برخی منابع خبر داده‌اند مهاجمان با هک سرورهای آسیب‌پذیر MS Exchange اقدام به نفوذ به آنها و در ادامه توزیع باج‌افزار جدیدی با نام DearCry می‌کنند.به گزارش مرکز مدیریت راهبردی افتا به نقل از مایکروسافت٬ آسیب‌پذیری‌های بکار گرفته شده در جریان این حملات، ProxyLogon است که ۱۲ اسفند مایکروسافت (Microsoft, Corp) اقدام به عرضه اصلاحیه‌های اضطراری برای ترمیم آنها کرده بود.جمعه، ۲۲ اسفند مایکروسافت نیز اجرای حملات باج‌افزاری بر ضد سرورهای آسیب‌پذیر Exchange را تایید کرد. بر طبق گزارشی که سایت Bleeping Computer آن را منتشر کرده DearCry پس از رمزگذاری فایل اقدام به الصاق پسوند CRYPT به آن می‌کند. در فرایند رمزگذاری DearCry از الگوریتم‌های …

در تاریخ ۲ مارس ، چهار آسیب پذیری حیاتی Microsoft Exchange Server روز- صفر CVE-۲۰۲۱-۲۶۸۵۵ ، CVE-۲۰۲۱-۲۶۸۵۷ ، CVE-۲۰۲۱-۲۶۸۵۸ و CVE-۲۰۲۱-۲۷۰۶۵ منتشر شد.این آسیب پذیری ها به مهاجمان اجازه می دهد تا به سرورهای Exchange دسترسی پیدا کنند و به طور بالقوه به مدت طولانی به قربانیان دسترسی پیدا می کنند. در حالی که (MSTIC)  کمپین اولیه را با اطمینان بالا به HAFNIUM نسبت می دهد، گروهی که آنها ارزیابی می کنند تحت حمایت دولت و خارج از چین فعالیت و چندین تیم اطلاعاتی تهدید، از جمله MSTIC و واحد ۴۲ ، نیز تهدیدهای متعددی را مشاهده می کنند. مهاجمان اکنون از این آسیب پذیری …

شرکت مایکروسافت (Microsoft Corp)، در روز سه‌شنبه، ۱۹ اسفند، مجموعه‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی مارس، منتشر کرد.اصلاحیه‌های مذکور در مجموع ۸۲ آسیب‌پذیری را در Windows و محصولات و اجزای نرم‌افزاری زیر ترمیم می‌کنند: به گزارش مرکز مدیریت راهبردی افتا٬ درجه اهمیت ۱۰ مورد از این آسیب‌پذیری‌ها “حیاتی” (Critical) و ۷۲ مورد “مهم” (Important) اعلام شده است.دو مورد از آسیب‌پذیری‌های ترمیم شده توسط این اصلاحیه‌ها، روز-صفر (Zero-day) بوده و جزییات آنها پیش‌تر به‌صورت عمومی منتشر شده بود. فهرست این آسیب‌پذیری‌های روز-صفر به شرح زیر است:     CVE-۲۰۲۱-۲۶۴۱۱ که ضعفی از نوع Memory Corruption در مرورگر Internet Explorer است. هدایت کاربر به یک صفحه حاوی …

به گزارش مرکز مدیریت راهبردی افتا بر اساس گزارشی که شرکت چیهو ۳۶۰ آن را منتشر کرده دستگاه‌های NAS ساخت QNAP هدف حملات موسوم به Cryptojacking قرار گرفته‌اند. در جریان این حملات، مهاجمان بدافزاری را بر روی دستگاه هک‌شده اجرا می‌کنند که امکان استخراج ارز رمز را با استفاده از منابع دستگاه برای آنها فراهم می‌کند.چیهو ۳۶۰، بدافزار استفاده شده در این حملات را UnityMiner نامگذاری کرده است.به گفته چیهو ۳۶۰ در حملات مذکور از دو آسیب‌پذیری RCE (اجرای فرمان به‌صورت از راه دور) به شناسه‌های CVE-۲۰۲۰-۲۵۰۶ و CVE-۲۰۲۰-۲۵۰۷ برای هک دستگاه QNAP بهره گرفته می‌شود. این در حالی است که اصلاحیه این دو آسیب‌پذیری …

مایکروسافت برای شناسایی وب شل های موجود حملات اخیر Exchange Server ، به روزرسانی جدیدی را برای ابزار Microsoft Safety Scanner (MSERT)  ارائه داده است.به گزارش مرکز مدیریت راهبردی افتا به نقل از سایت bleepingcomputer، در تاریخ ۲ مارس، مایکروسافت فاش کرد که چهار آسیب پذیری Exchange Server  در حملات علیه سرورهای Outlook تحت وب (OWA) استفاده می شود. این آسیب پذیری ها شامل CVE-۲۰۲۱-۲۶۸۵۵ ،CVE-۲۰۲۱-۲۶۸۵۷ ،CVE-۲۰۲۱-۲۶۸۵۸ ،CVE-۲۰۲۱-۲۷۰۶۵ هستند.این آسیب پذیری ها که به عنوان “ProxyLogon” شناخته می شوند، توسط مهاجمان دولت چین برای سرقت صندوق های پستی، اعتبار نامه ها و استقرار وب شل برای دسترسی به شبکه داخلی مورد استفاده قرار می گیرند.ماکروسافت …

باج‌افزار جدیدی به نام ‘Hog’ فایل‌های دستگاه‌های کاربران را رمزگذاری می‌کند و تنها در صورت پیوستن به سرور Discord توسعه‌دهنده، آن‌ها را رمزگشایی می‌کند.به گزارش مرکز مدیریت راهبردی افتا به نقل از سایت bleepingcomputer، محققان امنیتی یک رمزگشای در حال توسعه برای باج‌افزار Hog  پیدا کرده‌اند که قربانیان را مجبور می‌کند برای رمزگشایی فایل‌های خود به سرور Discord مهاجم متصل شوند.اگر مولفه رمزگذار باج‌افزار اجرا شود، بررسی می‌شود که آیا یک سرور Discord خاص وجود دارد یا خیر و در صورت وجود، به رمزگذاری فایل‌های قربانیان شروع خواهدشد.باج‌افزار هنگام رمزگذاری فایل‌های قربانیان، پسوند hog. را همانطور که در زیر نشان داده شده است ضمیمه می‌کند …

شرکت سوپرمایکرو (Super Micro Computer, Inc) با انتشار توصیه‌نامه‌ای، نسبت به آسیب‌پذیر بودن برخی مادربردهای خود به بدافزار TrickBoot هشدار دادند.به گزارش مرکز مدیریت راهبردی افتا به نقل از سایتpulsesecure، در اواسط آذر ماه، اعلام شد که نویسندگان TrickBot ماژول جدیدی به این بدافزار اضافه کرده‌اند که آن را قادر به تشخیص آسیب‌پذیر بودن ثابت‌افزار Unified Extensible Firmware Interface – به اختصار UEFI – و سوءاستفاده از آن می‌کند. این ماژول TrickBot به TrickBoot معروف شد.کدهای مخربی که در ثابت‌افزار (Firmware) ذخیره می‌شوند به بوت‌کیت (Bootkit) معروف هستند. این نوع بدافزارها با دسترسی به ثابت‌افزار UEFI، نه تنها در صورت تغییر سیستم عامل ماندگار می‌مانند که حتی جایگزینی …

شرکت مایکروسافت با انتشار به‌روزرسانی اضطراری و خارج از برنامه، چهار آسیب‌پذیری روز-صفر را در نسخ مختلف Microsoft Exchange ترمیم کرده است. به گفته مایکروسافت مهاجمان در حال اکسپلویت کردن این آسیب‌پذیری‌ها هستند و لذا اعمال فوری اصلاحیه‌ها توصیه اکید می‌شود.به گزارش مرکز مدیریت راهبردی افتا به نقل از مایکروسافت، سوءاستفاده از مجموعه آسیب‌پذیری‌های مذکور مهاجمان را قادر به در اختیار گرفتن کنترل سرور، سرقت ایمیل‌ها و توزیع بدافزارهای بیشتر  و گسترده کردن دامنه نفوذ در سطح شبکه می‌کند.لازمه اکسپلویت موفق، قابل دسترس بودن سرور بر روی پورت ۴۴۳ اعلام شده است. در صورت فراهم بودن دسترسی، امکان بهره‌جویی از آسیب‌پذیری‌های زیر فراهم می‌شود:CVE-۲۰۲۱-۲۶۸۵۵: ضعفی …

بررسی محققان سیسکو نشان می‌دهد مهاجمان از تصاویر در ظاهر بی‌خطری که در سایت‌های هک‌شده تزریق شده‌اند در فرایند انتشار نسخ جدید ObliqueRAT بهره می‌گیرند.به گزارش مرکز مدیریت راهبردی افتا به نقل از سیسکو٬ بدافزارObliqueRAT از نوع Remote Access Trojan – به اختصار RAT – است که نخستین نسخه از آن یک سال قبل شناسایی شد.نسخ ابتدایی آن دارای عملکرد معمول بدافزارهای RAT نظیر سرقت داده‌ها و متوقف‌سازی برخی پروسه‌ها بودند. با گذشت زمان و استمرار در ظهور نسخ جدید، این بدافزار مجهز به قابلیت‌های فنی پیشرفته و توانایی انتشار با روش‌های مختلف شد. یکی از روش‌های انتشار ObliqueRAT ایمیل‌های فیشینگ ناقل اسناد Office است. در …

به گزارش مرکز مدیریت راهبردی افتا، بر اساس گزارشی که شرکت اینتزر (Intezer) آن را منتشر کرده تعداد بدافزارهایی که به زبان Go برنامه‌نویسی شده‌اند در فاصله سال‌های ۲۰۱۷ تا ۲۰۲۰ افزایشی ۲۰ برابری داشته است.این یافته‌ها مهاجرت ویروس‌نویسان از زبان‌های C و C++ به Go را که پیش‌تر از سوی برخی شرکت‌ها و محققان امنیتی مطرح شده بود تایید می‌کند. برای مثال، در اواسط سال ۲۰۱۹، شرکت پالو آلتو نت‌ورکز (Palo Alto Networks) در گزارش زیر از گسترش استفاده از Go توسط مهاجمان خبر داده بود: https://unit۴۲.paloaltonetworks.com/the-gopher-in-the-room-analysis-of-golang-malware-in-the-wild Go – که برخی از آن با عنوان Golang یاد می‌کنند – یک زبان برنامه‌نویسی است که …