‫ اخبار

در اواخر ماه فوریه سال 2020 میلادی، اخباری مبنی بر فعالیت باج‌افزاری به‌نام Nefilim درفضای سایبری منتشر شد. طبق شواهد موجود، کد این باج‌افزار با باج‌افزار Nemty شباهت بسیار زیادی دارد. این باج‌افزار پس از اتمام فرآیند رمزگذاری، در صورت نپرداختن مبلغ باج، قربانی را تهدید به انتشار فایل‌های رمزگذاری شده می‌کند. باج‌افزار Nefilim از الگوریتم رمزنگاری AES-128 برای رمز‌گذاری فایل‌ها استفاده کرده ‌است.

دانلود پیوست

در طی مسابقات Pwn2Own توکیو در پاییز گذشته، اشخاصی به نام Pedro Ribeiro و Radek Domanski از آسیب‌پذیری تزریق فرمان به عنوان بخشی از زنجیره بهره‌برداری برای اجرای کد بر روی روتر بی سیم TP-Link Archer A7 استفاده کردند که 5000 دلار برای آن‌ها درآمد داشت. باگ به کار رفته در این بهره‌برداری اخیراً وصله شده است. در این گزارش به بررسی آسیب‌پذیری تزریق فرمان که در نوامبر 2019 منتشر شد می‌پردازیم.
این آسیب‌پذیری در سرور tdp daemon (/usr/bin/tdpServer) در روتر TP- Link Archer A7 (AC1750) با نسخه سخت‌افزار 5، معماری MIPS و سیستم‌عامل نسخه 190726 وجود دارد که توسط مهاجمی در سمت LAN روتر قابل بهره‌برداری است و نیاز به احراز هویت ندارد.
پس از بهره‌برداری مهاجم قادر است هر دستوری شامل بارگیری و اجرای یک دودویی از یک میزبان دیگر را با دسترسی root اجرا کند. این آسیب پذیری با نام CVE-2020-10882 شناخته می‌شود و توسط TP-Link با نسخه سیستم‌عامل A7 (US) _V5_200220 رفع شده است. در کلیه قطعه کدها و توابع در این گزارش از /usr / bin / tdpServer، نسخه سیستم عامل 190726 استفاده شده است.

دانلود پیوست

امنیت تلفن همراه به‌طور فزاینده‌ای در مباحث موبایلی اهمیت پیدا کرده ‌است. موبایل‌ها در بیشتر کاربران در کسب‌وکار نه تنها به‌عنوان ابزار ارتباطی، بلکه به‌عنوان ابزاری برای برنامه‌ریزی و مدیریت کارها استفاده می‌شوند. در شرکت‌ها، این فناوری باعث تغییرات عمیق در سازمان سیستم‌های اطلاعاتی شده و در نتیجه آن‌ها را تبدیل به منبع خطرات جدیدی کرده ‌است.
گوشی‌های هوشمند کامپیوترهایی در مقیاس کوچک‌تر هستند. این دستگاه به حساب‌های مالی متصل بوده و به‌طور قطع در ضعیف‌ترین سطح حفاظت قرار دارد؛ که متأسفانه مجرمان سایبری از این مسئله سوءاستفاده می‌کنند. هنگامی که قابلیت دستگاه‌های تلفن همراه و خدمات آن پیشرفت می‌کنند، مجرمان سایبری را نیز به‌سوی پیشرفت بدافزارها سوق می‌دهند. از طرفی، پیشرفت‌های هوش‌مصنوعی و یادگیری‌ماشین طی چندسال اخیر، اگرچه موجب ارتقاء سطح امنیت سایبری خواهد شد اما در عین‌حال به مهاجمان نیز کمک خواهد کرد. برنامه‌های کاربردی موبایل به علت وجود آسیب‌پذیری، هدف هکرها هستند. هرگونه از این نواقض می‌توانند عواقب بسیار مشکل‌زا و وسیعی را برای شرکت‌ها و سازمان‌های مربوطه داشته باشند.

دانلود پیوست

بهره‌برداری موفق‌ از نقص‌های امنیتی OOB Write و سرریز ساختار هیپ ازراه دور، مهاجمین را قادر به بهره‌برداری از آیفون و آیپد کاربران که از نسخه‌ی 6 و یا بالاتر iOS، از طریق برنامه‌ی پیش‌فرض Mails کرده‌است. با توجه به وصله‌نشدن این آسیب‌پذیری و عدم ظهور علائم خاصی به‌خصوص در iOS13، لازم است کاربران مذکور به‌جای برنامه‌ی Mails از برنامه‌هایی مانند Outlook یا Gmail استفاده کنند. همچنین با توجه به بالارفتن تعداد بهره‌برداری‌های پیداشده در iOS، قیمت اکسپلویت‌های روزصفرم آن در Zerodium نیز کاهش یافته‌است.

دریافت پیوست

برنامه ایمیل پیش‌فرض از پیش نصب شده بر روی میلیون‌ها گوشی یا تبلت اپل نسبت به دو نقص بحرانی که مهاجمان حداقل از دو سال قبل برای جاسوسی قربانیان مشهور از آن استفاده می‌کنند، آسیب‌پذیر شده است.
این نقص‌ها به مهاجمان از راه دور اجازه می‌دهند که تنها با فرستادن ایمیل به دستگاه‌های شخصی مورد نظر از طریق حساب ایمیل که در برنامه ایمیل آسیبپذیر وارد شده است، کنترل کاملی بر روی دستگاه‌های اپل به دست آورند.
طبق نظرات محققان در ZecOps آسیب‌پذیری‌های مورد نظر، نقض‌های اجرای کد از راه دور هستند که به دلایل باگ نوشتن خارج از محدوده و مسئله سرریز پشته، در کتابخانه MIME برنامه ایمیل اپل اتفاق می‌افتند. اگرچه هر دو نقص هنگام پردازش محتوای ایمیل ایجاد می‌شوند، اما نقص دوم خطرناک‌تر است؛ زیرا می‌تواند بدون کلیک مورد بهره‌برداری قرار گرفته و نیاز به تعامل با گیرندگان هدف ندارد.
1 جزئیات آسیب‌پذیری
نقص‌های موجود در مدل‌های مختلف گوشی و تبلت‌های اپل به مدت حداقل 8 سال و از زمان انتشار iOS 6 وجود داشته و همچنین روی iOS 13.4.1 تأثیر گذاشته‌اند. تاکنون هیچ‌گونه وصله یا به‌روزرسانی برای این آسیب‌پذیری‌ها منتشر نشده است. چندین گروه از مهاجمان از حداقل دو سال پیش در حال سوءاستفاده از این نقص‌های روز صفرم به منظور هدف گرفتن اشخاص در صنایع و سازمان‌های مختلف، MSSPهای عربستان سعودی و اسرائیل و روزنامه‌نگاران در اروپا هستند. با وجود داده‌های محدود، حداقل 6 سازمان تحت تأثیر این آسیب‌پذیری قرار گرفتند.

دانلود پیوست

محققان امنیتی یک بات­نت جدید به نام Dark Nexusرا کشف کرده­اند که تجهیزات IoTرا هدف قرار می­دهد و با استفاده از آن­ها حملات توزیع شده منع سرویس (DDoS) را انجام ­می­دهد.

این بات­نت به تجهیزاتی مانند روترها با برندهای Dasan Zhone, Dlinkو ASUSو دوربین­های مدار بسته و همچنین دوربین­های حرارتی حمله می­کند و آن­ها را عضو بات­نت می­کند تا از آن­ها برای حملات DDoSاستفاده کند.

دانلود پیوست

اخیرا شرکت #‫اینتل شش آسیب ­پذیری شدید در درایورهای گرافیکی خود که به مهاجمان اجازه می­داد تا داده­ های حساس را به سرقت ببرند را وصله کرده است. درایور گرافیکی، نرم ­افزاری است که چگونگی عملکرد اجزای گرافیکی با دیگر قسمت­های کامپیوتر را کنترل می­کند. برای مثال، شرکت اینتل درایورهای گرافیکی را برای سیستم­ عامل ویندوز توسعه می­ دهد تا کارهایی از قبیل ارتباط با دستگاه­ های گرافیکی خاص اینتل را انجام دهند. در ادامه به بررسی بیشتر آسیب­ پذیری­ های این درایورها خواهیم پرداخت.

دریافت پیوست

بدافزارهای نوع (Fleeceware) که به اصطلاح آن ها را غارت‌افزار نامیده‌ایم ، برنامه‌های مخربی هستند که با دسترسی به اطلاعات پرداخت کاربران به دستبرد و غارت از انها می‌پردازد. اخیراً دانلود و نصب بیش از 5/3 میلیون از آن‌ها در App Store توسط کاربران اپل نیز مشاهده شده‌است. این غارت‌افزارها که از فرصت آزمایشی اپل برای حضور در App Store سوءاستفاده می‌کنند، در صورت لغو نشدن آبونمان آن‌ها مبالغ زیادی از حساب کاربران خود را بصورت دوره‌ای برداشت می‌کنند.

دانلود پیوست

عموماً پس از اتصال به یک شبکه خصوصی مجازی (VPN)، سیستم‌عامل کلیه اتصالات اینترنت موجود را قطع کرده و سپس آنها را از طریق تونل VPN مجدداً برقرار می‌كند.
اخیرا گروه #Proton کشف کرده است که در سیستم‌عامل iOS نسخه 13.3.1، کلیه اتصالات موجود قطع نمی‌شود (این آسیب‌پذیری در نسخه 13.4 نیز همچنان وجود دارد). بیشتر اتصالات کوتاه‌مدت بوده و مجدداً به تنهایی از طریق تونل VPN برقرار می‌شوند. با این حال بعضی از آنها بلندمدت بوده و می‌توانند تا دقایق و یا ساعاتی خارج از تونل VPN باز بمانند.
نمونه بارز آن، سرویس ارسال اعلان در Apple است که حاوی اتصالات بلندمدت بین دستگاه و سرورهای اپل می‌باشد. اما این مشکل می‌تواند روی هر برنامه یا سرویسی مانند برنامه‌های پیام‌رسانی سریع یا beaconهای وب تاثیر بگذارد.
در صورت عدم رمزنگاری اتصالات آسیب‌دیده، آسیب‌پذیری دور زدن VPN سبب افشای داده‌های کاربران خواهد شد. مشکل شایع‌تر نشت IP است. مهاجم می‌تواند آدرس IP کاربران و آدرس IP سرورهایی که به آن متصل می‌شوند را مشاهده کند. به‌علاوه، سروری که به آن متصل می‌شوید بجای آدرس IP VPN، آدرس واقعی شما را مشاهده می‌کند.

دانلود پیوست

اوایل سال 2020 میلادی اخباری مبنی بر حمله بدافزاری با ویژگی Wiper# (پاک کننده) به تأسیسات نفت و انرژی کشور عربستان در فضای سایبری منتشر شد. براساس شواهد موجود و تحقیقات صورت‌گرفته توسط محققان امنیتی، بدافزار Dustman# که از آن به عنوان سلاحی برای جنگ سایبری یاد می‌شود، شباهت بسیار زیادی به بدافزار ZeroCleare دارد که اوایل سپتامبر 2019 میلادی مشاهده شد. این شباهت‎ها شامل فایل اصلی ایجاد شده درون سیستم، الگوی رفتاری مشابه، Key License یکسان برای فایل اصلی و هدف سیاسی مشابه دو بدافزار می‌باشد. تحلیل پیش رو مربوط به نسخه منتشر شده بدافزار Dustman در تاریخ 29 دسامبر 2019 میلادی می‌باشد.

دانلود پیوست