IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

Trojan

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

تحویل بدون فایل بدافزار توسط هکرها بوسیله مایکروسافت Build Engine

 

عاملان حملات و تهدیدات سایبری از Microsoft Build Engine (MSBuild) برای به کارگیری تروجان های دسترسی از راه دور و بدافزارهای سرقت كننده رمز عبور سواستفاده میکنند تا در سیستم های ویندوزی هدف، آن بدافزارها و تروجان ها را بدون فایل ارائه داده و انتقال دهند.

به گزارش هکرنیوز، محققان شرکت امنیت سایبری آنومالی، روز پنجشنبه اعلام کردند که این کمپین به صورت فعال در حال انجام است و ماه گذشته اعلام وجود کرده است. آنها اضافه کردند که فایل های مخرب ساخته شده با دستور اجرایی رمزگذاری شده و شِل‌کدی که بَک‌دور را نصب می کند، به مهاجمان این امکان را می دهد تا کنترل دستگاه های قربانیان را بدست گرفته و اطلاعات حساس را سرقت کنند.

مایکروسافت Build، ابزاری متن باز برای .NET و ویژوال استودیو است که توسط مایکروسافت ساخته شده و امکان تدوین سورس کد، پکیجینگ، تست و استقرار برنامه ها را فراهم می کند.

در صورت استفاده از MSBuild برای به خطر انداختن دستگاه ها به شکل بدون فایل، ایده بر این مبنا استوار است که از هرگونه شناسایی در امان مانده و حتی آنرا خنثی کنید، زیرا چنین بدافزاری برای بارگذاری کد حمله در حافظه از یک برنامه قانونی و شناخته شده استفاده می کند، بنابراین هیچ اثری از آلودگی بر روی سیستم قربانی باقی نمی گذارد و به مهاجمان امکان حمله با سطح پیشرفته ای از پنهان کاری در سرقت را ارائه میدهد.

takian.ir msbuild malware delivers filelessly

نرم افزار Remcos (Remote Control and Surveillance Software)، پس از نصب، دسترسی کامل از راه دور برای مهاجم، شامل ویژگی هایی مانند ضبط کلیدها تا اجرای دستورات خودسرانه و ضبط میکروفون ها و وب کم، فراهم مینماید؛ در حالی که Quasar یک RAT متن باز مبتنی بر .NET است که توانایی هایی از جمله ورود به سیستم، سرقت رمز عبور، و غیره را دارد. Redline Stealer، همانطور که از نام آن بر‌می‌آید، یک نوع بدافزار است که علاوه بر سرقت رمزهای عبور و کیف پول های مرتبط با برنامه های ارزهای رمزپایه، از مرورگرها، V-P-N ها و مشترکان پیام رسان ها نیز اطلاعات کاربری را گردآوری و سرقت می کند.

محققان آنومالی، تارا گولد و گیج میل افزودند: "عوامل تهدید کننده این کمپین از ارسال و تحویل بدون فایل به عنوان راهی برای دور زدن اقدامات امنیتی استفاده کردند و این روش توسط عاملان برای اهداف مختلف و با انگیزه های متفاوتی استفاده می شود. این کمپین این نکته را عیان می کند که اتکا به نرم افزار آنتی ویروس به تنهایی برای دفاع سایبری کافی نیست و استفاده از کدهای مجاز برای پنهان کردن بدافزارها از فناوری های آنتی ویروس موثر واقع شده است و این مسئله به طور تصاعدی در حال رشد و افزایش است".

کمپین تروجان نصب نرم افزار AnyDesk از طریق گوگل

 

محققان امنیت سایبری روز چهارشنبه یک شبکه بدافزاری هوشمند ایجاد اختلال که با هدف قرار دادن AnyDesk و از طریق تبلیغات گسترده گوگل که در صفحات نتایج این موتور جستجو برای نصب نرم افزار دسکتاپی کنترل از راه دور AnyDesk ظاهر میشده است، را اعلان عمومی کرده اند.

takian.ir malvertising campaign on google distributed trojanized anydesk installer 1

این کمپین که تصور می شود از اوایل 21 ماه آوریل 2021 آغاز شده، شامل یک فایل مخرب است که به عنوان فایل نصبی قابل اجرا برای AnyDesk (AnyDeskSetup.exe) ظاهر می شود؛ و پس از اجرا، شروع به بارگیری و دانلود  PowerShell برای جمع آوری و استخراج اطلاعات سیستم می کند.

محققان کروداسترایک در تحیلی گفته اند: "این اسکریپت دارای برخی مبهم سازی ها و عملکردهای متعدد بود که به مانند یک ایمپلنت، همچنین یک دامنه با کدگذاری قوی (zoomstatistic[.]com) به اطلاعات شناسایی "POST" مانند نام کاربر، نام میزبان، سیستم عامل، آدرس IP  و نام پروسس در حال اجرا را گردآوری میکند".

بر اساس وب سایت این شرکت، نرم افزار دسترسی از راه دور دسکتاپ AnyDesk توسط بیش از 300 میلیون کاربر در سراسر جهان بارگیری شده است. اگرچه شرکت امنیت سایبری، این فعالیت سایبری را به یک عامل تهدیدی یا شبکه ای خاص نسبت نمی دهد، اما با توجه به پایگاه و حجم گسترده کاربران، گمان می رود این یک کارزار بزرگ موثر طیف گسترده ای از مشتریان باشد که میتوانند قربانی این حمله شوند.

takian.ir malvertising campaign on google distributed trojanized anydesk installer 2

 

اسکریپت PowerShell ممکن است تمام ویژگی های یک بک دور (BackDoor) معمولی را داشته باشد، اما این مسیر نفوذ غیرمجاز که حمله یک curve ایجاد میکند و نشان می دهد که فراتر از یک عملیات جمع آوری داده از نوع ساده نرم افزاری است. نصب کننده AnyDesk از طریق تبلیغات مخرب گوگل توسط عامل مهاجم توزیع می شود و متعاقبا به افراد ناآگاه از این مخاطرات که از گوگل برای یافتن و دریافت فایل نصبی AnyDesk استفاده می کنند، ارائه میگردد.

با کلیک بر روی تبلیغات جعلی، نتیجه آن کاربران را به صفحه مهندسی اجتماعی که یک کلون از وب سایت قانونی AnyDesk است هدایت می کند که علاوه بر این، به مخاطب لینک نصب کننده تروجان را می دهد.

کروداسترایک تخمین می زند که 40% کلیک ها روی تبلیغات مخرب تبدیل به نصب باینری AnyDesk شده است و 20% از این نصب ها منتج به جمع آوری اطلاعات ورودی کیبرد دستگاه ها شده است. محققان اعلام کردند: "در حالی که مشخص نیست چند درصد جستجوی گوگل برای AnyDesk، منجر به کلیک بر روی این تبلیغات شده است، اما نرخ نصب Trojan حاصل از کلیک تبلیغات، عدد 40% را نشان می دهد. این مسئله نشان از این دارد که این روش برای دستیابی از راه دور به طیف گسترده ای از اهداف بالقوه، بسیار موفق بوده است".

این شرکت همچنین گفت كه یافته های خود را به کمپانی گوگل اعلام كرده است و گفته می شود بلافاصله برای حذف تبلیغات مورد نظر اقدام شده است.

محققان در نتیجه گیری، اعلام کرده اند: "این استفاده مخرب از تبلیغات گوگل، یک روش موثر و هوشمندانه برای به کارگیری گسترده شل ها است، زیرا به عامل تهدید توانایی انتخاب آزادانه هدف (های) مورد علاقه خود را می دهد".

آنها افزودند: "به دلیل ماهیت بستر تبلیغاتی گوگل، می توان برآورد خوبی از تعداد کلیک افراد روی آگهی ارائه داد. از این رو، عامل تهدید یا مهاجم می تواند براساس این اطلاعات، برنامه ریزی و توان کافی را به این کار تخصیص دهد. علاوه بر ابزارهای هدف قرار دادن کاربران تاآگاه مانند AnyDesk یا سایر ابزارهای اداری و سازمانی، عامل تهدید می تواند کاربران رده بالا و مدیران را به روشی منحصر به فرد هدف قرار دهد".