سه آژانس امنیتی آمریکا گزارش مشترکی را برای افشا و جلب‌توجه به پنج آسیب‌پذیری در تجهیزات سازمانی منتشر کرده‌اند که هکرهای دولت روسیه برای نفوذ شبکه‌های شرکتی و دولتی در حال استفاده از آنها هستند.به گزارش مرکز مدیریت راهبردی افتا: آژانس امنیت سایبری و زیرساخت (CISA) ، اداره تحقیقات فدرال (FBI) و آژانس امنیت ملی (NSA) آمریکا به‌جای هویت واقعی هکرهای روسی از SVR  نام بردند به آن دلیل که این گزارش مشترک هم‌زمان با مجموعه گسترده تحریم‌های اقتصادی علیه دولت روسیه باشد.در این تحریم‌ها، دولت بایدن رسماً SVR ( سرویس اطلاعات خارجی روسیه) و واحدهای هکری آن را به سازماندهی حمله زنجیره تأمین SolarWinds …

مهاجمان با هدف قرار دادن یک آسیب پذیری در FortiGate VPN server به شبکه قربانیان رخنه کرده و باج‌افزار Cring را بر روی دستگاه‌ها توزیع می‌کنند.بگزارش مرکز مدیریت راهبردی افتا ، آسیب‌پذیری سوءاستفاده شده توسط این مهاجمان، CVE-۲۰۱۸-۱۳۳۷۹ گزارش شده است.به‌تازگی نیز برخی نهادهای امنیتی از سوءاستفاده احتمالی هکرهای دولتی از چهار آسیب‌پذیری شامل CVE-۲۰۱۸-۱۳۳۷۹ در محصولات Fortinet خبر داده بودند که جزییات آن در لینک زیر قابل مطالعه است: https://afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۳۲۳۳/  CVE-۲۰۱۸-۱۳۳۷۹ ضعفی از نوع Path Traversal است که بخش Web Portal در FortiOS SSL VPN از آن متأثر می‌شود. سوءاستفاده از این آسیب‌پذیری، امکان خواندن فایل‌های سیستمی از جمله نام‌های کاربری و رمزهای عبوری فایل نشست‌ها (Session)  به‌صورت …

شرکت Onapsis نسبت به حمله مهاجمان به نسخ آسیب‌پذیر برنامه‌های با عملکرد حیاتی SAP هشدار داده است.به گزارش مرکز مدیریت راهبردی افتا: در گزارشی که Onapsis با مشارکت با شرکت SAP آن را تهیه کرده از مشتریان خواسته شده تا اصلاحیه‌های برنامه‌های SAP را اعمال کرده و وضعیت، تنظیمات و پیکربندی‌های امنیتی آنها را مورد بررسی و ارزیابی قرار دهند.بر طبق این گزارش برخی مشتریان SAP در حالی همچنان از نسخ آسیب‌پذیر SAP استفاده می‌کنند که سال‌هاست که اصلاحیه‌های امنیتی برای آنها منتشر شده است. به‌خصوص آن که در مواردی این برنامه‌ها بر روی اینترنت نیز در دسترس قرار گرفته‌اند و عملاً به درگاهی برای دستیابی …

شرکت چیهو ۳۶۰ در گزارشی به بررسی بدافزاری با عملکرد جاسوس‌افزار پرداخته که از طریق ایمیل‌های فیشینگ و با بکارگیری تکنیک موسوم به RLO منتشر می‌شود. از بدافزار مذکور با عنوان Poulight یاد شده است.به گزارش مرکز مدیریت راهبردی افتا: گردانندگان این تهدید، ایمیلی را که در آن یک فایل با نام ReadMe_txt.lnk.lnk پیوست شده است به اهداف خود ارسال می‌کنند. با بکارگیری فناوری Right-to-Left Override – به اختصار RLO – آن‌چه کاربر با آن روبرو می‌شود ReadMe_knl.txt است. همزمان مهاجمان از نشان Notepad برای این فایل lnk استفاده می‌کنند تا txt بودن فایل برای کاربر قابل‌باورتر باشد. با اجرای فایل، یک فرمان PowerShell فراخوانی شده …

گروه‌های هکری تحت حمایت دولت‌ها احتمالاً از آسیب‌پذیری‌های Fortinet FortiOS که شامل آسیب‌پذیری‌های   CVE-۲۰۱۸-۱۳۳۷۹، CVE-۲۰۲۰-۱۲۸۱۲ و CVE-۲۰۱۹-۵۵۹۱ هستند، سوءاستفاده می‌کنند. مهاجمان سرورهایی را که دارای آسیب‌پذیری‌های CVE-۲۰۲۰-۱۲۸۱۲ و CVE-۲۰۱۹-۵۵۹۱ هستند و به‌روزرسانی نشده‌اند را شناسایی کرده و دستگاه‌های آسیب‌پذیر با شناسه CVE-۲۰۱۸-۱۳۳۷۹ را در پورت‌های ۴۴۴۳ ، ۸۴۴۳ و ۱۰۴۴۳ اسکن می‌کنند.سرورهای در معرض خطر ممکن است در حملات بعدی استفاده شوند.مهاجمان APT از آسیب‌پذیری‌های حیاتی برای انجام حملات منع سرویس توزیع شده (DDoS) ، حملات باج‌افزار، حملات SQL، تخریب وب‌سایت‌ها سوءاستفاده کرده‌اند.اکسپلویت‌های Fortinet برای هک سیستم‌های پشتیبانی انتخابات ایالات متحده مورداستفاده قرار گرفتدر نوامبر ۲۰۲۰، یک مهاجم، لیستی از اکسپلویت‌های آسیب‌پذیری با شناسهCVE-۲۰۱۸-۱۳۳۷۹  را به …

نخستین نسخه باج‌افزار Makop در اواخر سال ۱۳۹۸ شناسایی شد. برخی شرکت‌های امنیتی Makop را نسخه‌ای از خانواده باج‌افزار معروف Phobos می‌دانند.Makop به‌منظور رمزگذاری از الگوریتم Advanced Encryption Standard – به اختصار AES – بهره می‌گیرد.اتصال از راه دور مهاجمان از طریق پودمان Remote Desktop Protocol – به اختصار RDP – به دستگاه‌های با رمز عبور ضعیف یا هک شده و اجرای فایل مخرب باج‌افزار، اصلی‌ترین روش انتشار Makop است. هر چند که انتشار نمونه‌هایی از Makop نیز از طریق هرزنامه‌های ناقل فایل / لینک مخرب، فایل مخرب موسوم به Downloader یا با(Exploiting)  از آسیب‌پذیری‌های امنیتی گزارش شده است.Makop برای ماندگاری طولانی‌تر، اقدام به ایجاد …

کیونپ (QNAP Systems, Inc) با انتشار اطلاعیه‌ای نسبت به اجرای حملات Brute-force برای رخنه مهاجمان به تجهیزات Network-attached storage – به اختصار NAS – ساخت این شرکت هشدار داده است.به نقل از کیونپ، در جریان این حملات، مهاجمان از ابزارهای خودکار برای ورود به دستگاه‌های NAS قابل دسترس بر روی اینترنت از طریق رمزهای عبور ساده یا رمزهایی که در حملات پیشین افشا شده بودند استفاده می‌کنند.بنابراین در صورت استفاده از رمزهای عبور ساده یا قابل پیش‌بینی (نظیر password یا ۱۲۳۴۵) دستگاه، تنظیمات آن و تمامی اطلاعات ذخیره شده بر روی آن به تسخیر مهاجمان در خواهد آمد.اما در صورتی که تلاش مهاجمان برای رخنه …

گردانندگان Lemon_Duck با سوءاستفاده از آسیب‌پذیری‌های ProxyLogon، پس از هک سرورهای آسیب‌پذیر Exchange اقدام به گسترش شبکه مخرب خود و استخراج ارز رمز با استفاده از منابع دستگاه‌های آلوده شده می‌کنند.در جریان این حملات ابزارهایی که وظیفه آن استخراج ارز رمز مونرو است بر روی دستگاه‌های هک شده اجرا می‌شود.دامنه این حملات بسیار گسترده گزارش شده است.در ارز رمزها (Cryptocurrency)، فرایندی با عنوان استخراج (Mining) وجود دارد که یکی از اصلی‌ترین وظایف آن تأیید اطلاعات تبادل شده در شبکه این واحدهای پولی است. فرایند استخراج مستلزم فراهم بودن توان پردازشی بسیار بالاست. در نتیجه شبکه ارز رمز نیز در قبال تلاشی که برای این پردازش‌ها …

یک محقق امنیتی  PoC  جدیدی را منتشر کرده است که با تغییرات جزئی،  وب شل  بر روی سرورهای Microsoft Exchange  آسیب پذیر، نصب می شود.به گزارش مرکز مدیریت راهبردی افتا به نقل از سایت bleepingcomputer، از زمانی که مایکروسافت آسیب پذیری های امنیتی Microsoft Exchange که به طور فعال بهره برداری شده است را فاش کرد، مدیران و محققان امنیتی در تلاشند تا از سرورهای آسیب پذیر در معرض اینترنت محافظت کنند. این آسیب پذیری ها در مجموع با نام ProxyLogon شناخته می شود،از این آسیب پذیری ها برای  آپلود وب شل ها، رمزگذارها و اخیراً، باج افزار DearCry در سرورهای آسیب پذیر استفاده می شود.در …

در تاریخ نهم مارس ۲۰۲۱، مایکروسافت چندین راهنمای امنیتی برای Windows DNS Server منتشر کرد. در صورت آشکار شدن سرویسDNS ، پنج مورد از این آسیب‌پذیری‌ها به یک مهاجم از راه دور امکان اجرای کد بر روی هدف را می‌دهند. به گزارش مرکز مدیریت راهبردی افتا به نقل از شرکت مایکروسافت٬ این شرکت آسیب‌پذیریCVE-۲۰۲۱-۲۶۸۹۷  را بسیار مهم ارزیابی می‌کند (جزییات این مطالب در بخش منابع همین خبر قابل مطالعه است).هیچ POC یا اکسپلویت مداوم از این آسیب‌پذیری‌ها هنوز عمومی نشده است. با این حال، به دلیل تأثیر احتمالی آسیب‌پذیری‌ها و با توجه به اینکه یک DNS سرور نیاز به فعال کردن dynamic updates دارد و جز …