گروه مهاجم سایبری Rocket Kitten از یک نقطه‌ضعف ترمیم شده در بستر VMware بر روی سیستم‌های آسیب‌پذیر، از جمله ابزار تست نفوذ Core Impact، برای دسترسی اولیه و توزیع ابزارهای مخرب خود سوءاستفاده گسترده کرده است. به گزارش مرکز مدیریت راهبردی افتا، آسیب‌پذیری موردنظر با شناسه CVE-2022-22954 درجه “حیاتی” (Critical) با شدت 8/9 از 10 (بر طبق استاندارد CVSS) دارد و از نوع “اجرای کد از راه دور” (Remote Code Execution – به‌اختصار RCE) است. این آسیب‌پذیری در بخش VMware Workspace ONE Access and Identity Manager شناسایی شده است.در 17 فروردین 1401، شرکت وی‌ام‌ور (VMware, Inc.) با انتشار توصیه‌نامه‌ امنیتی، اصلاحیه‌ای برای آسیب‌پذیری یادشده در این نشانی‌ …

محققان شرکت کسپرسکی (Kaspersky Lab) در پی تحلیل باج‌افزار Yanluowang، موفق به شناسایی یک نقطه‌ضعف در الگوریتم رمزگذاری آن شده‌اند که بازیابی فایل‌های رمزگذاری شده توسط این باج‌افزار را امکان‌پذیر می‌سازد. به گزارش مرکز مدیریت راهبردی افتا، کسپرسکی برای رمزگشایی فایل‌های قفل‌شده توسط باج‌افزار Yanluowang، قابلیت‌هایی را به ابزار RannohDecryptor خود اضافه کرده است.این باج‌افزار، فایل‌های کوچک‌تر و یا بزرگ‌تر از 3 گیگابایت را به روش‌های متفاوت رمزگذاری می‌کند. فایل‌های بزرگ‌تر از 3 گیگابایت، بعد از هر 200 مگابایت، فقط در قطعات 5 مگابایتی رمزگذاری می‌شوند، درحالی‌که فایل‌های کوچک‌تر به‌صورت کامل از ابتدا تا انتها رمزگذاری می‌شوند. به همین دلیل، اگر فایل اصلی بزرگ‌تر از …

مجموعه‌ای جدید از آسیب‌پذیری‌ها تحت عنوان Nimbuspwn، می‌توانند اجازه دهند تا مهاجمان محلی برای استقرار نرم‌افزارهای مخرب نظیر Backdoorها و انواع باج‌افزارها امتیازات را در سیستم‌های لینوکس افزایش دهند. به گزارش مرکز مدیریت راهبردی افتا، کارشناسان امنیت مایکروسافت در گزارشی به این دسته از مشکلات اشاره و خاطرنشان کردند که ترکیب آسیب‌پذیری‌های یادشده، امکان دسترسی به سطح root را در یک سیستم عامل لینوکس میسر می‌سازد.چالش امنیتی Nimbuspwn که با شناسه‌های آسیب‌پذیری CVE-2022-29799 و CVE-2022-29800 معرفی می‌شوند، درnetworkd-dispatcher، شناسایی می‌شود، مؤلفه‌ای که تغییرات وضعیت اتصال را در ماشین‌های لینوکس ارسال می‌کند.کشف این دسته از آسیب‌پذیری‌ها با گوش‌دادن به پیام‌ها در گذرگاه سیستم آغاز شد و …

گروه هکری چینی Hafnium از بدافزاری جدید برای ماندگاری در سیستم‌های آسیب‌پذیر Windows استفاده می‌کند. به گزارش مرکز مدیریت راهبردی افتا، گفته می‌شود که این مهاجمان، از مرداد 1400 تا بهمن 1400، سازمان‌هایی را در بخش‌های مخابرات، شرکت‌های ارائه‌دهنده خدمات اینترنتی و خدمات داده‌ای هدف قرار داده‌اند. تحلیل الگوهای حمله به قربانیان اولیه نشان داده است که آن‌ها از ضعف‌های امنیتی روز – صفر در سرورهای Microsoft Exchange که در اسفند 1399 افشاء شد، سوءاستفاده کرده‌اند.محققان مایکروسافت این بدافزار مخفی شونده را Tarrask نامیده‌‎اند و آن را ابزاری توصیف کرده‌اند که وظایف (Task) زمان‌بندی شده و پنهانی را در سیستم ایجاد و اجرا می‌کند. بهره‌جویی از …

گزارش‌های منتشر شده توسط محققان امنیت سایبری شرکت دیجیتال شدوز (Digital Shadows, Ltd.) حاکی از آن است که بیش از نیمی از حملات باج‌افزاری در زمستان سال 1400 را تنها دو باج‌افزار LockBit 2.0 و Conti انجام داده‌اند. به گزارش مرکز مدیرت راهبردی افتا، تحلیل حملات باج‌افزاری ثبت شده بین 11 دی 1400 تا 11 فروردین 1401، نشان می‌دهد که دو گروه باج‌افزاری LockBit 2.0 و Conti در طول این دوره سه ماهه، 58 درصد از کل حملات را به خود اختصاص داده‌اند. از میان این دو، LockBit فعال‌تر بوده و 38 درصد از حملات باج‌افزاری را انجام داده است. این مقدار تقریباً دو برابر …

محققان امنیت سایبری در مورد دو بدافزار سرقت کننده اطلاعات به نام‌های FFDroider و Lightning Stealer هشدار می‌دهند، بدافزارهایی که قادر به استخراج و سرقت اطلاعات حساس و اجرای حملات بر روی دستگاه قربانیان هستند. به‌گزارش مرکز مدیریت راهبردی افتا: محققان شرکت Zscaler ThreatLabz در گزارشی اعلام کردند که بدافزار FFDroider که برای استخراج و ارسال اطلاعات کاربری و کوکی‌ها (cookies) به یک سرور کنترل و فرماندهی (Command & Control – به‌اختصار C2) طراحی‌شده، خود را بر روی دستگاه قربانی شبیه برنامه پیام‌رسان “Telegram” نشان می‌دهد.سارقین اطلاعات، همان‌طور که از نام آن‌ها پیداست، به ابزارهایی برای جمع‌آوری اطلاعات حساس از سیستم‌های آسیب‌پذیر، مجهز هستند.این اطلاعات …

بهره‌جویی از آسیب‌پذیری Spring4Shell برای توزیع بدافزارMiraiسه آسیب‌پذیری مهم، فروردین 1400، در Java Spring Framework منتشر شد که یکی از آنها از نوع “اجرای کد از راه دور” (Remote Code Execution – به‌اختصار RCE) است و Spring4Shell یا SpringShell نامیده می‌شود.  به گزارش مرکز مدیریت راهبردی افتا، Spring Framework یک بستر منبع‌باز برای تولید برنامه‌های کاربردی مبتنی بر Java است و به دلیل اینکه برنامه‌نویسان را به نوشتن و آزمایش سریع و آسان برنامه‌های تکه‌تکه (Modular Applications) قادر می‌کند، پر طرفدار است. ازآنجایی‌که 60 درصد برنامه‌نویسان از Spring برای نوشتن برنامه‌های اصلی مبتنی بر Java استفاده می‌کنند، بسیاری از نرم‌افزارها به طور بالقوه تحت‌تأثیر این ضعف …

رد پای یک گروه نفوذگر چینی که تاکنون تنها بر روی افراد و سازمان‌های ژاپنی تمرکز داشته اند، در یک کمپین قدیمی جاسوسی شناسایی شده است. این گروه اکنون قربانیان جدیدی را هدف قرار داده اند که نشان دهنده گسترش دامنه فعالیت آن هاست. به گزارش مرکز مدیریت راهبردی افتا، این حملات گسترده که گمان می‌رود در تابستان سال گذشته آغاز شده و تا اواخر سال نیز ادامه داشته باشد، به گروهی به نام Cicada مرتبط است که در زمینه “تهدیدات مستمر و پیشرفته” (Advanced Persistent Threat – به اختصار APT) فعالیت می‌کنند و با نام‌های APT10، Stone Panda، Potassium، Bronze Riverside یا MenuPass Team …

جزئیات دو آسیب‌پذیری امنیتی جدید در کنترل‌گر منطقی برنامه‌‌پذیر (Programmable Logic Controllers – به اختصار PLC) متعلق به شرکت راکول آتومیشن (Rockwell Automation, Inc.)، منتشرشده است که مهاجم می‌تواند برای تزریق کد مخرب به سیستم‌های آسیب‌پذیر و تغییر مخفیانه فرایندهای خودکارسازی (Automation Processes) از آنها سوءاستفاده کند. این ضعف‌های امنیتی، امکان ایجاد اختلال در فعالیت‌های صنعتی و آسیب فیزیکی به کارخانه‌ها را به شیوه‌ای مشابه حملات Stuxnet و Rogue7 دارند.منطق قابل‌برنامه‌ریزی و متغیرهای از پیش تعریف‌شده، این فرایندهای خودکارسازی را هدایت کرده و تغییرات در هرکدام، باعث تغییر در عملکرد عادی تجهیزات PLC و فرایندهایی می‌شود که مدیریت می‌کند. جزئیات دو آسیب‌پذیری به شرح زیر …

بدافزار BazarBackdoor به‌جای استفاده از پیام‌های ایمیل فریب‌دهنده (Phishing) همیشگی، اکنون از فرم‌های تماس در سایت‌های سازمانی به‌عنوان ابزاری برای انتشار استفاده می‌کند تا از شناسایی شدن توسط محصولات امنیتی نیز در امان بماند. به‌گزارش مرکز مدیریت راهبردی افتا، بدافزارBazarBackdoor از نوع بدافزارهای “مخفی شونده” (stealth) است که دسترسی غیرمجاز (backdoor) به سیستم قربانی را فراهم می‌کند. این بدافزار درگذشته توسط گروه TrickBot ایجاد و در کارزارهای موسوم به “فریب سایبری” یا “فیشینگ” (Phishing) استفاده شده است . اکنون بدافزار BazarBackdoor توسط گردانندگان باج‌افزار Conti درحال‌توسعه است. این بدافزار امکان دسترسی راه دور به یک دستگاه در شبکه قربانی را برای گردانندگان بدافزار فراهم می‌کند تا …