن را کسب کرد.
بحرانی(Critical) |
Cisco Aironet Access Points Unauthorized Access Vulnerability |
عنوان |
آسیبپذیری دسترسی غیر مجاز به نقاط دسترسی Aironetسیسکو |
شناسه آسیبپذیری |
CVE-2019-15260 CWE-284 |
CVSS Score |
Base 9.8 |
نسخه |
Final 1.1 |
شناسه باگهای سیسکو |
CSCvm54888 |
تاثیر |
Unauthorized Access |
تاریخ آخرین بهروزرسانی |
2019 October 16 16:00 GMT |
توضیحات |
آسیبپذیری موجود در نرمافزار نقاط دسترسی Aironet (APs)میتواند به یک مهاجم با دسترسی از راه دور اجازه دهد که دسترسی غیرمجاز به یک هدف را بدست آورد. یک مهاجم میتواند با درخواست URLخاص از یک APآسیب دیده از آن بهرهبرداری نماید و سطح دسترسی بالا، به دستگاه پیدا کند. در حالی که امکان دسترسی به همه گزینههای ممکن برای پیکربندی به مهاجم داده نمی شود، میتواند به مهاجم اجازه دهد که اطلاعات حساس را مشاهده کند و برخی گزینهها را با مقادیر موردنظر خود جایگزین کند. |
محصولات آسیبپذیر |
|
راه حل |
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191016-airo-unauth-access |
بحرانی(Critical) |
Cisco REST API Container for IOS XE Software Authentication Bypass Vulnerability |
عنوان |
آسیبپذیری دور زدن احراز هویت نرم افزار IOS XEبرای REST API Containerسیسکو |
شناسه آسیبپذیری |
CVE-2019-12643 CWE-287 |
CVSS Score |
Base 10.0 |
نسخه |
Final 1.1 |
شناسه باگهای سیسکو |
CSCvn93524 CSCvo47376 |
تاثیر |
Authentication Bypass |
تاریخ آخرین بهروزرسانی |
2019 October 18 16:08 GMT |
توضیحات |
آسیبپذیری موجود در REST API virtual service containerسیسکو برای نرمافزار IOS XEمیتواند به یک مهاجم از راه دور اجازه دهد تا احراز هویت در دستگاه مدیریت شده توسط Cisco IOS XEرا دور بزند. |
محصولات آسیبپذیر |
و تمام محصولاتی که با Cisco IOS XEراه اندازی می شوند. |
راه حل |
ایجادکننده اطلاعرسانیها
بررسی نتایج رصد حسگرهای مرکز ماهر نشانده افزایش تلاش مهاجمین در شناسایی سرورهای SQL Server آسیبپذیر در شبکه کشور و نفوذ به آنها از اوایل ماه جاری است. این حملات بر روی پورت ۱۴۳۳ صورت گرفته و عمدتا از طریق brute-force و نفوذ به سرورهای دارای رمز عبور ضعیف صورت میگیرد. پس از نفوذ موفق، مهاجم از طریق ایجاد SQL Server Agent job های مختلف نسبت به تثبیت دسترسی خود و دریافت بدافزارهای مختلف بر روی سرور اقدام میکند.
این حملات از IP های داخل و خارج کشور در جریانند:
در صورتی که SQL Server شما در معرض اینترنت قراد داشته است لازم است:
• نسبت به محدودسازی دسترسی در سطح اینترنت اقدام کنید
• رمز عبود مناسب جهت پیشگیری از موفقیت حملات brute-force اننخاب کنید
• فهرست SQL Server Agent Job ها را جهت شناسایی موارد ایجاد شدهی احتمالی توسط مهاجمین بررسی کنید
ایجادکننده اطلاعرسانیها
یک آسیبپذیری حیاتی در ابزار #kibana شناسایی و گزارش شده است. kibana یک داشبورد تحت وب جهت مدیریت و تصویرسازی و تحلیل های آماری است که معمولا در کنار پایگاه دادهی elasticsearch استفاده می شود.
این آسیب پذیری خطرناک با شناسهی CVE-2019-7609 با درجه CVSS 10 امکان اخذ دسترسی از راه دور را برروی سروری فراهم می کند. ضعف امنیتی مربوطه در سرویس Timelion visualizer بوده و از نوع command Injection است (CWE-77).
نسخه های آسیب پذیر این ابزار شامل همه نسخه های قبل از 5.6.15 و همچنین نسخه های 6.0.0 تا قبل از 6.6.1 می باشد.
با توجه به انتشار exploit سواستفاده از این آسیب پذیری درفضای اینترنت و امکان اخذ دسترسی از راه دور توسط مهاجمین، هرچه سریعتر درخصوص بروز رسانی این ابزار اقدام کنید.
منابع :
#رمزگشا ی #باجافزار Paradiseتوسط پژوهشگران شرکت امنیتی Emsisoftارائه شد.
این باجافزار در ابتدای سپتامبر ۲۰۱۷ ظهور پیدا کرد و تا کنون به پسوندهای متعدد منتشر شده است. باجافزار Paradiseاز الگوریتم Salsa20و RSA-1024برای عملیات رمزگذاری استفاده میکند.
شایان ذکر است که این باجافزار از نوع Ransomware-as-a-serviceو از خانواده باجافزار Dharmaمیباشد.
در صورتی که فایلهای رمز شده شما توسط این باجافزار دارای پسوند
- .paradise
- .2ksys19
- .p3rf0rm4
- .FC
میباشند، میتوانید به وسیله این رمزگشا فایلهای خود را رمزگشایی کنید.
لینک صفحه رسمی دانلود رمزگشا در سایت Emsisoft:
https://www.emsisoft.com/ransomware-decryption-tools/paradise
#رمزگشا ی جدیدی برای #باجافزار Ouroborosتوسط پژوهشگران شرکت امنیتی BitDefenderارائه شد.
این باجافزار در ابتدای آوریل ۲۰۱۹ ظهور پیدا کرد و تا کنون به پسوندهای متعدد منتشر شده و تعداد قربانیان قابل توجهی در سراسر جهان را آلوده کرده است. باجافزار Ouroborosاز الگوریتم AES-256و بر اساس دستورات aesencو aesenclastبرای عملیات رمزگذاری استفاده میکند که این موضوع باعث میشود تا این باجافزار بر روی سیستمهای با پردازنده قدیمی (پیش از سال ۲۰۱۰) کار نکند.
پیغام باج خواهی باجافزار برای قربانیان پسوند Lazarus:
پیغام باج خواهی باجافزار برای قربانیان پسوند Lazarus+:
در صورتی که فایلهای رمز شده شما توسط این باجافزار دارای پسوند با الگوهای
- [ID=XXXXXXXXXX][Mail= * ].Lazarus
- [ID=XXXXXXXXXX][Mail= * ].Lazarus+
میباشند، میتوانید به وسیله این رمزگشا فایلهای خود را رمزگشایی کنید.
لینک صفحه رسمی دانلود رمزگشا در سایت BitDefender:
https://labs.bitdefender.com/2019/10/ouroboros-ransomware-decryption-tool
