IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

VPN

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

آسیب پذیری VPN، راهکار حمله هکرهای مرتبط با کره شمالی به موسسه تحقیقات هسته ای

takian.ir north korea exploited vpn flaw to hack south nuclear research institute main

یک سازمان تحقیقات انرژی هسته ای در کره جنوبی پس از انتشار گزارش هایی مبنی بر اینکه همسایه شمالی این کشور در نقض امنیت این مجموعه دست داشته است، اذعان کرد که در حال حاضر مشغول بررسی یک نقض امنیتی میباشد.

دادستان ها تائه‌کونگ که عضو کمیته اطلاعات پارلمانی است، به تحقیقات یک مجموعه ثالث اشاره کرد که حمله 14 ماه می را به گروه APT با نام Kimsuky مورد حمایت پیونگ یانگ نسبت داده است.

به گزارش رویترز، عقبه یکی از 13 آدرس IP مورد استفاده برای حمله (27.102.114[.]89) به انستیتوی تحقیقات انرژی اتمی کره (KAERI) به این گروه برمیگردد که از حدود سال 2012 در حال فعالیت است.

ها تایه‌کونگ در بیانیه ای گفته است: "این حادثه می تواند خطرات جدی امنیتی را در صورت نشت اطلاعات اصلی به کره شمالی ایجاد کند، چرا که KAERI بزرگترین اتاق فکر این کشور است که در حال مطالعه فن آوری هسته ای از جمله راکتورها و رادهای سوخت میباشد".

انستیتوی تحقیقات انرژی اتمی کره یا KAERI روز جمعه با صدور اعلانیه ای اذعان کرد که برخی از سیستم ها توسط "شخص خارجی ناشناس" از طریق آسیب پذیری VPN نقض شده است. متعاقبا پس از آن، آدرس IP عامل مخرب را مسدود کرده و باگ را وصله کرده اند.

مرکز KAERI افزود: "در حال حاضر انستیتو تحقیقات انرژی اتمی در حال بررسی موضوع هک و میزان خسارت و سایر ابعاد حادثه و موثر بودن آن با سازمان های مرتبط است".

این موسسه گفت که بیانیه قبلی مبنی بر انکار هرگونه حادثه هکری به اشتباه صادر شده است، و از هرگونه نگرانی که به دلیل این نقض به مردم تحمیل شده است، عذرخواهی کرد!

takian.ir north korea exploited vpn flaw to hack south nuclear research institute

 

تصور می شود کره شمالی پس از مذاکره با ریاست جمهوری ایالات متحده در سال 2019 که به بن بست خورد، در حال کار بر روی پلوتونیوم با گرید تسلیحات هسته ای میباشد.

به گفته مقامات آمریکایی، کیمسوکی نزدیک به یک دهه است که این دست اطلاعات را برای رژیم کره شمالی جمع آوری می کند و بیشتر به موضوعات سیاست خارجی و امنیت ملی، از جمله تحریم ها و سلاح های هسته ای می پردازد.

در اوایل این ماه، شرکت امنیت سایبری Malwarebytes موجی از حملات توسط مهاجمین برای حمله به مقامات عالی رتبه دولتی در کشور که با نصب بک‌دوری به نام AppleSeed در اندروید و ویندوز اقدام به جمع آوری اطلاعات ارزشمند میکردند را، افشا کرد.

در گذشته نیز این گروه مهاجم برای حمله به سازمانهایی از جمله موسسه Sejong چین، موسسه تجزیه و تحلیل دفاعی کره (KIDA) و وزارت وحدت ملی کره جنوبی مقصر شناخته شده است.

شایان ذکر است که از سویی دقیقا مشخص نیست از آسیب پذیری کدام VPN برای نقض شبکه استفاده شده است. اما باید بدین نکته توجه نمود که سیستم های VPN وصله نشده Pulse Secure ،SonicWall ،Fortinet FortiOS و Citrix در سال های اخیر مورد حمله چندین عامل تهدید قرار گرفته اند.

آموزش های منسوخ امنیت سایبری؛ مخرب یا کمک کننده!

 

آموزش سایبری تقریباً 30 سال پیش به عنوان یک بعد فنی برای متخصصان فناوری اطلاعات آغاز شد؛ اما با گسترش فناوری و اینترنت، نیاز به آموزش از سطح افراد نخبه به سطح همه کارکنانی که با استفاده از رایانه و دسترسی به فایل ها سر و کار دارند، تغییر یافت. در دهه گذشته، آموزش سایبری به آموزش سیستم مدیریت یادگیری (LMS) با تأکید بر فیشینگ متمرکز شد. اما علی رغم این، حملات فیشینگ "که بیش از 80٪ از موارد امنیتی گزارش شده" را به خود اختصاص میدهند، روند افزایشی داشته اند.

 takian.ir outdated cybersecurity training erodes trust hurts more than it helps 1

چرا تست های فیشینگ جوابگو نیستند؟
همزمان با افزایش پیچیدگی و فراوانی حملات فیشینگ، شرکتهای جدیدی در قالب ارائه حملات "فیشینگ" کارمندان یک سازمان ظاهر شدند. دلیل اصلی این نوع ترفندها "آزمایش" کارمندان بوده است. این اعتقاد وجود داشت که با فیشینگ یک کارمند، سازمان ها می توانند به نوعی از افتادن کارمندان در دام حملات فیشینگ در دنیای واقعی جلوگیری کنند.

اما فیشینگ یک فرم ثابت از حمله نیست. میلیون ها نوع مختلف فیشینگ وجود دارد. مجرمان پیام های مختلفی را امتحان می کنند و روزانه آنها را تغییر می دهند تا در نهایت ببینند کدام یک از آنها موثر واقع میشود. یک فرد ماهر و متبحر فقط با دانستن چند نکته مهم در مورد یک سازمان، می تواند به نرخ کلیک 80٪ بر روی یک ایمیل فیشینگ دست یابد.

فیشینگ یک کارمند به عنوان نوعی آموزش کارایی ندارد. نه تنها بسیار کلی است (چرا که غالباً فقط یک نوع خاص از ایمیل را در بر می گیرد)، بلکه کارمند را به سمت مهارت کافی برای تشخیص حملات جدید سوق نمیدهد. از آن بدتر، این کار مانند یک رویکرد تنبیهی است که کارمندان را عصبی و گاهی درمانده می کند؛ و حتی اگر هرگونه تغییر رفتاری نیزدر آن کارمند ایجاد کند، آن نوعی نیست که یک سازمان واقعاً نیازمند آن باشد.

 

فناوری جدید، آموزش جدید، خرد و هوشیاری پایدار
آموزش سنتی امنیت سایبری می تواند بصورت فردی یا مبتنی بر LMS باشد و به طور معمول در یک جلسه 30 تا 60 دقیقه ای آموزش مقدماتی، سالی یکبار انجام شود. در طول سال نیز امکان ارائه چند یادآوری تصویری به صورت ایمیل یا پوستر وجود دارد. اما صرف نظر از تغییرات جزئی، آموزش سنتی به طور کل جوابگو نیست. هر دو مورد محتوا و ارائه باید سریع و به روز باشند تا با فضای امنیتی سایبری که به طور مداوم تغییر می کند، امکان ارتباط داشته باشند. رویکردهای جدید در زمینه آموزش آگاهی از امنیت سایبری شامل تغییر رویکرد به سمت دستگاه های تلفن همراه، ارتباطات روزانه یا هفتگی، تعاملات تیمی و اداری، ایجاد رقابت دوستانه با تابلوی امتیاز، محتوای مربوط به آن صنعت خاص و آموزش کوتاه تری به نام یادگیری خرد.

آموزش هایی که حول محور یادگیری خرد ساخته شده اند به خاطر سپرده می شوند. تحقیقات پیشگامانه هرمان ابینگهاوس در اواخر دهه 1800 بود که "کشف کرد که با نبود هیچ گونه تقویت و یا ارتباطی با دانش قبلی، اطلاعات به سرعت فراموش می شوند؛ تقریباً 56٪ در یک ساعت، 66٪ پس از یک روز و 75٪ پس از شش روز". برای افزایش توانایی حفظ، ایجاد هرچه بیشتر ارتباط و تکرار اطلاعات ضروری میباشد. یک ساعت آموزش (یا بدتر از آن: با زمان طولانی تر) سالی یکبار، نحوه مناسبی برای یادگیری و حفظ اطلاعات توسط افراد نیست. مردم از مرور مستمر و ساختن مفهوم بر بنیان مفهوم، یاد می گیرند؛ درست مثل این که سالی یکبار برای تناسب اندام عضلات به باشگاه برویم، ذهن نیز همانند یک عضله است. برای حفظ و بهبود عملکرد، روزانه و با دوز کم تمرین و تمرین و ممارست کنید. آن جلسات روزانه استعاره از یادگیری خرد هستند که باعث ایجاد بهترین عملکرد ذهن میشوند.

 

اجتناب از حملات سایبری
آموزش امنیت سایبری اولین راهی است که سازمان ها می توانند با آن، به جلوگیری از جرایم اینترنتی کمک کنند. طبق تجزیه و تحلیل CybSafe از داده های دفتر کمیساریای اطلاعات انگلستان، 90٪ موارد نقض را می توان به خطای انسانی مرتبط دانست. این نقض ها، چه بخاطر پیکربندی شبکه باشد، چه بخاطر آموزش ناکافی کاربر نهایی، نهایتا افراد سازمان را آسیب پذیر یا مستحکم می کنند. در اینجا 5 روش برای کمک به سازمان خود در مبارزه با جرایم اینترنتی آورده شده است:

کارمندان را به طور مکرر آموزش دهید؛ سازمانها باید برای آنچه مهم است وقت اختصاص دهند. درک اهمیت یک پیام، اهمیت آن را تقویت می کند. اغلب به کارمندان یادآوری کنید که واقعاً چه رفتارهایی مهم است. همچنین به یاد داشته باشید که مردم به روش های مختلفی یاد می گیرند. شنیدن پیام در قالب های مختلف به کارمندان کمک می کند تا اطلاعات را بهتر جذب کرده و راحت تر به آنها دسترسی پیدا کنند.

مدیریت رمز عبور؛ رمزهای عبور به معنای واقعی کلمه کلیدهای اقلیم پادشاهی هستند. راهکارهای مدیریت رمز عبور را برای مدیران فراهم کنید تا بتوانند رمزهای عبور خود ردیابی کرده و از یادداشت کردن آنها بر روی برگه های در مجاورت رایانه اجتناب کنند.

پچ‌ کردن مکرر؛ بروزرسانی نرم افزار نقش بسیار مهمی در مسدود کردن رخنه های آسیب پذیری دارد. آسیب پذیری های شناخته شده بطور روزانه توسط مجرمان مورد حمله قرار می گیرند. "60٪ از موارد نقض شامل آسیب پذیری هایی است که پچ برای آنها ارائه شده، اما نصب نشده اند". به طور مرتب بروزرسانی کرده و پچ‌ ها را نصب کنید.

کاربران از راه دور؛ برای دسترسی ایمن تر به داده های حساس VPN و فایروال ارائه دهید. اصلا تصور نکنید که کارمندان به درستی روترها را تنظیم کرده اند یا پروتکل های WiFi ایمن را در خانه دنبال می کنند. اطمینان حاصل کنید که به آنها راهنمایی هایی لازم ارائه شده است که اطلاعات شرکت را هنگام کار در خانه ایمن نگه دارند.
پشتیبان گیری؛ به طور منظم از سیستم و اطلاعات مهم خود پشتیبان تهیه کنید. این پشتیبان ها را در جایی امن و جدا از شبکه خود نگه دارید. باج افزارها پیچیده تر و پرخاشگرتر می شوند، اما پشتیبان گیری از اطلاعات مهم باعث آرامش خاطر میشود و در هنگام حملات باج افزار هم به پیشگیری و هم به روند بازگشت کمک می کند.

حملات سایبری تغییر مکان داده و تکامل می یابند؛ آموزش باید ادامه داشته باشد. اگرچه تقریباً 30 سال است که آموزش سایبری وجود دارد، اما این آموزش تازه در آغاز قرار دارد. آموزش امنیت سایبری باید به معنای واقعی آموخته و اعمال شده و بهتر و متناسب با نیازهای فرد و سازمان ادامه بیابد. بنابراین، بیشتر آموزش دهید، تمرین کنید و به نحو کارآمد تمرین کنید.

افشاگری مایکروسافت درباره باگ حساس تصرف روترهای NETGEAR توسط مهاجمین سایبری

محققان امنیت سایبری مایکروسافت آسیب پذیری های بحرانی امنیتی که روترهای سری NETGEAR DGN2200v1 را تحت تأثیر قرار می دهد کشف کرده اند، که به گفته آنها می تواند به عنوان نقطه پرشی مورد سواستفاده قرار گیرد تا امنیت شبکه را به خطر انداخته و دسترسی بدون محدودیت را برای مهاجمین فراهم آورد.

سه ضعف امنیتی احراز هویت HTTPd (نمرات CVSS: 7.1 - 9.4) بر روترهایی که نسخه های سیستم عامل قبل از v1.0.0.60 اجرا می کنند، تأثیر می گذارد و از زمان دسامبر سال 2020 توسط آن شرکت از طریق یک توصیه نامه امنیتی به عنوان بخشی از فرایند آشکار سازی آسیب پذیری ها، پیگیری و رفع شده است.

به نقل از هکر نیوز، جاناتان بار اور، عضو تیم تحقیقاتی Microsoft 365 Defender گفت: "افزایش تعداد حملات Firmware ها و حملات باج افزاری از طریق دستگاه های VPN و سایر سیستم های متصل به اینترنت، نمونه هایی از حملاتی است که در بیرون و در لایه های زیرین سیستم عامل ها آغاز شده است. با متداول تر شدن این نوع حملات، کاربران باید به دنبال امنیت سایبری حتی یک نرم افزار تک منظوره باشند که صرفا وظیفه اجرای سخت افزار آنها را بر عهده دارد، مانند روترها".

takian.ir microsoft discloses critical bugs allowing takeover of netgear routers 1

 

به طور خلاصه این نقص امنیتی، دسترسی به صفحات مدیریت روتر را با استفاده از دور زدن احراز هویت فراهم می کند و به مهاجم این امکان را می دهد تا کنترل کامل روتر را بدست آورده و همچنین اعتبارنامه های ذخیره شده روتر را از طریق کریپتوگرافی حمله side-channel، استخراج کند و حتی با استفاده از ویژگی backup/restore، نام کاربری و رمز عبوری را که در حافظه روتر ذخیره می شود، بازیابی نماید.

بار اور توضیح داد: "نام کاربری و رمز عبور (در برابر اعتبار ذخیره شده) با استفاده از strcmp مقایسه می شوند. پیاده سازی libc در strcmp با مقایسه کاراکتر به کاراکتر تا مشاهده یک ترمیناتور NUL یا تا زمانی که عدم تطابق حاصل شود، کار کرده و پیش میرود. یک مهاجم می تواند با اندازه گیری زمان لازم برای عملیات ناموفق، از حالت دوم بهره برداری و سواستفاده کند".

takian.ir microsoft discloses critical bugs allowing takeover of netgear routers 2

 

علاوه بر این، محققان با سواستفاده از دور زدن احراز هویتی که در بالا ذکر شد، برای دسترسی به فایل پیکربندی، دریافتند که اعتبارنامه ها با استفاده از یک گذرواژه ثابت رمزگذاری شده اند، که می تواند بعداً برای بازیابی متن ساده رمز عبور و نام کاربری استفاده شود.

به کاربران NETGEAR DGN2200v1 توصیه می شود برای جلوگیری از هرگونه حمله احتمالی، جدیدترین فریمور را دانلود، نصب و به روزرسانی نمایند.

حمله باج افزاری به تجهیزات پچ نشده EOL SonicWall SMA 100 VPN

takian.ir sonicwall

شرکت سازنده تجهیزات شبکه SonicWall به مشتریان در مورد یک کمپین باج افزار "قریب الوقوع" هشدار داده است. هدف این کمپین باج افزاری، محصولات Secure Mobile Access (SMA) سری 100 و محصولات Secure Remote Access (SRA) که با سیستم عامل پچ نشده و فریمور از رده خارج 8.x است.

این هشدار بعد از گذشت بیش از یک ماه پس از انتشار گزارشاتی مبنی بر بهره برداری از آسیب پذیری های دسترسی از راه دور در تجهیزات VPN SonicWall SRA 4600 (CVE-2019-7481) به عنوان مسیر دسترسی اولیه برای حملات باج افزاری نقض شبکه شرکت های سراسر جهان، اعلام شده است.

این شرکت افزود: "SonicWall از فعالیت عاملان تهدیدی که برای هدف قرار دادن محصولات Secure Mobile Access (SMA) 100 سری و Secure Remote Access (SRA) محصولات سخت افزاری پچ نشده و فریمور EOL 8.x از طریق یک کمپین باج افزاری قریب الوقوع و با بهره گیری از اعتبار نامه های به سرقت رفته اقدام کرده اند، کاملا آگاه است. این بهره برداری، آسیب پذیری از قبل شناخته شده ای را هدف قرار داده است که در نسخه های جدید فریمور پچ شده است".

به گزارش هکرنیوز، کمپانی SonicWall خاطرنشان كرده است که محصولات سری SMA 1000 تحت تأثیر این نقص قرار نگرفته اند و همچنین از مشاغل مختلف خواست كه فوراً د رهر حالت ممکن بروزرسانی فریمور خود را انجام داده، احراز هویت چند مرحله ای فعال کرده و یا از قطع اتصال وسایلی كه از شرایط end-of-life عبور کرده انند و نمی توانند به فریمور 9.x به روز شوند، اطمینان حاصل كنند.

این شرکت هشدار داد: "دستگاه های آسیب دیده با پایان عمر فریمور 8.x فعلا خطر را به طور موقت از سر گذرانده؛ اما ادامه استفاده از این فریمور یا دستگاه های با پایان عمر، یک خطر امنیتی فعال و بالفعل را به همراه دارد.". به راستای کاهش مخاطرات، SonicWall همچنین به مشتریان توصیه کرده است تمام گذرواژه های مرتبط با دستگاه SMA یا SRA و همچنین هر دستگاه یا سیستم دیگری را که ممکن است از اعتبارنامه مشابه استفاده کنند، تغییر دهند.

این همچنین چهارمین باری است که دستگاه های SonicWall به عنوان مسیری برای حملات بزرگ‌ و پرسود (برای مهاجمین) ظاهر می شوند، عاملان تهدید با سواستفاده از نقایصی که قبلاً فاش نشده بودند، بدافزار را مستقر کرده و در شبکه های هدف خود قرار گرفته اند و این موضوع را به جدیدترین سوژه ای تبدیل کرده اند که این شرکت در ماه های اخیر با آن دست و پنجه نرم کرده است.

در ماه آوریل، FireEye Mandiant فاش کرد که یک گروه هک ردیابی شده به عنوان UNC2447، از نقص روز صفر روز در تجهیزات SonicWall VPN (CVE-2021-20016) قبل از اینکه توسط این شرکت پچ شود، استفاده می کردند تا نوع جدیدی از باج افزار به نام FIVEHANDS را در شبکه های نهادها و سازمان هایی در آمریکای شمالی و اروپا مستقر نمایند.

سوءاستفاده هکرها از آسیب پذیری بزرگ در Fortinet VPN

 

طبق گزارش سازمان تحقیقات فدرال (FBI) و آژانس امنیت سایبری و زیرساخت (CISA)، عاملین تهدیدات مداوم پیشرفته ضد دولتی، به طور فعال و فزاینده ای از نقاط ضعف امنیتی شناخته شده در Fortinet FortiOS سوءاستفاده می کنند و محصولات SSL VPN این شرکت را تحت تأثیر قرار داده و به خطر می اندازند.

اداره تحقیقات فدرال و آژانس امنیت سایبری و زیرساخت، یک بیانیه و راهنمایی مشترک برای هشدار به سازمان ها و کاربران در مورد نحوه استفاده هکرها از آسیب پذیری های مهم در Fortinet FortiOS VPN صادر کرده اند.

takian.ir hackers exploiting critical vulnerabilities in fortinet VPN

هدف آنها استقرار یک ساختار ضد دفاعی برای نقض امنیت مشاغل متوسط ​​و بزرگ در آینده است.

بر اساس هشداری که در روز جمعه صادر شده است، عاملین تهدیدات مداوم پیشرفته ضد دولتی، از نقاط ضعف شناخته شده در سیستم عامل امنیتی سایت FortiOS سوءاستفاده کرده و محصولات SSL VPN Fortinet را هدف قرار می دهند. با این حال، آژانس ها جزئیات بیشتری در مورد تهدیدات مدوام پیشرفته به اشتراک نگذاشته اند.

FortiOS SSL VPN در فایروال های مرزی استفاده می شود که مسئول ممانعت از برقراری ارتباط شبکه های حساس داخلی با دیگر اتصالات اینترنتی عمومی هستند.

 

سوءاستفاده چگونه انجام میپذیرد؟

FBI و CISA گزارش دادند كه عاملین تهدیدات مداوم پیشرفته، دستگاه ها را روی پورت های 4443 ، 8443 و 10443 اسكن می كنند تا پیاده سازی های امنیتی Fortinet را كه انجام نشده اند، پیدا كنند. به ویژه موارد مورد توجه در زمینه نقاط آسیب پذیری طبق CVE-2018-13379 ،CVE-2019-5591 و CVE-2020-12812 طبقه بندی شده است.

بسیار مرسوم است که چنین گروه هایی برای انجام حملات DDoS، حملات باج افزاری، کمپین های فیشینگ، حملات نفوذ زبان جستجوی ساختاری، کمپین های اطلاعات نادرست یا دیس اینفورمیشن، تخریب وب سایت و سایر انواع حملات، از نقایص مهم سوءاستفاده می کنند.

 

چند نکته درباره این خطا

CVE-2018-13379 یک خطای عبور از مسیر Fortinet FortiOS است که در آن، پورتال SSL VPN به یک مهاجم غیرمجاز اجازه می دهد تا فایل های سیستم را از طریق درخواست منابع طراحی شده ویژه HTTP، بارگیری کند.

نقص CCVE-2019-5591 یک آسیب پذیری پیکربندی پیش فرض است که به یک مهاجم غیرمجاز در همان ساختار زیرمجموعه شبکه اجازه می دهد اطلاعات حساس را به سادگی و با تقلید از سرور LDAP ضبط و ذخیره کند.

CVE-2020-12812 یک نقص تأیید اعتبار نامناسب در FortiOS SSL VPN است که به کاربر اجازه می دهد حتی در صورت تغییر نام کاربری، بدون اینکه از وی درخواست FortiToken (تایید اعتبار دو مرحله ای) انجام پذیرد، با موفقیت وارد سیستم شود.

 

چه کسانی در معرض خطر است؟

محققان آژانس های امنیتی خاطرنشان کردند که عاملین این تهدیدات گسترده و پیشرفته، می توانند از این آسیب پذیری ها برای دستیابی به رئوس نهادهای دولتی، فناوری و نهادهای تجاری استفاده کنند.

"به دست آوردن دسترسی اولیه، شرایط را برای عاملین این تهدیدات گسترده و پیشرفته جهت انجام حملات در آینده آماده میکند". پس از بهره برداری، مهاجمان به صورت جانبی حرکت کرده و اهداف خود را زیر نظر می گیرند.

"عاملین این تهدیدات مداوم پیشرفته ممکن است از هر کدام یا همه این CVE ها برای دسترسی به شبکه های چندین بخش مهم زیرساختی و متعاقبا دسترسی به شبکه های اصلی به عنوان دسترسی مقدماتی و بنیادی برای دنبال کردن و پیگیری اطلاعات یا حملات رمزگذاری داده ها استفاده کنند. عاملین این تهدیدات مداوم و پیشرفته، ممکن است از CVE های دیگر یا تکنیک های متداول بهره برداری (مانند فیشینگ) برای دستیابی به شبکه های زیرساختی حیاتی برای تعیین موقعیت و جایگاه اولیه برای حملات بعدی استفاده کنند".

ارائه بروزرسانی برای رفع اشکالات به تغییراتی در ساختار اصلی نیاز دارد و شبکه سازمان ها باید بیش از یک دستگاه VPN داشته باشند. ممکن است سیستم برای زمانی غیرفعال شود و ممکن است کار کسانی که به VPN شبانه روزی احتیاج دارند، دچار اختلال شدیدی شود. با این حال، خطر فعالیت های جاسوسی یا باج افزار به مراتب بسیار بیشتر از این دست موارد است.

کشف بدافزار اندرویدی HenBox در دستگاههای Xiaomi در چین

به گزارش سایت هک رید؛ شرکت امنیت سایبری پالو آلتو (PaloAlto Networks) طی گزارشی از واحد 42 خود اعلام کرد که بدافزاری به نام «HenBox» با رویکرد آلوده کردن تجهیزات اندرویدی شناسایی شده است.Takian.ir android malware henbox xiaomi minority in china

این بدافزار همه تجهیزات اندرویدی را هدف قرار داده، به عبارت دیگر تمام تجهیزاتی که از سیستم عامل اندروید استفاده می کنند دربرابر خطر هستند مانند گوشی های هوشمند، تلویزیون و...

این بدافزار از روش های منحصر به فردی وارد سیستم کاربر می شود به طور مثال از طریق برنامه های «VPN» برای نفوذ به سیستم کاربر استفاده می کند. برخی کاربران زمان دانلود و بارگذاری این بدافزار تصور می کنند که برنامه به صورت هوشمند سرگرم اجرای فعالیتی است، اما متوجه نیستند که دستگاه آن ها آلوده شده است.

کارشناسان اعلام کردند که برنامه های مختلفی اقدام به دریافت این بدافزار می کنند و هنوز هم از طریق فروشگاه اینترنتی گوگل (Google Play) قابل دریافت هستند.

این گزارش در 13 مارس 2018 ازسوی شرکت امنیت سایبری پالو آلتو منتشر شد و در آن آمده بود که این بدافزار منطقه ویژه ای از چین را هدف قرار داده و هدف اصلی این بدافزار «Uyghur» بوده است. محل نام برده در شمال غرب چین واقع شده است و مردم آن عموما مسلمان هستند، ضمنا هنوز انگیزه هکرها برای نشانه گرفتن این مکان مشخص نیست.

بدافزار هن باکس (HenBox) گوشی های تلفن همراه ساخته شده به وسیله شرکت «Xiaomi» و تجهیزات توسط «MIUI» اجرا می شوند را هدف قرار داده است.

گفتنی است یکی از برنامه هایی که اقدام به دریافت بدافزار می کند و در حال حاضر از طریق فروشگاه اینترنتی گوگل در دسترس است «DroidVPN» است.

Takian.ir android malware henbox xiaomi minority in china DroidVPN

 

نقص رفع نشده SonicWall VPN و حملات روز صفر

 

یک آسیب پذیری بحرانی و حیاتی در تجهیزات مرتبط با Sonicwall VPN که تصور میشد در سال گذشته پچ شده است، در حال حاضر و با توجه به اینکه این شرکت این نقص نشت حافظه را رفع نکرده، به عنوان یک خرابکاری و خطای بزرگ سر برآورده است. تا به اکنون، این نقص اجازه دسترسی به اطلاعات حساس برای مهاجم از راه دور فراهم می آورد.

در 22 ماه ژوئن (روز گذشته)، این نقص در پی یک بروزرسانی برای Sonicos Rundified، اصلاح شد.

نقصی که تحت عنوان CVE-2021-20019 و با نمره CVSS برابر 5.3 از آن یاد شده است، آسیب پذیری ای است که نتیجه نشت حافظه در هنگام ارسال یک درخواست HTTP غیر مجاز میباشد که به طور خاص ساخته شده است، که به طبع از طریق افشای اطلاعات به دست می آید.

لازم به ذکر است که تصمیم Sonicwall برای متوقف کردن پچی که در میان افشای چند باره روز-صفر، بر روی دسترسی از راه دور VPN و محصولات امنیتی ایمیل که در یک سری از حملات بسیار شدید به منظور اجرای Backdoor و نیز یک باج اقزار جدید با نام FIVEHANDS مورد سوء استفاده قرار گرفته اند، بسیار تاثیر گذار است.

هرچند هیچ شواهدی مبنی بر اینکه این نقص در فضای سایبری مورد سوءاستفاده قرار گرفته باشد، وجود ندارد.

takian.ir sonicwall left vpn flaw partially unpatched

 

مجموعه Sonicwall اعلام کرد: "فایروال های فیزیکی و مجازی Sonicwall که در حال اجرا نسخه های بخصوصی از SonicOS هستند، ممکن است حاوی این آسیب پذیری که در پی آن پاسخ HTTP سرور از حافظه جزئی نشت می کند، باشند. این مسئله به طور بالقوه می تواند به آسیب پذیری افشای اطلاعات حساس داخلی منجر شود".

نقص اصلی، شناسایی شده با عنوان CVE-2020-5135 و با نمره CVSS برابر 9.4، مربوط به آسیب پذیری سرریز بافر در SonicOS  میباشد که می تواند مهاجم از راه دور را قادر به ایجاد Denial-of-Service یا DoS  و به طور بالقوه اجرای کد دلخواه با ارسال درخواست مخرب به فایروال، نماید.

در حالی که Sonicwall در اکتبر سال 2020 یک پچ را ارائه کرد، اما آزمایش های بیشتری که توسط شرکت سایبری تریپ وایر انجام شده است، یک نشت حافظه را به گفته پژوهشگر امنیتی کرگ یانگ، که مشکل جدید Sonicwall را در 6 اکتبر 2020 گزارش کرد، با عنوان "ماحصل یک اصلاح نامناسب برایCVE-2020-5155" نشان داده است.

یانگ در روز سه شنبه اشاره کرد: "در حد یک یا دو خط کد نویسی رفع مشکل با حداقل میزان تاثیر، من انتظار داشتم که یک پچ احتمالا به سرعت بیرون می آید، اما ما به سرعت به ماه مارس نزدیک میشویم و هنوز هیچ خبری از آن شنیده نشده است. من مجددا به PSIRT آنها در تاریخ 1 ماه مارس 2021 برای بروزرسانی متصل شدم، اما در نهایت تا ماه ژوئن و قبل از آن زمانی که مشاوره امنیتی میتوانست منتشر شود، همه چیز خوب پیش رفت".

هدف قرار دادن کاربران تلگرام و وی‌پی‌ان سایفون در ایران

 takian.ir a new spyware is targeting iranian users of telegram and psiphon 1

بنا بر مستندات، عاملان تهدید و مشکوک به ارتباط با ایران از برنامه های پیام رسان و برنامه های VPN مانند Telegram و Psiphon برای نصب Trojan دسترسی از راه دور ویندوز (RAT) استفاده می کنند که حداقل از سال 2015، به وسیله آن قادر به سرقت اطلاعات حساس از دستگاه های اهداف خود هستند.

شرکت امنیت سایبری روسی کسپرسکی، که فعالیت های متفاوت در زمینه این اتفاقات بررسی کرده است، این مبارزات را به گروه تهدیدی مداوم پیشرفته (APT) نسبت داد که آن را تحت عنوان بچه گربه وحشی (Ferocious Kitten) میشناسند؛ گروهی از افراد فارسی زبان که ادعا می کند در این کشور مستقر هستند و به صورت تحت کنترل، فعالیت های سایبری خود را با موفقیت به انجام میرسانند.

تیم تحقیق و تجزیه و تحلیل جهانی (GReAT) کسپرسکی اعلام کرد: "هدف قرار دادن سایفون و تلگرام، که هر دو سرویس های کاملاً پرطرفداری در ایران هستند، بر این واقعیت تأکید دارد که payload ها به قصد هدف قرار دادن کاربران ایرانی ساخته شده اند".

"علاوه بر این، در محتوای فریبنده نمایش داده شده توسط فایل های مخرب اغلب از مضامین سیاسی استفاده می شود و شامل تصاویر یا فیلم هایی از مراکز مخالفین یا اعتصابات علیه حکومت ایران است، که نشان می دهد این حمله کار حامیان بالقوه از این دست جنبش های در داخل کشور است".

یافته های کسپرسکی از دو فایل آلوده که در ژوئیه 2020 و مارس 2021 در VirusTotal بارگذاری شده اند و حاوی دستور ماکرو هستند، حکایت دارد؛ که با فعال شدنش، payload های مرحله بعدی را رها می کند تا بدافزار جدیدی به نام MarkiRat را مستقر کنند.

این Backdoor به مهاجمان اجازه دسترسی گسترده به داده های شخصی قربانی را می دهد که شامل ویژگی هایی برای ضبط فعالیت کلیدها، ضبط محتوای کلیپ بورد، بارگیری و بارگذاری فایل ها و همچنین امکان اجرای دستورات دلخواه بر روی دستگاه قربانی است.

takian.ir a new spyware is targeting iranian users of telegram and psiphon 2

در اقدامی که به نظر می رسد تلاش برای گسترش فعالیت مخرب مهاجمین است، آنها همچنین با آزمایش انواع مختلف MarkiRat که رهگیری اجرای برنامه هایی مانند گوگل کروم و تلگرام با همزمانی اجرای بدافزار و حفظ آسیب پذیری و تهاجم به کامپیوتر کاربر، امکان شناسایی و حذف این بدافزار بسیار دشوارتر میکند. یکی از موارد کشف شده شامل نسخه بک‌دور سایفون نیز می باشد.

یکی دیگر از نسخه های اخیر شامل یک دانلودر ساده است که یک فایل اجرایی را از یک دامنه کدگذاری شده بازیابی می کند و در پی آن محققان متذکر شدند که "استفاده از این روش، متفاوت از موارد استفاده شده توسط این گروه در گذشته است که در آن پی‌لود توسط خود بدافزار در سیستم مستقر میشده است و این نشان می دهد که گروه ممکن است در حال تغییر برخی از TTP های خود باشد".

بعلاوه گفته می شود که زیرساخت command-and-control همچنان میزبان برنامه های اندرویدی به صورت فایلهای DEX و APK بوده است و این احتمال را افزایش می دهد که عامل تهدید به طور همزمان در حال توسعه بدافزارهایی برای هدف قرار دادن کاربران تلفن همراه میباشد.

بسیار جالب توجه است که تاکتیک های مورد استفاده توسط مهاجم با دیگر گروه هایی مانند Domestic Kitten و Rampant Kitten که علیه اهداف مشابه فعالیت می کنند، همپوشانی دارد. زیرا کسپرسکی در نحوه استفاده مهاجم از همان مجموعه سرورهای C2 برای مدت زمان طولانی و تلاش برای جمع آوری اطلاعات را از مدیر رمز عبور KeePass، مستندات مشابهی را یافته است.

محققان نتیجه گیری کردند: "Ferocious Kitten نمونه عاملی است که در یک اکوسیستم وسیع تر با هدف ردیابی افراد در ایران فعالیت می کند. چنین گروه های تهدیدگری اغلب تحت پوشش قرار نمی گیرند و بنابراین می توانند با استفاده مجدد از زیرساخت ها و ابزارها و بدون نگرانی در مورد غیرفعال شدن یا شناخته شدن توسط نرم افزارهای امنیتی، به فعالیت خود ادامه دهند".

هشدار! حمله سایبری فعال به فایروال ها و VPN های شرکت Zyxel

 takian.ir zyxel firewalls and vpns under active cyberattack

شرکت تجهیزات شبکه تایوانی Zyxel به مشتریان در مورد یک حمله در حال اجرا که زیرمجموعه ای از محصولات امنیتی آن شرکت، شامل فایروال و سرورهای VPN ر اهدف قرار می دهد ، هشدار داده است.

این شرکت با انتساب حملات به "عامل تهدید پیچیده"، خاطرنشان کرد که این حملات مشخصا تنها تجهیزاتی را که دارای مدیریت از راه دور یا SSL VPN آنها فعال هستند، تحت تاثیر قرار میدهد. این مورد شامل سری های USG/ZyWALL ،USG FLEX ،ATP و VPN که از ZLD Firmware استفاده می کنند، میباشد. در پی این حمله، دستگاههای هدف قرار گرفته، از طریق اینترنت در دسترس عموم قرار دارند.

کمپانی Zyxel در یک پیام ایمیل، که در توییتر نیز به اشتراک گذاشته شده است، اعلام کرد: "تهدید کننده تلاش می کند تا از طریق WAN به دستگاهی دسترسی پیدا کند؛ در صورت موفقیت، آنها مرحله احراز هویت را دور می زنند و تونل های SSL VPN با حساب های کاربری ناشناخته مانند" zyxel_slIvpn "،" zyxel_ts "یا" zyxel_vpn_test "را ایجاد می کنند تا پیکربندی دستگاه را دستکاری کنند".

takian.ir zyxel firewalls and vpns under active cyberattack 2

 

به نقل از هکر نیوز از زمان نشر این خبر، تاکنون مشخص نشده است که این حملات از نقاط ضعف شناخته شده قبلی در دستگاه های Zyxel استفاده می کنند یا اینکه از نقص روز صفر برای نفوذ سیستم استفاده می کنند. همچنین مقیاس و حجم حمله و تعداد کاربران تحت تأثیر آن نیز تاکنون مشخص نگردیده است.

برای کاهش سطح حمله، این شرکت به مشتریان خود توصیه کرده است که خدمات HTTP/HTTPS را از WAN غیرفعال کرده و لیستی از geo-IP ممنوعه را پیاده سازی کنند تا دسترسی از راه دور فقط از نقاط دسترسی معتبر امکان پذیر باشد.

در اوایل سال جاری، Zyxel یک آسیب پذیری مهم را در سیستم عامل خود حذف کرد تا یک حساب کاربری با کد بسیار سخت "zyfwp" (CVE-2020-29583) را که ممکن بود توسط یک مهاجم برای ورود به سیستم با سطح اختیارات ادمین مورد سواستفاده شود و محرمانه بودن، یکپارچگی، امنیت و دردسترس بودن دستگاه را به خطر بیندازد، حذف کند.

takian.ir zyxel firewalls and vpns under active cyberattack 3

این توسعه در حالی صورت می گیرد که VPN های سازمانی و سایر دستگاه های شبکه، به هدف اصلی مهاجمان در یک سری کمپین ها با هدف یافتن راه های جدید در شبکه های سازمان ها تبدیل شده اند و به عاملان تهدید این امکان را می دهد که به صورت جانبی در شبکه جابجا شده و حرکت کنند و اطلاعات حساس را جهت جاسوسی و سایر عملیات های با انگیزه مالی، گردآوری نمایند.