بلاگ
نصب njRAT از طریق بسته‌های مخرب npm

npm اقدام به حذف دو بسته (Package) مخرب از روی این انباره کتابخانه‌های JavaScript کرده است. احتمال داده می‌شود کد مخرب تزریق شده در بسته‌های مذکور موجب نصب ابزار دسترسی از راه دور (Remote Access Trojan – RAT) بر روی دستگاه یکصد برنامه‌نویسی شده باشد که این بسته‌ها را مورد استفاده قرار داده بودند.به گزارش معاونت بررسی مرکز افتا به نقل از پایگاه اینترنتی ZDNet، این بسته‌ها با عناوین jdb.js و db-json.js هر دو توسط یک برنامه‌نویس توسعه داده شده بودند. همچنین این‌طور القا می‌شد که ابزاری سودمند برای آن دسته از برنامه‌نویسانی است که با فایل‌های JSON سروکار دارند.هر دوی این بسته‌ها، حدود دو هفته پیش در انباره …

ادامه مطلب
نسخه جدید TrickBot؛ قادر به دست‌درازی به UEFI/BIOS

گردانندگان TrickBot قابلیت جدیدی به این بدافزار اضافه کرده‌اند که آن را قادر به دست‌درازی به ثابت‌افزار UEFI/BIOS دستگاه آلوده می‌کند.به گزارش معاونت بررسی مرکز افتا به نقل از پایگاه اینترنتی ZDNet، قابلیت مذکور بخشی از امکانات ماژول جدیدی در TrickBot است که در اواخر ماه اکتبر توسط محققان شرکت‌های Advanced Intelligence و Eclypsium شناسایی شد. این محققان در گزارشی که ۱۳ آذر ماه آن را منتشر کردند جزییات فنی ماژول جدید TrickBot را مورد بررسی قرار داده‌اند.بر اساس گزارش مذکور با فراهم شدن دسترسی به ثابت‌افزار UEFI/BIOS، بدافزار می‌تواند حتی در صورت تغییر سیستم عامل همچنان بر روی دستگاه ماندگار باقی بماند. همچنین ماژول جدید …

ادامه مطلب
کشف نقص امنیتی در احراز هویت دو عاملی cPanel

این باگ به مهاجمان اجازه می‌دهد تا احراز هویت دو عاملی را برای حساب‌های cPanel دور بزنند. محققان امنیتی نقص بزرگ امنیتی را در cPanel کشف کردند. cPanel یک مجموعه نرم افزاری معروف است که شرکت‌های میزبانی وب برای مدیریت وب سایت مشتریان خود  از آن استفاده می‌کنند.به گزارش معاونت بررسی مرکز مدیریت راهبردی افتا، به نقل از پایگاه اینترنتی ZDNet، این باگ به مهاجمان اجازه می‌دهد تا احراز هویت دو عاملی را برای حساب‌های cPanel دور بزنند.cPanel اعلام کرده که نرم افزار آن در حال حاضر توسط صدها شرکت میزبان وب برای مدیریت بیش از ۷۰ میلیون دامنه در سراسر جهان استفاده می‌شود.صاحبان وب سایت‌ها از …

ادامه مطلب
کشف آسیب‌پذیری روز صفر در Windows ۷ و Windows Server ۲۰۰۸ R۲

مهاجمی که دسترسی به سیستم‌های آسیب‌پذیر دارد می‌تواند با تغییر کلیدهای رجیستری، یک کلید فرعی را فعال کند که معمولاً در مکانیسم نظارت بر عملکرد ویندوز (Performance Monitoring) استفاده می‌شود. یک محقق امنیتی هنگام کار برای به روزرسانی یک ابزار امنیتی ویندوز به طور تصادفی یک آسیب‌پذیری روز صفر را کشف کرده است که بر روی سیستم عامل‌های Windows ۷ و Windows Server ۲۰۰۸ R۲ تأثیر می‌گذارد.به گزارش معاونت بررسی مرکز مدیریت راهبردی افتا به نقل از پایگاه اینترنتی ZDNet، این آسیب پذیری در دو کلید رجیستری با پیکربندی اشتباه برای سرویس های RPC Endpoint Mapper و DNSCache قرار دارد.•    HKLM \ SYSTEM \ CurrentControlSet \ Services \ RpcEptMapper•   …

ادامه مطلب
ترمیم ۹۵ آسیب‌پذیری در مجموعه به‌روزرسانی‌های ماه نوامبر اینتل

شرکت اینتل در مجموعه اصلاحیه‌های ماه نوامبر خود، ۹۵ آسیب‌پذیری را شامل مواردی “حیاتی” در محصولات Wireless Bluetooth و Intel Active Management Technology – به اختصار AMT – ترمیم و اصلاح کرد.به گزارش معاونت بررسی مرکز افتا به نقل از سایت bleepingcomputer، جزییات آسیب‌پذیری‌های مذکور در قالب ۴۰ توصیه‌نامه امنیتی در لینک زیر قابل مطالعه است.  •    https://www.intel.com/content/www/us/en/security-center/default.html از جمله آسیب‌پذیری‌های امنیتی ترمیم شده توسط این مجموعه‌اصلاحیه‌ها، می‌توان به CVE-۲۰۲۰-۸۷۵۲ اشاره کرد که با درجه حساسیت ۹,۴ از ۱۰ (بر طبق استاندارد CVSS) محصولات Intel Active Management Technology و Intel Standard Manageability – به اختصار ISM – را متأثر می‌کند.این آسیب‌پذیری ضعفی از نوع Out-of-bounds Write در زیرسیستم IPv۶ …

ادامه مطلب
احیای حمله‌ای قدیمی؛ این بار تحت نام SAD DNS

محققان دانشگاه‌های چینهوا و کالیفرنیا روشی جدید برای اجرای حملات موسوم به مسموم‌سازی حافظه نهان DNS یا DNS Cache Poisoning کشف کرده‌اند.به گزارش معاونت بررسی مرکز افتا به نقل از سایت bleepingcomputer، این کشف جدید باگی را که در سال ۲۰۰۸ شناسایی شد و تا پیش از این تصور می‌شد که برای همیشه ترمیم شده است احیا می‌کند.وظیفه سامانه DNS یا Domain Name System تبدیل نامه دامنه به نشانی IP است. در زمان فراخوانی یک دامنه، مرورگر با کمک سرور DNS، نشانی IP آن را شناسایی می‌کند. به‌منظور بهینه‌سازی این فرایند، نشانی‌های استخراج شده، بر روی دستگاه و سرورهای میانی به اصطلاح کش (Cache) می‌شوند.عبارت …

ادامه مطلب
سرورهای Exchange

در بررسی یک حمله سایبری به سرورهای Exchange در سازمانی در کویت، محققان پالوآلتو نت‌ورکز موفق به کشف دو درب‌پشتی (Backdoor) جدید مبتنی بر PowerShell شدند.به گزارش معاونت بررسی مرکز افتا به نقل از سایت securityaffairs، شرکت پالوآلتو نت‌ورکز، مهاجمان حمله مذکور را گروه xHunt – که با نام Hive۰۰۸۱ نیز شناخته می‌شود – معرفی کرده است. این گروه که حداقل از سال ۲۰۱۸ فعال بوده و پیش‌تر نیز سازمان‌هایی را در کویت هدف قرار داده بود. ضمن این‌که xHunt حمله بر ضد سازمان‌های فعال در حوزه‌های کشتیرانی و حمل‌ونقل را در کارنامه دارد.در حمله اخیر، مهاجمان از دو درب‌پشتی جدید با نام‌های TriFive و …

ادامه مطلب

مایکروسافت اصلاحیه‌های امنیتی ماهانه خود را سه‌شنبه، ۲۰ آبان، برای ماه میلادی نوامبر منتشر کرد. اصلاحیه‌های مذکور، ۱۱۲ آسیب‌پذیری را در محصولات مختلف این شرکت ترمیم می‌کنند.به گزارش معاونت بررسی مرکز افتا به نقل از سایت bleepingcomputer، درجه اهمیت ۱۷ مورد از این آسیب‌پذیری‌ها، “حیاتی” (Critical)، تعداد ۹۳ مورد از آنها “مهم” (Important) و دو مورد نیز “متوسط” (Moderate) گزارش شده است.یکی از این آسیب‌پذیری‌های ترمیم شده توسط مایکروسافت ضعفی از نوع “دسترسی مازاد” (Privilege Escalation) با شناسه CVE-۲۰۲۰-۱۷۰۸۷ است که به‌تازگی جزییات آن در پروژه Google Project Zero و در پی مورد بهره‌جویی (Exploit) قرار گرفتن آن توسط مهاجمان به‌طور عمومی افشا شده بود. راه‌انداز Windows Kernel …

ادامه مطلب

محققان شرکت فایرآی در جریان بررسی ماشین‌های آلوده Solaris، ابزار بهره‌جویی (Exploit Tool) را شناسایی کردند که امکان سوءاستفاده از یک آسیب‌پذیری تا آن زمان ناشناخته را فراهم می‌کند. آسیب‌پذیری مذکور به شرکت اوراکل به‌عنوان سازنده سیستم عامل Solaris گزارش و این شرکت آن را در مجموعه‌به‌روزرسانی‌های موسوم به Critical Patch Update ماه اکتبر خود ترمیم و اصلاح کرد.به گزارش معاونت بررسی مرکز افتا به نقل از سایت fireeye، در این مطلب به خلاصه‌ای از گزارش فایرآی در خصوص این آسیب‌پذیری با شناسه CVE-۲۰۲۰-۱۴۸۷۱ پرداخته شده است.کتابخانه Pluggable Authentication Modules – به اختصار PAM – از آسیب‌پذیری مذکور تأثیر می‌پذیرد. این کتابخانه، Solaris را قادر …

ادامه مطلب

یک گروه چینی که با عنوان KilllSomeOne ردیابی می شود توسط محققان در Sophos ردیابی شد. این گروه جاسوسی سایبری پیشرفته با حملات جانبی DLL سازمانهای شرکتی در میانمار را هدف قرار داده است.به گزارش معاونت بررسی مرکز افتا به نقل از سایت securityaffairs، گروه KilllSomeOne از عبارت “KilllSomeOne” در حملات دانلود جانبی DLL و از پیام های انگلیسی ضعیف مربوط به موضوعات سیاسی استفاده می‌کند.دانلود جانبی کتابخانه (DLL) از شیوه مدیریت فایل های DLL توسط برنامه های Microsoft Windows بهره می برد. در چنین حملاتی، بدافزار یک فایل مخرب جعلی DLL را در فهرست Windows WinSxS قرار می دهد تا سیستم عامل آن را …

ادامه مطلب