چندین عامل تهدید مشاهده شده ‌اند که از 20 ژانویه 2023 به‌ طور فرصت‌ طلبانه یک آسیب‌ پذیری امنیتی حیاتی وصله ‌شده را که چندین محصول Zoho ManageEngine را تحت تأثیر قرار می ‌دهند، مسلح می‌ کنند.

نقص اجرای کد از راه دور که به‌عنوان CVE-2022-47966 ردیابی می‌شود ( امتیاز ( CVSS: 9.8 ، امکان تسخیر کامل سیستم‌های حساس توسط مهاجمان غیرقانونی را فراهم می‌کند.

24 محصول مختلف از جمله Access Manager Plus، ADManager Plus، ADSelfService Plus، Password Manager Pro، Remote Access Plus و Remote Monitoring and Management (RMM) تحت تاثیر این مشکل قرار دارند.

Martin Zugec  از Bitdefender در مشاوره فنی به اشتراک گذاشته شده با The Hacker News گفت : این نقص به دلیل استفاده از outdated third-party dependency برای اعتبارسنجی امضای  XML signature وApache Santuario امکان اجرای کد از راه دور غیرقابل تأیید را می دهد.

به گفته شرکت امنیت سایبری رومانیایی ، گفته می ‌شود که تلاش‌ های بهره ‌برداری از یک روز پس از انتشار proof-of-concept (PoC) شرکت آزمایش نفوذ Horizon3.ai در ماه گذشته آغاز شده است.

اکثر قربانیان حمله در استرالیا، کانادا، ایتالیا، مکزیک، هلند، نیجریه، اوکراین، بریتانیا و ایالات متحده هستند.

هدف اصلی حملات شناسایی شده تا به امروز حول نصب و گسترش نرم افزارهایی بر روی میزبان های آسیب پذیر مانند Netcat و Cobalt Strike Beacon  می چرخد.

برخی از نفوذها از دسترسی اولیه برای نصب نرم‌ افزار AnyDesk برای دسترسی از راه دور استفاده کرده اند ، در حالی که برخی دیگر سعی کرده‌ اند نسخه‌ ای از یک نوع باج ‌افزار به نام Buhti را نصب کنند .

Fortinet  بروزرسانی‌های امنیتی را برای رفع 40 آسیب‌پذیری در مجموعه نرم‌افزاری خود از جمله  FortiWeb ، FortiOS ، FortiNAC  و FortiProxy منتشر کرده است .

دو مورد از 40 نقص دارای رتبه بندی بحرانی، 15 مورد دارای رتبه بالا، 22 مورد دارای رتبه متوسط ​​و یکی دارای رتبه کم از نظر شدت هستند.

در بالای لیست یک اشکال شدید موجود در راه حل کنترل دسترسی شبکه  FortiNAC (CVE-2022-39952، امتیاز CVSS: 9.8) وجود دارد که می تواند منجر به اجرای کد دلخواه شود.

Fortinet در اوایل این هفته در مشاوره‌ای گفت : «یک کنترل خارجی نام فایل یا آسیب‌پذیری مسیر [CWE-73] در وب سرور FortiNAC ممکن است به مهاجمی که احراز هویت نشده اجازه نوشتن دلخواه روی سیستم را بدهد.»

محصولات تحت تاثیر این آسیب پذیری به شرح زیر است –

•     FortiNAC نسخه 9.4.0
•     FortiNAC نسخه 9.2.0 تا 9.2.5
•     FortiNAC نسخه 9.1.0 تا 9.1.7
•     FortiNAC 8.8 همه نسخه ها
•     FortiNAC 8.7 همه نسخه ها
•     FortiNAC 8.6 همه نسخه ها
•     FortiNAC 8.5 همه نسخه ها و
•     FortiNAC 8.3 همه نسخه ها

پچ ها در نسخه های  FortiNAC 7.2.0، 9.1.8، 9.1.8 و 9.1.8 منتشر شده اند. شرکت تست نفوذ Horizon3.ai گفت که قصد دارد به زودی یک کد proof-of-concept (PoC)  برای این نقص منتشر کند، که باعث می‌شود کاربران به سرعت برای اعمال به‌روزرسانی‌ها حرکت کنند.

دومین نقص قابل توجه ، مجموعه‌ای از stack-based buffer overflow در proxy daemon FortiWeb ، امتیاز (CVE-2021-42756, CVSS score: 9.3)  است که می‌تواند یک مهاجم احراز هویت نشده  رااز راه دور قادر به اجرای کد دلخواه از طریق درخواست‌های HTTP ساخته شده خاص کند.

CVE-2021-42756 بر نسخه‌های FortiWeb زیر تأثیر گذاشته و با اصلاحات موجود در نسخه‌های FortiWeb 6.0.8، 6.1.3، 6.2.7، 6.3.17 و 7.0.0 –

•     6.4    FortiWeb همه نسخه ها
•     نسخه های FortiWeb 6.3.16 و پایین تر
•     نسخه های FortiWeb 6.2.6 و پایین تر
•     نسخه های FortiWeb 6.1.2 و پایین تر
•     نسخه های FortiWeb 6.0.7 و پایین تر و
•     نسخه های فورتی وب 5.x همه نسخه ها

فورتی نت گفته که هر دو نقص به صورت داخلی کشف و توسط تیم امنیتی محصول آن گزارش شده است. جالب اینجاست که به نظر می رسد CVE-2021-42756 نیز در سال 2021 شناسایی شده است اما تاکنون به طور عمومی فاش نشده است.

خبر ساقط شدن یک بالون جاسوسی منتصب به چین بر فراز ایالات‌متحده، علاقه به نحوه جاسوسی دولت‌ها و ملت‌ها از یکدیگر را برانگیخته است.

البته اینکه این بالون بر فراز مناطق نظامی ایالات‌متحده شناور بوده و قصد جاسوسی داشته تأیید نشده است. چین اعلام کرده است که این یک کشتی هوایی غیرنظامی بوده که برای تحقیقات آب و هوایی مستقر شده و در خارج‌ازمسیر باد منفجر شده است. بااین‌وجود، اتهام تهدید بالقوه جاسوسی ایالات‌متحده را در آغوش گرفته است.

و این موضوعی منطقی است. نمی‌توان در مورد اهمیت هوشمندی‌های مختلف اغراق کرد. کشورها بر اساس آن تصمیمات مهم سیاسی، اقتصادی و نظامی می‌گیرند.

درحالی‌که مردم ممکن است در مورد ایده استفاده از یک بالون برای شناور شدن غیرفعال بالای یک کشور برای جاسوسی از آن بخندند، واقعیت این است که وقتی صحبت از برتری بر دشمنان شما می‌شود، همه‌چیز پیشروی خواهد کرد؛ بنابراین، چه راه‌هایی وجود دارد که ملت‌ها امروز اطلاعات را جمع‌آوری می‌کنند؟

یکی از راهبرد‌های اصلی جمع‌آوری اطلاعات، جاسوسی از طریق سیگنال‌ها است. این موضوع شامل استفاده از انواع فناوری‌های زمینی و فضایی برای هدف‌گیری سیگنال‌ها و ارتباطاتی است که از دستگاه یا دستگاه‌های هدف می‌آیند.

نتایجی که «محصول» نامیده می‌شود، اغلب اطلاعات بسیار حساسی را نشان می‌دهد که توضیح می‌دهد که چرا اطلاعات سیگنال‌ها نیز بحث‌برانگیزترین شکل جاسوسی است.

کشورهایی که این قابلیت را به سمت درون خود می‌برند، با انتقاد فزاینده‌ای از سوی کسانی که در شبکه گیر افتاده‌اند و از سوی شهروندانی که به حفظ حریم خصوصی اهمیت می‌دهند، مواجه خواهند شد. در سال 2013، ادوارد اسنودن استفاده آژانس امنیت ملی ایالات‌متحده از اطلاعات سیگنال‌ها را برای جمع‌آوری داده‌های انبوه از مردم فاش کرد. دولت ایالات‌متحده از آن زمان برای متقاعد کردن شهروندان تلاش کرده عنوان کند که اقدامات آژانس امنیت ملی این کشور عمدتاً بر پایه جمع‌آوری‌های خارجی متمرکز بوده است.

کاخ سفید نیز اخیراً فرمان اجرایی در این زمینه منتشر کرده است.

جاسوسی ژئوفضایی به فعالیت‌های انسانی در سطح و زیرزمین، ازجمله آبراه‌ها، مربوط می‌شود. به‌طورکلی این جاسوسی بر ساخت‌وسازهای نظامی و غیرنظامی، تحرکات انسانی (مانند جابجایی پناهندگان و مهاجران) و استفاده از منابع طبیعی متمرکز است.

اطلاعات ژئوفضایی از اطلاعات به‌دست‌آمده از طریق ماهواره‌ها، هواپیماهای بدون سرنشین، هواپیماهای ارتفاع بالا و بله حتی بالن‌ها بهره‌برداری می‌کند!

بالن‌های جاسوسی می‌توانند نه‌تنها تصاویر و سیگنال‌ها، بلکه تجزیه‌وتحلیل‌های شیمیایی هوا را نیز جمع‌آوری کنند. آن‌ها متداول نیستند، زیرا این رویکرد فاقد قابلیت انکار قابل‌قبول است و همان‌طور که دیدیم، بالون‌ها به‌راحتی مشاهده و ساقط خواهند شد. از سوی دیگر، احتمال ردیابی آن‌ها در فضای رادار کم بوده، ارزان هستند و می‌توانند بی‌ضرر به نظر برسند.

ازجمله جاسوسی‌های با ارتباط تنگاتنگ با جاسوسی ژئوفضایی، می‌توان جاسوسی تصویری را نام برد که اغلب با استفاده از ماهواره‌ها، پهپادها و هواپیماها انجام می‌شود.

نتیجه این روش اطلاعاتی است که از مجموعه بالای تصاویر فعالیت‌های غیرنظامی و نظامی به دست می‌آید. اطلاعات تصویری اغلب بر حرکات استراتژیک نیروها و سیستم‌های تسلیحاتی متمرکز است و به‌طور خاص پایگاه‌های نظامی، زرادخانه‌های هسته‌ای و سایر دارایی‌های استراتژیک را هدف قرار می‌دهد.

یکی از شکل‌های بسیار فنی جمع‌آوری اطلاعات که به‌ندرت به آن اشاره می‌شود، جاسوسی از طریق اندازه‌گیری و ردیابی است. این دسته شامل اطلاعاتی است که از ردیابی الکترومغناطیسی منحصربه‌فرد راکت‌ها، سیستم‌های فرماندهی و کنترل، سیستم‌های رادار و تسلیحاتی و سایر تجهیزات نظامی و غیرنظامی به دست می‌آید.

جمع‌آوری داده‌ها با استفاده از ابزارهای پیشرفته انجام می‌شود که به‌طور خاص برای شناسایی و طبقه‌بندی تابش‌های الکترومغناطیسی طراحی شده‌اند. در میان سایر روش‌ها، این شکل از جمع‌آوری اطلاعات امکان شناسایی از راه دور استقرار سلاح‌ها و اطلاعات دقیق در سکوهای فضایی را فراهم خواهد کرد.

جاسوسی سایبری عموماً با اطلاعات سیگنال‌ها ترکیب می‌شود، اما ازاین‌جهت متمایز است که از تعامل مستقیم انسانی (مانند هکرها) برای نفوذ به سیستم‌های محافظت‌شده و دسترسی به داده‌ها استفاده می‌کند.

جاسوسی سایبری به جمع‌آوری آشکار و پنهان اطلاعات از شبکه‌های دوستانه و متخاصم اشاره دارد. می‌توان آن را از طریق جمع‌آوری سیگنال‌ها، بدافزارها یا از طریق دسترسی غیرمجاز مستقیم هکرها به سیستم به دست آورد. کشورها حتی ممکن است شبکه‌های متحدان خود را نیز هدف قرار دهند.

یکی از نمونه‌های جاسوسی سایبری، سرقت اطلاعات دفتر مدیریت کارکنان ایالات‌متحده در سال 2015 بود. این سرقت برای جمع‌آوری تمام اطلاعات موجود در مورد کارکنان دولت و ارتش ایالات‌متحده که برای مجوز امنیتی غربالگری شده بودند، طراحی شده بود.

جدیدترین رشته مجموعه اطلاعات، جاسوسی منبع باز است. در اواخر دهه 1980، جاسوسی منبع باز از منابع اولیه مختلفی مانند روزنامه‌ها، وبلاگ‌ها، پست‌ها و گزارش‌های رسمی و منابع ثانویه مانند افشای اطلاعات در سایت‌هایی ازجمله ویکی لیکس ( WikiLeaks ) ، اینترسپت (The Intercept) و رسانه‌های اجتماعی به دست می‌آمد.

اگرچه این اطلاعات به‌راحتی در دسترس‌اند، اما تبدیل آن به اطلاعات قابل‌اجرا به ابزارهای خاصی مانند وب اسکراپر و استخراج‌کننده داده و همچنین تحلیلگران آموزش‌دیده‌ای نیاز دارد که می‌توانند ارتباط بین مجموعه داده‌های بزرگ را پیدا کنند.

جاسوسی انسانی قدیمی‌ترین شکل جمع‌آوری اطلاعات و شاید شناخته‌شده‌ترین روش است. جاسوس‌ها به‌طورکلی به سه دسته تقسیم می‌شوند:

1. افسران اطلاعاتی اعلام‌شده (علنی)
2. افرادی که تحت پوشش رسمی کار می‌کنند، مانند جاسوسانی که به‌عنوان دیپلمات، کارکنان نظامی و سفارتی و یا کارکنان پشتیبانی غیرنظامی کار می‌کنند.
3. جاسوسان غیررسمی تحت پوشش که اغلب ظاهراً در سمت‌های تجاری، دانشگاهی و تجاری کار می‌کنند.

افسران جاسوسی، شهروندان یک کشور را برای جاسوسی آگاهانه یا ناخواسته و اداره عوامل شهروندان همکار یک کشور میزبان برای حمایت از اهداف استراتژیک کشورشان، استخدام می‌کنند.

به لطف اینترنت و شبکه تاریک یا همان دارک وب، ما اکنون اطلاعات انسانی مبتنی بر سایبری داریم که به جاسوسان اجازه می‌دهد تا دارایی‌ها و منابع را از امنیت کشور خود ارزیابی، استخدام و کار کنند. این موضوع حتی در وب‌سایت‌هایی مانند لینکدین هم ممکن است رخ دهد.

درحالی‌که جمع‌آوری اطلاعات به کمک یک بالن هواشناسی سرگردان به نظر می‌رسد اقدامی نسبتاً آشفته باشد، آخرین رویدادها ما را به یاد جنگ دائمی برای اطلاعاتی که کشورها به راه انداخته‌اند، می‌اندازند. تحلیلگران پس از جنگ در اوکراین در حال بررسی مجموعه‌ای از اطلاعات برای مقایسه سیستم‌های تسلیحاتی روسیه، چین و ایران با اوکراین و حامیان ناتو هستند.

ازآنجایی‌که جهان همچنان با چالش‌های جدیدی ازجمله تغییرات آب و هوایی و توسعه سریع فناوری‌های جدید مواجه است، تمرکز اطلاعاتی کشورها احتمالاً برای همگام شدن با آن‌ها باید گسترش یابد.

سیستم های  Critix ( سیتریکس ) آپدیت امنیتی را برای آسیب پذیری های موجود در اپلیکیشن های مجازی، دسکتاپ و اپلیکیشن های فضای کار خود منتشر کرده است.

این نقص های امنیتی اصلاح شده بسیار جدی به حساب می آیند چرا که این امکان را به مهاجمین می دهند تا به مورد نظر خود دسترسی محلی پیدا کنند و با افزایش سطح دسترسی، کنترل سیستم های آلوده را در دست بگیرند.

محصولات شرکت سیتریکس به صورت گسترده مورد استفاده سازمان های سرتاسر دنیا قرار دارند. بنابراین اعمال آپدیت های امنیتی در آن ها از جمله اقدامات ضروری به حساب می آید و می تواند دسترسی آسان هکرها به سیستم های تحت رخنه را مسدود کند.

آژانس امنیت سایبری و امنیت زیرساخت آمریکا یا همان سیسا نیز هشداری را مبنی بر اعمال هر چه سریع تر آپدیت های امنیتی سیتریکس منتشر کرده است.

آسیب پذیری های اصلاح شده سیتریکس عبارتند از:

• CVE-2023-24483
• CVE-2023-24484
• CVE-2023-24485
• CVE-2023-24486
• CVE-2023-24483

سیتریکس به مشتریان توصیه کرده تا نسخه اصلاح شده را هر چه سریع تر نصب کنند.

از آنجایی که تا به حال موارد زیادی مبنی بر اکسپلویت این آسیب‌‌پذیری گزارش شده است، فورتی نت IoC های زیر را در راستای شناسایی ارائه کرده است:

لاگین‌های متعدد با:

Logdesc=”Application crashed” and msg=”[…] application:sslvpnd,[…], Signal 11 received, Backtrace: […]“

وجود artifactهای زیر در filesystem

/data/lib/libips.bak
/data/lib/libgif.so
/data/lib/libiptcp.so
/data/lib/libipudp.so
/data/lib/libjepg.so
/var/.sslvpnconfigbk
/data/etc/wxd.conf
/flash

وجود ارتباط‌ بین فورتی گیت با آدرس‌های IP زیر:

۱۸۸٫۳۴٫۱۳۰٫۴۰:۴۴۴
۱۰۳٫۱۳۱٫۱۸۹٫۱۴۳:۳۰۰۸۰,۳۰۰۸۱,۳۰۴۴۳,۲۰۴۴۳
۱۹۲٫۳۶٫۱۱۹٫۶۱:۸۴۴۳,۴۴۴
۱۷۲٫۲۴۷٫۱۶۸٫۱۵۳:۸۰۳۳

• FortiOS نسخه ۷٫۲٫۰ تا ۷٫۲٫۲
• FortiOS نسخه ۷٫۰٫۰ تا ۷٫۰٫۸
• FortiOS نسخه ۶٫۴٫۰ تا ۶٫۴٫۱۰
• FortiOS نسخه ۶٫۲٫۰ تا ۶٫۲٫۱۱
• FortiOS-6K7K  نسخه ۷٫۰٫۰ تا ۷٫۰٫۷
• FortiOS-6K7K  نسخه ۷٫۰٫۰ تا ۷٫۰٫۷
• FortiOS-6K7K  نسخه ۶٫۴٫۰ تا ۶٫۴٫۹
• FortiOS-6K7K  نسخه ۶٫۲٫۰ تا ۶٫۲٫۱۱
• FortiOS-6K7K  نسخه ۶٫۰٫۰ تا ۶٫۰٫۱۴

• ارتقا به FortiOS نسخه ۷٫۲٫۳ و یا بالاتر
• ارتقا به FortiOS نسخه ۷٫۰٫۹ و یا بالاتر
• ارتقا به FortiOS نسخه ۶٫۴٫۱۱ و یا بالاتر
• ارتقا به FortiOS نسخه ۶٫۲٫۱۲ و یا بالاتر
• ارتقا به FortiOS-6K7K  نسخه ۷٫۰٫۸ و یا بالاتر
• ارتقا به FortiOS-6K7K  نسخه ۶٫۴٫۱۰ و یا بالاتر
• ارتقا به FortiOS-6K7K  نسخه ۶٫۲٫۱۲ و یا بالاتر
• ارتقا به FortiOS-6K7K  نسخه ۶٫۰٫۱۵ و یا بالاتر

مرجع: CVE-2022-42475

یکی از روش‌های اولیه که توزیع‌کنندگان بدافزار برای آلوده کردن دستگاه‌ها استفاده می‌کنند، فریب دادن افراد به دانلود و اجرای فایل‌های مخرب است و برای دستیابی به این هدف، نویسندگان بدافزار از ترفند‌های مختلفی استفاده می‌کنند.

برخی از این ترفند‌ها شامل مخفی کردن فایل‌های اجرایی بدافزار به عنوان برنامه‌های کاربردی قانونی، امضای آن‌ها با سرتیفیکیت‌های معتبر، یا به خطر انداختن سایت‌های قابل اعتماد برای استفاده از آن‌ها به عنوان نقاط توزیع بدافزار است.

به گفته یک پلتفرم امنیتی برای اسکن فایل‌های آپلود شده برای بدافزار با نام VirusTotal، برخی از این ترفند‌ها در مقیاسی بسیار بزرگتر از آنچه در ابتدا تصور می‌شد اتفاق می‌افتد.

این پلتفرم گزارشی را گردآوری کرده است که از ژانویه ۲۰۲۱ تا ژوئیه ۲۰۲۲ بر اساس ارسال دو میلیون فایل در روز، روند‌های نحوه توزیع بدافزار را نشان می‌دهد.

سواستفاده از دامین‌های قانونی
توزیع بدافزار از طریق وب‌سایت‌های قانونی، محبوب و با رتبه بالا به عوامل تهدید این امکان را می‌دهد تا از فهرست‌های مسدود مبتنی بر IP فرار کنند، از در دسترس بودن بالا لذت ببرند و سطح اعتماد بیشتری را ارائه دهند.

مجموعه VirusTotal، درمجموع 2.5 میلیون فایل مشکوک دانلود شده از ۱۰۱ دامنه متعلق به ۱۰۰۰ وب سایت برتر الکسا را ​​شناسایی کرد.

قابل توجه‌ترین مورد سواستفاده Discord است که به کانون توزیع بدافزار تبدیل شده است و ارائه‌دهندگان خدمات میزبانی و ابری Squarespace و Amazon نیز تعداد زیادی را به نام خود ثبت کرده‌اند.

استفاده از سرتیفیکیت‌های code-signing سرقت شده
امضای نمونه‌های بدافزار با گواهی‌های معتبر دزدیده شده از شرکت‌ها، راهی مطمئن برای فرار از تشخیص آنتی‌ویروس‌ها و هشدار‌های امنیتی در دستگاه میزبان است.

از تمام نمونه‌های مخرب آپلود شده در VirusTotal بین ژانویه ۲۰۲۱ تا‌آوریل ۲۰۲۲، بیش از یک میلیون مورد امضا شده و ۸۷٪ از یک گواهی معتبر استفاده کردند.

رایج‌ترین مقامات صدور گواهینامه که برای امضای نمونه‌های مخرب ارسال شده به VirusTotal استفاده می‌شوند عبارتند از Sectigo، DigiCert، USERTrust و Sage آفریقای جنوبی.

پنهان شدن در قالب نرم‌افزار محبوب
پنهان کردن یک بدافزار قابل اجرا به عنوان یک برنامه معتبر و محبوب در سال ۲۰۲۲ روند صعودی داشته است.

قربانیان با تصور اینکه برنامه‌های مورد نیاز خود را دریافت می‌کنند، این فایل‌ها را دانلود می‌کنند، اما با اجرای نصب‌کننده‌ها، سیستم‌های خود را با بدافزار آلوده می‌نمایند.

برنامه‌هایی که بیشترین تقلید را دارند (با نماد) Skype، Adobe Acrobat، VLC و 7zip هستند.

برنامه محبوب بهینه‌سازی ویندوز CCleaner که در کمپین آلودگی سئو اخیر مشاهده شد، یکی از گزینه‌های برجسته هکر‌ها است و نسبت آلودگی فوق‌العاده بالایی را برای حجم توزیع آن دارد.

فیلتراسیون نصب‌کننده‌های قانونی
در نهایت، ترفند پنهان کردن بدافزار در نصب‌کننده‌های قانونی برنامه و اجرای فرآیند آلودگی در پس‌زمینه در حالی که برنامه‌های واقعی در پیش‌زمینه اجرا می‌شوند، وجود دارد.

این فرآیند به فریب قربانیان کمک می‌کند و همچنین از برخی موتور‌های آنتی ویروس که ساختار و محتوای منابع PR را در فایل‌های اجرایی بررسی نمی‌کنند، فرار می‌کند.

بر اساس آمار VirusTotal، به نظر می‌رسد که این روش امسال نیز در حال افزایش است و از Google Chrome، Malwarebytes، Windows Updates، Zoom، Brave، Firefox، ProtonVPN و Telegram به عنوان فریب استفاده می‌شود.

چگونه ایمن بمانیم
هنگامی که به دنبال دانلود نرم‌افزار هستید، یا از فروشگاه برنامه داخلی سیستم عامل خود استفاده کنید یا از صفحه دانلود رسمی برنامه دیدن کنید. همچنین، مراقب موارد تبلیغاتی در نتایج جستجو باشید که ممکن است رتبه بالاتری داشته باشند، زیرا به راحتی می‌توان آن‌ها را جعل کرد تا شبیه سایت‌های قانونی به نظر برسند.

پس از دانلود یک نصب‌کننده، همیشه قبل از اجرای فایل، یک اسکن AV روی آن انجام دهید تا مطمئن شوید که بدافزاری در آن‌ها پنهان نیستند.

در نهایت، از استفاده از سایت‌های تورنت برای کرک‌ها یا keygens برای نرم‌افزار‌های دارای حق نشر خودداری کنید، زیرا معمولاً منجر به ایجاد آلودگی به بدافزار می‌شوند.

کارشناسان امنیتی پلتفرم آنلاین Zscaler تحلیلی از نوع جدید بدافزار شناخته شده Raccoon Stealer منتشر کرده‌اند.

مجموعه Zscaler در یک توصیه‌نامه امنیتی نوشت که نسخه جدید بدافزار برخلاف نسخه‌های قبلی که عمدتاً در C++ نوشته شده بودند، به زبان C نوشته شده است.

بدافزار Raccoon Stealer 2.0 دارای یک back-end و front-end جدید و کدی برای سرقت اطلاعات کاربری و سایر داده‌ها به شکل کاملاً مؤثرتر است.

نسخه جدید سارق اعتبارنامه همچنین می‌تواند روی سیستم‌های ۳۲ و ۶۴ بیتی بدون نیاز به هیچ گونه وابستگی اضافی کار کند، در عوض هشت DLL قانونی را مستقیماً از سرور‌های C2 خود (به‌جای تکیه بر API ربات تلگرام) دریافت کند.

سرور C2 همچنین مسئول پیکربندی بدافزار است، از جمله برنامه‌های هدف، URL میزبان DLL و توکن‌هایی برای استخراج داده‌ها. سپس سرور‌ها داده‌های فینگرپرینت دستگاه را دریافت می‌کنند و منتظر درخواست‌های POST فردی می‌مانند که حاوی اطلاعات سرقت شده است.

بر اساس گزارش‌ها، انواع داده‌هایی که توسط Raccoon Stealer 2.0 به سرقت رفته است شامل اطلاعات فینگرپرینت سیستم، رمز‌های عبور مرورگر، کوکی‌ها، داده‌های تکمیل خودکار و کارت‌های اعتباری ذخیره‌شده، کیف پول‌های ارز‌های دیجیتال، فایل‌های موجود بر روی همه دیسک‌ها، اسکرین‌شات‌ها و لیست‌های برنامه‌های نصب شده است.

مجموعه Zscaler نوشت: «ما همچنین شاهد تغییری در نحوه پنهان کردن Raccoon Stealer v2 با استفاده از مکانیزمی بودیم که در آن نام‌های API به‌جای بارگذاری استاتیک به صورت پویا حل می‌شوند.»

طبق گزارشات، عملیات Raccoon Stealer در مارس ۲۰۲۲ پس از مرگ یکی از توسعه‌دهندگان اصلی در جریان تهاجم روسیه به اوکراین، تعطیل شد.

این تیم سپس در تالار‌های دارک‌وب نوشت که بر اساس تحلیل تحلیلگران امنیتی در Sekoia، با یک پست وبلاگ در یک انجمن دارک‌وب نامعلوم که نشان می‌دهد Raccoon Stealer 2.0 قبلاً در ماه می‌در حال توسعه بود، بازخواهند گشت.

تحلیل Zscaler می‌گوید: Raccoon Stealer که به عنوان Malware-as-a-Service فروخته می‌شود در چند سال گذشته محبوب شده و چندین مورد از این بدافزار مشاهده شده است.

«نویسندگان این بدافزار دائماً ویژگی‌های جدیدی را به این خانواده بدافزار اضافه می‌کنند. این دومین انتشار بزرگ بدافزار پس از اولین انتشار در سال ۲۰۱۹ است. این نشان می‌دهد که بدافزار احتمالاً تکامل می‌یابد و همچنان به عنوان تهدیدی دائمی برای سازمان‌ها باقی می‌ماند.»

اپراتور‌های بد افزار Gootkit access-as-a-service (AaaS) با تکنیک‌های به روز شده برای به خطر انداختن قربانیان ناآگاه دوباره در فضای سایبری ظاهر شده‌اند.

بادی تانسیو و جید والدراما، محققان Trend Micro هفته گذشته در گزارشی گفتند: «در گذشته، Gootkit از نصب‌کننده‌های نرم‌افزار رایگان برای پوشاندن فایل‌های مخرب استفاده می‌کرد؛ اما اکنون از اسناد قانونی برای فریب کاربران برای دانلود این فایل‌ها استفاده می‌کند.»

این یافته‌ها بر اساس گزارش قبلی از eSentire است که در ژانویه حملات گسترده‌ای را با هدف استقرار بد افزار در سیستم‌های آلوده به کارمندان حسابداری و شرکت‌های حقوقی فاش کرد.

بد افزار Gootkit بخشی از اکوسیستم زیرزمینی در حال گسترش دسترسی بروکر‌ها است، که برای سایر عاملان مخرب راهی برای ورود به شبکه‌های شرکتی با یک قیمت اندک فراهم می‌کند و راه را برای حملات آسیب‌رسان واقعی مانند باج‌افزار هموار می‌نماید.

لودر از نتایج موتور جستجوی مخرب استفاده می‌کند، تکنیکی به نام آلودگی SEO، تا کاربران ناآگاه را به بازدید از وب‌سایت‌های آسیب‌دیده که میزبان فایل‌های پکیج ZIP با بدافزار هستند که ظاهراً مربوط به توافق‌نامه‌های افشای معاملات املاک و مستغلات هستند، جذب کند.

محققان خاطرنشان کردند: «ترکیبی از آلودگی سئو و وب سایت‌های قانونی در معرض خطر می‌تواند شاخص‌های فعالیت مخربی را که معمولاً برای کاربرانی که مراقب فعالیت‌های خود هستند، پنهان کند.»

فایل ZIP، به نوبه خود، شامل یک فایل جاوا اسکریپت است که یک باینری Cobalt Strike را بارگذاری می‌کند، ابزاری که برای فعالیت‌های پس از بهره‌برداری که مستقیماً بدون فایل در حافظه اجرا می‌شود، استفاده می‌شود.

محققان گفتند: «Gootkit هنوز فعال است و تکنیک‌های خود را بهبود می‌بخشد. این نشان می‌دهد که این عملیات مؤثر بوده است، زیرا به نظر می‌رسد دیگر عوامل تهدید به استفاده از آن روی آورده و ادامه می‌دهند.»