با توجه به  دسترس بودن برنامه Swing VPN در دستگاه های Android و iOS ، محققان تنها نسخه اندروید را به عنوان یک بات نت DDoS شناسایی کرند. برنامه Swing VPN که در فروشگاه رسمی گوگل پلی با نام Swing VPN - Fast VPN Proxy موجود است، بیش از ۵ میلیون بار و بخصوص توسط کاربران ایرانی دانلود شده است. نرم‌افزار Swing VPN یک برنامه VPN قانونی است که توسط Limestone Software Solutions برای سیستم‌های اندروید و iOS توسعه‌یافته است. با‌این‌حال، به گفته محقق سایبری به نام لکرومی، نسخه اندروید این برنامه یک بات‌نت DDoS است و گفته می‌شود که دارای هدف مخربی است زیرا می‌تواند حملات Distributed Denial-of-Service (حملات DDoS) را انجام دهد.

همه چیز از زمانی شروع شد که دوست لکرومی به او اطلاع داد که الگوی درخواست‌های غیرمعمولی روی گوشی همراهش را مشاهده کرده است. گوشی به صورت مداوم درخواست‌ها را هر 10 ثانیه به یک وبسایت خاص ارسال می‌کرد. ادعا می‌شد که اپلیکیشن از تاکتیک‌های مختلفی برای پنهان کردن اقدامات خبیثانه‌اش استفاده کرده است تا حمله به‌صورتی که قابل تشخیص نباشد، انجام شود. ابتدا، لکرومی این مشکل را به علت وجود نرم‌افزار مخرب یا ویروس می‌پنداشت. با این حال، بررسی‌های بیشتر نشان داد که تمام درخواست‌ها از اپلیکیشن Swing VPN ارسال می‌شوند که دوست لکرومی آن را در گوشی خود نصب کرده بود. درخواست‌ها به همان وبسایتی ارسال می‌شدند که دوست لکرومی تاکنون به آن دسترسی یا بازدیدی نداشته بود، که این امر باعث شک و تردید پژوهشگر نسبت به این اپلیکیشن شد. برای بررسی‌های بیشتر، لکرومی مشاهده کرد که اپلیکیشن Swing VPN برخی از درخواست‌ها را به یک وبسایت ارسال می‌کند.
او مشخص کرد که اپلیکیشن بلافاصله پس از نصب، انتخاب زبان و پذیرش سیاست حفظ حریم خصوصی، آدرس IP واقعی را تشخیص می‌دهد. سپس یک درخواست با عنوان "What is my IP?" به بینگ و گوگل ارسال می‌کند. لکرومی همچنین فهمید که اصولاً برای یافتن فایل‌های پیکربندی جهت بارگذاری آدرس‌های IP را از پاسخ‌ها استخراج می‌کند.
بعد از شناسایی نوع پیکربندی مورد نیاز، اپلیکیشن درخواست‌هایی به دو فایل پیکربندی متفاوت که در حساب Google  Drive  شخصی توسعه دهنده ذخیره شده‌اند ارسال می‌کند. این فایل‌ها از سرورهای شخصی خاص، چند مخزن GitHub یا حساب‌های Google Drive درخواست می‌شوند. اپلیکیشن فرآیند مقدماتی خود را با اتصال به شبکه تبلیغاتی برای بارگذاری تبلیغات انجام می‌دهد و در نهایت پیش از رفتن به یک سایت داده‌ها را در حافظه محلی ذخیره می‌کند DDoS.
تا ژوئن ۲۰۲۳، این اپلیکیشن بیش از ۵ میلیون نصب بر روی اندروید داشته است و با تقسیم آن بر ده، پتانسیلی حدود ۵۰۰ هزار درخواست بر ثانیه (RPS) ایجاد می‌کند. این برای یک حمله DDoS به شدت قابل توجه است. لکرومی به گوگل انتقاد کرد که سیستم امنیتی ضعیفی دارد که به اپلیکیشن‌های مخرب امکان استفاده از دستگاه‌های کاربران بی‌گناه را می‌دهد.

مراجع

سه آسیب‌پذیری (CVE-2023-32434، CVE-2023-32435 و CVE-2023-32439) در اپل، دو نقص در VMware (CVE-2023-20867  و CVE-2023-2087)، و یک نقص در دستگاه‌هاZyxel با شناسه (CVE-2023-27992) وصله شده است.
آسیب‌پذیری‌های CVE-2023-32434 و CVE-2023-32435، محصولات اپل مانند iOS، iPadOS، macOS و watchOS را تحت تأثیر قرار می‌دهند و ممکن است باعث اجرای کد دلخواه شوند. اپل به روزرسانی‌هایی را برای رفع این آسیب‌پذیری‌ها منتشر کرده‌است و تأیید کرده‌است که ممکن است به صورت فعال مورد سوء‌استفاده قرار گرفته‌باشد. گفته می‌شود این دو آسیب‌پذیری به عنوان آسیب‌پذیری‌های روز صفر مورد سواستفاده قرار گرفته‌اند تا نرم‌افزار جاسوسی را به عنوان بخشی از یک کمپین جاسوسی سایبری چند ساله که از ۲۰۱۹ آغاز شده‌است، گسترش دهند. این فعالیت به نام عملیات مثلث نام‌گذاری شده‌است، فعالیتی که در نهایت منجر به استقرار TriangleDB می‌شود که برای برداشت اطلاعات گسترده‌ای از دستگاه‌های آسیب‌پذیر طراحی شده‌است، مانند ایجاد، تغییر، حذف و دزدیدن فایل ها، فهرست کردن و خاتمه دادن به فرآیندها، جمع آوری اعتبارنامه‌ها از iCloud Keychain و ردیابی مکان کاربر.
زنجیره حمله با دریافت یک پیام iMessage با یک پیوست حاوی یک اکسپلویت توسط قربانی به صورت هدفمند شروع می‌شود که به طور خودکار بدون نیاز به هیچ گونه تعاملی، اجرای کد را آغاز می‌کند و آن را به یک سوء‌استفاده zero-click تبدیل می کند. کسپرسکی در گزارش اولیه خود ذکر کرده‌است: "پیام مخرب دارای شکل نادرستی است و هیچ هشدار یا اعلانی را برای کاربر ایجاد نمی کند."
توصیه می‌شود وصله‌های ارائه‌شده توسط فروشندگان را برای ایمن کردن شبکه‌های خود در برابر تهدیدات احتمالی اعمال کنند. این توسعه در حالی رخ می دهد که CISA یک هشدار صادر کرده است که از سه باگ در مجموعه نرم افزار BIND9 DNS هشدار می دهد که ممکن است راه را برای یک شرایط منع خدمات (DoS) هدایت کند.
از معایب سه آسیب‌پذیری CVE-2023-2828 ، CVE-2023-2829 و CVE-2023-2911 می توان گفت که از راه دور می‌توانند مورد سوء‌استفاده قرار گیرند ، که منجر به پایان ناگهانی سرویس BIND9 یا اشغال تمام حافظه کامپیوتر میزبان می‌شود که منجر‌به حمله DOS می‌شود.
 
منابع

https://www.helpnetsecurity.com/2023/06/22/spyware-cve-2023-32435/

تروجان بانکی Anatsa که با نام‌های TeaBot و Toddler نیز شناخته می‌شود برای اولین بار در اوایل سال 2021 میلادی شناسایی شد. این بدافزار یکی از پرکاربرد‌ترین بدافزارهای بانکی به شمار می‌رود که قابلیت مدیریت از راه دور دارد و تاکنون بیش از 400 موسسه مالی در سراسر جهان را هدف قرار داده است. این بدافزار قادر به جمع‌آوری اطلاعات حساسی مانند اطلاعات ورود، اطلاعات کارت‌های بانکی، جزئیات تراکنش‌های بانکی کاربران است. مهاجمان از این اطلاعات برای کلاهبرداری بانکی استفاده می‌کنند. همچنین این بدافزار قابلیت در دست گرفتن کنترل دستگاه کاربر و انجام تراکنش‌های بانکی به جای کاربر را دارد. Anatsa پس از گذراندن فرآیند بررسی برنامه‌ها در Google Play، آنها را آلوده می‌کند و به این ترتیب توزیع می‌شود. این بدافزار در قالب برنامه‌های قانونی مانند PDFخوان‌ها و برنامه‌های office در Google Play مشاهده شده است. 
پس از وقفه‌ای شش‌ماهه در توزیع بدافزار-ماه مارس 2023- عوامل تهدید، کمپین بدافزاری جدیدی را برای هدف قرار دادن مشتریان بانکی در ایالات متحده آمریکا، بریتانیا، آلمان، اتریش و سوئیس راه‌اندازی کردند. این بار هدف مهاجمان، سرقت اطلاعات موردنیاز برای نفوذ در برنامه‌های بانکداری تلفن همراه و انجام تراکنش‌های جعلی است. برنامه‌های آلوده به این بدافزار تا به امروز بیش از 30000 مرتبه نصب شده‌اند. این امر نشان می‌دهد Google Play به عامل مؤثری برای توزیع این بدافزار تبدیل شده است. تحلیلگران امنیتی بر این باورند که انتشار برنامه‌های آلوده به این بدافزار بسیار سریع است و حتی در صورت حذف آنها، برنامه‌های آلوده جدید به سرعت جایگزین خواهند شد.
 
مرجع:

https://www.threatfabric.com/blogs/anatsa-hits-uk-and-dach-with-new-campaign

یک بات نت جدید DDoS-as-a-Service به نام Condi، آسیب پذیری در روترهای Wi-Fi TP-Link Archer AX21(AX1800) را با ایجاد ربات هایی برای انجام حملات، اکسپلویت کرده است. AX1800، یک روتر6 Wi-Fi دو بانده، مبتنی بر لینوکس با پهنای باند  1.8 گیگابایت در ثانیه است که معمولا توسط کاربران خانگی، دفاتر کوچک، مغازه ها، کافه ها و غیره استفاده می شود. 
این آسیب پذیری با شناسه CVE-2023-1389 ارزیابی شده است. نسخه های اخیر کد منبع بات نت، جهت هدف قرار دادن روترهای TP-Link Archer AX21 از این آسیب پذیری استفاده می کنند. این آسیب پذیری به مهاجم اجازه می دهد، دستوراتی را که به صورت root اجرا می شوند، با یک درخواست POST تزریق کند و امکان اجرای از راه دور را از طریق API رابط مدیریت روتر ایجاد می کند. در حملات انجام شده، مهاجمان برای دسترسی به سازمان های قربانی، این آسیب پذیری را اکسپلویت کردند و پس از بدست آوردن دسترسی لازم، از طریق بدافزارهای جدید و شناخته شده در سازمان های قربانی مستقر شدند. 
نمونه های دیگری از Condi، چندین آسیبپذیری امنیتی را اکسپلویت کرده اند که نشان می دهد نرم افزار اصلاح نشده، مورد هدف بدافزار بات نت قرار می گیرد. Condi، ممکن است از دستگاههای جدیدی برای ایجاد یک بات نت قدرتمند DDoS، برای انجام حملات TCP و UDP به وب سایت ها و سرویس ها استفاده کند.
این آسیب پذیری  در نسخه های میان افزارTP-Link Archer AX21 قبل از1.1.4 Build 20230219 وجود دارد. 
بروزرسانی سیستم عامل نسخه 1.1.4 Build 20230219 آسیب پذیری را رفع کرده است. به مدیران توصیه می شود از رمزهای عبوری پیچیده استفاده کنند و آنها را بصورت دوره ای تغییر دهند تا از سرور لینوکس در برابر حملات brute force محافظت کنند و برای جلوگیری از حملات آسیب پذیری، همواره سیستم های خود را به آخرین وصله بروزرسانی نمایند.

منابع خبر

نرم‌افزار Cisco Secure Client، که قبلا با نام Cisco AnyConnect Secure Mobility Client شناخته می‌شد، به کسب و کارها کمک می‌کند تا قابلیت‌های دسترسی به شبکه خود را گسترش دهند و به کارمندان از راه دور اجازه دهند از طریق اتصالات سیمی و بی سیم از جمله VPN به شبکه سازمان متصل شوند و قابلیت‌های نظارتی را فراهم کنند. در اوایل ژوئن ، سیسکو یک هشدار امنیتی در مورد CVE-2023-20178 ، یک آسیب‌پذیری در فرآیند به روزرسانی کلاینت هر دو نرم افزار Cisco AnyConnect Secure Mobility Client و Cisco Secure Client برای ویندوز منتشر کرد.
سیسکو هشدار داد :” این آسیب‌پذیری به این دلیل وجود دارد که مجوزهای نادرست به دایرکتوری موقتی که در طول فرآیند به‌روزرسانی ایجاد می‌شود، اختصاص داده می شود. یک مهاجم می‌تواند با سوء‌استفاده از یک عملکرد خاص از فرآیند نصب ویندوز از این آسیب پذیری سوء‌استفاده کند. یک حمله موفق می‌تواند به مهاجم اجازه دهد تا کد را با امتیازات سیستم اجرا کند.” از آنجا که هیچ راه‌حلی برای این آسیب‌پذیری وجود ندارد ، به کاربران توصیه شده است که نرم‌افزار را در اسرع وقت به روزرسانی کنند.
این نقص تأثیری بر Cisco AnyConnect Secure Mobility Client و Cisco Secure Client برای لینوکس و مک و Cisco Secure Client-AnyConnect برای اندروید و iOS ندارد.

 PoC بر روی Cisco Secure Client 5.0.01242 و Cisco AnyConnect 4.10.06079 آزمایش شده است.  هنگامی که یک کاربر به vpn متصل می شود، فرآیند vpndownloader.exe در پس زمینه شروع می شود و یک دایرکتوری در c:\ windows \ temp با مجوزهای پیش فرض در قالب .tmp ایجاد می کند. پس از ایجاد این دایرکتوری vpndownloader.exe  بررسی می کند که آیا این دایرکتوری خالی است یا نه و اگر نباشد، تمام فایل ها و دایرکتوری های موجود در آن را حذف می‌کند. از این رفتار می توان برای انجام حذف فایل دلخواه به عنوان حساب NT Authority \ SYSTEM  سوء‌استفاده کرد.
در حالت کلی ، این یک مسئله حذف پوشه دلخواه است که می‌تواند در طول فرآیند به‌روزرسانی نرم‌افزار، هنگامی که یک پوشه موقت برای ذخیره نسخه‌های فایل‌هایی که در‌حال تغییر هستند ، ایجاد می‌شود فعال شود، تا در صورت عدم تکمیل فرآیند نصب، امکان بازگشت مجدد وجود داشته باشد.
یک مهاجم که از این پوشه موقت آگاهی دارد، می‌تواند یک اکسپلویت حاوی یک فایل اجرایی را که برای شروع فرآیند به‌روزرسانی طراحی شده است، اجرا کند، اما در اواسط راه، بازگشت به عقب را آغاز کند. در همان زمان، اکسپلویت به طور مداوم سعی می‌کند محتوای پوشه موقت را با فایل‌های مخرب جایگزین کند. هنگامی که فرآیند به‌روزرسانی متوقف می‌شود ، ویندوز سعی می‌کند فایل‌های موجود در پوشه موقت را به محل اصلی خود بازگرداند ، اما به جای آن محتوای مخرب مهاجم را مصرف می کند.
 
منابع

ایسوس ثابت‌افزار جدیدی با به‌روزرسانی‌های امنیتی منتشر کرده است که آسیب‌‌پذیری‌هایی را در مدل‌های چند مسیریاب برطرف می‌کند و به مشتریان هشدار می‌دهد که فوراً دستگاه‌های خود را به‌‌روزرسانی کرده یا دسترسی WAN را تا زمانی که ایمن نشده‌اند محدود کنند. همان‌طور که این شرکت توضیح می‌دهد، ثابت‌افزار جدید منتشرشده حاوی اصلاحاتی برای 9 نقص امنیتی، ازجمله موارد با شدت «بالا» و «بحرانی» است.
شدیدترین آن‌ها به‌عنوان CVE-2022-26376 و CVE-2018-1160 ردیابی می‌شوند. اولین مورد، ضعف بحرانی خرابی حافظه در ثابت‌افزار Asuswrt برای روترهای ایسوس است که می‌تواند به مهاجمان اجازه دهد وضعیت‌های انکار سرویس را راه‌اندازی کنند یا امکان اجرای کد را به دست آورند. قسمت مهم دیگر مربوط به یک باگ تقریباً پنج ساله CVE-2018-1160 است که ناشی از ضعف نوشتن خارج از محدوده Netatalk است که همچنین می‌تواند برای اجرای کد دلخواه در دستگاه‌های patch نشده مورد سوءاستفاده قرار گیرد. ایسوس در یک توصیه امنیتی که امروز منتشر شد هشدار داد: «لطفاً توجه داشته باشید، اگر تصمیم به نصب نکردن این نسخه سخت‌افزار جدید دارید، ما قویاً توصیه می‌کنیم سرویس‌های قابل دسترسی از سمت WAN را غیرفعال کنید تا از نفوذهای ناخواسته احتمالی جلوگیری شود. این خدمات شامل دسترسی از راه دور از WAN، انتقال پورت (port forwarding)، DDNS، سرور VPN، DMZ و تریگر پورت است».
 «ما قویاً شما را تشویق می‌کنیم که به طور دوره‌ای هم تجهیزات و هم رویه‌های امنیتی‌تان را بازرسی کنید، زیرا این کار باعث می‌شود که از محافظت بهتری برخوردار شوید».
لیست دستگاه‌های تحت تأثیر شامل مدل‌های زیر است:

 GT6, GT-AXE16000, GT-AX11000 PRO, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT8, XT8, V26, PRO -AX86U، RT-AX86S، RT-AX82U، RT-AX58U، RT-AX3000، TUF-AX6000 و TUF-AX5400  .

درخواست فوری patch کردن از مشتریان
ایسوس به کاربران روترهای آسیب‌دیده هشدار داد که در اسرع وقت آن‌ها را به آخرین ثابت‌افزار که از طریق وب‌سایت پشتیبانی، صفحه هر محصول یا از طریق پیوندهای ارائه شده در توصیه‌نامه امروز در دسترس است، به‌روز کنند. این شرکت همچنین ایجاد رمزهای عبور متمایز برای صفحات مدیریت شبکه بی‌‌سیم و روتر با حداقل هشت کاراکتر (ترکیب حروف بزرگ، اعداد و نمادها) و اجتناب از استفاده از رمز عبور یکسان برای چندین دستگاه یا خدمات را توصیه می‌کند.
وب‌سایت پشتیبانی همچنین اطلاعات دقیقی در مورد به‌روزرسانی سیستم‌عامل به آخرین نسخه و اقداماتی که کاربران می‌توانند برای ایمن کردن روترهای خود انجام دهند ارائه می‌دهد.  هشدار ASUS باید جدی گرفته شود، زیرا محصولات این شرکت قبلاً توسط botnetها هدف قرار گرفته‌اند.
به عنوان مثال، در ماه مارس 2022، ایسوس در مورد حملات بدافزار Cyclops Blink که چندین مدل روتر ایسوس را هدف قرار می‌دهد تا پایداری داشته باشد و از آن‌ها برای دسترسی از راه دور به شبکه‌های در معرض خطر استفاده کند، هشدار داد.
منبع:

https://www.bleepingcomputer.com/news/security/asus-urges-customers-to-patch-critical-router-vulner…

تعدادی آسیب‌پذیری امنیتی حیاتی، در پلت فرم‌های مدیریت ابری با روترهای سلولی کشف شده است که شبکه های فناوری عملیاتی(OT) را در برابر حملات خارجی قرار می‍‌‌دهند.  

آسیب‌پذیری‌ها بطور خاص در راه حل های مبتنی بر ابری بوجود آمده اند که توسط Sierra Wireless، Teltonika Networka و InHand Networks برای مدیریت و راه اندازی از راه دور ارائه می شوند. سه بردار حمله مختلف برای به خطر انداختن و تصاحب دستگاه های IIoT تحت مدیریت ابری، از طریق پلتفرم های مدیریت مبتنی برابر، با مکانیسم های ثبت دارایی ضعیف، آسیب پذیری در پیکربندی امنیتی و API  و رابط های خارجی امکان پذیر است.
بهره برداری از این آسیب پذیری ها، خطرات بالایی برای امنیت محیط های صنعتی ایجاد می کند و مهاجمان می توانند با استفاده از آنها، از لایه های امنیتی عبور کنند و به اطلاعات حساس دسترسی پیدا کنند و در شبکه های داخلی، کد از راه دور خود را اجرا کنند. همچنین، مهاجمان می توانند به دستگاه های شبکه دسترسی یافته و با تغییر تنظیمات روتر به منظور دستکاری پیکربندی هایی مانند تنظیمات  DNS و قوانین فایروال، دستگاه ها را کنترل کنند. همچنین در شرایط پرریسک تر، دستگاه های صنعتی در معرض خطر، ممکن است برای انجام حملات علیه دستگاه ها یا شبکه های دیگر استفاده شوند. 

این آسیب پذیری ها امکان اجرای کد از راه دور و کنترل کامل صدها هزار دستگاه و شبکه OT را فراهم می کنند.

سه برنامه اندروید در Google Play توسط عوامل تهدید مورد حمایت دولت برای جمع‌آوری اطلاعات از دستگاه‌های مورد نظر، مانند داده‌های موقعیت مکانی و فهرست‌های مخاطبین استفاده شده‌اند. برنامه‌های مخرب اندروید توسط Cyfirma کشف شدند که این عملیات را با اطمینان متوسط به گروه هکر هندی "DoNot" نسبت داد که با نام APT-C-35 نیز ردیابی می‌شود که حداقل از سال 2018 سازمان‌های برجسته در جنوب شرقی آسیا را هدف قرار داده است. برنامه‌های مورد استفاده در آخرین کمپین DoNot جمع‌آوری اطلاعات اولیه را انجام می‌دهند تا زمینه را برای آلودگی‌های بدافزاری خطرناک‌تر آماده کنند که به نظر می‌رسد اولین مرحله از حملات گروه تهدید باشد.

برنامه های مشکوک یافت شده توسط Cyfirma در Google Play عبارت‌اند از nSure Chat و iKHfaa VPN که هر دو از «SecurITY Industry» آپلود شده‌اند. هر دو برنامه و یک برنامه دیگر از همان ناشر که طبق Cyfirma مخرب به نظر نمی‌رسند، در Google Play در دسترس هستند.

تعداد دانلود برای همه برنامه های SecurITY Industry کم است که نشان می‌دهد آنها به طور انتخابی علیه اهداف خاص استفاده می‌شوند. این دو برنامه در حین نصب، مجوزهای خطرناکی مانند دسترسی به لیست مخاطبین کاربر (READ_CONTACTS) و اطلاعات مکان دقیق (ACCESS_FINE_LOCATION) درخواست می‌کنند تا این اطلاعات را به عامل تهدید منتقل کنند.

توجه داشته باشید که برای دسترسی به مکان هدف، GPS باید فعال باشد، در غیر این صورت، برنامه آخرین مکان شناخته شده دستگاه را واکشی می‌کند. داده‌های جمع‌آوری شده به صورت محلی با استفاده از کتابخانه ROOM اندروید ذخیره می‌شود و بعداً از طریق یک درخواست HTTP به سرور C2 مهاجم ارسال می‌شود.

C2 مورد استفاده برنامه vpn، "https[:]ikhfaavpn[.]com" است. «در مورد nSure Chat، آدرس سرور مشاهده شده سال گذشته در عملیات Cobalt Strike مشاهده شد». تحلیلگران Cyfirma دریافتند که پایه کد برنامه VPN هکرها مستقیماً از محصول قانونی Liberty VPN گرفته شده است.

انتساب این کمپین به گروه تهدید DoNot توسط Cyfirma بر اساس استفاده خاص از رشته‌های رمزگذاری شده با استفاده از الگوریتم AES/CBC/PKCS5PADDING و مبهم سازی Proguard است که هر دو تکنیک مرتبط با هکرهای هندی هستند. علاوه بر این، برخی شباهت‌ها در نام‌گذاری فایل‌های خاص تولیدشده توسط برنامه‌های مخرب وجود دارد که آنها را به کمپین‌های DoNot گذشته مرتبط می‌کند.

محققان بر این باورند که مهاجمان تاکتیک ارسال ایمیل‌های فیشینگ حاوی پیوست‌های مخرب را به نفع حملات پیام‌رسانی نیزه‌ای (هدفمند) از طریق واتس‌اپ و تلگرام کنار گذاشته‌اند. پیام‌های مستقیم در این برنامه‌ها،  قربانیان را به فروشگاه Google Play هدایت می‌کند،  یک پلتفرم قابل اعتماد که به حمله مشروعیت می‌بخشد،  بنابراین می‌توان آنها را به راحتی فریب داد تا برنامه‌های پیشنهادی را دانلود کنند.

منبع:

https://www.bleepingcomputer.com/news/security/android-spyware-camouflaged-as-vpn-chat-apps-on-google-play/

گروه 'ChamelGang' با استفاده از یک ابزار ناشناخته به نام 'ChamelDoH' دستگاه‌های لینوکس را آلوده می‌کند و امکان برقراری ارتباطات DNS-over-HTTPS با سرورهای مهاجم را فراهم می‌کند. این تهدید مخصوص ابتدا در سپتامبر سال 2021 توسط شرکت Positive Technologies مستند شده بود، اما تنها بر روی ابزارهای ویندوز تمرکز داشته است.
این بدافزار که توسط شرکت Stairwell تحت ChamelDoH نامگذاری شده است، ابزاری مبتنی بر ++C برای برقراری ارتباط از طریق تونلینگ DNS-over-HTTPS (DoH) است. ارتباط بین ChamelGang و این بدافزار لینوکس جدید بر اساس یک دامنه قبلی مرتبط با این گروه تهدیدی و یک ابزار ارتقاء دسترسی سفارشی که توسط Positive Technologies در حملات قبلی ChamelGang مشاهده شده برقرار می‌شود.

استفاده از DNS-over-HTTPS برای ارتباطات بدافزارها: 
پروتکل DNS توسط نرم‌افزارها و سیستم‌عامل‌ها برای تبدیل نام‌های قابل خواندن توسط انسان به آدرس‌های IP استفاده می‌شود که سپس برای برقراری ارتباطات شبکه مورد استفاده قرار می‌گیرند. با ارسال درخواست‌های DNS به صورت متن ساده و بدون رمزگذاری، سازمان‌ها، ارائه دهندگان خدمات اینترنت و سایر اشخاص قادر به نظارت بر درخواست‌های DNS هستند.
به عنوان یک ریسک حریم خصوصی و امکان سانسور اینترنت توسط دولت‌ها، یک پروتکل DNS جدید به نام DNS-over-HTTPS برای رمزگذاری درخواست‌های DNS ایجاد شده است تا امکان مشاهده آن‌ها توسط اشخاص دیگر وجود نداشته باشد. با این حال، این یک تیغ دو لبه است، زیرا بدافزارها می‌توانند از آن به عنوان یک کانال ارتباطی رمزگذاری شده و کارآمد استفاده کنند، که باعث می‌شود نرم‌افزارهای امنیتی به سختی بتوانند ارتباطات شبکه مخرب را نظارت کنند. در مورد ChamelDoH، استفاده از  DNS-over-HTTPS ارتباط رمزگذاری شده‌ای بین دستگاه آلوده و سرور فرمان و کنترل فراهم می‌کند، که باعث می‌شود درخواست‌های مخرب از ترافیک معمول HTTPS قابل تشخیص نباشند.
علاوه بر این، DNS-over-HTTPS می‌تواند با استفاده از سرورهای سازگار با DoH ارائه شده توسط سازمان‌های معتبر، از سرورهای DNS محلی عبور کند. اما در این مورد مشاهده‌ای انجام  نشده است. در نهایت، زیرا درخواست‌های DNS از سرورهای معتبر DoH گوگل و Cloudflare استفاده می‌کنند، مسدود کردن آن‌ها عملاً غیرممکن است بدون اینکه ترافیک معتبر را تحت تأثیر قرار دهد. ChamelDoH  با استفاده از دو کلید موجود در پیکربندی JSON خود، "ns_record" و "doh"، از نام‌های میزبان C2 و لیستی از ارائه دهندگان ابر DoH معتبر که می‌توانند برای انجام درخواست‌های DoH سوءاستفاده شوند، استفاده می‌کند. 

شکل 1پیکربندی Json

تمام ارتباطات بدافزار با استفاده از رمزنگاری AES128 و یک رمزگذاری base64 اصلاح شده که حاوی جایگزین‌هایی برای کاراکترهای غیر الفبایی-عددی است، رمزگذاری می‌شوند. سپس داده‌های ارسال شده به عنوان نام‌های میزبان به سرورهای فرمان و کنترل بدافزار اضافه می‌شوند . این تغییرات به بدافزار این امکان را می‌دهد که درخواست‌های TXT برای دامنه‌هایی که حاوی ارتباطات رمزگذاری شده سرور فرمان و کنترل (C2) است، صادر کند. این امر باعث پنهان شدن ماهیت این درخواست‌ها و کاهش احتمال تشخیص آنها می‌شود.
به عنوان مثال، هنگامی که درخواستی برای رکورد TXT صورت می‌گیرد، یک درخواست DoH از بدافزار با استفاده از <encoded_data>.ns2.spezialsec[.].com استفاده خواهد کرد. سرور مخرب که درخواست را دریافت می‌کند، سپس بخش رمزگذاری شده را استخراج و رمزگشایی کرده و داده‌های از دست رفته را از دستگاه آلوده دریافت خواهد کرد.
سرور فرمان و کنترل (C2) با یک رکورد TXT رمزگذاری شده پاسخ خواهد داد که حاوی دستوراتی است که بدافزار باید بر روی دستگاه آلوده اجرا کند.

 شکل 2 نمودار ChamelDoH  

بعد از اجرا، بدافزار اطلاعات پایه‌ای درباره میزبان خود را جمع‌آوری خواهد کرد که شامل نام، آدرس IP، معماری CPU و نسخه سیستم است، و یک شناسه منحصر به فرد ایجاد خواهد کرد.
پژوهشگران Stairwell متوجه شدند که ChamelDoH دستورات زیر را پشتیبانی می‌کند که اپراتورهای آن می‌توانند از طریق رکوردهای TXT درخواست‌های DNS-over-HTTPS به صورت راه دور صادر کنند:
•    run  : اجرای یک فایل/دستور شل
•     :sleep  تنظیم تعداد ثانیه تا زمان بررسی بعدی
•    :wget   دانلود فایل از URL
•     :upload  خواندن و بارگذاری یک فایل
•    :download   دانلود و نوشتن یک فایل
•    : rm   حذف یک فایل
•     :cp کپی کردن یک فایل به مکان جدید
•    cd : تغییر دایرکتوری کاری
تحلیل Stairwell نشان داد که ChamelDoH در دسامبر 2022 برای اولین بار در VirusTotal بارگذاری شد. در زمان نوشتن این متن، هیچ یک از موتورهای ضدبدافزار برروی این پلتفرم این بدافزار را به عنوان مخرب علامت‌گذاری نکرده است.

مراجع

محققان یک موتور مبهم بدافزار کاملا غیرقابل شناسایی (FUD) به نام BatCloak را که توسط عوامل تهدید استفاده می‌شود را گزارش کرده‌اند. محققان Trend Micro، که موتور مبهم‌سازی بدافزار کاملا غیرقابل شناسایی (FUD) با نام BatCloak مورد تجزیه‌و‌تحلیل قرار داده‌اند که توسط عوامل تهدید برای ارائه مخفیانه بدافزار‌هایشان از سپتامبر ٢٠٢٢ استفاده می‌شود. نمونه‌های تجزیه‌و‌تحلیل شده توسط متخصصان توانایی قابل توجهی در دور زدن مداوم راه‌حل‌های ضد بدافزار را نشان دادند. محققان دریافتند که ٨٠ درصد از نمونه‌های بازیابی شده از راه‌حل‌های امنیتی امکان تشخیص صفر را داشتند. میانگین نرخ تشخیص برای مجموعه نمونه کلی ٧٨٤ مورد استفاده توسط کارشناسان کمتر از یک بود.

موتور BatCloak تشکیل دهنده اصلی ابزار ساخت فایل دسته‌ای آماده به نام Jlaive است که قابلیت هایی مانند عبور از رابط اسکن ضدبرنامه‌مخرب (AMSI) را داراست و همچنین توانایی فشرده‌سازی و رمزگذاری بار مفید اصلی را دارد تا از لحاظ امنیتی از حملات خودداری کند.
پس از اینکه مخزن حاوی ابزار متن باز در سپتامبر ٢٠٢٢ حذف شد، از آن زمان توسط سایر عوامل تهدید اصلاح شده است. محققان نسخه‌های اصلاح شده و کلون‌های Jlaive را به‌عنوان یک سرویس یکبار مصرف برای خرید به‌جای یک مدل کلاسیک مبتنی بر حق اشتراک، ارائه کردند.

بارگذاری نهایی با استفاده از سه لایه بارگذاری انجام می‌شود ، یک بارگذاری C#، یک بارگذاری PowerShell و یک بارگذاری دسته‌ای که آخرین آن به عنوان نقطه شروعی عمل می‌کند برای رمزگشایی و باز کردن هر مرحله و در نهایت انفجار برنامه ضد‌تشخیص شده است. درباره این موضوع پژوهشگران پیتر گیرنوس و علی‌اکبر زهراوی می‌گویند: بارگذار دسته‌ای حاوی یک بارگذاری PowerShell مبهم و یک باینری C# رمزگذاری شده است. در پایان، Jlaive از BatCloak به عنوان یک موتور ناشناسی فایل استفاده می‌کند تا بارگذاری دسته‌ای را ناشناس کرده و آن را در یک دیسک ذخیره کند.
گفته می‌شود که BatCloak از زمان ظهور در محیط های تهاجمی، به تعداد زیادی به‌روزرسانی و تغییر پیدا کرده است، و جدیدترین نسخه آن ScrubCrypt است که برای اولین بار توسط Fortinet FortiGuard Labs در ارتباط با یک عملیات کریپتوجکینگ که توسط گروه 8220 انجام می‌شود، برجسته شد.
علاوه بر این، ScrubCrypt  برای هماهنگی با انواع مختلف خانواده‌های مخرب معروفی مانند Amadey، AsyncRAT، DarkCrystal RAT، Pure Miner، Quasar RAT، RedLine Stealer، Remcos RAT، SmokeLoader، VenomRAT و Warzone RAT طراحی شده است.
  مراجع