GeekNotif
اپل خیلی به طور یهویی شکایت خودشو علیه NSO group پس گرفته ... بزارید یه داستانی رو بگم ... این NSO شرکت اسرائیلی هست که سازنده بدافزار پگاسوس بود همون بدافزاری که کولاک به پا کرد یه بدافزار زیرو کلیک که بدون اینکه کاری انجام بدین میتونست کنترل گوشی شمارو…
واتساپ یه عملیات جاسوسی با اسپایور اسرائیلی رو متوقف کرد ...
واتساپ، که متعلق به متاست، اعلام کرده یه کمپین جاسوسی رو که هدفش خبرنگارا و فعالای جامعه مدنی بودن، مختل کرده.این حمله که حدود ۹۰ نفر رو هدف گرفته بود، از اسپایور یه شرکت اسرائیلی به اسم Paragon Solutions استفاده میکرد. و توی دسامبر ۲۰۲۴ موفق شدن این حمله رو خنثی کنن.
واتساپ به کاربرای آسیبدیده پیام داده و گفته "با اطمینان بالا" باور داره که این افراد هدف حمله قرار گرفتن ولی هنوز مشخص نیست این حمله کار کی بوده و چه مدت طول کشیده.
حمله از نوع "Zero-Click" بوده ، احتمال داره اسپایور از طریق یه فایل PDF خاص که به اعضای گروههای واتساپی فرستاده میشده، پخش شده باشه.
واتساپ یه اخطار قانونی (Cease and Desist) برای Paragon فرستاده و گفته داره به گزینههای دیگه هم فکر میکنه. این اولین باره که اسم Paragon توی پروندههایی میاد که مربوط به سو استفاده از تکنولوژیش باشه.
شرکت Paragon یه شرکت اسرائیلیه که نرمافزار نظارتی Graphite رو میسازه، یه چیزی شبیه به Pegasus که شرکت NSO Group تولید میکنه. مشتریهای این شرکت معمولاً دولتها هستن که از این ابزار برای مبارزه با تهدیدات دیجیتالی استفاده میکنن. دسامبر ۲۰۲۴، یه گروه سرمایهگذاری آمریکایی به اسم AE Industrial Partners این شرکت رو با یه معامله ۵۰۰ میلیون دلاری خرید.
جالبه بدونی که توی ۲۰۲۲ معلوم شد که DEA (آژانس مبارزه با مواد مخدر آمریکا) از Graphite برای عملیاتهای مبارزه با قاچاق مواد استفاده کرده و سال بعدش هم، مرکز دموکراسی و فناوری (CDT) از وزارت امنیت داخلی آمریکا خواست که اطلاعات قرارداد ۲ میلیون دلاریش با Paragon رو منتشر کنه.
داستان از اونجایی جالب میشه که چند هفته پیش، یه قاضی توی کالیفرنیا رأی داد که واتساپ پرونده حقوقی مهمی رو علیه NSO Group برده. این پرونده درباره این بود که NSO از سرورهای واتساپ برای ارسال اسپایور Pegasus به ۱۴۰۰ گوشی توی می ۲۰۱۹ استفاده کرده بود.
افشای این حمله دقیقاً همزمان شده با بازداشت وزیر دادگستری سابق لهستان، "زبینیف ژوبرو"، که متهمه به این که از Pegasus برای جاسوسی از رهبرای مخالف دولت استفاده کرده.
واتساپ، که متعلق به متاست، اعلام کرده یه کمپین جاسوسی رو که هدفش خبرنگارا و فعالای جامعه مدنی بودن، مختل کرده.این حمله که حدود ۹۰ نفر رو هدف گرفته بود، از اسپایور یه شرکت اسرائیلی به اسم Paragon Solutions استفاده میکرد. و توی دسامبر ۲۰۲۴ موفق شدن این حمله رو خنثی کنن.
واتساپ به کاربرای آسیبدیده پیام داده و گفته "با اطمینان بالا" باور داره که این افراد هدف حمله قرار گرفتن ولی هنوز مشخص نیست این حمله کار کی بوده و چه مدت طول کشیده.
حمله از نوع "Zero-Click" بوده ، احتمال داره اسپایور از طریق یه فایل PDF خاص که به اعضای گروههای واتساپی فرستاده میشده، پخش شده باشه.
واتساپ یه اخطار قانونی (Cease and Desist) برای Paragon فرستاده و گفته داره به گزینههای دیگه هم فکر میکنه. این اولین باره که اسم Paragon توی پروندههایی میاد که مربوط به سو استفاده از تکنولوژیش باشه.
شرکت Paragon یه شرکت اسرائیلیه که نرمافزار نظارتی Graphite رو میسازه، یه چیزی شبیه به Pegasus که شرکت NSO Group تولید میکنه. مشتریهای این شرکت معمولاً دولتها هستن که از این ابزار برای مبارزه با تهدیدات دیجیتالی استفاده میکنن. دسامبر ۲۰۲۴، یه گروه سرمایهگذاری آمریکایی به اسم AE Industrial Partners این شرکت رو با یه معامله ۵۰۰ میلیون دلاری خرید.
جالبه بدونی که توی ۲۰۲۲ معلوم شد که DEA (آژانس مبارزه با مواد مخدر آمریکا) از Graphite برای عملیاتهای مبارزه با قاچاق مواد استفاده کرده و سال بعدش هم، مرکز دموکراسی و فناوری (CDT) از وزارت امنیت داخلی آمریکا خواست که اطلاعات قرارداد ۲ میلیون دلاریش با Paragon رو منتشر کنه.
داستان از اونجایی جالب میشه که چند هفته پیش، یه قاضی توی کالیفرنیا رأی داد که واتساپ پرونده حقوقی مهمی رو علیه NSO Group برده. این پرونده درباره این بود که NSO از سرورهای واتساپ برای ارسال اسپایور Pegasus به ۱۴۰۰ گوشی توی می ۲۰۱۹ استفاده کرده بود.
افشای این حمله دقیقاً همزمان شده با بازداشت وزیر دادگستری سابق لهستان، "زبینیف ژوبرو"، که متهمه به این که از Pegasus برای جاسوسی از رهبرای مخالف دولت استفاده کرده.
👍3❤1👎1
گروه باجافزار بدنام WantToCry از تنظیمات اشتباه توی سرویس SMB (پروتکل اشتراکگذاری فایل توی شبکه) سوءاستفاده میکنه تا وارد شبکهها بشه و حملات گستردهای راه بندازه.
چطوری وارد شبکهها میشن؟
وقتی تنظیمات SMB ضعیف باشه ، مثلاً پسوردهای ساده، نرمافزارهای قدیمی، یا تنظیمات امنیتی نامناسب ، هکرها راحت میتونن نفوذ کنن. اونا از این طریق به درایوهای شبکه و دستگاههای ذخیرهسازی NAS دسترسی پیدا میکنن و بعدش شروع به خرابکاری میکنن.
چیکار میکنن ؟
بعد از ورود، هکرها توی شبکه ، سطح دسترسیشون رو بالا میبرن و فایلهای مهم رو رمزگذاری میکنن. این کار باعث میشه شرکتها و سازمانها فلج بشن. معمولاً از باگهایی مثل EternalBlue استفاده میکنن تا سریع توی شبکه پخش بشن.
گروه WantToCry چطوری حمله میکنه؟
این گروه از دسامبر ۲۰۲۳ فعال شده و حملاتش رو بیشتر کرده. روش کارش اینه که با یه دیتابیس بزرگ از بیش از یک میلیون پسورد، به سیستمهایی که SMB، SSH، FTP، RPC و VNC دارن، حمله میکنه. معمولاً کار رو با اسکن اینترنت شروع میکنن تا سیستمهایی که پورت TCP 445 باز دارن، پیدا کنن. بعدش یه حمله Brute-Force راه میندازن و سعی میکنن وارد سیستم بشن.
خب حالا وارد هم بشن ، بعدش چی ؟
- توی شبکه هدف میگردن و فایلهای مهم رو پیدا میکنن.
- فایلها رو از راه دور رمزگذاری میکنن، بدون اینکه اثری روی سیستم لوکال بذارن.
- پسوند فایلهای رمزگذاریشده ".want_to_cry" میشه.
- یه یادداشت باجگیری به اسم "!want_to_cry.txt" میذارن که توش توضیح دادن چطور باید پول پرداخت بشه (معمولاً از طریق پیامرسانهای رمزگذاریشده مثل Telegram یا Tox).
اگه تنظیمات SMB درست انجام نشه و این سرویسها به اینترنت باز باشن، ممکنه:
- اطلاعات حساس لو بره.
- فایلهای مهم رمزگذاری بشه و بدون پرداخت باج قابل بازیابی نباشه.
- شرکتها به خاطر قطعی سیستم و کاهش بهرهوری ضرر مالی ببینن.
- اعتبار سازمانها آسیب ببینه و مشتریهاشون رو از دست بدن.
-حداقل بیاید SMB رو درست تنظیم کنید و دسترسیهای غیرضروری رو ببندید.
- نرمافزارهای امنیتی و پچ های امنیتی رو همیشه آپدیت نگه دارید.
- برای نظارت بر شبکه از ابزارهایی مثل SIEM استفاده کنید.
-اگه از SMB استفاده نمیکنید، کلاً غیرفعالش کنید که راه نفوذ کمتر بشه.
-پسوردهای پیچیده استفاده کنید و اگه میشه، MFA (احراز هویت چندمرحلهای) رو برای SMB فعال کنید.
-با فایروال دسترسی به پورتهای 445 و 139 رو از بیرون ببندید تا کسی از اینترنت نتونه وصل بشه.
-اگه شبکه رو بخشبندی (Segmentation) کنید، اگه یه جایی مورد نفوذ قرار گرفت ، کل سیستم آسیب نمیبینه.
نشونهها (IOC) :
اگه این IPها تو لاگهاتون بود، یعنی یه جای کار میلنگه:
194.36.179.18
194.36.178.133
اگه این امضا رو آنتیویروستون شناسایی کرد، قضیه جدیه:
HEUR:Trojan.Win32.EncrSD (یعنی یکی داره فایلهای شیرشده رو رمزگذاری میکنه)
چطوری وارد شبکهها میشن؟
وقتی تنظیمات SMB ضعیف باشه ، مثلاً پسوردهای ساده، نرمافزارهای قدیمی، یا تنظیمات امنیتی نامناسب ، هکرها راحت میتونن نفوذ کنن. اونا از این طریق به درایوهای شبکه و دستگاههای ذخیرهسازی NAS دسترسی پیدا میکنن و بعدش شروع به خرابکاری میکنن.
چیکار میکنن ؟
بعد از ورود، هکرها توی شبکه ، سطح دسترسیشون رو بالا میبرن و فایلهای مهم رو رمزگذاری میکنن. این کار باعث میشه شرکتها و سازمانها فلج بشن. معمولاً از باگهایی مثل EternalBlue استفاده میکنن تا سریع توی شبکه پخش بشن.
گروه WantToCry چطوری حمله میکنه؟
این گروه از دسامبر ۲۰۲۳ فعال شده و حملاتش رو بیشتر کرده. روش کارش اینه که با یه دیتابیس بزرگ از بیش از یک میلیون پسورد، به سیستمهایی که SMB، SSH، FTP، RPC و VNC دارن، حمله میکنه. معمولاً کار رو با اسکن اینترنت شروع میکنن تا سیستمهایی که پورت TCP 445 باز دارن، پیدا کنن. بعدش یه حمله Brute-Force راه میندازن و سعی میکنن وارد سیستم بشن.
خب حالا وارد هم بشن ، بعدش چی ؟
- توی شبکه هدف میگردن و فایلهای مهم رو پیدا میکنن.
- فایلها رو از راه دور رمزگذاری میکنن، بدون اینکه اثری روی سیستم لوکال بذارن.
- پسوند فایلهای رمزگذاریشده ".want_to_cry" میشه.
- یه یادداشت باجگیری به اسم "!want_to_cry.txt" میذارن که توش توضیح دادن چطور باید پول پرداخت بشه (معمولاً از طریق پیامرسانهای رمزگذاریشده مثل Telegram یا Tox).
اگه تنظیمات SMB درست انجام نشه و این سرویسها به اینترنت باز باشن، ممکنه:
- اطلاعات حساس لو بره.
- فایلهای مهم رمزگذاری بشه و بدون پرداخت باج قابل بازیابی نباشه.
- شرکتها به خاطر قطعی سیستم و کاهش بهرهوری ضرر مالی ببینن.
- اعتبار سازمانها آسیب ببینه و مشتریهاشون رو از دست بدن.
-حداقل بیاید SMB رو درست تنظیم کنید و دسترسیهای غیرضروری رو ببندید.
- نرمافزارهای امنیتی و پچ های امنیتی رو همیشه آپدیت نگه دارید.
- برای نظارت بر شبکه از ابزارهایی مثل SIEM استفاده کنید.
-اگه از SMB استفاده نمیکنید، کلاً غیرفعالش کنید که راه نفوذ کمتر بشه.
-پسوردهای پیچیده استفاده کنید و اگه میشه، MFA (احراز هویت چندمرحلهای) رو برای SMB فعال کنید.
-با فایروال دسترسی به پورتهای 445 و 139 رو از بیرون ببندید تا کسی از اینترنت نتونه وصل بشه.
-اگه شبکه رو بخشبندی (Segmentation) کنید، اگه یه جایی مورد نفوذ قرار گرفت ، کل سیستم آسیب نمیبینه.
نشونهها (IOC) :
اگه این IPها تو لاگهاتون بود، یعنی یه جای کار میلنگه:
194.36.179.18
194.36.178.133
اگه این امضا رو آنتیویروستون شناسایی کرد، قضیه جدیه:
HEUR:Trojan.Win32.EncrSD (یعنی یکی داره فایلهای شیرشده رو رمزگذاری میکنه)
👍5❤1👎1🔥1
یه باگ امنیتی توی ابزار فشردهسازی 7-Zip که بهتازگی پچ شده بود، برای پخش بدافزار SmokeLoader مورد سوءاستفاده قرار گرفت.
این باگ با شناسه CVE-2025-0411 و امتیاز امنیتی ۷.۰ به مهاجمان اجازه میده تا از مکانیزم امنیتی Mark-of-the-Web (MotW) عبور کنن و کدهای مخرب رو توی سطح دسترسی کاربر اجرا کنن. این مشکل توی نسخه ۲۴.۰۹ از 7-Zip که توی نوامبر ۲۰۲۴ منتشر شد، رفع شد.
پیتر گیرنوس، محقق امنیتی شرکت Trend Micro گفته:
احتمالا این باگ بهعنوان یه سلاح سایبری برای حمله به سازمانهای دولتی و غیردولتی توی اوکراین مورد استفاده قرار گرفته . این حملات در بحبوحهی درگیری روسیه و اوکراین انجام شده و هدفش جاسوسی سایبری بوده.
و درباره MotW باید بگیم یه قابلیت امنیتی توی ویندوزه که اجازه نمیده فایلهای دانلود شده از اینترنت بدون بررسی Microsoft Defender SmartScreen اجرا بشن. اما این باگ با فشردهسازی دوباره محتوا، مکانیزم MotW رو دور میزنه. یعنی مهاجم یه آرشیو میسازه، بعد یه آرشیو دیگه از همون آرشیو میسازه تا بدافزارش مخفی بمونه.
گیرنوس میگه:
حملات اولیه که این باگ رو بهعنوان یه zero-day استفاده کردن، توی ۲۵ سپتامبر ۲۰۲۴ شناسایی شدن. زنجیره آلودهسازی به SmokeLoader ختم میشد، بدافزاری که بارها برای هدفگیری اوکراین به کار رفته.
همهچی با یه ایمیل فیشینگ شروع میشد که یه فایل ZIP خاص توش بود. این فایل از حمله هوموگلیف استفاده میکرد تا فایل داخلی رو به شکل یه سند ورد نمایش بده و کاربر رو به اجرای اون ترغیب کنه.
طبق گزارش Trend Micro، این ایمیلها از حسابهای ایمیلی که قبلاً هک شده بودن، ارسال شدن ، حسابهایی که متعلق به سازمانهای دولتی و تجاری اوکراینی بودن. یعنی مهاجما از این حسابای لو رفته استفاده کردن تا ایمیلهاشون معتبرتر به نظر برسه و قربانی رو راحتتر فریب بدن.
گیرنوس توضیح میده:
«استفاده از این حسابهای هک شده باعث میشه ایمیلها واقعیتر به نظر برسن و قربانیان به راحتی فریب بخورن.»
بعد از اینکه کاربر فریب میخورد و فایل ZIP رو باز میکرد، یه فایل اینترنتی (.URL) توی آرشیو بود که به یه سرور مخرب لینک میشد. این سرور یه ZIP دیگه رو دانلود میکرد که توش بدافزار SmokeLoader مخفی شده بود ، البته با یه ظاهر جعلی که شبیه یه فایل PDF به نظر میرسید.
حداقل ۹ سازمان دولتی و غیردولتی اوکراینی توی این حمله آسیب دیدن، از جمله:
با توجه به اینکه این آسیبپذیری بهطور فعال مورد سوءاستفاده قرار گرفته، پیشنهاد میشه که کاربران:
- بیان و 7-Zip رو به آخرین نسخه آپدیت کنن .
- فیلترهای ایمیل رو برای جلوگیری از حملات فیشینگ فعال کنن .
- اجرای فایلهای دانلودشده از منابع نامعتبر رو غیرفعال کنن .
گیرنوس یه نکته جالب رو هم مطرح کرده:
این باگ با شناسه CVE-2025-0411 و امتیاز امنیتی ۷.۰ به مهاجمان اجازه میده تا از مکانیزم امنیتی Mark-of-the-Web (MotW) عبور کنن و کدهای مخرب رو توی سطح دسترسی کاربر اجرا کنن. این مشکل توی نسخه ۲۴.۰۹ از 7-Zip که توی نوامبر ۲۰۲۴ منتشر شد، رفع شد.
پیتر گیرنوس، محقق امنیتی شرکت Trend Micro گفته:
«این آسیبپذیری توسط گروههای جرایم سایبری روسی از طریق حملات فیشینگ هدفمند (spear-phishing) مورد استفاده قرار گرفته. مهاجمان از تکنیک هوموگلیف برای جعل پسوند فایلهای سندی استفاده کردن تا هم کاربرا و هم ویندوز رو فریب بدن و فایل مخرب اجرا بشه.»
احتمالا این باگ بهعنوان یه سلاح سایبری برای حمله به سازمانهای دولتی و غیردولتی توی اوکراین مورد استفاده قرار گرفته . این حملات در بحبوحهی درگیری روسیه و اوکراین انجام شده و هدفش جاسوسی سایبری بوده.
و درباره MotW باید بگیم یه قابلیت امنیتی توی ویندوزه که اجازه نمیده فایلهای دانلود شده از اینترنت بدون بررسی Microsoft Defender SmartScreen اجرا بشن. اما این باگ با فشردهسازی دوباره محتوا، مکانیزم MotW رو دور میزنه. یعنی مهاجم یه آرشیو میسازه، بعد یه آرشیو دیگه از همون آرشیو میسازه تا بدافزارش مخفی بمونه.
گیرنوس میگه:
«مشکل اصلی CVE-2025-0411 اینه که تا قبل از نسخه ۲۴.۰۹، 7-Zip قابلیت MotW رو برای فایلهای داخل آرشیوهای چندلایه منتقل نمیکرد. این باعث میشد که مهاجمان بتونن اسکریپتها یا اجراییهای مخرب رو توی آرشیو جاسازی کنن بدون اینکه ویندوز اونها رو مشکوک بدونه.»
حملات اولیه که این باگ رو بهعنوان یه zero-day استفاده کردن، توی ۲۵ سپتامبر ۲۰۲۴ شناسایی شدن. زنجیره آلودهسازی به SmokeLoader ختم میشد، بدافزاری که بارها برای هدفگیری اوکراین به کار رفته.
همهچی با یه ایمیل فیشینگ شروع میشد که یه فایل ZIP خاص توش بود. این فایل از حمله هوموگلیف استفاده میکرد تا فایل داخلی رو به شکل یه سند ورد نمایش بده و کاربر رو به اجرای اون ترغیب کنه.
طبق گزارش Trend Micro، این ایمیلها از حسابهای ایمیلی که قبلاً هک شده بودن، ارسال شدن ، حسابهایی که متعلق به سازمانهای دولتی و تجاری اوکراینی بودن. یعنی مهاجما از این حسابای لو رفته استفاده کردن تا ایمیلهاشون معتبرتر به نظر برسه و قربانی رو راحتتر فریب بدن.
گیرنوس توضیح میده:
«استفاده از این حسابهای هک شده باعث میشه ایمیلها واقعیتر به نظر برسن و قربانیان به راحتی فریب بخورن.»
بعد از اینکه کاربر فریب میخورد و فایل ZIP رو باز میکرد، یه فایل اینترنتی (.URL) توی آرشیو بود که به یه سرور مخرب لینک میشد. این سرور یه ZIP دیگه رو دانلود میکرد که توش بدافزار SmokeLoader مخفی شده بود ، البته با یه ظاهر جعلی که شبیه یه فایل PDF به نظر میرسید.
حداقل ۹ سازمان دولتی و غیردولتی اوکراینی توی این حمله آسیب دیدن، از جمله:
- وزارت دادگستری اوکراین
- سرویس حمل و نقل عمومی کییف
- شرکت آبرسانی کییف
- شورای شهر کییف
با توجه به اینکه این آسیبپذیری بهطور فعال مورد سوءاستفاده قرار گرفته، پیشنهاد میشه که کاربران:
- بیان و 7-Zip رو به آخرین نسخه آپدیت کنن .
- فیلترهای ایمیل رو برای جلوگیری از حملات فیشینگ فعال کنن .
- اجرای فایلهای دانلودشده از منابع نامعتبر رو غیرفعال کنن .
گیرنوس یه نکته جالب رو هم مطرح کرده:
«تو این حملات، هدف اصلی بیشتر سازمانهای کوچیک دولتی بودن. این سازمانها معمولاً تحت فشار حملات سایبری قرار دارن، اما نه بودجه کافی دارن و نه تیم امنیتی قوی مثل نهادهای دولتی بزرگتر. مهاجما میتونن این سازمانهای کوچیک رو بهعنوان نقطه ورود استفاده کنن تا به سازمانهای دولتی بزرگتر نفوذ کنن.»
❤2
Tails 6.12 Anonymous OS Fixes Security Issues in Tor Circuits, Persistent Storage
https://9to5linux.com/tails-6-12-anonymous-os-fixes-security-issues-in-tor-circuits-persistent-storage
https://9to5linux.com/tails-6-12-anonymous-os-fixes-security-issues-in-tor-circuits-persistent-storage
9to5Linux
Tails 6.12 Anonymous OS Fixes Security Issues in Tor Circuits, Persistent Storage - 9to5Linux
Tails 6.12 amnesic incognito live system distribution is now available for download with more fixes for critical vulnerabilities.
یه سری فرد مخرب اومدن و از یه سری باگ امنیتی که تازه توی نرمافزار SimpleHelp کشف شده بود سوءاستفاده کردن. این نرمافزار برای مدیریت از راه دور سیستمها استفاده میشه. این حرکتشون هم احتمالاً یه مقدمه برای یه حمله باجافزاری بوده.
شرکت امنیت سایبری Field Effect توی گزارشی که به The Hacker News داده گفته این نفوذ از طریق این باگهایی که حالا پچ شدن انجام شده تا هکرها بتونن دسترسی اولیه بگیرن و از راه دور توی سیستم قربانی بمونن.
بعد از این که هکرها وارد سیستم شدن، یه سری حرکت سریع و حسابشده انجام دادن. از جمله این که شبکه و سیستم رو اسکن کردن، یه اکانت ادمین جدید ساختن، و راههایی برای باقی موندن توی سیستم ایجاد کردن. این کارا همگی میتونستن منجر به اجرای یه حمله باجافزاری بشن. اینو دوتا محقق امنیتی به نامهای Ryan Slaney و Daniel Albrecht گفتن.
سه تا باگ امنیتی بودن به اسم CVE-2024-57726، CVE-2024-57727، و CVE-2024-57728 که ماه پیش توسط Horizon3.ai گزارش شدن. اگه کسی از این باگها سوءاستفاده میکرد، میتونست اطلاعات رو درز بده، سطح دسترسی خودش رو بالا ببره یا حتی از راه دور کد اجرا کنه.
البته این باگها توی نسخههای 5.3.9، 5.4.10 و 5.5.8 که توی ۸ و ۱۳ ژانویه ۲۰۲۵ منتشر شدن، برطرف شدن.
اما فقط چند هفته بعد، شرکت Arctic Wolf متوجه شد یه سری حمله داره انجام میشه که توشون هکرها با دسترسی غیرمجاز به دستگاههایی که SimpleHelp روشون نصبه، وارد سیستم قربانی میشن.
شرکت Field Effect یه حمله رو بررسی کرده که توش هکرها تونستن از طریق یه نمونهی آسیبپذیر SimpleHelp که روی یه آیپی توی استونی ("194.76.227.171") بوده، به یه سیستم هدف دسترسی پیدا کنن.
بعد از این که هکرها از راه دور به سیستم وصل شدن، شروع کردن به انجام یه سری کارهای بعد از نفوذ، مثل شناسایی سیستم و ساخت یه اکانت ادمین به اسم "sqladmin". این کار رو کردن که بتونن یه ابزار اوپنسورس به اسم Sliver رو اجرا کنن.
بعد، از طریق همین Sliver توی شبکه حرکت کردن، یه ارتباط بین سرور دامنه (Domain Controller) و اون SimpleHelp آلوده برقرار کردن و در نهایت یه تونل Cloudflare ساختن که ترافیک رو به سرورهای خودشون هدایت کنن، بدون این که کسی متوجه بشه.
اما خوشبختانه، شرکت Field Effect توی همین مرحله متوجه حمله شد و جلوی اجرای تونل رو گرفت. بعدش هم سیستم آلوده رو از شبکه قطع کردن تا بیشتر آسیب نبینه.
اون تونل Cloudflare احتمالاً برای دانلود فایلهای مخرب دیگه، از جمله باجافزار، استفاده میشد. این حمله شباهت زیادی به حملات باجافزاری Akira که توی می ۲۰۲۳ گزارش شده بودن، داره. البته این احتمال هم هست که یه گروه دیگه با همون روش کار کرده باشن.
محققها میگن این کمپین فقط یه نمونه از اینه که چطوری هکرها دارن باگهای SimpleHelp رو سوءاستفاده میکنن تا بدون اجازه وارد شبکهها بشن و دسترسی دائمی پیدا کنن. اونا تأکید کردن که شرکتهایی که از این باگها آسیبپذیرن، باید هر چه زودتر SimpleHelp رو آپدیت کنن و یه راهحل امنیتی خوب برای مقابله با تهدیدات بگیرن.
از طرف دیگه، شرکت Silent Push گفته که داره میبینه هکرها بیشتر از نرمافزار ScreenConnect استفاده میکنن تا از طریق سرورهای ضدگلوله به سیستم قربانیها دسترسی پیدا کنن.
اینا دارن با استفاده از مهندسی اجتماعی، قربانیها رو گول میزنن تا نرمافزارهای قانونی رو نصب کنن. بعد که نصب شد، سریعاً از طریق همون نصبکننده تغییر داده شده به فایلهای قربانی دسترسی پیدا میکنن.
محققها میگن این کمپین فقط یه نمونه از اینه که چطوری هکرها دارن باگهای SimpleHelp رو سوءاستفاده میکنن تا بدون اجازه وارد شبکهها بشن و دسترسی دائمی پیدا کنن. اونا تأکید کردن که شرکتهایی که از این باگها آسیبپذیرن، باید هر چه زودتر SimpleHelp رو آپدیت کنن و یه راهحل امنیتی خوب برای مقابله با تهدیدات بگیرن.
از طرف دیگه، شرکت Silent Push گفته که داره میبینه هکرها بیشتر از نرمافزار ScreenConnect استفاده میکنن تا از طریق سرورهای ضدگلوله به سیستم قربانیها دسترسی پیدا کنن.
اینا دارن با استفاده از مهندسی اجتماعی، قربانیها رو گول میزنن تا نرمافزارهای قانونی رو نصب کنن. بعد که نصب شد، سریعاً از طریق همون نصبکننده تغییر داده شده به فایلهای قربانی دسترسی پیدا میکنن.
شرکت امنیت سایبری Field Effect توی گزارشی که به The Hacker News داده گفته این نفوذ از طریق این باگهایی که حالا پچ شدن انجام شده تا هکرها بتونن دسترسی اولیه بگیرن و از راه دور توی سیستم قربانی بمونن.
بعد از این که هکرها وارد سیستم شدن، یه سری حرکت سریع و حسابشده انجام دادن. از جمله این که شبکه و سیستم رو اسکن کردن، یه اکانت ادمین جدید ساختن، و راههایی برای باقی موندن توی سیستم ایجاد کردن. این کارا همگی میتونستن منجر به اجرای یه حمله باجافزاری بشن. اینو دوتا محقق امنیتی به نامهای Ryan Slaney و Daniel Albrecht گفتن.
سه تا باگ امنیتی بودن به اسم CVE-2024-57726، CVE-2024-57727، و CVE-2024-57728 که ماه پیش توسط Horizon3.ai گزارش شدن. اگه کسی از این باگها سوءاستفاده میکرد، میتونست اطلاعات رو درز بده، سطح دسترسی خودش رو بالا ببره یا حتی از راه دور کد اجرا کنه.
البته این باگها توی نسخههای 5.3.9، 5.4.10 و 5.5.8 که توی ۸ و ۱۳ ژانویه ۲۰۲۵ منتشر شدن، برطرف شدن.
اما فقط چند هفته بعد، شرکت Arctic Wolf متوجه شد یه سری حمله داره انجام میشه که توشون هکرها با دسترسی غیرمجاز به دستگاههایی که SimpleHelp روشون نصبه، وارد سیستم قربانی میشن.
شرکت Field Effect یه حمله رو بررسی کرده که توش هکرها تونستن از طریق یه نمونهی آسیبپذیر SimpleHelp که روی یه آیپی توی استونی ("194.76.227.171") بوده، به یه سیستم هدف دسترسی پیدا کنن.
بعد از این که هکرها از راه دور به سیستم وصل شدن، شروع کردن به انجام یه سری کارهای بعد از نفوذ، مثل شناسایی سیستم و ساخت یه اکانت ادمین به اسم "sqladmin". این کار رو کردن که بتونن یه ابزار اوپنسورس به اسم Sliver رو اجرا کنن.
بعد، از طریق همین Sliver توی شبکه حرکت کردن، یه ارتباط بین سرور دامنه (Domain Controller) و اون SimpleHelp آلوده برقرار کردن و در نهایت یه تونل Cloudflare ساختن که ترافیک رو به سرورهای خودشون هدایت کنن، بدون این که کسی متوجه بشه.
اما خوشبختانه، شرکت Field Effect توی همین مرحله متوجه حمله شد و جلوی اجرای تونل رو گرفت. بعدش هم سیستم آلوده رو از شبکه قطع کردن تا بیشتر آسیب نبینه.
اون تونل Cloudflare احتمالاً برای دانلود فایلهای مخرب دیگه، از جمله باجافزار، استفاده میشد. این حمله شباهت زیادی به حملات باجافزاری Akira که توی می ۲۰۲۳ گزارش شده بودن، داره. البته این احتمال هم هست که یه گروه دیگه با همون روش کار کرده باشن.
محققها میگن این کمپین فقط یه نمونه از اینه که چطوری هکرها دارن باگهای SimpleHelp رو سوءاستفاده میکنن تا بدون اجازه وارد شبکهها بشن و دسترسی دائمی پیدا کنن. اونا تأکید کردن که شرکتهایی که از این باگها آسیبپذیرن، باید هر چه زودتر SimpleHelp رو آپدیت کنن و یه راهحل امنیتی خوب برای مقابله با تهدیدات بگیرن.
از طرف دیگه، شرکت Silent Push گفته که داره میبینه هکرها بیشتر از نرمافزار ScreenConnect استفاده میکنن تا از طریق سرورهای ضدگلوله به سیستم قربانیها دسترسی پیدا کنن.
اینا دارن با استفاده از مهندسی اجتماعی، قربانیها رو گول میزنن تا نرمافزارهای قانونی رو نصب کنن. بعد که نصب شد، سریعاً از طریق همون نصبکننده تغییر داده شده به فایلهای قربانی دسترسی پیدا میکنن.
محققها میگن این کمپین فقط یه نمونه از اینه که چطوری هکرها دارن باگهای SimpleHelp رو سوءاستفاده میکنن تا بدون اجازه وارد شبکهها بشن و دسترسی دائمی پیدا کنن. اونا تأکید کردن که شرکتهایی که از این باگها آسیبپذیرن، باید هر چه زودتر SimpleHelp رو آپدیت کنن و یه راهحل امنیتی خوب برای مقابله با تهدیدات بگیرن.
از طرف دیگه، شرکت Silent Push گفته که داره میبینه هکرها بیشتر از نرمافزار ScreenConnect استفاده میکنن تا از طریق سرورهای ضدگلوله به سیستم قربانیها دسترسی پیدا کنن.
اینا دارن با استفاده از مهندسی اجتماعی، قربانیها رو گول میزنن تا نرمافزارهای قانونی رو نصب کنن. بعد که نصب شد، سریعاً از طریق همون نصبکننده تغییر داده شده به فایلهای قربانی دسترسی پیدا میکنن.
👍2❤1
یه سری سایت فیک که خودشون رو جای سایت دانلود گوگل کروم جا میزنن، دارن بدافزار ValleyRAT رو پخش میکنن. این بدافزار که اولین بار تو سال ۲۰۲۳ شناسایی شد، به یه گروه هکری به نام Silver Fox نسبت داده میشه. این گروه قبلاً بیشتر کاربران چینیزبان، مخصوصاً توی هنگکنگ، تایوان و چین رو هدف قرار داده بود.
طبق گزارشی که محقق امنیتی Shmuel Uzan از شرکت Morphisec منتشر کرده، این گروه اخیراً تمرکزش رو روی افراد کلیدی تو سازمانها گذاشته، مخصوصاً تو بخش مالی، حسابداری و فروش. یعنی مشخصاً دنبال افرادی هستن که به اطلاعات حساس و سیستمهای مهم دسترسی دارن.
توی حملات قبلی، ValleyRAT معمولاً همراه با بدافزارهای دیگه مثل Purple Fox و Gh0st RAT منتشر میشد. مخصوصاً Gh0st RAT که قبلاً خیلی توسط گروههای هکری چینی استفاده شده. جالب اینجاست که هنوز هم از روشهای قدیمی مثل نصبکنندههای فیک برای نرمافزارهای معروف برای پخش این بدافزار استفاده میکنن. مثلاً از یه DLL Loader به اسم PNGPlug کمک میگیرن تا این بدافزار رو منتشر کنن.
همین ماه پیش هم دیده شده که یه روش دیگه برای پخش Gh0st RAT استفاده شده بود. اونم با یه نصبکنندهی فیک گوگل کروم که به صورت Drive-by Download کاربران چینیزبان رو هدف قرار داده بود.
روش جدیدی که برای پخش ValleyRAT استفاده شده، دقیقاً همون داستان سایت فیک گوگل کرومه. یعنی قربانی وارد سایت جعلی میشه و یه فایل ZIP دانلود میکنه که داخلش یه فایل اجرایی به اسم Setup.exe هست.
به گفته Michael Gorelik، مدیر ارشد فناوری Morphisec، شواهدی وجود داره که این حملات به هم مرتبط هستن. این سایت جعلی قبلاً برای انتشار Gh0st RAT هم استفاده شده بود. در کل، این کمپین به طور خاص کاربرهای چینیزبان رو هدف قرار داده، چون از ترفندهای فریبندهی چینیزبان و اپلیکیشنهایی برای سرقت اطلاعات و دور زدن سیستمهای امنیتی استفاده میکنه.
لینکهای این سایتهای فیک معمولاً از طریق Drive-by Download پخش میشن. یعنی کاربر وقتی دنبال دانلود کروم میگرده، ممکنه به این سایتهای مخرب هدایت بشه و ناخواسته یه نصبکنندهی آلوده دانلود کنه. این روش از اعتمادی که کاربرها به دانلود نرمافزارهای معروف دارن سوءاستفاده میکنه.
وقتی این فایل Setup.exe اجرا بشه، اول از همه چک میکنه که آیا دسترسی ادمین داره یا نه. بعدش میره و چهار تا فایل دیگه رو دانلود میکنه، که یکی از اونها یه فایل اجرایی معتبر به اسم Douyin.exe (ورژن چینی تیکتاک) هست. از این فایل برای بارگذاری یه DLL مخرب به اسم tier0.dll استفاده میشه که در نهایت ValleyRAT رو اجرا میکنه.
همچنین یه DLL دیگه به اسم sscronet.dll هم دانلود میشه که وظیفش بستن پردازشهای مشخصی هست که توی لیست حذف شدن قرار دارن.
این بدافزار که به زبان C++ و با کامپایلر چینی نوشته شده، قابلیتهای مختلفی داره، مثل:
طبق گفته Uzan، مهاجم برای تزریق بدافزار، از برنامههای قانونی که به آسیبپذیری DLL Hijacking دچار بودن، سوءاستفاده کرده.
از طرف دیگه، شرکت Sophos هم یه گزارش داده که نشون میده حملات فیشینگ با استفاده از فایلهای SVG داره زیاد میشه. این روش به هکرها کمک میکنه که از تشخیص توسط آنتیویروسها فرار کنن و بدافزارهای ثبتکننده کلیدهای کیبورد مثل Nymeria رو روی سیستم قربانی اجرا کنن یا کاربر رو به صفحههای جعلی سرقت اطلاعات هدایت کنن.
طبق گزارشی که محقق امنیتی Shmuel Uzan از شرکت Morphisec منتشر کرده، این گروه اخیراً تمرکزش رو روی افراد کلیدی تو سازمانها گذاشته، مخصوصاً تو بخش مالی، حسابداری و فروش. یعنی مشخصاً دنبال افرادی هستن که به اطلاعات حساس و سیستمهای مهم دسترسی دارن.
توی حملات قبلی، ValleyRAT معمولاً همراه با بدافزارهای دیگه مثل Purple Fox و Gh0st RAT منتشر میشد. مخصوصاً Gh0st RAT که قبلاً خیلی توسط گروههای هکری چینی استفاده شده. جالب اینجاست که هنوز هم از روشهای قدیمی مثل نصبکنندههای فیک برای نرمافزارهای معروف برای پخش این بدافزار استفاده میکنن. مثلاً از یه DLL Loader به اسم PNGPlug کمک میگیرن تا این بدافزار رو منتشر کنن.
همین ماه پیش هم دیده شده که یه روش دیگه برای پخش Gh0st RAT استفاده شده بود. اونم با یه نصبکنندهی فیک گوگل کروم که به صورت Drive-by Download کاربران چینیزبان رو هدف قرار داده بود.
روش جدیدی که برای پخش ValleyRAT استفاده شده، دقیقاً همون داستان سایت فیک گوگل کرومه. یعنی قربانی وارد سایت جعلی میشه و یه فایل ZIP دانلود میکنه که داخلش یه فایل اجرایی به اسم Setup.exe هست.
به گفته Michael Gorelik، مدیر ارشد فناوری Morphisec، شواهدی وجود داره که این حملات به هم مرتبط هستن. این سایت جعلی قبلاً برای انتشار Gh0st RAT هم استفاده شده بود. در کل، این کمپین به طور خاص کاربرهای چینیزبان رو هدف قرار داده، چون از ترفندهای فریبندهی چینیزبان و اپلیکیشنهایی برای سرقت اطلاعات و دور زدن سیستمهای امنیتی استفاده میکنه.
لینکهای این سایتهای فیک معمولاً از طریق Drive-by Download پخش میشن. یعنی کاربر وقتی دنبال دانلود کروم میگرده، ممکنه به این سایتهای مخرب هدایت بشه و ناخواسته یه نصبکنندهی آلوده دانلود کنه. این روش از اعتمادی که کاربرها به دانلود نرمافزارهای معروف دارن سوءاستفاده میکنه.
وقتی این فایل Setup.exe اجرا بشه، اول از همه چک میکنه که آیا دسترسی ادمین داره یا نه. بعدش میره و چهار تا فایل دیگه رو دانلود میکنه، که یکی از اونها یه فایل اجرایی معتبر به اسم Douyin.exe (ورژن چینی تیکتاک) هست. از این فایل برای بارگذاری یه DLL مخرب به اسم tier0.dll استفاده میشه که در نهایت ValleyRAT رو اجرا میکنه.
همچنین یه DLL دیگه به اسم sscronet.dll هم دانلود میشه که وظیفش بستن پردازشهای مشخصی هست که توی لیست حذف شدن قرار دارن.
این بدافزار که به زبان C++ و با کامپایلر چینی نوشته شده، قابلیتهای مختلفی داره، مثل:
- مانیتور کردن صفحه نمایش
- ثبت کلیدهایی که کاربر تایپ میکنه
- ایجاد ماندگاری روی سیستم (Persistence)
- برقراری ارتباط با سرور مهاجم و اجرای دستورات مختلف
- شمارهگذاری پردازشها، دانلود و اجرای DLLها و فایلهای اجرایی دیگه
طبق گفته Uzan، مهاجم برای تزریق بدافزار، از برنامههای قانونی که به آسیبپذیری DLL Hijacking دچار بودن، سوءاستفاده کرده.
از طرف دیگه، شرکت Sophos هم یه گزارش داده که نشون میده حملات فیشینگ با استفاده از فایلهای SVG داره زیاد میشه. این روش به هکرها کمک میکنه که از تشخیص توسط آنتیویروسها فرار کنن و بدافزارهای ثبتکننده کلیدهای کیبورد مثل Nymeria رو روی سیستم قربانی اجرا کنن یا کاربر رو به صفحههای جعلی سرقت اطلاعات هدایت کنن.
👍3
محققای امنیت سایبری دوتا مدل یادگیری ماشینی مخرب توی Hugging Face پیدا کردن که از یه روش عجیب برای قایم شدن استفاده میکردن. این روش شامل یه فایل pickle خرابشده بود که باعث میشد ابزارهای امنیتی نتونن تشخیصش بدن.
محقق ReversingLabs، کارلو زانکی، گفته که وقتی فایلهای pickle مربوط به این مدلها رو بررسی کردن، فهمیدن که یه کد مخرب پایتون درست اول فایل قرار گرفته. این کد یه ریورسشل بوده که میتونسته به یه آیپی خاص وصل بشه و کنترل سیستم رو بگیره.
اسم این تکنیک رو گذاشتن NullifAI چون با این روش، مدلهای مخرب از سیستمهای امنیتی رد میشن. مدلهایی که شناسایی شدن توی این دو تا ریپوی Hugging Face بودن:
- "glockr1/ballr7"
- "who-r-u0000/0000000000000000000000000000000000000"
محققها میگن که این مدلها احتمالاً یه نمونه آزمایشی (PoC) بودن و نه یه حمله گسترده به زنجیره تأمین.
فرمت pickle که برای ذخیره مدلهای ML استفاده میشه، بارها نشون داده که میتونه یه تهدید امنیتی جدی باشه. چون این فرمت اجازه میده هر کدی موقع باز شدن مدل اجرا بشه.
این مدلها توی فرمت PyTorch ذخیره شده بودن که در واقع یه فایل pickle فشردهشده است. اما یه تفاوت مهم داشتن:
- اینکهPyTorch معمولاً از فرمت ZIP برای فشردهسازی استفاده میکنه.
- اما این مدلها به جای ZIP، از فرمت 7z استفاده کرده بودن.
به خاطر این تفاوت، ابزار Picklescan که برای بررسی امنیتی pickle توی Hugging Face استفاده میشه، نتونسته تشخیصشون بده.
زانکی توضیح داده که این فایلها بعد از اجرای کد مخرب، خراب میشدن و دیگه نمیشد اونها رو کامل دیکامپایل کرد.
ولی مشکل اینجاست که:
1. این Picklescan یه ارور میده ولی هنوز یه بخش از فایل رو اجرا میکنه.
2. از اونجایی که کد مخرب اول فایل بوده، اجرا شده و بعدش خطا داده، ولی تا اون موقع کار خودش رو کرده بوده!
بعد از کشف این مشکل، ابزار Picklescan آپدیت شده تا جلوی این روش رو بگیره.
محقق ReversingLabs، کارلو زانکی، گفته که وقتی فایلهای pickle مربوط به این مدلها رو بررسی کردن، فهمیدن که یه کد مخرب پایتون درست اول فایل قرار گرفته. این کد یه ریورسشل بوده که میتونسته به یه آیپی خاص وصل بشه و کنترل سیستم رو بگیره.
اسم این تکنیک رو گذاشتن NullifAI چون با این روش، مدلهای مخرب از سیستمهای امنیتی رد میشن. مدلهایی که شناسایی شدن توی این دو تا ریپوی Hugging Face بودن:
- "glockr1/ballr7"
- "who-r-u0000/0000000000000000000000000000000000000"
محققها میگن که این مدلها احتمالاً یه نمونه آزمایشی (PoC) بودن و نه یه حمله گسترده به زنجیره تأمین.
فرمت pickle که برای ذخیره مدلهای ML استفاده میشه، بارها نشون داده که میتونه یه تهدید امنیتی جدی باشه. چون این فرمت اجازه میده هر کدی موقع باز شدن مدل اجرا بشه.
این مدلها توی فرمت PyTorch ذخیره شده بودن که در واقع یه فایل pickle فشردهشده است. اما یه تفاوت مهم داشتن:
- اینکهPyTorch معمولاً از فرمت ZIP برای فشردهسازی استفاده میکنه.
- اما این مدلها به جای ZIP، از فرمت 7z استفاده کرده بودن.
به خاطر این تفاوت، ابزار Picklescan که برای بررسی امنیتی pickle توی Hugging Face استفاده میشه، نتونسته تشخیصشون بده.
زانکی توضیح داده که این فایلها بعد از اجرای کد مخرب، خراب میشدن و دیگه نمیشد اونها رو کامل دیکامپایل کرد.
ولی مشکل اینجاست که:
1. این Picklescan یه ارور میده ولی هنوز یه بخش از فایل رو اجرا میکنه.
2. از اونجایی که کد مخرب اول فایل بوده، اجرا شده و بعدش خطا داده، ولی تا اون موقع کار خودش رو کرده بوده!
بعد از کشف این مشکل، ابزار Picklescan آپدیت شده تا جلوی این روش رو بگیره.
👍4❤1
یه بررسی جدید روی اپ موبایل DeepSeek برای سیستمعامل iOS انجام شده و نتایجش نشون میده که اپ کلی مشکل امنیتی داره، مهم ترینش اینه که اطلاعات حساس رو بدون هیچ رمزگذاری ای میفرسته، یعنی هر کسی که وسط راه باشه، میتونه این دادهها رو ببینه یا دستکاری کنه.
این بررسی رو شرکت NowSecure انجام داده و فهمیده که اپ نه تنها اصول پایهای امنیت رو رعایت نکرده، بلکه یه عالمه اطلاعات از کاربر و دستگاهش جمعآوری میکنه.
طبق گفته NowSecure، این اپ هنگام ثبتنام و ارسال اطلاعات دستگاه، دادهها رو بدون رمزگذاری میفرسته که باعث میشه هر کسی که بخواد، بهشون دسترسی داشته باشه. حتی جاهایی که رمزگذاری داره، به بدترین شکل ممکن پیادهسازی شده! مثلا از یه الگوریتم قدیمی و ناامن به اسم 3DES استفاده میکنه، کلید رمزگذاری توی کدش هاردکُد شده (یعنی هر کسی که کد رو ببینه، میتونه کلید رو هم پیدا کنه)، و initialization vector رو هم دوباره استفاده میکنه که امنیتو نابود میکنه.
بدتر از همه، اطلاعاتی که این اپ میفرسته، مستقیم میره به سرورهایی که توسط Volcano Engine مدیریت میشن، یه سرویس ابری که متعلق به ByteDance (همون شرکت چینی که تیکتاک رو ساخته).
این اپ به صورت جهانی App Transport Security (ATS) رو غیرفعال کرده، قابلیتی که باعث میشه اپها مجبور بشن از کانالهای رمزگذاریشده استفاده کنن. یعنی این اپ عمداً گذاشته که دادهها بدون رمزگذاری روی اینترنت رد و بدل بشن!
این مشکلات فقط به DeepSeek محدود نمیشن. طبق بررسیهای شرکت امنیت سایبری Check Point، خلافکارهای سایبری دارن از هوش مصنوعی این اپ، به همراه ابزارهایی مثل Alibaba Qwen و ChatGPT، برای ساخت بدافزارها، تولید محتوای غیرقانونی، و بهینهسازی اسکریپتهای اسپم استفاده میکنن.
و Check Point هشدار داده که مهاجمان دارن از تکنیکهایی مثل jailbreaking استفاده میکنن تا لایههای حفاظتی رو دور بزنن و ابزارهایی برای به سرقت بردن اطلاعات مالی و اسپم کردن بسازن. به همین خاطر، سازمانها باید اقدامات امنیتی جدیتری انجام بدن تا جلوی این سوءِاستفادهها رو بگیرن.
چند روز پیش، Associated Press فاش کرد که سایت DeepSeek اطلاعات لاگین کاربران رو به شرکت مخابراتی دولتی China Mobile ارسال میکنه، شرکتی که در آمریکا تحریم شده و اجازه فعالیت نداره.
همین ارتباطات باعث شده که مقامات آمریکایی به دنبال ممنوعیت DeepSeek روی دستگاههای دولتی باشن، چون ممکنه اطلاعات کاربران رو به دولت چین بده. این نگرانیها باعث شدن که کشورهایی مثل استرالیا، ایتالیا، هلند، تایوان، و کره جنوبی و سازمانهایی مثل کنگره آمریکا، ناسا، نیروی دریایی، پنتاگون، و دولت تگزاس استفاده از این اپ رو روی دستگاههای دولتی ممنوع کنن.
با رشد انفجاری محبوبیت DeepSeek، هکرها هم بیکار نشستن. شرکت امنیت سایبری چینی XLab گزارش داده که این سرویس اخیراً مورد حملههای شدید DDoS از سمت باتنتهای Mirai، hailBot و RapperBot قرار گرفته.
در همین حال، مجرمان سایبری دارن از این فرصت استفاده میکنن و صفحات جعلی درست میکنن تا بدافزار پخش کنن، کلاهبرداریهای سرمایهگذاری فیک راه بندازن، و طرحهای کریپتویی تقلبی به خورد مردم بدن.
این بررسی رو شرکت NowSecure انجام داده و فهمیده که اپ نه تنها اصول پایهای امنیت رو رعایت نکرده، بلکه یه عالمه اطلاعات از کاربر و دستگاهش جمعآوری میکنه.
طبق گفته NowSecure، این اپ هنگام ثبتنام و ارسال اطلاعات دستگاه، دادهها رو بدون رمزگذاری میفرسته که باعث میشه هر کسی که بخواد، بهشون دسترسی داشته باشه. حتی جاهایی که رمزگذاری داره، به بدترین شکل ممکن پیادهسازی شده! مثلا از یه الگوریتم قدیمی و ناامن به اسم 3DES استفاده میکنه، کلید رمزگذاری توی کدش هاردکُد شده (یعنی هر کسی که کد رو ببینه، میتونه کلید رو هم پیدا کنه)، و initialization vector رو هم دوباره استفاده میکنه که امنیتو نابود میکنه.
بدتر از همه، اطلاعاتی که این اپ میفرسته، مستقیم میره به سرورهایی که توسط Volcano Engine مدیریت میشن، یه سرویس ابری که متعلق به ByteDance (همون شرکت چینی که تیکتاک رو ساخته).
این اپ به صورت جهانی App Transport Security (ATS) رو غیرفعال کرده، قابلیتی که باعث میشه اپها مجبور بشن از کانالهای رمزگذاریشده استفاده کنن. یعنی این اپ عمداً گذاشته که دادهها بدون رمزگذاری روی اینترنت رد و بدل بشن!
این مشکلات فقط به DeepSeek محدود نمیشن. طبق بررسیهای شرکت امنیت سایبری Check Point، خلافکارهای سایبری دارن از هوش مصنوعی این اپ، به همراه ابزارهایی مثل Alibaba Qwen و ChatGPT، برای ساخت بدافزارها، تولید محتوای غیرقانونی، و بهینهسازی اسکریپتهای اسپم استفاده میکنن.
و Check Point هشدار داده که مهاجمان دارن از تکنیکهایی مثل jailbreaking استفاده میکنن تا لایههای حفاظتی رو دور بزنن و ابزارهایی برای به سرقت بردن اطلاعات مالی و اسپم کردن بسازن. به همین خاطر، سازمانها باید اقدامات امنیتی جدیتری انجام بدن تا جلوی این سوءِاستفادهها رو بگیرن.
چند روز پیش، Associated Press فاش کرد که سایت DeepSeek اطلاعات لاگین کاربران رو به شرکت مخابراتی دولتی China Mobile ارسال میکنه، شرکتی که در آمریکا تحریم شده و اجازه فعالیت نداره.
همین ارتباطات باعث شده که مقامات آمریکایی به دنبال ممنوعیت DeepSeek روی دستگاههای دولتی باشن، چون ممکنه اطلاعات کاربران رو به دولت چین بده. این نگرانیها باعث شدن که کشورهایی مثل استرالیا، ایتالیا، هلند، تایوان، و کره جنوبی و سازمانهایی مثل کنگره آمریکا، ناسا، نیروی دریایی، پنتاگون، و دولت تگزاس استفاده از این اپ رو روی دستگاههای دولتی ممنوع کنن.
با رشد انفجاری محبوبیت DeepSeek، هکرها هم بیکار نشستن. شرکت امنیت سایبری چینی XLab گزارش داده که این سرویس اخیراً مورد حملههای شدید DDoS از سمت باتنتهای Mirai، hailBot و RapperBot قرار گرفته.
در همین حال، مجرمان سایبری دارن از این فرصت استفاده میکنن و صفحات جعلی درست میکنن تا بدافزار پخش کنن، کلاهبرداریهای سرمایهگذاری فیک راه بندازن، و طرحهای کریپتویی تقلبی به خورد مردم بدن.
👍4🙏1
توی یه خبرCISA (آژانس امنیت سایبری و زیرساختهای آمریکا) هشدار داده که یه مشکل امنیتی توی نرمافزار Trimble Cityworks که برای مدیریت داراییهای مبتنی بر GIS استفاده میشه، الان داره توی دنیای واقعی مورد سوءِاستفاده قرار میگیره.
این مشکل امنیتی که CVE-2025-0994 (امتیاز CVSS v4: 8.6) نام داره، یه باگ از نوع deserialization of untrusted data هستش. این باگ یه نوع آسیب پذیریه که وقتی دادههای خارجی (که از منابع غیرقابل اعتماد میان) بدون بررسی درست و کامل در سیستم بارگذاری یا deserializing میشن، میتونه منجر به اجرای کدهای خطرناک بشه.
برای درک بهتر، serialization یعنی تبدیل دادهها به فرمتی که بشه اونها رو ذخیره یا انتقال داد (مثلاً به صورت رشته یا باینری). حالا، deserialization یعنی تبدیل همون دادهها به فرم اصلیشون برای استفاده در برنامه.
از طرفی CISA گفته: "این مشکل میتونه به یه کاربر احراز هویتشده این اجازه رو بده که حملهای با کد دلخواه از راه دور به سرور وب Microsoft IIS مشتریها انجام بده."
نسخههای آسیبپذیر:
- همه نسخههای Cityworks قبل از 15.8.9
- همه نسخههای Cityworks with office companion قبل از 23.10
شرکت Trimble از 29 ژانویه 2025 پچهایی برای برطرف کردن این مشکل منتشر کرده، ولی CISA گفته که این ضعف امنیتی توی حملات واقعی داره استفاده میشه. شرکت Trimble هم گزارش داده که "تلاشهای غیرمجاز برای دسترسی به پیادهسازیهای Cityworks بعضی از مشتریها" دریافت کرده.
طبق شواهد منتشر شده، هکرها از این باگ برای اجرای Rust-based loader استفاده میکنن که بعدش Cobalt Strike و یه ابزار دسترسی از راه دور به اسم VShell رو راهاندازی میکنه، به علاوه چند پیلود شناسایی نشده دیگه.
و CISA این مشکل رو به لیست CVEهای شناختهشده اضافه کرده و از آژانسهای فدرال اجرایی خواسته که این مشکل رو تا 28 فوریه 2025 برطرف کنن. CISA همچنین توصیه کرده که کاربران و مدیران سیستم برای شناسایی علائم compromise (آلودگی سیستم) جستجو کنن و حتماً آپدیتها و روشهای رفع مشکل رو اعمال کنن.
این مشکل امنیتی که CVE-2025-0994 (امتیاز CVSS v4: 8.6) نام داره، یه باگ از نوع deserialization of untrusted data هستش. این باگ یه نوع آسیب پذیریه که وقتی دادههای خارجی (که از منابع غیرقابل اعتماد میان) بدون بررسی درست و کامل در سیستم بارگذاری یا deserializing میشن، میتونه منجر به اجرای کدهای خطرناک بشه.
برای درک بهتر، serialization یعنی تبدیل دادهها به فرمتی که بشه اونها رو ذخیره یا انتقال داد (مثلاً به صورت رشته یا باینری). حالا، deserialization یعنی تبدیل همون دادهها به فرم اصلیشون برای استفاده در برنامه.
از طرفی CISA گفته: "این مشکل میتونه به یه کاربر احراز هویتشده این اجازه رو بده که حملهای با کد دلخواه از راه دور به سرور وب Microsoft IIS مشتریها انجام بده."
نسخههای آسیبپذیر:
- همه نسخههای Cityworks قبل از 15.8.9
- همه نسخههای Cityworks with office companion قبل از 23.10
شرکت Trimble از 29 ژانویه 2025 پچهایی برای برطرف کردن این مشکل منتشر کرده، ولی CISA گفته که این ضعف امنیتی توی حملات واقعی داره استفاده میشه. شرکت Trimble هم گزارش داده که "تلاشهای غیرمجاز برای دسترسی به پیادهسازیهای Cityworks بعضی از مشتریها" دریافت کرده.
طبق شواهد منتشر شده، هکرها از این باگ برای اجرای Rust-based loader استفاده میکنن که بعدش Cobalt Strike و یه ابزار دسترسی از راه دور به اسم VShell رو راهاندازی میکنه، به علاوه چند پیلود شناسایی نشده دیگه.
و CISA این مشکل رو به لیست CVEهای شناختهشده اضافه کرده و از آژانسهای فدرال اجرایی خواسته که این مشکل رو تا 28 فوریه 2025 برطرف کنن. CISA همچنین توصیه کرده که کاربران و مدیران سیستم برای شناسایی علائم compromise (آلودگی سیستم) جستجو کنن و حتماً آپدیتها و روشهای رفع مشکل رو اعمال کنن.
🔥2
سطح حمله داره با سرعتی بیشتر از توان تیمهای امنیتی رشد میکنه ، اگه میخوای جلوتر باشی، باید بدونی چی در معرض خطره و هکرها کجاها ممکنه ضربه بزنن.
با افزایش استفاده از فضای ابری، بالا آوردن سیستمها و سرویسهای جدید تو اینترنت راحت تر شده، پس اینکه بدونی چی در معرض حمله هست و از نگاه هکرها به قضیه نگاه کنی، از همیشه مهم تر شده.
سطح حمله چیه؟
به زبون ساده، سطح حمله یعنی همه دارایی های دیجیتالی که یه هکر میتونه بهشون دسترسی داشته باشه ، حالا چه امن باشن، چه آسیبپذیر، چه شناخته شده باشن، چه نه. این شامل چیزایی میشه که تو شبکه داخلی داری (مثلاً یه ایمیل مخرب که برای همکارت ارسال شده) و چیزایی که از بیرون در معرض خطرن (مثلاً یه سرور FTP که آنلاین شده).
مدیریت سطح حمله چیه؟
مدیریت سطح حمله یعنی اینکه بفهمی چی داری، چقدر در معرض خطره، و چطوری میتونی دسترسی های غیرضروری رو ببندی تا هکرها سخت تر بتونن بهشون دسترسی پیدا کنن. مثلاً یه پنل مدیریت فایروال، امروز ممکنه امن باشه، ولی اگه فردا یه باگ امنیتی براش کشف بشه، یه خطر جدی میشه. به جای اینکه صبر کنی یه آسیبپذیری پیدا بشه و بعدش رفعش کنی، باید از قبل جلوی این قضیه رو بگیری مثلا پنل فایروالت رو از اینترنت برداری.
چرا باید سطح حمله مون رو کم کنیم؟
اگه یه چیزی رو که نباید، تو اینترنت در دسترس بذاری، حتی بدون اینکه باگی براش پیدا بشه، باز هم ممکنه مورد حمله قرار بگیری ، یه مثال واقعی: تو سال ۲۰۲۴، یه سری گروه باجافزار تونستن با استفاده از یه باگ توی VMware vSphere به سرورها نفوذ کنن و اطلاعات حساس رو رمزگذاری کنن تا باج بگیرن. هنوزم هزاران تا از این سرورها بدون محافظت تو اینترنت وجود دارن!
اگه ندونی چی داری، چطوری میخوای ازش محافظت کنی؟ خیلی از شرکتها اصلاً از همه سیستم هایی که دارن خبر ندارن. مثل اتفاقی که توی هک Deloitte تو سال ۲۰۱۶ افتاد ، یه اکانت ادمین که فراموش شده بود، باعث شد کلی اطلاعات حساس لو بره.
با رفتن به فضای ابری، اوضاع پیچیده تر شده. حالا تیمهای توسعه خودشون سرور بالا میارن، ولی تیم امنیت ممکنه ندونه چه چیزایی آنلاین شده. برای همین، یه راهکار درست و حسابی لازمه که هم داراییها رو شناسایی کنه، هم امنیتشون رو بررسی کنه.
چطور سطح حمله رو امنتر کنیم؟
درمورد این سوال Intruder یه سری راهکار داره که کمکت کنه کنترل اوضاع رو به دست بگیری:
با افزایش استفاده از فضای ابری، بالا آوردن سیستمها و سرویسهای جدید تو اینترنت راحت تر شده، پس اینکه بدونی چی در معرض حمله هست و از نگاه هکرها به قضیه نگاه کنی، از همیشه مهم تر شده.
سطح حمله چیه؟
به زبون ساده، سطح حمله یعنی همه دارایی های دیجیتالی که یه هکر میتونه بهشون دسترسی داشته باشه ، حالا چه امن باشن، چه آسیبپذیر، چه شناخته شده باشن، چه نه. این شامل چیزایی میشه که تو شبکه داخلی داری (مثلاً یه ایمیل مخرب که برای همکارت ارسال شده) و چیزایی که از بیرون در معرض خطرن (مثلاً یه سرور FTP که آنلاین شده).
مدیریت سطح حمله چیه؟
مدیریت سطح حمله یعنی اینکه بفهمی چی داری، چقدر در معرض خطره، و چطوری میتونی دسترسی های غیرضروری رو ببندی تا هکرها سخت تر بتونن بهشون دسترسی پیدا کنن. مثلاً یه پنل مدیریت فایروال، امروز ممکنه امن باشه، ولی اگه فردا یه باگ امنیتی براش کشف بشه، یه خطر جدی میشه. به جای اینکه صبر کنی یه آسیبپذیری پیدا بشه و بعدش رفعش کنی، باید از قبل جلوی این قضیه رو بگیری مثلا پنل فایروالت رو از اینترنت برداری.
چرا باید سطح حمله مون رو کم کنیم؟
اگه یه چیزی رو که نباید، تو اینترنت در دسترس بذاری، حتی بدون اینکه باگی براش پیدا بشه، باز هم ممکنه مورد حمله قرار بگیری ، یه مثال واقعی: تو سال ۲۰۲۴، یه سری گروه باجافزار تونستن با استفاده از یه باگ توی VMware vSphere به سرورها نفوذ کنن و اطلاعات حساس رو رمزگذاری کنن تا باج بگیرن. هنوزم هزاران تا از این سرورها بدون محافظت تو اینترنت وجود دارن!
اگه ندونی چی داری، چطوری میخوای ازش محافظت کنی؟ خیلی از شرکتها اصلاً از همه سیستم هایی که دارن خبر ندارن. مثل اتفاقی که توی هک Deloitte تو سال ۲۰۱۶ افتاد ، یه اکانت ادمین که فراموش شده بود، باعث شد کلی اطلاعات حساس لو بره.
با رفتن به فضای ابری، اوضاع پیچیده تر شده. حالا تیمهای توسعه خودشون سرور بالا میارن، ولی تیم امنیت ممکنه ندونه چه چیزایی آنلاین شده. برای همین، یه راهکار درست و حسابی لازمه که هم داراییها رو شناسایی کنه، هم امنیتشون رو بررسی کنه.
چطور سطح حمله رو امنتر کنیم؟
درمورد این سوال Intruder یه سری راهکار داره که کمکت کنه کنترل اوضاع رو به دست بگیری:
1. پیدا کردن داراییهای ناشناخته : ممکنه بعضی چیزا مثل ساب دامینها، APIها یا صفحههای لاگین از یادت بره، ولی هکرها پیداشون میکنن.
2. چک کردن پورتها و سرویس های در معرض خطر: ببین چی تو اینترنت بازه که نباید باشه.
3. پیدا کردن آسیبپذیریهایی که بقیه از دست میدن : مثلاً دیتابیسهایی که اشتباهی عمومی شدن یا پنلهای مدیریت باز.
4. اسکن خودکار با هر تغییری : اگه چیزی جدیدی بالا بیاد، سریع بررسی بشه.
5. پیشگیری از حملات جدید: وقتی یه آسیبپذیری جدید کشف بشه، سریع سیستمها رو چک کنید که ببینید در خطر هستین یا نه.
6. تمرکز روی خطرات جدی تر باشه : بدونی کدوم مشکل اولویت داره و باید سریع تر حل بشه.
GeekNotif
Photo
اما توی یه اقدام کاملا سینمایی گونه پلیس اسپانیا یه هکری رو که ادعا میشه به چندین سازمان حمله کرده دستگیر کرده.
مأمورا گفتن این مرد که اسمش هنوز اعلام نشده، توی شهر کالپ در استان آلیکانته اسپانیا گیر افتاده. طبق ادعای پلیس، این فرد بیش از ۴۰ سازمان رو مورد حمله سایبری قرار داده و اطلاعات دزدیده شده رو لو داده.
تحقیقات پلیس منجر به بازرسی از خونه این فرد، ضبط یه سری دستگاه الکترونیکی و شناسایی بیش از ۵۰ حساب ارز دیجیتال شده. طبق گزارش رسانههای اسپانیایی، این مظنون فقط ۱۸ سالشه!
مقامهای اسپانیایی معتقدن که این فرد پشت حملاتی به چند سازمان بزرگ جهانی بوده، از جمله ناتو، سازمان ملل، ارتش آمریکا و سازمان بینالمللی هوانوردی غیرنظامی (ICAO).
این هکر همچنین متهمه که چندین سازمان اسپانیایی رو هم هدف گرفته، مثل ضرابخونه ملی، دانشگاهها، نهادهای دولتی و حتی نیروهای پلیس اسپانیا.
هکری به اسم "Natohub" توی فروم جرایم سایبری BreachForums مسئولیت خیلی از این حملات رو بهعهده گرفته. اما پلیس گفته که این فرد از حداقل سه تا یوزرنیم مختلف استفاده کرده.
بین ژوئن ۲۰۲۴ تا ژانویه ۲۰۲۵، Natohub توی این فروم ۱۸ تا پست درباره نقض دادهها گذاشته بوده. بعضی از اطلاعات دزدیده شده برای فروش گذاشته شده، ولی یه بخشی هم مجانی پخش شده.
این اطلاعات شامل اطلاعات شخصی و اسناد بوده که ظاهراً از سازمانهای مورد حمله بهدست اومده. سازمان ICAO تأیید کرده که دهها هزار پرونده مربوط به درخواست های استخدام از دیتابیسشون دزدیده شده.
بعد از خبر دستگیری این هکر، حساب Natohub توی BreachForums برای همیشه بسته شده.
مأمورا گفتن این مرد که اسمش هنوز اعلام نشده، توی شهر کالپ در استان آلیکانته اسپانیا گیر افتاده. طبق ادعای پلیس، این فرد بیش از ۴۰ سازمان رو مورد حمله سایبری قرار داده و اطلاعات دزدیده شده رو لو داده.
تحقیقات پلیس منجر به بازرسی از خونه این فرد، ضبط یه سری دستگاه الکترونیکی و شناسایی بیش از ۵۰ حساب ارز دیجیتال شده. طبق گزارش رسانههای اسپانیایی، این مظنون فقط ۱۸ سالشه!
مقامهای اسپانیایی معتقدن که این فرد پشت حملاتی به چند سازمان بزرگ جهانی بوده، از جمله ناتو، سازمان ملل، ارتش آمریکا و سازمان بینالمللی هوانوردی غیرنظامی (ICAO).
این هکر همچنین متهمه که چندین سازمان اسپانیایی رو هم هدف گرفته، مثل ضرابخونه ملی، دانشگاهها، نهادهای دولتی و حتی نیروهای پلیس اسپانیا.
هکری به اسم "Natohub" توی فروم جرایم سایبری BreachForums مسئولیت خیلی از این حملات رو بهعهده گرفته. اما پلیس گفته که این فرد از حداقل سه تا یوزرنیم مختلف استفاده کرده.
بین ژوئن ۲۰۲۴ تا ژانویه ۲۰۲۵، Natohub توی این فروم ۱۸ تا پست درباره نقض دادهها گذاشته بوده. بعضی از اطلاعات دزدیده شده برای فروش گذاشته شده، ولی یه بخشی هم مجانی پخش شده.
این اطلاعات شامل اطلاعات شخصی و اسناد بوده که ظاهراً از سازمانهای مورد حمله بهدست اومده. سازمان ICAO تأیید کرده که دهها هزار پرونده مربوط به درخواست های استخدام از دیتابیسشون دزدیده شده.
بعد از خبر دستگیری این هکر، حساب Natohub توی BreachForums برای همیشه بسته شده.
👍4
اپل روز دوشنبه یه آپدیت امنیتی فوری منتشر کرد تا یه باگ خطرناک رو توی iOS و iPadOS برطرف کنه، باگی که ظاهراً قبلاً توی دنیای واقعی مورد سوءاستفاده قرار گرفته.
این آسیبپذیری که با شناسه CVE-2025-24200 شناخته میشه، یه مشکل مربوط به دسترسیهای غیرمجاز توی دستگاههای قفلشده اپل هست. این مشکل به هکرها اجازه میده حالت محدودیت USB رو غیرفعال کنن. این حالت از iOS 11.4.1 به بعد معرفی شد و باعث میشه اگه دستگاه بیشتر از یک ساعت به اکسسوری (مثل کابل USB یا دستگاه دیگه) وصل نشده باشه، ارتباط USB غیرفعال بمونه. این کار برای اینه که ابزارهایی مثل Cellebrite یا GrayKey که توسط پلیسها و نهادهای امنیتی برای شکستن قفل آیفون استفاده میشن، نتونن به اطلاعات گوشی های مصادره شده دسترسی پیدا کنن.
اما این باگ باعث شده بود که یه مهاجم با دسترسی فیزیکی به گوشی بتونه این محدودیت رو دور بزنه. اپل جزئیات زیادی دربارهی این باگ منتشر نکرده، ولی گفته که با بهبود مدیریت وضعیت (state management) این مشکل رو برطرف کرده. همچنین تأیید کرده که این نقص امنیتی احتمالاً توی حملات خیلی پیچیده علیه افراد خاص و هدفمند مورد سوءاستفاده قرار گرفته.
این باگ رو بیل مارژاک، محقق امنیتی از تیم Citizen Lab توی دانشگاه تورنتو کشف و گزارش کرده. آپدیت امنیتی برای این دستگاهها منتشر شده:
iOS 18.3.1 و iPadOS 18.3.1:
iPadOS 17.7.5:
- آیپد پرو ۱۲.۹ اینچ نسل ۲
- آیپد پرو ۱۰.۵ اینچ
- آیپد نسل ۶
این اتفاق بعد از این افتاد که اپل چند هفته پیش یه باگ خطرناک دیگه (CVE-2025-24085) رو توی بخش Core Media برطرف کرد که توی نسخههای قبل از iOS 17.2 مورد سوءاستفاده قرار گرفته بود.
در سالهای اخیر، نقصهای امنیتی اپل ابزار اصلی شرکتهای جاسوسی خصوصی بوده تا برنامههای پیشرفتهای برای دسترسی به اطلاعات کاربران طراحی کنن. یکی از معروفترین این ابزارها، پگاسوس از شرکت NSO Group هست. این نرمافزار که به ادعای شرکت سازنده، برای مقابله با جرم و تروریسم ساخته شده، بارها برای جاسوسی از فعالان حقوق بشر، روزنامهنگارها و مخالفان سیاسی هم استفاده شده.
از طرفی NSO Group همیشه ادعا کرده که پگاسوس فقط به نهادهای امنیتی و سازمانهای اطلاعاتی تاییدشده فروخته میشه و ابزار "نظارت عمومی" نیست. طبق گزارش شفافیت این شرکت در سال ۲۰۲۴، مشتریان اون شامل ۵۴ سازمان در ۳۱ کشور مختلف هستن، که ۲۳ تا از اونها سازمانهای اطلاعاتی و ۲۳ تا نیروی پلیس هستن.
این آسیبپذیری که با شناسه CVE-2025-24200 شناخته میشه، یه مشکل مربوط به دسترسیهای غیرمجاز توی دستگاههای قفلشده اپل هست. این مشکل به هکرها اجازه میده حالت محدودیت USB رو غیرفعال کنن. این حالت از iOS 11.4.1 به بعد معرفی شد و باعث میشه اگه دستگاه بیشتر از یک ساعت به اکسسوری (مثل کابل USB یا دستگاه دیگه) وصل نشده باشه، ارتباط USB غیرفعال بمونه. این کار برای اینه که ابزارهایی مثل Cellebrite یا GrayKey که توسط پلیسها و نهادهای امنیتی برای شکستن قفل آیفون استفاده میشن، نتونن به اطلاعات گوشی های مصادره شده دسترسی پیدا کنن.
اما این باگ باعث شده بود که یه مهاجم با دسترسی فیزیکی به گوشی بتونه این محدودیت رو دور بزنه. اپل جزئیات زیادی دربارهی این باگ منتشر نکرده، ولی گفته که با بهبود مدیریت وضعیت (state management) این مشکل رو برطرف کرده. همچنین تأیید کرده که این نقص امنیتی احتمالاً توی حملات خیلی پیچیده علیه افراد خاص و هدفمند مورد سوءاستفاده قرار گرفته.
این باگ رو بیل مارژاک، محقق امنیتی از تیم Citizen Lab توی دانشگاه تورنتو کشف و گزارش کرده. آپدیت امنیتی برای این دستگاهها منتشر شده:
iOS 18.3.1 و iPadOS 18.3.1:
- آیفون XS به بعد
- آیپد پرو ۱۳ اینچ، آیپد پرو ۱۲.۹ اینچ نسل ۳ به بعد، آیپد پرو ۱۱ اینچ نسل ۱ به بعد
- آیپد ایر نسل ۳ به بعد، آیپد نسل ۷ به بعد، آیپد مینی نسل ۵ به بعد
iPadOS 17.7.5:
- آیپد پرو ۱۲.۹ اینچ نسل ۲
- آیپد پرو ۱۰.۵ اینچ
- آیپد نسل ۶
این اتفاق بعد از این افتاد که اپل چند هفته پیش یه باگ خطرناک دیگه (CVE-2025-24085) رو توی بخش Core Media برطرف کرد که توی نسخههای قبل از iOS 17.2 مورد سوءاستفاده قرار گرفته بود.
در سالهای اخیر، نقصهای امنیتی اپل ابزار اصلی شرکتهای جاسوسی خصوصی بوده تا برنامههای پیشرفتهای برای دسترسی به اطلاعات کاربران طراحی کنن. یکی از معروفترین این ابزارها، پگاسوس از شرکت NSO Group هست. این نرمافزار که به ادعای شرکت سازنده، برای مقابله با جرم و تروریسم ساخته شده، بارها برای جاسوسی از فعالان حقوق بشر، روزنامهنگارها و مخالفان سیاسی هم استفاده شده.
از طرفی NSO Group همیشه ادعا کرده که پگاسوس فقط به نهادهای امنیتی و سازمانهای اطلاعاتی تاییدشده فروخته میشه و ابزار "نظارت عمومی" نیست. طبق گزارش شفافیت این شرکت در سال ۲۰۲۴، مشتریان اون شامل ۵۴ سازمان در ۳۱ کشور مختلف هستن، که ۲۳ تا از اونها سازمانهای اطلاعاتی و ۲۳ تا نیروی پلیس هستن.
👍3🤔1
هکرها دارن از Google Tag Manager (GTM) سوءاستفاده میکنن تا بدافزار اسکیمر کارت اعتباری رو روی سایتهای فروشگاهی که از Magento استفاده میکنن، نصب کنن.
شرکت امنیتی sucuri کشف کرده که این کد مخرب، ظاهراً یه اسکریپت عادی GTM و Google Analytics به نظر میاد که برای آنالیز سایت و تبلیغات استفاده میشه، ولی در واقع یه در پشتی (backdoor) توش پنهان شده که به هکرها اجازه میده دسترسی مداوم به سایت داشته باشن.
تا الان، حداقل 3 سایت آلوده شناسایی شده، در حالی که قبلاً 6 سایت آلوده گزارش شده بود. این کد مخرب توی پایگاهداده Magento ذخیره شده و داخل یکی از تگهای GTM یه اسکریپت جاوا اسکریپت رمزگذاریشده قرار داده که کارش دزدیدن اطلاعات کارت اعتباری کاربران موقع پرداخت هست.
- این اسکریپت اطلاعاتی مثل شماره کارت، CVV و تاریخ انقضا رو از صفحه پرداخت میدزده.
- بعدش این اطلاعات رو به یه سرور خارجی که هکرها کنترلش میکنن، ارسال میکنه.
این اولین بار نیست که GTM برای کارهای مخرب استفاده میشه. توی آوریل ۲۰۱۸**، شرکت Sucuri کشف کرده بود که هکرها از این ابزار برای نمایش تبلیغات مخرب، پاپآپ و ریدایرکت کردن کاربران به سایتهای آلوده استفاده میکردن.
چند هفته پیش، همین شرکت یه حمله مشابه روی وبسایتهای وردپرسی رو شناسایی کرده بود که با استفاده از آسیبپذیریهای پلاگینها یا دسترسی به اکانتهای ادمین هک شده، کاربران رو به سایتهای آلوده هدایت میکرد.
از طرفی، وزارت دادگستری آمریکا (DoJ) اعلام کرده که دو شهروند رومانیایی به نامهای آندری فاگاراس و تاماش کولوژواری به جرم سرقت اطلاعات کارت اعتباری بازداشت شدن.
در کل، داره مشخص میشه که حملات سرقت کارت اعتباری دارن پیچیده تر میشن و حتی از ابزارهای قانونی مثل GTM هم برای این کار استفاده میشه.
شرکت امنیتی sucuri کشف کرده که این کد مخرب، ظاهراً یه اسکریپت عادی GTM و Google Analytics به نظر میاد که برای آنالیز سایت و تبلیغات استفاده میشه، ولی در واقع یه در پشتی (backdoor) توش پنهان شده که به هکرها اجازه میده دسترسی مداوم به سایت داشته باشن.
تا الان، حداقل 3 سایت آلوده شناسایی شده، در حالی که قبلاً 6 سایت آلوده گزارش شده بود. این کد مخرب توی پایگاهداده Magento ذخیره شده و داخل یکی از تگهای GTM یه اسکریپت جاوا اسکریپت رمزگذاریشده قرار داده که کارش دزدیدن اطلاعات کارت اعتباری کاربران موقع پرداخت هست.
- این اسکریپت اطلاعاتی مثل شماره کارت، CVV و تاریخ انقضا رو از صفحه پرداخت میدزده.
- بعدش این اطلاعات رو به یه سرور خارجی که هکرها کنترلش میکنن، ارسال میکنه.
این اولین بار نیست که GTM برای کارهای مخرب استفاده میشه. توی آوریل ۲۰۱۸**، شرکت Sucuri کشف کرده بود که هکرها از این ابزار برای نمایش تبلیغات مخرب، پاپآپ و ریدایرکت کردن کاربران به سایتهای آلوده استفاده میکردن.
چند هفته پیش، همین شرکت یه حمله مشابه روی وبسایتهای وردپرسی رو شناسایی کرده بود که با استفاده از آسیبپذیریهای پلاگینها یا دسترسی به اکانتهای ادمین هک شده، کاربران رو به سایتهای آلوده هدایت میکرد.
از طرفی، وزارت دادگستری آمریکا (DoJ) اعلام کرده که دو شهروند رومانیایی به نامهای آندری فاگاراس و تاماش کولوژواری به جرم سرقت اطلاعات کارت اعتباری بازداشت شدن.
در کل، داره مشخص میشه که حملات سرقت کارت اعتباری دارن پیچیده تر میشن و حتی از ابزارهای قانونی مثل GTM هم برای این کار استفاده میشه.
👍1🤔1
توی یه خبر Progress Software چندتا باگ امنیتی خطرناک توی نرمافزار LoadMaster رو برطرف کرده که اگه دست هکرها میافتاد، میتونستن دستورهای دلخواه رو روی سیستم اجرا کنن یا هر فایلی رو دانلود کنن.
اما LoadMaster چیه؟
این یه نرمافزار لود بالانسر و کنترلکننده توزیع بار (ADC) هست که توی شرکتها برای مدیریت ترافیک سرورها استفاده میشه تا سرعت، امنیت و پایداری سایتها و اپلیکیشنها بالا بره.
این آسیبپذیریها با امتیاز خطر 8.4 از 10 مشخص شدن:
1.CVE-2024-56131, CVE-2024-56132, CVE-2024-56133, CVE-2024-56135
- مشکل: اعتبارسنجی نادرست ورودیها
- تأثیر: هکرهایی که به بخش مدیریتی LoadMaster دسترسی پیدا کنن و لاگین بشن، میتونن با یه درخواست HTTP خاص، دستور های سیستمی دلخواه رو اجرا کنن.
2. CVE-2024-56134
- مشکل: باز هم اعتبارسنجی ضعیف ورودیها
- تأثیر: یه هکر احراز هویتشده میتونه هر فایلی رو از سیستم دانلود کنه، حتی فایلهای حساس.
نسخه های آسیب پذیر :
- نسخههای 7.2.55.0 تا 7.2.60.0 → در نسخه 7.2.61.0 برطرف شد.
- نسخههای 7.2.49.0 تا 7.2.54.12 → در نسخه 7.2.54.13 برطرف شد.
- نسخه 7.2.48.12 و قدیمیتر → باید به نسخه جدیدتر ارتقا پیدا کنه .
- نسخههای Multi-Tenant LoadMaster قبل از 7.1.35.12 → در نسخه 7.1.35.13 برطرف شد.
تا الان هیچ نشونه ای از سوءاستفاده از این مشکلات دیده نشده، ولی از اونجایی که قبلاً باگهای مشابه مورد حمله قرار گرفتن، بهشدت توصیه شده که کاربران هرچه سریع تر آپدیت کنن تا از خطرات احتمالی جلوگیری بشه.
اما LoadMaster چیه؟
این یه نرمافزار لود بالانسر و کنترلکننده توزیع بار (ADC) هست که توی شرکتها برای مدیریت ترافیک سرورها استفاده میشه تا سرعت، امنیت و پایداری سایتها و اپلیکیشنها بالا بره.
این آسیبپذیریها با امتیاز خطر 8.4 از 10 مشخص شدن:
1.CVE-2024-56131, CVE-2024-56132, CVE-2024-56133, CVE-2024-56135
- مشکل: اعتبارسنجی نادرست ورودیها
- تأثیر: هکرهایی که به بخش مدیریتی LoadMaster دسترسی پیدا کنن و لاگین بشن، میتونن با یه درخواست HTTP خاص، دستور های سیستمی دلخواه رو اجرا کنن.
2. CVE-2024-56134
- مشکل: باز هم اعتبارسنجی ضعیف ورودیها
- تأثیر: یه هکر احراز هویتشده میتونه هر فایلی رو از سیستم دانلود کنه، حتی فایلهای حساس.
نسخه های آسیب پذیر :
- نسخههای 7.2.55.0 تا 7.2.60.0 → در نسخه 7.2.61.0 برطرف شد.
- نسخههای 7.2.49.0 تا 7.2.54.12 → در نسخه 7.2.54.13 برطرف شد.
- نسخه 7.2.48.12 و قدیمیتر → باید به نسخه جدیدتر ارتقا پیدا کنه .
- نسخههای Multi-Tenant LoadMaster قبل از 7.1.35.12 → در نسخه 7.1.35.13 برطرف شد.
تا الان هیچ نشونه ای از سوءاستفاده از این مشکلات دیده نشده، ولی از اونجایی که قبلاً باگهای مشابه مورد حمله قرار گرفتن، بهشدت توصیه شده که کاربران هرچه سریع تر آپدیت کنن تا از خطرات احتمالی جلوگیری بشه.
👍4🤔1