بلاگ / بایگانی نویسنده «رضا فتاح»
به‌روزرسانی‌ها و اصلاحیه‌های مرداد ۱۴۰۰

به گزارش مرکز مدیریت راهبردی افتا، در مرداد ۱۴۰۰، مایکروسافت، سیسکو، مک‌آفی، وی‌ام‌ور، سیتریکس، اس‌آپ و دروپال اقدام به عرضه به‌روزرسانی و توصیه‌نامه امنیتی برای برخی محصولات خود کردند. مـایـکـروسـافـت۱۹ مرداد، شرکت مایکروسافت (Microsoft Corp)، مجموعه اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی آگوست منتشر کرد. اصلاحیه‌های مذکور در مجموع ۴۴ آسیب‌پذیری را در Windows و محصولات مختلف این شرکت را ترمیم می‌کنند که ۳ مورد از نوع “روز – صفر” می‌باشد. از مجموع ۴۴ آسیب‌پذیری ترمیم شده مایکروسافت، درجه اهمیت ۷ مورد “حیاتی” (Critical) و ۳۷ مورد “مهم” (Important) اعلام شده است.۱۷ مورد از آسیب‌پذیری‌های ترمیم شده از نوع “افزایش سطح دسترسی” (Elevation …

ادامه مطلب
سرورهای آسیب‌پذیر Exchange هدف باج‌افزار جدید LockFile

یک گروه باج‌افزاری جدید به نام LockFile، با سوءاستفاده از ضعف‌های امنیتی ProxyShell،  به سرورهای آسیب‌پذیر Exchange و رمزگذاری دستگاه‌های Windows در سطح دامنه اقدام می‌کنند.به گزارش مرکز مدیریت راهبردی افتا، سوءاستفاده از این آسیب‌پذیری‌ها، مهاجم را قادر به اجرای کد از راه دور، بدون نیاز به هرگونه اصالت‌سنجی بر روی سرورهای Exchange می‌کند.جزئیات این سه آسیب‌پذیری توسط یک محقق امنیتی در جریان مسابقات هک  Pwn۲Own در آوریل ۲۰۲۱ افشا شد.ProxyShell عنوانی است که به مجموعه سه آسیب‌پذیری زیر اطلاق می‌شود:     CVE-۲۰۲۱-۳۴۴۷۳ که ضعفی از نوع “اجرای کد از راه دور” (Remote Code Execution – به‌اختصار RCE) است و در ۲۲ تیر ۱۴۰۰ توسط مایکروسافت …

ادامه مطلب
تحلیل تهدید باج‌افزاری DARKSIDE

قربانی‌های باج افزار DARKSIDE بطور عمده در بخش‌های مالی، حقوقی، تولید و کارخانجات، صنایع تکنولوژیک و خرده‌فروشی‌ها قرار دارند و بر اساس اطلاعات شرکت FireEye، تعداد قربانی‌های باج افزار رو به افزایش است.به گزارش مرکز مدیریت راهبردی افتا، باج‌افزار DARKSIDE به‌صورت RaaS عمل می‌کند که در آن منافع مالی بین گردانندگان تهدید و شرکا یا همکاران تقسیم می‌شود که دسترسی به سازمان‌های هدف را فراهم کرده یا باج‌افزار را در سازمان هدف مستقر می‌سازند.در تحلیل تهدید باج افزار DARKSIDE ، ضمن آشنایی شما با کمپین این باج افزار، درباره قربانی‌ها، سرویس RaaS باج‌افزار، همکاران و شرکای DARKSIDE و شناسنامه بدافزار اطلاعاتی در اختیار شما قرار …

ادامه مطلب
کیونپ و ساینالوژی، هدف باج افزار eCh۰raix

به تازگی نوع جدیدی از باج افزار eCh۰raix کشف شده است که به طور خاص تجهیزات Network Attached Storage  – به اختصار– NAS  ساخت شرکت های ساینالوژی و کیونپ را هدف قرار می دهد.به گزارش مرکز مدیریت راهبردی افتا، نخستین نسخه از باج افزار eCh۰raix (که با نام QNAPCrypt نیز شناخته می شود) در ژوئن سال ۲۰۱۶ منتشر شد. این باج افزار چندین بار در مقیاس گسترده در ژوئن ۲۰۱۹ و ژوئن ۲۰۲۰ تجهیزات NAS شرکت کیونپ را هدف حملات قرار داده است.باج افزار eCh۰raix، در سال ۲۰۱۹ نیز به تجهیزات NAS شرکت ساینالوژی، حمله کرده بود.  در گزارشی که محققان آنومالی در لینک زیر منتشر …

ادامه مطلب
اصلاحیه‌های امنیتی مایکروسافت برای ماه میلادی آگوست

مایکروسافت (Microsoft Corp)، مجموعه اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی آگوست منتشر کرد.به گزارش مرکز مدیریت راهبردی افتا،  اصلاحیه‌های مذکور در مجموع ۴۴ آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند که ۳ مورد از نوع “روز – صفر” می‌باشد. از مجموع ۴۴ آسیب‌پذیری ترمیم شده مایکروسافت، درجه اهمیت ۷ مورد “حیاتی” (Critical) و ۳۷ مورد “مهم” (Important) اعلام شده است. ۱۷ مورد از آسیب‌پذیری‌های ترمیم شده از نوع “افزایش سطح دسترسی” (Elevation of Privilege)، ۱۳ مورد از نوع “اجرای کد از راه دور” (Remote Code Execution)، ۸ مورد از نوع “افشای اطلاعات” (Information Disclosure)، ۴ مورد از نوع “جعل” (Spoofing) و …

ادامه مطلب
آسیب‌پذیری‌های قدیمی؛ همچنان محبوب تبهکاران سایبری

محققان امنیتی شرکت کوالیس (Qualys, Inc.) حملات بزرگ باج‌افزاری را در پنج سال گذشته به طور کامل مطالعه کرده و مشخص کرده‌اند که در این حملات حدوداً ۱۱۰ ضعف امنیتی (CVE) مورد سوءاستفاده قرار گرفته است. آن‌ها دریافتند که برای اکثر این ۱۱۰ ضعف امنیتی، توصیه‌نامه یا وصله‌ای از طرف شرکت مربوطه ارائه شده است.تحلیل محققان این شرکت نشان می‌دهد که علاوه بر بهره‌جویی از ضعف‌های امنیتی معروف و شناخته شده، مهاجمان از برخی آسیب‌پذیری‌های بسیار قدیمی نیز برای توزیع باج‌افزار سوءاستفاده می‌کنند. ضعف‌های امنیتی قدیمی، خصوصاً در سیستم‌های متصل به اینترنت، موردعلاقه مهاجمان هستند. ازآنجایی‌که بسیاری از سازمان‌ها اعمال به‌روزرسانی‌های امنیتی را موردتوجه قرار …

ادامه مطلب
BlackMatter در پی سرورهای VMware ESXi

به گفته برخی منابع، گردانندگان باج‌افزار BlackMatter با به‌کارگیری یک رمزگذار تحت Linux در حال آلوده‌سازی بسترهای مجازی VMware ESXi و رمزگذاری ماشین‌های مجازی آنها هستند.به گزارش مرکز مدیریت راهبردی افتا، این در حالی است که سازمان‌ها به دلایلی همچون تسهیل و تسریع فرآیند تهیه نسخه پشتیبان، سادگی نگهداری، بهینه‌تر شدن استفاده از منابع سخت‌افزاری و مدیریت منابع بیش از هر زمانی به بسترهای مجازی روی آورده‌اند.BlackMatter یک گروه باج‌افزاری نسبتاً جدید است که حملات آن از ماه گذشته آغاز شده است. گردانندگان این باج‌افزار روز ۳۰ تیر، در یکی از تالارهای گفتگوی اینترنتی هکرها، پیام‌هایی در خصوص خرید اطلاعات دسترسی شبکه‌های سازمانی منتشرکردند.با بررسی پیام‌های …

ادامه مطلب
هشدار به کاربران Exchange در خصوص ProxyShell

بررسی‌ها نشان می‌دهد که مهاجمان در حال پویش سرورهای Exchange آسیب‌پذیر به ProxyShell هستند.به گزارش مرکز مدیریت راهبردی افتا، این پویش‌ها در حالی انجام می‌شود که برخی جزئیات فنی آسیب‌پذیری‌های ProxyShell در جریان کنفرانس Black Hat ارائه شد. ProxyShell عنوانی است که به مجموعه سه آسیب‌پذیری زیر اطلاق می‌شود:     CVE-۲۰۲۱-۳۴۴۷۳ – که ضعفی از نوع Remote Code Execution است و در ۲۲ تیر ۱۴۰۰ توسط مایکروسافت وصله شد.      CVE-۲۰۲۱-۳۴۵۲۳ – که ضعفی از نوع Elevation of Privilege است. این آسیب‌پذیری نیز در ۲۲ تیر ۱۴۰۰ توسط مایکروسافت وصله شد.       CVE-۲۰۲۱-۳۱۲۰۷ – ضعفی از نوع Security Feature Bypass است و در ۲۱ اردیبهشت ۱۴۰۰ توسط …

ادامه مطلب
استقبال توسعه‌دهندگان بدافزار از زبان‌های برنامه‌نویسی غیرمعمول

بررسی‌ها نشان می‌دهد توسعه‌دهندگان بدافزار در ساخت ابزارهای خود به طور فزاینده‌ای از زبان‌های برنامه‌نویسی غیرمعمول همچون Go، Rust، Nim و Dlang باهدف دشوار کردن تحلیل عملکرد و ماهیت مخرب آن‌ها بهره می‌گیرند.به گزارش مرکز مدیریت راهبردی افتا، به نقل از گزارش شرکت BlackBerry، تعداد بدافزارهایی که در برنامه‌نویسی آنها از چنین زبان‌هایی استفاده شده به نحو چشم‌گیری افزایش‌یافته است.این زبان‌های برنامه‌نویسی غیر‌معمول، برخلاف گذشته مورد استقبال قرار گرفته‌اند و مهاجمان از آن‌ها برای بازنویسی بدافزارهای متداول و شناخته‌شده یا ایجاد بدافزارهای جدید استفاده می‌کنند.این محققان آن دسته از فایل‌های Loader یا Dropper بدافزارها که به زبان‌های برنامه‌نویسی غیرمعمول نوشته شده‌اند مورد رصد قرار داده‌اند. …

ادامه مطلب
رمزگذاری از طریق Group Policy، قابلیت جدید LockBit

 به‌تازگی نسخه جدیدی از باج‌افزار LockBit ۲,۰ کشف شده است که عملیات رمزگذاری فایل‌های ذخیره شده بر روی دستگاه‌های عضو دامنه را به‌صورت خودکار از طریق Active Directory Group Policy انجام می‌دهد.به‌گزارش مرکز مدیریت راهبردی افتا، نخستین نسخه از LockBit در اواخر تابستان ۱۳۹۸، در قالب “باج‌افزار به‌عنوان سرویس” (Ransomware-as-a-Service – به‌اختصار RaaS) ظهور کرد.در RaaS، صاحب باج‌افزار، فایل مخرب را به‌عنوان یک سرویس به متقاضی اجاره می‌دهد. متقاضی که ممکن است در برنامه‌نویسی تخصصی نداشته باشد تنها وظیفه انتشار باج‌افزار را بر عهده دارد و در نهایت بخشی از مبلغ اخاذی شده (معمولاً ۷۰ تا ۸۰ درصد از باج پرداخت شده توسط قربانی) را دریافت می‌کند …

ادامه مطلب