ID: IRCNE2013051833
Date: 2013-05-05

According to "techworld", security researchers have discovered a new Apache web server backdoor that is so stealthy it leaves almost no trace of its redirection behaviour on the hard drive or in server log files.
According to an analysis by security firms ESET and Sucuri, spotting the Linux/Cdorked.A module will prove a challenge to even the most diligent web admin.
Unlike the majority of such malware, Cdorked writes no files to the server’s hard drive, storing its configuration in a few megabytes of main memory that it happily shares with other processes.
“There are two ways the attacker can control the behaviour of the backdoored server: through a reverse connect shell or through special commands, all of them are triggered via HTTP requests,” said ESET’s Pierre-Marc Bureau.
Although small by Internet standards, ESET’s engineers still estimate that hundreds of servers are affected which probably equates to thousands of websites co-opted to serve redirects.
Detecting and getting rid of it means either checking the integrity of the Apache package or, better still, looking at a memory dump to spot the malware’s binary.
"We urge system administrators to check their servers and verify that they are not affected by this threat," said ESET.
ESET previously reported on Linux/Chapro.A, an attack aimed at Internet bank users, and the Snasko server rootkit.
As with these attacks, Cdorked is a reminder to apply all patches and that attackers are now aiming at vulnerable servers as a weakness.

شماره: IRCNE2013041832
تاريخ:10/02/92

شركت مك آفي آسيب پذيري را در برنامه Adobe Reader پيدا كرده است كه زمان و محل باز شدن يك سند PDF را نشان مي دهد.
Haifei Li از شركت مك آفي در وبلاگي نوشت: اين مساله يك مشكل جدي نيست و منجر به اجراي كد از راه دور نمي شود. اما شركت مك آفي آن را به عنوان يك مشكل امنيتي در نظر گرفته است و شركت ادوب را از اين موضوع مطلع ساخته است. اين آسيب پذيري تمامي نسخه هاي Adobe Reader را تحت تاثير قرار مي دهد.
Haifei Li نوشت: ارسال كنندگان فايل هاي مخرب مي توانند از اين آسيب پذيري به منظور جمع آوري اطلاعات حساس مانند آدرس IP و ارائه كننده سرويس اينترنت سوء استفاده نمايند. هم چنين اين مشكل مي تواند توسط مهاجمان براي شناسايي مورد استفاده قرار گيرد.
شركت مك آفي به كاربران Adobe Reader توصيه مي كند تا جاوا اسكريپت را تا زمان انتشار اصلاحيه غيرفعال نمايند.

شماره: IRCNE2013041831
تاريخ: 10/02/91
به گفته محققين امنيتي، تعدادي از دوربين‌هاي مداربسته مبتني بر IP توليد شده توسط D-Link داراي آسيب‌پذيري‌هاي سفت‌افزاري هستند كه مي‌توانند به مهاجم اجازه دهند جريان ويدئو را قطع نمايد.
شركت Core Security كه در بوستون واقع بوده و در تشخيص و تحقيق درباره آسيب‌پذيري‌ها تخصص دارد، روز دوشنبه جزئيات پنج آسيب‌پذيري سفت‌افزار D-Link را منتشر كرد كه حداقل 14 محصول اين شركت را تحت تأثير قرار مي‌دهند.
D-Link توليد كننده دوربين‌هاي اينترنتي مختلفي است كه به شركت‌هاي تجاري و ساير مشتريان عرضه مي‌كند. اين دوربين‌ها مي‌توانند تصوير و ويدئو را ضبط كرده و از طريق پنل‌هاي كنترلي مبتني بر وب، كنترل گردند.
يكي از مدل‌هاي آسيب‌پذير به نام DCS-5605/DCS-5635، داراي ويژگي تشخيص حركت است كه D-Link براي بانك‌ها، بيمارستان‌ها و دفاتر تجاري پيشنهاد داده است.
محققان Core Security كشف كرده‌اند كه در مدل‌هاي آسيب‌پذير، دسترسي بدون احراز هويت به يك جريان ويدئوي زنده از طريق RTSP و همچنين خروجي ASCII يك جريان ويدئو ممكن است. RTSP يك پروتكل سطح كاربرد براي انتقال داده‌هاي بلادرنگ است.
اين محققان همچنين مشكلي را در پنل كنترلي مبتني بر وب كشف كرده‌اند كه به هكر اجازه مي‌دهد دستورات دلخواه خود را وارد نمايد. Core Security در راهنمايي امنيتي خود نوشت كه در خطاي ديگري اطلاعات لاگين كه به‌صورت كد درون اين سفت‌افزار قرار گرفته‌اند مي‌توانند به‌عنوان يك راه نفوذ مخفي عمل كرده و به مهاجم راه دور اجازه دهند به جريان ويدئوي RTSP دسترسي يابد.
بنا بر ادعاي Core Security، اين شركت در 29 مارس در مورد اين مشكلات به D-Link اطلاع‌رساني كرده است.

ID: IRCNE2013041832
Date: 2013-04-30

According to "computerworld", McAfee said it has found a vulnerability in Adobe Systems' Reader program that reveals when and where a PDF document is opened.
The issue is not a serious problem and does not allow for remote code execution, wrote McAfee's Haifei Li in a blog post. But McAfee does consider it a security problem and has notified Adobe. It affects every version of Adobe Reader, including the latest version, 11.0.2, Li wrote.
"Malicious senders could exploit this vulnerability to collect sensitive information such as IP address, Internet service provider or even the victim's computing routine," Li wrote. "In addition, our analysis suggests that more information could be collected by calling various PDF JavaScript APIs."
Li suggests the problem could be used for reconnaissance by attackers.
McAfee suggests that Adobe Reader users disable JavaScript until a patch is released. Adobe officials could not be immediately reached for comment.

ID: IRCNE2013041831
Date: 2013-04-30

According to “ComputerWorld”, a number of IP-based surveillance video cameras made by D-Link have firmware vulnerabilities that could allow an attacker to intercept the video stream, according to security researchers.
Core Security, a company based in Boston that specializes in vulnerability detection and research, published on Monday details of five vulnerabilities in D-Link's firmware, which is wrapped into at least 14 of its products.
D-Link makes a variety of Internet-connected cameras that it sells to businesses and consumers. The cameras can record images and video and be controlled through Web-based control panels. Live feeds can be viewed on some mobile devices.
One of the vulnerable models, the DCS-5605/DCS-5635, has a motion-detection feature, which D-Link suggests in its marketing materials would be good for banks, hospitals and offices.
Core Security's researchers found it was possible to access without authentication a live video stream via the RTSP (real time streaming protocol) as well as an ASCII output of a video stream in the affected models. RTSP is an application-level protocol for transferring real-time data, according to the Internet Engineering Task Force.
The researchers also found a problem with the web-based control panel that would allow a hacker to input arbitrary commands. In another error, D-Link hard-coded login credentials into the firmware which "effectively serves as a backdoor, which allows remote attackers to access the RTSP video stream," Core Security said in its advisory.
The technical details are described in a post in the Full Disclosure section of Seclists.org, along with a list of the known affected products, some of which have been phased out by D-Link.
Core Security notified D-Link of the problem on March 29, according to a log of the two companies' interaction included in the posting on Full Disclosure.

شماره: IRCNE2013041830
تاريخ: 05/02/92

آسيب پذيري اجراي كد از راه دور جاوا كه اخيرا اصلاح شده بود، در حال حاضر هدف حملات مجرمان سايبري قرار گرفته است تا رايانه ها را به بدافزار آلوده نمايند.
اين آسيب پذيري كه با عنوان CVE-2013-2423 شناخته شده است، يكي از 42 مساله امنيتي برطرف شده در جاوا 7 به روز رساني 21 مي باشد كه هفته گذشته توسط اوراكل منتشر شد.
با توجه به راهنمايي امنيتي اوراكل، اين آسيب پذيري تنها كلاينت ها را تحت تاثير قرار مي دهد. در راهنمايي امنيتي اين شركت آمده است كه اين رخنه تنها از طريق برنامه هاي كاربردي Java Web Start نامعتبر و اپلت هاي نامعتبر جاوا مورد سوء استفاده قرار مي گيرد.
تنها يك روز پس از آن كه اصلاحيه اين آسيب پذيري به چارچوب كاري Metasploit افزوده شد، اين آسيب پذيري توسط مهاجمان مورد سوء استفاده قرار گرفت.
به كاربراني كه بايد بر روي رايانه هاي خود به خصوص مرورگزها از جاوا استفاده نمايند توصيه مي شود كه در اسرع وقت برنامه جاواي خود را به آخرين نسخه به روز رساني نمايند. كاربران بايد تنها اپلت هاي جاوا را از منابع معتبر اجرا نمايند. مرورگرهايي مانند كروم و موزيلا نيز داراي قابليت click-to-play مي باشند كه مي تواند محتوي مبتني بر پلاگين را مسدود نمايد.

Number: IRCNE2013041830
Date: 2013/04/25

According to “computerworld”, a recently patched Java remote code execution vulnerability is already being exploited by cybercriminals in mass attacks to infect computers with scareware, security researchers warn.
The vulnerability, identified as CVE-2013-2423, was one of the 42 security issues fixed in Java 7 Update 21 that was released by Oracle last week, on April 16.
According to Oracle's advisory at the time, the vulnerability only affects client, not server, deployments of Java. The company gave the flaw's impact a 4.3 out of 10 rating using the Common Vulnerability Scoring System (CVSS) and added that "this vulnerability can be exploited only through untrusted Java Web Start applications and untrusted Java applets."
The vulnerability started being targeted by attackers one day after an exploit for the same flaw was added to the Metasploit framework, an open-source tool commonly used by penetration testers, the F-Secure researchers said.
Users who need Java on their computers and especially in their browsers are advised to upgrade their Java installations to the latest available version -- Java 7 Update 21 -- as soon as possible.
Users should only agree to run Java applets from websites that they trust and which normally load such content. Browsers like Google Chrome and Mozilla Firefox also have a feature known as click-to-play that can be used to block plug-in-based content from executing without explicit consent.

شماره: IRCNE2013041829
تاريخ: 05/02/92

با توجه به گزارش منتشر شده توسط شركت امنيتي FireEye، ابزار جاسوسي سايبري شناخته شده با نام Gh0stRAT هم چنان در حملات بدافزاري مورد استفاده قرار مي گيرد.
اين شركت كه متخصص تشخيص نرم افزارهاي مخرب مي باشد، داده هايي را منتشر كرد كه از صدها مشتري در سال 2012 جمع آوري كرده است. 12 ميليون گزارش مختلف از فعاليت هاي مشكوك ثبت شده است كه حدود 2000 گزارش در دسته "تهديدات پيشرفته پايدار" قرار مي گيرند. ان تهديدات بسيار پيچيده مي باشند و به سختي شناسايي مي شوند.
در بيشتر اين 2000 گزارش از بدافزار Gh0stRAT استفاده شده است. اين ابزار دسترسي از راه دور در كشور چين ساخته شده است و به مهاجم اجازه مي دهد تا اطلاعات را از روي رايانه قرباني به سرقت ببرند. در سال 2009، محققان پروژه تحقيقاتي امنيتي Warfare Monitor و دانشگاه تورنتو عمليات جاسوسي سايبري گسترده توسط بدافزار Gh0stRAT را گزارش كردند كه بيش از 1000 رايانه را در 103 كشور مورد هدف قرار داده بود.
شركت FireEye در گزارشي آورده است كه چگونه مهاجمان، اطلاعات را از رايانه فرد قرباني استخراج مي كنند و اين بدافزار را بر روي رايانه هاي آلوده شده كنترل مي نمايند. داده هاي جمع آوري شده در سال 2012 نشان مي دهد كه مهاجمان از سرورهاي دستور و كنترل براي ارائه دستورات به اين بدافزار در 184 كشور استفاده مي كنند و نسبت به سال 2010، 42 درصد افزايش يافته است.
گزارش منتشر شده توسط شركت FireEye نشان مي دهد كه كره جنوبي مورد حمله اين بدافزار قرار گرفته است. با توجه به داده هاي جمع آوري شده در سال 2012، كره جنوبي بيشترين حملات اين بدافزار را تجربه كرده است.
هكرها براي آنكه ترافيك ارسالي عادي به نظر برسد، اطلاعات به سرقت رفته را در يك فايل JPEG قرار مي دهند. اين بدافزار در سايت هاي شبكه هاي اجتماعي توييتر و فيس بوك نيز مورد استفاده قرار مي گيرد.
اين شركت متوجه شده است كه رفتار هكرها تغيير كرده است. معمولا سرورهاي دستور و كنترل در كشورهاي مختلفي قرار دارند. اما در حال حاضر اين سرورهاي در كشور قربانيان قرار داده شده اند تا ترافيك، طبيعي به نظر برسد.

Number: IRCNE2013041829
Date: 2013/04/25

According to “computerworld”, a well-known cyber-spying tool called Gh0st RAT is still being employed in stealthy malware attacks, according to security firm FireEye.
FireEye, which specializes in malware detection, released data it collected from hundreds of its customers during 2012. It looked at 12 million different reports of suspicious activity, around 2,000 of which were classified as "advanced persistent threats" (APTs), the security industry's term for sophisticated, hard-to-detect attacks aimed at the long-term infiltration of organizations.
Most of those 2,000 incidents employed Gh0st RAT, a remote access tool believed to have been developed in China that allows attackers to steal information from a victim's computers. In 2009, researchers with the Information Warfare Monitor, a computer security research project, and the University of Toronto reported an extensive cyber espionage campaign using Gh0st RAT that targeting more than 1,000 computers in 103 countries.
FireEye's report broadly looks at how attackers extract information from victims and control their malware on infected computers, or "callback" activity. Their data from 2012 shows that attackers are using command-and-control servers to deliver instructions to malware in 184 countries now, a 42 percent increase over 2010.
FireEye's report said "in a sense, South Korea is plagued by RATs [remote access tools]. It is clear from the 2012 data that South Korea is one of the top callback destinations in the world and that some of the country's callback activities are associated with more targeted attacks."
Hackers were also inserting stolen information into JPEG image files in order to make the data look more like normal traffic. The malware also used social networking sites such as Twitter and Facebook to place instructions for infected machines, FireEye said.
The company noticed other changes in hackers' behavior. Usually, command-and-control servers were located in a different country than the victim. Now they are locating the command infrastructure in the same country in order to make the traffic look normal.

شماره: IRCNE2013041828
تاريخ: 04/02/91

يك گزارش امنيتي جديد نشان مي‌دهد كه چين متهم رديف اول حملات خرابكارانه كامپيوتري بوده و ايالات متحده نيز در رديف دوم قرار دارد.
بر اساس گزارش شركت آكامايي، چين مسئول 41% از ترافيك حملات كامپيوتري است. گزارش بلومبرگ نيز نشان مي‌دهد كه حملات سايبري نشأت گرفته از چين نسبت به سال گذشته بيش از سه برابر شده است. همچنين اين حملات 33% نيز نسبت به سه ماهه گذشته افزايش داشته است.
مدت‌ها است كه انگشت اتهام حملات سايبري به سمت چين نشانه رفته است و برخي دولت‌ها نيز اين كشور را متهم به حملات دولتي مي‌كنند. البته چين همواره اين اتهام را رد كرده است.
بنا بر اين گزارش، ايالات متحده آمريكا نيز در مقام دوم اصلي‌ترين منابع حملات سايبري قرار گرفته است و مسئول 10% از ترافيك حمله سراسر جهان است. در سه‌ماهه پيش از اين، اين كشور مسئول 13% از حملات سايبري جهان بود.
تركيه نيز كه معمولاً با حملات سايبري در ارتباط نيست، در اين گزارش در مكان سوم قرار گرفته و منشأ 4.7% از ترافيك هك بوده است. روسيه با 4.3% در مقام چهارم و تايوان با 3.7% در مقام پنجم قرار گرفته‌اند.
گزارش تحقيق در مورد نشت داده‌ها در سال 2013 كه توسط شركت وريزون تهيه شده است نيز چين را مسئول حملات سايبري دانسته و انگشت اتهام را در مورد نشت داده‌ها به سوي چين گرفته است. چين مسئول 30% از نشت داده‌ها بوده كه 96% از آن، با جاسوسي سايبري در ارتباط است. روماني با 28% در مقام دوم و ايالات متحده با 18% در مقام سوم قرار گرفته‌اند. بلغارستان و روسيه نيز مكان‌هاي چهارم و پنجم را به خود اختصاص داده‌اند.