IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

CDN

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

حمله سایبری به زنجیره تامین غول مدیریت رمز عبور Passwordstate

 

یک حمله جدی دیگر در زنجیره تأمین به صورت آنلاین به وقوع پیوسته است که به طور بالقوه هزاران کاربر و مشتری را تحت تأثیر قرار داده است. این بار قربانی، غول مدیریت رمز عبور Passwordstate Click Studios است که خود این مجموعه، حمله سایبری را تأیید کرده است. ممکن است مهاجمان رمزهای ورود کاربران را از مدیریت رمز عبور هک شده نیز جمع آوری کرده باشند.

 takina.ir passwordstate password manager supply chain cyber attack main

 

حمله سایبری بهمدیریت رمز عبورPasswordstate

گفته می شود شرکت نرم افزاری استرالیایی کلیک استودیوز، که در پس سیستم مدیریت رمز عبور Passwordstate است، حمله سایبری به سیستم های خود را تایید کرده است.

به نقل از لیتست هکینگ نیوز، همانطور که در گزارش آنها شرح داده شده است، این شرکت دچار حمله در زنجیره تأمین شده است، چرا که مهاجمان از طریق یک بروزرسانی مخرب، موفق به تخریب و آسیب رسانی به ساختار مدیریت رمز عبور شدند. برای این منظور، مهاجمان عملکرد بروزرسانی در محل وب سایت اصلی آنها را به خطر انداخته اند.

اگرچه این حمله نسبتاً کوتاه مدت بود و به مدت 28 ساعت ادامه پیدا کرد ولی مهاجمان موفق به وارد کردن خسارت شدند.

کلیک استودیوز جزئیات مربوط به حمله را به اشتراک گذاشته است: "هرگونه ارتقا در محل که بین 20 آوریل در ساعت 8:33 بعد از ظهر به وقت آمریکا تا 22 آپریل ساعت 0:30 صبح به وقت آمریکا انجام شده باشد، امکان دارد که یک فایل بدافزار با نام Passwordstate_upgrade.zip را بارگیری کرده باشد. این فایل zip از یک شبکه بارگیری که توسط Click Studios کنترل نمی شود، بارگیری شده است".

این بروزرسانی مخرب طبق بررسی های انجام شده، بدافزار را در سیستم دریافت کننده های بروزرسانی رمز عبور، نصب میکند. این بدافزار که "Moserware" نامیده می شود، اطلاعات مربوط به سیستم هدف را سرقت کرده و برای مهاجمان ارسال میکند.

هنگامی که قابلیت  بروزرسانی در محل پردازش و آغاز می شود، Passwordstate_upgrade.zip مخرب، یک moserware.secretsplitter.dll طراحی شده با اندازه 65 کیلوبایت را بارگیری می کند. سپس این فایل اضافی، فایل upgrade_service_upgrade.zip را از شبکه CDN عاملین حمله بارگیری می کند، یک تهدید جدید را در پس برنامه ها آغاز می کند و upgrade_service_upgrade.zip را به یک ساختار .NET که فقط در مموری نگهداری میشود تبدیل کرده و شروع به پردازش می نماید.

 

رفع سریع و کاهش خطر

با کشف این حادثه، تامین کنندگان از ارائه این بروزرسانی ها در محل مخرب جلوگیری کردند. همچنین آنها از مشتریان و کاربران خواسته اند که وجود فایل 65 کیلوبایتی moserware.secretsplitter.dll را در دایرکتوری c:\inetpub\passwordstate\bin خود مورد بررسی قرار دهند.

در صورت یافتن این فایل، آنها باید "فهرست خروجی دایرکتوری c:\inetpub\passwordstate\bin را که حاوی فایلی به نام PasswordstateBin.txt است، برای کلیک استودیوز ارسال کنند تا برای دریافت دستورالعمل های اصلاح این مشکل، راهنمایی های لازم را دریافت نمایند.

در حالی کلیک استودیوز تأیید کرد که این حادثه برخی از مشتریان را تحت تأثیر قرار داده است، اما جزئیات تعداد این حمله بسیار کم است. با این حال ، با روشن شدن اوضاع، این تعداد ممکن است به طور بالقوه افزایش یابد.

در حال حاضر کلیک استودیوز دارای بیش از 29،000 مشتری از بخشهای مختلف، از جمله برخی از 500 شرکت معرفی شده توسط مجله معروف فورچون است.

هشدار: بدافزار Saint Bot، سارق جدید رمزهای کاربران

یک بدافزار دانلودر که پیش از این شناسایی نشده بود، و اقدام به حملات فیشینگ برای سرقت گواهی های کاربران و بارگیری سایر داده های مخرب میکند، به تازگی مشاهده شده است.

گفته می شود این بدافزار که "Saint Bot" نامیده می شود برای اولین بار در ژانویه 2021 وارد عمل شده و نشانه هایی از توسعه و بهینه سازی عملکرد مخرب آن نیز دیده شده است.

طبق گفته الکساندرا دونیک، تحلیلگر اطلاعات در مالوربایتز، "Saint Bot دانلود کننده ای است که به تازگی ظاهر شده و به آرامی روند رو به رشدی به خود گرفته است. همچنین دیده شده است که از طریق سرقت کنندگان اطلاعات (به عنوان مثال تائوروس استیلر) یا دیگر لودرها منتشر می شود، اما طراحی آن به شما امکان آن را می دهد که از آن برای توزیع و نشر هر نوع بدافزاری استفاده شود.

وی افزوده است: "علاوه بر اینها، Saint Bot از طیف گسترده ای از تکنیک هایی که هرچند بعضی از آنها بدیع نیستند، استفاده می کند؛ اما با توجه به ظاهر نسبتاً جدید آن، از سطح کارایی بالایی برخوردار است".

زنجیره آلودگی مورد تجزیه و تحلیل شرکت امنیتی سایبری با یک ایمیل فیشینگ حاوی یک فایل زیپ تعبیه شده ( با نام bitcoin.zip) که ادعا میکند کیف پول بیت کوین است، آغاز شده است. در حقیقت یک اسکریپت PowerShell است که تحت عنوان فایل میانبر .LNK قرار دارد. سپس این اسکریپت PowerShell بدافزار مرحله بعدی را که یک برنامه قابل اجرا با نام WindowsUpdate.exe است را بارگیری می کند، که به متعاقب خود باعث می شود دومین فایل قابل اجرا (InstallUtil.exe) که مسئولیت دانلود دو فایل اجرایی دیگر به نام های def.exe و putty.exe را بر عهده دارد، انجام بپذیرد.

takian.ir saint bot malware attack

 

در حالی که نسخه اول یک اسکریپت دسته ای است که مسئول غیرفعال کردن Windows Defender است، putty.exe حاوی حجم داده ای مخربی است که در نهایت به یک سرور command-and-control (C2) جهت بهره برداری اطلاعاتی بیشتر، متصل می شود.

سردرگمی و در هم پیچیدگی موجود در هر مرحله از آلودگی به بدافزار، همراه با تکنیک های ممانعت کننده از تجزیه، تحلیل و آنالیز توسط بدافزار، به اپراتورهای بدافزار امکان می دهد بدون جلب هرگونه توجه، از دستگاه هایی که این بدافزار روی آنها نصب شده است سوءاستفاده کنند.

علاوه بر انجام "بررسی های دفاع از خود" برای شناسایی وجود debugger یا یک محیط مجازی، Saint Bot به شکلی طراحی شده است که در رومانی و کشورهای مشترک المنافع (CIS)، شامل ارمنستان، بلاروس، قزاقستان، مولداوی، روسیه و اوکراین اجرا نشود.

لیست دستورات پشتیبانی شده توسط بدافزار شامل موارد زیر میباشد:

  • بارگیری و اجرای سایر داده های بازیابی شده از سرور C2
  • به روزرسانی بدافزار بات
  • حذف نصب بدافزار از دستگاه در معرض خطر

 

اگرچه این قابلیت ها بسیار کوچک به نظر می رسند، اما واقعیت این که Saint Bot به عنوان دانلود کننده سایر بدافزارها عمل می کند که طبیعتا آن را به اندازه کافی خطرناک می کند.

نکته جالب توجه اینکه داده های دریافتی، خود از فایل های میزبانی شده در Discord دریافت می شوند؛ در این تاکتیک که به طور فزاینده ای در میان مهاجمین سایبری و تهدیدکنندگان رایج شده است، از عملکردهای قانونی چنین سیستم عامل هایی برای ارتباطات C2 سوءاستفاده کرده، از محدودیت های امنیتی فرار می کنند و بدافزارها را وارد دستگاه مینمایند.

محققان از سیسکو تالوس در تحیلی در اوایل این هفته منتشر کردند اعلام نمودند: "وقتی فایل ها در Discord CDN بارگذاری و ذخیره می شوند، بدون نیاز به اینکه Discord نصب شده باشد یا خیر، می توان با استفاده از آدرس CDN کدگذاری شده توسط هر سیستم، به آنها دسترسی پیدا کرد". که این موضوع به طبع نرم افزارهایی مانند Discord و Slack را به اهدافی جذاب برای میزبانی محتواهای مخرب تبدیل کرده است.

الکساندرا دونیک اضافه کرد: "Saint Bot در اصل یک دانلود کننده دیگری است و به حد و اندازه SmokeLoader به تکامل نرسیده، اما کاملاً جدید است و در حال حاضر به طور فعال در حال توسعه میباشد. به نظر می رسد برنامه نویس آن از طراحی بدافزار آگاهی کامل دارد، که این نکته با  مشاهده طیف گسترده ای از تکنیک های به کار رفته قابل درک است. با این حال، تمام تکنیک های به کار رفته کاملاً شناخته شده و کاملاً استاندارد هستند و تاکنون خلاقیت زیادی از نشان نداده است".