IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

Botnet

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

باز بودن درب پشتی بر روی مودم های زایکسل

به گزارش هک رید؛ شرکت امنیت سایبری نیو اسکای (NewSky)، طی گزارشی از وجود بات نت جدید در حوزه اینترنت اشیا خبر داد. این بات نت که نام آن «DoubleDoor» است، فایروال های را نشانه گرفته و از طریق درب پشتی موجود به این فایروال نفوذ می کند.Takian.ir DoubleDoor

این بات نت از طریق دور زدن ویژگی های امنیتی و تأیید های معمول به سیستم قربانی نفوذ می کند.

در این نوع از حمله با توجه به دور زدن تأیید هویت های معمول می توان کنترل کامل تجهیزات هوشمند را در اختیار گرفت.

آسیب پذیری موجود در فایروال های یاد شده با کد آسیب پذیری CVE-2015-7755 شناسایی می شود. همچنین آسیب پذیری دیگری همانند مورد یاد شده در مودم های «Zyxel» شناسایی شده که از طریق درب پشتی موجود در این مودم به سیستم ها نفوذ می کنند و آسیب پذیری مودم های زایکسل با کد CVE-2016-10401 شناسایی می شوند. از طریق این آسیب پذیری از راه دور هم می توان به سیستم نفوذ کرد، گفتنی است از طریق هر نام کاربری با استقاده از گذرواژه « <<< %s(un=’%s’) = %u» می توان به مودم های زاکسل نفوذ کرد.

از طرفی فایروال ها را می توان از طریق نام کاربری «netscreen» و گذر واژه «zyad5001» مورد حمله قرار داد.

در نهایت از طریق آسیب پذیری درب پشتی فایر وال و آسیب پذیری موجود در مودم های زایکسل میتوان حتی از راه دور به سیستم های کامپیوتری نفوذ کرد.

بازگشت بدافزار Trickbot با ماژول جدید VNC برای جاسوسی از قربانیان

 takian.ir trickbot malware returns with new vnc module to spy on its victims 1

محققان امنیت سایبری نسبت به ادامه بازگشت بدافزار مخرب TrickBot به عرصه فضای سایبری هشدار داده و به صراحت اعلام کرده اند که گروه فراملی جرایم سایبری مستقر در روسیه در واکنش به تلاش های متقابل اخیر سازمان تامین امنیت، در پشت صحنه این بدافزار تلاش می کند تا زیرساخت های خود را برای حمله دوباره بهبود بخشیده و بازسازی کند.

کمپانی Bitdefender در یک مقاله فنی که روز دوشنبه منتشر شد که حاکی از افزایش پیچیدگی تاکتیکهای این گروه بود، بیان داشت: "از قابلیت های جدید کشف شده و با استفاده از یک پروتکل ارتباطی سفارشی برای پنهان کردن انتقال داده ها بین سرورها (command-and-control) و قربانیان، برای نظارت و جمع آوری اطلاعات مربوط به قربانیان استفاده می گردد که این مسئله تشخیص حملات را دشوار کرده است".

محققان خاطرنشان کردند: "Trickbot هیچ نشانه ای از کاهش روند سرعت، از خود نشان نداده است".

بات نت ها (Botnets) هنگامی تشکیل می شوند که صدها یا هزاران دستگاه هک شده در شبکه ای که توسط اپراتورهای خرابکار اداره می شود، مورد استفاده قرار گیرند و اغلب برای حملات denial-of-network به مشاغل و زیرساخت های مهم بوسیله ایجاد ترافیک جعلی با هدف غیر فعال کردن و آفلاین کردن آنها استفاده می شوند. از سویی با کنترل این دستگاه ها، عاملان مخرب همچنین می توانند از بات نت ها برای گسترش بدافزار و هرزنامه و یا استقرار باج افزار رمزگذاری فایل در رایانه های آلوده استفاده کنند.

بدافزار TrickBot نیز تفاوتی از این نظر ندارد. باند مشهور جرایم رایانه ای در پشت این عملیات قرار دارند (که Wizard Spider نامیده می شود) سابقه بهره برداری از تجهیزات های آلوده برای سرقت اطلاعات حساس، گردش جانبی در سراسر شبکه و حتی تبدیل شدن به یک لودر برای بدافزارهای دیگر مانند باج افزار را دارد؛ و در حالی این اقدامات را انجام میدهد که به طور توامان زنجیره آلودگی خود را با افزودن ماژول هایی با قابلیت جدید برای افزایش کارایی آن نیز گسترش می دهد.

takian.ir trickbot malware returns with new vnc module to spy on its victims 2

آزمایشگاه Black Lotus لومن در اکتبر گذشته اعلام کرد: "TrickBot برای استفاده یک زیرساخت پیچیده ایجاد شده است که سرورهای شخص ثالث را به خطر می اندازد و از آنها برای میزبانی بدافزار استفاده می کند. این بدافزار همچنین وسایل مصرفی مانند روترهای DSL را آلوده میکند و اپراتورهای خرابکار آن به طور مداوم آدرس IP و میزبان آلوده خود را عوض میکنند تا با این اختلال امکان کشف جرم آنها تا حد ممکن دشوار شود".

این بات نت از دو تلاش برای غیرفعالسازی مایکروسافت و فرماندهی سایبری ایالات متحده در حالی که اپراتورها در حال ساخت اجزای میان افزار بودند که می توانست به هکرها اجازه دهد یک backdoor در Unified Extensible Firmware Interface (UEFI) نصب کنند، فرار کرده است. و همچنین این امکان را برای آنها فراهم میکرد که از احتمال شناسایی توسط آنتی ویروس رهایی یافته، از بروزرسانی نرم افزار جلوگیری کنند و یا حتی سیستم عامل را بطور کامل پاک کنند و یا اینکه سیستم عامل رایانه را مجددا نصب نماید.

اکنون طبق گفته Bitdefender، عامل تهدید به طور فعال در حال توسعه یک نسخه به روز شده از یک ماژول به نام "vncDll" است که آن را در برابر اهداف با ویژگی های سطح بالا برای نظارت و جمع آوری اطلاعات به کار می برد. نسخه جدید نیز "tvncDll" نامگذاری شده است.

ماژول جدید برای برقراری ارتباط با یکی از نه سرور فرمان و کنترل (C2) تعریف شده در فایل پیکربندی آن استفاده شده است، و از آن برای بازیابی مجموعه ای از دستورات حمله، دانلود payload های بیشتر بدافزارها و بازگشت سیستم به عقب و سرور استفاده می شود. علاوه بر این، محققان گفته اند که آنها "ابزاری برای مشاهده" که مهاجمان برای ارتباط با قربانیان از طریق سرورهای C2 استفاده می کنند را شناسایی کردند.

گرچه تلاش برای از بین بردن عملیات این باند به طور کامل موفقیت آمیز نبوده است، اما مایکروسافت به دیلی بیست گفت که با ارائه دهندگان خدمات اینترنت (ISP) کار می کند تا خانه به خانه روترهای سازگار با بدافزار Trickbot در برزیل و آمریکای لاتین را جایگزین نماید؛ که این عمل باعث گردید که به طور موثری بدافزار Trickbot از زیرساخت های افغانستان خارج و بیرون رانده شود.

پنهان ماندن و شناسایی نشدن بدافزاری جدید در میان Exclusion های Windows Defender

 takian.ir this new malware hides itself among windows defender exclusions to evade detection 1

محققان امنیت سایبری روز سه شنبه از بدافزار جدیدی با نام "MosaicLoader" رونمایی کردند که به عنوان بخشی از یک کمپین جهانی، در پی اهدافی است که در جستجوی نرم افزارهای کرک شده می باشند.

محققان Bitdefender در گزارشی که با خبرگزاری ها به اشتراک گذاشته شده، گفتند: "مهاجمان MosaicLoader بدافزاری را ایجاد کرده اند که می تواند هر دیتایی را بر روی سیستم تحویل دهد که در نهایت به طور بالقوه از آن در راستای یک سرویس ارائه و تحویل بهره برداری کند. این بدافزار با نمایش خود به عنوان نصب کننده های کرک به سیستم های مورد نظر ورود پیدا می کند. سپس یک پخش کننده بدافزار مخرب را دانلود میکند که حاوی لیستی از URL هایی است که از سرور C2 به دست می آیند و بعد از آن داده های جدید را از لینک های دریافت شده، دانلود می نماید.".

takian.ir this new malware hides itself among windows defender exclusions to evade detection 2

به نقل از هکر نیوز، این بدافزار به دلیل ساختار داخلی پیچیده ای که برای جلوگیری از مهندسی معکوس و فرار از هرگونه تجزیه و تحلیل تنظیم شده، با این عنوان نامگذاری شده است.

حملات MosaicLoader متکی به یک روش کاملاً ثابت برای تحویل بدافزارها به نام آلودگی بهینه سازی موتور جستجو (SEO) است که در آن مجرمان سایبری با خرید اسلات تبلیغاتی در نتایج موتور جستجو، لینکهای مخرب خود را در هنگام جستجوی کاربران برای عبارات مربوط به نرم افزارهای غیرقانونی، به عنوان نتایج اول به نمایش می گذارد.

پس از یک الودگی موفقیت آمیز، دراپر اولیه مبتنی بر دلفی (که به عنوان یک نصب کننده نرم افزار عمل میکند) به عنوان نقطه آغازی برای بارگیری دیتای مرحله بعدی از یک سرور از راه دور عمل می کند و همچنین برای جلوگیری از اسکن شدن توسط آنتی ویروس، تلاش های مضاعفی را در مورد Windows Defender برای دو فایل اجرایی دانلود شده، به کار میگیرد.

takian.ir this new malware hides itself among windows defender exclusions to evade detection 3

لازم به ذکر است که این موارد Exclusion های Windows Defender را می توان در رجیستری کی های ذکر شده در زیر مشاهده کرد:

موارد استثنائات فایل و فولدر - HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exccepts \ Paths
استثنائات نوع فایل - HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exccepts \ Extensions
استثنائات فرآیندی - HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Exccepts \ Processes

یکی از باینری ها، "appsetup.exe" برای نیل به هدف ماندگاری بر روی سیستم طراحی شده است، در حالی که دومین فایل اجرایی، "prun.exe"، به عنوان دانلودر برای یک ماژول پخش کننده عمل می کند که می تواند تهدیدهای مختلف را از طریق بازیابی و استقرار لیستی از URL ها، از سرقت کنندگان کوکی گرفته تا استخراج کنندگان رمزارز و حتی استقرارهای پیشرفته تر مانند Glupteba را اجرایی نماید.

مورد دوم یعنی"prun.exe" همچنین به دلیل حجم زیاد پیچیدگی و تکنیک های ضد مهندسی معکوس که شامل جداسازی تکه های کد با بایت های تصادفی فیلر است، با جریان اجرایی طراحی شده است که "از این قسمت های تصادفی می پرد و فقط قسمت های کوچک و معنی دار را اجرا می کند"، بسیار قابل توجه و جالب است.

takian.ir this new malware hides itself among windows defender exclusions to evade detection 4

با توجه به قابلیت های گسترده و فراوان MosaicLoader، سیستم های به خطر افناده می توانند در یک بات نت قرار بگیرند که عامل تهدید می تواند از آن برای انتشار مجموعه های مختلف و در حال تکامل بدافزار پیچیده، از جمله بدافزارهای عمومی و سفارشی سازی شده برای بدست آوردن، گسترش دادن و نگهداری غیر مجاز جهت دسترسی به رایانه ها و شبکه های قربانی استفاده نماید.

محققان گفتند: "بهترین راه برای دفاع در برابر MosaicLoader جلوگیری از بارگیری نرم افزارهای کرک شده از هر منبعی است. ضمنا علاوه بر خلاف قانون بودن، مجرمان اینترنتی به دنبال هدف قرار دادن و سواستفاده از کاربرانی هستند که به دنبال نرم افزارهای غیرقانونی هستند، همچنین ضروری است که مرحله ای برای "بررسی دامنه منبع هر دانلود برای اطمینان از قانونی بودن فایل ها" در نظر گرفته شود.".

حملات جدید توسط بات نت میرای

محققان شرکت امنیت سایبری «Fortinet»، اظهار کردند که نسخه جدید میرای، ابزاری بسیار قدرتمند است و از سال 2016 تا امروز در سراسر اروپا و آمریکا فعال بوده است.
Takian.ir Miray botnet

بات نت میرای به روش های گوناگون اقدام به نفوذ و تخریب سیستم ها می کند. به طور مثال نسخه اولیه میرای حملات اختلال سرویس توزیع شده (DDoS) را کلید زد، در ویرایش های بعدی این بات نت شاهد استخراج ارزهای دیجیتالی با سوءاستفاده از دستگاه های سخت افزاری کاربران بودیم. البته از آنجایی که عمده فعالیت های این بات نت در حوزه اینترنت اشیا بوده است، بیشتر در این جهت رشد داشته و شناخته شده است.

بسیاری از تجهیزات اینترنت اشیا به دلیل گستردگی فعالیت بات نت میرای مورد تهاجمات گسترده قرار گرفته اند.

در یک مورد از این حملات، با یافتن آسیب پذیری در دوربین های مدار بسته، مدل های « Netgear R7000 و R64000» امکان نفوذ و سرقت اطلاعات آنها فراهم شد. این آسیب پذیری با شناسه «CVE-2016-6277» معرفی شده است.

طبق بررسی های صورت گرفته توسط کارشناسان امنیت سایبری برخی بات نت ها ادامه دهنده راه میرای بوده و عملکردشان تفاوت زیادی با میرای ندارد.

به عنوان مثال بات نت «Sora botnet» یا «Owari bot» نمونه ای از این موارد هستند که عموما با رویکرد سرقت اطلاعات وارد سیستم کاربران می شود.

با توجه به گسترش اینترنت اشیا و گستردگی این حوزه هکرها اقبال بیشتری به هک و نفوذ در این زمینه نشان می دهند. همین موضوع سبب شده تا بات نت ها و بدافزار های موجود در این حوزه گسترش بیشتری پیدا کنند.

سازنده بات نت میرای 8.6 میلیون دلار جریمه شد

به گزارش سایت nbcnewyork.com، این شبکه بات نت برای آلوده کردن بیش از ۱۰۰ هزار رایانه متصل به اینترنت و سرقت اطلاعات مالی از آنها و حمله به رایانه های دیگر به کار گرفته شد.takian.ir rutgers university computer hacker ordered to pay 86 million

هکر دستگیر شده Paras Jha نام دارد و ۲۲ ساله است. وی علاوه بر پرداخت جریمه سنگین مالی باید شش ماه نیز در حبس خانگی به سر ببرد. این هکر حملات سایبری متعددی را نیز طراحی کرده است.

شبکه بات نت میرای علاوه بر تلاش برای سرقت پول های کاربران، برای حمله به وب سایت های تجاری و متعلق به شرکت های گوناگون به کار گرفته می شد و با ارسال ترافیک سنگین اینترنتی دسترسی به سایت های یادشده را ناممکن می کرد.

از طریق این شبکه بات نت تبلیغات آنلاینی نیز برای کاربران ارسال می شد و با کلیک کردن بر روی آنها پول های کلانی به جیب سه گرداننده شبکه های بات نت سرازیر می شد.

علاوه بر شرکت های تجاری برخی دانشگاه های آمریکایی نیز هدف حملات بات نت یادشده بوده اند که از جمله آنها می توان به دانشگاه راجرز، همین طور برخی شرکت های اینترنتی و برخی واحدهای شرکت اوراکل اشاره کرد.

Paras Jha پیش از این در دسامبر سال ۲۰۱۷ هم به علت کلاهبرداری های اینترنتی در آلاسکا مورد پیگرد قضایی قرار گرفته و به پرداخت ۱۲۷ هزار دلار جریمه محکوم شده بود.

سبک جدید و خلاقانه حملات، دريافت باج بابت توقف حملات سیل آسا

حمله درخواست باج DDoS چیست؟

حمله باج DDoS یا  Ransome DDoS (RDDoS) زمانی است که گروه های خرابکار با تهدید سازمان ها یا اشخاص به حمله distributed denial of service (DDoS) اقدام به اخاذی میکنند. طرف خرابکار مورد بحث ممکن است حمله DDoS را انجام داده و سپس با یک نوشته درخواست باج خواستار پرداخت پول جهت متوقف کردن حمله کرده، یا ممکن است ابتدا درخواست باج مبنی بر تهدید به حمله DDoS را ارسال کند. در حالت دوم، ممکن است مهاجم در اصل قادر به انجام حمله نباشد، اما عاقلانه نیست که چنین تهدیدی را پوچ تلقی کرد.

بهترین راه محافظت در برابر حملات درخواست باج DDoS یک سرویس کاهش خطرات DDoS قدرتمند است. پرداخت باج به شخص یا گروهی که تهدیدها را انجام داده است هرگز فکر خوبی نبوده و نیست.

 

حمله DDoS چیست؟
حمله DDoS تلاشی برای درگیر و شلوغ کردن منابع یک برنامه، وب سایت یا شبکه است تا کاربران قانونی نتوانند خدماتی که میخواهند را دریافت کنند. حملات DDoS دقیقاً مانند انسداد ترافیکی در آزادراه ها، سیل بزرگی از ترافیک شبکه ناخواسته را به اهداف خود سرازیر میکند. منظور از حملات DDoS "توزیع شده"، این است که آنها ترافیک را از منابع مختلف (غالباً منابع جعلی) ارسال می کنند، که این عامل، مسدود کردن آنها را دشوارتر از حمله Denial of Service (DoS) که با استفاده از یک منبع واحد است، می کند.
لازم به ذکر است که مهاجمان DDoS از تعدادی پروتکل شبکه مختلف استفاده می کنند.
حملات DDoS می تواند تأثیرات عمده ای بر عملیاتی بودن فعالیت های سازمان ها داشته باشد. برای بسیاری از مشاغل، هر بازه زمانی خرابی به معنای از دست دادن درآمد است. اگر سازمانها برای مدت زمان طولانی آفلاین باشند، ممکن است متعاقبا اعتبارشان را نیز از دست بدهند.

 

حمله DDoS باج چگونه کار می کند؟
بیشتر حملات باج DDoS با ارسال یک متن درخواست باج به هدف مورد نظر که در آن مهاجم شرکت یا سازمان را تهدید می کند، آغاز میشود. در بعضی موارد، یک مهاجم ممکن است یک حمله اعلانی کوچک انجام دهد تا جدیت خود را قبل از ارسال درخواست باج نشان دهد. اگر تهدید واقعی باشد و مهاجم تصمیم به پیگیری آن بگیرد، حمله به صورت زیر انجام می شود:

1. مهاجم شروع به ارسال ترافیک حمله به سمت هدف می کند. آنها می توانند از بات نت خود یا سرویس DDoS که برای انجام حمله راه اندازی کرده اند، استفاده کنند. چندین نفر که با هم کار می کنند نیز می توانند با استفاده از ابزار DDoS ترافیک حمله ایجاد کنند. ترافیک حمله می تواند لایه های 3 ، 4 یا 7 را در مدل OSI هدف قرار دهد.

2. برنامه یا سرویس مورد نظر تحت تأثیر ترافیک حمله قرار می گیرد و یا با افت سرعت مواجه شده، یا به کل خراب می شود.

3- حمله تا زمان اتمام منابع مهاجم ادامه می یابد، آنها به دلیل دیگری ممکن است حمله را غیرفعال کنند و یا هدف حمله قادر به کاهش مخاطرات حمله است. روش های کاهش خطر شامل محدود کردن بازه، مسدود کردن IP، blackhole routing یا سرویس محافظت DDoS باشد. سه مورد اول در برابر حملات با توزیع گسترده، دشوار است.

4- مهاجم ممکن است در خواسته های خود برای پرداخت تجدید نظر کند، حملات بعدی را انجام دهد، یا هر دو را اعمال کند.

 

به طور معمول چه چیزی در یک متن درخواست باج DDoS ذکر میشود؟
متن درخواست باج DDoS، پیامی است که از طرف عامل خرابکار به یک شرکت ارسال می شود و درخواست پول میکند، در صورت عدم پرداخت، عامل مخرب حمله DDoS را انجام می دهد. اغلب این موارد از طریق ایمیل ارسال می شوند. گاهی اوقات مهاجم چندین پیام ارسال می کند و در هر پیام جزئیات بیشتری در مورد تهدیدها یا خواسته های خاص خودشان مطرح می کنند.

تهدید
تهدید موجود در یادداشت درخواست باج حمله DDoS می تواند به چندین شکل مختلف باشد:

عامل مخرب ممکن است به اعتبار حمله DDoS قبل، هدف را به حمله دیگری تهدید کند.
آنها ممکن است بر مبنای حمله DDoS که در حال حاضر بر روی هدف در حال انجام است، درخواست باج کنند.
آنها ممکن است هدف را به حمله DDoS در آینده تهدید کنند، که ممکن است در یک زمان خاص با نامشخص انجام بپذیرد.

 

جزئیات تهدید به حمله
برای خطرناکتر جلوه دادن تهدید، ممکن است مهاجم ادعا کند که توانایی انجام حمله DDoS با اندازه و مدت مشخص را دارد. این ادعاها لزوماً درست نیستند: فقط به این دلیل که کسی ادعا می کند قادر به حمله 3 Tbps است که 24 ساعت طول می کشد، به این معنی نیست که آنها در واقع منابعی را برای انجام آن دارند.

 

وابستگی گروهی
برای افزودن اعتبار به تهدیدات خود، مهاجم ممکن است ادعا کند که به گروه های معروف هکر مانند Fancy Bear، Cozy Bear، گروه Lazarus ، Armada Collective یا دیگران وابسته است. این ادعاها ممکن است درست باشد اما تأیید آنها دشوار است. این ممکن است بلوف یا یک اقدام copy-cat از طرف مهاجم باشد.

 

تقاضای پرداخت و دستورالعمل های ارسال باج
متن درخواست باج در انواع پرداخت مختلفی تقسیم بندی می شود. پرداخت در قالب بیت کوین یک درخواست مشترک است، اما ممکن است مهاجم با ارز دیجیتال رمزپایه دیگری یا با ارز مجاز از طرف دولت (دلار ، یورو و غیره) باج مدنظرش را نیز بخواهد. به طور مشترک، آنها معمولاً مبلغ مشخصی را درخواست می کنند و دستورالعمل های تحویل پول را ارائه می دهند.

 

مهلت یا محدودیت زمانی
سرانجام برای بیان فوریت مطالبه آنها و افزایش احتمال پاسخدهی مجموعه هدف، متن درخواست باج ممکن است قبل از شروع حمله تهدید شده، یا برای اینکه حمله فعلی پایان یابد یک مهلت دشوار و محدود را برای تحویل باج معین کرده باشد. برخی از مهاجمان به ازای هر ساعت یا روز تاخیر و عبور از مهلت مقرر، ممکن مبلغ درخواستی خود را افزایش دهند.

 

آیا پرداخت باج ایده خوبی است؟
نه. گذشته از اینکه پرداخت باج مستلزم دادن پول به مجرمان است، پرداخت باج تضمین نمی کند که مهاجمان فعالیت خود را متوقف کنند. برعکس، سازمانی که باج می دهد حتی هدف مطلوب تری است: این سازمان نشان داده است که مایل است خواسته های مهاجمان را برآورده کند و بنابراین به احتمال زیاد خواسته های آینده آنها را نیز برآورده خواهد کرد.

علاوه بر این، هر چقدر مهاجم پول بیشتری بدست آورد، بهتر قادر به تأمین بودجه عملیات باج گیری خود و گسترش توانایی های خود برای حملات آینده خواهد بود.
در نهایت همیشه این احتمال وجود دارد که تهدید قابل انجام نباشد و یک سازمان برای هیچ و پوچ، پول و باج را پرداخت کند.

مشاغل در پی حملات DDoS از انها درخوسات باج میشود، باید این موارد را به مقامات مربوطه مجری قانون گزارش دهند و برای دفاع از خود در برابر حملات احتمالی، در صورت اجرای تهدیدات، ضمانت هایی را در نظر بگیرند.

 

آیا اکثر تهدیدات باج DDoS قابل انجام هستند؟
تمام تهدیدهای امنیتی باید جدی گرفته شوند. با این حال، همه تهدیدات باج DDoS واقعی نیستند. ارسال یک ایمیل کوتاه دریافت باج نسبتاً آسان است. برای انجام حملات گسترده و بزرگ DDoS، جهت نگهداری، مدیریت و فعال کردن شبکه بزرگی از دستگاههای در معرض خطر (معروف به botnet) به منابع بسیار زیادی نیاز است.
همانطور که گفته شد، بسیاری از خدمات به کارگیری و انجام حملات DDoS در دارک وب موجود است و ممکن است مهاجم برای انجام حمله با یکی از این سرویس ها قرارداد ببندد. به طور طبیعی این هزینه برای مهاجم مستلزم پرداخت پول است، که آنها می توانند از طریق تهدیدات دریافت باج DDoS، آنرا بدست آورند.
معمولاً حملات DDoS یک بازی اعداد است. خواه طرف خواستار باج، قادر به انجام تهدیدهای خود باشد یا خیر، آنها برای پرداخت و دریافت باج روی درصد کمی از اهداف خود حساب می کنند.
به جای تلاش برای ارزیابی اعتبار تهدید و احتمال حمله، ایمن ترین راه استفاده از سرویس محافظت DDoS است که می تواند یک ساختار وب یا شبکه را به هر شکل ممکن بصورت آنلاین حفظ کند.

 

تفاوت حمله باج DDoS و باج افزار چیست؟
حملات باج افزاری یکی دیگر از انواع رایج اخاذی آنلاین است. باج افزار نرم افزاری مخرب است که سیستم ها و پایگاه داده های یک سازمان را رمزگذاری می کند و آنها را غیرقابل استفاده می کند. هنگامی که رمزگذاری کامل شود، مهاجم در ازای رمزگشایی سیستم های سازمان، پول مطالبه میکند. باج افزار باید به نوعی وارد سیستم ها یا شبکه های داخلی کسب و کار شود. پیوست های ایمیل مخرب همراه با حملات فیشینگ، عامل مشترک این نوع تهدیدات است.

برخلاف حمله باج افزاری، حمله باج DDoS سیستم های یک شرکت را رمزگذاری نمی کند. این حملات فقط هدفشان، آفلاین کردن آن مجموعه است. همچنین قبل از اجرای آن نیز، نیازی به دسترسی مهاجم به سیستم های داخلی یک کسب و کار نیست. با این وجود، با داشتن محفاظت به حد کافی قوی DDoS، حمله باج DDoS نمیتواند تاثیر بسزایی بر عملکرد یک کسب و کار ایجاد نماید.

سواستفاده بات نت ها از بلاکچین بیت کوین برای فرار از شناسایی

 

آکامای تحقیقات جدیدی را منتشر کرده و در آن روش های استفاده شده توسط اپراتورهای یک کمپین بات نت استخراج رمزارزها برای فرار از شناسایی که در آن مجرمان اینترنتی با سواستفاده از معاملات بیت کوین برای انجام عملیات غیرقانونی استخراج رمزارز در حالی که تحت نظارت هستند را توضیح میدهد.

از معاملات بلاکچین بیت کوین (BTC) برای پنهان کردن آدرس های سرور C&C پشتیبان بهره برداری میشود تا بات نت ها بتوانند بدون وقفه دستورات و کدهای مهاجمان را دریافت کنند.

چنین سرورهایی به طور مداوم توسط تیم های امنیتی و مقامات نظامی شکار میشوند تا این دست کمپین ها را از کار بی اندازند. با این حال، به دلیل پیشتیبان گیری، غیرفعال کردن آنها ممکن است مشکل زا و سخت باشد.

به گفته محققان آکامای، این یک روش ساده اما "موثر" برای شکست اقدامات امنیتی در راستای حذف است که تاکنون اپراتورهای مهاجم بیش از 30 هزار دلار در مونرو (که قبلتر یک کد استخراج رمزارز آنرا در عکس یک بازیگر هالیوودی مخفی سازی کرده بودند) استخراج کرده اند.

 الصاق جزئیات زنجیره

آکامای گزارش میدهد که اولین قدم در زنجیره حمله، بهره برداری از آسیب پذیری های RCE (اجرای کد از راه دور) مانند CVE-2015-1427 و  CVE-2019-9082 (Hadoop Yarn and Elasticsearch)است که بر عملکرد نرم افزار تاثیر میگذارد.

در بعضی حملات به جای ربودن سیستم، RCE ها برای ایجاد اسکنرهای سرور Redis اصلاح میگردند. هدف آنها یافتن اهداف اضافی Redis برای استخراج ارزهای رمزنگاری شده است.

برای ایجاد RCE، یک Script Shell در سیستم آسیب پذیر مستقر میشود تا بدافزار استخراج Skidmap را راه اندازی کند. این اسکریپت میتواند استخراج کنندگان موجود را از بین برده و ویژگی های امنیتی را غیرفعال کند یا کلیدهای SSH را تغییر دهد.

چگونگی مقاوم ماندن

برای ادامه توزیع بدافزار و حفظ پایداری آن، از روت کیت ها و برنامه ریزهای کاری محدودی به نام Cron Jobs استفاده میشود. اما برای آلوده سازی مجدد سیستم هایی که به عنوان هدف مشخص شده اند، از آدرس و دامنه های IP Static استفاده میشود که میگویند معمولا توسط تیم های امنیتی "شناسایی، سوزانده و یا توقیف میشوند".

به همین علت اپراتورها زیرساخت هایی به عنوان پشتیبان در این کمپین گنجانده اند تا آلوده کننده های ناموفق بتوانند آلودگی را ذخیره و بارگذاری کنند، دستگاه آلوده را به روز رسانی کنند و از دامنه ها و زیرساخت های جدید استفاده نمایند.

روش غیرقابل قبول و غیرمشهود

طبق تجزیه و تحلیل محققین آلکامای، در دسامبر سال 2020، اپراتورهای این کمپین ها، آدرس کیف پول بیت کوین را در نسخه جدید بدافزارهای استخراج رمزارز افزودند. آنها همچنین یک Bash یک خطی و یک URL برای یک wallet-checking API اضافه کردند؛ که نشان میدهد داده های کیف پول توسط API ای که برای محاسبه آدرس آی پی استفاده میشده، دریافت میگردیده است.

بعدا این آدرس برای حفظ ماندگاری و مقاومت، مبهم سازی و انباشت داده های پیکربندی بلاک چین استفاده میشود. آنها مقدار کمی بیت کوین را به کیف پول منتقل میکنند تا سیستم های آلوده رها شده را بازیابی کرده و دوباره وارد مدار کنند.

محققان ادعا میکنند که این روش توزیع اطلاعات پیکربندی "به طور موثری غیرمشهود و غیر قابل کنترل است".

تغییر مقادیر ساتوشی

اپراتورها از چهار اسکریپت Bash یک خطی برای تبدیل داده های کیف پول به آدرس آی پی مورد نظر استفاده میکنند. این اسکریپت ها یک درخواست HTTP به جستجوگر API بلاکچین برای کیف پول و مقادیر ساتوشی از دو معامله اخیر که به دستور پیشتیبانی و IP کنترل تبدیل شده اند، ارسال مینماید.

در نتیجه آلودگی از آدرس کیف پول به عنوان یک رکورد DNS استفاده میکند، در حالی که مقادیر تراکنش به عنوان یک رکورد A استفاده میشوند.

متغیر aa شامل آدرس کیف پول بیت کوین، متغیر bb شامل نقطه پایانی API که آخرین دو تراکنش مورد استفاده برای تولید آدرس IP را برمیگرداند و متغیر cc حاوی آدرس IP C2 نهایی پس از اتمام فرآیند تبدیل و تغییر است. برای دستیابی به این تبدیلات و تغییرات، چهار Bash یک خطی تو در تو (به ازای هر هشت عدد، یکی) با هم ترکیب شده اند. در حالی که به سختی میتوان آشفتگی cURL ها، seds، awks و pipes را در اولین نگاه درک کرد، اما این یک تکنیک نسبتا ساده است.

سواستفاده بات‌نت جدید مبتنی بر Mirai از دستگاه های DVR در حملات سایبری

 takian.ir new mirai inspired botnet 0

محققان امنیت سایبری روز پنجشنبه جزئیاتی درباره یک botnet الهام گرفته از Mirai به نام "mirai_ptea" را فاش کردند که از یک آسیب پذیری که تا پیش از این فاش نشده بود و در ضبط کننده های دیجیتال ویدئویی (DVR) ارائه شده توسط KGUARD وجود دارد، برای گسترش و انجام حملات Distributed Denial-of-Service (DDoS) استفاده می کند.

شرکت امنیتی چینی Netlab 360 اولین تحقیق خود را در 23 مارس 2021 و قبل از کشف تلاشهای بهره برداری فعال توسط این بات‌نت در 22 ژوئن 2021، بر روی این نقص آغاز کرد.

بات‌نت Mirai، از زمان ظهور در فضای سایبری در سال 2016، به رشته حملات گسترده DDoS مرتبط شده است؛ از جمله حمله به DNS ارائه دهنده خدمات Dyn در اکتبر 2016 که باعث شد اغلب پلتفرم های اینترنتی و خدمات عمده اینترنت برای کاربران در اروپا و آمریکای شمالی غیرقابل دسترسی باشند.

از آن زمان انواع مختلفی از Mirai در فضای سایبری جهت تهدید کاربران ظاهر شده اند که بخشی از آن به دلیل در دسترس بودن کد منبع آن در اینترنت است. Mirai_ptea نیز از این قاعده مستثنی نیست.

takian.ir new mirai inspired botnet 1

درباره اقداماتی که در راستای جلوگیری از بهره برداری بیشتر از این نقص امنیتی انجام شده، اطلاعاتی ارائه و اعلام نشده است، اما محققان گفته اند که فریمور KGUARD DVR از قبل از سال 2017 حاوی کد آسیب پذیر بوده و این کد امکان اجرای از راه دور دستورات سیستم را بدون تأیید اعتبار فراهم می کرده است. حال حداقل حدود 3000 دستگاه در ارتباط با اینترنت مستعد درگیر و مبتلا به این آسیب پذیری هستند.

بعلاوه با استفاده از Tor Proxy برای برقراری ارتباط با سرور command-and-control (C2)، تجزیه و تحلیل نمونه mirai_ptea رمزگذاری گسترده ای از تمام اطلاعات منابع حساس را آشکار کرد که برای برقراری ارتباط با سرور C2 و بازیابی دستورات حمله جهت اجرا از جمله حملات DDoS، کدنویسی شده است.

محققان با توجه به آلودگی هایی که در سراسر اروپا، آسیا، استرالیا، آمریکای شمالی و آمریکای جنوبی و قسمتی از آفریقا گزارش شده است، خاطرنشان كردند: "توزیع جغرافیایی IP منبع این بات‌نت عمدتا در ایالات متحده، كره و برزیل متمرکز است".

عرضه باج افزار جدید Diavol توسط بات نت TrickBot

 

بر اساس آخرین تحقیقات، عوامل تهدید معروف بدافزار TrickBot با یک باج افزار جدید به نام "Diavol" مرتبط هستند.

هفته گذشته محققان آزمایشگاه های FortiGuard فورتینت گفتند که payload های باج افزار Diavol و Conti در پی حمله ناموفق به یکی از مشتریان خود که در اوایل این ماه انجام شد، در سیستم های مختلف مستقر شده اند.

بدافزار TrickBot، یک Trojan بانکی است که برای اولین بار در سال 2016 شناسایی شد و از ابتدا یک ابزار مجرمانه مبتنی بر ویندوز بوده است. این بدافزار از ماژول های مختلفی برای انجام طیف گسترده ای از فعالیت های مخرب در شبکه های مورد هدف، از جمله سرقت اعتبارنامه و انجام حملات باج افزاری استفاده می کند.

علیرغم تلاش های نیروهای امنیتی برای خنثی سازی شبکه بات، این بدافزار که همیشه در حال تکامل میباشد، ثابت کرده است که یک تهدید سایبری بسیار منعطف و تطبیق پذیر است؛ که به مانند مهاجم های مستقر در روسیه که از آنها با عنوان "عنکبوت جادوگر" نام برده می شود، به سرعت ابزارهای جدید را برای انجام حملات بعدی سازگار می کند.

takian.ir trickbot botnet found deploying new ransomware called diavol 1

گفته می شود Diavol تا به امروز تنها در یک مورد حمله اعمال شده است. منبع نفوذ هنوز ناشناخته باقی مانده است. آنچه روشن است، این است که کد منبع payload شباهت هایی با Conti دارد، حتی از متن مطالبه باج این باج افزار مشخص گردیده که برای این باج افزار، از زبان باج افزار Egregor استفاده مجدد شده است.

محققان اعلام کردند: "به عنوان بخشی از یک روش رمزگذاری کاملاً منحصر به فرد، Diavol با استفاده از Asynchronous Procedure Calls (APC) در حالت استفاده کاربر بدون الگوریتم رمزگذاری متقارن عمل می کند. معمولا طراحان باج افزار به دنبال تکمیل عملیات رمزگذاری در کمترین زمان هستند. الگوریتم های رمزگذاری نامتقارن گزینه رایجی نیستند زیرا به طور قابل توجهی کندتر از الگوریتم های متقارن هستند".

از آنجا که روتین ها در یک بافر با مجوزهای اجرا بارگذاری می شوند، یکی از جنبه های برجسته دیگر این باج افزار، اتکای آن به یک روش ضد آنالیز برای غیرشفاف و نامشخص کردن کد آن به شکل تصاویر bitmap است.

قبل از قفل کردن فایل ها و تغییر تصویر زمینه دسکتاپ با یک پیام درخواست باج، یکسری دیگر از اقدامات اصلی توسط Diavol انجام میشود، شامل ثبت دستگاه قربانی در یک سرور از راه دور، قطع و غیرفعال کردن فرایندهای در حال اجرا، یافتن درایوهای محلی و فایل های سیستم جهت رمزگذاری و جلوگیری از بازیابی فایل ها با حذف نسخه های سایه آنها.

takian.ir trickbot botnet found deploying new ransomware called diavol 2

 

همانطور که توسط تیم Kryptos Logic Threat Intelligence شرح داده شده است، تلاش جدید باج افزار Wizard Spider همزمان با "توسعه های جدید در ماژول تزریق وب TrickBot" است که نشان می دهد این گروه جرایم اینترنتی و سایبری با انگیزه مالی هنوز هم فعالانه منابع بدافزاری خود را بازیابی و تجهیز می کند.

محقق امنیت سایبری، مارکوس هاچینز در توییتی نوشت: "TrickBot ماژول کلاهبرداری بانکی خود را که برای پشتیبانی از تزریق وب به سبک Zeus به روز شده، به صحنه بازگردانده است. این می تواند نشان دهنده این باشد که آنها در حال از سرگیری عملیات کلاهبرداری بانکی خود هستند و قصد دارند دسترسی به افرادی را که با قالب تزریق وب داخلی خود آشنا نیستند، گسترش دهند".

گونه جدید شل اسکریپت برای اخاذی اینترنتی و فعال سازی Mirai

 

محققان امنیت سایبری روز دوشنبه موج جدیدی از حملات مداوم را با بهره گیری از چندین آسیب پذیری برای استقرار نوع جدیدی از Mirai در دستگاه های متصل به اینترنت فاش کردند.

تیم اطلاعات امنیتی واحد 42 شرکت پالو آلتو در توضیحی نوشت: "پس از نفوذ و سوءاستفاده موفقیت آمیز، مهاجمان سعی می کنند یک shell script مخرب که شامل اعمال آلوده کننده دیگری مانند بارگیری و اجرای انواع Mirai و اخاذی است را بارگیری کنند".

مواردی که در پی این آسیب پذیری مورد سوءاستفاه قرار میگیرند، عبارتند از:

  • VisualDoor - آسیب پذیری اعمال دستور از راه دور SonicWall SSL-VPN که اوایل ژانویه سال جاری مشخص گردید.
  • CVE-2020-25506 - آسیب پذیری اجرای کد راه دور (RCE) فایروال D-Link DNS-320.
  • CVE-2021-27561 و CVE-2021-27562 - دو آسیب پذیری در مدیریت دستگاه Yealink که به مهاجم غیرمجاز اجازه می دهد دستورات دلخواه خود را بر روی سرور با امتیازات دسترسی root اجرا کند.
  • CVE-2021-22502 - نقص RCE در گزارشگر Micro Focus Operation Bridge (OBR)، در نسخه 10.40.
  • CVE-2019-19356 - روتر بی سیم Netis WF2419 که از RCE استفاده می کند.
  • CVE-2020-26919 - آسیب پذیری Netgear ProSAFE Plus RCE

سونیک وال در بیانیه ای اعلام کرد: "بهره برداری VisualDoor از آسیب پذیری سیستم عامل SSL-VPN نسخه قدیمی است که در سال 2015 با نسخه های 7.5.1.4-43sv و 8.0.0.4-25sv بر روی محصولات قدیمی بروزرسانی شده است." همچنین در ادامه افزوده است که "این سوءاستفاده از هر دستگاه سونیک وال که به درستی بروزرسانی شده باشد، قابل اجرا نیست."

همچنین سه آسیب پذیری اعمال دستور که قبلاً نامشخص بوده است، در این مجموعه گنجانده شده است که در برابر اهداف ناشناخته اعمال گردیده که به گفته محققان یکی از آنها همراه با یک بات نت جداگانه با نام MooBot مشاهده شده است.

گفته می شود این حملات به مدت یک ماه از 16 فوریه تا 13 مارس کشف شده است.

صرف نظر از نقصی که از آن برای دستیابی موفقیت آمیز بهره برده شده است، این زنجیره حمله شامل استفاده از ابزار wget برای بارگیری یک shell script از زیرساخت های بدافزار است که سپس برای استخراج باینری های Mirai استفاده می شود، یک بدافزار معروف که دستگاه های مبتنی اینترنت اشیا شبکه ای را تبدیل به بات های کنترل از راه دور کرده که می توانند به عنوان بخشی از بات نت در حملات شبکه با مقیاس گسترده استفاده شود.

علاوه بر دانلود Mirai، shell script های دیگری نیز مشاهده شده اند که در حال بازیابی موارد عملیاتی برای سهولت انجام حملات شدید برای نفوذ به دستگاه های آسیب پذیر با رمزهای عبور ضعیف هستند.

این محقق افزود: "حریم اینترنت اشیا به عنوان یک هدف به راحتی در دسترس مهاجمان باقی مانده و بهره برداری و سوءاستفاده از آن حجم زیاد از آسیب پذیری ها، بسیار آسان است و در برخی موارد می تواند عواقب فاجعه باری را به همراه داشته باشد".

 

بات نت جدیدZHtrap، با استفاده ازHoneypot قربانیان را به دام می اندازد

در یک طرح توسعه مرتبط، محققان شرکت امنیتی چینی نت لب 360، بات نت جدید مستقر در Mirai به نام ZHtrap را کشف کردند که در حالی که برخی از ویژگی ها را از یک بات نت  DDoS معروف به نام Matryosh گرفته است، از روش Honeypot برای یافتن و اضافه کردن قربانیان جدید استفاده می کند.

takian.ir ZHtrap botnet malware 1

 

در حالی که هانی پات ها به طور معمول اقدام به تقلید از هدف خود برای جرایم سایبری خود میکنند تا برای نفوذ به آنها جهت کسب اطلاعات بیشتر در مورد روش کار خود استفاده کنند، بات نت ZHtrap برای گسترش و تکثیر بیشتر خود، از یک روش مشابه استفاده کرده و از طریق یکپارچه سازی ماژول جمع آوری IP اسکن برای جمع آوری آدرس های IP که به عنوان اهداف استفاده می شوند، استفاده می کند.

این اطلاعات با زیر نظر گرفتن و بررسی 23 پورت تعیین شده و با شناسایی آدرس های IP متصل به این پورت ها و سپس با استفاده از آدرس های IP انباشته شده برای بررسی چهار آسیب پذیری برای نفوذ به مقادیر در حال بارگیری، به دست آمده است:

  • MVPower DVR Shell RCE تأیید نشده
  • Netgear DGN1000 Setup.cgi RCE غیرمجاز
  • دوربین مدار بسته DVR RCE که بر فروشنده های مختلف تأثیر می گذارد
  • اجرای دستور Realtek SDK miniigd SOAP (CVE-2014-8361)

محققان اعلام کردند: "انتشار ZHtrap از چهار آسیب پذیری N-day استفاده می کند و در حالی که از برخی ویژگی های backdoor بهره میبرد، عملکرد اصلی آن DDoS و اسکن کردن است". آنها افزودند: "Zhtrap یک هانی پات را بر روی دستگاه آلوده راه اندازی می کند و تصاویری را از دستگاه های قربانی می گیرد و اجرای دستورات جدید را بر مبنای آن تصاویر غیرفعال می کند و اینگونه به دستگاه تسلط پیدا مینماید".

takian.ir ZHtrap botnet malware 2

 

ZHtrap هنگامی که دستگاه ها را به انحصار خود گرفت، با استفاده از Tor برای ارتباط با یک سرور command-and-control برای بارگیری و اجرای مابقی اطلاعات، با بات نت Matryosh ارتباط می گیرد.

محققان با اشاره به اینکه این حملات از 28 فوریه 2021 آغاز شده است، میگویند که توانایی ZHtrap در تبدیل دستگاه های آلوده به هانی پات ، یک "تحول جالب" از بات نت ها برای تسهیل در امر یافتن اهداف و طعمه های بیشتر است.

بات نت های مبتنی بر Mirai جدیدترین مواردی هستند که در فضای حملات سایبری ظاهر شده اند و تا حدی با در دسترس بودن کد سورس Mirai از سال 2016 در اینترنت، زمینه را برای سایر مهاجمان جهت ایجاد انواع مختلف از این بات نت را فراهم کرده است.

در ماه مارس گذشته، محققان یک نوع Mirai به نام "Mukashi" را کشف کردند که مشخص شد دستگاه های ذخیره سازی متصل به شبکه Zyxel (NAS) را هدف قرار می دهد تا آنها را در اختیار یک بات نت قرار دهد. سپس در اکتبر سال 2020، تیم تحقیقاتی اینترنت اشیاء شرکت Avira نوع دیگری از بات نت Mirai به نام "Katana" را شناسایی کرد که از آسیب پذیری های اجرای کد از راه دور برای آلوده کردن روترهای D-Link DSL-7740C، دستگاه های DOCSIS 3.1 wireless gateway و سوئیچ های Dell PowerConnect 6224 سوءاستفاده می کرده است.

هشدار حملات سرقت رمزارز مبتنی بر لینوکس از کشور رومانی

takian.ir researchers warn of linux cryptojacking attackers operating from romania 1

یک گروه تهدید که احتمالاً در رومانی مستقر بوده و حداقل از سال 2020 در این زمینه فعال است، در پشت یک کمپین فعال سرقت رمزارز از طریق هدف قرار دادن دستگاه های مبتنی بر لینوکس با SSH brute-forcer نامعتبری که قبلا توسط آنها در زبان برنامه نویسی Go نوشته شده، قرار دارد.

محققان Bitdefender در گزارشی که هفته گذشته منتشر شد، از آن با عنوان «Diicot brute» نام بردند و گفته اند که ابزار شکستن رمز عبور از طریق یک مدل سرویس نرم افزاری توزیع می شود، و هر عامل تهدید راهکارهای API منحصر به فرد خود را برای تسهیل فرایند نفوذ ارائه می نماید.

در حالی که هدف این فعالیت استفاده از بدافزار ماینینگ Monero و از طریق به خطر انداختن از راه دور دستگاه ها با حملات پرخطر است، محققان این باند خرابکار را با حداقل دو بات نت DDoS از جمله یک نوع Demonbot به نام Chernobyl و یک بات Perl IRC با استخراج و ماینینگ بسته های XMRig که از دسامبر 2021 در دامنه ای به نام mexalz[.]us میزبانی می شود، مرتبط دانسته اند.

takian.ir researchers warn of linux cryptojacking attackers operating from romania 2

شرکت فناوری امنیت سایبری رومانی اعلام کرد که تحقیقات خود را درباره فعالیت های سایبری این گروه در ماه می سال 2021 آغاز کرده که متعاقبا منجر به کشف زیرساخت ها و ابزار چهای حمله مهاجمان شده است.

این گروه همچنین به عنوان گروهی که بر یک سری ترفندهای مبهم تکیه میکند، شناخته شده است که آنها را قادر می سازد تا از دید رادارها پنهان بمانند. به همین منظور، اسکریپت های Bash با یک اسکریپت کامپایلر shell (shc)، کامپایل می شوند. همچنین مشخص شده است که در طی زنجیره حمله، آنها Discord را برای تبادل و گزارش اطلاعات از طریق یک کانال تحت کنترلشان مورد استفاده قرار میدهند. این تکنیک برای ارتباطات command-and-control و فرار از سدهای امنیتی، به طور فزاینده ای در میان عاملان مخرب رواج پیدا کرده است.

با استفاده از Discord به عنوان یک سیستم انتقال اطلاعات، نیاز تهدید کنندگان برای میزبانی از سرور command-and-control خود نیز مرتفع میشود. همچنین همانگونه که مشخص است، امکان ایجاد پشتیبانی برای تشکیل اجتماعات با محوریت خرید و فروش کد منبع بدافزار و خدمات آن نیز وجود دارد.

محققان بیان داشتند: "بسیار رایج و معمول است که هکرها دنبال اعتبارنامه های ضعیف SSH بروند. از جمله بزرگترین مشکلات امنیتی، نام کاربری و گذرواژه های پیش فرض کاربران است؛ و یا اینکه هکرها با اعتبارنامه های ضعیف می توانند به راحتی و با تمام قدرت بر آنها غلبه کنند. بخش حساس این مسئله لزوماً تحمیل بالاجبار این اعتبارنامه ها نیست، بلکه انجام این کار مستلزم روشی است که باعث شود مهاجمان شناسایی نشوند.".

هشدار مایکروسافت درباره هدف قرار گرفتن سیستم های ویندوز و لینوکس با بدافزار LemonDuck

 takian.ir microsoft warns of lemonduck malware 1

یک بدافزار مخرب استخراج رمزارز کراس پلتفرم معروف، همچنان با هدف قرار دادن آسیب پذیری های قدیمی و تکیه بر آنها، ضمن بسط دادن همزمان انواع مکانیسم های توزیع و ارتقای تکنیک های خود برای به حداکثر رساندن اثربخشی کمپین هایش، به ضربه زدن به سیستم عامل های ویندوز و لینوکس ادامه می دهد.

مایکروسافت در مقاله فنی که هفته پیش منتشر شد، اعلام کرد: "LemonDuck، یک بدافزار فعال به روز شده و نیرومند است که اساساً به خاطر اقداماتش در راستای استخراج رمزارز و بات نت شناخته می شود. این بدافزاز با اتخاذ رفتارهای پیچیده تر و افزایش عملیات های خود، همان مسیر قبل را در پیش گرفته و دنبال میکند. امروزه، فراتر از استفاده از منابع برای فعالیت های سنتی بات ها و استخراج رمز ارز، LemonDuck اطلاعات را سرقت می کند، کنترلر های امنیتی را حذف می کند، از طریق ایمیل گسترش یافته و پخش میشود، به صورت جانبی حرکت می کند و در نهایت ابزارهای بیشتری را برای فعالیت های مبتنی بر کنترل اپراتور مستقر مینماید".

این بدافزار به دلیل توانایی انتشار سریع در شبکه آلوده برای تسهیل سرقت اطلاعات و تبدیل دستگاه ها به بات های استخراج رمزارز به وسیله هدایت منابع محاسباتی خود به سمت استخراج غیرقانونی رمزارز، مشهور است. قابل ذکر است که LemonDuck به عنوان یک لودر برای حملات بعدی عمل می کند که شامل سرقت اعتبارنامه ها و نصب ایمپلنت هایی برای مراحل بعد است که می توانند به عنوان دروازه ورودی برای انواع تهدیدات مخرب، از جمله باج افزار باشند.

takian.ir microsoft warns of lemonduck malware 2

فعالیت های LemonDuck برای اولین بار و قبل از شروع به استفاده از ترندهایی با مضمون COVID-19 در حملات ایمیل سال 2020 و حتی نقایص سرور Exchange ProxyLogon که اخیراً به آن پرداخته شده است تا دسترسی به سیستم های پچ نشده را پیدا کند، در ماه می سال 2019 در چین مشاهده گردیده است. تاکتیک قابل توجه دیگر آن نیز، توانایی پاک کردن سایر مهاجمان از یک دستگاه آسیب دیده با خلاص شدن از شر بدافزارهای مخرب و جلوگیری از هرگونه آلودگی جدید به وسیله پچ کردن آسیب پذیری هاییست که برای دسترسی مشابه استفاده میشده است.

حملات شامل بدافزار LemonDuck در بخشهای اصلی تولید و IoT متمرکز بوده است. همچنین کشورهایی از جمله ایالات متحده آمریکا، روسیه، چین، آلمان، انگلیس، هند، کره، کانادا، فرانسه و ویتنام نیز بیشترین برخوردها و درگیری ها را با این بدافزار داشته اند.

takian.ir microsoft warns of lemonduck malware 3

افزون بر این، مایکروسافت از فعالیت بدافزار دومی که بر LemonDuck برای دستیابی به اهداف جداگانه تکیه می کند، پرده برداشت. شرکت مایکروسافت اسم رمز این بدافزاز را "LemonCat" گذاشته است. گفته می شود که زیرساخت حمله همراه با نوع "Cat" در ژانویه 2021 ظهور کرده است و در نهایت منجر به استفاده از آن در حملات سواستفاده از آسیب پذیری های هدف قرار دادن Microsoft Exchange Server شده است. نفوذهای بعدی با استفاده از دامنه های Cat منجر به نصب backdoor، سرقت اعتبارنامه ها و داده ها و استقرار بدافزار شده است که غالباً یک تروجان ویندوز به نام Ramnit است.

مایکروسافت بیان داشت: "این واقعیت که از زیرساخت Cat برای فعالیت های خطرناک تر استفاده می شود، آلودگی های مخرب را از طریق زیرساخت Duck کم نمی کند. در عوض، این اطلاعات زمینه مهمی را برای درک بهتر این تهدید اضافه می کند: همان مجموعه از ابزارها، دسترسی ها و روش ها را مجددا می توان در فواصل زمانی پویا برای تأثیر بیشتر و بهتر، استفاده کرد".