IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

Check Point

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

APT جدیدی که احتمالا شهروندان ایرانی را هدف قرار داده است

به گزارش سایت ایفوسکیوریتی مگازین، پژوهشگران شرکت چکپوینت (Check Point) خبر از کشف یک عملیات نظارت بر تلفن همراه تحت حمایت دولت ایران دادند که شباهت بسیار زیادی  دارد به الگویعملیات‌هایقبلی کهتوسطدولتایرانعلیهافرادراه‌اندازی شده بود.Takian.ir Iranian APT Believed to Be Targeting Citizens

محققان یک حمله مبتنی بر تلفن همراه را کشف کرده‌اند که به گفته انها، شهروندان ایرانی را هدف قرار می‌دهد و از سال ۲۰۱۶ تحت پوشش رادارهای تشخیص قرار گرفته است. الگوهای حمله مشابه سایر حملات APT(تهدید دایمی پیشرفته ) ایران هستند، و محققان این کشف اخیر را " Domestic Kitten " نامیده‌اند که بااستفاده از "Rocket Kitten" و " Kitten Charming " به کار خود ادامه می‌دهند و گفته می‌شود که عبارت بچه‌گربه یا همان Kitten بازتاب سطح پایین احترام نسبت به روش‌های هک تلفن توسط گروه های هکری است.
این حمله از محتوای جعلی استفاده می‌کند تا اهداف خود را به دانلود برنامه‌های کاربردی تلفن همراه که مجهز به جاسوس افزار هستند ، جذب کند. بر طبق نظر محققان، برنامه‌های کاربردی تلفن همراه آندروید ازیک  تغییر دهنده Wallpaper با نام ISIS استفاده میکنند که ظاهرا حامیان سازمان تروریستی را هدف قرار می‌دهد.
علاوه بر این ، برنامه تلاش میکند که یک " بروزرسانی " تقلبی از سوی آژانس قانونی نیروی مبارزه با مواد مخدر کردستان را به منظور فریب اهداف با محتوای به ظاهر فریبنده ،نصب نماید. محتوای ارایه‌شده توسط این برنامه حاکی از آن است که اهداف گروه قومی کرد هستند. علاوه بر این، بازیگران این حمله از یک نسخه تقلبی از برنامه پیام‌رسانی Vidogram استفاده کرده‌اند.
این برنامه‌ها اطلاعات حساس را در مورد افراد مورد هدف جمع‌آوری می‌کنند ، جمع‌آوری داده‌ها از اهداف "تلفن همراه " که شامل لیست‌های تماس، سوابق تماس تلفنی، پیام‌های متنی، تاریخچه مرورگر وب و بوک مارها، اطلاعات مکانی از قربانی، عکس‌ها، ضبط صدا و چیزهای دیگر می‌شود.
گزارش‌ها حاکی از آن است که افرادی که شدیداً مورد هدف قرار گرفته‌اند، شامل بومیان کرد و ترک و حامیان داعش هستند. یکی از قوی‌ترین اشتراکات بین این حملات این است که اکثر ۲۴۰ نفر که شناسایی شده‌اند، شهروند ایرانی هستند.
در حالی که پژوهشگران عوامل دقیق پشت این حمله را شناسایی نکرده اند، آن‌ها از طریق مشاهدات خودمشخص کرده‌اند که ماهیت برنامه‌های کاربردی و زیرساخت حمله کار بازیگران ایرانی هستند.
محققان نوشته‌اند: "هدف چنین برنامه‌های نظارتی، افرادی و گروه‌هایی هستند که می‌تواند تهدیدی برای ثبات رژیم ایران باشد، و همچنین افراد و گروه های مورد حمایت دولت اسلامی عراق و شام واقلیت کرد که عمدتا در غرب ایران ساکن هستند."

این مطلب برگرفته از سایت اینفوسکیوریتی بوده و تاکیان هیچگونه نظر شخصی و تحقیقی در این مورد ندارد.

بدافزار Drees Code بعد از 16 ماه هنوز هم فعال است

به نقل از سایت arstechnica ، سال گذشته کمپانی امنیتی Check Point از کشف بدافزاری به نام DressCode خبر داد که از موبایل قربانی، یک بات نت ساخته و امکان کنترل آن را برای هکرها فراهم می کردTakian.ir - DressCODE malware.این بدافزار خود را در قالب اپلیکیشن های سالم و عمدتا کودکانه پنهان ساخته اما پس از نصب به سیستم عامل نفوذ کرده و از فعالیت های کاربر جاسوسی می کند. حتی در صورت نفوذ بیشتر بدافزار مذکور می تواند به شبکه های خصوصی کاربر نیز دسترسی پیدا کرده و اطلاعات مهم را برای خود ارسال کند.اکنون و پس از گذشت 16 ماه از شناسایی DressCode یک هکر ثابت کرده که این بدافزار کماکان به فعالیت خود ادامه داده و تاکنون حدود 4 میلیون دستگاه را آلوده ساخته است.آلوده شدن دستگاه های اندروید به این بدافزار بسیار خطرناک است چرا که با استفاده از پروتکل های SOCKS موبایل را مستقیما به هکرها متصل می کند. مهاجمان در ادامه می توانند به شبکه های خانگی یا اداری متصل شده و به دیگر کامپیوترها و سیستم های متصل نفوذ کنند.این هکر اعلام کرده است که مهاجمان از سیستم های آلوده برای اجرای تبلیغات کلیکی استفاده می کنند که سود سرشاری را نصیب آنها می کند.در حال حاضر لیست جدیدی از اپلیکیشن های آلوده به این بدافزار در گوگل پلی منتشر نشده اما بسیاری از اپ های آلوده کماکان در مارکت های شخص ثالث از قبیل APKPure در دسترس قرار دارند.سال گذشته تیم امنیت سایبری TrendLabs اعلام کرد که DressCode در بیش از 3 هزار اپلیکیشن تعبیه شده که حداقل 400 مورد از آنها در گوگل پلی منتشر شده اند. برای مثال می توان به GTA V برای بازی Minecraft: Pocket Edition اشاره کرد که در همان زمان بیش از پانصد هزار بار در گوگل پلی استور دانلود شده بود.چند ماه قبل نیز کمپانی سیمنتک اعلام کرد که بدافزار Sockbot در قالب اپلیکیشن هایی که اسکین های مختلف را برای کارکترهای بازی ماینکرفت ارائه می دهند روی دستگاه قربانی نصب شده و آن را به بات تبدیل می سازد.یکی از راه های معمول مقابله با این بدافزارها تحت کنترل درآوردن سرورهای اجرا کننده آنها است که Sinkholing نام دارد، با این حال مشخص نیست گوگل در این زمینه چه گام هایی را برداشته است، با این حال ارائه این شواهد از فعالیت DressCode کارایی راهکاری گوگل برای مقابله با بدافزارهایی از این دست را زیر سوال می برد.

سوءاستفاده از نرم افزار Exchange Server برای اجرای باج افزار DearCry

 

در حال حاضر، بیش از 80،000 سرور در معرض باج افزار DearCry قرار دارند. مایکروسافت نیز از مشتریان خود خواسته است تا وصله های صادر شده در هفته گذشته را نصب کنند.

هفته گذشته مایکروسافت فاش کرد که سرور Exchange Email این شرکت توسط هکرهای چینی هدف قرار گرفته است و پس از آن 30000 سازمان در سراسر جهان را در معرض خطر قرار داده است. این سازمان ها شامل سازمان بانکی اروپا (EBA) است که قبلاً تایید کرده است که هکرها در سیستم ایمیل آن نفوذ کرده بودند.

اکنون مایکروسافت عوامل تهاجمی جدیدی را شناسایی کرده است که باج افزار DearCry را بر روی سیستم هایی که به آخرین نسخه به روز نمی شوند، اجرا می کنند؛ به این معنی که سرور Exchange Email آنها هنوز بروزرسانی نشده و همچنان در معرض حمله است.

هشدارهای مایکروسافت درباره شاخه های دیگری از باج افزارDearCry

مایکروسافت هشداری را منتشر کرده است تا به کاربران Exchange در مورد آسیب های جدید باج افزار با نام DearCry هشدار دهد. براساس توئیتی که از طرف تیم امنیتی اطلاعاتی مایکروسافت منتشر شده است، هکرها برای قرار دادن باج افزار DearCry در سیستمها، سرورهای Exchange بروزرسانی ندشه موجود را هدف قرار داده اند.

به گفته مایکروسافت، هکرها به طور خاص سرورهایی را هدف قرار می دهند که هنوز در معرض چهار آسیب پذیری هستند که هکرهای حمایت شده از دولت چین از آنها سو استفاده کرده اند. توییت ذکر شده، به شرح زیر میباشد:

"ما خانواده جدیدی از باج افزارها را که پس از به خطر افتادن اولیه سرورهای Exchange بروزرسانی نشده و استفاده می شوند را شناسایی کرده و در حال حاضر آنها را مسدود کرده ایم. مایکروسافت در برابر این تهدید معروف به Ransom: Win32 / DoejoCrypt.A و همچنین DearCry محافظت می نماید".

هک سرور هافنیوم که قبلاً شناسایی شده بود، انگیزه جاسوسی داشتند. اما بالعکس، کمپانی ESET گزارش داده است که حداقل ده گروه هک تحت حمایت دولت در تلاشند تا از نقص های بروزرسانی نشده سرور Exchange سوءاستفاده کنند.

آنها شامل گروه Winniti ، Tick ، ​​Calypso ، LuckyMouse (APT27) است که قصد دارتد سرورهای Exchange را به خطر بیاندازد. در مقابل، حملات و تهاجم های تازه کشف شده به وضوح در راستای مقاصد مجرمانه پیش می روند.

کاربران سرورExchange، بروزرسانی ها را اعمال کنند

مایکروسافت همچنین با انتشار توییتی، از کاربران خواسته است تا بروزرسانی های اضطراری هفته گذشته خود را که بر سرورهای ایمیل داخلی Exchange تأثیر می گذارند، اعمال نمایند.

فیلیپ میسنر، از محققین مایکروسافت در توئیتر خود نوشت که مجرمان اینترنتی در تلاشند تا از نقایص سرور ProxyLogon Exchange  که به شدت مورد سوءاستفاده قرار گرفته است، برای نصب باج افزار DearCry استفاده کنند.

میسنر در توئیت خود نوشت: "حملات باج افزارهای که توسط کاربران انسانی و نه ربات مدیریت میشوند، از نقاط آسیب پذیر مایکروسافت Exchange برای سوءاستفاده از مشتریان بهره برداری می کنند".

این شرکت توییت کرد که کاربران مایکروسافت Defender که بروزرسانی خودکار را فعال کرده اند نیازی به اقدام ویژه ای ندارند، اما کاربران Exchange Server باید بلافاصله بروزرسانی های امنیتی را نصب نمایند.

توییت مایکروسافت

مشتریان Microsoft Defender که از بروزرسانی های خودکار استفاده می کنند برای دریافت این بروزرسانی های امنیتی، نیازی به اقدامات اضافی ندارند. مشتریان Exchange Server باید بروزرسانی های امنیتی را که در اینجا ذکر شده است، در اولویت قرار دهند. (امنیت اطلاعات مایکروسافت، 12 مارس سال 2021 میلادی)

حدود 80،000 سرور هنوز بروزرسانی نشده اند

باج افزار DearCry از رفع آسیب پذیری از طریق بروزرسانی ویندوز جلوگیری می کند و می تواند همه پرونده ها را رمزگذاری کرده و یک متن برای دریافت باج در دسکتاپ قربانی نمایش دهد. مایکروسافت یک بروزرسانی را برای جلوگیری از این آسیب، حدود ده روز پیش منتشر کرده است.

با این حال، به گفته مت کرانینگ، مدیر ارشد فناوری Palo Alto Networks، هنوز هم 80،000 سرور قدیمی بروزرسانی نشده اند. این نرخ برای هر سیستمی که به یک وصله امنیتی احتیاج دارد و به اندازه مایکروسافت Exchange بسیار پیچیده و گسترده است ، نرخ بالایی محسوب میگردد.

مت کرانینگ افزود: "در حال حاضر ما از سازمان هایی که همه نسخه های Exchange را اجرا می کنند، میخواهیم قبل از اینکه در معرض خطر قرار بگیرند، سیستم خود را بروزرسانی کنند؛ زیرا ما می دانیم که مهاجمان حداقل از دو ماه قبل از انتشار بروزرسانی مایکروسافت در 2 مارس ، از آسیب پذیری های روز صفر تا حد امکان سوءاستفاده می کردند".