دسته: امنیت و شبکه

بیش از ۹۰ گروه فعال در زمینه دفاع از حقوق و حریم شخصی کاربران اینترنت در جهان با ارسال نامه‌ای سرگشاده برای اپل از این شرکت خواستند برنامه خود برای اسکن محتوای شخصی را کنار بگذارد.

به نقل از ایران نت نیوز ، اپل قصد دارد با هدف شناسایی عکس‌ها و محتوای مروج هرزه نگاری کودکان، پیام‌ها و فایل‌های چندرسانه‌ای ذخیره شده در نرم افزار آی مسیج و خدمات کلود خود را اسکن کند.

اپل می‌گوید از این طریق می‌توان تصاویر برهنه کودکان و نیز افرادی که چنین محتوای مستهجنی را رد و بدل می‌کنند شناسایی کرد و جلوی سوءاستفاده از کودکان در فضای مجازی را گرفت. اما مخالفان این طرح می‌گویند ممکن است از این طرح برای جاسوسی سایبری از افراد در فضای مجازی و نقض حریم شخصی و آزادی‌های آنها بهره گرفته شود. چنانچه دولت آمریکا به بهانه مقابله با تروریسم افراد زیادی را هدف جاسوسی‌های خود در فضای مجازی قرار داده و اطلاعات خصوصی آنها را سرقت می‌کند.

در بخشی از این نامه سرگشاده آمده است: اگر چه این قابلیت‌ها با هدف حفاظت از کودکان و کاهش محتوای مربوط به سوءاستفاده از آنان طراحی شده، اما ما بیم داریم که از ابزار یادشده برای سانسور اظهارات و نظرات افراد، تهدید حریم شخصی و به خطر انداختن امنیت افراد در سراسر جهان بهره گرفته شود.

مرکز دموکراسی و فناوری در آمریکا رهبری این موضوع را برای مقابله با برنامه‌های اپل بر عهده گرفته است.

شارون برادفورد فرانکلین مدیر این مرکز برنامه‌های اپل در این زمینه را ناامیدکننده و نگران کننده توصیف کرده است. سخنگوی اپل نیز در واکنش گفته که این نگرانی‌ها را مورد توجه قرار می‌دهد.

اینستاگرام نیز همانند دیگر رسانه های مجازی نیاز به امنیت بالا دارد تا از این طریق امنیت اطلاعات شخصی کاربران حفظ شود. حال سوال این است که چگونه بفهمیم چه کسانی به اینستاگرام ما دسترسی دارند؟
به نقل از ایران نت نیوز ؛ اینستاگرام نیز همانند دیگر رسانه های مجازی نیاز به امنیت بالا دارد تا از این طریق امنیت اطلاعات شخصی کاربران حفظ شود. حال سوال این است که چگونه بفهمیم چه کسانی به اینستاگرام ما دسترسی دارند؟ قابلیت login activity اینستاگرام روشی برای تشخیص هک شدن اکانت اینستاگرام شما توسط دیگران است. در این آموزش قصد داریم با استفاده از قابلیت لاگین اکتیویتی اینستاگرام دستگاه های متصل به اکانت اینستاگرام یا اصطلاحا نشست های فعال را مشاهده و آنها را حذف کنیم.

ریسک هک شدن اکانت های اینستاگرام توسط هکر ها زیاد است و ممکن است از این طریق به اطلاعات اکانت شما دسترسی پیدا کنند. سوالی که بسیاری از کاربران اینستاگرام با آن مواجه اند اینست که از کجا بفهمیم چند نفر به اکانت اینستا وصلن؟

برای تشخیص نشست های فعال اکانت اینستاگرام خود مراحل زیر را دنبال کنید:

پس از بروزرسانی اپلیکیشن اینستاگرام آن را باز کنید.

به تب پروفایل شخصی تان بروید.

دکمه منو را لمس کنید.

برای ورود به بخش تنظیمات اینستاگرام گزینه Settings را انتخاب نمایید.

اکنون روی گزینه Security ضربه بزنید.

در پنجره ظاهر شده گزینه login activity را انتخاب کنید.

نکته: توجه داشته باشید برای دسترسی به این گزینه نیاز به روش های تغییر آی پی دارید.

حال می توانید موقعیت مکانی و نوع دستگاهی که به اکانت شما متصل شده است را مشاهده نمایید.

اگر در لیست ظاهر شده مشاهده کردید دستگاه غیر مجازی به اکانت شما متصل شده است دکمه سه نقطه کنار آن را لمس کنید و گزینه Log Out را انتخاب نمایید.

پیغامی ظاهر می شود و اعلام می کند دستگاه مورد نظر از لیست دستگاه های متصل به اکانت شما خارج شده است. روی دکمه ok ضربه بزنید.

نکته مهم: توجه داشته باشید اگر هکر رمز شما را داشته باشد این امکان وجود دارد که مجددا به راحتی وارد اکانت شما شود بنابراین بهتر است رمز عبور خود را با انتخاب گزینه change password تغییر دهید.

لاگین اکتیویتی اینستاگرام

منظور از نشست های فعال اینستاگرام چیست؟

ممکن است اکانت شما توسط شخصی هک شده باشد. قابلیت login activity اینستاگرام برای تشخیص نشست های فعال اینستاگرام به کاربران معرفی شده است. در واقع login activity اینستاگرام روشی برای تشخیص و حذف نشست های فعال در اینستاگرام محسوب می گردد به این ترتیب می توانید متوجه شوید چه کسانی به اینستاگرام شما دسترسی دارند.

عاملان تهدید از تبلیغات گوگل برای خرید اسلات تبلیغات در موتور جستجوی گوگل برای تبلیغ وب سایت های جعلی مرورگر Brave استفاده کردند تا بدافزارها را به صورت فایل دانلودی مرورگر ارائه کنند.

به گفته یکی از توسعه دهندگان مرورگر Brave، جاناتان سامپسون، در پی سواستفاده عاملان تهدید برای بهره گیری از تبلیغات گوگل برای توزیع بدافزاز سرقت اطلاعات، وب سایت جعلی مرورگر Brave در لیست اولویت نتایج جستجوی گوگل قرار گرفت.

عاملان تهدید با ثبت دامنه xn-brav-yva[.]com سعی کردند بدافزار را به بازدیدکنندگان این سایت منتقل کنند. این دامنه از Punycode برای جعل آدرس مرورگر Brave با عنوان bravė[.]com استفاده می کردند.

این سایت تنها با افزودن یک آوا بر روی حرف “e” که تنها تفاوت آن بود، اقدام به این جعل کردند، در حالی که بقیه دامنه به طرز عجیبی شبیه وب سایت اصلی Brave بود. بنابراین، کاربران با توجه بهه اینکه هر دو سایت شبیه وب سایت معتبر Brave ظاهر می شدند، برای تشخیص آیتم جعلی به دردسر و مشکل می انداختند.
وب سایت جعلی ارائه بدافزار
هنگامی که کاربر روی گزینه Download Brave کلیک می کند، بدافزار معروف به SectopRat (معروف به 1xxbot ،Asatafar یا ArechClient) به جای مرورگر در سیستم کاربر بارگیری و دانلود می شود.

با توجه به اینکه شرکت امنیت سایبری G Data این بدافزار را در سال 2019 کشف کرده است، مستندات بیان میکنند که SectopRat می تواند دسکتاپ موجود کاربر را استریم کرده و دسکتاپ نامرئی دیگری را برای استفاده مهاجمان ایجاد نماید.

از زمان انتشار این بدافزار، توسعه دهندگان آن ویژگی های جدید زیادی را به آن افزوده اند. ویژگی هایی مانند ارتباطات رمزگذاری شده با سرورهای C2 و سرقت سابقه مرورگرهای فایرفاکس و گوگل کروم.

چگونه سایت جعلی مرورگر Brave در نتایج جستجوی Google قرار گرفت؟
بر اساس گزارش Ars Technica، برای جلب بازدیدکنندگان از این نسخه جعلی وب سایت Brave، عاملان تهدید کننده بنر تبلیغاتی ای را در گوگل خریداری کردند تا هنگامی کاربران به دنبال نسخه قابل دانلود مرورگر میگشتند، این گزینه ظاهر شود، وگرنه تبلیغات به خودی خود خطرناک نبوده اند.

با این حال، آنها از mckelveytees[.]com و نه از brave[.]com آمده و دارای گواهی معتبر TLS هستند. اگر کاربری روی هر یک از این تبلیغات کلیک میکرد، آنها کاربر را قبل از ورود به وب سایت جعلی مرورگر Brave، به دامنه های مختلف هدایت میکرد.
دامنه های Punycode
سامپسون درباره مرورگر Brave و این دامنه گفت که وب سایت های جعلی کاربران را مجبور به دانلود یک فایل ایمیج ISO با حجم 303 مگابایتی شامل تنها یک فایل اجرایی کرده است.

از سوی دیگر، مارتین گوتن از شرکت امنیت سایبری Silent Push درباره این موضوع تحقیق کرد تا بررسی کند که آیا عوامل تهدید کننده پشت این کمپین سایر سایت های جعلی و دامنه های Punycode را برای استفاده از آنها در آینده، ثبت کرده اند یا خیر. وی دریافت که سایت های جعلی برای Telegram (تلگرام)، مرورگر Tor و سایر پلتفرم های محبوب نیز ثبت شده اند.

با این وجود، تنها راه جلوگیری از قربانی شدن دردام این بدافزارها، بررسی آدرس های وب سایتی است که از آن استفاده می کنید. قطعا این کار مستلزم دقت، زمان و دانش کافی است، اما این تنها راه منطقی برای تشخیص وب سایت های جعلی ای میباشد که ممکن است بدافزارها را در دستگاه شما بارگیری و مستقر نمایند.

کمبود نیروی متخصص در حوزه امنیت سایبری به یک بحران در عرصه امنیت سایبر مبدل شده و شرکت‌های مختلف در تلاش هستند به هر نحو ممکن بر این بحران غلبه کنند.

به نقل از ایران نت نیوز ، سرمایه گذاری اندک در این زمینه و عدم رغبت برای تحصیل در حوزه امنیت سایبری باعث شده تا بسیاری از مؤسسات و نهادهای دولتی و خصوصی در سراسر جهان برای تأمین نیروی متخصص در بخش یادشده دچار مشکل شوند و فشار کار زیادی به فعالان در این بخش تحمیل شود.

دورکاری ناشی از شیوع ویروس کرونا موجب شده تا چالش‌های بیشتری برای تأمین امنیت زیرساخت‌های شبکه‌ای به وجود آید و یک مطالعه جهانی در این زمینه که توسط انجمن امنیت سیستم‌های اطلاعاتی و مؤسسه تحلیل گر گروه استراتژی شرکت‌های تجاری انجام شده، نشان می‌دهد کمبود سرمایه گذاری در حوزه تأمین امنیت سایبری در کنار چالش فشار کاری می‌تواند شرایط را در این بخش بحرانی‌تر کند.

بررسی یادشده که از طریق گفتگو با بیش از ۵۰۰ متخصص امنیت سایبری در سراسر جهان انجام شده، نشان می‌دهد از نظر ۵۷ درصد از پاسخ دهندگان کمبود نیروی ماهر در حوزه امنیت سایبری بر روی سازمان‌های مختلف حرفه‌ای تأثیر منفی گذاشته است. ۱۰ درصد از پاسخ دهندگان این تأثیر را بسیار جدی دانسته‌اند.

۶۲ درصد از پاسخ دهندگان هم گفته‌اند که کمبود نیروی متخصص فشار کار فعالان در حوزه امنیت سایبری را افزایش داده است. ۳۸ درصد از این متخصصان اظهار داشته‌اند این وضعیت بر سلامت روانی آنها تأثیر منفی گذاشته است.

بر اساس این گزارش نبردهای سایبری ناشی از حملات باج افزاری در بسیاری از مشاغل چالش‌های ویرانگری ایجاد کرده و در حال حاضر متخصصان امنیت سایبری با بزرگترین تهدیدها به چالش کشیده شده شده‌اند ۵۰ درصد از پاسخ دهندگان گفته‌اند افزایش دورکاری به علت شیوع ویروس کرونا باعث افزایش استرس و بیشتر شدن نگرانی‌های حرفه‌ای آنها شده است.

به تازگی ابزاری در فضای مجازی عرضه شده که کاربران با استفاده از آن می‌توانند پی ببرند آیا تلفن همراه آنها توسط نرم افزار جاسوسی پگاسوس رژیم صهیونیستی هک شده یا خیر.

به نقل از ایران نت نیوز، عفو بین‌الملل ابزاری عرضه کرده که با نصب آن، سرقت اطلاعات کاربران از طریق بدافزار جاسوسی پگاسوس شرکت ان اس او گروپ بررسی می‌شود.

ابزار یادشده ابتدا از اطلاعات ذخیره شده در گوشی بر روی یک رایانه نسخه پشتیبان تهیه می‌کند و سپس برای شناسایی فعالیت احتمالی جاسوس افزار این نسخه پشتیبان را به دقت مورد بررسی قرار می‌دهد.

باید توجه داشت که این ابزار در قالب خطوط فرمان تهیه شده و با بسته‌های نرم افزاری عادی تفاوت دارد. بنابراین استفاده از برنامه یادشده مستلزم دانش فنی است.

در ضمن این ابزار سازگاری بیشتری با سیستم عامل آی او اس اپل دارد و توان آن برای بررسی گوشی‌های اندرویدی محدود است. اما از آن می‌توان برای کنترل پیامک‌های آلوده ارسالی و فایل‌های نصب برنامه‌ها موسوم به APK استفاده کرد.

شرکت سولارویندز در بیانیه ای خبر از کشف یک شکاف امنیتی جدید و سواستفاده هکرها از آن داد.

به نقل از ایران نت نیوز، شرکت نرم افزاری سولار ویندز اعلام کرد هکرهای ناشناس با استفاده از یک شکاف امنیتی ناشناخته در ۲ برنامه این شرکت گروهی محدودی از مشتریانش را هدف گرفته‌اند.

در بیانیه سولار ویندز به ماهیت هکرهای مذکور اشاره نشده است. علاوه بر آن در صفحه پرسش و پاسخ ضمیمه شده به این بیانیه اشاره شده بود شکاف امنیتی تازه رصد شده هیچ ارتباطی به هک شبکه‌های دولتی در سال گذشته ندارد. همچنین در این صفحه اشاره شده بود سولار ویندز هنوز از هویت مشتریانی که اطلاعاتشان فاش شده مطلع نیست.

سال گذشته گروهی از هکرها با استفاده از شکافی از نرم افزار سولار ویندز به گروه وسیعی از سازمان‌های دولتی و غیردولتی نفوذ کردند.

دراین بیانیه ذکر شده محققان مایکروسافت شکاف امنیتی مذکور را فاش کرده‌اند.

سازمان CISA متعلق به ایالات متحده آمریکا، گزارش جدید تجزیه و تحلیل بدافزار (MAR) را درباره باج افزار DarkSide با نام ذیل منتشر کرده و هشدار AA21-131A را بروزرسانی کرده است: “باج افزار DarkSide: بهترین روش ها برای جلوگیری از ایجاد اختلال در تجارت از حملات باج افزاری” را که در تاریخ 11 ماه می سال2021 ارائه شده، منتشر گردیده است. این بروزرسانی شاخص های خطرات مرتبط با انواع باج افزار DarkSide که یک مجموعه لینک پویا را برای پاک کردن نسخه های Volume Shadow موجود در سیستم اجرا می کند، ارائه مینماید.
در اصل DarkSide یک باج افزار سرویس یا RaaS است. توسعه دهندگان باج افزار بخشی از درآمد خود را از عاملان و مجرمان سایبری که آن باج افزار را مستقر می کنند، دریافت می کنند که معروف به “شرکت های وابسته” هستند. طبق گزارش متن باز، از آگوست سال 2020، عاملان DarkSide چندین سازمان بزرگ و با درآمد بالا را هدف قرار داده اند و در نتیجه آن اقدام به رمزگذاری و سرقت داده های حساس کرده اند. گروه DarkSide به طور علنی اظهار داشته است که آنها ترجیح می دهند سازمانهایی را هدف قرار دهند که دقیقا بلعکس بیمارستانها، مدارس، سازمانهای غیرانتفاعی و دولتها، توانایی پرداخت باج های زیاد و سنگین را دارند.

طبق این گزارش متن باز، قبلاً مشاهده شده است كه عاملان و مهاجمان DarkSide از طریق فیشینگ و سواستفاده از حساب ها و سیستم های از راه دور و زیرساخت های دسكتاپ مجازی (VDI) به دسترسی اولیه (Phishing [T1566] ، Exploit Public-Facing Application [T1190] »، خدمات از راه دور خارجی [T1133]) دست پیدا كرده اند. همچنین مشاهده شده است که مهاجمان DarkSide با استفاده از پروتکل Remote Desktop یا RDP برای حفظ پایداری اقدام کرده اند [TA0003].

بازیگران DarkSide پس از دستیابی به دسترسی ، باج افزار DarkSide را برای رمزگذاری و سرقت اطلاعات حساس (Data Encrypted for Impact [T1486]) به کار می گیرند. سپس بازیگران تهدید می کنند در صورت عدم پرداخت دیه ، داده ها را به صورت عمومی منتشر می کنند.

سازمان CISA به کاربران و ادمین ها توصیه کرده است که برای تقویت وضعیت امنیتی سیستم های سازمان خود، از بهترین روش هایی که در زیر اشاره شده است، استفاده کنند. هرگونه تغییر در پیکربندی قبل از اجرا توسط مالکان و ادمین های سیستم باید بررسی شود تا از تأثیرات ناخواسته جلوگیری شود.

• شناسه ها و موتورهای آنتی ویروس را به روز نگه دارید.
• پچ های سیستم عامل را به روز نگه دارید.
• سرویسهای اشتراک فایل و چاپگر را غیرفعال کنید. در صورت نیاز به این سرویس ها، از گذرواژه های قوی یا تأیید اعتبار Active Directory استفاده کنید.
• توانایی کاربران (مجوزها) در نصب و اجرای برنامه های نرم افزاری ناخواسته را محدود کنید. کاربران را به گروه ادمین های اصلی اضافه نکنید، مگر اینکه ضرورتی داشته باشد.
• سیاست رمز عبور قوی را اعمال کنید و رمز عبور به طور منظم و مداوم تغییر دهید.
• در هنگام باز کردن پیوست های درون ایمیل ها، حتی اگر انتظار می رود پیوست آن مشخص باشد و فرستنده نیز شناخته شده باشد، احتیاط لازم را اعمال کنید.
• فایروال شخصی را در سیستم های محیط کار مجموعه فعال کنید، آنها بصورت پیشفرض در حالتِ رد درخواست های اتصال ناخواسته پیکربندی نمایید.
• سرویس های غیرضروری را در سیستم های کاری مجموعه و سرورها غیرفعال کنید.
• پیوست های ایمیل مشکوک را اسکن کرده و حذف کنید. اطمینان حاصل کنید که پیوست اسکن شده، شکل اصلی آن فایل است (یعنی پسوند با سرفصل فایل مطابقت داشته باشد).
• عادات روتین وبگردی کاربران را نظارت کنید؛ دسترسی به سایتهای دارای محتوای نامطلوب را محدود کنید.
• هنگام استفاده از رسانه قابل حمل احتیاط کنید (به عنوان مثال، درایوهای USB فلش، درایوهای خارجی، CD و غیره).
• قبل از اجرا، تمام نرم افزارهای بارگیری شده از اینترنت را اسکن کنید.
• در مورد آخرین تهدیدات، اطلاعات و سطح آگاهی خود را به روز حفظ کرده و موارد کنترل دسترسی مناسب (ACL) را پیاده سازی کنید.

آسیب پذیری های امنیتی با شدت بالایی که امکان افزایش اختیارات را که منجر به سرقت داده ها و دیگر موارد می شود، فراهم مینمایند!

مجموعه ای از آسیب پذیری های افزایش اختیار با شدت بالا که بر روی برنامه اتوماسیون فرآیند کسب و کار یا Business Process Automation (BPA) و Cisco’s Web Security Appliance (WSA) تأثیر می گذارد و می تواند به صورت تأیید شده به مهاجمان از راه دور‌ اجازه دسترسی به داده های حساس یا به تصرف درآوردن سیستم هدف حمله را بدهد، شناسایی شده اند.

دو باگ اول (CVE-2021-1574 و CVE-2021-1576) در اینترفیس مدیریت مبتنی بر وب BPA وجود دارد، که برای ساده سازی فرایندهای مختلف IT استفاده می شود. عملکردهای آن شامل بروزرسانی سیستم عامل، فعال سازی دستگاه، بررسی انطباق و تغییر سرور است.

به گزارش ترت پست، این نقص ها که هر دو از نظر سطح آسیب پذیری CVSS 8.8 از 10 را دارند، می توانند به یک مهاجم از راه دور معتبر اجازه دهند اختیارات خود را به سطح ادمین ارتقا دهد. سواستفاده موفقیت آمیز، شامل ارسال پیام های HTTP دست ساز و ساختهٔ مهاجم به یک سیستم آسیب دیده است.

بر اساس توصیه نامه امنیتی که روز پنجشنبه توسط سیسکو منتشر شده است: “این آسیب پذیری ها به دلیل اعمال تاییدات نامناسب برای ویژگی های خاص و دسترسی به فایل های لاگی‌ست که حاوی اطلاعات محرمانه هستند”. این شرکت خاطرنشان کرد: بهره برداری می تواند باعث شود که یک مهاجم اقدامات غیر مجاز و تایید نشده را با سطح اختیارات یک ادمین و یا با بازیابی اطلاعات حساس از لاگ های مربوط و استفاده از آنها برای جعل هویت یک کاربر قانونی مجاز انجام دهد.

• برای CVE-2021-1574، مهاجمی با اعتبارنامه کاربر معتبر می تواند دستورات غیر مجاز را اجرا کند.
• برای CVE-2021-1576، مهاجم با اعتبارنامه معتبر می تواند به لاگ ورود سیستم زیرمجموعه یک سیستم آسیب دیده دسترسی پیدا کند و داده های حساس را بازیابی کند. سیسکو خاطرنشان کرد: این سیستم فقط در شرایطی آسیب پذیر است که کاربر قانونی یک session فعال در سیستم داشته باشد.

این آسیب پذیری ها بر BPA Cisco منتشر شده قبلتر از نسخه 3.1 تأثیر می گذارند.

در همین حال، باگ سوم بر روی دستگاه WSA سیسکو تأثیر می گذارد که با مسدود کردن خودکار سایت های پر خطر و آزمایش سایت های ناشناخته قبل از اینکه به کاربران اجازه کلیک بر روی آنها را بدهد، از افرادی که از شبکه سازمانی برای دسترسی به وب استفاده می کنند محافظت می کند.

این آسیب پذیری (CVE-2021-1359، با نمره CVSS 6.3 از 10) در مدیریت پیکربندی سیستم عامل Cisco AsyncOS وجود دارد که WSA از آن قدرت میگیرد. طبق توصیه نامه امنیتی سیسکو، این آسیب پذیری می تواند به مهاجم از راه دور شناخته شده اجازه دهد تزریق دستور را انجام داده و اختیارات روت را افزایش دهد.

این غول شبکه در ادامه توضیح داد: “این آسیب پذیری به دلیل تأیید ناکافی ورودی XML توسط کاربر برای اینترفیس وب است. یک مهاجم می تواند با بارگذاری فایل های پیکربندی XML دستکاری شده که حاوی کد اسکریپت در دستگاه آسیب پذیر است، از این آسیب پذیری سواستفاده کند. در این مورد، سواستفاده موفقیت آمیز می تواند به مهاجم اجازه دهد دستورات دلخواهی را روی سیستم عامل اصلی اجرا کند و اختیارات را برای root افزایش دهد”.

شدت این باگ را بیش از حد مهم ارزیابی می کنند، زیرا هر مهاجم احتمالی برای سواستفاده از این باگ به یک حساب کاربری معتبر با اجازه بارگذاری فایل های پیکربندی احتیاج دارد؛ چیزی که می تواند از طریق حمله سواستفاده یا فیشینگ دیگری بدست بیاید.

این مسئله در نسخه های 11.8 و نسخه های قبلی، 12.0 و 12.5، نسخه های مجازی و سخت افزاری تجهیزات را تحت تأثیر قرار می دهد.

اینها تازه ترین پچ هایی است که سیسکو منتشر کرده است. ماه گذشته، چندین آسیب پذیری امنیتی با شدت بالا در سوئیچ های هوشمند سری Small Business 220، که جز تجهیزات شبکه سطح متوسط ​​برای سازمان های کوچک هستند، پچ کرده است. این نقص ها می توانند به حملات از راه دور طراحی شده برای سرقت اطلاعات، مستقر کردن بدافزار و ایجاد اختلال در فرایندهای عملیاتی، از طریق سرقت session ها، اجرای خودسرانه کد، cross-site scripting یا XSS و تزریق HTML کمک کنند.

رگولاتور فضای مجازی چین ۲۵ اپ زیر مجموعه شرکت دی دی گلوبال را حذف کرده زیرا آنها به طور غیرقانونی از اطلاعات کاربران استفاده کرده اند.

به نقل از ایران نت نیوز، اداره فضای سایبری چین روز گذشته اعلام کرد ۲۵ اپ موبایل زیرمجموعه شرکت «دی دی گلوبال» را از اپ استورهای حذف می‌کند. این در حالی است که دولت این کشور تحقیقات درباره شرکت تاکسی اینترنتی مذکور را گسترده کرده است.

طبق بیانیه این اداره، اپلیکیشن‌های مورد بحث از اطلاعاتی استفاده کرده‌اند که به طور غیرقانونی و توسط شرکت دی دی جمع آوری شده و برای سرویس‌های ارسال محموله، تجهیزات دوربین و سرویس‌های مالی به کار رفته‌اند.

هفته گذشته چند روز پس از آنکه سهام دی دی در بورس نیویورک عرضه شد، رگولاتور فضای سایبری چین به اپ استورها دستور حذف اپ اصلی دی دی را داد.

همچنین مقامات رگولاتوری چین به دی دی دستور داده‌اند تا تکمیل تحقیقات از ثبت نام کاربران جدید خودداری کند.

حمله گسترده باج افزار Kaseya که ادعا می شود حدود 1000 سازمان را تحت تأثیر قرار داده است، در حال حاضر برای ارتقای سایر حملات استفاده میشود. یکی از این دست حملات، مورد توجه محققان Malwarebytes قرار گرفته است.

قربانیان هدف Kaseya REvil
در یک رشته توییت توسط Malwarebytes، محققان فاش کرده اند که یک کمپین malspam از حمله باج افزار Kaseya برای استقرار Cobalt Strike بهره می برد. این می تواند عاملان تهدید را قادر به حملات بعدی کرده و حتی امکان استقرار بدافزارهای دیگر را نیز ممکن کند.
این کمپین از طریق ایمیل فیشینگ حاوی پیوستی به نام ‘SecurityUpdates.exe’ و همچنین لینکی که به عنوان یک بروزرسانی امنیتی جهت سواستفاده از آسیب پذیری Kaseya ظاهر می شود، انجام می پذیرد.
برای قانع کننده نشان دادن این ایمیل، در آن ادعا می شود که بروزرسانی امنیتی از جانب مایکروسافت ارائه و انجام میپذیرد.

درباره حمله Kaseya چه می دانیم؟
حمله باج افزار Kaseya که در تاریخ 2 ژوئیه رخ داد، یکی از حملات مخرب باج افزاری بود که در پی حملات علیه Colonial Pipeline و JBS Foods، به وقوع پیوست.
باند باج افزار REvil با سواستفاده از آسیب پذیری روز صفر در سرورهای VSA نفوذ کرده بودند.
پس از حمله، مهاجمان موفق به سرقت اطلاعات زیادی شدند و بعداً برای انتشار رمز سراسری آن، مبلغ 70 میلیون دلار را به عنوان باج مطالبه کردند.
برخی از سازمان های آسیب دیده شامل سوپرمارکت ها در سوئد و مدارس در نیوزیلند بودند. در حالی که صدها شرکت مستقیماً در معرض حمله زنجیره تأمین به نرم افزار VSA متعلق به Kaseya قرار داشتند، حداقل 36000 شرکت به صورت غیر مستقیم تحت تأثیر این حمله قرار گرفتند.

نکته قابل توجه
عاملان تهدید همیشه در پی دستیابی به فرصت مفید و طلایی برای رسیدن به ثروت عظیمی بوده اند و استفاده از حمله باج افزاری Kaseya، یکی از این موارد است.
پیش از این، اختلال در Colonial Pipeline باعث حمله فیشینگ “Help Desk” شد که مشتریان Microsoft 365 را هدف قرار داد. هدف نهایی این کارزار اعمال و استقرار ابزار Cobalt Strike بر روی سیستم قربانیان بود.

نتیجه گیری
همانطور که حمله مداوم Kaseya همچنان شرایط سختی را به سازمانها تحمیل میکند، ظهور مبارزات موازی توسط عوامل تهدید، که احتمالاً با گروه REvil مرتبط نیستند، مطمئناً مشکلات و دردسرهای بیشتری ایجاد خواهد کرد. دقت داشتن در هنگام دریافت و مطالعه نامه های الکترونیکی که بطور ناخواسته دریافت شده اند، می تواند به فرد جهت در امان ماندن از چنین حملاتی کمک کند. در همین حال، Kaseya اقدامات لازم برای رفع آسیب پذیری موثر بر سرورهای VSA خود را آغاز کرده است.