محققان می‌گویند هکر‌ها می‌توانند ابزار اتوماسیون ویندوز ۱۱ را به راحتی هک کرده و از طریق باج‌افزار از کاربران سوءاستفاده کنند.

در چند سال گذشته، خودکار کردن کار‌های روزمره ساده‌تر شده است. با استفاده از نرم‌افزار اتوماسیون، می‌توانید ساعات کاری خود را در صفحه‌گسترده ردیابی کنید یا زمانی که شخصی از شما در ایمیل نام می‌برد، به‌طور خودکار یک مورد از فهرست کار‌ها را ایجاد کنید. ابزار‌ها می‌توانند زندگی شما را آسان‌تر کنند، اما خطراتی را نیز به همراه دارند. ویندوز ۱۱

یک محقق امنیتی راهی برای ربودن ابزار اتوماسیون نرم افزاری مایکروسافت برای ارسال باج افزار به ماشین‌های متصل و سرقت داده‌ها از دستگاه‌ها یافته است.

مایکل بارگوری، موسس و مدیر ارشد فناوری شرکت امنیتی Zenity که پشت این کار است، گفت: این حمله از ابزار اتوماسیون، همان طور که طراحی شده است، استفاده می‌کند؛ اما به جای ارسال اقدامات قانونی، می‌توان از آن برای استقرار بدافزار استفاده کرد.

بارگوری گفت: تحقیق من نشان داد که شما به‌عنوان یک مهاجم می‌توانید به راحتی از تمام این زیرساخت‌ها استفاده کنید تا دقیقا همان کاری را که قرار است انجام دهد، انجام دهید. شما از آن برای اجرای محموله‌های خود به جای محموله‌های سازمانی استفاده می‌کنید.

این حمله مبتنی بر Power Automate مایکروسافت است. یک ابزار اتوماسیون که در ویندوز ۱۱ تعبیه شده است. Power Automate از نوعی اتوماسیون فرآیند روباتیک استفاده می‌کند که به عنوان RPA نیز شناخته می‌شود که در آن رایانه از اقدامات انسان برای تکمیل وظایف تقلید می‌کند. اگر می‌خواهید هر بار که فید RSS به‌روزرسانی می‌شود، یک اعلان دریافت کنید، می‌توانید یک فرآیند RPA سفارشی برای تحقق آن ایجاد کنید. هزاران مورد از این اتوماسیون‌ها وجود دارد و نرم افزار مایکروسافت می‌تواند Outlook، Teams، Dropbox و سایر برنامه‌ها را به هم مرتبط کند.
این نرم‌افزار بخشی از یک جنبش گسترده‌تر کم‌کد/بدون کد است که هدف آن ایجاد ابزار‌هایی است که افراد می‌توانند از آن برای ایجاد مواردی بدون داشتن دانش کدنویسی استفاده کنند.

تحقیقات بارگوری از موقعیتی شروع می‌شود که در آن یک هکر قبلا به رایانه شخصی دسترسی پیدا کرده است؛ چه از طریق فیشینگ و چه از طریق یک تهدید داخلی.

هنگامی که یک مهاجم به رایانه دسترسی پیدا می‌کند، باید چند مرحله اضافی را برای سوء استفاده از تنظیمات RPA انجام دهد؛ اما این‌ها نسبتا ساده هستند.

بارگوری که کل فرآیند را Power Pwn نامیده و در حال مستندسازی آن در GitHub است، گفت: این جا هک زیاد نیست. یک مهاجم ابتدا باید یک حساب ابری مایکروسافت که به عنوان مستاجر شناخته می‌شود، راه‌اندازی کرده و آن را طوری تنظیم کند که کنترل‌های مدیریتی بر روی ماشین‌هایی که به او اختصاص داده می‌شود، داشته باشد. این اساسا به حساب مخرب اجازه می‌دهد تا فرآیند‌های RPA را در دستگاه کاربر نهایی اجرا کند. در دستگاهی که قبلا در معرض خطر قرار گرفته بود، اکنون تنها کاری که یک هکر باید انجام دهد این است که آن را به حساب مدیریت جدید اختصاص دهد، این کار با استفاده از یک خط فرمان ساده به نام ثبت نام خاموش انجام می‌شود.

بارگوری گفت: هنگامی که این کار را انجام دادید، یک URL دریافت خواهید کرد که به شما به عنوان یک مهاجم امکان ارسال محموله‌ها را به دستگاه می‌دهد. قبل از سخنرانی خود در DefCon، او چندین نسخه نمایشی ایجاد کرد که نشان می‌داد چگونه می‌توان از Power Automate برای خروج باج‌افزار به ماشین‌های آسیب‌دیده استفاده کرد. دمو‌های دیگر نشان می‌دهند که چگونه یک مهاجم می‌تواند توکن‌های احراز هویت را از یک ماشین بدزدد.

او گفت: شما می‌توانید از طریق این تونل قابل اعتماد، داده‌ها را خارج از شبکه‌های شرکتی استخراج کنید، می‌توانید کی لاگر بسازید یا اطلاعات را از کلیپ بورد گرفته و مرورگر را کنترل کنید.

سخنگوی مایکروسافت پتانسیل این حمله را کم اهمیت جلوه داد و اشاره کرد که قبل از استفاده از یک حساب، مهاجم باید به آن دسترسی داشته باشد. هیچ مکانیزمی وجود ندارد که به وسیله آن یک دستگاه کاملا به روز شده با محافظت‌های آنتی ویروس از راه دور با استفاده از این تکنیک به خطر بیفتد. این تکنیک بر یک سناریوی فرضی متکی است که در آن یک سیستم از قبل در معرض خطر یا مستعد به خطر افتادن با استفاده از تکنیک‌های موجود مانند مهندسی اجتماعی هم برای حمله اولیه و هم برای هر حمله بعدی شبکه است.

به گفته بارگوری شناسایی این نوع حمله ممکن است سخت باشد؛ زیرا از سیستم‌ها و فرآیند‌های رسمی در سراسر آن استفاده می‌کند. وقتی به معماری فکر می‌کنید، این یک ابزار اجرای کد از راه دور است که توسط مایکروسافت ساخته شده و در تمام طول مسیر توسط مایکروسافت امضا شده است.

بارگوری گفت که قبل از سخنرانی او در DefCon، تیم مایکروسافت با او تماس گرفته و اشاره کرده اند که مدیران شبکه‌های تجاری می‌توانند با «افزودن یک ورودی رجیستری» به دستگاه‌های خود دسترسی به ابزار‌های Power Automate را محدود کنند. این فرآیند کنترل‌هایی را بر روی انواع حساب‌هایی که می‌توانند به Power Automate وارد شوند، اعمال می‌کند؛ بنابراین احتمال سوء استفاده از سیستم را کاهش می‌دهد.

با این حال بارگوری گفت: برای موفقیت‌آمیز بودن، این حرکت به تیم‌های امنیتی متکی است که سیاست‌های منسجم و روشنی را در سراسر سازمان‌های خود داشته باشند که همیشه این طور نیست.

در حالی که محبوبیت ابزار‌های RPA در حال افزایش است، قبلا حملاتی در دنیای واقعی برای سوء استفاده از پلتفرم‌ها طراحی شده‌اند. در اوایل سال ۲۰۲۰، تیم امنیتی مایکروسافت شش گروه هکر از جمله یک APT چینی را در شبکه یک شرکت پیدا کرد. یکی از گروه‌های هکر از سیستم‌های خودکار برای حذف داده‌ها استفاده کرد.

مایکروسافت در گزارش حادثه نوشت: “در اقدامی غیر معمول، مهاجم از سیستم‌های موجود مشتری، از جمله eDiscovery، ویژگی Compliance Search و Microsoft Flow برای سرقت خودکار نتایج جست و جوی خود استفاده کرد.”

بیشتر بخوانید

محققی به نام گوری از شناسایی روشی جدید به نام ETHERLED برای استخراج و سرقت اطلاعات از سیستم های Air-Gapped با استفاده از چراغ LED خبر داد.

محققی اسرائیلی به نام مردیچای گوری از شناسایی یک روش جدید برای استخراج و سرقت اطلاعات از سیستم های Air Gap شده با استفاده از نشانگرهای ال ای دی خبر داد.

رایانه ای که دارای Air gap می باشد از شبکه های ناایمن جدا شده است، به این معنی که به طور مستقیم به اینترنت وصل نشده است و همچنین به هیچ سیستم دیگری که به اینترنت متصل باشد، وصل نمی شود. یک رایانه Air gap شده نیز از نظر فیزیکی جدا شده است، به این معنی که داده ها فقط از طریق جسمی (از طریق USB، رسانه قابل جابجایی یا آتش نشانی با دستگاه دیگر) می توانند به آن منتقل شوند. تمام سازمان هایی که داده های بسیار حساس دارند (مانند واحد های کنترل تسلیحات) از این نوع شبکه استفاده می کنند.

این روش که ETHERLED نام دارد، چراغ های چشمک زن را به سیگنال های مورس کدی تبدیل می کند که می توانند توسط مهاجم رمزگشایی شوند.

به دست آوردن این سیگنال نیازمند استفاده از دوربین با دید مستقیم به چراغ های ال ای دی موجود بر روی کارت شبکه کامپیوترهای Air Gap است. این سیگنال ها یا همان علامت ها می توانند به داده های باینری تبدیل شوند که به سرقت اطلاعات کمک می کنند.

این سیستم ها در شبکه های Air Gap شده فعالیت می کنند و همچنان یک کارت شبکه را مورد استفاده قرار می دهد. در صورتی مهاجم آن ها را به بدافزار آلوده کند، خواهد توانست با هدف ارسال امواج داده های رمزنگاری شده، کارت درایور را با نسخه ای از آن  جا به جا کند که رنگ ال ای دی و تعداد چشمک زدن های آن را تغییر می دهند.

از این روش می توان در دیگر سخت افزارهای دارای ال ای دی مانند پرینترها، اسکنرها و… نیز استفاده کرد.

این حمله با کاشت بدافزار بر روی کامپیوتری آغاز می شود که حاوی نسخه دستکاری شده سفت افزار مرتبط با کارت شبکه است. این کار می تواند کنترل رنگ، تعداد چشمک ها و طول مدت آن ها را به دست مهاجمین بسپارد.

این بدافزار همچنین می تواند با حمله مستقیم به درایو کنترل کننده رابط شبکه، وضعیت اتصال آن را تغییر دهد و ال ای دی های آن ها را تنظیم کنند.

این محقق مدعی شد این درایور آلوده می تواند با بهره برداری از ویژگی های سخت افزاری، سرعت اتصال شبکه را دستخوش تغییرات کند و مشخصات چراغ های چشمک زدن را تغییر دهد.

بازیگران مخرب می توانند برای گرفتن این سیگنال ها از راه دور، هر چیزی اعم  از دوربین گوشی های هوشمند (تا 30 متر)، پهبادها (تا 50 متر)، وبکم های هک شده (10 متر)، دوربین های جاسوسی هک شده (30 متر) و تلسکوپ یا لنزهای سوپر زوم تله فوتو (تا 100 متر) را مورد استفاده قرار دهند.

زمان لازم برای نشت اطلاعاتی مانند پسورد از طریق ETHERLED  بین 1 ثانیه تا 1.5 دقیقه، برای کلیدهای خصوصی بیت کوین بین 2.5 ثانیه تا 4.2 دقیقه و برای کلیدهای 4096 بیت RSA بین 42 ثانیه تا 60 دقیقه است. (بسته به روش حمله)

بیشتر بخوانید
Diverse computer hacking shoot

مرکز مدیریت راهبردی افتا با توجه به بهره‌جویی باج‌افزار DeadBolt از ضعف امنیتی در Photo Station، از همه راهبران امنیتی سازمان‌های دارای زیرساخت حیاتی خواست تا تجهیزات QNAP خود را آپدیت کنند.

به گزارش کارگروه امنیت بهپارت به نقل از مرکز مدیریت راهبردی افتا، گردانندگان باج‌افزار DeadBolt این بار از یک آسیب‌پذیری در Photo Station برای رمزگذاری دستگاه‌های ذخیره‌سازی متصل به اینترنت ساخت شرکت QNAP، سوءاستفاده می‌کنند.

با توجه به هشدار شرکت کیونپ، کارشناسان امنیتی مرکز افتا از سازمان‌های دارای تجهیزات QNAP خواسته‌اند دستگاه‌ها و تجهیزات ذخیره‌ساز معروف به NAS را به‌طور مستقیم به اینترنت متصل نکنند و همچنین از قابلیت myQNAPcloud Link ارائه شده توسط QNAP استفاده کرده یا سرویس VPN را فعال کنند.

شرکت کیونپ به کاربران خود توصیه اکید کرده است Photo Station تجهیزات خود را به آخرین نسخه‌های غیرآسیب‌پذیر، به‌روز کنند و یا از محصول QuMagie به‌عنوان جایگزینی قدرتمند به‌جای Photo Station برای مدیریت ذخیره‌سازی تصاویر در تجهیزات NAS ساخت این شرکت استفاده کنند.

مهاجمان باج‌افزار DeadBolt دی ۱۴۰۰ نیز با بهره‌جویی از یک آسیب‌پذیری روز صفر دستگاه‌های NAS را در سرتاسر جهان هدف قرار دادند و اطلاعات این سیستم‌ها را رمزگذاری کردند.

در این حملات مهاجمان، پس از رمزگذاری تجهیزات NAS، در اطلاعیه باج‌گیری، خواستار پرداخت ۰.۰۳ باج بیت‌کوین (تقریباً ۱۲۷۷ دلار) به‌ازای یک کلید رمزگشایی برای بازیابی فایل‌ها شدند.

مهاجمان سایبری، کلید رمزگشایی اصلی را به قیمت ۵۰ بیت‌کوین عرضه می‌کنند که می‌تواند به همه قربانیان این باج‌افزار اجازه رمزگشایی فایل‌ها را بدهد.

بنا به گفته کارشناسان مرکز افتا، شرکت کیونپ، از دوازدهم شهریور در واکنش به موج جدیدی از حملات باج‌افزار DeadBolt در توصیه‌نامه‌ای به راهبران امنیتی توصیه کرده است علاوه بر به‌روزرسانی تجهیزات خود، به‌صورت جدی از رمزهای عبور قوی در تمام حساب‌های کاربری NAS استفاده و از اطلاعات و داده‌های خود به‌صورت منظم نسخه‌های پشتیبان تهیه کنند.

شرکت کیونپ ضمن انتشار هشداری، از مشتریان توصیه کرده است که دستگاه‌ها و تجهیزات NAS را مستقیماً به اینترنت متصل نکنند؛ همچنین از قابلیت myQNAPcloud Link ارائه شده توسط QNAP استفاده کرده یا سرویس VPN را فعال کنند.
به مشتریان شرکت کیونپ توصیه اکید شده است که Photo Station را به آخرین نسخه‌های غیر آسیب‌پذیر زیر، به‌روز کنند:

QTS 5.0.1: Photo Station 6.1.2 +
QTS 5.0.0/4.5.x: Photo Station 6.0.22 +
QTS 4.3.6: Photo Station 5.7.18 +
QTS 4.3.3: Photo Station 5.4.15 +
QTS 4.2.6: Photo Station 5.2.14 +

کیونپ به کاربران پیشنهاد می‌کند که از محصول QuMagie به‌عنوان جایگزینی قدرتمند به‌جای Photo Station برای مدیریت ذخیره‌سازی تصاویر در تجهیزات NAS ساخت این شرکت استفاده کنند.
مهاجمان باج‌افزار DeadBolt در دی 1400 نیز با بهره‌جویی از یک آسیب‌پذیری روز صفر دستگاه‌های NAS را در سرتاسر جهان هدف قرار دادند‌ و اطلاعات این سیستم‌ها را رمزگذاری کردند.
در این حملات مهاجمان باج‌افزاری،  پس از رمزگذاری تجهیزات NAS، پسوند .deadbolt را به نام فایل‌ها اضافه کرده و پیام رمزگذاری فایل‌ها توسط باج‌افزار DeadBolt را به‌صورت زیر در صفحه ورود دستگاه‌های NAS به کاربران نمایش می‌دهند:

“WARNING: Your files have been locked by DeadBolt”

بیشتر بخوانید

یک ابزار جدید مدیریت از راه دور (RAT) که اسناد مایکروسافت آفیس و Adobe PDF را برای ارائه کدهای مخرب مسلح می‌کند، در انجمن‌های وب تاریک و کانال‌های تلگرام مشاهده شد.

این بدافزار توسط محققان امنیتی در Resecurity در آخر هفته کشف شد و در توصیه‌ای که در یکشنبه، 21 آگوست 2022 منتشر شد، Escanor نام‌گذاری شد. بازیگران تهدید نسخه‌های مبتنی بر اندروید و رایانه‌های شخصی RAT را به همراه یک ماژول محاسبات شبکه مجازی مخفی (HVNC) ارائه می‌کنند و برای سلاح سازی از اسناد Microsoft Office و Adobe PDF برای سوءاستفاده و پیاده‌سازی کدهای مخرب استفاده می‌کنند.

طبق گفته تیم Resecurity، RAT برای اولین بار در 26 ژانویه 2022 برای فروش عرضه شد. این بدافزار در ابتدا به‌عنوان یک ایمپلنت HVNC طراحی شد و این بدافزار به‌سادگی به مهاجمان اجازه می‌داد تا یک اتصال راه دور بی‌صدا را با رایانه قربانی برقرار کنند. این ابزار بعداً به یک RAT تجاری در مقیاس کامل با مجموعه‌ای از ویژگی‌های غنی تبدیل شد.

Resecurity نوشت: Escanor در وب تاریک شهرت زیادی به دست آورده است و بیش از 28000 مشترک در کانال تلگرام جذب کرده است. درگذشته، این بازیگر دقیقاً با همین نام، نسخه‌های کرک شده سایر ابزارهای وب تاریک، ازجمله Venom RAT و Pandora HVNC را منتشر کرد که احتمالاً برای غنی‌سازی بیشتر قابلیت‌های Escanor استفاده می‌شدند.

در مورد نسخه موبایل Escanor (معروف به Esca RAT)، این بدافزار به‌طور فعال توسط مجرمان سایبری برای حمله به مشتریان بانکداری آنلاین از طریق رهگیری رمزهای یک‌بارمصرف (OTP) استفاده می‌شود. این ابزار را می‌توان برای جمع‌آوری مختصات GPS قربانی، نظارت بر ضربه‌های کلید، فعال کردن دوربین‌ها و مرور فایل‌ها در دستگاه‌های تلفن همراه از راه دور برای سرقت داده‌ها استفاده کرد.

علاوه بر این، Resecurity هشدار داد که نام دامنه مورداستفاده توسط Escanor قبلاً در ارتباط با Arid Viper، گروهی فعال در منطقه خاورمیانه در سال 2015 شناسایی‌شده بود که عمدتاً دارایی‌های نظامی اسرائیل را هدف قرار می‌داد.

در مورد Escanor، اکثر قربانیان آن در ایالات‌متحده، کانادا، امارات متحده عربی، عربستان سعودی، کویت، بحرین، مصر، اسرائیل، مکزیک و سنگاپور شناسایی‌شده‌اند که برخی از دسترسی‌های مخرب در جنوب شرق آسیا مشاهده‌شده‌اند.

بیشتر بخوانید

بنا بر ادعای گوگل، گروه هک ایرانی Charming Kitten  که توسط دولت حمایت می‌شود، از ابزار جدیدی برای دانلود پیام های‌ ایمیل از حساب‌های هدفمند Gmail، Yahoo و Microsoft Outlook استفاده کرده است.

نام این ابزار Hyperscraper است و مانند بسیاری از ابزار‌ها و عملیات عامل تهدید، به دور از هرگونه پیچیدگی است.

اما عدم پیچیدگی فنی آن با اثربخشی مؤثری همراه است و به هکر‌ها اجازه می‌دهد صندوق ورودی قربانی را بدون گذاشتن ردپای زیادی از نفوذ، بدزدند.

نفوذکننده‌ ایمیل ساده و در عین حال کارآمد
در یک گزارش فنی امروز، محققان گروه تحلیل تهدیدات گوگل (TAG) جزئیاتی را در مورد عملکرد Hyperscraper به اشتراک گذاشتند و گفتند که این بدافزار در حال توسعه فعال است.

گروه Google TAG این ابزار را به Charming Kitten، یک گروه تحت حمایت ایران که با نام‌های APT35 و Phosphorus نیز شناخته می‌شود، نسبت می‌دهد و می‌گوید که اولین نمونه‌ای که آن‌ها پیدا کرده‌اند مربوط به سال ۲۰۲۰ است.

محققان Hyperscraper را در دسامبر ۲۰۲۱ پیدا کردند و با استفاده از یک حساب کاربری آزمایشی Gmail آن را تجزیه و تحلیل کردند. این یک ابزار هک نیست، بلکه ابزاری است که به مهاجم کمک می‌کند تا داده‌های‌ ایمیل را بدزدد و پس از ورود به حساب‌ ایمیل قربانی، آن‌ها را در دستگاه خود ذخیره کند.

دریافت اعتبار (نام کاربری و رمز عبور، کوکی‌های احراز هویت) برای صندوق ورودی هدف در مرحله قبلی حمله، معمولاً با سرقت آن‌ها انجام می‌شود.

ابزار Hyperscraper یک مرورگر تعبیه شده دارد و عامل کاربر را به تقلید از یک مرورگر وب قدیمی تقلید می‌کند، که یک نمای اولیه HTML از محتوای حساب Gmail ارائه می‌دهد.

«این ابزار پس از ورود به سیستم، تنظیمات زبان حساب را به انگلیسی تغییر می‌دهد و از طریق محتویات صندوق پستی تکرار می‌شود، پیام‌ها را به‌صورت جداگانه به‌عنوان فایل‌های eml دانلود می‌کند و آن‌ها را به شکل خوانده نشده علامت‌گذاری می‌کند».  هنگامی که عملیات استخراج کامل شد، Hyperscraper زبان را به تنظیمات اصلی تغییر می‌دهد و هشدار‌های امنیتی را از Google حذف می‌کند.

محققان Google TAG می‌گویند که انواع قدیمی‌تر ابزار Charming Kitten می‌توانند داده‌ها را از Google Takeout، سرویسی که به کاربران اجازه می‌دهد داده‌ها را از حساب Google خود برای پشتیبان‌گیری یا استفاده از آن با یک سرویس شخص ثالث صادر کنند، درخواست کنند.

هنگام اجرا، Hyperscraper با یک سرور command-and-control (C2) در تماس است که منتظر تأیید برای شروع فرآیند exfiltration است.

اپراتور می‌تواند ابزار را با پارامتر‌های لازم (حالت عملیات، مسیر یک فایل کوکی معتبر، رشته‌شناسه) با استفاده از آرگومان‌های خط فرمان یا از طریق یک رابط کاربری حداقلی، پیکربندی کند.

 google iranian hackers use new tool to steal email from victims 2

اگر مسیر فایل کوکی از طریق خط فرمان ارائه نشده باشد، اپراتور می‌تواند آن را کشیده و در فرم جدیدی ر‌ها کند.

 google iranian hackers use new tool to steal email from victims 3
هنگامی که کوکی با موفقیت تجزیه شد و به حافظه پنهان محلی مرورگر وب اضافه شد، Hyperscraper یک پوشه “دانلود” ایجاد می‌کند که در آن محتویات صندوق ورودی مورد نظر را تخلیه می‌کند.

محققان خاطرنشان می‌کنند که اگر کوکی دسترسی به حساب را فراهم نکند، اپراتور می‌تواند به صورت دستی وارد شود.

google iranian hackers use new tool to steal email from victims 4

ابزار Hypercraper گذر از تمام بخش‌های یک حساب‌ ایمیل را خودکار می‌کند، پیام‌ها را باز می‌کند و آن‌ها را با فرمت EML دانلود می‌کند و آن‌ها را همانطور که در ابتدا پیدا شده باقی می‌گذارد.

اگر پیامی در ابتدا به‌عنوان خوانده‌نشده علامت‌گذاری شده بود، ابزار Charming Kitten پس از کپی کردن، آن را در همان حالت باقی می‌گذارد.

ابزار Hyperscraper تمام‌ ایمیل‌ها را به صورت محلی، روی دستگاه اپراتور، همراه با گزارش‌هایی که تعداد پیام‌های دزدیده شده را نشان می‌دهند، ذخیره می‌کند و داده‌های دیگری غیر از وضعیت و اطلاعات سیستم را به سرور C2 ارسال نمی‌کند.

google iranian hackers use new tool to steal email from victims 5

در پایان کار، Hyperscraper مسیر‌های خود را با حذف هر‌ ایمیلی از Google که می‌تواند به قربانی از فعالیت عامل تهدید هشدار دهد (اعلان‌های امنیتی، تلاش‌های ورود به سیستم، دسترسی به برنامه‌ها، در دسترس بودن بایگانی داده‌ها) را پنهان می‌کند.

گوگل مشاهده کرده است که Hyperscraper در تعداد کمی از حساب‌های کاربری، که همگی متعلق به کاربران در ایران هستند، استفاده می‌شود.

اهداف Charming Kitten که در آن از Hyperscraper استفاده شده است از طریق هشدار‌هایی در مورد حملات مورد حمایت دولت مطلع شده‌اند.

کاربرانی که چنین هشداری را دریافت کرده‌اند تشویق می‌شوند تا با ثبت‌نام در برنامه حفاظت پیشرفته Google (AAP) و با فعال کردن ویژگی مرور ایمن پیشرفته، دفاع خود را در برابر مهاجمان پیچیده‌تر تقویت کنند، که هر دو یک لایه امنیتی اضافه به مکانیسم‌های حفاظتی موجود ارائه می‌کنند.

گزارش Google TAG در مورد Hyperscraper امروز شاخص‌هایی از سازش مانند دو سرور C2 و هش برای ابزار‌های باینری پیدا شده را به اشتراک می‌گذارد.

بیشتر بخوانید

شرکت‌های Internet Search و T.Hunter سرویسی را برای جستجوی حساب کاربری خاص تلگرام ( Telegram ) با استفاده از آدرس IP ایجاد کرده‌اند. شما می‌توانید هویت یک فرد را با جمع‌آوری کلان داده‌ها و درخواست‌های کاربر به راحتی مشخص کنید.

ایگور بدروف، مدیر Internet Search، گفت: «در یک ثانیه، می‌توانند تا صد‌ها کاربر در یک آدرس IP وجود داشته باشد. برای شناسایی یکی از آن‌ها، باید اطلاعات غیر ضروری را فیلتر کنید، به عنوان مثال، سایر مناطق، داده‌های دستگاه‌های پایانی که از طریق آن به شبکه دسترسی دارد، اطلاعات مربوط به سیستم عامل و سایتی که به آن رفته است.» تلگرام

به گفته این کارشناس، اکثر سایت‌ها لاگ ذخیره می‌کنند، یعنی اطلاعات مربوط به دستگاه، اتصال، آدرس IP و غیره کاربر را می‌بینند. در حال حاضر ۶۴ منبع داده مختلف توسط IP به سرویس جستجوی حساب یک شخص در تلگرام متصل می‌شوند.

ولادیمیر ماکاروف، محقق OSINT از T.Hunter توضیح می‌دهد که برای جستجوی افراد، داده‌ها را از چندین “سایت خود” دریافت می‌کنند و همچنین ردپای دیجیتالی را از تلگرام با ارجاع به کاربر برای بیش از یک سال جمع‌آوری می‌کنند.

این سرویس دارای اطلاعات بیش از ۶ میلیون نفر است. و با وارد کردن آدرس IP در سیستم جستجو می‌توانید شخص خاصی را پیدا کنید.

تلگرام در سال ۲۰۲۲ جز پنج اپلیکیشن پردانلود دنیا بود و تعداد کاربران فعال این پیام‌رسان از مرز ۷۰۰ میلیون نفر در ماه گذشت.

بیشتر بخوانید

یک ارائه‌دهنده اطلاعات تهدید جهانی، Evilcoder را در قالب پروژه‌ای که برای فروش ابزار‌های مخرب برای اجرای آنلاین ماژول‌های HNVC مخرب و حملات باج‌افزار طراحی شده، مطالعه کرده است. علاوه بر این، XWorm RAT در حال توزیع نیز یافت شد.

جزییات کشف بدافزار
تحت این پروژه، یک توسعه‌دهنده بدافزار در حال فروش ابزار‌هایی برای ایجاد بدافزار، مخفی کردن بدافزار‌های موجود، و دور زدن بررسی‌های UAC و همچنین تبلیغ RAT‌های قدرتمند Windows کشف شدند.
توسعه دهنده بدافزار هفت ابزار با قیمتی بین ۳۰ تا ۱۵۰ دلار ارسال کرده است. با این حال، توسعه‌دهنده در وب‌سایت Evilcoder تصریح می‌کند که این ابزار‌ها فقط برای اهداف آموزشی و تست امنیتی طراحی شده‌اند و نه برای هیچ فعالیت دیگری.
محققان نمونه‌های پروژه Evilcoder را تجزیه و تحلیل کردند و چند گونه مختلف از XWorm را شناسایی کردند که از تکنیک‌های پایداری و فرار دفاعی متعدد استفاده می‌کند.

تحلیل تکنیکال
بدافزار XWorm می‌تواند چندین payload مخرب را در نقاط مختلف سیستم ر‌ها کند، ورودی‌های رجیستری را اضافه یا تغییر دهد و دستورات را اجرا کند. پس از اجرا، بدافزار یک ثانیه به خواب رفته و mutexes، ماشین‌های مجازی، اشکال‌زدا‌ها، شبیه‌ساز‌ها، محیط‌های sandbox و Anyrun را بررسی می‌کند. در صورت عدم رعایت هر یک از این شرایط، بدافزار فعالیت خود را خاتمه می‌دهد.
بدافزار XWorm خود را در پوشه راه‌اندازی اولیه نصب می‌کند و یک ورودی وظیفه برنامه‌ریزی شده در پوشه AppData ایجاد می‌کند. بدافزار یک ورودی autorun در رجیستری ایجاد می‌کند تا اطمینان حاصل کند که هر زمان که سیستم مجدداً راه‌اندازی شود به طور خودکار اجرا می‌شود.
پس از ایجاد پایداری، با سرور C2 تماس می‌گیرد. سپس سیستم دامنه C&C از طریق یک رشته جدید از اطلاعات سیستم جدید مطلع می‌شود. این روال Read() را در بر می‌گیرد که دستورات رمزگذاری شده AES را از C&C دریافت می‌کند و قبل از اجرای عملیات لازم آن‌ها را رمزگشایی می‌کند.

قابلیت‌های XWorm
این بدافزار می‌تواند وظایف مختلفی از جمله ثبت کلید ورودی، ضبط صفحه، به‌روزرسانی خودکار، خود تخریبی، اجرای اسکریپت و عملیات باج‌افزار را انجام دهد.
عملیات پوشه فایل که توسط بدافزار انجام می‌شود عبارتند از افزودن و حذف فایل‌ها، پنهان کردن و نمایش فایل‌ها و انتقال فایل‌ها.
علاوه بر این، بدافزار یک حمله محاسبات شبکه مجازی مخفی (HVNC) را راه‌اندازی می‌کند که به آن اجازه می‌دهد یک ماشین راه دور را بدون اطلاع قربانی کنترل کند.

نتیجه‌گیری
توسعه‌دهندگان بدافزار با مسئولیت کم یا بدون مسئولیت می‌توانند برنامه‌های مخرب ایجاد کنند و آن‌ها را در انجمنهای مختلف برای کسب سود مالی بفروشند. عوامل تهدید با ویژگی‌های بسیار تأثیرگذار و خطرناک مانند ماژول‌های باج‌افزار و HVNC برای جذب مشتریان بیشتر ارائه می‌شوند. شما باید سیستمی داشته باشید تا با TTP‌های تهدیدات تازه راه‌اندازی شده یا اگر تکنیک‌های حمله جدیدی توسط گروه‌های مجرم سایبری موجود اتخاذ شده است، خود را در جریان دفاعیات سایبری قرار دهید.

بیشتر بخوانید

تحلیلگران تهدید یک کمپین بدافزار جدید به نام «GO#WEBBFUSCATOR» را مشاهده کرده‌اند که بر‌ایمیل‌های فیشینگ، اسناد مخرب و تصاویر فضایی تلسکوپ جیمز وب برای انتشار بدافزار متکی است.

این بدافزار به زبان Golang  که در بین مجرمان سایبری محبوبیت پیدا کرده، نوشته شده است. زیرا این بدافزار میان پلتفرمی (ویندوز، لینوکس، مک) است و مقاومت بیشتری در برابر مهندسی معکوس و تجزیه و تحلیل را ارائه می‌کند.
در کمپین اخیری که توسط محققان Securonix کشف شد، عامل تهدید، payload‌هایی را که در حال حاضر توسط موتور‌های آنتی ویروس در پلتفرم اسکن VirusTotal به عنوان مخرب علامت‌گذاری نشده‌اند، مستقر می‌کند.

زنجیره آلودگی
آلودگی با یک‌ ایمیل فیشینگ با یک سند مخرب پیوست شده،”Geos-Rates.docx” شروع می‌شود که یک فایل تمپلیت را دانلود می‌کند.

آن فایل حاوی یک ماکرو VBS مبهم است که در صورت فعال بودن ماکرو‌ها در مجموعه آفیس، به صورت خودکار اجرا می‌شود. سپس کد یک تصویر JPG (“OxB36F8GEEC634.jpg”) را از یک منبع راه دور (“xmlschemeformat[.]com” دانلود می‌کند، آن را با استفاده از certutil. exe به یک فایل اجرایی (“msdllupdate.exe”) رمزگشایی کرده و راه‌اندازی می‌کند.

hackers hide malware in james webb telescope

در یک نمایشگر تصویر، JPG. خوشه کهکشانی SMACS 0723 را نشان می‌دهد که توسط ناسا در جولای ۲۰۲۲ منتشر شد.
با این حال، اگر با یک ویرایشگر متن باز شود، تصویر محتوای اضافی را نشان می‌دهد که به‌عنوان یک گواهی ارائه‌شده پنهان شده است، که یک payload با کد Base64 است که به فایل اجرایی مخرب ۶۴ بیتی تبدیل می‌شود.

hackers hide malware in james webb telescope

رشته‌های payload با استفاده از ROT25 بیشتر مبهم می‌شوند، در حالی که باینری از XOR برای مخفی کردن مجموعه‌های Golang از تحلیلگران استفاده می‌کند. علاوه بر این، مجموعه‌ها از تغییر کیس استفاده می‌کنند تا از تشخیص مبتنی بر امضا توسط ابزار‌های امنیتی جلوگیری کنند.

فانکشن‌های بدافزار
بر اساس آنچه از تجزیه و تحلیل بدافزار دینامیک استنباط می‌شود، فایل اجرایی با کپی کردن خود در «%%localappdata%%\\microsoft\\vault» و افزودن کلید رجیستری جدید به ماندگاری دست می‌یابد.
پس از اجرا، بدافزار یک اتصال DNS به سرور command-and-control (C2) برقرار می‌کند و پرس و جو‌های رمزگذاری شده را ارسال می‌کند.
مجموعه Securonix در گزارش توضیح می‌دهد: «پیام‌های رمزگذاری‌شده در سرور C2 خوانده می‌شوند و رمزگذاری نمی‌شوند، بنابراین محتوای اصلی آن آشکار می‌شود. »
“در مورد GO#WEBBFUSCATOR، ارتباط با سرور C2 با استفاده از درخواست‌های TXT-DNS با استفاده از درخواست‌های nslookup به name server کنترل‌شده توسط مهاجم اجرا می‌شود. تمام اطلاعات با استفاده از Base64 کدگذاری شده است.”
سرور C2 ممکن است با تنظیم فواصل زمانی بین درخواست‌های اتصال، تغییر زمان‌بندی nslookup یا ارسال دستوراتی برای اجرا از طریق ابزار cmd.exe به بدافزار پاسخ دهد.
در طول آزمایش، Securonix مشاهده کرد که عامل‌های تهدید در سیستم‌های آزمایشی خود فرمان‌های شمارش دلخواه را اجرا می‌کردند که اولین مرحله شناسایی استاندارد بود.
محققان خاطرنشان می‌کنند که دامنه‌های مورد استفاده برای کمپین اخیراً ثبت شده‌اند و قدیمی‌ترین دامنه متعلق به ۲۹ مه ۲۰۲۲ است.
مجموعه Securonix، مجموعه‌ای از شاخص‌های خطرآفرینی (IoCs) را ارائه کرده است که شامل هر دو شاخص شبکه و مبتنی بر هاست است.

بیشتر بخوانید

تیم وردپرس این هفته از انتشار نسخه 6.0.2 سیستم مدیریت محتوا (CMS) با پچ‌های سه باگ امنیتی، از جمله آسیب‌پذیری تزریق SQL با شدت بالا خبر داد.

این مشکل در عملکرد لینک وردپرس، که قبلاً به عنوان «Bookmarks» شناخته می‌شد، شناسایی گردید، این مشکل تنها بر نصب‌های قدیمی‌تر تأثیر می‌گذارد، زیرا این قابلیت به طور پیش‌فرض در نصب‌های جدید غیرفعال است.

تیم Wordfence در شرکت امنیتی وردپرس با نام Defiant می‌گویند: “با این حال، این عملکرد ممکن است همچنان در میلیون‌ها سایت قدیمی وردپرس فعال باشد، حتی اگر آن‌ها نسخه‌های جدیدتر CMS را اجرا کنند.”

مجموعه Wordfence در ادامه می‌گوید: “با امتیاز CVSS 8.0، نقص امنیتی به اختیارات مدیریتی نیاز دارد و در پیکربندی‌های پیش‌فرض به راحتی نمی‌توان از آن بهره‌برداری کرد، اما ممکن است پلاگین‌ها یا تم‌هایی وجود داشته باشند که به کاربرانی با اختیارات پایین‌تر (مانند سطح ویرایشگر و پایین‌تر) اجازه راه‌اندازی آن را می‌دهند.”

مجموعه Wordfence توضیح می‌دهد: «نسخه‌های آسیب‌پذیر وردپرس نتوانستند آرگومان محدود جستجوی بازیابی لینک را در فانکشن get_bookmarks که برای اطمینان از بازگشت تعداد معینی از پیوند‌ها استفاده می‌شود، با موفقیت پاکسازی کنند.

در پیکربندی پیش‌فرض، تنها ویجت قدیمی Links فانکشن را به گونه‌ای فراخوانی می‌کند که کاربر بتواند آرگومان حد را تنظیم کند. با این حال، به دلیل حفاظت در ویجت‌های قدیمی، این آسیب‌پذیری برای بهره‌برداری بی‌اهمیت است.

هر دو آسیب‌پذیری باقی‌مانده در وردپرس 6.0.2 باگ‌های اسکریپت‌نویسی متقابل سایت (XSS) با شدت متوسط ​​هستند که به دلیل استفاده از عملکرد «the_meta» و خطا‌های غیرفعال‌سازی و حذف افزونه ایجاد می‌شوند.

بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری‌ها می‌تواند منجر به اجرای اسکریپت‌های تزریق شده در کلید‌ها و مقادیر پست یا کد جاوا اسکریپت در پیام‌هایی شود که هنگام غیرفعال شدن یا حذف افزونه‌ها به دلیل خطا نمایش داده می‌شوند.

به ادمین‌های وب‌سایت‌ها توصیه می‌شود در اسرع وقت نسخه‌های خود را به وردپرس 6.0.2 بروزرسانی کنند (بروزرسانی به طور خودکار به سایت‌هایی که از بروزرسانی‌های پس‌زمینه پشتیبانی می‌کنند ارائه می‌شود). تیم وردپرس خاطرنشان می‌کند که پچ‌ها به وردپرس 3.7 و نسخه‌های جدیدتر بکپورت شده‌اند.

بیشتر بخوانید

مجموعه VMware و کارشناسان از کاربران می‌خواهند چندین محصول را که تحت تأثیر یک آسیب‌پذیری حیاتی بای پس احراز هویت قرار گرفته‌اند پچ کنند، که می‌تواند به مهاجم اجازه دسترسی مدیریتی و ادمین به سیستم و همچنین سواستفاده از سایر نقص‌ها را بدهد.

به گفته محققان، این باگ که با نام CVE-۲۰۲۲-۳۱۶۵۶ پیگیری می‌شود، امتیاز 9.8 را در CVSS کسب کرد و یکی از معدود اصلاحاتی است که این شرکت در محصولات مختلف در بروزرسانی منتشر شده در روز سه‌شنبه برای نقص‌هایی که به راحتی می‌تواند به یک زنجیره سواستفاده تبدیل شود، انجام داده است.

باگ CVE-۲۰۲۲-۳۱۶۵۶ نیز مطمئناً خطرناک‌ترین عضو این آسیب‌پذیری‌ها است، و احتمالاً بیشتر خواهد شد زیرا محققی که آن را کشف کرده است (Petrus Viet از VNG Security) در توییتی قول داده است که یک سواستفاده proof-of-concept برای این باگ به زودی مطرح می‌شود.

به گفته محققان، این امر هم‌اکنون به نیاز سازمان‌های آسیب‌دیده از این نقص برای اصلاح فوریت می‌بخشد.

کلر تیلیس، مهندس تحقیقات ارشد تیم پاسخگویی امنیتی Tenable در‌ ایمیلی به Threatpost گفت: «با توجه به شیوع حملاتی که آسیب‌پذیری‌های VMware را هدف قرار می‌دهند و proof-of-concept آینده، سازمان‌ها باید پچ نمودن CVE-۲۰۲۲-۳۱۶۵۶ را در اولویت قرار دهند. به عنوان یک دور زدن احراز هویت، بهره‌برداری از این نقص این احتمال را ایجاد می‌کند که مهاجمان می‌توانند زنجیره‌های سواستفاده بسیار دردسرسازی را ایجاد کنند. »

پتانسیل برای زنجیره حمله
به طور خاص، CVE-۲۰۲۲-۳۱۶۵۶ یک آسیب‌پذیری بای پس احراز هویت است که VMware Workspace ONE Access، Identity Manager و vRealize Automation را تحت تأثیر قرار می‌دهد.

طبق پست وبلاگی که تیلیس منتشر کرد، این اشکال بر کاربران دامنه محلی تأثیر می‌گذارد و مستلزم آن است که یک مهاجم راه دور باید به یک رابط کاربری آسیب‌پذیر دسترسی داشته باشد. او گفت، هنگامی که مهاجم به این امر دست یابد، می‌تواند از این نقص برای دور زدن احراز هویت و دسترسی ادمین استفاده کند.

تیلیس مشاهده کرد، علاوه بر آن، این آسیب‌پذیری دروازه‌ای برای بهره‌برداری از سایر نقص‌های اجرای کد از راه دور (RCE) است که با انتشار این هفته VMWare ( CVE-۲۰۲۲-۳۱۶۵۸ و CVE-۲۰۲۲-۳۱۶۵۹ ) برای تشکیل یک زنجیره حمله مورد بررسی قرار گرفت.

باگ CVE-۲۰۲۲-۳۱۶۵۸ یک آسیب‌پذیری RCE تزریقی JDBC است که VMware Workspace ONE Access، Identity Manager و vRealize Automation را تحت تأثیر قرار می‌دهد که امتیاز «مهم» را در CVSS-8.0 کسب کرده است. این نقص به یک عامل مخرب با دسترسی ادمین و شبکه اجازه می‌دهد تا RCE را راه‌اندازی کند.

باگ CVE-۲۰۲۲-۳۱۶۵۹ یک آسیب‌پذیری RCE تزریق SQL است که VMware Workspace ONE Access and Identity Manager را تحت تأثیر قرار می‌دهد و همچنین امتیاز 8.0 را با مسیر حمله مشابه CVE-۲۰۲۲-۳۱۶۵۸ کسب کرده است.

شش اشکال دیگر پچ شده در این بروزرسانی شامل یک اشکال RCE دیگر (CVE-۲۰۲۲-۳۱۶۶۵) است که تحت عنوان مهم رتبه‌بندی شده است. دو آسیب‌پذیری افزایش اختیار (CVE-۲۰۲۲-۳۱۶۶۰ و CVE-۲۰۲۲-۳۱۶۶۱) به‌عنوان مهم رتبه‌بندی شدند. یک آسیب‌پذیری افزایش اختیار محلی (CVE-۲۰۲۲-۳۱۶۶۴) به‌عنوان مهم رتبه‌بندی شده است. یک آسیب‌پذیری تزریق URL (CVE-۲۰۲۲-۳۱۶۵۷) که به عنوان متوسط ​​رتبه‌بندی شده است. و یک آسیب‌پذیری پیمایش مسیر (CVE-۲۰۲۲-۳۱۶۶۲) به‌عنوان متوسط ​​رتبه‌بندی شده است.

پچ فوری، پچ همه چیز
مجموعه VMware با عجولانه عمل کردن در ارائه پچ‌ها برای اشکالات حیاتی موجود در محصولاتش غریبه نیست و به دلیل فراگیر بودن پلتفرم خود در شبکه‌های سازمانی، از مشکلات امنیتی خود رنج می‌برد.

به عنوان مثال، در اواخر ژوئن، سازمان‌های فدرال درباره حمله مهاجمان به سرور‌های VMware Horizon و Unified Access Gateway (UAG) برای سواستفاده از آسیب‌پذیری بدنام Log4Shell RCE (یک نقص با قابلیت بهره‌برداری آسان که در لایبرری Log4Jlate Apache در سال گذشته کشف شد)، هشدار دادند که از آن زمان به‌طور مستمر روی VMware و دیگر پلتفرم‌ها هدف قرار گرفته است.

در واقع، گاهی اوقات حتی پچ کردن هنوز برای VMware کافی نبوده است، زیرا مهاجمان پس از انجام اقدامات لازم برای رفع مشکل، نقص‌های موجود را هدف قرار می‌دهند.

این سناریو در دسامبر ۲۰۲۰ رخ داد، زمانی که فدرال‌رزرو‌ها هشدار دادند که دشمنان به طور فعال از یک باگ چند هفته‌ای در محصولات Workspace One Access و Identity Manager سه روز پس از اصلاح آسیب‌پذیری توسط فروشنده استفاده می‌کنند.

به گفته یک متخصص امنیتی، اگرچه همه نشانه‌ها به فوریت اصلاح آخرین تهدید برای پلتفرم VMware اشاره می‌کنند، به گفته یک متخصص امنیتی، به احتمال زیاد حتی اگر به توصیه‌ها توجه شود، این خطر در آینده به شکل قابل پیش‌بینی ادامه خواهد داشت.

گرگ فیتزجرالد، یکی از بنیانگذاران Sevco Security اشاره کرد که اگرچه شرکت‌ها در ابتدا تمایل دارند سریع‌ترین تهدیدات را برای شبکه خود برطرف کنند، اما اغلب جا‌هایی را که مهاجمان می‌توانند از یک نقص سواستفاده کنند را فراموش می‌کنند. او گفت که این همان چیزی است که منجر به حملات مداوم و پیوسته می‌شود.

«مهم‌ترین خطر برای شرکت‌ها سرعت اعمال پچ‌های حیاتی آن‌ها نیست. فیتزجرالد می‌گوید، این از اعمال نکردن پچ‌ها در هر زمینه ناشی می‌شود. واقعیت ساده این است که بیشتر سازمان‌ها در نگهداری موجودی دارایی‌های فناوری اطلاعات به‌روز و دقیق شکست می‌خورند، و دقیق‌ترین رویکرد برای مدیریت پچ نمی‌تواند تضمین کند که همه دارایی‌های سازمانی در نظر گرفته و حفظ می‌شوند.»

بیشتر بخوانید
error: شما اجازه کپی کردن ندارید !!