باند باج‌افزار Clop به BleepingComputer گفته است که پشت حملات سرقت داده MOVEit Transfer هستند، جایی که یک آسیب‌پذیری zero-day برای نفوذ به سرورهای چند شرکت و سرقت داده‌ها مورد سوءاستفاده قرارگرفته است. این موضوع انتساب یکشنبه شب مایکروسافت به گروه هکری را تأیید می‌کند که آن‌ها با نام Lace Tempest دنبال می‌کنند، همچنین به‌عنوان TA505 و FIN11 شناخته می‌شود. نماینده Clop همچنین تأیید کرد که آن‌ها در 27 می، در طول تعطیلات طولانی روز یادبود ایالات‌متحده، همان طور که قبلاً توسط Mandiant فاش شده بود، از این آسیب‌پذیری بهره‌برداری کردند. انجام حملات در روزهای تعطیل یک تاکتیک رایج برای عملیات باج‌افزار Clop است که قبلاً حملات سوءاستفاده در مقیاس بزرگ را در طول تعطیلات انجام داده است، زمانی که کارکنان حداقل هستند. به‌عنوان مثال، آنها دقیقاً در شروع تعطیلات کریسمس 2020 از آسیب‌پذیری روز صفر مشابهی در محصول Accellion FTA برای سرقت داده‌ها سوءاستفاده کردند.
در حالی که Clop تعداد سازمان‌های نقض شده در حملات MOVEit Transfer را اعلام نکرد، اما می‌گوید که در صورت عدم پرداخت باج، قربانیان در سایت نشت داده‌هایشان نمایش داده می‌شوند. علاوه بر این، گروه باج‌افزار تأیید کرد که آنها شروع به اخاذی از قربانیان نکرده‌اند، احتمالاً از زمان برای بررسی داده‌ها و تعیین اینکه چه چیزی ارزشمند است و چگونه می‌توان از آن برای افزایش تقاضای باج از سوی شرکت‌های مورد نفوذ استفاده کرد، استفاده می‌کند.
در حملات اخیر کلاپ به GoAnywhere MFT، این باند بیش از یک ماه منتظر بود تا درخواست‌های باج به سازمان‌ها را ایمیل کند. در انتها و بدون اینکه BleepingComputer سوالی در این مورد بپرسد، باند باج‌افزار گفت که آن‌ها هر گونه اطلاعاتی را که از دولت‌ها، ارتش و بیمارستان‌های کودکان در طول این حملات به سرقت رفته بود، حذف کرده‌اند.
کلوپ در ایمیل خود به BleepingComputer گفت: «من می‌خواهم فوراً به شما بگویم که به ارتش، بیمارستان‌های کودکان، دولت و غیره مانند این ما حمله نمی‌کنیم و اطلاعات آنها پاک‌شده است.»
BleepingComputer هیچ راهی برای تأیید صحت این ادعاها ندارد و مانند هر حمله سرقت داده، همه سازمان‌های تحت تأثیر باید طوری با آن برخورد کنند که گویی داده‌ها در معرض خطر سوءاستفاده هستند. در حالی که Clop به‌عنوان یک عملیات باج‌افزار شروع شد، این گروه قبلاً به BleepingComputer گفته بود که از رمزگذاری دور می‌شوند و به جای آن اخاذی از طریق سرقت اطلاعات را ترجیح می‌دهند.
2    اولین قربانیان
ما همچنین اولین افشاگری‌های خود را از سازمان‌هایی دیدیم که در حملات سرقت داده MOVEit Clop مورد نفوذ قرار گرفتند. Zellis، ارائه‌دهنده راهکار‌های حقوق و دستمزد و منابع انسانی در بریتانیا تأیید کرد که به دلیل این حملات دچار نقض اطلاعات شده است که بر برخی از مشتریانش نیز تأثیر گذاشته است.
 Zellis به BleepingComputer گفت: «تعداد زیادی از شرکت‌ها در سراسر جهان تحت تأثیر آسیب‌پذیری روز صفر محصول MOVEit Transfer Progress Software قرارگرفته‌اند. ما می‌توانیم تأیید کنیم که تعداد کمی از مشتریان ما تحت تأثیر این مشکل جهانی قرارگرفته‌اند و ما فعالانه برای پشتیبانی از آن‌ها تلاش می‌کنیم. هیچ یک از نرم‌افزارهای متعلق به Zellis تحت تأثیر قرار نگرفته‌اند و هیچ حادثه یا خطری برای هیچ بخش دیگری از دارایی‌های فناوری اطلاعات ما وجود ندارد.»
«زمانی که از این حادثه مطلع شدیم، اقدام فوری انجام دادیم، سروری را که از نرم‌افزار MOVEit استفاده می‌کرد، قطع کردیم و یک تیم پاسخگوی حوادث امنیتی خارجی متخصص را برای کمک به تجزیه و تحلیل فارنزیک و نظارت مستمر درگیر کردیم. همچنین به ICO، DPC و NCSC  در بریتانیا و هم در ایرلند اطلاع داده‌ایم.»
شرکت Aer Lingus به BleepingComputer تأیید کرد که از طریق نفوذ Zellis MOVEit دچار نقض شده است. در بیانیه ایر لینگوس آمده است: «با این حال، تأییدشده است که هیچ جزئیات مالی یا بانکی مربوط به کارمندان فعلی یا سابق Aer Lingus در این حادثه به خطر نیفتاده است. همچنین تأیید شده است که هیچ اطلاعات تماس تلفنی مربوط به کارمندان فعلی یا سابق Aer Lingus به خطر نیفتاده است.»
همان طور که توسط The Record گزارش‌شده است، بریتیش ایرویز نیز تأیید کرده است که نقض Zellis آن‌ها را تحت تأثیر قرار داده است. متأسفانه، همان طور که با حملات قبلی Clop به پلتفرم‌های انتقال فایل مدیریت شده دیدیم، احتمالاً با گذشت زمان شاهد یک جریان طولانی از افشای شرکت‌ها خواهیم بود.
باند باج‌افزار Clop سه شنبه شب ادعا کرد که داده‌های "صدها شرکت" را به سرقت برده است و در صورت عدم پرداخت باج، انتشار اطلاعات سرقت شده سازمان‌ها را از 14 ژوئن آغاز خواهد کرد.
در حملات قبلی GoAnywhere و Accellion FTA، عوامل تهدید خواسته‌های اخاذی خود را به مدیران شرکت ایمیل کردند.

                                    ایمیل اخاذی Clop در طول حملات Accellion 

برای کسانی که تحت تأثیر حملات سرقت داده MOVEit Transfer قرارگرفته‌اند، Clop اکنون رویکرد متفاوتی را در پیش‌گرفته است و به سازمان‌های تحت تأثیر گفته است که اگر می‌خواهند در مورد باج مذاکره کنند، با آنها تماس بگیرند.

منبع:

https://www.bleepingcomputer.com/news/security/clop-ransomware-claims-responsibility-for-moveit-ext…
 

Google Drive یکی از پرکاربردترین پلتفرم‌های ذخیره‌سازی ابری است و به دلیل محبوبیت و قابلیت‌های بی‌شمارش، بسیار مورد هدف عوامل تهدید قرار می‌گیرد. سرقت داده  یک روش رایج است که عوامل مخرب پس از ورود به یک پلتفرم از آن استفاده می‌کنند. این روش، به عنوان یک بردار حمله رایج برای سرقت اطلاعات عمل می‌کند. تیم تحقیقاتی Mitiga اخیراً یک تحقیق جامع در مورد تکنیک‌های استخراج داده در Google Workspace انجام داده‌است و اهمیت این پلتفرم و روش حمله را برجسته کرده است. تحقیق مذکور با تلاش‌های مداوم تیم تحقیقاتی برای کشف و درک حملات ابری و حملات نرم‌افزار به‌عنوان سرویس  (SaaS) و اقدامات قانونی هماهنگ است.

حمله به Google Drive

هدف عوامل مخرب، غالبا سوءاستفاده از آسیب‌پذیری‌های موجود در Google Drive به منظور دسترسی غیرمجاز به فایل‌های حساس و داده‌های کاربری است. کارشناسان تجزیه و تحلیل عمیقی انجام دادند و یک نقص امنیتی مهم در Google Workspace کشف کردند. این آسیب‌پذیری به عوامل تهدید اجازه می‌دهد تا بدون اینکه هیچ رد قابل شناسایی از خود بر جای بگذارند، به‌طور مخفیانه داده‌ها را از Google Drive استخراج کنند. Google Workspace برای نظارت و ردیابی اقدامات مختلف انجام شده در منابع Google Drive مربوط به شرکت، از " Drive log events" استفاده می‌کند و با این کار، شفافیت رو به رشدی را ارائه می‌دهد.

امنیت Google Workspace

Google Workspace رویدادهای مربوط به دامنه‌های خارجی، مانند اشتراک‌گذاری یک شی با کاربران خارج از سازمان و تضمین جامع ردیابی و نظارت را ثبت می‌کند. این رویدادها برای ارائه یک رکورد کامل از تعاملات با کاربران خارجی ضبط و ثبت می‌شوند. کاربرد این عمل محدود به اقداماتی است که توسط کاربران دارای مجوز پولی انجام می‌شود. همین مساله، باعث ایجاد محدودیت است اما این محدودیت یک چالش کلیدی است که باید برطرف شود. به همه کاربران Google Drive در ابتدا مجوز "Cloud Identity Free" به عنوان گزینه پیش‌فرض ارائه می‌شود. این مجوز در اکوسیستم Google Drive به کاربر، دسترسی و عملکرد اولیه را ارائه می‌دهد. در اینجا، مدیران باید مجوز پولی را برای در دسترس قرار دادن ویژگی‌های مازاد، به کاربران اختصاص دهند؛ به‌ویژه مجوز «Google Workspace Enterprise Plus».

مجوزهای پولی و پیش‌فرض

توصیه می‌گردد:
•    تحت «رویدادهای ثبت مدیریت »، باید تمام رویدادهای مربوط به واگذاری مجوز و لغو آن را کنترل نمود.
•    انجام منظم جستجوی تهدیدات در Google Workspace، به ویژه برای شناسایی و بررسی این فعالیت خاص ضروری است.
•    می‌توان با انجام این جستجوهای پیشگیرانه، تهدیدات احتمالی و نقض‌های امنیتی را به طور موثری شناسایی نموده و کاهش دهید.
•    به منظور شناسایی مؤثر مواردی که فایل‌ها از یک درایو مشترک به یک درایو خصوصی کپی می‌شوند و متعاقباً دانلود می‌شوند، نظارت بر رویدادهای "source_copy" امری بسیار مهم است.

منبع خبر

https://cybersecuritynews.com/google-drive-security-flaw/
 

گوگل یک سری به‌روزرسانی‌های امنیتی را برای وصله کردن یک نقص با شدت بحرانی در مرورگر وب کروم خود منتشر کرده است. گفته می‌شود که این نقص امنیتی به طور فعال مورد استفاده مهاجمان قرار می‌گیرد. این آسیب‌پذیری که با شناسه CVE-2023-3079 پیگیری می‌شود، به‌عنوان یک باگ type confusion در موتور جاوا اسکریپت V8 شناخته شده است. بر اساس پایگاه داده ملی آسیب‌پذیری «type confusion در موتور جاوا اسکریپت V8 در گوگل کروم نسخه های قبل از 114.0.5735.110، به مهاجم از راه دور اجازه می‌داد تا به‌طور بالقوه به وسیله یک صفحه دستکاری شده HTML، از خرابی heap سوءاستفاده کند».
گوگل، از ابتدای سال جدید میلادی، در مجموع سه آسیب‌پذیری روز صفر با بهره‌برداری فعال را در کروم شناسایی و مدیریت کرده است. به جز آسیب‌پذیری ذکر شده در این گزارش، دو آسیب‌پذیری دیگر عبارتند از:
•    CVE-2023-2033 (امتیاز CVSS: 8.8) - Type Confusion در V8
•    CVE-2023-2136 (امتیاز CVSS: 9.6) - سرریز عدد صحیح  در Skia

به کاربران توصیه می‌شود برای کاهش تهدیدات احتمالی، گوگل کروم خود را به نسخه 114.0.5735.110 برای ویندوز و نسخه 114.0.5735.106 برای macOS و Linux ارتقا دهند. همچنین به کاربران مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Brave، Opera و Vivaldi توصیه می‌شود که به محض دسترسی به سیستم، اصلاحات لازم را اعمال کنند.

منبع خبر

https://thehackernews.com/2023/06/zero-day-alert-google-issues-patch-for.html

تیم تشخیص و پاسخ با مدیریت Carbon Black، از افزایش فعالیت TrueBot خبرداده است. TrueBot برای اولین بار در سال 2017 کشف شده است. Carbon Black در شناساییTrueBotو بررسی فعالیت آن بسیار موثر بوده است. TrueBot، بات‌نت تروجان دانلود کننده‌ای است که از سرورهای فرمان و کنترل برای جمع‌آوری اطلاعات در سیستم‌های آسیب‌پذیر استفاده می‌کند و آن سیستم را به‌عنوان نقطه اجرای حملات بیشتر به‌کار می-گیرد. هدف اصلی TrueBot، دانلود بارهای اضافی و اجرای آنها در سیستم‌های آسیب‌پذیر است. دو مولفه بارگذاری کننده و دانلود کننده در تجزیه وتحلیل انواع TrueBot شناسایی شده است. 
TrueBot ممکن است از طریق فریب‌های به‌روزرسانی نرم افزار، حملات خود را انجام دهد. با دانلود فایل update.exe از Google Chrome این بدافزار به سیستم نفوذ کرده و سپس فایل اجرایی به یک آدرسIP آلوده به TrueBot متصل می‌شود تا فعال شود. پس از برقراری ارتباط فایل اجرایی با دامنه فرمان و کنترل، استخراج داده‌ها انجام می‌شود. 
TrueBot می‌تواند آسیب‌پذیری بسیار خطرناکی برای هر شبکه ایجاد کند. در صورت آلوده شدن سازمانی به این بات‌نت، این آلودگی به سرعت در سراسر شبکه پخش می‌شود. طبق گزارش PCrisk، TrueBot که به-عنوان Silence.Downloader نیز شناخته می‌شود، یک برنامه مخرب است که دارای قابلیت‌های بات‌نت، بارکننده و تزریق‌کننده است. تنوع قابل توجهی در زنجیره توزیعTrueBot وجود دارد که می‌تواند شامل مواردی مانند دانلود، نصب برنامه‌ها و کامپوننت‌های مخرب اضافی باشد. مهاجمانی که از این نرم‌افزار مخرب استفاده می‌کنند، ممکن است برای اجرای اهداف خود تغییرات دیگری نیز اعمال نمایند.
توصیه‌های امنیتی
برای حفاظت از حملات بات‌نت TrueBox، توصیه می‌شود همه سیستم‌عامل‌ها و نرم‌افزارها کاملا به روز و وصله شده باشند. همچنین توصیه می‌شود در صورتی که نرم‌افزاری به اینترنت نیاز ندارد، به آن متصل نباشد. درصورت اتصال سیستم به اینترنت، بهتر است احراز هویت چندعاملی برقرار باشد. این روش از به خطر افتادن اعتبار جلوگیری می‌کند. همچنین اتصالات شبکه باید به‌دقت بررسی شود و دامنه‌هایی که توسط اتصالات کمی مورد دسترسی قرار گرفته‌اند، همانند دامنه‌هایی که تعداد اتصالات بیشتری دارند، مورد بررسی قرار گیرند. درنهایت، نرم‌افزار امنیتی باید علاوه بر نقاط پایانی، در تمام سطوح داده‌های ورودی به-ویژه ایمیل‌ها و سرورها استقرار یابد.
منابع خبر

[2] https://blogs.vmware.com/security/2023/06/carbon-blacks-truebot-detection.html

اخیراً یک تکنیک جدید فیشینگ شناسایی شده است که در آن از دامنه‌های .ZIP استفاده و با نمایش پنجره‌های جعلی WinRAR یا Windows File Explorer در مرورگر، کاربران را قانع می‌کنند تا فایل‌های مخرب را اجرا کنند. اوایل این ماه، گوگل امکان ثبت دامین‌های TLD ZIP مانند bleepingcomputer.zip  را برای میزبانی وبسایت‌ها و آدرس‌های ایمیل ارائه کرد. از زمان ارائه این TLD، بحث‌های زیادی پیرامون اینکه آیا این موضوع یک اشتباه است و ممکن است برای کاربران خطرات امنیتی ایجاد کند، به وجود آمده است.  در حالی که برخی از کارشناسان معتقدند که نگرانی‌ها بیش از حد افزایش یافته‌اند، اما نگرانی اصلی این است که برخی از وبسایت‌ها به طور خودکار یک رشته که با '.zip' ختم می‌شود، مانند setup.zip، را به یک لینک قابل کلیک تبدیل می‌کنند که می‌تواند برای ارسال بدافزار یا حملات فیشینگ استفاده شود. به عنوان مثال، اگر شما به کسی دستورالعمل‌هایی درباره دریافت یک فایل به نام setup.zip ارسال کنید، توییتر به طور خودکار setup.zip را به یک لینک تبدیل خواهد کرد، که باعث می‌شود مردم فکر کنند باید بر روی آن کلیک کنند تا فایل را دریافت کنند. 

به عنوان مثال وقتی بر روی آن لینک کلیک می‌کنید، مرورگر شما سعی می‌کند به سایت https://setup.zip متصل شود، که ممکن است شما را به سایت دیگری هدایت کند، یک صفحه HTML نمایش دهد یا شما را به دریافت یک فایل دعوت کند. با این حال، مانند سایر حملات بدافزار یا فیشینگ، برای اقدام به باز کردن یک فایل، ابتدا باید یک کاربر را متقاعد کنید، که ممکن است چالش‌برانگیز باشد.
یک ابزار فیشینگ قدرتمند به نام فشرده‌ساز فایل در مرورگر (File Archiver in the Browser) توسط تحقیق‌گر امنیتی به نام آقای mr.d0x توسعه داده شده است. این ابزار به شما امکان می‌دهد نمای کذبی از نرم‌افزار فشرده‌ساز فایل مانند WinRAR و پنجره‌های بررسی فایل در ویندوز را در مرورگر ایجاد کنید که در دامین‌های .zip نمایش داده می‌شوند تا کاربران را به فکر این بیاندازد که فایل .zip را باز کرده‌اند. این ابزار قادر به تعبیه یک پنجره جعلی WinRAR به طور مستقیم در مرورگر است که هنگام باز شدن یک دامین با پسوند .zip، به نمایش در می‌آید و به کاربران این احساس را می‌دهد که یک فایل فشرده ZIP را باز کرده‌اند و در حال حاضر فایل‌های داخل آن را مشاهده می‌کنند. اگرچه وقتی در مرورگر نمایش داده شود بسیار زیبا به نظر می‌رسد، اما در حالتی که به صورت پنجره Popup  نمایش داده شود، واقعا جلوه می‌کند، زیرا شما می‌توانید نوار آدرس و نوار پیمایش را حذف کنید و فقط یک پنجره WinRAR به نمایش درآورید که بر روی صفحه نمایش نمایش داده می‌شود، همانطور که در زیر نشان داده شده است.

برای افزایش قابلیت قانع کردن پنجره جعلی WinRAR، تحقیق‌گران یک دکمه جعلی با عنوان "اسکن امنیتی" پیاده‌سازی کرده‌اند که هنگام کلیک بر روی آن، نمایش می‌دهد که فایل‌ها اسکن شده‌اند و هیچ تهدیدی شناسایی نشده است.

هر چند این ابزارک در هنگام نمایش هنوز نوار آدرس مرورگر را نشان می‌دهد، اما احتمالاً برخی از کاربران را فریب خواهد داد و فکر می‌کنند که این یک بایگانی معتبر WinRAR است. علاوه بر این، استفاده از CSS و HTML خلاقانه می‌تواند برای بهبود بیشتر این ابزارک استفاده شود. مهندس محمد دوکس همچنین نسخه دیگری را ایجاد کرده است که یک پنجره جعلی از نمایشگر پرونده‌های ویندوز در مرورگر نمایش می‌دهد و به تظاهر از باز کردن یک فایل ZIP می‌پردازد. این قالب بیشتر به عنوان یک پروژه در حال پیشرفت محسوب می‌شود و بعضی از موارد در آن وجود ندارد
 

این ابزارک فیشینگ می‌تواند هم برای سرقت اطلاعات ورودی (credential theft) و هم برای ارسال نرم‌افزارهای مخرب استفاده شود. اگر کاربر بر روی یک فایل PDF در پنجره جعلی WinRar دوبار کلیک کند، ممکن است او را به صفحه‌ای دیگر هدایت کند که درخواست ورود به حساب کاربری را برای مشاهده صحیح فایل مورد نظر مطرح می‌کند. همچنین، این ابزارک می‌تواند برای ارسال نرم‌افزارهای مخرب استفاده شود؛ به طوری که یک فایل PDF نمایش داده می‌شود ولی وقتی کاربر بر روی آن کلیک می‌کند، مرورگر فایلی با نام مشابه و با پسوند .exe را دانلود می‌کند. به عنوان مثال، پنجره بایگانی جعلی ممکن است یک فایل document.pdf نمایش دهد، اما هنگام کلیک، مرورگر فایل document.pdf.exe را دانلود می‌کند. با توجه به اینکه ویندوز به طور پیش فرض پسوندهای فایل را نشان نمی‌دهد، کاربر در پوشه دانلود خود فقط یک فایل PDF مشاهده خواهد کرد و ممکن است بدون اینکه بفهمد که این یک فایل اجرایی است، بر روی آن دوبار کلیک کند. نکته‌ی جالب این است که ویندوز در جستجوی فایل‌ها، در صورت عدم یافتن فایل، سعی می‌کند رشته‌ی جستجو شده را در مرورگر باز کند. اگر آن رشته یک دامنه معتبر باشد، سایت مربوطه در مرورگر باز می‌شود؛ در غیر اینصورت، نتایج جستجو از طریق بینگ نمایش داده می‌شود. در صورتی که کسی یک دامنه با پسوند zip با نامی مشابه یک نام فایل معمولی ثبت کند و کاربری در ویندوز جستجویی انجام دهد، سیستم عامل به صورت خودکار سایت مربوطه را در مرورگر باز می‌کند.
اگر این سایت میزبان ابزارک فیشینگ "File Archivers in the Browser" باشد، ممکن است کاربر را در اشتباه بیندازد و فکر کند که WinRar یک بایگانی ZIP واقعی را نشان می‌دهد. این تکنیک نشان می‌دهد که چگونه دامنه‌های zip می‌توانند برای ایجاد حملات فیشینگ و ارسال نرم‌افزارهای مخرب یا سرقت اطلاعات ورودی مورد استفاده قرار گیرند.
 مراجع

شرکت امنیتی Barracuda اعلام کرد که یک آسیب‌پذیری در دستگاه‌های ESG(Email Security Gateway) رفع شده است که اخیرا توسط عوامل تهدید در درب پشتی دستگاه‌ها مورد سوءاستفاده قرار گرفته است. آسیب‌پذیری بحرانی که با شناسه CVE-2023-2868 و با شدت بحرانی 9.8 ردیابی شده است، به مدت 7 ماه قبل از کشف و شناسایی اکسپلویت شده است. این آسیب‌پذیری از طریق تزریق فرمان از راه دور در محصول Barracuda Email Security Gateway شکل می‌گیرد. اعتبارسنجی ناقص یک فایل .tar که توسط کاربر وارد می‌شود موجب این آسیب‌پذیری می‌شود. مهاجم از راه دور می‌تواند نام فایل‌ها را به شیوه‌ای خاص قالب‌بندی کند و فرمان از راه دور را با مجوز دسترسی Email Security Gateway اجرا کند. 
در حملات انجام شده، مهاجمان از این آسیب‌پذیری برای دسترسی اولیه به سازمان‌های قربانی سوءاستفاده کردند. پس از کسب دسترسی لازم، بدافزارهای جدید و شناخته شده سفارشی در سازمان‌های قربانی مستقر شدند. بدافزار SALTWATER، یک ماژول حاوی تروجان برای Barracuda SMTP Daemon(bsmtpd) است که به‌عنوان درب پشتی در سازمان‌های قربانی عمل می‌کند. این بدافزار قادر به آپلود و دانلود فایل، اجرای دستور و پروکسی و تونل‌سازی است. SEASPY بدافزار درب‌پشتی دیگری است که با جعل سرویس در شبکه Barracuda، خود را به‌عنوان فیلتر PCAP تثبیت می‌کند و ترافیک پورت 25 را نظارت می‌کند. SEASIDE بدافزار دیگری است که یک ماژول مبتنی بر Lua است و برای ایجاد حفاظ معکوس در دارایی‌های در معرض خطر استفاده می‌شود. 
این آسیب‌پذیری نسخه‌های 5.1.3.001 تا 9.2.0.006 را تحت تاثیر قرار می‌دهد و به مهاجم امکان اجرای کد در تاسیسات حساس را می‌دهد.
به کاربران توصیه می‌شود که در صورتی که اکسپلویت انجام شده باشد، ارتباط با دستگاه ESG را قطع کنند. به مرکز عملیات امنیتی eSentire اطلاع دهند. اعتبارنامه‌های متصل به برنامه‌ ESG را بازنشانی کنند. گزارش¬های مربوط به شاخص‌های شناخته شده که در توصیه Barracuda مشخص شده است را مرور کنند. 
منابع خبر

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-2868
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-2868
[3] https://www.helpnetsecurity.com/2023/05/25/cve-2023-2868/
[4] https://thehackernews.com/2023/05/alert-hackers-exploit-barracuda-email.html

کمپینی شامل بدافزار بات‌نت Horabot که قبلاً ناشناخته بود، حداقل از نوامبر  2020، کاربران اسپانیایی زبان در آمریکای لاتین را هدف قرار داده و آنها را با یک تروجان بانکی و ابزار هرزنامه آلوده کرده است. البته عوامل تهدید می‌توانند با استفاده از مضامین فیشینگ به زبان انگلیسی، دامنه فعالیت خود را به سایر بازارها نیز گسترش دهند. این بدافزار اپراتورها را قادر می‌سازد تا کنترل حساب‌های ایمیل Hotmail ،Outlook، Gmail یا Yahoo قربانی را در دست بگیرند. همچنین داده‌های ایمیل و کدهای 2FA را که وارد صندوق ورودی می‌شوند را سرقت کنند و ایمیل‌های فیشینگ را از حساب‌های مورد نفوذ، ارسال کنند. عملیات جدید Horabot توسط تحلیلگران Cisco Talos کشف شد که گزارش می‌دهند عامل تهدید پشت آن احتمالاً در برزیل مستقر است. زنجیره آلودگی چندمرحله‌ای با ارسال یک ایمیل فیشینگ با مضمون مالیاتی آغاز می‌شود که دارای یک پیوست HTML است. باز کردن HTML یک زنجیره تغییر مسیر URL را راه‌اندازی می‌کند که قربانی را در یک صفحه HTML میزبانی شده در یک نمونه AWS تحت کنترل مهاجم می‌فرستد.

صفحه بدخواه میزبانی شده روی AWS. منبع: سیسکو

قربانی روی لینک موجود در صفحه کلیک می‌کند و یک بایگانی RAR را دانلود می‌کند که حاوی یک فایل دسته‌ای با پسوند CMD است. این فایل، یک اسکریپت PowerShell را دانلود می‌کند که DLLهای تروجان و مجموعه‌ای از فایل‌های اجرایی قانونی را از سرور C2 واکشی می‌کند. این تروجان‌ها برای دریافت payload از یک سرور C2 متفاوت اجرا می‌شوند. یکی اسکریپت دانلودر PowerShell و دیگری باینری Horabot است.
تروجان بانکی
یکی از فایل‌های DLL موجود در ZIP دانلود شده، «jli.dll» که توسط فایل اجرایی «kinit.exe» بارگذاری می‌شود. این یک تروجان بانکی است که به زبان دلفی نوشته شده است. اطلاعات سیستم (زبان، اندازه دیسک، نرم‌افزار آنتی‌ویروس، نام میزبان، نسخه سیستم‌عامل، آدرس،IP، اعتبارنامه کاربر و داده‌های فعالیت) را هدف قرار می‌دهد.
علاوه بر این، تروجان به اپراتورهای خود قابلیت‌های دسترسی از راه دور مانند انجام عملیات فایل را ارائه می‌دهد و همچنین می‌تواند ثبت کلید، عکس گرفتن از صفحه و ردیابی رویداد ماوس را انجام دهد. هنگامی که قربانی برنامه‌ای را باز می‌کند، تروجان یک پنجره جعلی را در بالای آن قرار می‌دهد تا قربانی را فریب دهد تا داده‌های حساسی مانند اعتبارنامه بانکی آنلاین یا کدهای یک بار مصرف را وارد کند. تمام اطلاعات جمع‌آوری شده از رایانه قربانی از طریق درخواست‌های HTTP POST به سرور فرمان و کنترل مهاجم ارسال می‌شود. سیسکو توضیح می‌دهد که این تروجان چندین مکانیسم ضد تحلیل داخلی دارد تا از اجرای آن در جعبه‌های شنی یا در کنار دیباگرها جلوگیری کند. آرشیو ZIP نامبرده، همچنین حاوی یک ابزار هرزنامه رمزگذاری شده DLL به نام «_upyqta2_J.mdat» است که برای سرقت اطلاعات کاربری سرویس‌های ایمیل محبوب مانند Hotmail، Gmail و Yahoo طراحی شده است.
پس از افشای اعتبارنامه، این ابزار حساب ایمیل قربانی را تصاحب می‌کند، ایمیل‌های هرزنامه تولید می‌کند و آنها را به مخاطبین موجود در صندوق پستی قربانی ارسال می‌کند و تا حدودی به طور تصادفی آلودگی را بیشتر می‌کند. این ابزار همچنین دارای قابلیت‌های keylogging، اسکرین شات و رهگیری یا ردیابی رویداد ماوس است که ازنظر عملکردی با تروجان بانکی همپوشانی دارند، احتمالاً برای افزونگی.
Horabot
پیلود اولیه‌ای که بر روی سیستم قربانی ریخته می‌شود Horabot است، یک بات‌نت مستند مبتنی بر PowerShell که صندوق پستی Outlook قربانی را هدف قرار می‌دهد تا لیست مخاطبین را بدزدد و ایمیل‌های فیشینگ حاوی پیوست‌های مخرب HTML را منتشر کند. این بدافزار برنامه Outlook دسکتاپ قربانی را برای بررسی دقیق دفترچه آدرس و مخاطبین از محتویات صندوق پستی، راه‌اندازی می‌کند. سیسکو در گزارش توضیح می‌دهد: «پس از راه‌اندازی اولیه، اسکریپت [Horabot] به دنبال فایل‌های داده Outlook از پوشه داده‌های برنامه Outlook مربوط به نمایه قربانی می‌گردد. تمام پوشه‌ها و ایمیل‌های موجود در فایل داده Outlook قربانی را برمی‌شمارد و آدرس‌های ایمیل را از فیلدهای فرستنده، گیرندگان، CC و BCC ایمیل‌ها استخراج می‌کند.» تمام آدرس‌های ایمیل استخراج شده در یک فایل Outlook نوشته و کدگذاری شده و به سرور C2 ارسال می‌شوند. هنگامی که فرآیند توزیع ایمیل فیشینگ به پایان رسید، فایل‌ها و پوشه‌های ایجادشده محلی حذف می‌شوند تا هرگونه اثری پاک شود. اگرچه این کمپین Horabot عمدتاً کاربران مکزیک، اروگوئه، برزیل، ونزوئلا، آرژانتین، گواتمالا و پاناما را هدف قرار می‌دهد، اما همان عوامل تهدیدکننده یا همکار می‌توانند با استفاده از مضامین فیشینگ به زبان انگلیسی، دامنه خود را به سایر بازارها در هر زمان گسترش دهند.

منبع:

https://blog.talosintelligence.com/new-horabot-targets-americas/ 

آسیب پذیری سوییچ های سیسکو    
با بررسی های به عمل آمده، به تازگی قطعه کد بهره برداری از آسیب پذیری از نوع rce به صورت عمومی منتشر شده است که ابزار ReportLab که توسط تعداد زیادی از برنامه‌ها برای تولید pdf از ورودی های html استفاده می شود را تحت تاثیر قرار می‌دهد. قطعه کد poc  این آسیب پذیری با شناسه cve-2023-33733 همراه با توضیحات فنی و جزییات آن انتشار یافته است که موجب افزایش تلاش برای بهره برداری ها می گردد. ابزار reportlab توسط پروژه و برنامه های مختلف به عنوان کتابخانه pdf مورد استفاده می گردد و ماهانه توسط برنامه نویسان به طور متوسط 3.5 میلیون بار از python package index  دانلود می گردد. این نقص به علت نقص در تابعی به اسم rl_safe_eval می باشد که وظیفه جلوگیری از اجرا کد مخرب را در برنامه دارد نشئت می گیرد و موجب دسترسی مهاجم به توابع خطرناک داخلی پایتون می شود. نقص تابع مورد نظر موجب گذر از محدودیت های sandbox  برنامه می گردد. تابع rl_safe_eval به عنوان اقدامی برای جلوگیری از یک مشکل مشابه اجرای کد از راه دور که در سال 2019 کشف شد، معرفی گردید بنابراین مهاجمان و محققین مختلفی بر روی روش‌های دور زدن آن تمرکز کردند. Poc منتشر شده تابع داخلی type که به ساخت یک کلاس جدید به اسم word  که از str ارث بری می کند کمک می کند را فراخوانی می‌کند که در آخر موجب دور زدن بررسی های امنیتی و دسترسی به ویژگی هایی مثل code می گردد. سپس در مرحله بعد تابع type خود را فراخوانی می کند و بررسی های امنیتی مربوط به شمارش آرگومان را دور می زند و به مهاجم اجازه دسترسی به تابع type اصلی را برای ایجاد کلاس ها و اشیاء جدید می دهد . این عمل منجر به ساخت یک تابع مخرب می گردد که در صورت اجرا عمل مورد نظر مهاجم را انجام می دهد .

تمامی برنامه ها و محصولاتی که از ابزار reportlab   نسخه ماقبل 3.6.13 در ساختار خود استفاده نموده اند آسیب‌پذیر می‌باشند . 

راه حل جلوگیری از بهره برداری از این نقص بروز رسانی ابزار reportlab به نسخه 3.6.13 می باشد :

Pip install reportlab==3.6.13

منابع

https://socradar.io/cve-2023-33733-vulnerability-in-reportlab-allows-bypassing-sandbox-restrictions/

افزونه وردپرس «Gravity Forms» در برابر تزریق شی PHP 
یک آسیب پذیری امنیتی جدید با شناسه CVE-2023-28782 و امتیاز ۸.۳ در افزونه پریمیوم وردپرس «Gravity Forms» کشف شده است. در‌حال حاضر بیش از ۹۳۰۰۰ وب سایت از خدمات افزونه وردپرس استفاده می‌کند و این آسیب‌پذیری ساختار امنیت افزونه و یکپارچگی وب‌سایت‌ها را تهدید میکند. آسیب‌پذیری CVE-2023-28782 در برابر تزریق شیء PHP آسیب‌پذیر است. این آسیب‌پذیری خطر قابل توجهی را برای کاربران ایجاد می کند.
Gravity Forms یک فرم سفارشی است که صاحبان وب‌سایت ها برای ایجاد صفحه پرداخت، ثبت نام، آپلود فایل یا هر فرم دیگری استفاده می‌کنند. این فرم ها برای تعاملات یا تراکنش‌های بین بازدیدکننده‌ و سایت مورد نیاز است. Gravity Forms در وب سایت خود ادعا می‌کند که توسط طیف گسترده‌ای از شرکت‌های بزرگ از جملهAirbnb، ESPN، Nike، NASA ، PennState و Unicef استفاده می شود. این آسیب‌پذیری همه افزونه‌ها را از نسخه‌ی 2.7.3 و پایین‌تر تحت تأثیر قرار می‌دهد. این نقص توسط PatchStack  در ۲۷ مارس ۲۰۲۳ کشف شد و توسط فروشنده با انتشار نسخه 2.7.4 رفع شد که این نسخه در ۱۱ آوریل ۲۰۲۳ در دسترس قرار گرفت. به مدیران وب‌سایت‌هایی که از Gravity Forms استفاده می‌کنند توصیه می‌شود که در اسرع وقت به‌روزرسانی امنیتی موجود را اعمال کنند.
 جزئیات نقص
علت اصلی این آسیب‌پذیری، تابع maybe_unserialize  است. که از عدم بررسی ورودی ارائه شده توسط کاربر برای تابع 'maybe_unserialize' ناشی می شود و می تواند با ارسال داده ها به فرم ایجاد شده با Gravity Forms  فعال شود. PatchStack در گزارش‌اش هشدار می دهد: "از آنجایی که PHP امکان سریال سازی اشیاء را فراهم می کند، یک کاربر احراز هویت نشده می تواند رشته های سریال شده ad-hoc را به یک تماس غیر سریالی آسیب پذیر ارسال کند و در نتیجه یک شیء(های) PHP دلخواه به محدوده برنامه تزریق شود." توجه داشته باشید که این آسیب‌پذیری می‌تواند در نصب یا پیکربندی پیش‌فرض افزونه Gravity Forms فعال شود. هر کاربر احراز هویت نشده می‌تواند با ارسال به یک فیلد فهرست در فرمی که با استفاده از Gravity Forms ایجاد شده است، تزریق شی PHP را راه‌اندازی کند.
 

در کل، پیامدهای آسیب‌پذیری CVE-2023-28782، با توجه به عدم وجود زنجیره POP(property-oriented programming) قابل ‌توجه در پلاگین آسیب‌پذیر در زمان این افشاگری، به‌طور قابل‌توجهی محدود است. با این حال، زمانی که یک افزونه یا تم اضافی یک زنجیره POP را در سایت وردپرس معرفی می کند، خطر تشدید می شود. این setup  نامطمئن به طور بالقوه مهاجم را با توانایی حذف فایل های دلخواه، تهیه داده های حساس یا اجرای کد بسته به زنجیره POP موجود، مسلح می کند. خوشبختانه، اقدامات سریعی برای کاهش این آسیب پذیری فاجعه بار انجام شده است. در Gravity Forms نسخه 2.7.4 به این موضوع پرداخته شده و این نقص را برطرف کرده‌اند.
همچنین مهم است که به‌روزرسانی‌ها را در همه افزونه‌های فعال در سایت وردپرس خود اعمال کنید، زیرا رفع‌ آسیب‌های امنیتی ممکن است بردارهای حمله مانند زنجیره‌های POP را که می‌توانند در این مورد برای راه‌اندازی حملات آسیب‌رسان مورد استفاده قرار گیرند، حذف کنند.

منابع

محققان یک تکنیک حمله جدید را ابداع کرده‌اند که می‌تواند با استفاده از بروتفورس اثرانگشت برروی گوشی‌های هوشمند، احرازهویت کاربر را دور بزند و کنترل دستگاه‌ را به دست بگیرد. این رویکرد که BrutePrint نام دارد، محدودیت‌هایی را که برای مقابله با تلاش‌های ناموفق احراز هویت بیومتریک اعمال می‌‌شوند، دور می‌زند. BrutePrint این کار را با مجهر بودن به دو آسیب‌پذیری روز صفر در چارچوب احرازهویت اثرانگشت گوشی‌های هوشمند (SFA) انجام می‌دهد. این نقص‌ها که عبارتند از Cancel-After-Match-Fail (CAMF) و Match-After-Lock (MAL)، از عیب‌های منطقی در چارچوب احراز هویت استفاده می‌کنند، که این‌عیب ها به دلیل محافظت ناکافی از داده‌های اثرانگشت در رابط محیطی سریالی (SPI) حسگرهای اثر انگشت ایجاد می‌شوند.
در اینجا BrutePrint به عنوان واسطه‌ای بین حسگر اثرانگشت و  TEE [محیط مورد اعتماد اجرا] عمل می‌کند. هدف اصلی، ارائه تعداد نامحدودی از تصاویر اثرانگشت است، تا زمانی که مطابقت ایجاد شود. با این حال، این پیش‌فرض را در نظر می‌گیرد که عامل تهدید از قبل دستگاه قربانی را در اختیار گرفته باشد. علاوه بر این، مهاجم باید دارای پایگاه داده‌ای از اثرانگشت و یک راه‌اندازی شامل یک برد میکروکنترلر و یک کلیک خودکار باشد که بتواند داده‌های ارسال شده توسط حسگر اثر انگشت را ربوده تا حمله را با قیمتی کمتر از 15 دلار به انجام برساند. اولین آسیب‌پذیری ذکر شده که این حمله را ممکن می‌سازد CAMF است که با غیرفعال کردنchecksum اطلاعات مربوط به اثرانگشت، تحمل سیستم در برابر خطاهای انجام شده را افزایش می‌دهد و در نتیجه تلاش‌های نامحدودی را در اختیار مهاجم قرار می‌دهد. از سوی دیگر، آسیب‌پذیری MAL برای استنتاج تطابق تصاویر اثرانگشت برروی دستگاه‌ قربانی، از یک کانال جانبی استفاده می‌کند. حتی زمانی‌که دستگاه، پس از تلاش‌های مکرر برای ورود به سیستم، وارد حالت قفل‌شده می‌شود، MAL باز هم می‌تواند به کار خود ادامه دهد.
محققان توضیح دادند:« اگرچه حالت قفل بیشتر در Keyguard و به منظور غیرفعال‌سازی باز کردن قفل بررسی می‌شود، اما نتیجه احراز هویت توسط TEE انجام می‌شود. از آن‌جایی که نتیجه احرازهویت موفقیت‌آمیز بلافاصله پس از مشاهده یک نمونه منطبق، برگردانده می‌شود، حملات کانال جانبی از رفتارهایی مانند زمان پاسخ و تعداد تصاویر به دست آمده می‌توانند نتیجه را استنتاج کنند.» در یک راه‌اندازی آزمایشی، BrutePrint در 10 مدل مختلف از تلفن‌های هوشمند از جمله Apple، Huawei، OnePlus، OPPO، Samsung، Xiaomi و vivo مورد ارزیابی قرار گرفت. به این حمله اجازه داده شد که در دستگاه‌های Android و HarmonyOS تلاش‌های بی‌نهایتی را برای ورود انجام دهد و در دستگاه‌های iOS، ده تلاش اضافی داشته باشد.
 منبع خبر