بلاگ
بهره‌جویی از PowerShell برای توزیع بدافزار Emotet

به گزارش محققان امنیتی، گردانندگان بدافزار Emotet اکنون به‌جای استفاده از فایل‌های ماکرو Office که به طور پیش‌فرض غیرفعال شده‌اند، از فایل‌های میان‌بر Windows (Windows Shortcut Files (.LNK)) که حاوی فرمان‌ها PowerShell هستند، برای آلوده کردن کامپیوترهای کاربران استفاده می‌کنند. به گزارش مرکز مدیریت راهبردی افتا، Emotet بدافزاری است که اغلب از طریق ارسال هرزنامه (spam) که حاوی پیوست‌های مخرب است، توزیع و منتشر می‌شود. هنگامی که کاربر پیوست هرزنامه را باز کند، ماکروها یا برنامه‌های مخرب اقدام به دریافت فایل Emotet DLL کرده و آن را در حافظه بارگذاری می‌کنند. پس از بارگذاری در حافظه، بدافزار Emotet ایمیل‌ها را برای سوءاستفاده در کارزار‌های آینده خود …

ادامه مطلب
اصلاحیه‌های امنیتی مایكروسافت برای ماه میلادی می 2022

اصلاحیه‌های مایکروسافت بیش از 70 آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند. درجه اهمیت 6 مورد از آسیب‌پذیری‌های ترمیم شده این ماه “حیاتی” (Critical) و اکثر موارد دیگر “مهم” (Important) اعلام شده است. به گزارش مرکز مدیریت راهبردی افتا، شرکت مایکروسافت (Microsoft Corp)، مجموعه ‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی می، سه‌شنبه 20 اردیبهشت 1401، منتشر کرده است.این مجموعه اصلاحیه‌ها، انواع مختلفی از آسیب‌پذیری‌ها را در محصولات مایکروسافت ترمیم می‌کنند:“افزایش سطح دسترسی” (Elevation of Privilege)“اجرای کد از راه دور” (Remote Code Execution)“افشای اطلاعات” (Information Disclosure)“جعل” (Spoofing)“ازکاراندازی سرویس” (Denial of Service – به‌اختصار DoS)“عبور از سد امکانات امنیتی” (Security Feature Bypass)دو …

ادامه مطلب
افزایش فعالیت باج‌افزار BlackCat

به‌تازگی “پلیس فدرال امریکا” (FBI) در مورد باج‌افزار BlackCat که به‌صورت خدمات اجاره‌ای (Ransomware-as-a-Service – به‌اختصار RaaS) در اختیار تبهکاران سایبری قرار گرفته، هشدار داده است. این باج‌افزار از زمان ظهور آن در آبان 1400 تا اوایل فروردین سال جاری، حداقل 60 سازمان در سراسر جهان را مورد هدف قرار داده است. به‌گزارش مرکز مدیریت راهبردی افتا، باج‌افزار BlackCat که ALPHV و Noberus نیز نامیده می‌شود، اولین نمونه‌ای است که به زبان برنامه‌نویسی Rust نوشته شده است و به دلیل  ارائه عملکرد بهتر، بسیار موردتوجه قرار گرفته است.FBI همچنین اعلام کرده است که بسیاری از برنامه‌نویسان این باج‌افزار و افرادی که باج‌های دریافتی آن را …

ادامه مطلب
بهره‌جویی مهاجمان از ضعف امنیتی VMware

گروه مهاجم سایبری Rocket Kitten از یک نقطه‌ضعف ترمیم شده در بستر VMware بر روی سیستم‌های آسیب‌پذیر، از جمله ابزار تست نفوذ Core Impact، برای دسترسی اولیه و توزیع ابزارهای مخرب خود سوءاستفاده گسترده کرده است. به گزارش مرکز مدیریت راهبردی افتا، آسیب‌پذیری موردنظر با شناسه CVE-2022-22954 درجه “حیاتی” (Critical) با شدت 8/9 از 10 (بر طبق استاندارد CVSS) دارد و از نوع “اجرای کد از راه دور” (Remote Code Execution – به‌اختصار RCE) است. این آسیب‌پذیری در بخش VMware Workspace ONE Access and Identity Manager شناسایی شده است.در 17 فروردین 1401، شرکت وی‌ام‌ور (VMware, Inc.) با انتشار توصیه‌نامه‌ امنیتی، اصلاحیه‌ای برای آسیب‌پذیری یادشده در این نشانی‌ …

ادامه مطلب
ابزار رمزگشایی رایگان برای قربانیان باج‌افزار Yanluowang

محققان شرکت کسپرسکی (Kaspersky Lab) در پی تحلیل باج‌افزار Yanluowang، موفق به شناسایی یک نقطه‌ضعف در الگوریتم رمزگذاری آن شده‌اند که بازیابی فایل‌های رمزگذاری شده توسط این باج‌افزار را امکان‌پذیر می‌سازد. به گزارش مرکز مدیریت راهبردی افتا، کسپرسکی برای رمزگشایی فایل‌های قفل‌شده توسط باج‌افزار Yanluowang، قابلیت‌هایی را به ابزار RannohDecryptor خود اضافه کرده است.این باج‌افزار، فایل‌های کوچک‌تر و یا بزرگ‌تر از 3 گیگابایت را به روش‌های متفاوت رمزگذاری می‌کند. فایل‌های بزرگ‌تر از 3 گیگابایت، بعد از هر 200 مگابایت، فقط در قطعات 5 مگابایتی رمزگذاری می‌شوند، درحالی‌که فایل‌های کوچک‌تر به‌صورت کامل از ابتدا تا انتها رمزگذاری می‌شوند. به همین دلیل، اگر فایل اصلی بزرگ‌تر از …

ادامه مطلب
ایجاد دسترسی root در لینوكس برای هكرها با آسیب‌پذیری جدید Nimbuspwn

مجموعه‌ای جدید از آسیب‌پذیری‌ها تحت عنوان Nimbuspwn، می‌توانند اجازه دهند تا مهاجمان محلی برای استقرار نرم‌افزارهای مخرب نظیر Backdoorها و انواع باج‌افزارها امتیازات را در سیستم‌های لینوکس افزایش دهند. به گزارش مرکز مدیریت راهبردی افتا، کارشناسان امنیت مایکروسافت در گزارشی به این دسته از مشکلات اشاره و خاطرنشان کردند که ترکیب آسیب‌پذیری‌های یادشده، امکان دسترسی به سطح root را در یک سیستم عامل لینوکس میسر می‌سازد.چالش امنیتی Nimbuspwn که با شناسه‌های آسیب‌پذیری CVE-2022-29799 و CVE-2022-29800 معرفی می‌شوند، درnetworkd-dispatcher، شناسایی می‌شود، مؤلفه‌ای که تغییرات وضعیت اتصال را در ماشین‌های لینوکس ارسال می‌کند.کشف این دسته از آسیب‌پذیری‌ها با گوش‌دادن به پیام‌ها در گذرگاه سیستم آغاز شد و …

ادامه مطلب
حمله بدافزار Tarrask به سیستم‌های Windows

گروه هکری چینی Hafnium از بدافزاری جدید برای ماندگاری در سیستم‌های آسیب‌پذیر Windows استفاده می‌کند. به گزارش مرکز مدیریت راهبردی افتا، گفته می‌شود که این مهاجمان، از مرداد 1400 تا بهمن 1400، سازمان‌هایی را در بخش‌های مخابرات، شرکت‌های ارائه‌دهنده خدمات اینترنتی و خدمات داده‌ای هدف قرار داده‌اند. تحلیل الگوهای حمله به قربانیان اولیه نشان داده است که آن‌ها از ضعف‌های امنیتی روز – صفر در سرورهای Microsoft Exchange که در اسفند 1399 افشاء شد، سوءاستفاده کرده‌اند.محققان مایکروسافت این بدافزار مخفی شونده را Tarrask نامیده‌‎اند و آن را ابزاری توصیف کرده‌اند که وظایف (Task) زمان‌بندی شده و پنهانی را در سیستم ایجاد و اجرا می‌کند. بهره‌جویی از …

ادامه مطلب
LockBit 2.0 و Conti؛ در صدر فعال‌ترین باج‌افزارها

گزارش‌های منتشر شده توسط محققان امنیت سایبری شرکت دیجیتال شدوز (Digital Shadows, Ltd.) حاکی از آن است که بیش از نیمی از حملات باج‌افزاری در زمستان سال 1400 را تنها دو باج‌افزار LockBit 2.0 و Conti انجام داده‌اند. به گزارش مرکز مدیرت راهبردی افتا، تحلیل حملات باج‌افزاری ثبت شده بین 11 دی 1400 تا 11 فروردین 1401، نشان می‌دهد که دو گروه باج‌افزاری LockBit 2.0 و Conti در طول این دوره سه ماهه، 58 درصد از کل حملات را به خود اختصاص داده‌اند. از میان این دو، LockBit فعال‌تر بوده و 38 درصد از حملات باج‌افزاری را انجام داده است. این مقدار تقریباً دو برابر …

ادامه مطلب
بدافزارهای FFDroider و Lightning Stealer؛ سارقین جدید اطلاعات

محققان امنیت سایبری در مورد دو بدافزار سرقت کننده اطلاعات به نام‌های FFDroider و Lightning Stealer هشدار می‌دهند، بدافزارهایی که قادر به استخراج و سرقت اطلاعات حساس و اجرای حملات بر روی دستگاه قربانیان هستند. به‌گزارش مرکز مدیریت راهبردی افتا: محققان شرکت Zscaler ThreatLabz در گزارشی اعلام کردند که بدافزار FFDroider که برای استخراج و ارسال اطلاعات کاربری و کوکی‌ها (cookies) به یک سرور کنترل و فرماندهی (Command & Control – به‌اختصار C2) طراحی‌شده، خود را بر روی دستگاه قربانی شبیه برنامه پیام‌رسان “Telegram” نشان می‌دهد.سارقین اطلاعات، همان‌طور که از نام آن‌ها پیداست، به ابزارهایی برای جمع‌آوری اطلاعات حساس از سیستم‌های آسیب‌پذیر، مجهز هستند.این اطلاعات …

ادامه مطلب
بهره‌جویی از آسیب‌پذیری Spring4Shell برای توزیع بدافزارMirai

بهره‌جویی از آسیب‌پذیری Spring4Shell برای توزیع بدافزارMiraiسه آسیب‌پذیری مهم، فروردین 1400، در Java Spring Framework منتشر شد که یکی از آنها از نوع “اجرای کد از راه دور” (Remote Code Execution – به‌اختصار RCE) است و Spring4Shell یا SpringShell نامیده می‌شود.  به گزارش مرکز مدیریت راهبردی افتا، Spring Framework یک بستر منبع‌باز برای تولید برنامه‌های کاربردی مبتنی بر Java است و به دلیل اینکه برنامه‌نویسان را به نوشتن و آزمایش سریع و آسان برنامه‌های تکه‌تکه (Modular Applications) قادر می‌کند، پر طرفدار است. ازآنجایی‌که 60 درصد برنامه‌نویسان از Spring برای نوشتن برنامه‌های اصلی مبتنی بر Java استفاده می‌کنند، بسیاری از نرم‌افزارها به طور بالقوه تحت‌تأثیر این ضعف …

ادامه مطلب