بازار بدافزارهای سرقت اطلاعات به‌طور مداوم در حال تحول است. چندین عملیات بدافزار به عنوان سرویس (MaaS)، در حال رقابت با یکدیگر هستند. سازندگان این بدافزارها، آنها را در اختیار مجرمان سایبری قرار می‌دهند. آنها با تبلیغ قابلیت گریز بهتر و افزایش توانایی سرقت داده‌ها، سعی در جلب نظر مجرمان سایبری دارند. بدافزارهای سرقت اطلاعات، بدافزارهای تخصصی هستند که برای سرقت رمزهای عبور حساب، کوکی‌ها، جزئیات کارت اعتباری و داده‌های کیف پول رمزنگاری از دستگاه‌های آلوده استفاده می‌شوند. این اطلاعات در بایگانی‌هایی به نام «log»جمع‌آوری می‌شوند. سپس این logها به عاملان تهدید ارسال می‌شوند. داده‌های دزدیده‌شده برای حملات دیگر استفاده می‌شوند یا در بازارها باقیمت‌های بین 1 تا 150 دلار (بسته به قربانی) فروخته می‌شوند.
شرکت اطلاعاتی امنیت سایبری KELA گزارشی را گردآوری کرده است که در آن افزایش انواع عملیات بدافزار به‌عنوان سرویس ارائه‌شده است که در سه ‌ماهه اول سال 2023 رشد قابل‌توجهی داشته و خطرات مرتبط را برای سازمان‌ها و افراد افزایش می‌دهد. در این گزارش، KELA بر روی دزدهای اطلاعاتی جدید مانند LummaC2, WhiteSnake، Titan و دیگرانی که اخیراً از جرائم سایبری زیرزمینی بیرون آمده‌اند و تا به حال در بین عاملان تهدید محبوبیت پیداکرده‌اند، تمرکز می‌کند.
اگرچه گونه‌های قدیمی‌تر مانند Raccon، RedLine و Vidar همچنان حضور چشمگیری دارند و خانواده‌های جدیدتری مانند Mars، Aurora و Meta همچنان در حال رشد هستند، خانواده‌های بدافزارهای جدید نیز در سال جاری تلاش می‌کنند نامی برای خود دست‌وپا کنند. KELA چهار عملیات سرقت اطلاعات زیر را که طی سال گذشته راه‌اندازی شده است، بررسی می‌کند.
 Titan: اولین بار در نوامبر 2022 در انجمن هکرهای روسی‌زبان ظاهر شد و به‌عنوان یک دزد اطلاعات مبتنی بر Go که داده‌های ذخیره شده در 20 مرورگر وب را هدف قرار می‌دهد، تبلیغ شد. کانال تلگرام آن بیش از 600 مشترک دارد. در 1 مارس 2023، نویسندگان آن نسخه 1.5 را منتشر کردند و در 14 آوریل، پیش‌نمایشی از نسخه آینده نشان دادند.
LummaC2: بیش از 70 مرورگر، کیف پول ارزهای دیجیتال و برنامه‌های افزودنی احراز هویت دو مرحله‌ای را هدف قرار می‌دهد. در ژانویه 2023، این پروژه در تلگرام راه‌اندازی مجدد شد که در حال حاضر بیش از هزار مشترک دارد و از فوریه 2023 برای خرید از طریق فروشگاه RussianMarket ارائه ‌شده است.
Stealc: برای اولین بار توسط SEKOIA در فوریه 2023 تجزیه‌ وتحلیل شد. به قیمت 200 دلار در ماه فروخته می‌شود و محبوبیت آن دائماً در حال افزایش است. قبلاً دیده ‌شده بود که از طریق ویدیوهای YouTube توزیع‌شده است که نرم‌افزارهای کرک شده را تبلیغ می‌کنند.
WhiteSnake: این گونه بدافزار برای اولین بار در فروم‌های هکرها در فوریه 2023 به‌عنوان دزد کیف پول دیجیتال، ایمیل، تلگرام و استیم تبلیغ شد. می‌تواند هر دو سیستم ویندوز و لینوکس را هدف قرار دهد که در این زمینه نادر است. شکل زیر سهم بدافزارهای مختلف از فروشگاه RussianMarket را نشان می‌دهد.

KELA معتقد است که بازار بدافزار به‌عنوان یک سرویس، محبوبیت خود را در سال جاری حفظ خواهد کرد، بنابراین استفاده از دزدهای اطلاعات همچنان قابل‌ توجه خواهد بود.
منابع:

https://ke-la.com/emerging-infostealers-2023-report/ 

برنامه discord کاربران را از یک افشای داده‌ای مطلع کرد. این افشای اطلاعات، پس از نفوذ به حساب کاربری یک عامل پشتیبانی شخص ثالث رخ‌داده است. این نقص امنیتی باعث افشای صف تیکت پشتیبانی شد که شامل آدرس‌های ایمیل کاربران، پیام‌های ردوبدل شده با پشتیبانی Discord و هرگونه پیوست ارسال‌شده به‌عنوان بخشی از تیکت ها بود. این شرکت می‌گوید که بلافاصله با غیرفعال کردن آن به‌محض کشف حادثه، به حساب پشتیبانی مورد رخنه رسیدگی کرده و به کاربران تحت تاثیر ایمیل ارسال شده است. در این ایمیل آمده است: «با توجه به ماهیت حادثه، ممکن است آدرس ایمیل شما، محتویات پیام‌های خدمات مشتری و هر پیوستی که بین شما و دیسکورد ارسال‌شده است، در معرض دید شخص ثالثی قرارگرفته باشد.
به‌محض اینکه دیسکورد از مشکل مطلع شد، حساب در معرض خطر را غیرفعال کرد و بررسی‌های بدافزار را در دستگاه آسیب‌دیده تکمیل کرد. همچنین با شریک خدمات مشتری برای اجرای اقدامات مؤثر برای جلوگیری از حوادث مشابه در آینده همکاری کردیم». اگر تحت تأثیر نقض داده‌ها در Discord قرارگرفته‌اید، مراقب هرگونه فعالیت مشکوک مانند تلاش برای کلاه‌برداری یا حملات فیشینگ باشید. این ایمیل می‌افزاید: «درحالی‌که ما معتقدیم خطر محدود است، توصیه می‌شود که مراقب هرگونه پیام یا فعالیت مشکوک مانند کلاه‌برداری یا تلاش‌های فیشینگ باشید».
Discord یک پلتفرم پیام‌رسانی فوری و رسانه اجتماعی پرکاربرد با 150 میلیون کاربر فعال ماهانه است. علاوه بر این، این شرکت در وب‌سایت خود ادعا می‌کند که این پلتفرم دارای 19 میلیون سرور فعال در هفته است.
منبع:

مایکروسافت به‌روز‌رسانی‌ وصله‌هایی را برای ماه می ۲۰۲۳ برای رفع ۳۸ نقص امنیتی، از جمله یک باگ روز صفر که به گفته‌ی ماکروسافت فعالانه در محیط مورد سو‌استفاده قرار میگیرد، عرضه کرده است. سازمان امنیتی افشای آسیب‌پذیری Trend Micro's Zero Day Initiative (ZDI) گفت که این حجم از آسیب‌پذیری  کمترین میزان از آگوست 2021 تا الان است، اگرچه اشاره کرد که "انتظار می رود این تعداد در ماه های آینده افزایش یابد." از نظر شدت آسیب‌پذیری‌ها ۶ آسیب‌پذیری از این ۳۸ آسیب‌پذیری، بحرانی هستند و ۸ آسیب‌پذیری از این ۳۸ تا احتمال بهره‌برداری بیشتری دارند که مایکروسافت آن‌ها را “Exploitation More Likely” برچسب‌گذاری کرده است. در صدر فهرست این آسیب‌پذیری‌ها، آسیب‌پذیری با شناسه CVE-2023-29336 (امتیازCVSS: 7.8 ) قرار دارد که یک نقص افزایش امتیاز در Win32k است که تحت بهره‌برداری فعال قرار گرفته است. هنوز مشخص نیست که این حملات چقدر گسترده است.
مایکروسافت بیان کرد که “هر مهاجمی که بتواند از این آسیب‌پذیری با موفقیت بهره‌برداری بکند میتواند به امتیاز سیستمی (SYSTEM privileges) دست یابد ” این توسعه باعث شد که امنیت سایبری ایالات متحده آمریکا و آژانس امنیت زیر ساخت (CISA) این آسیب‌پذیری را به لیست آسیب‌پذیری های مورد بهره‌برداری(Known Exploited Vulnerabilities) اضافه کرده‌اند. همچنین دو نقص قابل توجه دیگر وجود دارد که یکی از این آسیب‌پذیری‌ها که به ویندوز OLE تاثیر می‌گذارد، نقص حیاتی در اجرای کد از راه دور است که با شناسه CVE-2023-29325 با امتیاز ۸.۱ شناخته می‌شود که توسط ارسال یک ایمیل مخصوص برای قربانی، می‌توان به آن حمله کرد. مایکروسافت برای کاهش خطر بهره‌برداری به کاربران توصیه می‌کند که پیام‌های ایمیل را در قالب متن ساده(plain text) بخوانند تا در برابر این آسیب‌پذیری در امان بمانند.
دومین آسیب‌پذیری شناخته شده با شناسه CVE-2023-24932 با امتیاز ۶.۷، یک میانبر ویژگی بوت امن (Secure Boot)است که برای محافظت و دفاع از خود توسط BlackLotus UEFI bootkit مسلح شده است. که BlackLotus UEFI bootkit ازآسیب‌پذیری با شناسه  CVE-2022-21894 (با نام Baton Drop) استفاده کرده است که مشکل این آسیب‌پذیری در ژانویه ۲۰۲۲ حل شده بود.
مایکروسافت برای رفع خطر گفت “این آسیب‌پذیری به مهاجم اجازه می‌دهد تا زمانی که Secure Boot فعال است، self-signed کد را در سطح Unified Extensible Firmware Interface (UEFI) اجرا کند ”. این کار در درجه اول توسط عامل تهدید به عنوان مکانیزم پایدار‌سازی و فرار دفاعی استفاده می‌شود. بهره‌برداری موفق بر این متکی است که مهاجم امکان دسترسی فیزیکی یا امتیازات مدیریت محلی در دستگاه مورد نیاز داشته باشد.
شایان ذکر است که راه‌‌حل ارسال شده توسط مایکروسافت برای این مشکل،  به صورت پیش‌فرض غیر‌فعال است و مشتریان باید به صورت دستی ابطال ها را بعد از بروز‌رسانی همه رسانه‌های قابل بوت، اعمال کنند. مایکروسافت هشدار داد، هنگامی که یکی از روش های حل این مشکل در یک دستگاه فعال بشود یعنی ابطال ها اعمال بشود، تا زمانی که از بوت امن استفاده می‌کنید نمی توانید آن دستگاه را برگردانید . حتی بازسازی دیسک نمی‌تواند لغو ها را حذف کند اگر قبلاً اعمال شده باشند. مایکروسافت گفته‌است که برای جلوگیری از خطرات اختلال ناخواسته، در حال اتخاذ یک رویکرد مرحله‌ای است تا به طور کامل مسیر حمله را مسدود کند که انتظار می‌رود این رویکرد تا ۳ ماه اول ۲۰۲۴ ادامه داشته باشد.
شرکت امنیتی سیستم‌افزار Binarly در اوایل ماه مارس اشاره کرد: طرح‌های راه‌اندازی امن مبتنی بر UEFI برای پیکربندی صحیح و/یا کاهش معنی‌دار سطوح حمله آن‌ها بسیار پیچیده هستند.
همانطور که پیداست، حملات بوت لودر به این زودی ها ناپدید نمی‌شوند.
 
 منابع

１-    https://www.zerodayinitiative.com/blog/2023/5/8/the-may-2023-security-update-review
２-    https://thehackernews.com/2023/05/microsofts-may-patch-tuesday-fixes-38.html 
３-    https://msrc.microsoft.com/update-guide/releaseNote/2023-May 

به تازگی شرکت سیسکو بروز رسانی امنیتی را به منظور رفع 9 نقص در سوئیچ های مربوط به کسب و کار های کوچک منتشر کرده است ، بهره برداری از این نقص ها منجر به اجرا کد دلخواه مهاجم بدون احراز هویت می گردد و در شرایطی منجر به انکار سرویس می گردد . 
مهاجمان می توانند با استفاده از ارسال درخواست های مخرب به سمت واسط وب دستگاه ها بدون نیاز به دخالت کاربر کد دلخواه خود را اجرا کنند. طبق اطلاعیه سیسکو بهره برداری از هرکدام شناسه های آسیب پذیری بالا به شناسه های دیگر مربوط نیست و به صورت مستقل امکان بهره برداری از هر کدام از نقص ها وجود خواهد داشت .
چهار مورد از 9 مورد آسیب پذیری کشف شده در دستگاه ها با توجه به شدت خطر 9.8 در دسته بندی بحرانی تقسیم بندی می شوند .

• Cve-2023-20159: آسیب پذیری سرریز stack مربوط به بافر با شدت خطر 9.8 که منجر به اجرا کد دلخواه بدون احراز هویت می شود .
• Cve-2023-20160:آسیب پذیری سرریز بافر با شدت خطر 9.8 که منجر به اجرا کد دلخواه بدون احراز هویت می شود.
• Cve-2023-20161:آسیب پذیری سرریز stack  مربوط به بافر با شدت خطر 9.8 که منجر به اجرا کد دلخواه بدون احراز هویت می شود.
• Cve-2023-20189: آسیب پذیری سرریز stack  مربوط به بافر با شدت خطر 9.8 که منجر به اجرا کد دلخواه بدون احراز هویت می شود.
• Cve-2023-20024: آسیب پذیری سرریز heap  مربوط به بافر با شدت خطر 8.6 که منجر به اجرا کد دلخواه بدون احراز هویت می شود.
• Cve-2023-20156: آسیب پذیری سرریز heap  مربوط به بافر با شدت خطر 8.6که منجر به اجرا کد دلخواه بدون احراز هویت می شود.
• Cve-2023-20157: آسیب پذیری سرریز heap  مربوط به بافر با شدت خطر 8.6که منجر به اجرا کد دلخواه بدون احراز هویت می شود.
• Cve-2023-20158:آسیب پذیری از نوع انکار سرویس با شدت خطر 8.6
• Cve-2023-20162:آسیب پذیری از نوع انکار سرویس با شدت خطر 7.5

محصولات آسیب پذیر عبارت اند از :

• 250 series smart switches
• 350 series managed switches
• 350x series stackable managed switches
• 550x series stackable managed switches
• Bussiness 250 series smart switches
• Bussiness 350 series managed switches
• Small bussiness 200 series smart switches
• Small bussiness 300 series managed switches
• Small business 500 series stackable managed switches

در مورد نسخه مدل های 

• 250 series smart switches
• 350 series managed switches
• 350x series stackable managed switches
• 550x series stackable managed switches

می بایست نرم افزار دستگاه را به نسخه 2.5.9.16 و در مورد نسخه مدل های

• Bussiness 250 series smart switches
• Bussiness 350 series managed switches

به نسخه نرم افزار 3.3.0.16  بروز رسانی انجام گردد و در مورد سایر مدل ها تا به این لحظه بروز رسانی امنیتی منتشر نشده است و طبق بیانیه سیسکو وصله امنیتی برای آن ها منتشر نخواهد شد .

منابع

https://thehackernews.com/2023/05/critical-flaws-in-cisco-small-business.html

یک باند سایبری با انگیزه مالی که توسط Mandiant با نام «UNC3944» ردیابی شده است، از حملات فیشینگ و تعویض سیم‌کارت برای ربودن حساب‌های مدیریت Microsoft Azure و دسترسی به ماشین‌های مجازی بهره می‌گیرد. از این‌رو، مهاجمان از  Azure Serial Consoleبرای نصب نرم‌افزار مدیریت از راه دور، به منظور پایداری و نیز از افزونه‌های Azure به منظور نظارت مخفیانه، سوءاستفاده می‌کنند Mandiant .گزارش داد که UNC3944 حداقل از ماه می 2022 فعال بوده است و اهداف کمپین آن‌ها، سرقت داده‌ها از سازمان‌های قربانی با استفاده از سرویس رایانش ابری مایکروسافت است. UNC3944 قبلا به ایجاد جعبه ابزار STONESTOP (بارکننده ) و POORTRY (درایور حالت هسته ) برای خاتمه دادن به نرم‌افزار امنیتی منسوب شده‌بود. عوامل تهدید از حساب‌های به سرقت رفته توسعه‌دهنده سخت‌افزار مایکروسافت، برای امضای درایورهای هسته خود استفاده کردند.

یک تاکتیک متداول UNC3944، دسترسی اولیه به حساب سرپرست Azure است که با استفاده از اعتبارنامه‌های سرقت شده به دست آمده در فیشینگ پیام‌کوتاه ، صورت می‌گیرد. در مرحله بعد‌، مهاجمان در هنگام تماس با عاملان میز راهنما ، نقش سرپرست را جعل می‌کنند تا عامل‌ها را فریب دهند که کد تنظیم مجدد چند عاملی را از طریق پیام کوتاه به شماره تلفن هدف ارسال نمایند. با این حال، مهاجمان قبلاً شماره سرپرست را تعویض سیمکارت نموده و شماره را در دستگاه خود بارگیری نموده بودند، بنابراین آن‌ها بدون اینکه قربانی متوجه نفوذ شود، توکن 2FA را دریافت کردند.Mandiant هنوز مشخص نکرده است که چگونه مهاجمان، مرحله تعویض سیم کارت عملیات خود را انجام می‌دهند. با این حال، موارد قبلی نشان داده است که دانستن شماره تلفن هدف و توطئه‌چینی با کارمندان مخابرات، برای تسهیل درگاه‌های شماره غیرقانونی کافی است.
به محض این‌که مهاجمان جایگاه خود را در محیط Azure یک سازمان هدف مستقر کردند، از امتیازات سرپرستی خود برای جمع‌آوری اطلاعات، دستکاری حساب‌های Azure موجود در صورت نیاز یا ایجاد موارد جدید استفاده می‌کنند.

نمودار دسترسی اولیه

در مرحله بعدی حمله، UNC3944 از افزونه‌های Azure برای انجام نظارت و جمع‌آوری اطلاعات، مخفی نمودن عملیات مخرب خود به عنوان کارهای روزانه به ظاهر بی‌ضرر و ترکیب شده با فعالیت عادی، استفاده می‌نماید. افزونه‌های Azure ویژگی‌ها و سرویس‌های «افزودنی» هستند که می‌توانند در ماشین مجازی Azure ادغام شوند تا به گسترش قابلیت‌ها، خودکارسازی وظایف و غیره کمک کنند. از آن‌جایی که این افزونه‌ها در داخل ماشین مجازی اجرا می‌شوند و معمولاً برای اهداف قانونی استفاده می‌شوند، هم مخفی هستند و هم کمتر مورد شک واقع می‌شوند. در این مورد، عامل تهدید، از افزونه‌های تشخیصی تعبیه‌شده Azure مانند "CollectGuestLogs" سوءاستفاده نمود که برای جمع‌آوری فایل‌های ثبت وقایع از نقطه پایانی نقض‌شده بکار گرفته می‌شد. علاوه بر این، Mandiant شواهدی از تلاش عامل تهدید برای سوءاستفاده از افزونه‌های اضافی زیر پیدا کرده است:

افزونه­‌هایی که عامل تهدید سعی در سوء استفاده از آن­‌ها را داشت

در مرحله بعد، UNC3944 از Azure Serial Console برای دسترسی کنسول اجرایی به ماشین‌های مجازی و اجرای دستورات در خط فرمان بر روی پورت سریال استفاده می‌کند. گزارش Mandiant توضیح می‌دهد که: «این روش حمله از این جهت منحصر به فرد بود که از بسیاری از روش‌های تشخیص سنتی استفاده شده در Azure اجتناب می‌نمود و دسترسی اجرایی کامل به ماشین مجازی را برای مهاجم فراهم می‌کرد. Mandiant متوجه شد که "whoami" اولین دستوری است که مزاحمان برای شناسایی کاربر وارد شده فعلی و جمع‌آوری اطلاعات کافی برای بهره‌برداری‌های بعدی اجرا می‌کنند.

استفاده از کنسول سریال Azure برای دسترسی به ماشین مجازی

در مرحله بعد، عوامل تهدید از PowerShell برای افزایش پایداری خود در ماشین مجازی و نصب چندین ابزار مدیریت از راه دور تجاری در دسترس استفاده می‌کنند که در گزارش نامی از آن‌ها ذکر نشده است. در گزارش Mandiant آمده است: «برای حفظ پایداری در ماشین مجازی، مهاجم اغلب چندین ابزار مدیریت از راه دور تجاری در دسترس را از طریق PowerShell به کار می‌برد.» "مزیت استفاده از این ابزارها این است که آن‌ها برنامه‌های کاربردی امضا شده قانونی هستند و دسترسی از راه دور مهاجم را بدون ایجاد هشدار در بسیاری از پلتفرم‌های تشخیص نقطه پایانی فراهم می‌کنند." گام بعدی برای UNC3944 ایجاد یک تونل SSH معکوس به سرور C2 خود، برای حفظ دسترسی مخفیانه و مداوم از طریق یک کانال امن و دور زدن محدودیت‌های شبکه و کنترل‌های امنیتی است. مهاجم، تونل معکوس را با ارسال پورت، پیکربندی می‌کند و اتصال مستقیم به ماشین مجازیAzure را از طریق دسکتاپ از راه دور تسهیل می‌کند. به عنوان مثال، هر اتصال ورودی به پورت 12345 ماشین از راه دور، به پورت میزبان محلی 3389 (درگاه خدمات پروتکل دسکتاپ از راه دور) ارسال می‌شود. در نهایت، مهاجمان از اعتبار یک حساب کاربری در معرض خطر برای ورود به ماشین مجازی Azure در معرض خطر از طریق پوسته معکوس  استفاده می‌کنند و تنها پس از آن، با سرقت داده‌ها در طول مسیر، اقدام به گسترش کنترل خود در محیط نقض شده می‌کنند. حمله ارائه شده توسط Mandiant نشان دهنده درک عمیق UNC3944 از محیط Azure و چگونگی استفاده از ابزارهای داخلی برای فرار از تشخیص است. وقتی این دانش فنی با مهارت‌های مهندسی اجتماعی سطح بالایی که به مهاجمان در انجام تعویض سیم‌کارت کمک می‌کند ترکیب شود، خطر بزرگ‌تر می‌شود. در عین حال، عدم درک فناوری‌های ابری از سوی سازمان‌هایی که اقدامات امنیتی کافی مانند احراز هویت چند عاملی مبتنی بر پیامک را به کار نمی‌گیرند، فرصت‌ها را برای این عوامل تهدید پیچیده ایجاد می‌کند.

منبع خبر

https://www.bleepingcomputer.com/news/security/hackers-use-azure-serial-console-for-stealthy-access…

مهاجمان می‌توانند از طریق درخواست‌های مخرب ساخته شده ارسال شده از طریق رابط‌های کاربری مبتنی بر وب دستگاه‌های هدفمند در حملات با پیچیدگی کم که نیازی به تعامل کاربر ندارند، از مشتریان سوءاستفاده کنند. سیسکو توضیح داد: "آسیب‌پذیری‌ها به یکدیگر وابسته نیستند. بهره‌برداری از یکی از آسیب‌پذیری‌ها برای بهره‌برداری از آسیب‌پذیری دیگر لازم نیست. علاوه بر این، نسخه نرم‌افزاری که تحت تأثیر یکی از آسیب‌پذیری‌ها قرار می‌گیرد، ممکن است تحت تأثیر آسیب‌پذیری‌های دیگر قرار نگیرد.»
لیست سوئیچ‌های سیسکو آسیب دیده شامل موارد زیر است:
 سوئیچ‌های هوشمند سری 250، سوئیچ‌های مدیریت‌شده سری 350، سوئیچ‌های مدیریت‌شده قابل پشته‌‌سازی سری 350X و سوئیچ‌های مدیریت‌شده قابل پشته‌سازی سری 550X (که در نسخه 2.5.9.16 سفت‌افزار ثابت شده‌اند)
سوئیچ‌های هوشمند تجاری سری 250 و سوئیچ‌های مدیریت‌شده تجاری سری 350 (که در نسخه 3.3.0.16 سفت‌افزار ثابت شده‌اند)
سوئیچ‌های هوشمند تجاری کوچک سری 200، سوئیچ‌های مدیریت‌شده تجاری کوچک سری 300، سوئیچ‌های مدیریتی قابل پشته‌سازی تجاری کوچک سری 500(وصله‌ای موجود نیست)

سیسکو می‌گوید که سفت‌افزار سوئیچ‌های تجاری کوچک سری 200، 300 و 500 وصله نمی‌شوند زیرا این دستگاه‌ها قبلاً وارد فرآیند پایان عمر مفید خود شده‌اند. تیم پاسخگویی به رویداد امنیتی محصولات سیسکو (PSIRT) همچنین فاش کرد که کد سوءاستفاده اثبات ایده برای این نقص‌های امنیتی در دسترس است، که اگر عوامل تهدید با انگیزه، کد مختص به خودشان را ایجاد کنند، می‌تواند منجر به بهره‌برداری فعال شود.
این شرکت هشدار داد که تیم پاسخگویی به حوادث امنیتی محصول (PSIRT) آگاه است که کد سوءاستفاده اثبات ایده برای این نقص‌های امنیتی در دسترس است، که می‌تواند به عوامل تهدید اجازه دهد دستگاه‌های آسیب‌پذیری را که در معرض دسترسی از راه دور قرار دارند، هدف قرار دهند. با این حال، خوشبختانه، PSIRT سیسکو هنوز به شواهدی مبنی بر تلاش برای سوءاستفاده از آسیب‌پذیری‌ها در حملات دست پیدا نکرده است.

 

سازمان‌های دولتی در آسیای مرکزی هدف یک حمله جاسوسی پیچیده قرار گرفته‌اند که از یک نوع بدافزار ناشناخته به‌نام DownEx استفاده می‌کند. دامنه و آدرس‌های IP مرتبط با این بدافزار، در حملات قبلی استفاده نشده‌اند و بدافزار هیچ تشابه کدی با نرم‌افزارهای مخرب قبلی ندارد. این حمله نشان می‌دهد، حملات سایبری جدید پیچیده‌تر شده‌اند و مجرمان سایبری به‌دنبال روش‌های قابل اطمینان‌تری برای حملات خود هستند. برای حمله از یک سند جعلی با تمرکز حمله بر استخراج داده از نسخه کرک شده Microsoft Office 2016 استفاده شده است. کدنویس‌هایbackdoor که DownEx لقب گرفته‌اند آن را به دو زبان پایتون و C++ نوشته‌اند. این حملات از انواع ابزارهای سفارشی برای انجام فعالیت‌های پس از بهره‌برداری استفاده می‌کنند که شامل دو ابزار مبتنی برC/C++(wnet.exe و utility.exe) برای شمارش منابع یک شبکه، یک اسکریپت پایتون(help.py) برای ایجاد یک حلقه ارتباطی بی‌نهایت با سرور C2 و دریافت دستورالعمل‌هایی که برای سرقت فایل‌هایی با پسوندهای خاص، حذف فایل‌های ایجاد شده توسط سایر بدافزارها و یک بدافزار مبتنی بر C++( diagscv.exe) با نام مستعار DownEx که به‌صورت عمده برای استخراج فایل‌ها به سرور C2 طراحی شده است.
بر اساس بردار حمله اولیه، به احتمال زیاد عاملان تهدید از تکنیک‌های مهندسی اجتماعی برای ارسال ایمیل فیشینگ با یک بار مخرب استفاده کرده‌اند که با استفاده از یک فایل آیکون مرتبط با فایل‌های .docs، یک لودر اجرایی را در قالب یک فایل MS Word منتقل می‌کند.
هنگامی که قربانی فایل پیوست را باز می¬کند، دو نوع فایل دانلود می‌شود. یک سند جعلی به قربانی نمایش داده می‌شود و یک فایل مخرب HTML با کد پیوست شده در پس زمینه اجرا می‌شود که برای ارتباط با سرورهای فرمان و کنترل از راه دور(CA) برای بازیابی بار مرحله بعدی طراحی شده است. پس از اجرا، DownEx بصورت جانبی در درایوهای محلی و شبکه منتقل می‌شود تا فایل‌ها را از اسناد Excel، Word، PowerPoint، تصاویر، فایل‌های فشرده و PDF استخراج کند.

حمله انجام شده بدون فایل است، به این صورت که اسکریپت DownEx در حافظه اجرا می‌شود و وارد دیسک نمی‌شود. محققان برای جلوگیری از چنین حملاتی به سازمان‌ها توصیه می‌کنند که روی اجرای ترکیبی از فناوری‌های امنیت سایبری تمرکز کنند تا وضعیت امنیتی خود را بهبود بخشند.
منابع خبر

[1] https://thehackernews.com/2023/05/sophisticated-downex-malware-campaign.html
[2] https://www.arnnet.com.au/article/707123/new-downex-malware-campaign-targets-central-asia
[3] https://www.csoonline.com/article/3696429/new-downex-malware-campaign-targets-central-asia.html

NodeStealer، یک بدافزار تازه کشف شده در متا، توسط فیسبوک به عنوان دزد کوکی های مرورگر شناسایی شد. با توجه به این آسیب‌پذیری، عوامل تهدید می‌توانند ورود غیرقانونی به حساب‌های مختلف در این پلتفرم، از جمله Gmail و Outlook داشته باشند. عوامل تهدید از تاکتیک ضبط کوکی‌هایی استفاده می‌کنند که توکن‌های معتبر سشن کاربر را در خود نگه می‌دارند و آن ها را قادر می سازد تا احراز هویت دو عاملی را دور بزنند که به معنای وارد شدن به حساب‌ کاربر بدون نیاز به اطلاعات اعتبارسنجی یا تعامل با قربانیان است. تیم امنیتی فیسبوک، NodeStealer را در مراحل اولیه کمپین توزیع آن، تنها در عرض دو هفته پس از انتشار اولیه، شناسایی کرد. این شرکت به سرعت به این وضعیت رسیدگی کرد و به کاربران آسیب‌دیده در بازیابی حساب‌هایشان کمک کرد و در نهایت باعث اختلال در عملیات مخرب شد.
 بدافزار Ducktail
طی چندین سال، تیم امنیتی فیسبوک نسخه‌های مختلف Ducktail را که منبعشان کشور ویتنام بود و در پاسخ به اقدامات امنیتی متا و همتایانش در این صنعت سازگاری یافته‌ بود، نظارت و مسدود می نمود.
در زیر، پلتفرم هایی که Ducktail هدف قرار می دهد، ذکر شده است:

• LinkedIn
• Google Chrome
• Microsoft Edge
• Brave
• Firefox
• Dropbox
•  Mega

در اواخر ژانویه 2023، مهندسان فیسبوک بدافزار NodeStealer را کشف کردند و این حملات را به عوامل تهدید ویتنامی نسبت دادند. این بدافزار به دلیل پیاده سازی در جاوا اسکریپت و اجرا از طریق Node.js با عنوان NodeStealer نام گذاری شده است.
راه‌های زیادی وجود دارد که هکرها می‌توانند از تروجان هایی مانند NodeStealer و PDFpower.exe علیه شما استفاده کنند. در بیشتر موارد، این بدافزار به عنوان فرستنده سایر ویروس‌های مخرب مانند Ransomware، Worms یا Spyware استفاده می‌شود. به طور معمول، آلودگی با کمک انواع مختلف محتوای وب با ظاهر قانونی و جذاب اتفاق می افتد. اینها می توانند ایمیل های فیشینگ، پیام های هرزنامه، پیوست های آلوده، تبلیغات مختلف، پیشنهادات و لینک های تغییر مسیر، تورنت ها و حتی نصب کننده های نرم افزار باشند. ایده استتار این است که کاربران را فریب دهد تا باور کنند که آنها واقعاً یک پیشنهاد واقعی را باز می کنند یا برنامه مفیدی را دانلود می کنند که در واقع حاوی اسب تروجان است. درخواست های جعلی به روز رسانی سیستم و اعلان های پاپ آپ نیز ممکن است به عنوان ابزاری برای انتشار عفونت استفاده شوند. با این حال، ترفندها و توانایی های مضر NodeStealer در اینجا متوقف نمی شوند. به خاطر داشته باشید که این یک برنامه بسیار خطرناک است که برای آسیب رساندن و خدمت به منافع سازندگان جنایتکار آن ایجاد شده است. به همین دلیل است که هنگامی که عفونت از طریق یکی از فرستنده های متعدد خود به داخل رایانه شخصی شما راه پیدا کرد، مخفیانه شروع به راه اندازی فرآیندهای مضر مختلف در پس زمینه می کند. متأسفانه تشخیص و حذف این فرآیندهای مضر بدون کمک نرم افزار امنیتی قابل اعتماد تقریباً غیرممکن است زیرا تروجان به ندرت علائم قابل مشاهده ای را نشان می دهد که بتواند آن را از بین ببرد. قبل از اینکه متوجه شوید، NodeStealer ممکن است هر کلیدی را که فشار می دهید ردیابی کند و از هر کاری که انجام می دهید اسکرین شات بگیرد. به این ترتیب ممکن است اطلاعات شخصی شما را بدزدد، به حساب‌ها و جزئیات بانکی شما دسترسی پیدا کند، یا عکس‌ها، فیلم‌ها و سایر داده‌های حساس و شرم‌آور مربوط به کار و زندگی شخصی شما را جمع‌آوری کند. NodeStealer همچنین ممکن است باعث مشکلات جدی مربوط به عملکرد و پایداری سیستم شما شود. با کمک آن، هکرها ممکن است به سیستم عامل شما دسترسی غیرمجاز پیدا کنند و فایل‌ها، پوشه‌های سیستم و اجزای مهم مختلف را خراب، جایگزین یا حذف کنند و کدهای مخرب دیگری را نصب کنند. در واقع NodeStealer‏ یک ویروس است که به عنوان یک اسب تروجان شناخته می شود که با کمک پنهان شدن در ‏سراسر اینترنت توزیع می‌شود. بدافزار‌هایی مانند ‏NodeStealer‏ معمولاً به عنوان فایل‌های به ظاهر امن پنهان ‏می‌شوند که کاربران به میل خود آن‌ها را دانلود می‌کنند، بنابراین به بدافزار اجازه می‌دهند تا امتیازات ‏Admin‏ را ‏در رایانه به‌دست آورند.
 در سایت ویروس توتال گزارش شناسایی این بدافزار بدین صورت می‌باشد:‏

استفاده از Node.js بدافزار NodeStealer را قادر می سازد تا بر روی چندین سیستم عامل از جمله موارد زیر عمل نماید:

• Windows
• macOS
• Linux

بدافزار NodeStealer به عنوان یک فایل اجرایی ویندوز با حجمی بین 46 تا 51 مگابایت توزیع می شود. این فایل به یک سند PDF یا اکسل مبدل شده و به گونه ای ایسته نام گذاری شده است تا کنجکاوی گیرنده را برانگیزد.

تبدیل بدافزار به یک فایل PDF یا اکسل

بدافزار NodeStealer به محض استقرار، از ماژول راه‌اندازی خودکار Node.js برای اضافه کردن یک کلید رجیستری جدید به دستگاه قربانی استفاده می‌کند. این امر به بدافزار برای ایجاد پایداری، کمک می نماید و به آن اجازه می‌دهد که حتی پس از راه‌اندازی مجدد دستگاه نیز فعال بماند. هدف اصلی بدافزار NodeStealer سرقت کوکی‌ها و اطلاعات ورود به حساب‌های Facebook، Gmail و Outlook است که در مرورگرهای وب مبتنی بر Chromium ذخیره می‌شوند، مانند:

• Google Chrome
• Microsoft Edge
• Brave
• Opera

در حالی که این داده ها معمولاً در پایگاه داده SQLite مرورگر وب رمزگذاری می شوند، فرآیند رمزگشایی نسبتاً ساده است و توسط اکثر بدافزارهای مدرن سرقت اطلاعات به کار گرفته می شود. این برنامه‌های بدافزار، کلید رمزگشایی base64-encoded را مستقیماً از فایل  Local State"" مربوط به Chromium بازیابی می‌کنند. به محض این که NodeStealer کوکی‌ها یا اعتبارنامه‌های مرتبط با حساب‌های فیسبوک را شناسایی کرد، وارد مرحله بعدی می‌شود که «شناسایی حساب» نامیده می‌شود. در طول این مرحله، بدافزار از API فیس بوک برای استخراج اطلاعات مربوط به حساب مورد هدف، استفاده می کند. NodeStealer برای جلوگیری از شناسایی توسط سیستم های ضد حمله فیسبوک، از یک تاکتیک فریبنده بهره می گیرد. با استفاده از عناصر کلیدی قربانی که در زیر به آن اشاره شده، NodeStealer درخواست‌های خود را به‌عنوان فعالیت کاربر اصلی جا می زند و با اینکار اهداف مخرب خود را پنهان می‌کند:

• آدرس آی پی
• مقادیر کوکی
• پیکربندی سیستم

کد استخراج اطلاعات حساب­های کاربری توسط بدافزار NodeStealer

این بدافزار بر روی دستیابی به داده های حیاتی از حساب های فیسبوک که به آ ن ها اجازه راه اندازی کمپین های تبلیغاتی را می دهند، تمرکز می کند. عوامل تهدید از این دسترسی برای انتشار اطلاعات نادرست یا هدایت مخاطبان ناآگاه به سایت‌های مخرب مورد استفاده برای انتشار بدافزار استفاده می‌کنند. چگونه می‌توان NodeStealer را به صورت امن و سریع حذف کرد؟ تروجان هایی مانند NodeStealer بسیار مشکل سازتر از یک ویروس کامپیوتری معمولی هستند و به همین دلیل است که برای مقابله موثر با چنین تهدیداتی به یک رویکرد قابل اعتماد نیاز است. بزرگ‌ترین چالش شناسایی فایل‌های مخرب صحیح در سیستم است که اگر دانش کامپیوتری پیشرفته یا حداقل یک ابزار حذف حرفه‌ای ندارید، کار آسانی نیست. هرگز نباید سعی کنید تروجان ها را با حذف فایل های تصادفی از سیستم حذف کنید زیرا ممکن است مشکلات جدی برای رایانه شخصی خود ایجاد کنید و به سیستم عامل آسیب وارد کنید. نحوه حذف NodeStealer بدین‌صورت می‌باشد: ابتدا روی منوی Start در رایانه شخصی ویندوز خود کلیک کنید. در منوی Start، ‎ Programs and Settings را تایپ کنید، روی اولین مورد کلیک کنید و NodeStealer را در لیست برنامه هایی که نشان داده می شود، پیدا کنید. NodeStealer را از لیست انتخاب کرده و بر روی Uninstall کلیک کنید. مراحل موجود در removal wizard را دنبال کنید.
حذف NodeStealer از Chrome: روی سه نقطه در گوشه بالا سمت راست کلیک کنید به ابزارهای بیشتر بروید اکنون افزونه ها را انتخاب کنید و حذف افزونه Node Stealer را انتخاب کنید. برای رهایی از NodeStealer در FF/Edge/etc می‌توان مراحل را بدین‌صورت طی کرد: مرورگر را باز کنید و منو را انتخاب کنید. از منو روی دکمه Add-ons کلیک کنید.به دنبال پسوند NodeStealer بگردید با حذف NodeStealer از افزونه ها، از شر NodeStealer خلاص شوید. نحوه حذف NodeStealer: task manager را باز کنید. به دنبال فرآیند NodeStealer باشید. آن را انتخاب کرده و روی End task کلیک کنید. محل فایل را برای حذف NodeStealer باز کنید.
نحوه uninstall کردن NodeStealer: بر روی دکمه home کلیک کنید. جستجو به‌دنبال Startup Apps و در آنجا به دنبال NodeStealer بگردید و NodeStealer را از Startup Apps با turn off کردن آن حذف نصب کنید.

سوء استفاده از ChatGPT
کارشناسان امنیتی به سختی انواع بدافزارهایی را که از OpenAI  مربوط به ChatGPT بهره برداری می کنند، بررسی نموده و با آن مبارزه کرده اند. این برنامه‌های مخرب کاربران را با مبدل شدن به ابزارهای مجهز به هوش مصنوعی فریب می‌دهند، اما در عوض، به عنوان دروازه‌ای برای نصب بدافزار عمل می‌کنند. این امر، روند جدیدی است که از چندین ماه گذشته ادامه یافته و تحلیلگران امنیتی فعالانه تلاش خود را برای کاهش تهدید انجام می دهند. از مارس سال 2023، تعداد خانواده‌های بدافزاری که از ChatGPT برای یافتن دسترسی غیرمجاز به حساب‌ها در سراسر اینترنت سوء استفاده می‌کنند، افزایش یافته است.
همچنین برخی گزارش ها حاکی از شناسایی حدود ده خانواده از این قبیل است.

سوء استفاده از ChatGPT

برای مبارزه با انتشار محتوای مخرب، فیسبوک بیش از 1000 URL منحصر به فرد محتوی بدافزار با مضمون ChatGPT را از به اشتراک گذاشته شدن  در پلتفرم خود مسدود کرده است. آن ها به طور فعال این اطلاعات را با همتایان خود در صنعت به اشتراک گذاشته اند و آن ها را قادر می سازند تا اقدامات مناسبی را برای محافظت از 78877پلتفرم ها و کاربران خود انجام دهند.

منابع خبر

[1] https://cybersecuritynews.com/facebook-chatgp-themed-attacks/
[2]  https://howtoremove.guide/nodestealer-virus/

اخیراً دامنه سطح بالا با پسوند.zip  توسط شرکت گوگل در اختیار عموم قرار گرفته است و سازمان‌ها و افراد حقیقی می‌توانند از این به بعد دامنه با این پسوند را به ثبت برسانند. مجرمان سایبری هم اکنون به دلیل ویژگی خاص این دامنه جدید در حال استفاده از آن در حملات فیشینگ هستند. تاکنون بیش از 1230 دامنه با این پسوند به ثبت رسیده است. این دامنه در سال 2014 مورد تایید قرار گرفت اما گوگل آن را در ماه مه 2023 برای ثبت در دسترس قرار داد.
به نظر می‌رسد که گوگل هفته گذشته قیمت این دامنه را به 15 دلار در سال برای ثبت کاهش داده است. کاهش قیمت این دامنه نیز در افزایش علاقه مجرمان سایبری در ثبت این دامنه تاثیر داشته است. از آنجایی که  .zipیک پسوند محبوب به شمار می‌رود، سوء استفاده‌های زیادی برای این نوع دامنه می‌تواند وجود داشته باشد. دامنه‌هایی مانند officeupdate.zip یا microsoft-office.zip تاکنون در کمپین‌های فیشینگ مورد استفاده قرار گرفته‌اند. ویژگی safe browsing مرورگرها در صورت ورود به برخی از چنین دامنه‌هایی به کاربر هشدار خواهد داد.
اگرچه این دامنه ظرفیت بالایی در فیشینگ دارد، اما شرکت‌ها نیز می‌توانند یک نام مناسب برای دانلود بسته‌های نرم‌افزاری خود به ثبت برسانند. بیشتر دامنه‌های ثبت شده هم اکنون فاقد محتوا هستند. در شکل زیر یکی از این صفحات فیشینگ قابل مشاهده است. این صفحه فیشینگ مشابه با یک صفحه ورود به حساب مایکروسافت می‌باشد.
 

لازم به ذکر است که پسوند دیگری به نام  .movنیز اخیراً توسط گوگل برای ثبت در دسترس قرار گرفته که ممکن است باعث ایجاد مشکلات مشابه شود؛ اما این پسوند مانند  .zipمحبوب نیست. کاربران از این پس باید موقع بازدید از لینک‌هایی با پسوند .zip و پسوند فایل‌هایی که ممکن است به صورت لینک در برخی برنامه‌ها نمایش داده شوند باشند دقت کنند، زیرا ممکن است یک برنامه یک فایل با پسوند .zip را به صورت لینک نمایش دهد که کلیک بر روی آن کاربر را به سمت یک دامنه با پسوند .zip هدایت خواهد کرد.

منبع

https://www.ghacks.net/2023/05/15/googles-zip-top-level-domain-is-already-used-in-phishing-attacks/…

 آسیب‌پذیری بحرانی اجرای کد از راه دور در Ruckus Wireless Admin panel امکان اجرای کد از راه دور و همچنین CSRF و SSRF را برای مهاجمان فراهم می‌کند. شناسه CVE-2023-25717 با امتیاز 9.8 و سطح بحرانی به این آسیب‌پذیری اختصاص یافته است. مهاجمان هم اکنون از این آسیب‌پذیری برای انتشار بات‌نت‌های DDoS استفاده می‌کنند. بدافزار AndoryuBot که برای اولین بار در فوریه امسال مشاهده گردید، از طریق اجرای درخواست‌های HTTP GET از این باگ بهره‌برداری می‌کند. این بدافزار پس از آلوده کردن دستگاه، از آن برای اجرای حملات DDoS استفاده می‌کند.

 این آسیب‌پذیری در نسخه‌های 10.4 و پایین‌تر Ruckus Wireless Admin وجود دارد. در صورتی که از محصولات Ruckus استفاده می‌کنید، توصیه می‌شود در اسرع وقت نسبت به نصب وصله‌های امنیتی منتشر شده اقدام نمایید.

منابع:

https://www.bleepingcomputer.com/news/security/critical-ruckus-rce-flaw-exploited-by-new-ddos-botne…
https://vulnera.com/newswire/cisa-issues-warning-on-critical-ruckus-bug-exploited-by-ddos-botnet/
https://nvd.nist.gov/vuln/detail/CVE-2023-25717
https://support.ruckuswireless.com/security_bulletins/315
https://cybir.com/2023/cve/proof-of-concept-ruckus-wireless-admin-10-4-unauthenticated-remote-code-…