‫ اخبار

شرکت #‫مایکروسافت، جزئیات مربوط به حمله‌ی ماه مارس را که از آخرین نقص کشف شده‌ی WinRAR ("CVE-2018-20250") استفاده می‌کرد، منتشر کرد. این نقص در ماه‌های اخیر به‌طور گسترده‌ای در میان گروه‌های جرایم اینترنتی و هکرها مورد استفاده قرار گرفته است.
محققان امنیتی در شرکت CheckPoint دریافتند که یک فایل ACE مخرب می‌تواند پس از استخراج توسط WinRAR، بدافزار را در هر مکانی در رایانه‌ی تحت ویندوز قرار دهد. این مکان‌ها شامل پوشه‌ی راه‌اندازی (Startup) ویندوز است؛ جایی که نرم‌افزارهای مخرب به‌طور خودکار در هر بار راه‌اندازی مجدد، اجرا می‌شوند.
یک ماه قبل از گزارش Check Point، توسعه‌دهندگان WinRAR یک نسخه‌ی جدید را منتشر کردند و پشتیبانی از ACE را کاهش دادند؛ زیرا ACE قادر نبود تا یک کتابخانه در WinRAR به نام "Unacev2.dll" که حاوی نقص مسیریابی دایرکتوری بود، به‌روزرسانی کند.
تا پیش از ماه مارس، احتمالاً 500 میلیون کاربر WinRAR در دنیا، یا به نسخه‌ی بدون ACE به‌روزرسانی نکرده بودند یا DLL آسیب‌پذیر را حذف نکرده بودند.
در این حمله، از ایمیل‌های ماحیگیری هدفمند از وزارت امور خارجه‌ی جمهوری اسلامی افغانستان استفاده می‌شد. این ایمیل، منابع، خدمات مخابراتی و نقشه‌های ماهواره‌ای را از «اهداف بسیار خاص» درخواست می‌کرد.
سند ورد ضمیمه‌شده در ایمیل به کاربر پشنهاد می‌دهد تا یک سند دیگر را از یک لینک OneDrive بدون ماکرو دانلود کند (انتخابی که احتمالاً برای جلوگیری از شناسایی ایجاد شده است).
اگر بر روی لینک کلیک شود، یک فایل بایگانی با سند دوم ورد و یک ماکروی مخرب دانلود می‌شود. اگر قربانی هشدار امنیتی مربوط به ماکروها را نادیده بگیرد، بارگیری بدافزار به رایانه انجام می‌شود.
این سند همچنین شامل یک دکمه‌ی «صفحه‌ی بعد» است که یک هشدار جعلی را نشان می‌دهد. این هشدار مربوط به یک فایل خاص DLL ازدست‌رفته است و ادعا می‌کند که رایانه نیاز به راه‌اندازی مجدد دارد.
هنگامی که ماکرو فعال می‌شود، یک اسکریپت PowerShell اطلاعاتی را در مورد سیستم جمع‌آوری می‌کند، آن را با یک شناسه‌ی منحصربه‌فرد نشان می‌دهد و به یک سرور راه دور ارسال می‌کند. این اسکریپت همچنین فرایند کلیدی برای استخراج فایل ACE مخرب با سوءاستفاده از "CVE-2018-20250" است که یک payload به نام "dropbox.exe" را رها می‌کند.
به‌گفته‌ی Check Point، پوشه‌ی "Startup" یک مکان ایده‌آل برای نصب نرم‌افزارهای مخرب است، اما مایکروسافت یادآور می‌شود که ممکن است فایل در پوشه‌های شناخته‌شده یا پیش‌فرض SMB رها شود.
در این حمله، به محض اینکه کاربر سعی در استخراج هر یک از سه فایل "JPEG" موجود در بایگانی ACE را داشته باشد، "dropbox.exe" در پوشه‌ی "Startup" قرار داده می‌شود.
دروغ در مورد یک فایل DLL ازدست‌رفته و نیاز به راه‌اندازی مجدد رایانه به این دلیل است که "CVE-2018-20250" به بدافزار اجازه می‌دهد تا فایل‌ها را در یک پوشه‌ی مشخص‌شده بنویسد، اما نمی‌تواند آن‌را بلافاصله اجرا کند. به همین دلیل است که قراردادن بار در پوشه‌ی Startup ایده‌آل است، زیرا پس از راه‌اندازی مجدد رایانه، راه‌اندازی می‌شود.
"dropbox.exe" عملکردهای مشابهی را به‌عنوان مولفه‌ی مخرب ماکرو انجام می‌دهد و کمک می‌کند تا اطمینان حاصل شود که درپشتی PowerShell در حال اجرا است.
درپشتی PowerShell می‌تواند به یک مهاجم از راه دور اجازه دهد تا کنترل کاملی بر روی دستگاه آسیب‌دیده داشته باشد و آن‌را به یک برنامه‌ی راه‌انداز برای اقدامات مخرب‌تر تبدیل کند. باز کردن و متوقف‌کردن حملات در مراحل اولیه‌ برای جلوگیری از اثرات مخرب بعدی، امری ضروری است.
به‌گفته‌ی ماکروسافت، ماکروی مخرب از تکنیک‌های پیشرفته از جمله موتور اسکریپت خود مایکروسافت، برای جلوگیری از تشخیص استفاده می‌کند.
مرکز ماهر به کاربران توصیه می‌کند که فایل‌های ACE را تحت هیچ شرایطی باز نکنند و برنامه‌ی WinRAR را به‌روزرسانی کنند. باید توجه داشت که مهاجمان می‌توانند برای فریب کاربر، پسوند فایل‌های فشرده را تغییر دهند.

متاسفانه برنامک‌های متعددی تحت عنوان "افزایش سرعت اینترنت" در فروشگاه‌های برنامک ‌های #‫اندروید وجود دارند. این برنامک‌ها با ظاهرسازی و ادعاهای دروغین سعی در ترغیب کاربران به نصب برنامک را دارند اما هیچ‌کدام نمی‌توانند منجر به افزایش سرعت اینترنت شوند، چرا که چنین کاری در دنیای واقعی عملی نیست. این برنامک‌ها به محض شروع اعلام می‌کنند که سرعت اینترنت پایین است، سپس با نمایش اعلان‌هایی و بعد از چند ثانیه، ادعا می‌کنند که سرعت اینترنت افزایش یافته است. در این گزارش برنامک‌های پرنصب (29 برنامک با بیش از 127هزار کاربر) در این زمینه مورد بررسی قرار گرفته و نشان داده شده که این برنامک‌ها در پس‌زمینه هیچ کار مفیدی انجام نمی‌دهند و تنها با هدف نمایش تبلیغات و کنترل گوشی کاربر منتشر شده‌اند.

جهت مطالعه و دریافت متن کامل کلیک نمایید

شرکت #‫ادوبی وصله‌ی به‌روزرسانی امنیتی بزرگی برای چندین نرم‌افزار ارائه‌شده‌ی خود منتشر ساخته است که تعدادی از اشکالات مهم و بحرانی را برطرف می‌سازد.
ادوبی در بولتین امنیتی ماه آوریل سال 2019 خود یک به‌روزرسانی برای تقویت امنیت Adobe Bridge CC، Adobe Experience Manager Forms، InDesign، Adobe XD، Adobe Dreamweaver، Adobe Shockwave Player، Adobe Flash Player و Adobe Acrobat and Reader لیست کرده است.
برخی از آسیب‌پذیری‌های برطرف‌شده می‌توانند منجر به مشکلات اجرای کد دلخواه، افشای اطلاعات حساس و اجرای کد راه‌دور در متن کاربر فعلی شوند.
در Adobe Bridge CC، یک خطای سرریز پشته با شناسه‌ی CVE-2019-7130 که می‌توانست منجر به اجرای کد راه دور شود به همراه یک نقص نوشتن خارج از محدوده (out-of-bounds-write) با شناسه‌ی CVE-2019-7132 که می‌تواند با همان هدف مورد سوءاستفاده قرار گیرد، وصله شده است. این به‌روزرسانی امنیتی، شش خطای افشای اطلاعات را نیز در این نرم‌افزار برطرف می‌سازد.
ادوبی آسیب‌پذیری اسکریپت‌نویسی متقابل (XSS) با شناسه‌ی CVE-2019-7129 را در Experience Manager Forms برطرف ساخته است که اگر توسط مهاجم مورد سوءاستفاده قرار گیرد ممکن است منجر به نشت اطلاعات حساس شود.
در InDesign آسیب‌پذیری با شناسه‌ی CVE-2019-7107 وصله شده است. این اشکال بحرانی ناشی از پردازش hyperlink ناامنی است که می‌تواند منجر به اجرای کد دلخواه در متن کاربر فعلی شود. دو آسیب‌پذیری CVE-2019-7105 و CVE-2019-7106 نیز در Adobe XD وصله شده‌اند که سوءاستفاده از آن‌ها می‌تواند منجر به اجرای کد دلخواه شود.
در مجموع هفت آسیب‌پذیری امنیتی جدی در آخرین وصله‌ی به‌روزرسانی امنیتی ادوبی برای Shockwave برطرف شده است. این اشکالات (CVE-2019-7098، CVE-2019-7099، CVE-2019-7100، CVE-2019-7101، CVE-2019-7102، CVE-2019-7103 و CVE-2019-7104) همگی مسائل مربوط به خرابی حافظه هستند که می‌توانند به‌منظور اجرای کد دلخواه مورد سوءاستفاده قرار گیرند.
یک جفت آسیب پذیری مهم و حیاتی با شناسه‌های CVE-2019-7108 و CVE-2019-7096 در Adobe Flash رفع شده است. این نقص‌های خواندن خارج از محدوده و استفاده پس از آزادسازی (use-after-free) می‌توانند منجر به نشت اطلاعات یا استفاده از کد دلخواه شوند.
Adobe Acrobat and Reader به‌روزرسانی قابل‌توجهی در وصله‌ی ماه آوریل ادوبی دریافت کرده است. در مجموع، 21 مسئله برطرف شده است که 10 مورد از آن‌ها می‌تواند منجر به افشای اطلاعات شود و 11 اشکال می‌تواند به منظور اجرای کد دلخواه مورد سوءاستفاده قرار گیرد.
یک نقص امنیتی متوسط با شناسه‌ی CVE-2019-7097 نیز Adobe Dreamweaver را تحت‌تأثیر قرار داده است. اگر پروتکل‌های انسداد پیامک کارگزار (SMB) نهاد رله‌سازی حملات در این نرم‌افزار باشند، این نقص می‌تواند برای نشت اطلاعات حساس مورد سوءاستفاده قرار گیرد.
توصیه می‌شود کاربران به‌روزرسانی‌های خودکار را به منظور کاهش خطرات سوءاستفاده دریافت نمایند.

شرکت مایکروسافت، به‌روزرسانی ماه آوریل خود را منتشر کرد و آسیب‌پذیری‌های متعددی ازجمله دو آسیب‌پذیری روز صفرم ویندوز که در حملات گسترده مورد سوءاستفاده قرار گرفته‌اند، رفع کرد.
در این به‌روزرسانی، بیش از ده آسیب‌پذیری اجرای کد از راه دور و افزایش امتیاز که بر ویندوز و مرورگرهای مایکروسافت تأثیر می‌گذارند، وصله شدند.
15 به‌روزرسانی منتشرشده، در مجموع 74 آسیب‌پذیری منحصربه‌فرد در ویندوز، اینترنت اکسپلورر، Edge، آفیس، SharePoint و Exchange را پوشش می‌دهند.
آسیب‌پذیری‌های روز صفرمی که به‌طور گسترده مورد سوءاستفاده قرار گرفته‌اند، "CVE-2019-0803" و "CVE-2019-0859" هستند که می‌توانند به یک مهاجم، اجازه‌ی افزایش دسترسی در سیستم‌های هدف دهند.
آسیب‌پذیری افزایش امتیاز در ویندوز زمانی به‌وجود می‌آید که مؤلفه‌ی "Win32k" نتواند به‌درستی اشیاء را در حافظه کنترل کند. مهاجم می‌تواند پس از سوءاستفاده‌ی موفقیت‌آمیز از این آسیب‌پذیری، کد دلخواه را در حالت هسته اجرا، برنامه‌ها را نصب، داده‌ها را مشاهده، تغییر یا حذف و حساب‌های جدید با حقوق کامل کاربر ایجاد کند.
برای سوءاستفاده از این آسیب‌پذیری، یک مهاجم باید ابتدا به سیستم وارد شود. برای این کار می‌تواند یک برنامه‌ی خاص طراحی‌شده را اجرا کند که می‌تواند از این آسیب‌پذیری سوءاستفاده کند و کنترل سیستم آسیب‌دیده را به‌دست گیرد.
به‌روزرسانی مایکروسافت، این آسیب‌پذیری را با تصحیح چگونگی کنترل اشیاء توسط "Win32k" رفع می‌کند.
علاوه بر آسیب‌پذیری‌های روز صفرم، دیگر محصولات امنیتی مایکروسافت نیز وجود دارند که کاربران باید وصله‌های منتشرشده را بر روی آن‌ها اعمال کنند.
به‌عنوان مثال، سه اشکال در Microsoft Office Access Connectivity با شناسه‌های "CVE-2019-0824"، "CVE-2019-0825" و "CVE-2019-0827" وجود دارند که می‌توانند مهاجمین را قادر به اجرای کد در سیستم‌های آسیب‌پذیر کنند. این اشکالات می‌توانند از راه دور مورد سوءاستفاده قرار گیرند و محیط‌های سازمانی را در معرض خطر قرار دهند.
در هنگام تجزیه‌ی فایل‌های EMF، آسیب‌پذیری اجرای کد از راه دور ("CVE-2019-0853")، مؤلفه‌ی GDI ویندوز را تحت تأثیر قرار می‌دهد. با توجه به اینکه بهره‌برداری از این آسیب‌پذیری می‌تواند با متقاعدکردن کاربران به بازدید از یک وب‌سایت یا ارسال ایمیل حاوی فایل مخرب به کاربران انجام شود، این نقص نیز یک مسئله‌ی بسیار جدی است که اعمال وصله‌های منتشرشده را ضروری می‌سازد.
Adobe و SAP نیز به‌روزرسانی‌های امنیتی مربوطه خود را منتشر کردند. Adobe هفت به‌روزرسانی را برای رفع 43 آسیب‌پذیری در محصولات خود مانند Adobe Reader، Acrobat، AIR، Flash و Shockwave منتشر کرد.
Wireshark نیز سه به‌روزرسانی را برای حل ده آسیب‌پذیری منتشر کرد. Wireshark یکی از ابزارهای نادیده گرفته‌شده‌ی IT است که می‌تواند خطر قابل توجهی را برای محیط اطراف کاربر ایجاد کند.
باتوجه به اهمیت آسیب‌پذیری‌های ذکرشده، به‌روزرسانی این محصولات برای رفع نقایص موجود امری ضروری است و به کاربران توصیه می‌شود تا هرچه سریع‌تر وصله‌های منتشرشده را اعمال کنند.

مطابق گزارش مرکز مدیریت و پاسخگویی به رخدادهای امنیتی فاوا همراه اول و بررسی های بعمل آمده توسط مرکز ماهر بدافزار اندرویدی Calendarکه با عنوان یک تقویم ایرانی در شبکههای اجتماعی تبلیغ میشود، بعد از نصب با نام «تقویم ثمین» در فهرست برنامه های نصب شده در تلفن همراه قرار میگیرد. این بدافزار هنگام نصب، هیچ مجوزی را از کاربر درخواست نمیکند اما پس از اجرا، درخواست مجوز دسترسی به تصاویر، رسانه و فایلهای روی دستگاه را دارد.

دانلود گزراش

متاسفانه برنامک‌های متعددی تحت عنوان "افزایش سرعت اینترنت" در فروشگاه‌های برنامک ‌های #‫اندروید وجود دارند. این برنامک‌ها با ظاهرسازی و ادعاهای دروغین سعی در ترغیب کاربران به نصب برنامک را دارند اما هیچ‌کدام نمی‌توانند منجر به افزایش سرعت اینترنت شوند، چرا که چنین کاری در دنیای واقعی عملی نیست. این برنامک‌ها به محض شروع اعلام می‌کنند که سرعت اینترنت پایین است، سپس با نمایش اعلان‌هایی و بعد از چند ثانیه، ادعا می‌کنند که سرعت اینترنت افزایش یافته است. در این گزارش برنامک‌های پرنصب (29 برنامک با بیش از 127هزار کاربر) در این زمینه مورد بررسی قرار گرفته و نشان داده شده که این برنامک‌ها در پس‌زمینه هیچ کار مفیدی انجام نمی‌دهند و تنها با هدف نمایش تبلیغات و کنترل گوشی کاربر منتشر شده‌اند.

دانلود پیوست

شرکت MikroTik# بار دیگر از وجود نقصی در مسیریاب‌های خود خبر داد. این شرکت در هفته‌ی اول ماه آوریل سال 2019، جزئیات فنی مربوط به یک آسیب پذیری قدیمی که دستگاه را به مهاجمان راه دور نشان می‌دهد، منتشر ساخته است.

مهاجمان می‌توانند از این آسیب‌پذیری برای راه‌اندازی یک حالت انکار سرویس (DoS) در دستگاه‌هایی که RouterOS را اجرا می‌کنند، سوءاستفاده کنند. RouterOS حاوی چندین مشکل خسته‌شدن بیش از اندازه‌ی منبع مربوط به IPv6 است که در حال حاضر برطرف شده‌اند.

اولین مسئله باعث می‌شود در صورتی که ترافیک به سمت تعداد زیادی آدرس مقصد مختلف، تعیین مسیر شود، دستگاه مجدداً راه‌اندازی شود. این راه اندازی‌های مجدد توسط یک تایمر نگهبان (watchdog) دایماً تکرار و در نتیجه منجر به به بارگیری بیش از اندازه و توقف پاسخ‌گویی دستگاه می‌شوند.

به‌روزرسانی‌های امنیتی برای RouterOS منتشر شده است که این نقص (CVE-2018-19299) را برطرف می‌سازد؛ اما به گفته‌ی کارشناسان، برخی از دستگاه‌های متأثر همچنان آسیب‌پذیر هستند.

آسیب‌پذیری CVE-2018-19299، دستگاه‌های وصله‌نشده‌ی Mikro Tik را که مسیر بسته‌های IPv6 را تعیین می‌کنند، تحت‌تأثیر قرار می‌دهد. مهاجم می‌تواند با ارسال یک دنباله‌ی خاص از بسته‌های IPv6 که استفاده از RAM را اشباع می‌سازد، از این نقص سوءاستفاده کند.

پس از رفع نقص مربوط به راه‌اندازی مجدد، مسئله‌ی دیگری باعث پرشدن حافظه می‌شود، زیرا اندازه‌ی کش مسیر IPv6 می‌تواند بزرگتر از RAM موجود باشد. این مشکل نیز با محاسبه‌ی خودکار اندازه‌ی کش بر اساس حافظه‌ی موجود، رفع شده است.

MikroTik این آسیب‌پذیری‌ها را در نسخه‌های RouterOS که در ماه آوریل سال 2019 منتشر شده‌اند (تمامی زنجیره‌های انتشار: RouterOSv6.44.2، RouterOS v6.45beta23 و RouterOSv6.43.14)، برطرف ساخته است.

کارشناسان کشف کرده‌اند که نقص DoS تنها در دستگاه‌های با بیش از 64 مگابایت RAM رفع شده است.

Javier Prieto، یکی از اعضای Mikro Tik، این نقص را بر روی Cloud Hoster Router (CHR) با RAM 256 مگابایت مورد آزمایش قرار داده است. او مشاهده کرد که این حمله باعث استفاده‌ی بیش از 20Mib شده است. Prieto چندین تست مختلف با GNS3 بااستفاده از CHR 6.44.2 (ثابت) انجام داده است و از آنجاییکه مسیریاب دارای حافظه‌ی کافی بود ، نابود نشد.

در این آزمایش و با استفاده از CHR دارای 256 مگابایت حافظه، منابع سیستم، پیش از حمله، کل حافظه‌ را 224 MiB و حافظه‌ی آزاد را 197 MiB نشان می‌دهد. در حین حمله و تنها از یک رایانه، حافظه‌ی آزاد تا حدود 20 MiB و گاهی تا 13 MiB کاهش می‌یابد. در استفاده از دو مهاجم، به نظر می‌رسد نتایج مشابه است و بدتر نیست. استفاده از مسیریاب دارای حافظه‌ی 200 مگابایت منجر به راه‌اندازی مجدد می‌شود.

این نقص توسط چندین متخصص مختلف، از جمله Isalski، در 16 آوریل سال 2018 گزارش شده بود. به گفته‌ی این متخصص، Mikro Tik بر وجود این نقص اذعان داشت؛ اما آن را به عنوان آسیب‌پذیری امنیتی دسته‌بندی نکرد. Isalski این نقص را در ماه مارس به چندین تیم پاسخگویی اورژانسی گزارش داد و مدارک سوءاستفاده از این آسیب‌پذیری در حملات وحشیانه را منتشر ساخت. Isalski ثابت کرد که نقص CVE-2018-19299 تقریباً هر دستگاه Mikro Tik را تحت‌تأثیر قرار می‌دهد؛ حتی دستگاه‌هایی که به عنوان مسیریاب‌های “core” یا “backhaul” استفاده می‌شوند.

Mikro Tik بیش از 20 نسخه RouterOS پس از کشف این آسیب‌پذیری منتشر ساخته است. یکی از دلایل این امر علاوه بر رد خطر امنیتی آن، این است که این نقص در سطح هسته (kernel) است و رفع آن بسیار دشوار است. به گفته‌ی یکی از اعضای تیم پشتیبانی شرکت Mikro Tik، Router v6 دارای هسته‌ی قدیمی‌تری است و نمی‌توان آن را تغییر داد.

کارشناسان معتقدند، Mikro Tik تعدادی بهینه‌سازی در نسخه‌ی بتای بعدی RouterOS برای سخت‌افزار با منبع کم RAM، معرفی خواهد کرد.

یک پویش پیشرفته‌ی مخرب کشف شده است که بدافزار #‫سیمباد (SimBad) را از طریق فروشگاه Google Playمنتشر می‌کند. به‌گفته‌ی کارشناسان، بیش از 150 میلیون کاربر در حال حاضر تحت تأثیر این پویش قرار گرفته‌اند.

سیمباد خود را به‌ تبلیغات مبدل می‌کند و در مجموعه‌ی کیت توسعه‌ی نرم‌افزار RXDrioder (SDK) که برای اهداف تبلیغاتی و کسب درآمد استفاده می‌شود، مخفی می‌شود. هر برنامه‌ای که با استفاده از SDKمخرب توسعه می‌یابد، شامل کد مخرب است.

این بدافزار توسط دامنه‌ی "addoider [.] com" به‌عنوان یک SDKمرتبط با تبلیغ ارائه شده است. با دسترسی به این دامنه، کاربران به یک صفحه‌ی ورودی دسترسی پیدا می‌کنند که به‌نظر می‌رسد مشابه سایر پنل‌های بدافزار است. پیوندهای «ثبت نام» شکسته می‌شوند و کاربر به صفحه‌ی ورود به سایت هدایت می‌شود.

بدافزار سیمباد همچنین قادر به هدایت کاربران اندرویدی به وب‌سایت‌های ماحیگیری است تا برنامه‌های مخرب بیشتری را از فروشگاه Playیا از یک سرور از راه دور دانلود ‌کند.

هنگامی که یک کاربر اندروید یک برنامه‌ی آلوده را دریافت و نصب می‌کند، بدافزار سیمباد خود را در "BOOT_COMPLETE" و "USER_PRESENT" ثبت می‌کند. به این ترتیب، نرم‌افزارهای مخرب می‌توانند عملیات را پس از اتمام مرحله‌ی بوت‌شدن انجام دهند، در حالی که کاربر، بدون اطلاع از دستگاه خود استفاده می‌کند.

پس از نصب، بدافزار سیمباد به سرور فرماندهی و کنترل (C&C) متصل می‌شود و فرمانی را برای انجام آن دریافت می‌کند. سپس آیکون خود را از لانچر حذف می‌کند که این کار حذف برنامه‌ی مخرب را برای کاربر دشوار می‌سازد. همزمان، تبلیغات را در پس‌زمینه نمایش می‌دهد و یک مرورگر با یک URLمشخص برای تولید درآمد، بدون ایجاد سوءظن باز می‌کند.

سیمباد دارای قابلیت‌هایی است که می‌توانند به سه گروه نمایش تبلیغات، ماحیگیری و قرارگرفتن در معرض دیگر برنامه‌ها تقسیم شوند. با استفاده از قابلیت بازکردن یک URLمشخص‌شده در مرورگر، مهاجم سیمباد می‌تواند صفحات ماحیگیری را برای سیستم‌عامل‌های مختلف ایجاد کند و آن‌ها را در یک مرورگر باز کند، بدن ترتیب، حملات ماحیگیری هدف‌دار را بر روی کاربر انجام دهد.

با توانایی بازکردن برنامه‌های بازاری مانند Google Playو 9Apps، با جستجوی کلیدواژه‌ی خاص یا حتی یک صفحه‌ی برنامه‌‌ی منفرد، این مهاجم می‌تواند به دیگر مهاجمان تهدید دست یابد و سود خود را افزایش دهد. مهاجم حتی می‌تواند با نصب یک برنامه‌ی از راه دور از یک سرور اختصاصی، فعالیت‌های مخرب خود را به سطح بالاتر ببرد تا به او اجازه‌ی نصب نرم‌افزارهای مخرب جدید را بدهد.

با توجه به تحقیقات انجام‌شده، اکثر برنامه‌های آلوده، بازی‌های شبیه‌ساز، ویرایشگر عکس و برنامه‌های کاربردی تصاویر پس‌زمینه هستند. 10 برنامه‌ی برتر آلوده به بدافزار سیمباد عبارتنداز:

1. شبیه‌ساز Snow Heavy Excavator(10،000،000 دانلود)
2. مسابقه‌ی Hoverboard(5،000،000 دانلود)
3. شبیه‌ساز Real Tractor Farming(5.000.000.000 دانلود)
4. Ambulance Rescue Driving (5،000،000 دانلود)
5. شبیه‌ساز Heavy Mountain Bus 2018 (5،000،000 دانلود)
6. Fire Truck Emergency Driver (5،000،000 دانلود)
7. شبیه‌ساز Farming Tractor Real Harvest(5،000،000 دانلود)
8. Car Parking Challenge (5،000،000 بارگیری)
9. مسابقات Speed Boat Jet Ski (5،000،000 دانلود)
10. Water Surfing Car Stunt (5،000،000 دانلود)

لیست کامل برنامه‌های آلوده به این بدافزار در اینجا موجود است.

بنیاد نرم‌افزار #‫آپاچی، یک آسیب‌پذیری شدید در پروژه‌ی وب‌سرور آپاچی (httpd) وصله کرده است که به اسکریپت‌های سرکش سرور اجازه می‌دهد تا بتوانند کد را با امتیازات ریشه اجرا کنند و سرور پایه را در اختیار گیرند.
وب‌سرور آپاچی یکی از محبوب‌ترین و گسترده‌ترین وب‌سرورهای منبع‌باز در جهان است که تقریباً ۴۰ درصد از کل اینترنت را پشتیبانی می‌کند.
این آسیب‌پذیری که با شناسه‌ی "CVE-2019-0211" ردیابی می‌شود، نسخه‌های آپاچی HTTP Server را فقط در سیستم‌های یونیکس از 2.4.17 تا 2.4.38 تحت تأثیر قرار می‌دهد و با انتشار نسخه‌ی 2.4.39 رفع شده است.
به‌گفته‌ی کارشناسان امنیتی، بیش از 2 میلیون سرور آپاچی HTTP تحت تأثیر نقص تشدید امتیازات "CVE-2019-0211" قرار دارند.
این آسیب‌پذیری مهم افزایش امتیاز می‌تواند توسط کاربران مورد سوءاستفاده قرار گیرد تا حق نوشتن و اجرای اسکریپت‌ها را برای به‌دست آوردن ریشه در سیستم‌های یونیکس به‌دست آورند.
در Apache HTTP Server نسخه‌ی 2.4.17 تا 2.4.38، با رویداد MPM، worker یا prefork، می‌توان کد دلخواه را با امتیازات فرایند اصلی (معمولاً ریشه) و با دست‌کاری scoreboard اجرا کرد. سیستم‌های غیریونیکس تحت تأثیر این آسیب‌پذیری قرار نمی‌گیرند.
طبق گفته‌ی تیم آپاچی، پردازنده‌های فرزند (مانند اسکریپت هایCGI ) می‌توانند کد مخرب را با امتیازات فرآیند والدین اجرا کنند.
از آنجایی که در اکثر سیستم‌های یونیکس آپاچی، httpd تحت کاربر ریشه اجرا می‌شود، هر تهدیدکننده‌ای که یک اسکریپت CGI مخرب را بر روی یک سرور آپاچی نصب می‌کند، می‌تواند از "CVE-2019-0211" برای استفاده از سیستم پایه‌ای که در حال اجرای پروسس httpd پروتکل آپاچی است، استفاده کند و کنترل کل دستگاه را به‌‌دست گیرد.
این آسیب‌پذیری در HTTP سرور آپاچی یافت شده و وصله شده است؛ اما هنوز هم تعداد زیادی از سرورهای در حال اجرای نسخه‌های قدیمی‌تر و وصله‌نشده را تحت تأثیر قرار می‌دهد. صدها هزار وب‌سایت و سرور هنوز می‌توانند به‌طور بالقوه در معرض حملات سایبری قرار گیرند.
براساس تحلیلات انجام‌شده، بیش از دو میلیون سرور و بسیاری از سیستم‌عامل‌های ابر عمومی، هنوز نسخه‌های آسیب‌پذیر آپاچی را اجرا می‌کنند. بیشتر سیستم‌هایی که تحت تأثیر این آسیب‌پذیری قرار گرفته‌اند، در ایالات متحده (حدود 770،000)، آلمان (حدود 224،000) و فرانسه (حدود 111،000) هستند.
این آسیب‌پذیری ممکن است یک تهدید فوری و قابل لمس برای توسعه‌دهندگان و شرکت‌هایی که زیرساخت‌های سرور خود را اداره می‌کنند، ایجاد نکند؛ اما یک آسیب‌پذیری حیاتی در محیط میزبانی وب به‌حساب می‌آید.
سازمان‌ها باید در اسرع وقت وصله‌ی آپاچی را دریافت کنند و اگر سازمان‌ها، وب‌سایت خود را در یک میزبان وب که تحت تأثیر این مسئله قرار گرفته است، میزبانی می‌کنند، باید فوراً آن‌را وصله‌کنند یا به یک ارائه‌دهنده/پلت‌فرم دیگر انتقال دهند.

#‫سیسکو در هفته‌ی اول ماه آوریل اعلام کرد وصله‌های امنیتی جدیدی برای مسیریاب‌های RV320 و RV325 منتشر ساخته است که آسیب‌پذیری‌هایی که طی مدت دو ماه هدف حمله قرار گرفته‌اند را به‌درستی برطرف می‌سازد.
شرکت سیسکو سعی داشت این آسیب‌پذیری‌ها را ماه ژانویه برطرف سازد؛ اما وصله‌های منتشرشده‌ی اولیه کامل نبودند.
هر دوی این آسیب‌پذیری‌ها، مسیریاب‌های واسط مدیریتی مبتنی بر وب Small Business RV320 و Rv325 Dual Gigabit WAN VPN را تحت‌تأثیر قرار می‌دهند و به گفته‌ی سیسکو به طور گسترده‌ای در حملات مورد سوءاستفاده قرار گرفته‌اند.
آسیب‌پذیری اول با شناسه‌ی CVE-2019-1653 می‌تواند توسط یک مهاجم راه‌دور و احرازهویت‌نشده‌ با حق دسترسی مدیریتی برای به‌دست آوردن اطلاعات حساس مورد سوءاستفاده قرار گیرد. مهاجم می‌تواند از این آسیب‌پذیری با اتصال به یک دستگاه آسیب‌پذیر از طریق HTTP یا HTTPs و درخواست‌ URLهای خاص سوءاستفاده کند. سوءاستفاده‌ی موفق به مهاجم اجازه می‌دهد پیکربندی مسیریاب یا اطلاعات تشخیصی دقیق را دانلود کند. سوءاستفاده از این اشکال می‌تواند منجر به نقص دوم شود.
نقص دوم با شناسه‌ی CVE-2019-1652 ردیابی می‌شود و ناشی از ورودی نامعتبر کاربر است. این امر به یک مهاجم راه دور و احرازهویت‌نشده با دسترسی مدیریتی اجازه می‌دهد دستورات دلخواه را بر روی دستگاه آسیب‌پذیر اجرا نماید. یک مهاجم می‌تواند با ارسال درخواست‌های مخرب HTTP POST به واسط مدیریتی مبتنی بر وب یک دستگاه متأثر از این آسیب‌پذیری سوءاستفاده نماید. سوءاستفاده‌ی موفق از این نقص به مهاجم اجازه می‌دهد دستورات دلخواه را بر روی پوسته‌ی زیرین لینوکس به عنوان ریشه اجرا نماید.
با زنجیر‌شدن این دو نقص با هم، امکان غلبه بر مسیریاب‌های RV320 و RV325 وجود دارد؛ هکرها از این اشکالات برای به‌دست آوردن گذرواژه‌های هش‌شده برای یک حساب کاربری مجاز سوءاستفاده و به عنوان ریشه دستورات دلخواه را اجرا می‌کنند.
بیش از 9600 مسیریاب تحت‌تأثیر این دو آسیب‌پذیری قرار داشتند و تمامی آن‌ها به دلیل وصله‌های ناقص همچنان در معرض آسیب باقی ماندند.
پس از انتشار وصله های امنیتی توسط سیسکو، هکرها شروع به سوءاستفاده از نقص‌های این مسیریاب‌ها کردند. پس از انتشار کد اثبات مفهوم برای نقص‌های امنیتی مسیریاب‌های RV320 و RV325، هکرها شروع به اسکن اینترنت کردند تا دستگاه‌های آسیب‌پذیر را بیابند و آن‌ها را در معرض خطر قرار دهند.
با جستجو در موتور جستجوی Shodan برای یافتن مسیریاب‌های آسیب‌پذیر RV320 و RV325، امکان یافتن ده‌ها هزار دستگاه به صورت آنلاین وجود دارد. کارشناس ارشد پژوهشی در Bad Packets به نام Troy Mursch، ، دستگاه‌های آسیب‌پذیر را بااستفاده از موتور جستجوی BinaryEdge مورد جستجو قرار داد و 9657 دستگاه را در معرض خطر آنلاین یافت (6247 مسیریاب Cisco RV320 و 3410 مسیریاب Cisco RV325).
هر دو آسیب‌پذیری CVE-2019-1652 و CVE-2019-1653 بر مسیریاب‌های RV320 و RV325 که سفت‌افزار نسخه‌های 1.4.2.15 تا 1.4.2.20 را اجرا می‌کنند تأثیر می‌گذارند. سیسکو این آسیب‌پذیری‌ها را با انتشار نسخه‌ی 1.4.22 برطرف ساخته است.
هیچ راه حلی برای رفع خطر این دو آسیب‌پذیری در دسترس نیست؛ اما غیرفعال‌کردن ویژگی مدیریت راه‌دور (در Firewall-> General؛ واسط مدیریتی مبتنی بر وب در آدرس WAN IP را غیرفعال خواهد ساخت) میزان ریسک را کاهش می‌دهد.