شرکت چیهو ۳۶۰ در گزارشی به بررسی بدافزاری با عملکرد جاسوس‌افزار پرداخته که از طریق ایمیل‌های فیشینگ و با بکارگیری تکنیک موسوم به RLO منتشر می‌شود. از بدافزار مذکور با عنوان Poulight یاد شده است.به گزارش مرکز مدیریت راهبردی افتا: گردانندگان این تهدید، ایمیلی را که در آن یک فایل با نام ReadMe_txt.lnk.lnk پیوست شده است به اهداف خود ارسال می‌کنند. با بکارگیری فناوری Right-to-Left Override – به اختصار RLO – آن‌چه کاربر با آن روبرو می‌شود ReadMe_knl.txt است. همزمان مهاجمان از نشان Notepad برای این فایل lnk استفاده می‌کنند تا txt بودن فایل برای کاربر قابل‌باورتر باشد. با اجرای فایل، یک فرمان PowerShell فراخوانی شده …

گروه‌های هکری تحت حمایت دولت‌ها احتمالاً از آسیب‌پذیری‌های Fortinet FortiOS که شامل آسیب‌پذیری‌های   CVE-۲۰۱۸-۱۳۳۷۹، CVE-۲۰۲۰-۱۲۸۱۲ و CVE-۲۰۱۹-۵۵۹۱ هستند، سوءاستفاده می‌کنند. مهاجمان سرورهایی را که دارای آسیب‌پذیری‌های CVE-۲۰۲۰-۱۲۸۱۲ و CVE-۲۰۱۹-۵۵۹۱ هستند و به‌روزرسانی نشده‌اند را شناسایی کرده و دستگاه‌های آسیب‌پذیر با شناسه CVE-۲۰۱۸-۱۳۳۷۹ را در پورت‌های ۴۴۴۳ ، ۸۴۴۳ و ۱۰۴۴۳ اسکن می‌کنند.سرورهای در معرض خطر ممکن است در حملات بعدی استفاده شوند.مهاجمان APT از آسیب‌پذیری‌های حیاتی برای انجام حملات منع سرویس توزیع شده (DDoS) ، حملات باج‌افزار، حملات SQL، تخریب وب‌سایت‌ها سوءاستفاده کرده‌اند.اکسپلویت‌های Fortinet برای هک سیستم‌های پشتیبانی انتخابات ایالات متحده مورداستفاده قرار گرفتدر نوامبر ۲۰۲۰، یک مهاجم، لیستی از اکسپلویت‌های آسیب‌پذیری با شناسهCVE-۲۰۱۸-۱۳۳۷۹  را به …

نخستین نسخه باج‌افزار Makop در اواخر سال ۱۳۹۸ شناسایی شد. برخی شرکت‌های امنیتی Makop را نسخه‌ای از خانواده باج‌افزار معروف Phobos می‌دانند.Makop به‌منظور رمزگذاری از الگوریتم Advanced Encryption Standard – به اختصار AES – بهره می‌گیرد.اتصال از راه دور مهاجمان از طریق پودمان Remote Desktop Protocol – به اختصار RDP – به دستگاه‌های با رمز عبور ضعیف یا هک شده و اجرای فایل مخرب باج‌افزار، اصلی‌ترین روش انتشار Makop است. هر چند که انتشار نمونه‌هایی از Makop نیز از طریق هرزنامه‌های ناقل فایل / لینک مخرب، فایل مخرب موسوم به Downloader یا با(Exploiting)  از آسیب‌پذیری‌های امنیتی گزارش شده است.Makop برای ماندگاری طولانی‌تر، اقدام به ایجاد …

کیونپ (QNAP Systems, Inc) با انتشار اطلاعیه‌ای نسبت به اجرای حملات Brute-force برای رخنه مهاجمان به تجهیزات Network-attached storage – به اختصار NAS – ساخت این شرکت هشدار داده است.به نقل از کیونپ، در جریان این حملات، مهاجمان از ابزارهای خودکار برای ورود به دستگاه‌های NAS قابل دسترس بر روی اینترنت از طریق رمزهای عبور ساده یا رمزهایی که در حملات پیشین افشا شده بودند استفاده می‌کنند.بنابراین در صورت استفاده از رمزهای عبور ساده یا قابل پیش‌بینی (نظیر password یا ۱۲۳۴۵) دستگاه، تنظیمات آن و تمامی اطلاعات ذخیره شده بر روی آن به تسخیر مهاجمان در خواهد آمد.اما در صورتی که تلاش مهاجمان برای رخنه …

گردانندگان Lemon_Duck با سوءاستفاده از آسیب‌پذیری‌های ProxyLogon، پس از هک سرورهای آسیب‌پذیر Exchange اقدام به گسترش شبکه مخرب خود و استخراج ارز رمز با استفاده از منابع دستگاه‌های آلوده شده می‌کنند.در جریان این حملات ابزارهایی که وظیفه آن استخراج ارز رمز مونرو است بر روی دستگاه‌های هک شده اجرا می‌شود.دامنه این حملات بسیار گسترده گزارش شده است.در ارز رمزها (Cryptocurrency)، فرایندی با عنوان استخراج (Mining) وجود دارد که یکی از اصلی‌ترین وظایف آن تأیید اطلاعات تبادل شده در شبکه این واحدهای پولی است. فرایند استخراج مستلزم فراهم بودن توان پردازشی بسیار بالاست. در نتیجه شبکه ارز رمز نیز در قبال تلاشی که برای این پردازش‌ها …

یک محقق امنیتی  PoC  جدیدی را منتشر کرده است که با تغییرات جزئی،  وب شل  بر روی سرورهای Microsoft Exchange  آسیب پذیر، نصب می شود.به گزارش مرکز مدیریت راهبردی افتا به نقل از سایت bleepingcomputer، از زمانی که مایکروسافت آسیب پذیری های امنیتی Microsoft Exchange که به طور فعال بهره برداری شده است را فاش کرد، مدیران و محققان امنیتی در تلاشند تا از سرورهای آسیب پذیر در معرض اینترنت محافظت کنند. این آسیب پذیری ها در مجموع با نام ProxyLogon شناخته می شود،از این آسیب پذیری ها برای  آپلود وب شل ها، رمزگذارها و اخیراً، باج افزار DearCry در سرورهای آسیب پذیر استفاده می شود.در …

در تاریخ نهم مارس ۲۰۲۱، مایکروسافت چندین راهنمای امنیتی برای Windows DNS Server منتشر کرد. در صورت آشکار شدن سرویسDNS ، پنج مورد از این آسیب‌پذیری‌ها به یک مهاجم از راه دور امکان اجرای کد بر روی هدف را می‌دهند. به گزارش مرکز مدیریت راهبردی افتا به نقل از شرکت مایکروسافت٬ این شرکت آسیب‌پذیریCVE-۲۰۲۱-۲۶۸۹۷  را بسیار مهم ارزیابی می‌کند (جزییات این مطالب در بخش منابع همین خبر قابل مطالعه است).هیچ POC یا اکسپلویت مداوم از این آسیب‌پذیری‌ها هنوز عمومی نشده است. با این حال، به دلیل تأثیر احتمالی آسیب‌پذیری‌ها و با توجه به اینکه یک DNS سرور نیاز به فعال کردن dynamic updates دارد و جز …

برخی منابع خبر داده‌اند مهاجمان با هک سرورهای آسیب‌پذیر MS Exchange اقدام به نفوذ به آنها و در ادامه توزیع باج‌افزار جدیدی با نام DearCry می‌کنند.به گزارش مرکز مدیریت راهبردی افتا به نقل از مایکروسافت٬ آسیب‌پذیری‌های بکار گرفته شده در جریان این حملات، ProxyLogon است که ۱۲ اسفند مایکروسافت (Microsoft, Corp) اقدام به عرضه اصلاحیه‌های اضطراری برای ترمیم آنها کرده بود.جمعه، ۲۲ اسفند مایکروسافت نیز اجرای حملات باج‌افزاری بر ضد سرورهای آسیب‌پذیر Exchange را تایید کرد. بر طبق گزارشی که سایت Bleeping Computer آن را منتشر کرده DearCry پس از رمزگذاری فایل اقدام به الصاق پسوند CRYPT به آن می‌کند. در فرایند رمزگذاری DearCry از الگوریتم‌های …

در تاریخ ۲ مارس ، چهار آسیب پذیری حیاتی Microsoft Exchange Server روز- صفر CVE-۲۰۲۱-۲۶۸۵۵ ، CVE-۲۰۲۱-۲۶۸۵۷ ، CVE-۲۰۲۱-۲۶۸۵۸ و CVE-۲۰۲۱-۲۷۰۶۵ منتشر شد.این آسیب پذیری ها به مهاجمان اجازه می دهد تا به سرورهای Exchange دسترسی پیدا کنند و به طور بالقوه به مدت طولانی به قربانیان دسترسی پیدا می کنند. در حالی که (MSTIC)  کمپین اولیه را با اطمینان بالا به HAFNIUM نسبت می دهد، گروهی که آنها ارزیابی می کنند تحت حمایت دولت و خارج از چین فعالیت و چندین تیم اطلاعاتی تهدید، از جمله MSTIC و واحد ۴۲ ، نیز تهدیدهای متعددی را مشاهده می کنند. مهاجمان اکنون از این آسیب پذیری …

شرکت مایکروسافت (Microsoft Corp)، در روز سه‌شنبه، ۱۹ اسفند، مجموعه‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی مارس، منتشر کرد.اصلاحیه‌های مذکور در مجموع ۸۲ آسیب‌پذیری را در Windows و محصولات و اجزای نرم‌افزاری زیر ترمیم می‌کنند: به گزارش مرکز مدیریت راهبردی افتا٬ درجه اهمیت ۱۰ مورد از این آسیب‌پذیری‌ها “حیاتی” (Critical) و ۷۲ مورد “مهم” (Important) اعلام شده است.دو مورد از آسیب‌پذیری‌های ترمیم شده توسط این اصلاحیه‌ها، روز-صفر (Zero-day) بوده و جزییات آنها پیش‌تر به‌صورت عمومی منتشر شده بود. فهرست این آسیب‌پذیری‌های روز-صفر به شرح زیر است:     CVE-۲۰۲۱-۲۶۴۱۱ که ضعفی از نوع Memory Corruption در مرورگر Internet Explorer است. هدایت کاربر به یک صفحه حاوی …