دسته: امنیت و شبکه

مقامات مجری قانون به همراه اینترپل عامل تهدیدی که مسئول حملات گسترده به هزاران قربانی طی چندین سال و حملات بدافزاری به شرکت های مخابراتی، بانک های بزرگ و شرکت های چند ملیتی در فرانسه را که بخشی از یک برنامه کلاهبرداری فیشینگ و کارت اعتباری در سطح جهانی بود، دستگیر کرده اند.

شرکت امنیت سایبری Group-IB امروز در گزارشی که با خبرگزاری ها به اشتراک گذاشته، افشا کرده که تحقیقات دو ساله ای که توسط سازمان بین دولتی و بین المللی عملیات ملقب به Lyrebird انجام شد، منجر به دستگیری یک شهروند مراکشی ملقب به Dr HeX گردید.

به گفته این شرکت امنیت سایبری، Dr HeX حداقل از سال 2009 فعال بوده و مسئول تعدادی از جرایم اینترنتی از جمله فیشینگ، جعل هویت، توسعه بدافزار، کلاهبرداری و کاردینگ است که منجر به قربانی شدن هزاران فرد ناآگاه شده است.

این حملات سایبری شامل استقرار یک کیت فیشینگ متشکل از صفحات وب بوده که موجب سواستفاده از نهادهای بانکی کشور میشده و به دنبال آن با ارسال ایمیل های گسترده با جعل هویت شرکت های هدف قرار گرفته، باعث میشد که گیرندگان ایمیل اطلاعات ورود به سیستم را در وب سایت مخرب وارد کنند.

اعتبارنامه های قربانیان ناآگاهی در صفحه وب جعلی وارد شده و سپس به ایمیل مجرم هدایت می شود. حداقل سه کیت فیشینگ مختلف که احتمالاً توسط عامل تهدید استفاده و اعمال شده اند، کشف شده است.
اینترپل در بیانیه ای گفت: “این کیت های فیشینگ از طریق فروم های آنلاین به افراد دیگر فروخته شده تا امکان اقدامات مشابه مخرب علیه قربانیان را برای آنها تسهیل کنند. اینترپل افزود: “این موارد بعداً برای جعل تسهیلات بانکی آنلاین مورد استفاده قرار گرفت و به مظنون و دیگران اجازه داد اطلاعات حساس را بدزدند و از افراد معتمد جهت سواستفاده مالی، کلاهبرداری کنند. آنها با انتشار آنلاین اقدامات مخرب خود و ضررهای تحمیلی به افراد و شرکت ها، در راستای تبلیغات این خدمات مخرب بهر میجستند.

اسکریپت های موجود در کیت فیشینگ حاوی نام Dr HeX و آدرس ایمیل ارتباطی فرد بوده است که با استفاده از آن مجرم سایبری سرانجام شناسایی و از نامش استخراج شده است. در این روند یک کانال YouTube و همچنین نام دیگری که توسط مهاجم برای ثبت و عضویت حداقل دو دامنه کلاهبرداری دیگر که در حملات استفاده شده بود، شناسایی شد.

علاوه بر این، Group-IB اعلام کرد که آنها همچنین توانستند ارتباط بین آدرس ایمیل با زیرساخت های مخربی که متهم در کارزارهای مختلف فیشینگ، شامل پنج آدرس ایمیل، شش نام مستعار و حساب های او در اسکایپ، فیس بوک، اینستاگرام و YouTube به کار گرفته است، کشف و شناسایی کنند.

در مجموع، ردپای دیجیتال دکتر هکس در طی یک بازه زمانی بین 2009 و 2018، در طول زمانی که از عامل تهدید کمتر از 134 صفحه وب، همراه با پست های ایجاد شده توسط مهاجم در فروم های مختلف غیرقانونی مختص تجارت بدافزار برجا مانده بود، کشف شد، دلالت بر فعالیت های مخرب وی میداشت. همچنین شواهد حاکی از دست داشتن وی در حمله به شرکت های فرانسوی جهت سرقت اطلاعات مالی است.

دیمیتری ولکوف (CTO) از Group-IB اعلام کرد: “مظنون، بخصوص به اصطلاح Zombi Bot را ترویج میکرده، که ادعا میشود شامل 814 سواستفاده، از جمله 72 مورد خصوصی، یک brute-forcer، اسکنرهای بک‌دور و webshell، و همچنین اقدام برای انجام حملات DDoS بوده است”.

گوگل ۹ اپ اندروید را از پلی استور حذف کرده که با سرقت اطلاعات ورود به حساب کاربری فیس بوک افراد، قوانین حریم خصوصی را نقض کرده اند.

به نقل از اقتصادکشور، تحلیلگران «Dr.Web» (یک تولید کننده روسی نرم افزار آنتی ویروس) ۹ اپ حاوی تروژان کشف کردند که اطلاعات ورود به حساب کاربری فیس بوک (نام و پسورد) را سرقت می‌کنند. پس از این کشف، گوگل اپلیکیشن‌های مذکور را از پلی استور حذف کرد.

این اپ ها نام‌های مبهمی نداشتند و بدافزار موجود در آنها به طور کلی ۵.۸ میلیون بار دانلود شده بود. به طور دقیق‌تر بدافزار در اپ هایی با نام‌هایی مانند Horoscope Dailyو Rubbish Cleaner قرار داشت.

اپلیکیشن‌های مذکور با بارگذاری صفحه لاگین واقعی فیس بوک کاربران را فریب می‌دادند و در مرحله بعد جاوا اسکریپتی از یک سرور دستور و کنترل را بارگذاری می‌کردند تا اطلاعات ورود به حساب کاربری را سرقت و به اپ منتقل کنند.

همچنین اپلیکیشن‌های مذکور کوکی هایی از بخش احراز هویت را سرقت می‌کردند.

در کل ۵ نسخه از بدافزار رصد شد اما همه آنها از یک کد جاوا اسکریپت و فرمت فایل‌های تنظیمات برای سرقت اطلاعات استفاده می‌کردند. بنابراین احتمالاً نیاز باشد گوگل بدافزار مذکور را در سیستم خود ردیابی کند تا به این ترتیب از نفوذ هکرها به سیستمش جلوگیری کند.

محققان امنیت سایبری روز پنجشنبه جزئیاتی درباره یک botnet الهام گرفته از Mirai به نام “mirai_ptea” را فاش کردند که از یک آسیب پذیری که تا پیش از این فاش نشده بود و در ضبط کننده های دیجیتال ویدئویی (DVR) ارائه شده توسط KGUARD وجود دارد، برای گسترش و انجام حملات Distributed Denial-of-Service (DDoS) استفاده می کند.

شرکت امنیتی چینی Netlab 360 اولین تحقیق خود را در 23 مارس 2021 و قبل از کشف تلاشهای بهره برداری فعال توسط این بات‌نت در 22 ژوئن 2021، بر روی این نقص آغاز کرد.

بات‌نت Mirai، از زمان ظهور در فضای سایبری در سال 2016، به رشته حملات گسترده DDoS مرتبط شده است؛ از جمله حمله به DNS ارائه دهنده خدمات Dyn در اکتبر 2016 که باعث شد اغلب پلتفرم های اینترنتی و خدمات عمده اینترنت برای کاربران در اروپا و آمریکای شمالی غیرقابل دسترسی باشند.

از آن زمان انواع مختلفی از Mirai در فضای سایبری جهت تهدید کاربران ظاهر شده اند که بخشی از آن به دلیل در دسترس بودن کد منبع آن در اینترنت است. Mirai_ptea نیز از این قاعده مستثنی نیست.

درباره اقداماتی که در راستای جلوگیری از بهره برداری بیشتر از این نقص امنیتی انجام شده، اطلاعاتی ارائه و اعلام نشده است، اما محققان گفته اند که فریمور KGUARD DVR از قبل از سال 2017 حاوی کد آسیب پذیر بوده و این کد امکان اجرای از راه دور دستورات سیستم را بدون تأیید اعتبار فراهم می کرده است. حال حداقل حدود 3000 دستگاه در ارتباط با اینترنت مستعد درگیر و مبتلا به این آسیب پذیری هستند.

بعلاوه با استفاده از Tor Proxy برای برقراری ارتباط با سرور command-and-control (C2)، تجزیه و تحلیل نمونه mirai_ptea رمزگذاری گسترده ای از تمام اطلاعات منابع حساس را آشکار کرد که برای برقراری ارتباط با سرور C2 و بازیابی دستورات حمله جهت اجرا از جمله حملات DDoS، کدنویسی شده است.

محققان با توجه به آلودگی هایی که در سراسر اروپا، آسیا، استرالیا، آمریکای شمالی و آمریکای جنوبی و قسمتی از آفریقا گزارش شده است، خاطرنشان كردند: “توزیع جغرافیایی IP منبع این بات‌نت عمدتا در ایالات متحده، كره و برزیل متمرکز است”.

گروهی از کاربران موبایل از گوگل شکایت کرده اند. آنها ادعا می کنند گوگل به وسیله دستیار صوتی هوشمندش، محاوره های آنان را بدون اجازه برای تبلیغات هدفمند استفاده کرده است.

به نقل از ایران نت نیوز، یک قاضی فدرال اجازه داد شکایتی دسته جمعی علیه گوگل ثبت شود. براساس این شکایت گوگل به ثبت و انتشار محاورات خصوصی افرادی متهم شده که به طور تصادفی دستیار صوتی هوشمند را در موبایل‌هایشان فعال کرده بودند.

بت لابسون فریمن قاضی دادگاه فدرال آمریکا اکنون به شاکیان اجازه داده به دلیل نقض قانون حریم خصوصی فدرال و نقض قوانین قرارداد، شکایت گروهی علیه گوگل و شرکت مادر آن (آلفابت) ثبت کنند.

البته فریمن ادعاهای مربوط به شاکیان نقض قانون حمایت از مصرف کننده را رد کرد اما به گفته او ممکن است درباره این شکایت تجدیدنظر شود.

هنگامی که کاربر اصطلاحاتی موسوم به «عبارات داغ» مانند «سلام گوگل» یا «اوکی گوگل» را می‌گوید، دستیار هوشمند گوگل فعال می‌شود. اما شاکیان ادعا می‌کنند گوگل اجازه ندارد از صدای محاورات آنها برای تبلیغات هدفمند استفاده کند.

به گفته فریمن شاکیان نشان دادند آنها به مدت کافی از دستگاه‌های مجهز به دستیار هوشمند گوگل استفاده کرده‌اند و به موجب آن انتظارات قابل قبولی درباره حریم خصوصی دارند.

او در ادامه افزود: هرچند گوگل در بخش سیاست‌های حریم شخصی خود اعلام کرده است که اطلاعات را برای تبلیغات هدفمند جمع آوری می‌کند، اما درباره اینکه از محاورات سهواً و بدون وجود عبارات داغ هم استفاده می‌کند، به اندازه کافی به کاربران اطلاع رسانی نکرده است.

از سوی دیگر گوگل ادعا می‌کند شاکیان نشان نداده‌اند که در نتیجه این رفتار آسیبی دیده‌اند یا ضمانت‌های قراردادی لغو شده است.

محققان امنیت سایبری مایکروسافت آسیب پذیری های بحرانی امنیتی که روترهای سری NETGEAR DGN2200v1 را تحت تأثیر قرار می دهد کشف کرده اند، که به گفته آنها می تواند به عنوان نقطه پرشی مورد سواستفاده قرار گیرد تا امنیت شبکه را به خطر انداخته و دسترسی بدون محدودیت را برای مهاجمین فراهم آورد.

سه ضعف امنیتی احراز هویت HTTPd (نمرات CVSS: 7.1 – 9.4) بر روترهایی که نسخه های سیستم عامل قبل از v1.0.0.60 اجرا می کنند، تأثیر می گذارد و از زمان دسامبر سال 2020 توسط آن شرکت از طریق یک توصیه نامه امنیتی به عنوان بخشی از فرایند آشکار سازی آسیب پذیری ها، پیگیری و رفع شده است.

به نقل از ایران نت نیوز، جاناتان بار اور، عضو تیم تحقیقاتی Microsoft 365 Defender گفت: “افزایش تعداد حملات Firmware ها و حملات باج افزاری از طریق دستگاه های VPN و سایر سیستم های متصل به اینترنت، نمونه هایی از حملاتی است که در بیرون و در لایه های زیرین سیستم عامل ها آغاز شده است. با متداول تر شدن این نوع حملات، کاربران باید به دنبال امنیت سایبری حتی یک نرم افزار تک منظوره باشند که صرفا وظیفه اجرای سخت افزار آنها را بر عهده دارد، مانند روترها”.

به طور خلاصه این نقص امنیتی، دسترسی به صفحات مدیریت روتر را با استفاده از دور زدن احراز هویت فراهم می کند و به مهاجم این امکان را می دهد تا کنترل کامل روتر را بدست آورده و همچنین اعتبارنامه های ذخیره شده روتر را از طریق کریپتوگرافی حمله side-channel، استخراج کند و حتی با استفاده از ویژگی backup/restore، نام کاربری و رمز عبوری را که در حافظه روتر ذخیره می شود، بازیابی نماید.

بار اور توضیح داد: “نام کاربری و رمز عبور (در برابر اعتبار ذخیره شده) با استفاده از strcmp مقایسه می شوند. پیاده سازی libc در strcmp با مقایسه کاراکتر به کاراکتر تا مشاهده یک ترمیناتور NUL یا تا زمانی که عدم تطابق حاصل شود، کار کرده و پیش میرود. یک مهاجم می تواند با اندازه گیری زمان لازم برای عملیات ناموفق، از حالت دوم بهره برداری و سواستفاده کند”.

علاوه بر این، محققان با سواستفاده از دور زدن احراز هویتی که در بالا ذکر شد، برای دسترسی به فایل پیکربندی، دریافتند که اعتبارنامه ها با استفاده از یک گذرواژه ثابت رمزگذاری شده اند، که می تواند بعداً برای بازیابی متن ساده رمز عبور و نام کاربری استفاده شود.

به کاربران NETGEAR DGN2200v1 توصیه می شود برای جلوگیری از هرگونه حمله احتمالی، جدیدترین فریمور را دانلود، نصب و به روزرسانی نمایند.

اطلاعات ۷۰۰ میلیون کاربر لینکدین برای فروش در وب تاریک عرضه شده است که شامل آدرس ایمیل، موقعیت مکانی، شماره تماس و حتی دستمزد تقریبی آنها است.

به نقل از ایران نت نیوز، دلال‌های وب تاریک سعی دارند اطلاعات ۷۰۰ میلیون کاربر شبکه اجتماعی لینکدین را بفروشند.

هکرها اطلاعات حساب میلیون‌ها کاربر این زیرمجموعه مایکروسافت از جمله آدرس ایمیل، موقعیت مکانی، شماره تماس و حتی دستمزد تقریبی آنها را برای فروش عرضه کرده‌اند.

گزارش محققان امنیت سایبری مؤسسه «Restore Privacy» نشان می‌دهد هکرها اطلاعات یک میلیون کاربر لینکدین را به عنوان نمونه عرضه کرده‌اند. البته مجرم سایبری فروشنده این داده‌ها ادعا می‌کند اطلاعات بیش ۷۰۰ میلیون کاربر این شبکه اجتماعی (معادل ۹۳ درصد کل کاربران آن) را در اختیار دارد.

در یکی از پست‌های وبلاگی این مؤسسه آمده است: هرچند ما اطلاعات ورود به حساب کاربری یا داده‌های مالی کاربران را در نمونه اطلاعات مذکور رصد نکردیم، اما به هرحال مخزنی حاوی انبوه اطلاعات در اختیار هکرها قرار دارد که از آن برای دستیابی به سود مالی استفاده می‌کنند.

مجرم سایبری ارائه کننده اطلاعات لینکدین در وب تاریک ادعا می‌کند با استفاده از نرم افزاری که این شبکه اجتماعی برای توسعه دهندگان فراهم کرده، اطلاعات را دزدیده است.

در بیانیه «Restore Privacy» آمده است: در این مورد خاص به نظر نمی‌رسد سرورهای لیندکین هک شده باشند یا هکرها به آن نفوذ کرده باشند.

سخنگوی لینکدین نیز در بیانیه‌ای اعلام کرد: ما همچنان مشغول بررسی این چالش هستیم، تحلیل اولیه ما نشان می‌دهد یک مخزن اطلاعاتی از شرکت سرقت شده و همچنین داده‌هایی از منابع دیگر نیز دزدیده شده‌اند.

این دومین بار در سال جاری است که اطلاعات کاربران لینکدین هک می‌شود. در آوریل سال جاری هکرها اطلاعات ۵۰۰ میلیون کاربر این شبکه اجتماعی را سرقت کردند.

به دنبال انتشار گزارش‌های متعددی در مورد خالی شدن محتوای هاردهای وسترن دیجیتال در نقاط مختلف جهان، حالا مشخص شده این کار توسط هکرها انجام شده است.

به نقل از ایران نت نیوز، هاردهای اکسترنال وسترن دیجیتال موسوم به مای بوک لایو در نقاط مختلف جهان خالی شده‌اند و کاربران آنها با حضور در شبکه‌های اجتماعی نسبت به این موضوع اعتراض کرده‌اند.

بعد از گذشت مدت زمانی شرکت وسترن دیجیتال با صدور اطلاعیه‌ای این رویداد را ناشی از وجود یک آسیب پذیری در هاردهای اکسترنال یادشده دانسته است. اما بررسی‌های مستقل مؤسسه امنیتی سنسیس نشان می‌دهد که هکرها با بهره گیری از یک حفره امنیتی در هاردهای مای بوک لایو توانسته‌اند آنها را از راه دور خالی کرده و داده‌های ذخیره شده بر روی این هاردها را پاک کنند.

هکرها با سوءاستفاده از آسیب پذیری مذکور کلمات عبور این هاردها را بازتنظیم کرده و تغییر داده‌اند و سپس توانسته‌اند اطلاعات آنها را پاک کنند. آسیب پذیری که مورد سو استفاده قرار گرفته CVE-۲۰۲۱-۳۵۹۴۱ نام دارد و از این طریق بدافزاری بر روی هاردهای یادشده نصب شده که موجب می‌شود علاوه بر پاک شدن داده‌ها، آنها به بخشی از شبکه‌های بوت نت مخرب برای خرابکاری در فضای مجازی نیز مبدل شوند.

به دنبال انتشار گزارش‌های متعددی در مورد خالی شدن محتوای هاردهای وسترن دیجیتال در نقاط مختلف جهان، حالا مشخص شده این کار توسط هکرها انجام شده است.

به نقل از ایران نت نیوز، هاردهای اکسترنال وسترن دیجیتال موسوم به مای بوک لایو در نقاط مختلف جهان خالی شده‌اند و کاربران آنها با حضور در شبکه‌های اجتماعی نسبت به این موضوع اعتراض کرده‌اند.

بعد از گذشت مدت زمانی شرکت وسترن دیجیتال با صدور اطلاعیه‌ای این رویداد را ناشی از وجود یک آسیب پذیری در هاردهای اکسترنال یادشده دانسته است. اما بررسی‌های مستقل مؤسسه امنیتی سنسیس نشان می‌دهد که هکرها با بهره گیری از یک حفره امنیتی در هاردهای مای بوک لایو توانسته‌اند آنها را از راه دور خالی کرده و داده‌های ذخیره شده بر روی این هاردها را پاک کنند.

هکرها با سوءاستفاده از آسیب پذیری مذکور کلمات عبور این هاردها را بازتنظیم کرده و تغییر داده‌اند و سپس توانسته‌اند اطلاعات آنها را پاک کنند. آسیب پذیری که مورد سو استفاده قرار گرفته CVE-۲۰۲۱-۳۵۹۴۱ نام دارد و از این طریق بدافزاری بر روی هاردهای یادشده نصب شده که موجب می‌شود علاوه بر پاک شدن داده‌ها، آنها به بخشی از شبکه‌های بوت نت مخرب برای خرابکاری در فضای مجازی نیز مبدل شوند.

مایکروسافت گردش یک درایور حاوی بدافزار را در محیط‌های مربوط به خدمات بازی‌های ویدئویی خود تأیید کرده و مجوز این کار را صادر کرده است.

به نقل از ایران نت نیوز، این درایور که نت فیلتر نام دارد یک روت کیت است که ارتباطاتی با چند آی پی فرمان و کنترل چینی داشته است.

کارستن هان تحلیل گر بدافزار در شرکت جی دیتا برای اولین بار موفق به شناسایی این بدافزار آلوده شد و کاربران را از وجود آن مطلع کرد. بررسی‌ها نشان داد که مایکروسافت خود مجوز فعالیت درایور آلوده به بدافزار را صادر کرده است.

این رویداد یک بار دیگر به نگرانی‌ها در مورد میزان امنیت چرخه گردش نرم افزار در شرکت‌های مختلف فناوری دامن زده است. به نظر می‌رسد ضعف در فرایندهای تأیید کدهای نرم افزاری مایکروسافت موجب وقوع این مشکل شده است. این درایور آلوده از زمان عرضه ویندوز ویستا تا به امروز در گردش بوده است. مایکروسافت هنوز در این زمینه توضیح قانع کننده‌ای ارائه نکرده است.

هکرها باج افزار «REvil» را شبیه‌سازی کرده و بدافزار جدیدی منتشر کردند.
به نقل از ایران نت نیوز؛ افرادی ناشناس باج افزار ریویل (REvil) را شبیه‌سازی کرده و بدافزاری به نام ال‌وی (LV) طراحی کرده‌اند که رایانه‌های مبتنی بر سیستم‌عامل ویندوز را هدف قرار می‌دهد.

بر طبق گزارش شرکت «Secureworks»، یک گروه جرائم سایبری مستقل به نام «Gold Northfield» این باج افزار را ساخته و منتشر کرده است. نخستین حملات واقعی گروه مذکور‌ در ماه اکتبر 2020 ثبت‌شده است.

به گفته کارشناسان، اپراتورهای ال‌وی به باینری‌ای که رمزگذاری واقعی را در حملات ریویل بر عهده داشته، دسترسی پیداکرده‌اند. سپس با استفاده از هگز ادیتور این باینری و فایل پیکربندی آن را تغییر داده‌اند. درنتیجه این تغییرات، باج افزار ال‌وی را ایجاد کرده‌اند. هکرها روش استخراج و انتقال داده‌های مسروقه توسط بدافزار را نیز تغییر داده‌اند.

تیم «Secureworks» براین باور است سازندگان ریویل یا سورس کد باج افزار را یک زمانی فروخته‌اند، یا آن را سرقت کرده‌اند. این احتمال نیز وجود دارد که گروه «Gold Southfield» در قالب شراکت و همکاری کد بدافزار را با گروه دیگری به اشتراک گذاشته‌ است.

ال‌وی برخلاف ریویل به‌عنوان سرویس (RaaS) در فروم‌های هکری ارائه نمی‌شود و در حملات آن نیز از سیستم پرداخت باج مبتنی بر تور استفاده می‌شود

به باور محققان، به نظر می‌رسد اپراتورهای ال‌وی نسخه بتا REvil 2.03 را اصلاح کرده و درنهایت به باج افزار ال‌وی تبدیل کرده‌اند. علی‌رغم سرقت کد بدافزار، ال‌وی هنوز از نظر زیرساخت‌های داخلی مانند ریویل نیست. به‌عنوان‌مثال، ال‌وی سرورهای فرماندهی و کنترلی را که ریویل برای ردیابی آلودگی‌ها مورد استفاده قرار می‌دهد، حذف کرده و آن‌ها را با سرورهای اختصاصی نیز جایگزین نکرده و این بخش را خالی گذاشته است.

باج افزار ریویل که به «Sodinokibi» نیز شهرت دارد به‌عنوان سرویس به گروه‌های سایبری مختلفی اجاره داده می‌شود. این بدافزار قابلیت‌های بسیاری داشته و ردیابی عملیات آن بسیار دشوار است.

این بدافزار در ردیف مشهورترین باج افزارهای حال حاضر ازجمله «Netwalker» ،«DopplePaymer» ،«Maze» و «Ryuk» قرار گرفته است.