یه گروه از محققها جزئیات بیش از 100 آسیبپذیری امنیتی رو منتشر کردن که روی پیادهسازیهای LTE و 5G تأثیر میذاره. این آسیبپذیریها میتونن توسط مهاجمان مورد سوءاستفاده قرار بگیرن تا دسترسی به خدمات رو مختل کنن و حتی به هسته شبکه سلولی نفوذ کنن.
این 119 آسیبپذیری که 97 تا از اونها شناسه CVE مخصوص به خودشون رو دارن، در هفت پیادهسازی LTE (شامل Open5GS، Magma، OpenAirInterface، Athonet، SD-Core، NextEPC، srsRAN) و سه پیادهسازی 5G (Open5GS، Magma، OpenAirInterface) کشف شدن. این یافتهها توسط محققان دانشگاه فلوریدا و دانشگاه ایالتی کارولینای شمالی گزارش شده.
این مطالعه با عنوان "RANsacked: A Domain-Informed Approach for Fuzzing LTE and 5G RAN-Core Interfaces" جزئیات این کشفها رو توضیح داده. از طرفی محقق ها گفتن:"هر کدوم از این 100 آسیبپذیری میتونه تمام ارتباطات سلولی (تماسها، پیامها و دادهها) رو تو سطح یه شهر کامل مختل کنه."
مهاجم میتونه با ارسال یه بسته داده کوچیک به شبکه، بدون نیاز به احراز هویت یا سیمکارت، بهطور مداوم بخشهای مدیریت تحرک (MME) یا مدیریت دسترسی و تحرک (AMF) رو تو شبکههای LTE/5G مختل کنه و باعث کرش کردن اونها بشه.
این آسیبپذیریها از طریق یه تمرین فازینگ (fuzzing) با نام RANsacked کشف شدن. این روش روی رابطهای بین شبکه دسترسی رادیویی (RAN) و هسته شبکه (Core) متمرکز بوده، جایی که این رابطها ورودیهایی مستقیم از دستگاههای موبایل و ایستگاههای پایه دریافت میکنن.
بسیاری از این آسیبپذیریها به مشکلاتی مثل سرریز بافر (buffer overflow) و خرابی حافظه مربوط میشن که میتونن برای نفوذ به هسته شبکه سلولی مورد استفاده قرار بگیرن. با این دسترسی، مهاجمان میتونن:
- اطلاعات مکان و اتصال تمام کاربران رو تو سطح شهر ردیابی کنن.
- حملات هدفمند روی کاربران خاص انجام بدن.
- اقدامات مخرب بیشتری روی خود شبکه انجام بدن.
این کشف نشون میده که چقدر پیادهسازیهای LTE و 5G در برابر حملات آسیبپذیر هستن و چه خطرات جدیای رو میتونن ایجاد کنن.
این باگهایی که پیدا شدن، به دو دسته کلی تقسیم میشن:
1. اونهایی که هر دستگاه موبایل بدون احراز هویت میتونه ازشون سوءاستفاده کنه.
2. اونهایی که مهاجم میتونه با نفوذ به یک ایستگاه پایه یا فمتوسل (femtocell) ازشون استفاده کنه.
از بین ۱۱۹ آسیبپذیری کشفشده:
- ۷۹ مورد در پیادهسازیهای MME پیدا شده.
- ۳۶ مورد در پیادهسازیهای AMF.
- ۴ مورد هم در پیادهسازیهای SGW.
همچنین ۲۵ مورد از این مشکلات به حملات Non-Access Stratum (NAS) مربوط میشن که میتونن توسط هر گوشی موبایل دلخواهی انجام بشن.
تحقیق اشاره میکنه که معرفی فمتوسلهای خانگی و ایستگاههای gNodeB در 5G که به راحتی در دسترس هستن، شرایط امنیتی رو تغییر داده. تجهیزاتی که قبلاً بهصورت فیزیکی ایمن بودن، حالا در معرض تهدیدهای فیزیکی قرار گرفتن.
این 119 آسیبپذیری که 97 تا از اونها شناسه CVE مخصوص به خودشون رو دارن، در هفت پیادهسازی LTE (شامل Open5GS، Magma، OpenAirInterface، Athonet، SD-Core، NextEPC، srsRAN) و سه پیادهسازی 5G (Open5GS، Magma، OpenAirInterface) کشف شدن. این یافتهها توسط محققان دانشگاه فلوریدا و دانشگاه ایالتی کارولینای شمالی گزارش شده.
این مطالعه با عنوان "RANsacked: A Domain-Informed Approach for Fuzzing LTE and 5G RAN-Core Interfaces" جزئیات این کشفها رو توضیح داده. از طرفی محقق ها گفتن:"هر کدوم از این 100 آسیبپذیری میتونه تمام ارتباطات سلولی (تماسها، پیامها و دادهها) رو تو سطح یه شهر کامل مختل کنه."
مهاجم میتونه با ارسال یه بسته داده کوچیک به شبکه، بدون نیاز به احراز هویت یا سیمکارت، بهطور مداوم بخشهای مدیریت تحرک (MME) یا مدیریت دسترسی و تحرک (AMF) رو تو شبکههای LTE/5G مختل کنه و باعث کرش کردن اونها بشه.
این آسیبپذیریها از طریق یه تمرین فازینگ (fuzzing) با نام RANsacked کشف شدن. این روش روی رابطهای بین شبکه دسترسی رادیویی (RAN) و هسته شبکه (Core) متمرکز بوده، جایی که این رابطها ورودیهایی مستقیم از دستگاههای موبایل و ایستگاههای پایه دریافت میکنن.
بسیاری از این آسیبپذیریها به مشکلاتی مثل سرریز بافر (buffer overflow) و خرابی حافظه مربوط میشن که میتونن برای نفوذ به هسته شبکه سلولی مورد استفاده قرار بگیرن. با این دسترسی، مهاجمان میتونن:
- اطلاعات مکان و اتصال تمام کاربران رو تو سطح شهر ردیابی کنن.
- حملات هدفمند روی کاربران خاص انجام بدن.
- اقدامات مخرب بیشتری روی خود شبکه انجام بدن.
این کشف نشون میده که چقدر پیادهسازیهای LTE و 5G در برابر حملات آسیبپذیر هستن و چه خطرات جدیای رو میتونن ایجاد کنن.
این باگهایی که پیدا شدن، به دو دسته کلی تقسیم میشن:
1. اونهایی که هر دستگاه موبایل بدون احراز هویت میتونه ازشون سوءاستفاده کنه.
2. اونهایی که مهاجم میتونه با نفوذ به یک ایستگاه پایه یا فمتوسل (femtocell) ازشون استفاده کنه.
از بین ۱۱۹ آسیبپذیری کشفشده:
- ۷۹ مورد در پیادهسازیهای MME پیدا شده.
- ۳۶ مورد در پیادهسازیهای AMF.
- ۴ مورد هم در پیادهسازیهای SGW.
همچنین ۲۵ مورد از این مشکلات به حملات Non-Access Stratum (NAS) مربوط میشن که میتونن توسط هر گوشی موبایل دلخواهی انجام بشن.
تحقیق اشاره میکنه که معرفی فمتوسلهای خانگی و ایستگاههای gNodeB در 5G که به راحتی در دسترس هستن، شرایط امنیتی رو تغییر داده. تجهیزاتی که قبلاً بهصورت فیزیکی ایمن بودن، حالا در معرض تهدیدهای فیزیکی قرار گرفتن.
👍4🌭1
یه مشکل امنیتی جدی توی فریمورک مدل زبانی بزرگ لاما (Llama) از متا پیدا شده که اگه درست ازش سوءاستفاده بشه، میتونه به هکر اجازه بده هر کدی که میخواد روی سرور لاما-استک اجرا کنه.
این باگ که با کد CVE-2024-50050 شناخته میشه، یه امتیاز 6.3 از 10 توی سیستم CVSS گرفته. البته شرکت امنیت زنجیره تأمین Snyk بهش نمره بحرانی 9.3 داده.
طبق گفته «آوی لوملسکی»، محقق امنیتی Oligo Security: «نسخههای آسیبپذیر meta-llama مشکل سریالسازی دادههای غیرقابل اعتماد دارن، یعنی یه مهاجم میتونه با فرستادن دادههای مخرب که سریالسازی شدن، هر کدی که بخواد اجرا کنه.»
این نقص، طبق گفته یه شرکت امنیت ابری، توی یه بخش به اسم Llama Stack قرار داره که یه سری رابطهای API برای توسعه اپلیکیشنهای هوش مصنوعی (AI) ارائه میده، از جمله استفاده از مدلهای خودِ لامای متا.
مشکل دقیقاً مربوط میشه به یه باگ اجرای کد از راه دور توی API استنتاج پایتون. این باگ اشیای پایتون رو با استفاده از کتابخونه pickle به صورت خودکار سریالسازی میکنه؛ روشی که به خاطر خطر اجرای کد مخرب یا غیرقابل اعتماد، پرریسک شناخته شده.
لوملسکی گفته : «توی سناریوهایی که سوکت ZeroMQ روی شبکه در دسترس باشه، هکرها میتونن از این آسیبپذیری سوءاستفاده کنن و اشیای مخرب دستکاریشده رو به سوکت بفرستن. از اونجایی که تابع recv_pyobj این اشیا رو باز میکنه (unpickle)، مهاجم میتونه روی سیستم میزبان اجرای کد دلخواه (RCE) انجام بده.»
بعد از اطلاعرسانی مسئولانه توی تاریخ ۲۴ سپتامبر ۲۰۲۴، متا این مشکل رو در نسخه 0.0.41 که در تاریخ ۱۰ اکتبر منتشر شد، برطرف کرد. این مشکل همچنین توی کتابخونه pyzmq، که برای دسترسی به کتابخونه پیامرسانی ZeroMQ در پایتون استفاده میشه، حل شده.
متا در یک اطلاعیه اعلام کرد که برای رفع خطر اجرای کد از راه دور مربوط به استفاده از pickle بهعنوان فرمت سریالسازی در ارتباطات سوکت، این فرمت رو به JSON تغییر داده.
این اولین بار نیست که چنین آسیبپذیریهایی توی فریمورکهای هوش مصنوعی پیدا میشه. در آگوست ۲۰۲۴، شرکت Oligo یه «آسیبپذیری پنهان» در فریمورک Keras مربوط به TensorFlow رو شناسایی کرد. این نقص، که نوعی دور زدن CVE-2024-3660 با امتیاز CVSS 9.8 بود، به خاطر استفاده از ماژول ناامن marshal میتونست باعث اجرای کد دلخواه بشه.
این ماجرا زمانی پیش اومد که بنجامین فلش، محقق امنیتی، یه مشکل با شدت بالا رو توی کراولر ChatGPT اوپنایآی کشف کرد. این مشکل میتونه برای راهاندازی حملات DDoS به سایتهای دلخواه استفاده بشه.
مسئله از مدیریت نادرست درخواستهای HTTP POST به API "chatgpt.com/backend-api/attributions" ناشی میشه. این API برای گرفتن لیستی از URLها طراحی شده، اما نه بررسی میکنه که آیا یه URL چند بار توی لیست تکرار شده، نه محدودیتی روی تعداد لینکهایی که میشه ارسال کرد اعمال میکنه.
بیاین یه سناریو رو درنظر بگیریم :
یه مهاجم میتونه هزاران لینک رو توی یه درخواست HTTP ارسال کنه. این باعث میشه اوپنایآی تمام اون درخواستها رو به سایت قربانی بفرسته، بدون اینکه تعداد اتصالها رو محدود کنه یا از ارسال درخواستهای تکراری جلوگیری کنه.
بسته به تعداد لینکهایی که به اوپنایآی فرستاده میشه، این نقص میتونه باعث تقویت شدید حمله DDoS بشه و منابع سایت هدف رو از دسترس خارج کنه. اوپنایآی این مشکل رو رفع کرده.
فلش گفته: «کراولر ChatGPT میتونه با یه درخواست HTTP به یه API نامرتبط ChatGPT برای حمله DDoS به یه سایت قربانی تحریک بشه. این نقص تو نرمافزار اوپنایآی باعث میشه یه حمله DDoS به یه سایت بیخبر انجام بشه، با استفاده از چندین رنج IP متعلق به مایکروسافت آژور که کراولر ChatGPT روی اونها اجرا میشه.»
یه گزارش از Truffle Security هم منتشر شده که میگه دستیارهای کدنویسی مجهز به هوش مصنوعی، مثل ChatGPT، گاهی پیشنهاد میکنن که "کلیدهای API و پسوردها رو بهصورت هاردکد شده" توی پروژهها بذارین. این پیشنهاد خطرناکه و ممکنه برنامهنویسای تازهکار رو گمراه کنه و باعث بشه توی پروژههاشون ضعف امنیتی ایجاد کنن.
جو لئون، محقق امنیتی، گفته: «این مدلهای زبانی بزرگ (LLMs) دارن به ترویج این عادت بد کمک میکنن، احتمالاً به این دلیل که روی دادههایی آموزش دیدن که پر از روشهای ناامن برنامهنویسی بوده.»
خبرهای مربوط به آسیبپذیریهای فریمورکهای LLM همچنین همراه با تحقیقاتی منتشر شده که نشون میده چطور میشه از این مدلها برای تقویت چرخه حملات سایبری استفاده کرد.
این باگ که با کد CVE-2024-50050 شناخته میشه، یه امتیاز 6.3 از 10 توی سیستم CVSS گرفته. البته شرکت امنیت زنجیره تأمین Snyk بهش نمره بحرانی 9.3 داده.
طبق گفته «آوی لوملسکی»، محقق امنیتی Oligo Security: «نسخههای آسیبپذیر meta-llama مشکل سریالسازی دادههای غیرقابل اعتماد دارن، یعنی یه مهاجم میتونه با فرستادن دادههای مخرب که سریالسازی شدن، هر کدی که بخواد اجرا کنه.»
این نقص، طبق گفته یه شرکت امنیت ابری، توی یه بخش به اسم Llama Stack قرار داره که یه سری رابطهای API برای توسعه اپلیکیشنهای هوش مصنوعی (AI) ارائه میده، از جمله استفاده از مدلهای خودِ لامای متا.
مشکل دقیقاً مربوط میشه به یه باگ اجرای کد از راه دور توی API استنتاج پایتون. این باگ اشیای پایتون رو با استفاده از کتابخونه pickle به صورت خودکار سریالسازی میکنه؛ روشی که به خاطر خطر اجرای کد مخرب یا غیرقابل اعتماد، پرریسک شناخته شده.
لوملسکی گفته : «توی سناریوهایی که سوکت ZeroMQ روی شبکه در دسترس باشه، هکرها میتونن از این آسیبپذیری سوءاستفاده کنن و اشیای مخرب دستکاریشده رو به سوکت بفرستن. از اونجایی که تابع recv_pyobj این اشیا رو باز میکنه (unpickle)، مهاجم میتونه روی سیستم میزبان اجرای کد دلخواه (RCE) انجام بده.»
بعد از اطلاعرسانی مسئولانه توی تاریخ ۲۴ سپتامبر ۲۰۲۴، متا این مشکل رو در نسخه 0.0.41 که در تاریخ ۱۰ اکتبر منتشر شد، برطرف کرد. این مشکل همچنین توی کتابخونه pyzmq، که برای دسترسی به کتابخونه پیامرسانی ZeroMQ در پایتون استفاده میشه، حل شده.
متا در یک اطلاعیه اعلام کرد که برای رفع خطر اجرای کد از راه دور مربوط به استفاده از pickle بهعنوان فرمت سریالسازی در ارتباطات سوکت، این فرمت رو به JSON تغییر داده.
این اولین بار نیست که چنین آسیبپذیریهایی توی فریمورکهای هوش مصنوعی پیدا میشه. در آگوست ۲۰۲۴، شرکت Oligo یه «آسیبپذیری پنهان» در فریمورک Keras مربوط به TensorFlow رو شناسایی کرد. این نقص، که نوعی دور زدن CVE-2024-3660 با امتیاز CVSS 9.8 بود، به خاطر استفاده از ماژول ناامن marshal میتونست باعث اجرای کد دلخواه بشه.
این ماجرا زمانی پیش اومد که بنجامین فلش، محقق امنیتی، یه مشکل با شدت بالا رو توی کراولر ChatGPT اوپنایآی کشف کرد. این مشکل میتونه برای راهاندازی حملات DDoS به سایتهای دلخواه استفاده بشه.
مسئله از مدیریت نادرست درخواستهای HTTP POST به API "chatgpt.com/backend-api/attributions" ناشی میشه. این API برای گرفتن لیستی از URLها طراحی شده، اما نه بررسی میکنه که آیا یه URL چند بار توی لیست تکرار شده، نه محدودیتی روی تعداد لینکهایی که میشه ارسال کرد اعمال میکنه.
بیاین یه سناریو رو درنظر بگیریم :
یه مهاجم میتونه هزاران لینک رو توی یه درخواست HTTP ارسال کنه. این باعث میشه اوپنایآی تمام اون درخواستها رو به سایت قربانی بفرسته، بدون اینکه تعداد اتصالها رو محدود کنه یا از ارسال درخواستهای تکراری جلوگیری کنه.
بسته به تعداد لینکهایی که به اوپنایآی فرستاده میشه، این نقص میتونه باعث تقویت شدید حمله DDoS بشه و منابع سایت هدف رو از دسترس خارج کنه. اوپنایآی این مشکل رو رفع کرده.
فلش گفته: «کراولر ChatGPT میتونه با یه درخواست HTTP به یه API نامرتبط ChatGPT برای حمله DDoS به یه سایت قربانی تحریک بشه. این نقص تو نرمافزار اوپنایآی باعث میشه یه حمله DDoS به یه سایت بیخبر انجام بشه، با استفاده از چندین رنج IP متعلق به مایکروسافت آژور که کراولر ChatGPT روی اونها اجرا میشه.»
یه گزارش از Truffle Security هم منتشر شده که میگه دستیارهای کدنویسی مجهز به هوش مصنوعی، مثل ChatGPT، گاهی پیشنهاد میکنن که "کلیدهای API و پسوردها رو بهصورت هاردکد شده" توی پروژهها بذارین. این پیشنهاد خطرناکه و ممکنه برنامهنویسای تازهکار رو گمراه کنه و باعث بشه توی پروژههاشون ضعف امنیتی ایجاد کنن.
جو لئون، محقق امنیتی، گفته: «این مدلهای زبانی بزرگ (LLMs) دارن به ترویج این عادت بد کمک میکنن، احتمالاً به این دلیل که روی دادههایی آموزش دیدن که پر از روشهای ناامن برنامهنویسی بوده.»
خبرهای مربوط به آسیبپذیریهای فریمورکهای LLM همچنین همراه با تحقیقاتی منتشر شده که نشون میده چطور میشه از این مدلها برای تقویت چرخه حملات سایبری استفاده کرد.
در ادامه :
مارک وایتزمن، محقق Deep Instinct گفته: «تهدیدات سایبری مرتبط با مدلهای زبانی بزرگ (LLMs) یه انقلاب نیستن، بلکه یه تکامل هستن. چیز جدیدی اینجا نیست؛ LLMها فقط تهدیدات سایبری رو بهتر، سریعتر و دقیقتر و در مقیاس بزرگتر میکنن. با هدایت یه مهاجم باتجربه، میشه LLMها رو توی تمام مراحل چرخه حمله سایبری بهکار برد. این قابلیتها احتمالاً با پیشرفت تکنولوژی پایهایشون، خودمختارتر هم میشن.»
تحقیقات اخیر یه روش جدید به نام ShadowGenes رو نشون داده که میتونه برای شناسایی شجره مدلها، شامل معماری، نوع و خانوادهشون، از نمودار محاسباتی مدل استفاده کنه. این روش بر اساس یه تکنیک حمله قبلی به نامShadowLogic ساخته شده.
شرکت امنیتی HiddenLayer گفته: «امضاهایی که برای شناسایی حملات مخرب در نمودار محاسباتی استفاده میشن، میتونن برای ردیابی و شناسایی الگوهای تکراری، به نام زیرگرافهای تکراری ، تطبیق داده بشن و به این شکل، شجره معماری مدل رو مشخص کنن.»
HiddenLayer اضافه کرده: «درک خانواده مدلهایی که توی سازمانتون استفاده میشه، آگاهی کلی شما از زیرساخت هوش مصنوعیتون رو افزایش میده و به مدیریت بهتر وضعیت امنیتی کمک میکنه.»
مارک وایتزمن، محقق Deep Instinct گفته: «تهدیدات سایبری مرتبط با مدلهای زبانی بزرگ (LLMs) یه انقلاب نیستن، بلکه یه تکامل هستن. چیز جدیدی اینجا نیست؛ LLMها فقط تهدیدات سایبری رو بهتر، سریعتر و دقیقتر و در مقیاس بزرگتر میکنن. با هدایت یه مهاجم باتجربه، میشه LLMها رو توی تمام مراحل چرخه حمله سایبری بهکار برد. این قابلیتها احتمالاً با پیشرفت تکنولوژی پایهایشون، خودمختارتر هم میشن.»
تحقیقات اخیر یه روش جدید به نام ShadowGenes رو نشون داده که میتونه برای شناسایی شجره مدلها، شامل معماری، نوع و خانوادهشون، از نمودار محاسباتی مدل استفاده کنه. این روش بر اساس یه تکنیک حمله قبلی به نامShadowLogic ساخته شده.
شرکت امنیتی HiddenLayer گفته: «امضاهایی که برای شناسایی حملات مخرب در نمودار محاسباتی استفاده میشن، میتونن برای ردیابی و شناسایی الگوهای تکراری، به نام زیرگرافهای تکراری ، تطبیق داده بشن و به این شکل، شجره معماری مدل رو مشخص کنن.»
HiddenLayer اضافه کرده: «درک خانواده مدلهایی که توی سازمانتون استفاده میشه، آگاهی کلی شما از زیرساخت هوش مصنوعیتون رو افزایش میده و به مدیریت بهتر وضعیت امنیتی کمک میکنه.»
بخش قابل توجهی از ffmpeg با اسمبلی نوشته شده؛ حالا سازنده هاش تصمیم گرفتن این اسمبلی رو توی قالب آموزش در بیارن تا امروز سه قسمت منتشر شده اگه خواستین همراه باهاشون میتونین یادگیری رو شروع کنید :
https://github.com/FFmpeg/asm-lessons
@Linuxor
https://github.com/FFmpeg/asm-lessons
@Linuxor
GitHub
GitHub - FFmpeg/asm-lessons: FFmpeg Assembly Language Lessons
FFmpeg Assembly Language Lessons. Contribute to FFmpeg/asm-lessons development by creating an account on GitHub.
🔥7
گروه لازاروس که مربوط به کره شمالیه، یه پنل مدیریتی تحت وب برای کنترل سرورهای C2 خودشون راه انداختن. این کار بهشون اجازه میده که از یه جای مشخص، همهی عملیاتشون رو مدیریت کنن.
طبق گزارش تیم STRIKE از SecurityScorecard، هر سرور C2 یه پنل مدیریتی تحت وب داشته که با react و Node.js API ساخته شده. این پنل توی همهی سرورهایی که بررسی شده بودن، یه مدل بود، حتی وقتی که هکرها برای رد گم کردن، نوع بدافزارها و روشهای رمزگذاریشون رو تغییر میدادن.
این سیستم در واقع یه مرکز کنترل کامل برای مدیریت دادههای دزدیدهشده، زیر نظر گرفتن سیستمهای هکشده و پخش کردن بدافزارهاست.
این پنل توی یه حمله زنجیرهای به اسم "عملیات مدار فانتوم" کشف شده. این حمله توسعهدهندههای نرمافزار و شرکتهای حوزهی ارز دیجیتال رو هدف گرفته و با دستکاری نرمافزارهای قانونی، یه سری Backdoor توشون کار گذاشته.
این حمله بین سپتامبر ۲۰۲۴ تا ژانویه ۲۰۲۵ انجام شده و ۲۳۳ قربانی توی نقاط مختلف دنیا داشته. بیشترین تعداد قربانیها توی برزیل، فرانسه و هند بودن. فقط توی ژانویه ۲۰۲۵، این گروه تونسته ۱۱۰ نفر رو توی هند آلوده کنه.
لازاروس توی مهندسی اجتماعی خوب عمل کرده واونها توی لینکدین به بهانه پیشنهادهای کاری جذاب یا همکاری روی پروژههای ارز دیجیتال آدمها رو به دام میندازن.
چند تا نشونه، این حمله رو به کره شمالی وصل کرده:
- استفاده از Astrill VPN ، که قبلاً هم توی کلاهبرداریهای مربوط به نیروهای فناوری اطلاعات کره شمالی دیده شده بود.
- پیدا شدن ۶ تا آدرس IP کره شمالی که از طریق خروجیهای Astrill VPN و Oculus Proxy به شبکه وصل شده بودن.
دادههای رمزگذاریشده در نهایت به سرورهای C2 رسیدن که روی سرورهای "Stark Industries" میزبانی میشدن. این سرورها مسئول پخش بدافزار، مدیریت قربانیها و دزدیدن اطلاعات بودن.
بررسی دقیقتر بخش مدیریتی نشون داده که هکرها از طریق این سیستم میتونستن دادههای دزدیدهشدهی قربانیها رو ببینن، جستجو کنن و فیلتر کنن تا اطلاعات مورد نظرشون رو راحتتر پیدا کنن.
شرکت SecurityScorecard گفت:
"لازاروس با کاشتن درهای پشتی مخفی توی نرمافزارهای قانونی، کاربرا رو گول زد تا این برنامههای آلوده رو اجرا کنن. این کار به هکرها اجازه میداد که اطلاعات حساس رو بدزدن و از طریق سرورهای C2 روی پورت 1224، قربانیها رو کنترل کنن."
زیرساخت این حمله از یه پنل مدیریتی تحت وبِ مخفی (ساختهشده با React) و یه API مبتنی بر Node.js استفاده میکرد تا تمام دادههای دزدیدهشده رو از یه جا مدیریت کنه. این حمله روی بیش از ۲۳۳ نفر در سراسر دنیا تأثیر گذاشته و اطلاعاتی که از قربانیها استخراج شده، از طریق یه شبکهی چندلایهای متشکل از ویپیانهای Astrill و پروکسیهای واسط، مستقیم به پیونگیانگ، کره شمالی فرستاده شده!
طبق گزارش تیم STRIKE از SecurityScorecard، هر سرور C2 یه پنل مدیریتی تحت وب داشته که با react و Node.js API ساخته شده. این پنل توی همهی سرورهایی که بررسی شده بودن، یه مدل بود، حتی وقتی که هکرها برای رد گم کردن، نوع بدافزارها و روشهای رمزگذاریشون رو تغییر میدادن.
این سیستم در واقع یه مرکز کنترل کامل برای مدیریت دادههای دزدیدهشده، زیر نظر گرفتن سیستمهای هکشده و پخش کردن بدافزارهاست.
این پنل توی یه حمله زنجیرهای به اسم "عملیات مدار فانتوم" کشف شده. این حمله توسعهدهندههای نرمافزار و شرکتهای حوزهی ارز دیجیتال رو هدف گرفته و با دستکاری نرمافزارهای قانونی، یه سری Backdoor توشون کار گذاشته.
این حمله بین سپتامبر ۲۰۲۴ تا ژانویه ۲۰۲۵ انجام شده و ۲۳۳ قربانی توی نقاط مختلف دنیا داشته. بیشترین تعداد قربانیها توی برزیل، فرانسه و هند بودن. فقط توی ژانویه ۲۰۲۵، این گروه تونسته ۱۱۰ نفر رو توی هند آلوده کنه.
لازاروس توی مهندسی اجتماعی خوب عمل کرده واونها توی لینکدین به بهانه پیشنهادهای کاری جذاب یا همکاری روی پروژههای ارز دیجیتال آدمها رو به دام میندازن.
چند تا نشونه، این حمله رو به کره شمالی وصل کرده:
- استفاده از Astrill VPN ، که قبلاً هم توی کلاهبرداریهای مربوط به نیروهای فناوری اطلاعات کره شمالی دیده شده بود.
- پیدا شدن ۶ تا آدرس IP کره شمالی که از طریق خروجیهای Astrill VPN و Oculus Proxy به شبکه وصل شده بودن.
دادههای رمزگذاریشده در نهایت به سرورهای C2 رسیدن که روی سرورهای "Stark Industries" میزبانی میشدن. این سرورها مسئول پخش بدافزار، مدیریت قربانیها و دزدیدن اطلاعات بودن.
بررسی دقیقتر بخش مدیریتی نشون داده که هکرها از طریق این سیستم میتونستن دادههای دزدیدهشدهی قربانیها رو ببینن، جستجو کنن و فیلتر کنن تا اطلاعات مورد نظرشون رو راحتتر پیدا کنن.
شرکت SecurityScorecard گفت:
"لازاروس با کاشتن درهای پشتی مخفی توی نرمافزارهای قانونی، کاربرا رو گول زد تا این برنامههای آلوده رو اجرا کنن. این کار به هکرها اجازه میداد که اطلاعات حساس رو بدزدن و از طریق سرورهای C2 روی پورت 1224، قربانیها رو کنترل کنن."
زیرساخت این حمله از یه پنل مدیریتی تحت وبِ مخفی (ساختهشده با React) و یه API مبتنی بر Node.js استفاده میکرد تا تمام دادههای دزدیدهشده رو از یه جا مدیریت کنه. این حمله روی بیش از ۲۳۳ نفر در سراسر دنیا تأثیر گذاشته و اطلاعاتی که از قربانیها استخراج شده، از طریق یه شبکهی چندلایهای متشکل از ویپیانهای Astrill و پروکسیهای واسط، مستقیم به پیونگیانگ، کره شمالی فرستاده شده!
👍3👎1
یه تیم از محققای امنیتی از دانشگاه جورجیا تک و دانشگاه روهر بوخوم تونستن دو حملهی جدید از نوع ساید چنل روی پردازندههای اپل سیلیکون پیدا کنن که میتونه برای دزدیدن اطلاعات حساس از مرورگرهایی مثل سافاری و کروم استفاده بشه.
این حملهها اسمهای SLAP (دستکاری داده از طریق پیشبینی آدرس بارگذاری) و FLOP (دور زدن پردازندهی M3 اپل از طریق پیشبینی غلط خروجی بارگذاری) رو گرفتن. اپل توی مه ۲۰۲۴ و سپتامبر ۲۰۲۴ در جریان این مشکلات قرار گرفته.
این آسیبپذیریها، مثل حملهی قبلی iLeakage ، به نوعی ادامهی حملهی Spectre هستن. این حملات وقتی اتفاق میافتن که speculative execution توی پردازنده به مشکل میخوره و ردپای اشتباهاتش توی حافظه کش و وضعیت میکرومعماری CPU باقی میمونه.
پردازندههای مدرن برای اینکه سریعتر کار کنن، از یه ترفند استفاده میکنن به اسم اجرای حدسی . یعنی حدس میزنن که قراره کدوم مسیر پردازشی رو برن و قبل از اینکه واقعاً به اونجا برسن، یه سری دستورات رو جلو جلو اجرا میکنن.
حالا اگه پردازنده حدسش اشتباه باشه، نتایج اون دستورات موقتی رو پاک میکنه و همه چیز رو برمیگردونه به حالت قبل.
اما نکته اینجاست که این اجراهای حدسی ردپاهایی توی پردازنده و حافظهی کش باقی میذارن، و هکرها میتونن از همین ردپاها استفاده کنن تا پردازنده رو مجبور کنن که یه سری محاسبات اشتباه انجام بده و بعد از طریق یه ساید چنل، اطلاعات حساس رو استخراج کنن ، حتی بعد از اینکه پردازنده همه چیز رو ریست کرده.
محققها توی بررسیشون فهمیدن که پردازندههای جدید اپل حتی از اینم جلوتر رفتن ... یعنی نهتنها حدس میزنن که کدوم مسیر پردازشی رو برن، بلکه حدس میزنن که قراره روی چه دادهای کار کنن ، حتی اگه اون داده هنوز از حافظه خونده نشده باشه...
برخلاف حملهی Spectre ، اینجا پردازنده مستقیماً یه دستور اشتباه رو اجرا نمیکنه، بلکه داده اشتباهی رو توی محاسبات استفاده میکنه . اما محققها نشون دادن که اگه این تکنیک رو با روشهای غیرمستقیم ترکیب کنیم، میشه دستورات اشتباه هم اجرا کرد.
حملهی SLAP که روی چیپهای M2، A15 و جدیدتر تأثیر میذاره، یه بخش از پردازنده به اسم Load Address Predictor (LAP) رو هدف قرار میده. این سیستم قراره حدس بزنه که پردازنده توی آینده از کدوم آدرس حافظه، داده بخونه.
اما اگه این حدس اشتباه باشه، پردازنده ممکنه روی یه سری داده اشتباه، یه عالمه محاسبه انجام بده و این راه رو برای حمله باز میکنه. به این ترتیب، یه هکر میتونه محتوای ایمیلهای یه کاربر لاگینشده رو بخونه یا تاریخچهی وبگردیش رو از سافاری دربیاره!
حملهی FLOP روی چیپهای M3، M4 و A17 کار میکنه و یه بخش دیگه از پردازنده به اسم Load Value Predictor (LVP) رو هدف میگیره. این سیستم قراره حدس بزنه که دفعه بعد که پردازنده به حافظه دسترسی پیدا کرد، چه مقداری برمیگرده.
اما FLOP باعث میشه که یه سری چکهای امنیتی مهم توی برنامهها دور زده بشه و این یعنی هکرها میتونن دادههای حساس داخل حافظه رو بخونن. طبق بررسیها، این حمله میتونه اطلاعاتی مثل لوکیشن کاربر، رویدادهای تقویم و حتی اطلاعات کارت بانکی رو از مرورگرهای سافاری و کروم استخراج کنه!
یه افشاگری میاد درست دو ماه بعد از کشف یه حمله دیگه به اسم SysBumps ، که مربوط به دور زدن مکانیزم KASLR در macOS روی چیپهای اپل سیلیکون بود. این نشون میده که پردازندههای اپل، مخصوصاً مدلهای جدیدتر، آسیبپذیریهای جدی توی بخشهای امنیتی دارن.
سه تا محقق که کاری به اسمشونم نداریم اومدن توضیح دادن که با استفاده از تکنیکهای مشابه Spectre توی سیسکالها، یه هکر بدون دسترسی روت میتونه آدرسهای کرنل رو که خودش انتخاب کرده، ترجمه کنه. این کار باعث میشه که TLB (حافظه کش آدرسها) بر اساس درستی یا غلط بودن اون آدرس تغییر کنه. نتیجهی این کار چیه؟ دور زدن مکانیزم امنیتی KASLR و شکستن ایزولهسازی کرنل!
یه تحقیق دیگه نشون داده که با ترکیب چند حمله ساید چنل، میشه محدودیتهای حمله به کرنل رو دور زد. نکته جالب اینجاست که ویژگیای که باعث شده سیستمهای امنیتی در برابر کانالهای جانبی مقاومتر بشن، خودش یه راه جدید برای حمله باز کرده!
یکی از این حملهها TagBleed نام داره، که از TLBهای تَگدار سوءاستفاده میکنه. این سیستم قراره آدرسهای کرنل و یوزر رو از هم جدا نگه داره، اما همین جداسازی یه ردپا باقی میذاره که میشه ازش برای شکستن KASLR استفاده کرد، حتی توی پردازندههای جدید که به بهترین شکل در برابر این نوع حملات مقاوم شدن.
این حملهها اسمهای SLAP (دستکاری داده از طریق پیشبینی آدرس بارگذاری) و FLOP (دور زدن پردازندهی M3 اپل از طریق پیشبینی غلط خروجی بارگذاری) رو گرفتن. اپل توی مه ۲۰۲۴ و سپتامبر ۲۰۲۴ در جریان این مشکلات قرار گرفته.
این آسیبپذیریها، مثل حملهی قبلی iLeakage ، به نوعی ادامهی حملهی Spectre هستن. این حملات وقتی اتفاق میافتن که speculative execution توی پردازنده به مشکل میخوره و ردپای اشتباهاتش توی حافظه کش و وضعیت میکرومعماری CPU باقی میمونه.
پردازندههای مدرن برای اینکه سریعتر کار کنن، از یه ترفند استفاده میکنن به اسم اجرای حدسی . یعنی حدس میزنن که قراره کدوم مسیر پردازشی رو برن و قبل از اینکه واقعاً به اونجا برسن، یه سری دستورات رو جلو جلو اجرا میکنن.
حالا اگه پردازنده حدسش اشتباه باشه، نتایج اون دستورات موقتی رو پاک میکنه و همه چیز رو برمیگردونه به حالت قبل.
اما نکته اینجاست که این اجراهای حدسی ردپاهایی توی پردازنده و حافظهی کش باقی میذارن، و هکرها میتونن از همین ردپاها استفاده کنن تا پردازنده رو مجبور کنن که یه سری محاسبات اشتباه انجام بده و بعد از طریق یه ساید چنل، اطلاعات حساس رو استخراج کنن ، حتی بعد از اینکه پردازنده همه چیز رو ریست کرده.
محققها توی بررسیشون فهمیدن که پردازندههای جدید اپل حتی از اینم جلوتر رفتن ... یعنی نهتنها حدس میزنن که کدوم مسیر پردازشی رو برن، بلکه حدس میزنن که قراره روی چه دادهای کار کنن ، حتی اگه اون داده هنوز از حافظه خونده نشده باشه...
برخلاف حملهی Spectre ، اینجا پردازنده مستقیماً یه دستور اشتباه رو اجرا نمیکنه، بلکه داده اشتباهی رو توی محاسبات استفاده میکنه . اما محققها نشون دادن که اگه این تکنیک رو با روشهای غیرمستقیم ترکیب کنیم، میشه دستورات اشتباه هم اجرا کرد.
حملهی SLAP که روی چیپهای M2، A15 و جدیدتر تأثیر میذاره، یه بخش از پردازنده به اسم Load Address Predictor (LAP) رو هدف قرار میده. این سیستم قراره حدس بزنه که پردازنده توی آینده از کدوم آدرس حافظه، داده بخونه.
اما اگه این حدس اشتباه باشه، پردازنده ممکنه روی یه سری داده اشتباه، یه عالمه محاسبه انجام بده و این راه رو برای حمله باز میکنه. به این ترتیب، یه هکر میتونه محتوای ایمیلهای یه کاربر لاگینشده رو بخونه یا تاریخچهی وبگردیش رو از سافاری دربیاره!
حملهی FLOP روی چیپهای M3، M4 و A17 کار میکنه و یه بخش دیگه از پردازنده به اسم Load Value Predictor (LVP) رو هدف میگیره. این سیستم قراره حدس بزنه که دفعه بعد که پردازنده به حافظه دسترسی پیدا کرد، چه مقداری برمیگرده.
اما FLOP باعث میشه که یه سری چکهای امنیتی مهم توی برنامهها دور زده بشه و این یعنی هکرها میتونن دادههای حساس داخل حافظه رو بخونن. طبق بررسیها، این حمله میتونه اطلاعاتی مثل لوکیشن کاربر، رویدادهای تقویم و حتی اطلاعات کارت بانکی رو از مرورگرهای سافاری و کروم استخراج کنه!
یه افشاگری میاد درست دو ماه بعد از کشف یه حمله دیگه به اسم SysBumps ، که مربوط به دور زدن مکانیزم KASLR در macOS روی چیپهای اپل سیلیکون بود. این نشون میده که پردازندههای اپل، مخصوصاً مدلهای جدیدتر، آسیبپذیریهای جدی توی بخشهای امنیتی دارن.
سه تا محقق که کاری به اسمشونم نداریم اومدن توضیح دادن که با استفاده از تکنیکهای مشابه Spectre توی سیسکالها، یه هکر بدون دسترسی روت میتونه آدرسهای کرنل رو که خودش انتخاب کرده، ترجمه کنه. این کار باعث میشه که TLB (حافظه کش آدرسها) بر اساس درستی یا غلط بودن اون آدرس تغییر کنه. نتیجهی این کار چیه؟ دور زدن مکانیزم امنیتی KASLR و شکستن ایزولهسازی کرنل!
یه تحقیق دیگه نشون داده که با ترکیب چند حمله ساید چنل، میشه محدودیتهای حمله به کرنل رو دور زد. نکته جالب اینجاست که ویژگیای که باعث شده سیستمهای امنیتی در برابر کانالهای جانبی مقاومتر بشن، خودش یه راه جدید برای حمله باز کرده!
یکی از این حملهها TagBleed نام داره، که از TLBهای تَگدار سوءاستفاده میکنه. این سیستم قراره آدرسهای کرنل و یوزر رو از هم جدا نگه داره، اما همین جداسازی یه ردپا باقی میذاره که میشه ازش برای شکستن KASLR استفاده کرد، حتی توی پردازندههای جدید که به بهترین شکل در برابر این نوع حملات مقاوم شدن.
👍2👎1
گاف امنیتی استارتاپ چینی DeepSeek
یه استارتاپ چینی تو حوزهی هوش مصنوعی (AI) به اسم DeepSeek که توی این مدت حسابی سر و صدا کرده، یه سوتی امنیتی بزرگ داده ، اونم اینکه یه دیتابیسش رو بدون هیچ محافظتی تو اینترنت ول کرده بود، طوری که هر کسی میتونست بهش دسترسی پیدا کنه و اطلاعات حساس رو بدزده.
طبق گفتههای Gal Nagli ، محقق امنیتی از شرکت Wiz، این دیتابیس از نوع ClickHouse بوده که دسترسی کامل به دادهها و عملیات پایگاه داده رو میداده.
توی این دیتابیس بیش از یک میلیون خط لاگ (log stream) وجود داشته که شامل:
- چتهای کاربرا
- کلید های مخفی (Secret Keys)
- جزئیات بکاند (Backend Details)
- اطلاعات حساس API
- متادیتای عملیاتی (Operational Metadata)
و خلاصه بعد از یه مدتی که شرکت wiz همش داشت به شرکت deepseek هشدار میداد اومدن و این مشکلات رو حل کردن اما کار از کار گذشته بود ... دیتابیس روی 0oauth2callback.deepseek.com:9000 و dev.deepseek.com:9000 قرار داشت، بدون هیچ احراز هویتی هر کسی میتونست دسترسی کامل بگیره و حتی سطح دسترسی خودش رو بالا ببره . از طریق رابط HTTP خود ClickHouse ، هکرها میتونستن مستقیم از توی مرورگر کوئری SQL اجرا کنن...
خلاصه که این روزا تو دنیای هوش مصنوعی DeepSeek حسابی سر زبونا افتاده، چون مدلهای متنباز جدیدش ادعا میکنن که میتونن با غولهایی مثل OpenAI رقابت کنن! علاوه بر این، هم ارزونترن و هم بهینهتر!
مدل استدلالی (reasoning model) R1 این شرکت رو بعضیا به لحظهی اسپوتنیک برای AI تشبیه کردن، یعنی یه انقلاب بزرگ توی این حوزه.
چتباتاین شرکت توی اپ استور و گوگل پلی توی خیلی از کشورا رکورد زده و تو صدر جدول دانلودهاست. اما از اون طرف، این سرویس هدف حملات گستردهی سایبری قرار گرفته و همین باعث شده ثبتنام کاربران جدید رو موقتا متوقف کنه.
توی آپدیتی که ۲۹ ژانویه ۲۰۲۵ منتشر کرد، گفت که مشکل رو پیدا کرده و داره یه راهحل براش پیادهسازی میکنه.
علاوه بر چالشهای فنی، DeepSeek زیر ذرهبین خیلیا رفته، چون:
- سیاستهای حریم خصوصیش نامشخصه.
- ارتباطش با چین باعث شده دولت آمریکا از نظر امنیت ملی بهش حساس بشه.
- ایتالیا بعد از بررسی شیوهی جمعآوری دادههای این شرکت، اپهای DeepSeek رو از دسترس خارج کرد. معلوم نیست که این اتفاق مستقیما به درخواست مقامات ایتالیایی ربط داره یا نه، ولی ایرلند هم درخواست مشابهی داده!
اما یه سری اعتفاقات دیگه هم افتاده ... طبق گزارشهای بلومبرگ، فایننشال تایمز و وال استریت ژورنال، دو شرکت OpenAI و مایکروسافت دارن بررسی میکنن که آیا DeepSeek مخفیانه از APIهای OpenAI برای آموزش مدلهای خودش استفاده کرده یا نه! این تکنیک که بهش distillation میگن، یعنی یه مدل AI رو با خروجیهای یه مدل دیگه تمرین بدی!
شرکت OpenAI به گاردین گفته:
"ما میدونیم که گروههایی توی چین دارن فعالانه از روشهای مختلف، از جمله distillation، استفاده میکنن تا مدلهای پیشرفتهی هوش مصنوعی آمریکا رو کپی کنن!"
به نظر میاد DeepSeek خیلی سریع پیشرفت کرده، ولی حالا باید ببینیم که آیا میتونه از پس این چالشهای قانونی و امنیتی بربیاد یا نه!
یه استارتاپ چینی تو حوزهی هوش مصنوعی (AI) به اسم DeepSeek که توی این مدت حسابی سر و صدا کرده، یه سوتی امنیتی بزرگ داده ، اونم اینکه یه دیتابیسش رو بدون هیچ محافظتی تو اینترنت ول کرده بود، طوری که هر کسی میتونست بهش دسترسی پیدا کنه و اطلاعات حساس رو بدزده.
طبق گفتههای Gal Nagli ، محقق امنیتی از شرکت Wiz، این دیتابیس از نوع ClickHouse بوده که دسترسی کامل به دادهها و عملیات پایگاه داده رو میداده.
توی این دیتابیس بیش از یک میلیون خط لاگ (log stream) وجود داشته که شامل:
- چتهای کاربرا
- کلید های مخفی (Secret Keys)
- جزئیات بکاند (Backend Details)
- اطلاعات حساس API
- متادیتای عملیاتی (Operational Metadata)
و خلاصه بعد از یه مدتی که شرکت wiz همش داشت به شرکت deepseek هشدار میداد اومدن و این مشکلات رو حل کردن اما کار از کار گذشته بود ... دیتابیس روی 0oauth2callback.deepseek.com:9000 و dev.deepseek.com:9000 قرار داشت، بدون هیچ احراز هویتی هر کسی میتونست دسترسی کامل بگیره و حتی سطح دسترسی خودش رو بالا ببره . از طریق رابط HTTP خود ClickHouse ، هکرها میتونستن مستقیم از توی مرورگر کوئری SQL اجرا کنن...
خلاصه که این روزا تو دنیای هوش مصنوعی DeepSeek حسابی سر زبونا افتاده، چون مدلهای متنباز جدیدش ادعا میکنن که میتونن با غولهایی مثل OpenAI رقابت کنن! علاوه بر این، هم ارزونترن و هم بهینهتر!
مدل استدلالی (reasoning model) R1 این شرکت رو بعضیا به لحظهی اسپوتنیک برای AI تشبیه کردن، یعنی یه انقلاب بزرگ توی این حوزه.
چتباتاین شرکت توی اپ استور و گوگل پلی توی خیلی از کشورا رکورد زده و تو صدر جدول دانلودهاست. اما از اون طرف، این سرویس هدف حملات گستردهی سایبری قرار گرفته و همین باعث شده ثبتنام کاربران جدید رو موقتا متوقف کنه.
توی آپدیتی که ۲۹ ژانویه ۲۰۲۵ منتشر کرد، گفت که مشکل رو پیدا کرده و داره یه راهحل براش پیادهسازی میکنه.
علاوه بر چالشهای فنی، DeepSeek زیر ذرهبین خیلیا رفته، چون:
- سیاستهای حریم خصوصیش نامشخصه.
- ارتباطش با چین باعث شده دولت آمریکا از نظر امنیت ملی بهش حساس بشه.
- ایتالیا بعد از بررسی شیوهی جمعآوری دادههای این شرکت، اپهای DeepSeek رو از دسترس خارج کرد. معلوم نیست که این اتفاق مستقیما به درخواست مقامات ایتالیایی ربط داره یا نه، ولی ایرلند هم درخواست مشابهی داده!
اما یه سری اعتفاقات دیگه هم افتاده ... طبق گزارشهای بلومبرگ، فایننشال تایمز و وال استریت ژورنال، دو شرکت OpenAI و مایکروسافت دارن بررسی میکنن که آیا DeepSeek مخفیانه از APIهای OpenAI برای آموزش مدلهای خودش استفاده کرده یا نه! این تکنیک که بهش distillation میگن، یعنی یه مدل AI رو با خروجیهای یه مدل دیگه تمرین بدی!
شرکت OpenAI به گاردین گفته:
"ما میدونیم که گروههایی توی چین دارن فعالانه از روشهای مختلف، از جمله distillation، استفاده میکنن تا مدلهای پیشرفتهی هوش مصنوعی آمریکا رو کپی کنن!"
به نظر میاد DeepSeek خیلی سریع پیشرفت کرده، ولی حالا باید ببینیم که آیا میتونه از پس این چالشهای قانونی و امنیتی بربیاد یا نه!
🔥2👍1👎1
GeekNotif
اپل خیلی به طور یهویی شکایت خودشو علیه NSO group پس گرفته ... بزارید یه داستانی رو بگم ... این NSO شرکت اسرائیلی هست که سازنده بدافزار پگاسوس بود همون بدافزاری که کولاک به پا کرد یه بدافزار زیرو کلیک که بدون اینکه کاری انجام بدین میتونست کنترل گوشی شمارو…
واتساپ یه عملیات جاسوسی با اسپایور اسرائیلی رو متوقف کرد ...
واتساپ، که متعلق به متاست، اعلام کرده یه کمپین جاسوسی رو که هدفش خبرنگارا و فعالای جامعه مدنی بودن، مختل کرده.این حمله که حدود ۹۰ نفر رو هدف گرفته بود، از اسپایور یه شرکت اسرائیلی به اسم Paragon Solutions استفاده میکرد. و توی دسامبر ۲۰۲۴ موفق شدن این حمله رو خنثی کنن.
واتساپ به کاربرای آسیبدیده پیام داده و گفته "با اطمینان بالا" باور داره که این افراد هدف حمله قرار گرفتن ولی هنوز مشخص نیست این حمله کار کی بوده و چه مدت طول کشیده.
حمله از نوع "Zero-Click" بوده ، احتمال داره اسپایور از طریق یه فایل PDF خاص که به اعضای گروههای واتساپی فرستاده میشده، پخش شده باشه.
واتساپ یه اخطار قانونی (Cease and Desist) برای Paragon فرستاده و گفته داره به گزینههای دیگه هم فکر میکنه. این اولین باره که اسم Paragon توی پروندههایی میاد که مربوط به سو استفاده از تکنولوژیش باشه.
شرکت Paragon یه شرکت اسرائیلیه که نرمافزار نظارتی Graphite رو میسازه، یه چیزی شبیه به Pegasus که شرکت NSO Group تولید میکنه. مشتریهای این شرکت معمولاً دولتها هستن که از این ابزار برای مبارزه با تهدیدات دیجیتالی استفاده میکنن. دسامبر ۲۰۲۴، یه گروه سرمایهگذاری آمریکایی به اسم AE Industrial Partners این شرکت رو با یه معامله ۵۰۰ میلیون دلاری خرید.
جالبه بدونی که توی ۲۰۲۲ معلوم شد که DEA (آژانس مبارزه با مواد مخدر آمریکا) از Graphite برای عملیاتهای مبارزه با قاچاق مواد استفاده کرده و سال بعدش هم، مرکز دموکراسی و فناوری (CDT) از وزارت امنیت داخلی آمریکا خواست که اطلاعات قرارداد ۲ میلیون دلاریش با Paragon رو منتشر کنه.
داستان از اونجایی جالب میشه که چند هفته پیش، یه قاضی توی کالیفرنیا رأی داد که واتساپ پرونده حقوقی مهمی رو علیه NSO Group برده. این پرونده درباره این بود که NSO از سرورهای واتساپ برای ارسال اسپایور Pegasus به ۱۴۰۰ گوشی توی می ۲۰۱۹ استفاده کرده بود.
افشای این حمله دقیقاً همزمان شده با بازداشت وزیر دادگستری سابق لهستان، "زبینیف ژوبرو"، که متهمه به این که از Pegasus برای جاسوسی از رهبرای مخالف دولت استفاده کرده.
واتساپ، که متعلق به متاست، اعلام کرده یه کمپین جاسوسی رو که هدفش خبرنگارا و فعالای جامعه مدنی بودن، مختل کرده.این حمله که حدود ۹۰ نفر رو هدف گرفته بود، از اسپایور یه شرکت اسرائیلی به اسم Paragon Solutions استفاده میکرد. و توی دسامبر ۲۰۲۴ موفق شدن این حمله رو خنثی کنن.
واتساپ به کاربرای آسیبدیده پیام داده و گفته "با اطمینان بالا" باور داره که این افراد هدف حمله قرار گرفتن ولی هنوز مشخص نیست این حمله کار کی بوده و چه مدت طول کشیده.
حمله از نوع "Zero-Click" بوده ، احتمال داره اسپایور از طریق یه فایل PDF خاص که به اعضای گروههای واتساپی فرستاده میشده، پخش شده باشه.
واتساپ یه اخطار قانونی (Cease and Desist) برای Paragon فرستاده و گفته داره به گزینههای دیگه هم فکر میکنه. این اولین باره که اسم Paragon توی پروندههایی میاد که مربوط به سو استفاده از تکنولوژیش باشه.
شرکت Paragon یه شرکت اسرائیلیه که نرمافزار نظارتی Graphite رو میسازه، یه چیزی شبیه به Pegasus که شرکت NSO Group تولید میکنه. مشتریهای این شرکت معمولاً دولتها هستن که از این ابزار برای مبارزه با تهدیدات دیجیتالی استفاده میکنن. دسامبر ۲۰۲۴، یه گروه سرمایهگذاری آمریکایی به اسم AE Industrial Partners این شرکت رو با یه معامله ۵۰۰ میلیون دلاری خرید.
جالبه بدونی که توی ۲۰۲۲ معلوم شد که DEA (آژانس مبارزه با مواد مخدر آمریکا) از Graphite برای عملیاتهای مبارزه با قاچاق مواد استفاده کرده و سال بعدش هم، مرکز دموکراسی و فناوری (CDT) از وزارت امنیت داخلی آمریکا خواست که اطلاعات قرارداد ۲ میلیون دلاریش با Paragon رو منتشر کنه.
داستان از اونجایی جالب میشه که چند هفته پیش، یه قاضی توی کالیفرنیا رأی داد که واتساپ پرونده حقوقی مهمی رو علیه NSO Group برده. این پرونده درباره این بود که NSO از سرورهای واتساپ برای ارسال اسپایور Pegasus به ۱۴۰۰ گوشی توی می ۲۰۱۹ استفاده کرده بود.
افشای این حمله دقیقاً همزمان شده با بازداشت وزیر دادگستری سابق لهستان، "زبینیف ژوبرو"، که متهمه به این که از Pegasus برای جاسوسی از رهبرای مخالف دولت استفاده کرده.
👍3❤1👎1
گروه باجافزار بدنام WantToCry از تنظیمات اشتباه توی سرویس SMB (پروتکل اشتراکگذاری فایل توی شبکه) سوءاستفاده میکنه تا وارد شبکهها بشه و حملات گستردهای راه بندازه.
چطوری وارد شبکهها میشن؟
وقتی تنظیمات SMB ضعیف باشه ، مثلاً پسوردهای ساده، نرمافزارهای قدیمی، یا تنظیمات امنیتی نامناسب ، هکرها راحت میتونن نفوذ کنن. اونا از این طریق به درایوهای شبکه و دستگاههای ذخیرهسازی NAS دسترسی پیدا میکنن و بعدش شروع به خرابکاری میکنن.
چیکار میکنن ؟
بعد از ورود، هکرها توی شبکه ، سطح دسترسیشون رو بالا میبرن و فایلهای مهم رو رمزگذاری میکنن. این کار باعث میشه شرکتها و سازمانها فلج بشن. معمولاً از باگهایی مثل EternalBlue استفاده میکنن تا سریع توی شبکه پخش بشن.
گروه WantToCry چطوری حمله میکنه؟
این گروه از دسامبر ۲۰۲۳ فعال شده و حملاتش رو بیشتر کرده. روش کارش اینه که با یه دیتابیس بزرگ از بیش از یک میلیون پسورد، به سیستمهایی که SMB، SSH، FTP، RPC و VNC دارن، حمله میکنه. معمولاً کار رو با اسکن اینترنت شروع میکنن تا سیستمهایی که پورت TCP 445 باز دارن، پیدا کنن. بعدش یه حمله Brute-Force راه میندازن و سعی میکنن وارد سیستم بشن.
خب حالا وارد هم بشن ، بعدش چی ؟
- توی شبکه هدف میگردن و فایلهای مهم رو پیدا میکنن.
- فایلها رو از راه دور رمزگذاری میکنن، بدون اینکه اثری روی سیستم لوکال بذارن.
- پسوند فایلهای رمزگذاریشده ".want_to_cry" میشه.
- یه یادداشت باجگیری به اسم "!want_to_cry.txt" میذارن که توش توضیح دادن چطور باید پول پرداخت بشه (معمولاً از طریق پیامرسانهای رمزگذاریشده مثل Telegram یا Tox).
اگه تنظیمات SMB درست انجام نشه و این سرویسها به اینترنت باز باشن، ممکنه:
- اطلاعات حساس لو بره.
- فایلهای مهم رمزگذاری بشه و بدون پرداخت باج قابل بازیابی نباشه.
- شرکتها به خاطر قطعی سیستم و کاهش بهرهوری ضرر مالی ببینن.
- اعتبار سازمانها آسیب ببینه و مشتریهاشون رو از دست بدن.
-حداقل بیاید SMB رو درست تنظیم کنید و دسترسیهای غیرضروری رو ببندید.
- نرمافزارهای امنیتی و پچ های امنیتی رو همیشه آپدیت نگه دارید.
- برای نظارت بر شبکه از ابزارهایی مثل SIEM استفاده کنید.
-اگه از SMB استفاده نمیکنید، کلاً غیرفعالش کنید که راه نفوذ کمتر بشه.
-پسوردهای پیچیده استفاده کنید و اگه میشه، MFA (احراز هویت چندمرحلهای) رو برای SMB فعال کنید.
-با فایروال دسترسی به پورتهای 445 و 139 رو از بیرون ببندید تا کسی از اینترنت نتونه وصل بشه.
-اگه شبکه رو بخشبندی (Segmentation) کنید، اگه یه جایی مورد نفوذ قرار گرفت ، کل سیستم آسیب نمیبینه.
نشونهها (IOC) :
اگه این IPها تو لاگهاتون بود، یعنی یه جای کار میلنگه:
194.36.179.18
194.36.178.133
اگه این امضا رو آنتیویروستون شناسایی کرد، قضیه جدیه:
HEUR:Trojan.Win32.EncrSD (یعنی یکی داره فایلهای شیرشده رو رمزگذاری میکنه)
چطوری وارد شبکهها میشن؟
وقتی تنظیمات SMB ضعیف باشه ، مثلاً پسوردهای ساده، نرمافزارهای قدیمی، یا تنظیمات امنیتی نامناسب ، هکرها راحت میتونن نفوذ کنن. اونا از این طریق به درایوهای شبکه و دستگاههای ذخیرهسازی NAS دسترسی پیدا میکنن و بعدش شروع به خرابکاری میکنن.
چیکار میکنن ؟
بعد از ورود، هکرها توی شبکه ، سطح دسترسیشون رو بالا میبرن و فایلهای مهم رو رمزگذاری میکنن. این کار باعث میشه شرکتها و سازمانها فلج بشن. معمولاً از باگهایی مثل EternalBlue استفاده میکنن تا سریع توی شبکه پخش بشن.
گروه WantToCry چطوری حمله میکنه؟
این گروه از دسامبر ۲۰۲۳ فعال شده و حملاتش رو بیشتر کرده. روش کارش اینه که با یه دیتابیس بزرگ از بیش از یک میلیون پسورد، به سیستمهایی که SMB، SSH، FTP، RPC و VNC دارن، حمله میکنه. معمولاً کار رو با اسکن اینترنت شروع میکنن تا سیستمهایی که پورت TCP 445 باز دارن، پیدا کنن. بعدش یه حمله Brute-Force راه میندازن و سعی میکنن وارد سیستم بشن.
خب حالا وارد هم بشن ، بعدش چی ؟
- توی شبکه هدف میگردن و فایلهای مهم رو پیدا میکنن.
- فایلها رو از راه دور رمزگذاری میکنن، بدون اینکه اثری روی سیستم لوکال بذارن.
- پسوند فایلهای رمزگذاریشده ".want_to_cry" میشه.
- یه یادداشت باجگیری به اسم "!want_to_cry.txt" میذارن که توش توضیح دادن چطور باید پول پرداخت بشه (معمولاً از طریق پیامرسانهای رمزگذاریشده مثل Telegram یا Tox).
اگه تنظیمات SMB درست انجام نشه و این سرویسها به اینترنت باز باشن، ممکنه:
- اطلاعات حساس لو بره.
- فایلهای مهم رمزگذاری بشه و بدون پرداخت باج قابل بازیابی نباشه.
- شرکتها به خاطر قطعی سیستم و کاهش بهرهوری ضرر مالی ببینن.
- اعتبار سازمانها آسیب ببینه و مشتریهاشون رو از دست بدن.
-حداقل بیاید SMB رو درست تنظیم کنید و دسترسیهای غیرضروری رو ببندید.
- نرمافزارهای امنیتی و پچ های امنیتی رو همیشه آپدیت نگه دارید.
- برای نظارت بر شبکه از ابزارهایی مثل SIEM استفاده کنید.
-اگه از SMB استفاده نمیکنید، کلاً غیرفعالش کنید که راه نفوذ کمتر بشه.
-پسوردهای پیچیده استفاده کنید و اگه میشه، MFA (احراز هویت چندمرحلهای) رو برای SMB فعال کنید.
-با فایروال دسترسی به پورتهای 445 و 139 رو از بیرون ببندید تا کسی از اینترنت نتونه وصل بشه.
-اگه شبکه رو بخشبندی (Segmentation) کنید، اگه یه جایی مورد نفوذ قرار گرفت ، کل سیستم آسیب نمیبینه.
نشونهها (IOC) :
اگه این IPها تو لاگهاتون بود، یعنی یه جای کار میلنگه:
194.36.179.18
194.36.178.133
اگه این امضا رو آنتیویروستون شناسایی کرد، قضیه جدیه:
HEUR:Trojan.Win32.EncrSD (یعنی یکی داره فایلهای شیرشده رو رمزگذاری میکنه)
👍5❤1👎1🔥1
یه باگ امنیتی توی ابزار فشردهسازی 7-Zip که بهتازگی پچ شده بود، برای پخش بدافزار SmokeLoader مورد سوءاستفاده قرار گرفت.
این باگ با شناسه CVE-2025-0411 و امتیاز امنیتی ۷.۰ به مهاجمان اجازه میده تا از مکانیزم امنیتی Mark-of-the-Web (MotW) عبور کنن و کدهای مخرب رو توی سطح دسترسی کاربر اجرا کنن. این مشکل توی نسخه ۲۴.۰۹ از 7-Zip که توی نوامبر ۲۰۲۴ منتشر شد، رفع شد.
پیتر گیرنوس، محقق امنیتی شرکت Trend Micro گفته:
احتمالا این باگ بهعنوان یه سلاح سایبری برای حمله به سازمانهای دولتی و غیردولتی توی اوکراین مورد استفاده قرار گرفته . این حملات در بحبوحهی درگیری روسیه و اوکراین انجام شده و هدفش جاسوسی سایبری بوده.
و درباره MotW باید بگیم یه قابلیت امنیتی توی ویندوزه که اجازه نمیده فایلهای دانلود شده از اینترنت بدون بررسی Microsoft Defender SmartScreen اجرا بشن. اما این باگ با فشردهسازی دوباره محتوا، مکانیزم MotW رو دور میزنه. یعنی مهاجم یه آرشیو میسازه، بعد یه آرشیو دیگه از همون آرشیو میسازه تا بدافزارش مخفی بمونه.
گیرنوس میگه:
حملات اولیه که این باگ رو بهعنوان یه zero-day استفاده کردن، توی ۲۵ سپتامبر ۲۰۲۴ شناسایی شدن. زنجیره آلودهسازی به SmokeLoader ختم میشد، بدافزاری که بارها برای هدفگیری اوکراین به کار رفته.
همهچی با یه ایمیل فیشینگ شروع میشد که یه فایل ZIP خاص توش بود. این فایل از حمله هوموگلیف استفاده میکرد تا فایل داخلی رو به شکل یه سند ورد نمایش بده و کاربر رو به اجرای اون ترغیب کنه.
طبق گزارش Trend Micro، این ایمیلها از حسابهای ایمیلی که قبلاً هک شده بودن، ارسال شدن ، حسابهایی که متعلق به سازمانهای دولتی و تجاری اوکراینی بودن. یعنی مهاجما از این حسابای لو رفته استفاده کردن تا ایمیلهاشون معتبرتر به نظر برسه و قربانی رو راحتتر فریب بدن.
گیرنوس توضیح میده:
«استفاده از این حسابهای هک شده باعث میشه ایمیلها واقعیتر به نظر برسن و قربانیان به راحتی فریب بخورن.»
بعد از اینکه کاربر فریب میخورد و فایل ZIP رو باز میکرد، یه فایل اینترنتی (.URL) توی آرشیو بود که به یه سرور مخرب لینک میشد. این سرور یه ZIP دیگه رو دانلود میکرد که توش بدافزار SmokeLoader مخفی شده بود ، البته با یه ظاهر جعلی که شبیه یه فایل PDF به نظر میرسید.
حداقل ۹ سازمان دولتی و غیردولتی اوکراینی توی این حمله آسیب دیدن، از جمله:
با توجه به اینکه این آسیبپذیری بهطور فعال مورد سوءاستفاده قرار گرفته، پیشنهاد میشه که کاربران:
- بیان و 7-Zip رو به آخرین نسخه آپدیت کنن .
- فیلترهای ایمیل رو برای جلوگیری از حملات فیشینگ فعال کنن .
- اجرای فایلهای دانلودشده از منابع نامعتبر رو غیرفعال کنن .
گیرنوس یه نکته جالب رو هم مطرح کرده:
این باگ با شناسه CVE-2025-0411 و امتیاز امنیتی ۷.۰ به مهاجمان اجازه میده تا از مکانیزم امنیتی Mark-of-the-Web (MotW) عبور کنن و کدهای مخرب رو توی سطح دسترسی کاربر اجرا کنن. این مشکل توی نسخه ۲۴.۰۹ از 7-Zip که توی نوامبر ۲۰۲۴ منتشر شد، رفع شد.
پیتر گیرنوس، محقق امنیتی شرکت Trend Micro گفته:
«این آسیبپذیری توسط گروههای جرایم سایبری روسی از طریق حملات فیشینگ هدفمند (spear-phishing) مورد استفاده قرار گرفته. مهاجمان از تکنیک هوموگلیف برای جعل پسوند فایلهای سندی استفاده کردن تا هم کاربرا و هم ویندوز رو فریب بدن و فایل مخرب اجرا بشه.»
احتمالا این باگ بهعنوان یه سلاح سایبری برای حمله به سازمانهای دولتی و غیردولتی توی اوکراین مورد استفاده قرار گرفته . این حملات در بحبوحهی درگیری روسیه و اوکراین انجام شده و هدفش جاسوسی سایبری بوده.
و درباره MotW باید بگیم یه قابلیت امنیتی توی ویندوزه که اجازه نمیده فایلهای دانلود شده از اینترنت بدون بررسی Microsoft Defender SmartScreen اجرا بشن. اما این باگ با فشردهسازی دوباره محتوا، مکانیزم MotW رو دور میزنه. یعنی مهاجم یه آرشیو میسازه، بعد یه آرشیو دیگه از همون آرشیو میسازه تا بدافزارش مخفی بمونه.
گیرنوس میگه:
«مشکل اصلی CVE-2025-0411 اینه که تا قبل از نسخه ۲۴.۰۹، 7-Zip قابلیت MotW رو برای فایلهای داخل آرشیوهای چندلایه منتقل نمیکرد. این باعث میشد که مهاجمان بتونن اسکریپتها یا اجراییهای مخرب رو توی آرشیو جاسازی کنن بدون اینکه ویندوز اونها رو مشکوک بدونه.»
حملات اولیه که این باگ رو بهعنوان یه zero-day استفاده کردن، توی ۲۵ سپتامبر ۲۰۲۴ شناسایی شدن. زنجیره آلودهسازی به SmokeLoader ختم میشد، بدافزاری که بارها برای هدفگیری اوکراین به کار رفته.
همهچی با یه ایمیل فیشینگ شروع میشد که یه فایل ZIP خاص توش بود. این فایل از حمله هوموگلیف استفاده میکرد تا فایل داخلی رو به شکل یه سند ورد نمایش بده و کاربر رو به اجرای اون ترغیب کنه.
طبق گزارش Trend Micro، این ایمیلها از حسابهای ایمیلی که قبلاً هک شده بودن، ارسال شدن ، حسابهایی که متعلق به سازمانهای دولتی و تجاری اوکراینی بودن. یعنی مهاجما از این حسابای لو رفته استفاده کردن تا ایمیلهاشون معتبرتر به نظر برسه و قربانی رو راحتتر فریب بدن.
گیرنوس توضیح میده:
«استفاده از این حسابهای هک شده باعث میشه ایمیلها واقعیتر به نظر برسن و قربانیان به راحتی فریب بخورن.»
بعد از اینکه کاربر فریب میخورد و فایل ZIP رو باز میکرد، یه فایل اینترنتی (.URL) توی آرشیو بود که به یه سرور مخرب لینک میشد. این سرور یه ZIP دیگه رو دانلود میکرد که توش بدافزار SmokeLoader مخفی شده بود ، البته با یه ظاهر جعلی که شبیه یه فایل PDF به نظر میرسید.
حداقل ۹ سازمان دولتی و غیردولتی اوکراینی توی این حمله آسیب دیدن، از جمله:
- وزارت دادگستری اوکراین
- سرویس حمل و نقل عمومی کییف
- شرکت آبرسانی کییف
- شورای شهر کییف
با توجه به اینکه این آسیبپذیری بهطور فعال مورد سوءاستفاده قرار گرفته، پیشنهاد میشه که کاربران:
- بیان و 7-Zip رو به آخرین نسخه آپدیت کنن .
- فیلترهای ایمیل رو برای جلوگیری از حملات فیشینگ فعال کنن .
- اجرای فایلهای دانلودشده از منابع نامعتبر رو غیرفعال کنن .
گیرنوس یه نکته جالب رو هم مطرح کرده:
«تو این حملات، هدف اصلی بیشتر سازمانهای کوچیک دولتی بودن. این سازمانها معمولاً تحت فشار حملات سایبری قرار دارن، اما نه بودجه کافی دارن و نه تیم امنیتی قوی مثل نهادهای دولتی بزرگتر. مهاجما میتونن این سازمانهای کوچیک رو بهعنوان نقطه ورود استفاده کنن تا به سازمانهای دولتی بزرگتر نفوذ کنن.»
❤2
Tails 6.12 Anonymous OS Fixes Security Issues in Tor Circuits, Persistent Storage
https://9to5linux.com/tails-6-12-anonymous-os-fixes-security-issues-in-tor-circuits-persistent-storage
https://9to5linux.com/tails-6-12-anonymous-os-fixes-security-issues-in-tor-circuits-persistent-storage
9to5Linux
Tails 6.12 Anonymous OS Fixes Security Issues in Tor Circuits, Persistent Storage - 9to5Linux
Tails 6.12 amnesic incognito live system distribution is now available for download with more fixes for critical vulnerabilities.
یه سری فرد مخرب اومدن و از یه سری باگ امنیتی که تازه توی نرمافزار SimpleHelp کشف شده بود سوءاستفاده کردن. این نرمافزار برای مدیریت از راه دور سیستمها استفاده میشه. این حرکتشون هم احتمالاً یه مقدمه برای یه حمله باجافزاری بوده.
شرکت امنیت سایبری Field Effect توی گزارشی که به The Hacker News داده گفته این نفوذ از طریق این باگهایی که حالا پچ شدن انجام شده تا هکرها بتونن دسترسی اولیه بگیرن و از راه دور توی سیستم قربانی بمونن.
بعد از این که هکرها وارد سیستم شدن، یه سری حرکت سریع و حسابشده انجام دادن. از جمله این که شبکه و سیستم رو اسکن کردن، یه اکانت ادمین جدید ساختن، و راههایی برای باقی موندن توی سیستم ایجاد کردن. این کارا همگی میتونستن منجر به اجرای یه حمله باجافزاری بشن. اینو دوتا محقق امنیتی به نامهای Ryan Slaney و Daniel Albrecht گفتن.
سه تا باگ امنیتی بودن به اسم CVE-2024-57726، CVE-2024-57727، و CVE-2024-57728 که ماه پیش توسط Horizon3.ai گزارش شدن. اگه کسی از این باگها سوءاستفاده میکرد، میتونست اطلاعات رو درز بده، سطح دسترسی خودش رو بالا ببره یا حتی از راه دور کد اجرا کنه.
البته این باگها توی نسخههای 5.3.9، 5.4.10 و 5.5.8 که توی ۸ و ۱۳ ژانویه ۲۰۲۵ منتشر شدن، برطرف شدن.
اما فقط چند هفته بعد، شرکت Arctic Wolf متوجه شد یه سری حمله داره انجام میشه که توشون هکرها با دسترسی غیرمجاز به دستگاههایی که SimpleHelp روشون نصبه، وارد سیستم قربانی میشن.
شرکت Field Effect یه حمله رو بررسی کرده که توش هکرها تونستن از طریق یه نمونهی آسیبپذیر SimpleHelp که روی یه آیپی توی استونی ("194.76.227.171") بوده، به یه سیستم هدف دسترسی پیدا کنن.
بعد از این که هکرها از راه دور به سیستم وصل شدن، شروع کردن به انجام یه سری کارهای بعد از نفوذ، مثل شناسایی سیستم و ساخت یه اکانت ادمین به اسم "sqladmin". این کار رو کردن که بتونن یه ابزار اوپنسورس به اسم Sliver رو اجرا کنن.
بعد، از طریق همین Sliver توی شبکه حرکت کردن، یه ارتباط بین سرور دامنه (Domain Controller) و اون SimpleHelp آلوده برقرار کردن و در نهایت یه تونل Cloudflare ساختن که ترافیک رو به سرورهای خودشون هدایت کنن، بدون این که کسی متوجه بشه.
اما خوشبختانه، شرکت Field Effect توی همین مرحله متوجه حمله شد و جلوی اجرای تونل رو گرفت. بعدش هم سیستم آلوده رو از شبکه قطع کردن تا بیشتر آسیب نبینه.
اون تونل Cloudflare احتمالاً برای دانلود فایلهای مخرب دیگه، از جمله باجافزار، استفاده میشد. این حمله شباهت زیادی به حملات باجافزاری Akira که توی می ۲۰۲۳ گزارش شده بودن، داره. البته این احتمال هم هست که یه گروه دیگه با همون روش کار کرده باشن.
محققها میگن این کمپین فقط یه نمونه از اینه که چطوری هکرها دارن باگهای SimpleHelp رو سوءاستفاده میکنن تا بدون اجازه وارد شبکهها بشن و دسترسی دائمی پیدا کنن. اونا تأکید کردن که شرکتهایی که از این باگها آسیبپذیرن، باید هر چه زودتر SimpleHelp رو آپدیت کنن و یه راهحل امنیتی خوب برای مقابله با تهدیدات بگیرن.
از طرف دیگه، شرکت Silent Push گفته که داره میبینه هکرها بیشتر از نرمافزار ScreenConnect استفاده میکنن تا از طریق سرورهای ضدگلوله به سیستم قربانیها دسترسی پیدا کنن.
اینا دارن با استفاده از مهندسی اجتماعی، قربانیها رو گول میزنن تا نرمافزارهای قانونی رو نصب کنن. بعد که نصب شد، سریعاً از طریق همون نصبکننده تغییر داده شده به فایلهای قربانی دسترسی پیدا میکنن.
محققها میگن این کمپین فقط یه نمونه از اینه که چطوری هکرها دارن باگهای SimpleHelp رو سوءاستفاده میکنن تا بدون اجازه وارد شبکهها بشن و دسترسی دائمی پیدا کنن. اونا تأکید کردن که شرکتهایی که از این باگها آسیبپذیرن، باید هر چه زودتر SimpleHelp رو آپدیت کنن و یه راهحل امنیتی خوب برای مقابله با تهدیدات بگیرن.
از طرف دیگه، شرکت Silent Push گفته که داره میبینه هکرها بیشتر از نرمافزار ScreenConnect استفاده میکنن تا از طریق سرورهای ضدگلوله به سیستم قربانیها دسترسی پیدا کنن.
اینا دارن با استفاده از مهندسی اجتماعی، قربانیها رو گول میزنن تا نرمافزارهای قانونی رو نصب کنن. بعد که نصب شد، سریعاً از طریق همون نصبکننده تغییر داده شده به فایلهای قربانی دسترسی پیدا میکنن.
شرکت امنیت سایبری Field Effect توی گزارشی که به The Hacker News داده گفته این نفوذ از طریق این باگهایی که حالا پچ شدن انجام شده تا هکرها بتونن دسترسی اولیه بگیرن و از راه دور توی سیستم قربانی بمونن.
بعد از این که هکرها وارد سیستم شدن، یه سری حرکت سریع و حسابشده انجام دادن. از جمله این که شبکه و سیستم رو اسکن کردن، یه اکانت ادمین جدید ساختن، و راههایی برای باقی موندن توی سیستم ایجاد کردن. این کارا همگی میتونستن منجر به اجرای یه حمله باجافزاری بشن. اینو دوتا محقق امنیتی به نامهای Ryan Slaney و Daniel Albrecht گفتن.
سه تا باگ امنیتی بودن به اسم CVE-2024-57726، CVE-2024-57727، و CVE-2024-57728 که ماه پیش توسط Horizon3.ai گزارش شدن. اگه کسی از این باگها سوءاستفاده میکرد، میتونست اطلاعات رو درز بده، سطح دسترسی خودش رو بالا ببره یا حتی از راه دور کد اجرا کنه.
البته این باگها توی نسخههای 5.3.9، 5.4.10 و 5.5.8 که توی ۸ و ۱۳ ژانویه ۲۰۲۵ منتشر شدن، برطرف شدن.
اما فقط چند هفته بعد، شرکت Arctic Wolf متوجه شد یه سری حمله داره انجام میشه که توشون هکرها با دسترسی غیرمجاز به دستگاههایی که SimpleHelp روشون نصبه، وارد سیستم قربانی میشن.
شرکت Field Effect یه حمله رو بررسی کرده که توش هکرها تونستن از طریق یه نمونهی آسیبپذیر SimpleHelp که روی یه آیپی توی استونی ("194.76.227.171") بوده، به یه سیستم هدف دسترسی پیدا کنن.
بعد از این که هکرها از راه دور به سیستم وصل شدن، شروع کردن به انجام یه سری کارهای بعد از نفوذ، مثل شناسایی سیستم و ساخت یه اکانت ادمین به اسم "sqladmin". این کار رو کردن که بتونن یه ابزار اوپنسورس به اسم Sliver رو اجرا کنن.
بعد، از طریق همین Sliver توی شبکه حرکت کردن، یه ارتباط بین سرور دامنه (Domain Controller) و اون SimpleHelp آلوده برقرار کردن و در نهایت یه تونل Cloudflare ساختن که ترافیک رو به سرورهای خودشون هدایت کنن، بدون این که کسی متوجه بشه.
اما خوشبختانه، شرکت Field Effect توی همین مرحله متوجه حمله شد و جلوی اجرای تونل رو گرفت. بعدش هم سیستم آلوده رو از شبکه قطع کردن تا بیشتر آسیب نبینه.
اون تونل Cloudflare احتمالاً برای دانلود فایلهای مخرب دیگه، از جمله باجافزار، استفاده میشد. این حمله شباهت زیادی به حملات باجافزاری Akira که توی می ۲۰۲۳ گزارش شده بودن، داره. البته این احتمال هم هست که یه گروه دیگه با همون روش کار کرده باشن.
محققها میگن این کمپین فقط یه نمونه از اینه که چطوری هکرها دارن باگهای SimpleHelp رو سوءاستفاده میکنن تا بدون اجازه وارد شبکهها بشن و دسترسی دائمی پیدا کنن. اونا تأکید کردن که شرکتهایی که از این باگها آسیبپذیرن، باید هر چه زودتر SimpleHelp رو آپدیت کنن و یه راهحل امنیتی خوب برای مقابله با تهدیدات بگیرن.
از طرف دیگه، شرکت Silent Push گفته که داره میبینه هکرها بیشتر از نرمافزار ScreenConnect استفاده میکنن تا از طریق سرورهای ضدگلوله به سیستم قربانیها دسترسی پیدا کنن.
اینا دارن با استفاده از مهندسی اجتماعی، قربانیها رو گول میزنن تا نرمافزارهای قانونی رو نصب کنن. بعد که نصب شد، سریعاً از طریق همون نصبکننده تغییر داده شده به فایلهای قربانی دسترسی پیدا میکنن.
محققها میگن این کمپین فقط یه نمونه از اینه که چطوری هکرها دارن باگهای SimpleHelp رو سوءاستفاده میکنن تا بدون اجازه وارد شبکهها بشن و دسترسی دائمی پیدا کنن. اونا تأکید کردن که شرکتهایی که از این باگها آسیبپذیرن، باید هر چه زودتر SimpleHelp رو آپدیت کنن و یه راهحل امنیتی خوب برای مقابله با تهدیدات بگیرن.
از طرف دیگه، شرکت Silent Push گفته که داره میبینه هکرها بیشتر از نرمافزار ScreenConnect استفاده میکنن تا از طریق سرورهای ضدگلوله به سیستم قربانیها دسترسی پیدا کنن.
اینا دارن با استفاده از مهندسی اجتماعی، قربانیها رو گول میزنن تا نرمافزارهای قانونی رو نصب کنن. بعد که نصب شد، سریعاً از طریق همون نصبکننده تغییر داده شده به فایلهای قربانی دسترسی پیدا میکنن.
👍2❤1
یه سری سایت فیک که خودشون رو جای سایت دانلود گوگل کروم جا میزنن، دارن بدافزار ValleyRAT رو پخش میکنن. این بدافزار که اولین بار تو سال ۲۰۲۳ شناسایی شد، به یه گروه هکری به نام Silver Fox نسبت داده میشه. این گروه قبلاً بیشتر کاربران چینیزبان، مخصوصاً توی هنگکنگ، تایوان و چین رو هدف قرار داده بود.
طبق گزارشی که محقق امنیتی Shmuel Uzan از شرکت Morphisec منتشر کرده، این گروه اخیراً تمرکزش رو روی افراد کلیدی تو سازمانها گذاشته، مخصوصاً تو بخش مالی، حسابداری و فروش. یعنی مشخصاً دنبال افرادی هستن که به اطلاعات حساس و سیستمهای مهم دسترسی دارن.
توی حملات قبلی، ValleyRAT معمولاً همراه با بدافزارهای دیگه مثل Purple Fox و Gh0st RAT منتشر میشد. مخصوصاً Gh0st RAT که قبلاً خیلی توسط گروههای هکری چینی استفاده شده. جالب اینجاست که هنوز هم از روشهای قدیمی مثل نصبکنندههای فیک برای نرمافزارهای معروف برای پخش این بدافزار استفاده میکنن. مثلاً از یه DLL Loader به اسم PNGPlug کمک میگیرن تا این بدافزار رو منتشر کنن.
همین ماه پیش هم دیده شده که یه روش دیگه برای پخش Gh0st RAT استفاده شده بود. اونم با یه نصبکنندهی فیک گوگل کروم که به صورت Drive-by Download کاربران چینیزبان رو هدف قرار داده بود.
روش جدیدی که برای پخش ValleyRAT استفاده شده، دقیقاً همون داستان سایت فیک گوگل کرومه. یعنی قربانی وارد سایت جعلی میشه و یه فایل ZIP دانلود میکنه که داخلش یه فایل اجرایی به اسم Setup.exe هست.
به گفته Michael Gorelik، مدیر ارشد فناوری Morphisec، شواهدی وجود داره که این حملات به هم مرتبط هستن. این سایت جعلی قبلاً برای انتشار Gh0st RAT هم استفاده شده بود. در کل، این کمپین به طور خاص کاربرهای چینیزبان رو هدف قرار داده، چون از ترفندهای فریبندهی چینیزبان و اپلیکیشنهایی برای سرقت اطلاعات و دور زدن سیستمهای امنیتی استفاده میکنه.
لینکهای این سایتهای فیک معمولاً از طریق Drive-by Download پخش میشن. یعنی کاربر وقتی دنبال دانلود کروم میگرده، ممکنه به این سایتهای مخرب هدایت بشه و ناخواسته یه نصبکنندهی آلوده دانلود کنه. این روش از اعتمادی که کاربرها به دانلود نرمافزارهای معروف دارن سوءاستفاده میکنه.
وقتی این فایل Setup.exe اجرا بشه، اول از همه چک میکنه که آیا دسترسی ادمین داره یا نه. بعدش میره و چهار تا فایل دیگه رو دانلود میکنه، که یکی از اونها یه فایل اجرایی معتبر به اسم Douyin.exe (ورژن چینی تیکتاک) هست. از این فایل برای بارگذاری یه DLL مخرب به اسم tier0.dll استفاده میشه که در نهایت ValleyRAT رو اجرا میکنه.
همچنین یه DLL دیگه به اسم sscronet.dll هم دانلود میشه که وظیفش بستن پردازشهای مشخصی هست که توی لیست حذف شدن قرار دارن.
این بدافزار که به زبان C++ و با کامپایلر چینی نوشته شده، قابلیتهای مختلفی داره، مثل:
طبق گفته Uzan، مهاجم برای تزریق بدافزار، از برنامههای قانونی که به آسیبپذیری DLL Hijacking دچار بودن، سوءاستفاده کرده.
از طرف دیگه، شرکت Sophos هم یه گزارش داده که نشون میده حملات فیشینگ با استفاده از فایلهای SVG داره زیاد میشه. این روش به هکرها کمک میکنه که از تشخیص توسط آنتیویروسها فرار کنن و بدافزارهای ثبتکننده کلیدهای کیبورد مثل Nymeria رو روی سیستم قربانی اجرا کنن یا کاربر رو به صفحههای جعلی سرقت اطلاعات هدایت کنن.
طبق گزارشی که محقق امنیتی Shmuel Uzan از شرکت Morphisec منتشر کرده، این گروه اخیراً تمرکزش رو روی افراد کلیدی تو سازمانها گذاشته، مخصوصاً تو بخش مالی، حسابداری و فروش. یعنی مشخصاً دنبال افرادی هستن که به اطلاعات حساس و سیستمهای مهم دسترسی دارن.
توی حملات قبلی، ValleyRAT معمولاً همراه با بدافزارهای دیگه مثل Purple Fox و Gh0st RAT منتشر میشد. مخصوصاً Gh0st RAT که قبلاً خیلی توسط گروههای هکری چینی استفاده شده. جالب اینجاست که هنوز هم از روشهای قدیمی مثل نصبکنندههای فیک برای نرمافزارهای معروف برای پخش این بدافزار استفاده میکنن. مثلاً از یه DLL Loader به اسم PNGPlug کمک میگیرن تا این بدافزار رو منتشر کنن.
همین ماه پیش هم دیده شده که یه روش دیگه برای پخش Gh0st RAT استفاده شده بود. اونم با یه نصبکنندهی فیک گوگل کروم که به صورت Drive-by Download کاربران چینیزبان رو هدف قرار داده بود.
روش جدیدی که برای پخش ValleyRAT استفاده شده، دقیقاً همون داستان سایت فیک گوگل کرومه. یعنی قربانی وارد سایت جعلی میشه و یه فایل ZIP دانلود میکنه که داخلش یه فایل اجرایی به اسم Setup.exe هست.
به گفته Michael Gorelik، مدیر ارشد فناوری Morphisec، شواهدی وجود داره که این حملات به هم مرتبط هستن. این سایت جعلی قبلاً برای انتشار Gh0st RAT هم استفاده شده بود. در کل، این کمپین به طور خاص کاربرهای چینیزبان رو هدف قرار داده، چون از ترفندهای فریبندهی چینیزبان و اپلیکیشنهایی برای سرقت اطلاعات و دور زدن سیستمهای امنیتی استفاده میکنه.
لینکهای این سایتهای فیک معمولاً از طریق Drive-by Download پخش میشن. یعنی کاربر وقتی دنبال دانلود کروم میگرده، ممکنه به این سایتهای مخرب هدایت بشه و ناخواسته یه نصبکنندهی آلوده دانلود کنه. این روش از اعتمادی که کاربرها به دانلود نرمافزارهای معروف دارن سوءاستفاده میکنه.
وقتی این فایل Setup.exe اجرا بشه، اول از همه چک میکنه که آیا دسترسی ادمین داره یا نه. بعدش میره و چهار تا فایل دیگه رو دانلود میکنه، که یکی از اونها یه فایل اجرایی معتبر به اسم Douyin.exe (ورژن چینی تیکتاک) هست. از این فایل برای بارگذاری یه DLL مخرب به اسم tier0.dll استفاده میشه که در نهایت ValleyRAT رو اجرا میکنه.
همچنین یه DLL دیگه به اسم sscronet.dll هم دانلود میشه که وظیفش بستن پردازشهای مشخصی هست که توی لیست حذف شدن قرار دارن.
این بدافزار که به زبان C++ و با کامپایلر چینی نوشته شده، قابلیتهای مختلفی داره، مثل:
- مانیتور کردن صفحه نمایش
- ثبت کلیدهایی که کاربر تایپ میکنه
- ایجاد ماندگاری روی سیستم (Persistence)
- برقراری ارتباط با سرور مهاجم و اجرای دستورات مختلف
- شمارهگذاری پردازشها، دانلود و اجرای DLLها و فایلهای اجرایی دیگه
طبق گفته Uzan، مهاجم برای تزریق بدافزار، از برنامههای قانونی که به آسیبپذیری DLL Hijacking دچار بودن، سوءاستفاده کرده.
از طرف دیگه، شرکت Sophos هم یه گزارش داده که نشون میده حملات فیشینگ با استفاده از فایلهای SVG داره زیاد میشه. این روش به هکرها کمک میکنه که از تشخیص توسط آنتیویروسها فرار کنن و بدافزارهای ثبتکننده کلیدهای کیبورد مثل Nymeria رو روی سیستم قربانی اجرا کنن یا کاربر رو به صفحههای جعلی سرقت اطلاعات هدایت کنن.
👍3
محققای امنیت سایبری دوتا مدل یادگیری ماشینی مخرب توی Hugging Face پیدا کردن که از یه روش عجیب برای قایم شدن استفاده میکردن. این روش شامل یه فایل pickle خرابشده بود که باعث میشد ابزارهای امنیتی نتونن تشخیصش بدن.
محقق ReversingLabs، کارلو زانکی، گفته که وقتی فایلهای pickle مربوط به این مدلها رو بررسی کردن، فهمیدن که یه کد مخرب پایتون درست اول فایل قرار گرفته. این کد یه ریورسشل بوده که میتونسته به یه آیپی خاص وصل بشه و کنترل سیستم رو بگیره.
اسم این تکنیک رو گذاشتن NullifAI چون با این روش، مدلهای مخرب از سیستمهای امنیتی رد میشن. مدلهایی که شناسایی شدن توی این دو تا ریپوی Hugging Face بودن:
- "glockr1/ballr7"
- "who-r-u0000/0000000000000000000000000000000000000"
محققها میگن که این مدلها احتمالاً یه نمونه آزمایشی (PoC) بودن و نه یه حمله گسترده به زنجیره تأمین.
فرمت pickle که برای ذخیره مدلهای ML استفاده میشه، بارها نشون داده که میتونه یه تهدید امنیتی جدی باشه. چون این فرمت اجازه میده هر کدی موقع باز شدن مدل اجرا بشه.
این مدلها توی فرمت PyTorch ذخیره شده بودن که در واقع یه فایل pickle فشردهشده است. اما یه تفاوت مهم داشتن:
- اینکهPyTorch معمولاً از فرمت ZIP برای فشردهسازی استفاده میکنه.
- اما این مدلها به جای ZIP، از فرمت 7z استفاده کرده بودن.
به خاطر این تفاوت، ابزار Picklescan که برای بررسی امنیتی pickle توی Hugging Face استفاده میشه، نتونسته تشخیصشون بده.
زانکی توضیح داده که این فایلها بعد از اجرای کد مخرب، خراب میشدن و دیگه نمیشد اونها رو کامل دیکامپایل کرد.
ولی مشکل اینجاست که:
1. این Picklescan یه ارور میده ولی هنوز یه بخش از فایل رو اجرا میکنه.
2. از اونجایی که کد مخرب اول فایل بوده، اجرا شده و بعدش خطا داده، ولی تا اون موقع کار خودش رو کرده بوده!
بعد از کشف این مشکل، ابزار Picklescan آپدیت شده تا جلوی این روش رو بگیره.
محقق ReversingLabs، کارلو زانکی، گفته که وقتی فایلهای pickle مربوط به این مدلها رو بررسی کردن، فهمیدن که یه کد مخرب پایتون درست اول فایل قرار گرفته. این کد یه ریورسشل بوده که میتونسته به یه آیپی خاص وصل بشه و کنترل سیستم رو بگیره.
اسم این تکنیک رو گذاشتن NullifAI چون با این روش، مدلهای مخرب از سیستمهای امنیتی رد میشن. مدلهایی که شناسایی شدن توی این دو تا ریپوی Hugging Face بودن:
- "glockr1/ballr7"
- "who-r-u0000/0000000000000000000000000000000000000"
محققها میگن که این مدلها احتمالاً یه نمونه آزمایشی (PoC) بودن و نه یه حمله گسترده به زنجیره تأمین.
فرمت pickle که برای ذخیره مدلهای ML استفاده میشه، بارها نشون داده که میتونه یه تهدید امنیتی جدی باشه. چون این فرمت اجازه میده هر کدی موقع باز شدن مدل اجرا بشه.
این مدلها توی فرمت PyTorch ذخیره شده بودن که در واقع یه فایل pickle فشردهشده است. اما یه تفاوت مهم داشتن:
- اینکهPyTorch معمولاً از فرمت ZIP برای فشردهسازی استفاده میکنه.
- اما این مدلها به جای ZIP، از فرمت 7z استفاده کرده بودن.
به خاطر این تفاوت، ابزار Picklescan که برای بررسی امنیتی pickle توی Hugging Face استفاده میشه، نتونسته تشخیصشون بده.
زانکی توضیح داده که این فایلها بعد از اجرای کد مخرب، خراب میشدن و دیگه نمیشد اونها رو کامل دیکامپایل کرد.
ولی مشکل اینجاست که:
1. این Picklescan یه ارور میده ولی هنوز یه بخش از فایل رو اجرا میکنه.
2. از اونجایی که کد مخرب اول فایل بوده، اجرا شده و بعدش خطا داده، ولی تا اون موقع کار خودش رو کرده بوده!
بعد از کشف این مشکل، ابزار Picklescan آپدیت شده تا جلوی این روش رو بگیره.
👍4❤1
یه بررسی جدید روی اپ موبایل DeepSeek برای سیستمعامل iOS انجام شده و نتایجش نشون میده که اپ کلی مشکل امنیتی داره، مهم ترینش اینه که اطلاعات حساس رو بدون هیچ رمزگذاری ای میفرسته، یعنی هر کسی که وسط راه باشه، میتونه این دادهها رو ببینه یا دستکاری کنه.
این بررسی رو شرکت NowSecure انجام داده و فهمیده که اپ نه تنها اصول پایهای امنیت رو رعایت نکرده، بلکه یه عالمه اطلاعات از کاربر و دستگاهش جمعآوری میکنه.
طبق گفته NowSecure، این اپ هنگام ثبتنام و ارسال اطلاعات دستگاه، دادهها رو بدون رمزگذاری میفرسته که باعث میشه هر کسی که بخواد، بهشون دسترسی داشته باشه. حتی جاهایی که رمزگذاری داره، به بدترین شکل ممکن پیادهسازی شده! مثلا از یه الگوریتم قدیمی و ناامن به اسم 3DES استفاده میکنه، کلید رمزگذاری توی کدش هاردکُد شده (یعنی هر کسی که کد رو ببینه، میتونه کلید رو هم پیدا کنه)، و initialization vector رو هم دوباره استفاده میکنه که امنیتو نابود میکنه.
بدتر از همه، اطلاعاتی که این اپ میفرسته، مستقیم میره به سرورهایی که توسط Volcano Engine مدیریت میشن، یه سرویس ابری که متعلق به ByteDance (همون شرکت چینی که تیکتاک رو ساخته).
این اپ به صورت جهانی App Transport Security (ATS) رو غیرفعال کرده، قابلیتی که باعث میشه اپها مجبور بشن از کانالهای رمزگذاریشده استفاده کنن. یعنی این اپ عمداً گذاشته که دادهها بدون رمزگذاری روی اینترنت رد و بدل بشن!
این مشکلات فقط به DeepSeek محدود نمیشن. طبق بررسیهای شرکت امنیت سایبری Check Point، خلافکارهای سایبری دارن از هوش مصنوعی این اپ، به همراه ابزارهایی مثل Alibaba Qwen و ChatGPT، برای ساخت بدافزارها، تولید محتوای غیرقانونی، و بهینهسازی اسکریپتهای اسپم استفاده میکنن.
و Check Point هشدار داده که مهاجمان دارن از تکنیکهایی مثل jailbreaking استفاده میکنن تا لایههای حفاظتی رو دور بزنن و ابزارهایی برای به سرقت بردن اطلاعات مالی و اسپم کردن بسازن. به همین خاطر، سازمانها باید اقدامات امنیتی جدیتری انجام بدن تا جلوی این سوءِاستفادهها رو بگیرن.
چند روز پیش، Associated Press فاش کرد که سایت DeepSeek اطلاعات لاگین کاربران رو به شرکت مخابراتی دولتی China Mobile ارسال میکنه، شرکتی که در آمریکا تحریم شده و اجازه فعالیت نداره.
همین ارتباطات باعث شده که مقامات آمریکایی به دنبال ممنوعیت DeepSeek روی دستگاههای دولتی باشن، چون ممکنه اطلاعات کاربران رو به دولت چین بده. این نگرانیها باعث شدن که کشورهایی مثل استرالیا، ایتالیا، هلند، تایوان، و کره جنوبی و سازمانهایی مثل کنگره آمریکا، ناسا، نیروی دریایی، پنتاگون، و دولت تگزاس استفاده از این اپ رو روی دستگاههای دولتی ممنوع کنن.
با رشد انفجاری محبوبیت DeepSeek، هکرها هم بیکار نشستن. شرکت امنیت سایبری چینی XLab گزارش داده که این سرویس اخیراً مورد حملههای شدید DDoS از سمت باتنتهای Mirai، hailBot و RapperBot قرار گرفته.
در همین حال، مجرمان سایبری دارن از این فرصت استفاده میکنن و صفحات جعلی درست میکنن تا بدافزار پخش کنن، کلاهبرداریهای سرمایهگذاری فیک راه بندازن، و طرحهای کریپتویی تقلبی به خورد مردم بدن.
این بررسی رو شرکت NowSecure انجام داده و فهمیده که اپ نه تنها اصول پایهای امنیت رو رعایت نکرده، بلکه یه عالمه اطلاعات از کاربر و دستگاهش جمعآوری میکنه.
طبق گفته NowSecure، این اپ هنگام ثبتنام و ارسال اطلاعات دستگاه، دادهها رو بدون رمزگذاری میفرسته که باعث میشه هر کسی که بخواد، بهشون دسترسی داشته باشه. حتی جاهایی که رمزگذاری داره، به بدترین شکل ممکن پیادهسازی شده! مثلا از یه الگوریتم قدیمی و ناامن به اسم 3DES استفاده میکنه، کلید رمزگذاری توی کدش هاردکُد شده (یعنی هر کسی که کد رو ببینه، میتونه کلید رو هم پیدا کنه)، و initialization vector رو هم دوباره استفاده میکنه که امنیتو نابود میکنه.
بدتر از همه، اطلاعاتی که این اپ میفرسته، مستقیم میره به سرورهایی که توسط Volcano Engine مدیریت میشن، یه سرویس ابری که متعلق به ByteDance (همون شرکت چینی که تیکتاک رو ساخته).
این اپ به صورت جهانی App Transport Security (ATS) رو غیرفعال کرده، قابلیتی که باعث میشه اپها مجبور بشن از کانالهای رمزگذاریشده استفاده کنن. یعنی این اپ عمداً گذاشته که دادهها بدون رمزگذاری روی اینترنت رد و بدل بشن!
این مشکلات فقط به DeepSeek محدود نمیشن. طبق بررسیهای شرکت امنیت سایبری Check Point، خلافکارهای سایبری دارن از هوش مصنوعی این اپ، به همراه ابزارهایی مثل Alibaba Qwen و ChatGPT، برای ساخت بدافزارها، تولید محتوای غیرقانونی، و بهینهسازی اسکریپتهای اسپم استفاده میکنن.
و Check Point هشدار داده که مهاجمان دارن از تکنیکهایی مثل jailbreaking استفاده میکنن تا لایههای حفاظتی رو دور بزنن و ابزارهایی برای به سرقت بردن اطلاعات مالی و اسپم کردن بسازن. به همین خاطر، سازمانها باید اقدامات امنیتی جدیتری انجام بدن تا جلوی این سوءِاستفادهها رو بگیرن.
چند روز پیش، Associated Press فاش کرد که سایت DeepSeek اطلاعات لاگین کاربران رو به شرکت مخابراتی دولتی China Mobile ارسال میکنه، شرکتی که در آمریکا تحریم شده و اجازه فعالیت نداره.
همین ارتباطات باعث شده که مقامات آمریکایی به دنبال ممنوعیت DeepSeek روی دستگاههای دولتی باشن، چون ممکنه اطلاعات کاربران رو به دولت چین بده. این نگرانیها باعث شدن که کشورهایی مثل استرالیا، ایتالیا، هلند، تایوان، و کره جنوبی و سازمانهایی مثل کنگره آمریکا، ناسا، نیروی دریایی، پنتاگون، و دولت تگزاس استفاده از این اپ رو روی دستگاههای دولتی ممنوع کنن.
با رشد انفجاری محبوبیت DeepSeek، هکرها هم بیکار نشستن. شرکت امنیت سایبری چینی XLab گزارش داده که این سرویس اخیراً مورد حملههای شدید DDoS از سمت باتنتهای Mirai، hailBot و RapperBot قرار گرفته.
در همین حال، مجرمان سایبری دارن از این فرصت استفاده میکنن و صفحات جعلی درست میکنن تا بدافزار پخش کنن، کلاهبرداریهای سرمایهگذاری فیک راه بندازن، و طرحهای کریپتویی تقلبی به خورد مردم بدن.
👍4🙏1
توی یه خبرCISA (آژانس امنیت سایبری و زیرساختهای آمریکا) هشدار داده که یه مشکل امنیتی توی نرمافزار Trimble Cityworks که برای مدیریت داراییهای مبتنی بر GIS استفاده میشه، الان داره توی دنیای واقعی مورد سوءِاستفاده قرار میگیره.
این مشکل امنیتی که CVE-2025-0994 (امتیاز CVSS v4: 8.6) نام داره، یه باگ از نوع deserialization of untrusted data هستش. این باگ یه نوع آسیب پذیریه که وقتی دادههای خارجی (که از منابع غیرقابل اعتماد میان) بدون بررسی درست و کامل در سیستم بارگذاری یا deserializing میشن، میتونه منجر به اجرای کدهای خطرناک بشه.
برای درک بهتر، serialization یعنی تبدیل دادهها به فرمتی که بشه اونها رو ذخیره یا انتقال داد (مثلاً به صورت رشته یا باینری). حالا، deserialization یعنی تبدیل همون دادهها به فرم اصلیشون برای استفاده در برنامه.
از طرفی CISA گفته: "این مشکل میتونه به یه کاربر احراز هویتشده این اجازه رو بده که حملهای با کد دلخواه از راه دور به سرور وب Microsoft IIS مشتریها انجام بده."
نسخههای آسیبپذیر:
- همه نسخههای Cityworks قبل از 15.8.9
- همه نسخههای Cityworks with office companion قبل از 23.10
شرکت Trimble از 29 ژانویه 2025 پچهایی برای برطرف کردن این مشکل منتشر کرده، ولی CISA گفته که این ضعف امنیتی توی حملات واقعی داره استفاده میشه. شرکت Trimble هم گزارش داده که "تلاشهای غیرمجاز برای دسترسی به پیادهسازیهای Cityworks بعضی از مشتریها" دریافت کرده.
طبق شواهد منتشر شده، هکرها از این باگ برای اجرای Rust-based loader استفاده میکنن که بعدش Cobalt Strike و یه ابزار دسترسی از راه دور به اسم VShell رو راهاندازی میکنه، به علاوه چند پیلود شناسایی نشده دیگه.
و CISA این مشکل رو به لیست CVEهای شناختهشده اضافه کرده و از آژانسهای فدرال اجرایی خواسته که این مشکل رو تا 28 فوریه 2025 برطرف کنن. CISA همچنین توصیه کرده که کاربران و مدیران سیستم برای شناسایی علائم compromise (آلودگی سیستم) جستجو کنن و حتماً آپدیتها و روشهای رفع مشکل رو اعمال کنن.
این مشکل امنیتی که CVE-2025-0994 (امتیاز CVSS v4: 8.6) نام داره، یه باگ از نوع deserialization of untrusted data هستش. این باگ یه نوع آسیب پذیریه که وقتی دادههای خارجی (که از منابع غیرقابل اعتماد میان) بدون بررسی درست و کامل در سیستم بارگذاری یا deserializing میشن، میتونه منجر به اجرای کدهای خطرناک بشه.
برای درک بهتر، serialization یعنی تبدیل دادهها به فرمتی که بشه اونها رو ذخیره یا انتقال داد (مثلاً به صورت رشته یا باینری). حالا، deserialization یعنی تبدیل همون دادهها به فرم اصلیشون برای استفاده در برنامه.
از طرفی CISA گفته: "این مشکل میتونه به یه کاربر احراز هویتشده این اجازه رو بده که حملهای با کد دلخواه از راه دور به سرور وب Microsoft IIS مشتریها انجام بده."
نسخههای آسیبپذیر:
- همه نسخههای Cityworks قبل از 15.8.9
- همه نسخههای Cityworks with office companion قبل از 23.10
شرکت Trimble از 29 ژانویه 2025 پچهایی برای برطرف کردن این مشکل منتشر کرده، ولی CISA گفته که این ضعف امنیتی توی حملات واقعی داره استفاده میشه. شرکت Trimble هم گزارش داده که "تلاشهای غیرمجاز برای دسترسی به پیادهسازیهای Cityworks بعضی از مشتریها" دریافت کرده.
طبق شواهد منتشر شده، هکرها از این باگ برای اجرای Rust-based loader استفاده میکنن که بعدش Cobalt Strike و یه ابزار دسترسی از راه دور به اسم VShell رو راهاندازی میکنه، به علاوه چند پیلود شناسایی نشده دیگه.
و CISA این مشکل رو به لیست CVEهای شناختهشده اضافه کرده و از آژانسهای فدرال اجرایی خواسته که این مشکل رو تا 28 فوریه 2025 برطرف کنن. CISA همچنین توصیه کرده که کاربران و مدیران سیستم برای شناسایی علائم compromise (آلودگی سیستم) جستجو کنن و حتماً آپدیتها و روشهای رفع مشکل رو اعمال کنن.
🔥2