بلاگ / بایگانی نویسنده «رضا فتاح»
گزارش سایت VirusTotal درخصوص فعالیت باج‌افزارها

به تازگی سایت VirusTotal گزارش خود را با عنوان Ransomware Activity Report منتشر کرده است.به گزارش مرکز مدیریت راهبردی افتا، این سایت در ۱۶ سال گذشته، روزانه بیش از ۲ میلیون فایل ارسالی از ۲۳۲ کشور را بررسی و پردازش کرده است. سایت VirusTotal هر فایل ارسالی را توسط حدود ۷۰ ضدویروس بررسی کرده و گزارش شناسایی یا عدم شناسایی آن‌ها را در اختیار کاربر قرار می‌دهد.در این گزارش، سایت VirusTotal فعالیت‌های باج‌افزارها را باتوجه ‌به فایل‌های ارسالی از سال ۲۰۲۰ که شامل بررسی ۸۰ میلیون نمونه باج‌افزار از ۱۴۰ کشور جهان بوده را تحلیل کرده است. نمودار زیر فهرست کشورهایی که بیشترین نمونه‌های باج‌افزاری را براب …

ادامه مطلب
FontOnLake؛ تهدیدی علیه دستگاه‌های تحت Linux

به تازگی شرکت ای‌ست (ESET, LLC.) در گزارشی به تحلیل خانواده‌ای بدافزاری پرداخته که از ماژول‌های سفارشی و برنامه‌ریزی شده برای آلوده‌‎سازی سیستم‌های تحت Linux استفاده می‌کنند. به گزارش مرکز مدیریت راهبردی افتا، شرکت ای‌ست بدافزار فوق را FontOnLake نام‌گذاری کرده است. ماژول‌های موجود در FontOnLake که دائماً در حال تکامل هستند، دسترسی از راه دور را برای مهاجمان فراهم می‌کنند، اطلاعات اصالت‌سنجی قربانیان را جمع‌آوری کرده و به‌عنوان یک سرور پروکسی عمل می‌کنند.این خانواده بدافزاری برای سرقت اطلاعات اصالت‌سنجی (همچون رمزهای عبور SSH) یا انجام سایر فعالیت‌های مخرب از برنامه‌های کاربردی به‌ظاهر معتبر برای دانلود درب پشتی (Backdoor) و روت کیت (Rootkit) استفاده می‌کند. این …

ادامه مطلب
افشای نام‌کاربری و رمزعبور براثر آسیب‌پذیری سرویس Autodiscover درExchange

سرویس Autodiscover اولین بار توسط exchange ۲۰۰۷ و outlook ۲۰۰۷ برای پیکربندی سریع پروفایل‌های outlook بر پایه username و password معرفی شد.به گزارش مرکز مدیریت راهبردی افتا، در این مکانیزم Outlook به exchange server متصل شده و کاربر آدرس ایمیل و کلمه عبور خود را وارد می‌کند و Exchange server یک فایل XML را برای Outlook برمی‌گرداند تا پروفایل کاربر ساخته یا تغییرات در آن اعمال شوند.با اینکه تغییرات زیادی جهت بهبود عملکرد exchange و outlook ۲۰۱۹ نسبت به نسخه ۲۰۰۷ اعمال‌شده است اما همچنان از همین مکانیزم استفاده می‌کند.Outlook به‌منظور یافتن سرور Exchange و اتصال به آن راه‌های ذکر شده در زیر را به ترتیب …

ادامه مطلب
مروری بر Tomiris؛ بدافزار دیگر گروه Nobelium

شرکت امنیتی  FireEyen در روز ۱۸ آذر سال ۹۹، رسماًاعلام کرد که در جریان حمله‌ای بسیار پیچیده، به سیستم‌هایش نفوذ شده است.به گزارش مرکز مدیریت راهبردی افتا، به گفته مسئولان این شرکت امنیتی، مهاجمان سایبری با به‌کارگیری تکنیک‌های جدید موفق به سرقت ابزارهایی دیجیتال از سیستم های این شرکت شده‌اند که این شرکت از آن‌ها با عنوان Red Team یاد می‌کند.شرکت  FireEye برای  شناسایی آسیب‌پذیری سیستم‌ها در شبکه مشتریان خود، از ابزارهای Red Team استفاده می‌کرده است. در آن زمان تصور می‌شد که هدف اصلی مهاجمان، سرقت ابزارهای Red Team بوده است. اما خیلی زود مشخص شد که اهداف حملات بسیار گسترده‌تر از یک شرکت امنیتی …

ادامه مطلب
سوءاستفاده مهاجمان از دو آسیب‌پذیری روز - صفر آپاچی

در پی شناسایی وجود یک آسیب‌پذیری در دو نسخه اخیر Apache HTTP Server، بنیاد نرم‌افزاری آپاچی (Apache Software Foundation) با انتشار نسخه‌ای جدید نسبت به وصله آن اقدام کرده است.به گزارش مرکز مدیریت راهبردی افتا، Apache HTTP Server یک سرویس‌دهنده وب چند بستری است که در میزبانی حدود ۲۵ درصد از سایت‌های بر روی اینترنت نقش دارد. بنیاد آپاچی با انتشار نسخه ۲,۴.۵۰ این محصول از ترمیم یک آسیب‌پذیری پویش مسیر (Path Traversal) با شناسه CVE-۲۰۲۱-۴۱۷۷۳ در مهرماه خبر داده است. سوءاستفاده از ضعف مذکور مهاجمان را به دسترسی یافتن به محتوای فایل‌های ذخیره شده بر روی سرور آسیب‌پذیر قادر می‌کرد. بر اساس توضیحات بنیاد نرم‌افزاری آپاچی ، تنها نسخه …

ادامه مطلب
FoggyWeb بدافزار جدید گروه Nobelium

مایکروسافت (Microsoft Corp) جزئیات بدافزار جدیدی را منتشر کرده که گروه Nobelium از آن برای استقرار و اجرای کدهای بدافزاری و سرقت اطلاعات حساس از سرورهای Active Directory Federation Services – به‌اختصار ADFS – استفاده کرده‌ است.به گزارش مرکز مدیریت راهبردی افتا، گروه Nobelium، گروهی است که برخی منابع آن را به سازمان اطلاعات خارجی روسیه (Russian Foreign Intelligence Service – به‌اختصار SVR) منتسب می‌دانند. از Nobelium با نام‌های APT۲۹، The Dukes یا Cozy Bear نیز یاد می‌شود. این مهاجمان سال گذشته در جریان حملاتی از نوع زنجیره تأمین (Supply Chain Attack) از طریق یکی از نرم‌افزارهای ساخت شرکت سولارویندز (SolarWinds, LLC) به هزاران شرکت و …

ادامه مطلب
سوءاستفاده مهاجمان از آسیب‌پذیری حیاتی vCenter

شرکت وی‌ام‌ور (VMware, Inc) اعلام کرد: مهاجمان در حال سوءاستفاده از یک آسیب‌پذیری “حیاتی” (Critical) با شناسه CVE-۲۰۲۱-۲۲۰۰۵ در محصول vCenter هستند.شدت این آسیب‌پذیری ۹,۸ از ۱۰ – بر طبق استاندارد CVSSv۳ – گزارش شده است.سوءاستفاده از CVE-۲۰۲۱-۲۲۰۰۵ مهاجم را قادر می‌سازد تا با آپلود یک فایل دست‌کاری شده بر روی پورت ۴۴۳،به اجرای کد دلخواه خود بر روی سرور vCenter اقدام کند.شرکت وی‌ام‌ور با انتشار نسخ جدید زیر، CVE-۲۰۲۱-۲۲۰۰۵ را در ۳۰ شهریور وصله کرد: https://docs.vmware.com/en/VMware-vSphere/۷,۰/rn/vsphere-vcenter-server-۷۰u۲c-release-notes.htmlhttps://kb.vmware.com/kb/۸۵۷۱۸https://docs.vmware.com/en/VMware-vSphere/۶,۷/rn/vsphere-vcenter-server-۶۷u۳o-release-notes.htmlhttps://kb.vmware.com/kb/۸۵۷۱۹ همچنین به‌تازگی، یک محقق ویتنامی، PoC (نمونه کد بهره‌جو) این آسیب‌پذیری را در لینک‌های زیر به‌صورت عمومی منتشرکرده  و در دسترس قرار داده است: https://www.youtube.com/watch?v=WVJ۸RDR۷Xzshttps://gist.github.com/testanull/c۲f۶fd۰۶۱c۴۹۶ea۹۰ddee۱۵۱d۶۷۳۸d۲e این محقق، بخش‌های …

ادامه مطلب
آلوده‌سازی کاربران از طریق هک سرورهای IIS

مهاجمان با هک سرورهای IIS و افزودن صفحات حاوی اعلان جعلی به آن‌ها در حال آلوده‌سازی کاربران به بدافزار هستند. در این گزارش که با همکاری شرکت مهندسی شبکه ‌گستر و مرکز مدیریت راهبردی افتای ریاست‌جمهوری تهیه شده، جزئیات این حملات بررسی شده است.Internet Information Services – به‌اختصار IIS – نرم‌افزار وب‌سرور Microsoft Windows است که از ۲۰۰۰/XP به بعد در این سیستم‌عامل استفاده شده است.  اعلان‌های جعلی مذکور در قالب به‌روز‌‌رسانی گواهینامه (Certificate)، کاربران را به دریافت یک فایل مخرب و اجرای آن بر روی دستگاه قربانی،  ترغیب می‌کنند. این فایل مخرب در نهایت به اجرای TeamViewer بر روی دستگاه منجر شده و کنترل سیستم …

ادامه مطلب
آسیب‌پذیری‌های محبوب باج‌گیران سایبری

محققان امنیتی فهرست آسیب‌پذیری‌هایی را ارائه داده‌اند که مهاجمان از آنها برای نفوذ به شبکه قربانیان، در یک سال اخیر سوءاستفاده کرده‌اند.به گزارش مرکز مدیریت راهبردی افتا، تهیه این فهرست با فراخوان یکی از محققان تیم واکنش حوادث امنیت رایانه (Computer Security Incident Response Team) شرکت رکوردد فیوچر (.Recorded Future, Inc) در توییتر آغاز شد. با ملحق شدن محققان دیگر به این کارزار، این فهرست به‌سرعت تکمیل شد. این فهرست شامل ضعف‌های امنیتی موجود در بیش از دوازده محصول ساخت شرکت‌های مطرح فناوری اطلاعات است. به گفته محققان امنیتی، برخی گروه‌های باج‌افزاری از این ضعف‌های امنیتی در حملات گذشته و جاری سوءاستفاده کرده‌اند و احتمال می‌رود …

ادامه مطلب
اصلاحیه‌های امنیتی مایکروسافت برای ماه میلادی سپتامبر

سه‌شنبه ۲۳ شهریور، شرکت مایکروسافت (Microsoft Corp)، مجموعه اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی سپتامبر منتشر کرد. اصلاحیه‌های مذکور بیش از ۶۰ آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند. درجه اهمیت ۳ مورد از آسیب‌پذیری‌های ترمیم شده این ماه “حیاتی” (Critical) و تقریباً تمامی موارد دیگر “مهم” (Important) اعلام شده است.این مجموعه اصلاحیه‌ها، انواع مختلفی از آسیب‌پذیری‌ها را به شرح زیر در محصولات مختلف مایکروسافت ترمیم می‌کنند:“افزایش سطح دسترسی” (Elevation of Privilege)“عبور از سد امکانات امنیتی” (Security Feature Bypass)“اجرای کد از راه دور” (Remote Code Execution)“افشای اطلاعات” (Information Disclosure)“منع سرویس” (Denial of Service – به‌اختصار DoS)“جعل” (Spoofing)۲ مورد از آسیب‌پذیری‌های …

ادامه مطلب