مایکروسافت در به‌روزرسانی‌های امنیتی (ژوئن 2023) 78 آسیب‌پذیری را گزارش داده است. طبقه بندی آسیب‌پذیری‌ها به شرح زیر است:
-    افزایش سطح دسترسی : 17
-    عبور از ویژگی‌های امنیتی: 3
-    اجرای کد از راه دور: 32
-    افشای اطلاعات: 5
-    منع از سرویس (Denial of Service): 10  
-    سوءاستفاده از هویت: 10  
-    آسیب‌پذیری مربوط به Edge – Chromium : 1 مورد
شش مورد از این 78 آسیب پذیری ، بحرانی طبقه بندی شدند و امکان اجرای کد از راه دور و افزایش امتیاز را می‌دهند و بقیه هم با شدت بالا، متوسط و شدت پایین تعریف شده‌اند. در این بروزرسانی زیرودی یا آسیب پذیری که از قبل اکسپلویت شده باشد وجود ندارد و فقط آسیب پذیری Chromium قبلا اکسپلویت شده است. برای مطالعه بیشتر اینجا کلیک نمایید.
 

آسیب‌پذیری با شناسه CVE-2023-20887 و شدت بحرانی و امتیاز 9.8  در محصولات VMware یافت شده است. این آسیب‌پذیری آسیب‌پذیری از نوع Command Injection است. به موجب این آسیب پذیری مهاجم می‌تواند کد از راه دور خود را اجرا کند. اکسپلویت آسیب‌پذیری کمی پیچیدگی دارد و نیاز به تعامل کاربر نیز ندارد.
آسیب‌پذیری با شناسه CVE-2023-20888 و شدت بحرانی و امتیاز 9.1 در محصولات VMware یافت شده است. این آسیب‌پذیری آسیب پذیری از نوع Authenticated Deserialization است. به موجب این آسیب‌پذیری مهاجمی که دسترسی به رول member را دارد، می‌تواند از این آسیب‌پذیری برای اجرای کد از راه دور استفاده کند.
آسیب‌پذیری با شناسه CVE-2023-20889 و شدت بالا و امتیاز 8.8  در محصولات VMware یافت شده است. این آسیب‌پذیری آسیب پذیری از نوع افشای اطلاعات است. به موجب این آسیب‌پذیری مهاجم می‌تواند یک حمله command injection انجام دهد که در نهایت منجر به افشای اطلاعات می‌شود.
نسخه های تحت تاثیر و اصلاح شده:

برای اصلاح آسیب‌پذیری‌ها، فقط بروزرسانی باید انجام شود. باید اصلاحیه را دانلود کرد و با کاربر Administrator وارد vRealize Network Insight GUI شد و از طریق مسیر زیر بروز رسانی انجام شود:

Settings > Install and Support > Overview and Updates

 مراجع

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20888

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20889

https://www.vmware.com/security/advisories/VMSA-2023-0012.html

گوگل برای ماه ژوئن، 56 آسیب‌پذیری را در اندروید اصلاح کرده است. 5 مورد دارای شدت بحرانی و بقیه موارد دارای شدت بالا هستند. یکی از این آسیب‌پذیری‌ها هم روز صفر است که از دسامبر 2022 (آذر 1401) در حملاتی مورد استفاده قرار گرفته است. برای مطالعه بیشتر اینجا کلیک نمایید.

آسیب‌پذیری با شناسه CVE-2023-20105 و شدت بحرانی و امتیاز 9.6  در محصولات Cisco یافت شده است. در سری Cisco Expressway و سرور ارتباطات تصویری Cisco TelePresence (VCS)، چندین آسیب‌پذیری وجود دارد. این آسیب‌پذیری‌ها می‌توانند توسط یک حمله‌کننده که دارای اطلاعات احراز هویت سطح مدیریتی "فقط خواندنی" است، استفاده شوند. با بهره‌برداری از این آسیب‌پذیری‌ها، حمله‌کننده می‌تواند امتیازات خود را از سطح "فقط خواندنی" به "خواندن و نوشتن" ارتقا دهد و کنترل کاملی در سیستم آسیب‌پذیر بدست آورد. به عبارت دیگر برای بهره‌برداری کافی است مهاجم یک درخواست مخرب به رابط وب برنامه ارسال کند. بهره‌برداری موفق می‌تواند رمز هر کاربری از جمله Administrator read-write را تغییر و منجر به جعل هویت شود. 
برای کسانی که از نسخه‌های قبل از 14.0 استفاده می‌کنند، توصیه می‌شود که به یک نسخه ثابت شده تغییر دهند تا از این آسیب‌پذیری‌ها جلوگیری شود.

کاربران Cisco، ضروری است که از این آسیب‌پذیری‌ها آگاه باشند و اقدامات مناسبی را برای کاهش خطر اتخاذ نمایند.
مراجع

آسیب‌پذیری با شناسه CVE-2023-27997 و شدت بحرانی در محصولات Fortinet یافت شده است. فورتی‌نت اصلاحیه‌هایی را برای این آسیب‌پذیری منتشر کرده است. آسیب پذیری روی SSL-VPN در محصولات Fortigate کشف شده است .این آسیب پذیری قابلیت اجرای قطعه کد از راه دور( RCE) را در اختیار مهاجمان قرار می دهد. در یک هشدار ارائه شده توسط شرکت فرانسوی امنیت سایبری Olympe Cyberdefense آمده است: "این آسیب پذیری به یک عامل مهاجم امکان مداخله از طریق وی‌پی‌ان را فراهم می‌کند، حتی اگر MFA فعال باشد. تا کنون، تمام نسخه‌ها تحت تأثیر قرار گرفته‌اند.
نسخه های اصلاح شده:

FortiOS firmware versions 6.0.17, 6.2.15, 6.4.13, 7.0.12, 7.2.5

در حال حاضر جزییاتی از این بروزرسانی در سایت فورتی‌نت منتشر نشده است اما مدیران و متخصصین امنیتی اعلام کرده‌اند که این بروزرسانی بی سر و صدا یک آسیب‌پذیری اجرای کد را در SSL-VPN اصلاح میکند. فورتی نت معمولا این کار رو برای آسیب‌پذیری های حیاتی انجام می‌دهد تا به کاربران فرصت دهد تا اصلاحیه‌ها را اعمال کنند، قبل از اینکه بازیگران تهدید، برای آن بهره‌برداری منتشر کنند.
آسیب‌پذیری توسط محققین امنیتی Lexfo Security کشف و گزارش شده است. این محققین توصیه کرده‌اند که بروزرسانی هر چه سریع‌تر اعمال شود، زیرا بعد از افشاء به سرعت توسط بازیگران تهدید، مهندسی معکوس شده و یک بهره‌برداری برای آن منتشر می‌کنند. با توجه به محبوبیت این نوع فایروال‌ها و دستگاه‌های VPN فورتی نت، این محصولات به اهداف جذاب برای هکرها تبدیل شدند.

مراجع

https://www.helpnetsecurity.com/2023/06/11/cve-2023-27997/

https://www.bleepingcomputer.com/news/security/fortinet-fixes-critical-rce-flaw-in-fortigate-ssl-vp…

پروژه امنیت نرم‌افزاری تحت وب (OWASP) لیستی از 10 آسیب‌پذیری حیاتی که اغلب در برنامه‌های پردازش زبان طبیعی در مقیاس بزرگ (large language model  = LLM) دیده می‌شوند را منتشر کرده است. OWASP در این لیست، بر تأثیر بالقوه، سهولت بهره‌برداری و فراگیری این آسیب‌پذیری‌ها تاکید نموده است. نمونه‌هایی از آسیب‌پذیری‌ها عبارتند از تزریق بلادرنگ، نشت داده‌ها، سندباکسینگ ناکارآمد، و اجرای غیرمجاز کد. OWASP بیان داشت که این فهرست با هدف آموزش توسعه دهندگان، طراحان، معماران، مدیران و سازمان‌ها پیرامون این موارد منتشر شده است: ریسک‌های امنیتی بالقوه در زمان استقرار و مدیریت LLM‌ها، افزایش آگاهی از آسیب‌پذیری‌ها، پیشنهاد استراتژی‌های اصلاحی و بهبود وضعیت امنیتی برنامه‌های کاربردی LLM. 
پیدایش رابط‌های چت هوش مصنوعی مولد ساخته شده بر روی LLMها و تأثیر آن‌ها بر امنیت سایبری یک بحث مهم است. نگرانی‌ها در مورد خطرساز شدن این فناوری‌های جدید بسیار زیاد است؛ از مسائل بالقوه اشتراک‌گذاری اطلاعات حساس تجاری با الگوریتم‌های خودآموز پیشرفته گرفته تا عوامل مخربی که از این اطلاعات برای افزایش قابل توجه حملات استفاده می‌کنند. برخی کشورها، ایالت‌های آمریکا و شرکت‌ها در حال بررسی یا ممنوع نمودن استفاده از فناوری هوش مصنوعی مولد مانند ChatGPT در زمینه امنیت داده‌ها، حفاظت و زمینه‌های حفظ حریم خصوصی هستند.
طبق گفته OWASP، در اینجا 10 آسیب‌پذیری اصلی که برروی برنامه‌های LLM تأثیر می‌گذارد، آورده شده است.

1    تزریق‌های بلادرنگ 
OWASP نوشت: تزریق‌های بلادرنگ شامل دور زدن فیلترها یا دستکاری LLM با استفاده از اعلان‌های دقیق ساخته شده است. این تزریق‌ها باعث می‌شوند که مدل، دستورالعمل‌های قبلی را نادیده بگیرد یا اقدامات ناخواسته انجام دهد. این آسیب‌پذیری‌ها می‌توانند منجر به عواقب ناخواسته از جمله نشت داده‌ها، دسترسی غیرمجاز، یا سایر نقض‌های امنیتی شوند. آسیب‌پذیری‌های رایج تزریق بلادرنگ شامل این موارد است: دور زدن فیلترها یا محدودیت‌ها با استفاده از الگوها یا توکن‌های خاص، بهره‌برداری از نقاط ضعف در مکانیسم‌های توکنیزه کردن  یا رمزنگاری  LLM و گمراه کردن LLM برای انجام اقدامات ناخواسته، به وسیله ارائه متن گمراه‌کننده.
OWASP عنوان کرد، یک مثال از سناریوی حمله، دور زدن فیلتر محتوایی توسط کاربر مخرب است. کاربر مخرب این کار را با استفاده از الگوهای خاص زبانی، نشانه‌ها یا مکانیسم‌های رمزگذاری انجام می‌دهد. در نتیجه LLM نمی‌تواند آن‌ها را به عنوان محتوای محدود شده تشخیص دهد و به کاربر اجازه می‌دهد تا اقداماتی که باید مسدود می‌شدند را انجام دهد.
اقدامات پیشگیرانه برای این آسیبپذیری عبارتند از:

•  برای درخواست‌های ارائه‌شده توسط کاربر، اعتبارسنجی و پاک‌سازی دقیق ورودی را اجرا کنید.
•  برای جلوگیری از دستکاری بلادرنگ، از فیلتر context-aware و رمزنگاری خروجی استفاده کنید.
• به طور منظم LLM را به روز رسانی و تنظیم دقیق کنید تا درک آن از ورودی‌های مخرب بهبود یابد.

2    نشت داده‌ها
نشت داده زمانی رخ می‌دهد که یک LLM به طور تصادفی اطلاعات حساس، الگوریتم‌های اختصاصی یا سایر جزئیات محرمانه را از طریق پاسخ‌های خود افشا کند. OWASP گفت: این مساله می‌تواند منجر به دسترسی غیرمجاز به داده‌های حساس یا مالکیت معنوی، نقض حریم خصوصی و سایر نقض‌های امنیتی شود.
آسیب‌پذیری‌های رایج نشت داده‌ها عبارتند از: فیلتر ناقص یا نادرست اطلاعات حساس در پاسخ‌های LLM، انطباق مازاد / به خاطرسپاری  داده‌های حساس در فرآیند آموزشی LLM و افشای ناخواسته اطلاعات محرمانه به دلیل تفسیر نادرست یا خطاهای LLM. 
مهاجم می‌تواند عمداً LLM را با اعلان‌هایی که به دقت ساخته شده‌اند، بررسی کند و سعی کند اطلاعات حساسی را که LLM از داده‌های آموزشی خود حفظ کرده است استخراج کند. یا این‌که یک کاربر قانونی می‌تواند سهواً از LLM سؤالی بپرسد که اطلاعات حساس/محرمانه را افشا کند.
اقدامات پیشگیرانه برای نشت داده‌ها عبارتند از:

• برای جلوگیری از افشای اطلاعات حساس توسط LLM، فیلترینگ خروجی دقیق و مکانیزم‌های context-aware را اجرا کنید.
• از تکنیک‌های حریم خصوصی متمایز یا سایر روش‌های ناشناس‌سازی داده‌ها در طول فرآیند آموزش LLM استفاده کنید تا خطر انطباق مازاد یا به خاطرسپاری را کاهش دهید.
• به طور منظم پاسخ‌های LLM را بررسی و بازبینی کنید تا اطمینان حاصل شود که اطلاعات حساس به طور سهوی افشا نمی‌شوند.

3    سندباکس ناکارآمد 
اگر یک LLM در زمان دسترسی به منابع خارجی یا سیستم‌های حساس، به درستی ایزوله نشده باشد، سندباکس ناکارآمد می‌تواند منجر به بهره‌برداری بالقوه، دسترسی غیرمجاز، یا اقدامات ناخواسته LLM شود. به گفته OSWAP، آسیب‌پذیری‌های سندباکس ناکارآمد عبارتند از: جداسازی ناکارآمد محیط LLM از سایر سیستم‌های حیاتی یا ذخیره‌سازهای داده، محدودیت‌های نامناسبی که به LLM اجازه دسترسی به منابع حساس را می‌دهند و LLMهایی که اقدامات در سطح سیستم را انجام می‌دهند و با سایر فرآیندها در تعامل هستند.
مثالی از حمله می‌تواند یک عامل مخربی باشد که به وسیله ایجاد دستورهایی که به LLM می‌دهد از دسترسی LLM به یک پایگاه‌داده حساس بهره‌برداری می‌کند و اطلاعات محرمانه را استخراج و افشا می‌کند. اقدامات پیشگیرانه عبارتند از:

• جداسازی محیط LLM را از سایر سیستم‌ها و منابع حیاتی.
• محدود کردن دسترسی LLM به منابع حساس و محدود کردن قابلیت‌های آن به حداقل مورد نیاز، برای اهداف از پیش تعیین شده.
• بررسی و بازبینی منظم محیط LLM و کنترل‌های دسترسی، برای اطمینان از تداوم ایزوله‌سازی مناسب.

4    اجرای کد غیرمجاز
اجرای کد غیرمجاز زمانی اتفاق می‌افتد که مهاجم برای اجرای کدها، دستورات یا اقدامات مخرب در سیستم زیربنایی از طریق اعلان‌های زبان طبیعی، از یک LLM بهره‌برداری کند. آسیب‌پذیری‌های رایج شامل ورودی‌های کاربری پاکسازی نشده یا محدود نشده‌اند؛ ابن آسیب‌پذیری‌ها به مهاجمان اجازه می‌دهند تا اعلان‌هایی ایجاد کنند که سبب اجرای کدهای غیرمجاز، محدودیت‌های ناکارآمد در قابلیت‌های LLM و افشای ناخواسته عملکردها یا رابط‌های سطح سیستم در LLM شوند.
OWASP دو مثال از حمله را ذکر کرد: مهاجمی که اعلانی را ایجاد می‌کند که به LLM دستور می‌دهد که فرمانی را اجرا کند که یک پوسته معکوس را روی سیستم زیربنایی راه‌اندازی می‌کند. این کار به مهاجم دسترسی غیرمجاز می‌دهد و LLM به طور ناخواسته اجازه می‌یابد با یک API سطح سیستم تعامل داشته باشد. در واقع مهاجم این API را برای اجرای اقدامات غیرمجاز در سیستم دستکاری می‌کند.
تیم‌ها می‌توانند با این اقدامات به جلوگیری از اجرای کدهای غیرمجاز کمک کنند:

• برای جلوگیری از پردازش اعلان‌های مخرب یا غیرمنتظره توسط LLM، فرآیندهای اعتبارسنجی و پاکسازی دقیق ورودی را اجرا کنید.
• از سندباکسینگ مناسب اطمینان حاصل کنید و قابلیت‌های LLM را برای منحصر کردن توانایی آن در تعامل با سیستم زیربنایی محدود کنید.

5    آسیب‌پذیری‌های جعل درخواست سمت سرور
آسیب‌پذیری‌های جعل درخواست سمت سرور  (SSRF) زمانی رخ می‌دهند که مهاجم از یک LLM برای انجام درخواست‌های ناخواسته یا دسترسی به منابع محدود شده مانند سرویس‌های داخلی، APIها یا ذخیره‌سازهای داده سوءاستفاده می‌کند. آسیب‌پذیری‌های رایج SSRF عبارتند از: اعتبارسنجی ناکارآمد ورودی، اجازه دادن به مهاجمان برای دستکاری اعلان‌های LLM برای شروع درخواست‌های غیرمجاز و پیکربندی‌های نادرست در تنظیمات امنیتی شبکه یا برنامه و  قرار دادن منابع داخلی در معرض LLM.
برای اجرای حمله، مهاجم می‌تواند یک اعلان ایجاد کند که به LLM دستور بدهد تا از یک سرویس داخلی درخواست کند، کنترل‌های دسترسی را دور بزند و به صورت غیرمجاز به اطلاعات حساس دسترسی یابد. مهاجمان هم‌چنین می‌توانند از یک پیکربندی نادرست در تنظیمات امنیتی برنامه سوءاستفاده کنند که به LLM اجازه می‌دهد با یک API محدود شده تعامل داشته باشد، به داده‌های حساس دسترسی پیدا کند یا آن اطلاعات را تغییر دهد. اقدامات پیشگیرانه عبارتند از:

• برای جلوگیری از اعلان‌های مخرب یا غیرمنتظره از شروع درخواست‌های غیرمجاز، اعتبارسنجی و پاک‌سازی دقیق ورودی را اجرا کنید.
• به طور منظم تنظیمات امنیتی شبکه/برنامه را بررسی و بازبینی کنید تا مطمئن شوید که منابع داخلی به طور سهوی در معرض LLM قرار نمی‌گیرند.

6    اتکای بیش از حد به محتوای تولید شده توسط LLM
به گفته OSAWP، اتکای بیش از حد به محتوای تولید شده توسط LLM  می‌تواند منجر به انتشار اطلاعات گمراه‌کننده یا نادرست، کاهش ورودی انسانی در تصمیم‌گیری و کاهش تفکر انتقادی شود. سازمان‌ها و کاربران ممکن است بدون تأییدیه، به محتوای تولید شده توسط LLM اعتماد کنند؛ که این اعتماد منجر به خطاها، ارتباطات نادرست یا پیامدهای ناخواسته می‌شود. مسائل رایج مربوط به اتکای بیش از حد به محتوای تولید شده توسط LLM شامل این موارد است: پذیرش محتوای تولید شده توسط LLM به عنوان واقعیت و بدون تأییدیه، فرض اینکه محتوای تولید شده توسط LLM عاری از سوگیری یا اطلاعات نادرست است و تکیه بر محتوای تولید شده توسط LLM برای تصمیم‌گیری‌های حیاتی بدون دخالت یا نظارت انسانی.
به عنوان مثال، اگر یک شرکت برای تولید گزارش‌ها و تحلیل‌های امنیتی به یک LLM متکی باشد و LLM گزارشی حاوی داده‌های نادرست تولید کند و شرکت از آن برای اتخاذ تصمیمات امنیتی حیاتی استفاده کند، به دلیل اتکا به محتوای نادرست تولید شده توسط LLM می‌تواند عواقب قابل‌توجهی در پی داشته باشد. 

7    همسویی ناکارآمد هوش مصنوعی
همسویی ناکارآمد هوش مصنوعی  زمانی رخ می‌دهد که اهداف و رفتار LLM با موارد استفاده مورد نظر مطابقت نداشته باشد و منجر به پیامدها یا آسیب‌پذیری‌های نامطلوب شود. از مسائل رایج همسویی ناکارآمد هوش‌مصنوعی می‌توان به این موارد اشاره کرد: اهداف تعریف نشده که منجر به اولویت‌بندی رفتارهای نامطلوب/مضر LLM می‌شوند، عملکردهای پاداش ناهماهنگ یا داده‌های آموزشی که رفتار ناخواسته مدل را خلق می‌کنند و آزمایش و اعتبار ناکارآمد رفتار LLM. 
اگر یک LLM که برای کمک به وظایف مدیریت سیستم طراحی شده است، ناهماهنگ عمل کند، می‌تواند دستورات مضر را اجرا کند یا به اولویت‌بندی اقداماتی بپردازد که عملکرد یا امنیت سیستم را کاهش می‌دهد. تیم‌ها می‌توانند با این اقدامات از آسیب‌پذیری‌های همسویی ناکارآمد هوش‌مصنوعی جلوگیری کنند:

• اهداف و رفتار مورد نظر LLM را در طول فرآیند طراحی و توسعه تعریف کنید.
• اطمینان حاصل کنید که عملکردهای پاداش و داده‌های آموزشی با نتایج مورد نظر هماهنگ هستند و رفتارهای ناخواسته یا مضر را تقویت نمی‌کنند.
•  برای شناسایی و رسیدگی به مسائل همسویی، رفتار LLM را به طور منظم در طیف وسیعی از سناریوها، ورودی‌ها و زمینه‌ها آزمایش و تأیید کنید.

8    کنترل‌های دسترسی ناکارآمد
کنترل‌های دسترسی ناکارآمد  زمانی رخ می‌دهد که کنترل‌های دسترسی یا مکانیسم‌های احراز هویت به درستی پیاده‌سازی نمی‌شوند و به کاربر غیرمجاز اجازه می‌دهند تا با LLM تعامل داشته باشد و به طور بالقوه از آسیب‌پذیری‌ها سوء استفاده کند. عدم اجرای الزامات دقیق احرازهویت برای دسترسی به LLM، اجرای ناکارآمد کنترل دسترسی مبتنی بر نقش  (RBAC) که به کاربران اجازه می‌دهد اقداماتی فراتر از مجوزهای مورد نظر خود انجام دهند و عدم ارائه کنترل های دسترسی مناسب برای محتوا و اقدامات تولید شده توسط LLM، همگی نمونه‌های رایجی از این آسیب‌پذیری هستند.
OWASP عنوان کرد، یک مثال حمله، عامل مخربی است که به دلیل مکانیسم‌های احراز هویت ضعیف به یک LLM دسترسی غیرمجاز پیدا می‌کند و این مجوز به او داده می‌شود که از آسیب‌پذیری‌ها سوءاستفاده کند یا سیستم را دستکاری کند. اقدامات پیشگیرانه عبارتند از:

• مکانیزم‌های احراز هویت قوی، مانند احراز هویت چند عاملی  (MFA) را پیاده‌سازی کنید تا اطمینان حاصل کنید که فقط کاربران مجاز می‌توانند به LLM دسترسی داشته باشند.
• برای جلوگیری از دسترسی یا دستکاری غیرمجاز، برای محتوا و اقدامات ایجاد شده توسط LLM کنترل‌های دسترسی مناسب پیاده سازی کنید.

9    مدیریت نادرست خطا
مدیریت نادرست خطا زمانی رخ می‌دهد که پیام‌های خطا یا اطلاعات دیباگ  به گونه‌ای در معرض دید قرار می‌گیرند که می‌توانند اطلاعات حساس، جزئیات سیستم یا بردارهای حمله احتمالی را برای یک عامل تهدید آشکار کنند. آسیب‌پذیری‌های رایج مدیریت خطا شامل این موارد است: افشای اطلاعات حساس یا جزئیات سیستم از طریق پیام‌های خطا، افشای اطلاعات دیباگ که می‌تواند به مهاجم کمک کند آسیب‌پذیری‌های بالقوه یا بردارهای حمله را شناسایی کند و ناتوانی در رسیدگی به خطاها که به طور بالقوه باعث رفتار غیرمنتظره یا خرابی های سیستم می‌شود.
به عنوان مثال، یک مهاجم می‌تواند از پیام‌های خطای LLM، به منظور جمع‌آوری اطلاعات حساس یا جزئیات سیستم سوءاستفاده کند که این امر او را قادر می‌سازد تا یک حمله هدفمند را انجام دهد یا از آسیب‌پذیری‌های شناخته شده سوء استفاده کند. به گفته OWASP، از طرف دیگر، یک توسعه‌دهنده می‌تواند به‌طور تصادفی اطلاعات دیباگ را در معرض استخراج قرار دهد. همین کار به مهاجم اجازه می‌دهد تا بردارهای حمله احتمالی یا آسیب‌پذیری‌ها را در سیستم شناسایی کند. چنین خطراتی را می‌توان با اقدامات زیر کاهش داد:

• برای اطمینان از کشف، ثبت و رسیدگی به خطاها، مکانیزم های مدیریت خطا را اجرا کنید.
• اطمینان حاصل کنید که پیام‌های خطا و اطلاعات دیباگ، اطلاعات حساس یا جزئیات سیستم را افشا نمی‌کنند. در حالی که اطلاعات دقیق خطا را برای توسعه دهندگان و مدیران ثبت می‌کنید، استفاده از پیام‌های خطای عمومی را نیز برای کاربران در نظر بگیرید.

10    مسمومیت اطلاعات آموزشی
مسمومیت اطلاعات آموزشی  زمانی است که مهاجم داده‌های آموزشی یا رویه‌های تنظیم دقیق یک LLM را دستکاری می‌کند. مهاجم ابن کار را به منظور معرفی آسیب‌پذیری‌ها، درب‌های پشتی یا سوگیری‌هایی که می‌توانند امنیت، اثربخشی یا رفتار اخلاقی مدل را به خطر بیندازند انجام می‌دهد. مسائل رایج مربوط به مسمومیت اطلاعات آموزشی شامل این موارد است: معرفی درب‌های پشتی یا آسیب‌پذیری‌ها به LLM از طریق اطلاعات آموزشی دستکاری شده و تزریق سوگیری‌ها به LLM، که باعث ایجاد پاسخ‌های غیرمنطقی یا نامناسب می‌شود.
این اقدامات می‌تواند به جلوگیری از این خطر کمک کند:

• با به دست آوردن اطلاعات آموزشی از منابع قابل اعتماد و تأیید کیفیت این اطلاعات، از یکپارچگی آن اطمینان حاصل کنید.
• برای حذف آسیب‌پذیری‌ها یا سوگیری‌های احتمالی از اطلاعات آموزشی، تکنیک‌های پاکسازی و پیش‌پردازش قوی داده‌ها را اجرا کنید.
• برای تشخیص رفتار غیرمعمول یا مسائل عملکردی در LLM، از مکانیسم‌های نظارت و هشدار، که به طور بالقوه نشان‌دهنده مسمومیت اطلاعات آموزشی است استفاده کنید.

توصیه‌های امنیتی
کارشناسان متفق القول هستند که رهبران/تیم‌های امنیتی و سازمان‌هایشان مسئول اطمینان از استفاده ایمن از رابط‌های چت هوش مصنوعی مولدی که از LLM استفاده می‌کنند هستند. یکی از تحلیلگران Gigamon، اخیراً به CSO گفت: «تیم‌های امنیتی و حقوقی باید برای یافتن بهترین مسیر رو به جلو برای سازمان‌های خود همکاری کنند تا بدون به خطر انداختن مالکیت معنوی یا امنیتی بتوانند از قابلیت‌های این فناوری‌ها استفاده کنند.
Joshua Kaiser، مدیر اجرایی فناوری هوش مصنوعی و مدیر عامل Tovie AI اضافه کرد: ربات‌های چت مجهز به هوش مصنوعی به به‌روزرسانی‌های منظم نیاز دارند تا بتوانند در برابر تهدیدات، مؤثر بمانند و نظارت انسانی برای اطمینان از عملکرد صحیح LLM ضروری است. علاوه بر این، LLM ها برای ارائه پاسخ های دقیق و بررسی هر گونه مسائل امنیتی نیاز به درک متن محور دارند و باید به طور مرتب آزمایش و ارزیابی شوند تا نقاط ضعف یا آسیب‌پذیری‌های احتمالی آن‌ها شناسایی شود."

منبع خبر

Progress‌ یک آسیب پذیری با شناسه CVE-2023-34362 را در MOVEit Transfer کشف کرده است. MOVEit Transfer یک راه حل انتقال فایل است. MOVEit Transfer توسط انواع سازمان ها، از جمله بانک ها و شرکت های خدمات مالی استفاده می شود. این آسیب پذیری  می تواند منجر به افزایش اختیارات و دسترسی غیرمجاز احتمالی به محیط شود. 
 SQL Injection

SQL Injection باعث می شود که یک مهاجم احراز هویت نشده بتواند به صورت غیر مجاز به پایگاه‌داده یک سرور MOVEit دسترسی پیدا کند تا داده‌های محرمانه را بدزدد. بسته به موتور پایگاه‌داده مورد استفاده (MySQL، Microsoft SQL Server یا Azure SQL)، مهاجم ممکن است بتواند اطلاعاتی در مورد ساختار و محتوای پایگاه‌داده استنباط کند و دستورات SQL را اجرا کند که عناصر پایگاه‌داده را تغییر یا حذف می‌کند. علاوه بر این، به نظر می‌رسد که حمله کنندگان برای حفظ دسترسی خود، یک web shell را بر روی سیستم نصب می‌کنند. Progress Software در تاریخ 31 می 2023، یک به روز رسانی امنیتی منتشر کرده است که مشتریان را ملزم می‌کند که سیستم‌های خود را حداقل در 30 روز گذشته برای شواهد دسترسی غیرمجاز نظارت کنند. 

تاثیر گذاری آسیب‌پذیری MOVEit Transfer

تمام نسخه‌های MOVEit Transfer تحت تأثیر این آسیب‌پذیری قرار دارند. مشتریان نسخه‌های پشتیبانی نشده باید به یکی از نسخه های ثابت پشتیبانی شده زیر ارتقا دهند. بر اساس بررسی‌های انجام شده از این وضعیت تا به امروز، محصولات زیر در برابر این آسیب‌پذیری (تزریق SQL در انتقال MOVEit) در امان هستند:
MOVEit Automation, MOVEit Client, MOVEit Add-in for Microsoft Outlook, MOVEit Mobile, WS_FTP Client, WS_FTP Server, MOVEit EZ, MOVEit Gateway, MOVEit Analytics, and MOVEit Freely.
 در حال حاضر هیچ اقدامی برای محصولات فوق لازم نیست.

اصلاحات توصیه شده
توصیه می‌شود که سازمان‌هایی که از MOVEit Transfer استفاده می‌کنند، نقشه قدم به قدم تهیه شده توسط Progress را دنبال کنند و به‌روز‌رسانی‌های امنیتی فراهم شده را در اسرع وقت نصب کنند. برای بررسی این‌که آیا سیستم‌ها در معرض خطر قرار گرفته‌اند یا خیر، به شاخص های ارائه شده
Indicators of Compromise توجه داشته باشند. 
برای کمک به جلوگیری از سوء‌استفاده موفقیت‌آمیز این آسیب‌پذیری اقدامات زیر را طبق مراحل زیر اعمال کنید:

 1. تمام ترافیک HTTP و HTTPs به محیط MOVEit Transfer خود را غیرفعال کنید.

به طور خاص، قوانین فایروال را تغییر دهید تا ترافیک HTTP و HTTPs به MOVEit Transfer در پورت‌های ۸۰ و ۴۴۳ را تا زمان اعمال پچ رد کند. لازم است توجه داشته باشید که تا زمانی که ترافیک HTTP و HTTPS دوباره فعال نشود:

• کاربران نمی‌توانند به رابط کاربری وب MOVEit Transfer وارد شوند.
• وظایف MOVEit Automation که از میزبان اصلی(native) MOVEit Transfer استفاده می‌کنند، کار نخواهند کرد.
• API های REST، Java و .NET کار نخواهند کرد.
•  افزونه MOVEit Transfer برای Outlook کار نخواهد کرد.

توجه داشته باشید که پروتکل‌های SFTP و FTP/s همچنان به صورت عادی کار خواهند کرد مدیران هنوز می‌توانند با استفاده از دسکتاپ از راه دور برای دسترسی به دستگاه ویندوز و سپس با دسترسی به href="https://localhost/"> >،  به MOVEit Transfer دسترسی پیدا کنند.

 2.  بررسی، حذف و بازنشانی

  - فایل‌ها و حساب‌های کاربری غیرمجاز را حذف کنید:

• هر گونه فایل به شکل human2.aspx (یا هر فایلی با پیشوند human2) و فایل‌های اسکریپت .cmdline را حذف کنید.
• در سرور MOVEit Transfer، به دنبال هر فایل جدیدی که در دایرکتوری C:\MOVEitTransfer\wwwroot\ ایجاد شده است، بگردید.
• در سرور MOVEit Transfer، به دنبال فایل‌های جدیدی که در دایرکتوری C:\Windows\TEMP[random]\ با پسوند [.]cmdline ایجاد شده‌اند، بگردید.
• در سرور MOVEit Transfer، به دنبال فایل‌های APP_WEB_[random].dll  جدیدی که درC:\Windows\Microsoft.NET\Framework64\[version]\Temporary ASP .NET Files\root\[random]\[random]\ ایجاد شده‌اند، بگردید:
  •  IIS را متوقف کنید (iisreset /stop)
  •  تمام فایل‌های APP_WEB_[random].dll که در C:\Windows\Microsoft. NET\Framework64\[version]\Temporary ASP. NET Files\root\[random]\[random]\ قرار دارند را حذف کنید.
  •   IIS را شروع کنید (iisreset /start). 
• حساب‌های کاربری غیرمجاز را حذف کنید.
• تمام جلسات فعال را حذف کنید. مراحل حذف تمام جلسات در زیر ذکر شده:
  • به عنوان مدیر سیستم وارد شوید.
  • به Session Manager بروید
  • «Remove All Sessions» را انتخاب کنید
• لاگ‌ها را برای دانلود غیرمنتظره فایل‌ها از IP های ناشناس یا تعداد زیادی فایل دانلود شده بررسی کنید. لاگ‌های IIS را برای هر رویداد شامل GET /human2.aspx بررسی کنید. تعداد زیاد و یا حجم زیاد داده ممکن است نشان‌دهنده دانلود غیرمنتظره فایل باشد.
•  در صورت لزوم، لاگ‌های Azure را برای دسترسی غیرمجاز به Azure Blob Storage Keys بررسی کنید.

  - اعتبارنامه‌های حساب سرویس را بازنشانی کنید:
        اعتبارنامه‌های حساب سرویس برای سیستم‌های تحت تأثیر و حساب سرویس MOVEit را بازنشانی کنید. 
 3. پچ را اعمال کنید.
 4. تأیید رفع آسیب‌پذیری (می ۲۰۲۳) برای MOVEit Transfer 
          برای تأیید اینکه فایل‌ها با موفقیت حذف شده‌اند و هیچ حساب غیرمجازی باقی‌نمانده است، مراحل 2A را دوباره دنبال کنید. اگر شاخص‌های نفوذ را پیدا کنید، باید دوباره اعتبارنامه‌های حساب سرویس را بازنشانی کنید.
 5.برای اعمال آخرین رفع آسیب‌پذیری‌ها به MOVEit Transfer Critical Vulnerability – CVE-2023-35708 مراجعه کنید.
 6. تمام ترافیک HTTP و HTTPs به محیط MOVEit Transfer خود را فعال کنید.
 7. نظارت مداوم:‌ شبکه، نقاط پایانی و لاگ‌ها را برای IoCs (شاخص‌های نفوذ) نظارت کنید.
منابع:

مالکیت وبسایت WordPress.com توسط شرکت Automattic، با همکاری تیم امنیت وردپرس، شروع به نصب اجباری یک پچ امنیتی بر روی میلیون‌ها وبسایت، به منظور رفع یک آسیب‌پذیری بحرانی در افزونه Jetpack کرده است. Jetpack یک افزونه بسیار محبوب است که امکانات رایگانی را ارائه می‌دهد که شامل بهبودهای امنیتی، عملکرد و مدیریت وبسایت می‌شود، از جمله پشتیبان‌گیری از سایت، محافظت در برابر حملات نیروی کلمه عبور، ورود امن، اسکن بدافزار و غیره است. بر اساس مخزن رسمی افزونه وردپرس، این افزونه توسط شرکت Automattic حدود 5 میلیون نصب فعال دارد.  شرکت در حین یک بازرسی امنیتی داخلی، یک آسیب‌پذیری در رابط برنامه‌نویسی API در دسترس در Jetpack از نسخه 2.0، که در سال 2012 منتشر شد، پیدا کرده است.
نسخه هایی که در این بروزرسانی منتشر شده موارد زیر است. اگر از این نسخه ها استفاده می‌شود، سایت آسیب پذیر نیست.

2.0.9, 2.1.7, 2.2.10, 2.3.10, 2.4.7, 2.5.5, 2.6.6, 2.7.5, 2.8.5, 2.9.6, 3.0.6, 3.1.5, 3.2.5, 3.3.6, 3.4.6, 3.5.6, 3.6.4, 3.7.5, 3.8.5, 3.9.9, 4.0.6, 4.1.3, 4.2.4, 4.3.4, 4.4.4, 4.5.2, 4.6.2, 4.7.3, 4.8.4, 4.9.2, 5.0.2, 5.1.3, 5.2.4, 5.3.3, 5.4.3, 5.5.4, 5.6.4, 5.7.4, 5.8.3, 5.9.3, 6.0.3, 6.1.4, 6.2.4, 6.3.6, 6.4.5, 6.5.3, 6.6.4, 6.7.3, 6.8.4, 6.9.3, 7.0.4, 7.1.4, 7.2.4, 7.3.4, 7.4.4, 7.5.6, 7.6.3, 7.7.5, 7.8.3, 7.9.3, 8.0.2, 8.1.3, 8.2.5, 8.3.2, 8.4.4, 8.5.2, 8.6.3, 8.7.3, 8.8.4, 8.9.3, 9.0.4, 9.1.2, 9.2.3, 9.3.4, 9.4.3, 9.5.4, 9.6.3, 9.7.2, 9.8.2, 9.9.2, 10.0.1, 10.1.1, 10.2.2, 10.3.1, 10.4.1, 10.5.2, 10.6.2, 10.7.1, 10.8.1, 10.9.2, 11.0.1, 11.1.3, 11.2.1, 11.3.3, 11.4.1, 11.5.2, 11.6.1, 11.7.2, 11.8.5, 11.9.2, 12.0.1, 12.1.1.

توصیه:
باید نسخه Jetpack را به به‌روز کرد تا امنیت وبسایت تأمین شود. نسخه‌های قابل پچ شدن هر نسخه از Jetpack از نسخه 2.0 به بعد را منتشر شده است. بیشتر وبسایت‌ها به صورت خودکار به نسخه‌ای امن به‌روز شده‌اند یا به‌زودی خواهند شد. این اولین بار نیست که وردپرس از روش‌های خودکار برای انتشار به‌روزرسانی‌های امن برای رفع مسائل بحرانی در پلاگین‌ها یا نصب‌های وردپرس استفاده می‌کند. Automattic گفته است ، موردی در خصوص اکسپلویت این آسیب پذیری مشاهده نکرده است اما ممکن است بعد از افشای عمومی، مورد توجه هکرها قرار بگیرد.
 

مراجع

سه آسیب‌پذیری حیاتی در RenderDoc کشف شده‌است. RenderDoc یک دیباگر گرافیکی است که از چندین سیستم عامل از جمله ویندوز، لینوکس، اندروید و Nintendo Switch پشتیبانی می‌کند. این نرم‌افزار جایگاه برجسته‌ای در عرصه نرم‌افزارهای توسعه بازی دارد، زیرا به طور یکپارچه با موتورهای نرم‌افزاری پیشرو در صنعت بازی مانند Unity و Unreal ادغام می‌شود. طبق یافته‌های متخصصان امنیت سایبری از واحد تحقیقات تهدیدQualys ، سه آسیب‌پذیری در RenderDoc شناسایی شده است که یکی از آن‌ها، آسیب‌پذیری ارتقاء دسترسی  و دو مورد دیگر، آسیب‌پذیری سرریز بافر مبتنی بر پشته  است.

اولین مورد از این نقص‌ها که با نام CVE-2023-33865 پیگیری شده است، یک آسیب‌پذیری symlink است که یک مهاجم محلی بدون نیاز به امتیازی خاص می‌تواند از آن سوءاستفاده نماید؛ این آسیب‌پذیری به طور بالقوه امتیازات کاربر RenderDoc را به مهاجمان اعطا می‌کند. دومین آسیب‌پذیری که با نام CVE-2023-33864 ردیابی شده است، شامل یک ته‌ریز عددصحیح  است که منجر به سرریز بافر مبتنی بر پشته می‌شود. مهاجم می‌تواند به صورت از راه دور از این آسیب‌پذیری برای اجرای کد دلخواه بر روی ماشین میزبان بهره‌برداری نماید. سومین آسیب‌پذیری که با نام CVE-2023-33863 پیگیری شده است، یک سرریز عددصحیح  است که منجر به سرریز بافر مبتنی بر پشته می‌شود. در حالی‌که Qualys عنوان کرده‌است که تا کنون هیچ تلاشی برای بهره‌برداری انجام نشده است، مهاجم می‌تواند به صورت از راه دور از این نقص برای اجرای کد دلخواه برروی ماشین قربانی سوءاستفاده نماید. مدیر تحقیقات آسیب‌پذیری در Qualys توضیح داد: «این سه آسیب‌پذیری، نوعی یادآوری برای مراقبت و احتیاط دائمی هستند که در دنیای دیجیتالی امروز مورد نیاز است. این کارشناس امنیتی هم‌چنین تاکید کرد که درک این آسیب‌پذیری‌ها، به عنوان اولین قدم برای تقویت پدافند شرکت‌ها قلمداد می‌شود.

 منبع خبر

https://www.infosecurity-magazine.com/news/vulnerabilities-discovered/

دولت‌ها و نهاد‌های دیپلماتیک در خاورمیانه و جنوب آسیا هدف یک تهدید جدید و پیشرفته به نام GoldenJackal هستند. دامنه هدف‌گیری این کمپین، قربانیان را با بدافزار‌های طراحی شده، آلوده می‌کند. این بدافزار داده‌ها را سرقت میکند، از طریق درایو‌های قابل جابجایی در سراسر سیستم‌ها پخش می‌شود و نظارت بر دستگاه قربانی را انجام می‌دهد. گروه GoldenJackal مظنون به این است که حداقل چهار سال فعال بوده، اگرچه اطلاعات کمی در مورد این گروه وجود دارد. کسپرسکی بیان کرده است که قادر به تعیین منشا یا وابستگی آن به عوامل تهدید شناخته شده نیست، اما شیوه عمل این مهاجم، انگیزه جاسوسی را نشان می‌دهد. ویژگی اصلی این گروه به خاطر مجموعه بدافزارهای دات نتی آنها، از جمله JackalControl ،JackalWorm  ، JackalSteal  ، JackalPerInfo   و JackalScreenWatcher است.

• بدافزار JackalSteal: پیاده سازی برای یافتن فایل‌های مورد علاقه، از‌جمله مواردی که در درایو‌های USB قابل جابجایی قرار دارند و انتقال آنها به سرور راه دور استفاده می‌شود.
• بدافزار JackalWorm: کرمی است که برای آلوده کردن سیستم‌ها با استفاده از درایو‌های USB قابل جابجایی و نصب تروجان JackalControl طراحی شده است.
• بدافزار JackalPerInfo: بد‌افزاری که دارای ویژگی‌هایی برای جمع آوری فراداده‌های سیستم، محتویات فولدر، برنامه‌های نصب شده و فرآیند‌های در حال اجرا و اعتبارنامه‌های ذخیره شده در پایگاه‌های داده مرورگر وب است.
• بدافزار JackalScreenWatcher: ابزاری برای گرفتن عکس از صفحه بر اساس بازه زمانی از پیش تعیین شده و ارسال آنها به یک سرور تحت کنترل مهاجم است.

 این مجموعه بدافزارها برای اهداف زیر در نظر گرفته شده است.

• کنترل ماشین هدف
• پخش از طریق درایورهای قابل حمل
• استخراج فایلهای خاص از سیستم هدف
• سرقت اعتبارنامه ها
• جمع آوری اطلاعات از سیستم هدف
• جمع آوری اطلاعات از فعالیت های وب قربانی
• گرفتن عکس از دسکتاپ

در طول بررسی این گروه، محققان متوجه شدند که اغلب روش آلوده سازی قربانیان، از طریق نصب کننده های جعلی skype و فایلهای word بوده است. نصب‌کننده جعلی اسکایپ یک فایل اجرایی .NET با نام skype32.exe و در حدود ۴۰۰ مگابایت است. این فایل یک نرم‌افزار افشاگر (Trojan) به نام JackalControl و یک نصب‌کننده اصلی اسکایپ برای تجارت استفاده می‌شد را شامل می‌شود. آلودگی از طریق فایلهای Word با استفاده از اکسپلویت Follina  و از طریق تکنیک remote template injection  یک صفحه مخرب HTML صورت می‎گرفت. شکل زیر یه نمونه از فایل مخرب Word را نشان میدهد.

نام این سند "" Gallery of Officers Who Have Received National And Foreign Awards.docx  بود و به عنوان یک اطلاعات معتبر ظاهر می‌شد. نکته ای دارد که اولین توصیفی از آسیب‌پذیری Follina در تاریخ 29 مه 2022 منتشر شد و این سند به نظر می‌رسد در تاریخ 1 ژوئن، دو روز پس از انتشار، تغییر داده شده و برای نخستین بار در تاریخ 2 ژوئن شناسایی شد.این سند به گونه‌ای پیکربندی شده بود که از یک وبسایت معتبر و هک شده بارگذاری می‌شد:
صفحه دانلود شده، نسخه اصلاح شده PoC است که در مخزن گیتهاب قابل دسترس است. مهاجم مقدار متغیر IT_BrowseForFile را به مقدار زیر تغییر داده است:

اگر این کد را رمزگشایی شود، به کد زیر می رسد:

فعالیت GoldenJackal به استفاده از وبسایت‌های WordPress مورد هک شده به عنوان روشی برای میزبانی منطق مرتبط با C2 مشخص می‌شود. مهاجمان یک فایل PHP مخرب را بارگذاری می‌کنند که به عنوان یک رله برای ارسال درخواست‌های وب به سرور C2 اصلی استفاده می‌شود. شواهدی از آسیب‌پذیری‌های استفاده شده برای مورد هک کردن این وبسایت‌ها نیست. با این حال، مشاهده شده است که که بسیاری از وبسایت‌ها از نسخه‌های قدیمی از WordPress استفاده می‌کردند و برخی از آن‌ها نیز قبلاً توسط هکرها یا فعالیت‌های جرمی تحت تاثیر قرار گرفته بودند. به همین دلیل، ارزیابی شود که آسیب‌پذیری‌های استفاده شده برای نفوذ به این وبسایت‌ها، آسیب‌پذیری‌های شناخته شده است. صفحه وب از طریق اینترنت پاسخی جعلی با عنوان "Not Found" ارسال می‌کند. کد وضعیت پاسخ HTTP "200" است، اما محتوای بدنه HTTP یک صفحه "Not found" را نشان می‌دهد.

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">          
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL %FILE PATH% was not found on this server.</p>
<hr>
<address>%SERVER%</address>
</body></html>

محققان اعلام کردند که این گروه را نمی‌توانند به بازیگر شناخته شده ای نسبت دهند. اما در طول تحقیق متوجه برخی از شباهت‌ها بین GoldenJackal و Turla را شده‌اند. به طور خاص، شباهتی در الگوریتم تولید شناسه یکتا برای قربانی‌ها که تا حدودی با الگوریتم استفاده شده توسط Kazuar همپوشانی دارد را مشاهده کرده است. در Kazuar، مقدار هش MD5 از یک رشته پیش‌تعیین شده به دست می‌آید و سپس با یک Seed چهار بایتی یکتا از دستگاه XOR می‌شود. این Seed با دریافت شماره سریال حجمی که سیستم عامل در آن نصب شده است، به دست می‌آید.

public static Guid md5_plus_xor(string string_0) {
byte[] bytes = BitConverter.GetBytes(parameter_class.unique_pc_identifier);
byte[] array = MD5.Create().ComputeHash(get_bytes_wrapper(string_0));
for (int i = 0; i < array.Length; i++) {
    byte[] array2 = array;
    int num = i;
    array2[num] ^= bytes[i % bytes.Length];
  }
  return new Guid(array);
}

علاوه بر این، استفاده از ابزارهای توسعه‌یافته در .NET و از وب‌سایت‌های WordPress دستکاری شده به عنوان نقاط کنترل مرکزی (C2)، تاکتیک‌های متداولی در تنظیم پیشرفته Turla است. هر چند، ارتباط بین GoldenJackal و Turla را با اطمینان کم ارزیابی شده است، زیرا هیچ‌کدام از این ویژگی‌ها به صورت منحصر به فرد برای هر دو گروه تهدیدی نیست. استفاده از وب‌سایت‌های WordPress دستکاری شده تنها یک تاکتیک منحصر به فرد برای Turla نیست. این تکنیک نیز در فعالیت‌های گروه‌های دیگری مانند BlackShadow، یک APT فعال در خاورمیانه که از نرم‌افزارهای .NET استفاده می‌کند، مشاهده شده است. اشتراک کدها مربوط به یک تابع واحد در یک برنامه .NET است که با استفاده از یک دیکامپایلر به راحتی قابل کپی است. احتمالاً GoldenJackal از آن الگوریتم به عنوان یک پرچم نادرست استفاده کرده است. فرضیه دیگر این است که توسعه‌دهندگان پشت JackalControl تحت تأثیر Turla قرار گرفته و تصمیم به تکثیر الگوریتم تولید UID کرده‌اند. اهداف مشترک هم می‌توان اینگونه در نظر گرفت که ، قربانی ها از سطح بالایی برخودارند و مورد علاقه گروههای مختلف هستند.

IOCهای گزارش  شده:

مراجع