بلاگ / بایگانی نویسنده «رضا فتاح»
سوءاستفاده از FortiGate VPN برای توزیع باج‌افزار

مهاجمان با هدف قرار دادن یک آسیب پذیری در FortiGate VPN server به شبکه قربانیان رخنه کرده و باج‌افزار Cring را بر روی دستگاه‌ها توزیع می‌کنند.بگزارش مرکز مدیریت راهبردی افتا ، آسیب‌پذیری سوءاستفاده شده توسط این مهاجمان، CVE-۲۰۱۸-۱۳۳۷۹ گزارش شده است.به‌تازگی نیز برخی نهادهای امنیتی از سوءاستفاده احتمالی هکرهای دولتی از چهار آسیب‌پذیری شامل CVE-۲۰۱۸-۱۳۳۷۹ در محصولات Fortinet خبر داده بودند که جزییات آن در لینک زیر قابل مطالعه است: https://afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۳۲۳۳/  CVE-۲۰۱۸-۱۳۳۷۹ ضعفی از نوع Path Traversal است که بخش Web Portal در FortiOS SSL VPN از آن متأثر می‌شود. سوءاستفاده از این آسیب‌پذیری، امکان خواندن فایل‌های سیستمی از جمله نام‌های کاربری و رمزهای عبوری فایل نشست‌ها (Session)  به‌صورت …

ادامه مطلب
نسخ آسیب‌پذیر SAP، هدف مهاجمان

شرکت Onapsis نسبت به حمله مهاجمان به نسخ آسیب‌پذیر برنامه‌های با عملکرد حیاتی SAP هشدار داده است.به گزارش مرکز مدیریت راهبردی افتا: در گزارشی که Onapsis با مشارکت با شرکت SAP آن را تهیه کرده از مشتریان خواسته شده تا اصلاحیه‌های برنامه‌های SAP را اعمال کرده و وضعیت، تنظیمات و پیکربندی‌های امنیتی آنها را مورد بررسی و ارزیابی قرار دهند.بر طبق این گزارش برخی مشتریان SAP در حالی همچنان از نسخ آسیب‌پذیر SAP استفاده می‌کنند که سال‌هاست که اصلاحیه‌های امنیتی برای آنها منتشر شده است. به‌خصوص آن که در مواردی این برنامه‌ها بر روی اینترنت نیز در دسترس قرار گرفته‌اند و عملاً به درگاهی برای دستیابی …

ادامه مطلب
سرقت اطلاعات از طریق یک فایل در ظاهر TXT

شرکت چیهو ۳۶۰ در گزارشی به بررسی بدافزاری با عملکرد جاسوس‌افزار پرداخته که از طریق ایمیل‌های فیشینگ و با بکارگیری تکنیک موسوم به RLO منتشر می‌شود. از بدافزار مذکور با عنوان Poulight یاد شده است.به گزارش مرکز مدیریت راهبردی افتا: گردانندگان این تهدید، ایمیلی را که در آن یک فایل با نام ReadMe_txt.lnk.lnk پیوست شده است به اهداف خود ارسال می‌کنند. با بکارگیری فناوری Right-to-Left Override – به اختصار RLO – آن‌چه کاربر با آن روبرو می‌شود ReadMe_knl.txt است. همزمان مهاجمان از نشان Notepad برای این فایل lnk استفاده می‌کنند تا txt بودن فایل برای کاربر قابل‌باورتر باشد. با اجرای فایل، یک فرمان PowerShell فراخوانی شده …

ادامه مطلب
هشدار در خصوص حمله هکرهای دولتی به سرورهای Fortinet FortiOS

گروه‌های هکری تحت حمایت دولت‌ها احتمالاً از آسیب‌پذیری‌های Fortinet FortiOS که شامل آسیب‌پذیری‌های   CVE-۲۰۱۸-۱۳۳۷۹، CVE-۲۰۲۰-۱۲۸۱۲ و CVE-۲۰۱۹-۵۵۹۱ هستند، سوءاستفاده می‌کنند. مهاجمان سرورهایی را که دارای آسیب‌پذیری‌های CVE-۲۰۲۰-۱۲۸۱۲ و CVE-۲۰۱۹-۵۵۹۱ هستند و به‌روزرسانی نشده‌اند را شناسایی کرده و دستگاه‌های آسیب‌پذیر با شناسه CVE-۲۰۱۸-۱۳۳۷۹ را در پورت‌های ۴۴۴۳ ، ۸۴۴۳ و ۱۰۴۴۳ اسکن می‌کنند.سرورهای در معرض خطر ممکن است در حملات بعدی استفاده شوند.مهاجمان APT از آسیب‌پذیری‌های حیاتی برای انجام حملات منع سرویس توزیع شده (DDoS) ، حملات باج‌افزار، حملات SQL، تخریب وب‌سایت‌ها سوءاستفاده کرده‌اند.اکسپلویت‌های Fortinet برای هک سیستم‌های پشتیبانی انتخابات ایالات متحده مورداستفاده قرار گرفتدر نوامبر ۲۰۲۰، یک مهاجم، لیستی از اکسپلویت‌های آسیب‌پذیری با شناسهCVE-۲۰۱۸-۱۳۳۷۹  را به …

ادامه مطلب
فعالیت باج‌افزار Makop

نخستین نسخه باج‌افزار Makop در اواخر سال ۱۳۹۸ شناسایی شد. برخی شرکت‌های امنیتی Makop را نسخه‌ای از خانواده باج‌افزار معروف Phobos می‌دانند.Makop به‌منظور رمزگذاری از الگوریتم Advanced Encryption Standard – به اختصار AES – بهره می‌گیرد.اتصال از راه دور مهاجمان از طریق پودمان Remote Desktop Protocol – به اختصار RDP – به دستگاه‌های با رمز عبور ضعیف یا هک شده و اجرای فایل مخرب باج‌افزار، اصلی‌ترین روش انتشار Makop است. هر چند که انتشار نمونه‌هایی از Makop نیز از طریق هرزنامه‌های ناقل فایل / لینک مخرب، فایل مخرب موسوم به Downloader یا با(Exploiting)  از آسیب‌پذیری‌های امنیتی گزارش شده است.Makop برای ماندگاری طولانی‌تر، اقدام به ایجاد …

ادامه مطلب
هشدار کیونپ در خصوص اجرای حملات Brute-force به تجهیزات NAS

کیونپ (QNAP Systems, Inc) با انتشار اطلاعیه‌ای نسبت به اجرای حملات Brute-force برای رخنه مهاجمان به تجهیزات Network-attached storage – به اختصار NAS – ساخت این شرکت هشدار داده است.به نقل از کیونپ، در جریان این حملات، مهاجمان از ابزارهای خودکار برای ورود به دستگاه‌های NAS قابل دسترس بر روی اینترنت از طریق رمزهای عبور ساده یا رمزهایی که در حملات پیشین افشا شده بودند استفاده می‌کنند.بنابراین در صورت استفاده از رمزهای عبور ساده یا قابل پیش‌بینی (نظیر password یا ۱۲۳۴۵) دستگاه، تنظیمات آن و تمامی اطلاعات ذخیره شده بر روی آن به تسخیر مهاجمان در خواهد آمد.اما در صورتی که تلاش مهاجمان برای رخنه …

ادامه مطلب
سرورهای آسیب‌پذیر Exchange، اکنون هدف Lemon_Duck

گردانندگان Lemon_Duck با سوءاستفاده از آسیب‌پذیری‌های ProxyLogon، پس از هک سرورهای آسیب‌پذیر Exchange اقدام به گسترش شبکه مخرب خود و استخراج ارز رمز با استفاده از منابع دستگاه‌های آلوده شده می‌کنند.در جریان این حملات ابزارهایی که وظیفه آن استخراج ارز رمز مونرو است بر روی دستگاه‌های هک شده اجرا می‌شود.دامنه این حملات بسیار گسترده گزارش شده است.در ارز رمزها (Cryptocurrency)، فرایندی با عنوان استخراج (Mining) وجود دارد که یکی از اصلی‌ترین وظایف آن تأیید اطلاعات تبادل شده در شبکه این واحدهای پولی است. فرایند استخراج مستلزم فراهم بودن توان پردازشی بسیار بالاست. در نتیجه شبکه ارز رمز نیز در قبال تلاشی که برای این پردازش‌ها …

ادامه مطلب
PoC های جدید آسیب پذیری Microsoft Exchange، حملات را در دسترس هر کسی قرار می دهد

یک محقق امنیتی  PoC  جدیدی را منتشر کرده است که با تغییرات جزئی،  وب شل  بر روی سرورهای Microsoft Exchange  آسیب پذیر، نصب می شود.به گزارش مرکز مدیریت راهبردی افتا به نقل از سایت bleepingcomputer، از زمانی که مایکروسافت آسیب پذیری های امنیتی Microsoft Exchange که به طور فعال بهره برداری شده است را فاش کرد، مدیران و محققان امنیتی در تلاشند تا از سرورهای آسیب پذیر در معرض اینترنت محافظت کنند. این آسیب پذیری ها در مجموع با نام ProxyLogon شناخته می شود،از این آسیب پذیری ها برای  آپلود وب شل ها، رمزگذارها و اخیراً، باج افزار DearCry در سرورهای آسیب پذیر استفاده می شود.در …

ادامه مطلب
آسیب پذیری در Microsoft DNS Server

در تاریخ نهم مارس ۲۰۲۱، مایکروسافت چندین راهنمای امنیتی برای Windows DNS Server منتشر کرد. در صورت آشکار شدن سرویسDNS ، پنج مورد از این آسیب‌پذیری‌ها به یک مهاجم از راه دور امکان اجرای کد بر روی هدف را می‌دهند. به گزارش مرکز مدیریت راهبردی افتا به نقل از شرکت مایکروسافت٬ این شرکت آسیب‌پذیریCVE-۲۰۲۱-۲۶۸۹۷  را بسیار مهم ارزیابی می‌کند (جزییات این مطالب در بخش منابع همین خبر قابل مطالعه است).هیچ POC یا اکسپلویت مداوم از این آسیب‌پذیری‌ها هنوز عمومی نشده است. با این حال، به دلیل تأثیر احتمالی آسیب‌پذیری‌ها و با توجه به اینکه یک DNS سرور نیاز به فعال کردن dynamic updates دارد و جز …

ادامه مطلب
سرورهای آسیب‌پذیر Exchange هدف باج‌افزار DearCry

برخی منابع خبر داده‌اند مهاجمان با هک سرورهای آسیب‌پذیر MS Exchange اقدام به نفوذ به آنها و در ادامه توزیع باج‌افزار جدیدی با نام DearCry می‌کنند.به گزارش مرکز مدیریت راهبردی افتا به نقل از مایکروسافت٬ آسیب‌پذیری‌های بکار گرفته شده در جریان این حملات، ProxyLogon است که ۱۲ اسفند مایکروسافت (Microsoft, Corp) اقدام به عرضه اصلاحیه‌های اضطراری برای ترمیم آنها کرده بود.جمعه، ۲۲ اسفند مایکروسافت نیز اجرای حملات باج‌افزاری بر ضد سرورهای آسیب‌پذیر Exchange را تایید کرد. بر طبق گزارشی که سایت Bleeping Computer آن را منتشر کرده DearCry پس از رمزگذاری فایل اقدام به الصاق پسوند CRYPT به آن می‌کند. در فرایند رمزگذاری DearCry از الگوریتم‌های …

ادامه مطلب