IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

cyber crimes

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

بازگشت بدافزار Trickbot با ماژول جدید VNC برای جاسوسی از قربانیان

 takian.ir trickbot malware returns with new vnc module to spy on its victims 1

محققان امنیت سایبری نسبت به ادامه بازگشت بدافزار مخرب TrickBot به عرصه فضای سایبری هشدار داده و به صراحت اعلام کرده اند که گروه فراملی جرایم سایبری مستقر در روسیه در واکنش به تلاش های متقابل اخیر سازمان تامین امنیت، در پشت صحنه این بدافزار تلاش می کند تا زیرساخت های خود را برای حمله دوباره بهبود بخشیده و بازسازی کند.

کمپانی Bitdefender در یک مقاله فنی که روز دوشنبه منتشر شد که حاکی از افزایش پیچیدگی تاکتیکهای این گروه بود، بیان داشت: "از قابلیت های جدید کشف شده و با استفاده از یک پروتکل ارتباطی سفارشی برای پنهان کردن انتقال داده ها بین سرورها (command-and-control) و قربانیان، برای نظارت و جمع آوری اطلاعات مربوط به قربانیان استفاده می گردد که این مسئله تشخیص حملات را دشوار کرده است".

محققان خاطرنشان کردند: "Trickbot هیچ نشانه ای از کاهش روند سرعت، از خود نشان نداده است".

بات نت ها (Botnets) هنگامی تشکیل می شوند که صدها یا هزاران دستگاه هک شده در شبکه ای که توسط اپراتورهای خرابکار اداره می شود، مورد استفاده قرار گیرند و اغلب برای حملات denial-of-network به مشاغل و زیرساخت های مهم بوسیله ایجاد ترافیک جعلی با هدف غیر فعال کردن و آفلاین کردن آنها استفاده می شوند. از سویی با کنترل این دستگاه ها، عاملان مخرب همچنین می توانند از بات نت ها برای گسترش بدافزار و هرزنامه و یا استقرار باج افزار رمزگذاری فایل در رایانه های آلوده استفاده کنند.

بدافزار TrickBot نیز تفاوتی از این نظر ندارد. باند مشهور جرایم رایانه ای در پشت این عملیات قرار دارند (که Wizard Spider نامیده می شود) سابقه بهره برداری از تجهیزات های آلوده برای سرقت اطلاعات حساس، گردش جانبی در سراسر شبکه و حتی تبدیل شدن به یک لودر برای بدافزارهای دیگر مانند باج افزار را دارد؛ و در حالی این اقدامات را انجام میدهد که به طور توامان زنجیره آلودگی خود را با افزودن ماژول هایی با قابلیت جدید برای افزایش کارایی آن نیز گسترش می دهد.

takian.ir trickbot malware returns with new vnc module to spy on its victims 2

آزمایشگاه Black Lotus لومن در اکتبر گذشته اعلام کرد: "TrickBot برای استفاده یک زیرساخت پیچیده ایجاد شده است که سرورهای شخص ثالث را به خطر می اندازد و از آنها برای میزبانی بدافزار استفاده می کند. این بدافزار همچنین وسایل مصرفی مانند روترهای DSL را آلوده میکند و اپراتورهای خرابکار آن به طور مداوم آدرس IP و میزبان آلوده خود را عوض میکنند تا با این اختلال امکان کشف جرم آنها تا حد ممکن دشوار شود".

این بات نت از دو تلاش برای غیرفعالسازی مایکروسافت و فرماندهی سایبری ایالات متحده در حالی که اپراتورها در حال ساخت اجزای میان افزار بودند که می توانست به هکرها اجازه دهد یک backdoor در Unified Extensible Firmware Interface (UEFI) نصب کنند، فرار کرده است. و همچنین این امکان را برای آنها فراهم میکرد که از احتمال شناسایی توسط آنتی ویروس رهایی یافته، از بروزرسانی نرم افزار جلوگیری کنند و یا حتی سیستم عامل را بطور کامل پاک کنند و یا اینکه سیستم عامل رایانه را مجددا نصب نماید.

اکنون طبق گفته Bitdefender، عامل تهدید به طور فعال در حال توسعه یک نسخه به روز شده از یک ماژول به نام "vncDll" است که آن را در برابر اهداف با ویژگی های سطح بالا برای نظارت و جمع آوری اطلاعات به کار می برد. نسخه جدید نیز "tvncDll" نامگذاری شده است.

ماژول جدید برای برقراری ارتباط با یکی از نه سرور فرمان و کنترل (C2) تعریف شده در فایل پیکربندی آن استفاده شده است، و از آن برای بازیابی مجموعه ای از دستورات حمله، دانلود payload های بیشتر بدافزارها و بازگشت سیستم به عقب و سرور استفاده می شود. علاوه بر این، محققان گفته اند که آنها "ابزاری برای مشاهده" که مهاجمان برای ارتباط با قربانیان از طریق سرورهای C2 استفاده می کنند را شناسایی کردند.

گرچه تلاش برای از بین بردن عملیات این باند به طور کامل موفقیت آمیز نبوده است، اما مایکروسافت به دیلی بیست گفت که با ارائه دهندگان خدمات اینترنت (ISP) کار می کند تا خانه به خانه روترهای سازگار با بدافزار Trickbot در برزیل و آمریکای لاتین را جایگزین نماید؛ که این عمل باعث گردید که به طور موثری بدافزار Trickbot از زیرساخت های افغانستان خارج و بیرون رانده شود.

درخواست اینترپل جهت اتخاذ استراتژی های جدید در راستای كاهش خطرات باج افزارها

آژانس نقش دفاتر مركزي ملي را براي مبارزه با جرايم سايبري پر رنگ‌تر خواهد کرد.

takian.ir interpol calls for new ransomware mitigation strategy 1

اینترپل اعلام کرد که نقش دفاتر ملی مرکزی مختص کشور را برای مبارزه با باج افزارها و سایر جرایم اینترنتی تقویت و پر رنگ می کند. این بیانیه آژانس در پی افزایش تهدیدات باج افزاری به زنجیره های تأمین و زیرساخت های مهم منتشر شده است.

دبیرکل اینترپل، یورگن استوک در شانزدهمین کنفرانس سالانه INTERPOL NBC که هفته گذشته که بصورت مجازی برگزار شد، گفت: "داشتن یک استراتژی جهانی در پاسخ به تهدید باج افزار بسیار مهم است. استراتژی ای که در آن ما بتوانیم با موفقیت فضای اعتماد ایجاد می کنیم، شاهد تبادل موثر داده ها باشیم و امکان کمک فوری عملیاتی به سازمان های مجری قانون را به حداکثر ارتقا دهیم".

از جمله برنامه های پیشنهادی برای توسعه یک استراتژی جهانی جهت مقابله با تهدیدات باج افزار، گسترش شبکه ارتباطی امن اینترپل برای کمک به پلیس ملی و آژانس های کنترل مرزها در مبارزه با جرایم اینترنتی و سایر تهدیدات امنیتی است. این آژانس همچنین خواستار تقویت مشارکت های منطقه ای برای مبارزه با تهدیدهای سایبری در سطح جهانی شده است.

اینترپل از شبکه پلیس مشتمل بر 194 کشور عضو تشکیل شده است و هر یک از این اعضا میزبان NCB اینترپل هستند که به عنوان پیوندی بین آژانس و سازمان های اجرای قانون هر کشور عمل می کند.

 

توجه بر باج افزارها
باج افزارها بعد از حمله زنجیره تامین Kaseya که آخر هفته برابر 4 جولای و توسط گروه هک REVil مستقر در روسیه انجام شد و شرکت نرم افزاری مدیریت فناوری اطلاعات به خطر انداخت، همچنان در راس مخاطرات قرار گرفتند. مهاجمان یک سری عملیات فریب را برای بهره برداری از VSA (سرویس بروزرسانی خودکار نرم افزار) و استفاده از آن برای توزیع باج افزار به مجموعه 60 مشتری MSP متعلق به Kaseya انجام دادند. باج افزار سپس بین 800 تا 1500 مشتری این MSP ها، شامل فروشگاه های زنجیره ای مواد غذایی، مدارس و رستوران ها توزیع و پخش شد.

در پی حملات گسترده و عظیم به زنجیره تامین، روز جمعه، جو بایدن، رئیس جمهور آمریكا، مجدداً رئیس جمهور روسیه، ولادیمر پوتین را به اقدام علیه نهادهای مخرب خارج از كشور دعوت كرد. بایدن همچنین افزود که طبق بیانیه رسمی ارسال شده توسط کاخ سفید، دولت وی آماده است "برای دفاع از مردم خود و زیرساخت های مهم آن در برابر این حملات" اقدامات مقتضی را انجام دهد.

این دو رهبر پیش از این در 16 ژوئن در ژنو دیدار کرده بودند و در مورد اقدامات مقابله با تهدیدات باج افزار گفتگو کردند. این صحبت هادر پی حمله باج افزار May به شرکت Colonial Pipeline و حمله REvil به meat processor JBS بوده است. در این نشست، بایدن گفت که 16 بخش از زیرساخت های حیاتی باید "برای حملات سایبری و سایر انواع حملات" در لیست ممنوعه قرار بگیرند و از هرگونه حمله مبرا باشند.

 

اقدامات ایالات متحده
به دلیل ظرافت و جزییات روزافزون و تکثیر گسترده باج افزارها، دولت ایالات متحده اقدامات متعددی را برای مقابله با آنها آغاز کرده است.

روز چهارشنبه CISA ابزار ممیزی Ransomware Ready Assessment خود را برای کمک به سازمانها جهت اندازه گیری توانایی دفاع و بازیابی از حملات منتشر کرد.

در 12 ماه می سال جاری، دولت بایدن دستور اجرایی امنیت سایبری خود را صادر كرد كه هدف آن رسیدگی و حل مشکلات مرتبط با باج افزارها و سایر تهدیدهای امنیتی ایالات متحده است.

در گزارش اجلاس امنیت سایبری دولت، گروه رسانه های امنیت اطلاعاتی که در 13 جولای برگزار می شود، الویس چان از FBI پیش بینی کرده است که امسال، یک تابستان داغ و شلوغ برای تحقیقات باج افزاری، ایجاد اختلالات و تخریب سیستم ها خواهد بود.

چان، رئیس بخش سایبری FBI در سانفرانسیسکو گفت: ما تحقیقات مشترک زیادی با شرکای خارجی خود به انجام رسانده ایم. با توجه به اینکه تخریب ها و غیرفعال سازی های متعددی در سراسر کشورهای مختلف به وقوع پیوسته است، میبایست تابستان بسیار شلوغی در پیش رو داشته باشیم

عوامل سرقت Bitbucket و Docker Hub برای استخراج Monero شناسایی شدند

 

به گفته محققان حوزه امنیت، این منابع توسعه دهنده، سال گذشته نیز برای استخراج مونرو هدف قرار گرفته بودند اما "این بار به شکلی انتقام گونه دوباره ظاهر شده اند".

در سپتامبر 2020، تیم ناتیلوس شرکت آکوآ سکیوریتی کمپینی را کشف کرد که گیت هاب (GitHub) و داکر هاب (Docker Hub) را در راستای ایجاد فرایند استخراج رمزارز هدف قرار داده بودند. در آن زمان این شرکت، سازمان خدمات دهنده را مطلع کرده و حمله خنثی گردید.

طبق آخرین گزارش آکوآ سکیوریتی، همین کمپین دوباره و با شدت بیشتری ظاهر شده است. تنها در طی چهار روز، مهاجمان حدود 92 عامل مخرب و آلوده را در بیت باکت (Bitbucket) و 92 رجیستری آلوده را در داکر هاب با استفاده از تست نفوذ دینامیک آکوآ یا DTA قرار داده و بارگذاری کرده اند. هدف آنها از این کار، انجام استخراج رمزارز با استفاده از این منابع است.

فرآیند یکپارچه سازی منحصر بفرد

طبق گفته آساف موراگ، تحلیلگر ارشد داده شرکت آکوآ سکیوریتی، عاملین حمله یک روند یکپارچه مداوم و پیوسته را ایجاد کرده اند. این یک فرایند منحصر به فرد است، چرا که هر ساعت چندین فرایند ساخت فرایند اتوماتیک و خودکار را از نو آغاز میکند. در هر فرایند ساخت، آنها یک استخراج کننده رمزارز مونروی متفاوت را به اجرا در می آورند.

زنجیره حذف مستقیم

در این کمپین استخراج رمزارز، مهاجمان از یک زنجیره حذف مستقیم استفاده کرده اند. در مرحله اول مهاجمان چندین شناسه و اکانت ایمیل جعلی را از طریق یک سایت روسی ثبت میکنند و سپس برای قانونی جلوه دادن آنها، یک حساب بیت باکت با فضای نگهداری متعدد با استفاده از اسناد مستند و رسمی، ایجاد میکنند.

روش مشابهی نیز برای داکر هاب استفاده شده است، زیرا عوامل تهدیدکننده در حال ایجاد حساب هایی با ثبت نام های مختلف پیوسته و مرتبط به یکدیگر هستند. آنها پشتیبانی در محیط بیت باکت و داکر هاب ایجاد کرده و منابع آنها را برای استخراج غیرقانونی مونرو به سرقت میبرند.

takian.ir threat actors hijacking bitbucket and docker hub for monero mining

چگونه ایمن بمانیم؟

این کمپین ثابت میکند که محیط های ابری، هدف مورد علاقه فعلی مجرمان سایبری است.

موراگ در وبلاگ خود شرح میدهد که: "مهاجمین دائما در حال تکامل تکنیک های خود جهت سرقت و بهره برداری از منابع محاسبات ابری برای استخراج رمزارزها هستند".

آکوآ سکیوریتی توصیه میکند که کنترل دقیق دسترسی، تخصیص حداقل امتیازات و ایجاد فرایند شناسایی و احراز هویت در این محیط ها ضروری است.

محققان خاطر نشان کردند: " نظارت مداوم و محدود کردن ارتباطات با خارج از شبکه برای جلوگیری از سرقت داده ها و سوءاستفاده از منابع بسیار ضروری و مهم است".