توی یه خبرCISA (آژانس امنیت سایبری و زیرساخت‌های آمریکا) هشدار داده که یه مشکل امنیتی توی نرم‌افزار Trimble Cityworks که برای مدیریت دارایی‌های مبتنی بر GIS استفاده میشه، الان داره توی دنیای واقعی مورد سوءِاستفاده قرار می‌گیره.

این مشکل امنیتی که CVE-2025-0994 (امتیاز CVSS v4: 8.6) نام داره، یه باگ از نوع deserialization of untrusted data هستش. این باگ یه نوع آسیب‌ پذیریه که وقتی داده‌های خارجی (که از منابع غیرقابل اعتماد میان) بدون بررسی درست و کامل در سیستم بارگذاری یا deserializing میشن، میتونه منجر به اجرای کدهای خطرناک بشه.
برای درک بهتر، serialization یعنی تبدیل داده‌ها به فرمتی که بشه اون‌ها رو ذخیره یا انتقال داد (مثلاً به صورت رشته یا باینری). حالا، deserialization یعنی تبدیل همون داده‌ها به فرم اصلی‌شون برای استفاده در برنامه.

از طرفی CISA گفته: "این مشکل میتونه به یه کاربر احراز هویت‌شده این اجازه رو بده که حمله‌ای با کد دلخواه از راه دور به سرور وب Microsoft IIS مشتری‌ها انجام بده."
نسخه‌های آسیب‌پذیر:
- همه نسخه‌های Cityworks قبل از 15.8.9
- همه نسخه‌های Cityworks with office companion قبل از 23.10

شرکت Trimble از 29 ژانویه 2025 پچ‌هایی برای برطرف کردن این مشکل منتشر کرده، ولی CISA گفته که این ضعف امنیتی توی حملات واقعی داره استفاده میشه. شرکت Trimble هم گزارش داده که "تلاش‌های غیرمجاز برای دسترسی به پیاده‌سازی‌های Cityworks بعضی از مشتری‌ها" دریافت کرده.

طبق شواهد منتشر شده، هکرها از این باگ برای اجرای Rust-based loader استفاده میکنن که بعدش Cobalt Strike و یه ابزار دسترسی از راه دور به اسم VShell رو راه‌اندازی میکنه، به علاوه چند پی‌لود شناسایی نشده دیگه.

و CISA این مشکل رو به لیست CVE‌های شناخته‌شده اضافه کرده و از آژانس‌های فدرال اجرایی خواسته که این مشکل رو تا 28 فوریه 2025 برطرف کنن. CISA همچنین توصیه کرده که کاربران و مدیران سیستم برای شناسایی علائم compromise (آلودگی سیستم) جستجو کنن و حتماً آپدیت‌ها و روش‌های رفع مشکل رو اعمال کنن.

سطح حمله داره با سرعتی بیشتر از توان تیم‌های امنیتی رشد میکنه ، اگه میخوای جلوتر باشی، باید بدونی چی در معرض خطره و هکرها کجاها ممکنه ضربه بزنن.

با افزایش استفاده از فضای ابری، بالا آوردن سیستم‌ها و سرویس‌های جدید تو اینترنت راحت‌ تر شده، پس اینکه بدونی چی در معرض حمله هست و از نگاه هکرها به قضیه نگاه کنی، از همیشه مهم‌ تر شده.

سطح حمله چیه؟
به زبون ساده، سطح حمله یعنی همه دارایی‌ های دیجیتالی که یه هکر میتونه بهشون دسترسی داشته باشه ، حالا چه امن باشن، چه آسیب‌پذیر، چه شناخته شده باشن، چه نه. این شامل چیزایی میشه که تو شبکه داخلی داری (مثلاً یه ایمیل مخرب که برای همکارت ارسال شده) و چیزایی که از بیرون در معرض خطرن (مثلاً یه سرور FTP که آنلاین شده).

مدیریت سطح حمله چیه؟
مدیریت سطح حمله یعنی اینکه بفهمی چی داری، چقدر در معرض خطره، و چطوری میتونی دسترسی‌ های غیرضروری رو ببندی تا هکرها سخت‌ تر بتونن بهشون دسترسی پیدا کنن. مثلاً یه پنل مدیریت فایروال، امروز ممکنه امن باشه، ولی اگه فردا یه باگ امنیتی براش کشف بشه، یه خطر جدی میشه. به جای اینکه صبر کنی یه آسیب‌پذیری پیدا بشه و بعدش رفعش کنی، باید از قبل جلوی این قضیه رو بگیری مثلا پنل فایروالت رو از اینترنت برداری.

چرا باید سطح حمله‌ مون رو کم کنیم؟
اگه یه چیزی رو که نباید، تو اینترنت در دسترس بذاری، حتی بدون اینکه باگی براش پیدا بشه، باز هم ممکنه مورد حمله قرار بگیری ، یه مثال واقعی: تو سال ۲۰۲۴، یه سری گروه باج‌افزار تونستن با استفاده از یه باگ توی VMware vSphere به سرورها نفوذ کنن و اطلاعات حساس رو رمزگذاری کنن تا باج بگیرن. هنوزم هزاران تا از این سرورها بدون محافظت تو اینترنت وجود دارن!

اگه ندونی چی داری، چطوری می‌خوای ازش محافظت کنی؟ خیلی از شرکت‌ها اصلاً از همه‌ سیستم‌ هایی که دارن خبر ندارن. مثل اتفاقی که توی هک Deloitte تو سال ۲۰۱۶ افتاد ، یه اکانت ادمین که فراموش شده بود، باعث شد کلی اطلاعات حساس لو بره.

با رفتن به فضای ابری، اوضاع پیچیده‌ تر شده. حالا تیم‌های توسعه خودشون سرور بالا میارن، ولی تیم امنیت ممکنه ندونه چه چیزایی آنلاین شده. برای همین، یه راهکار درست و حسابی لازمه که هم دارایی‌ها رو شناسایی کنه، هم امنیتشون رو بررسی کنه.

چطور سطح حمله رو امن‌تر کنیم؟
درمورد این سوال Intruder یه سری راهکار داره که کمکت کنه کنترل اوضاع رو به دست بگیری:

1. پیدا کردن دارایی‌های ناشناخته : ممکنه بعضی چیزا مثل ساب‌ دامین‌ها، APIها یا صفحه‌های لاگین از یادت بره، ولی هکرها پیداشون میکنن.

2. چک کردن پورت‌ها و سرویس‌ های در معرض خطر: ببین چی تو اینترنت بازه که نباید باشه.

3. پیدا کردن آسیب‌پذیری‌هایی که بقیه از دست میدن : مثلاً دیتابیس‌هایی که اشتباهی عمومی شدن یا پنل‌های مدیریت باز.

4. اسکن خودکار با هر تغییری : اگه چیزی جدیدی بالا بیاد، سریع بررسی بشه.

5. پیشگیری از حملات جدید: وقتی یه آسیب‌پذیری جدید کشف بشه، سریع سیستم‌ها رو چک کنید که ببینید در خطر هستین یا نه.

6. تمرکز روی خطرات جدی‌ تر باشه : بدونی کدوم مشکل اولویت داره و باید سریع‌ تر حل بشه.


اما توی یه اقدام کاملا سینمایی گونه پلیس اسپانیا یه هکری رو که ادعا میشه به چندین سازمان حمله کرده دستگیر کرده. 

مأمورا گفتن این مرد که اسمش هنوز اعلام نشده، توی شهر کالپ در استان آلیکانته اسپانیا گیر افتاده. طبق ادعای پلیس، این فرد بیش از ۴۰ سازمان رو مورد حمله سایبری قرار داده و اطلاعات دزدیده‌ شده رو لو داده. 

تحقیقات پلیس منجر به بازرسی از خونه این فرد، ضبط یه سری دستگاه الکترونیکی و شناسایی بیش از ۵۰ حساب ارز دیجیتال شده. طبق گزارش رسانه‌های اسپانیایی، این مظنون فقط ۱۸ سالشه! 

مقام‌های اسپانیایی معتقدن که این فرد پشت حملاتی به چند سازمان بزرگ جهانی بوده، از جمله ناتو، سازمان ملل، ارتش آمریکا و سازمان بین‌المللی هوانوردی غیرنظامی (ICAO).

این هکر همچنین متهمه که چندین سازمان اسپانیایی رو هم هدف گرفته، مثل ضراب‌خونه ملی، دانشگاه‌ها، نهادهای دولتی و حتی نیروهای پلیس اسپانیا. 

هکری به اسم "Natohub" توی فروم جرایم سایبری BreachForums مسئولیت خیلی از این حملات رو به‌عهده گرفته. اما پلیس گفته که این فرد از حداقل سه تا  یوزرنیم مختلف استفاده کرده. 

بین ژوئن ۲۰۲۴ تا ژانویه ۲۰۲۵، Natohub توی این فروم ۱۸ تا پست درباره نقض داده‌ها گذاشته بوده. بعضی از اطلاعات دزدیده‌ شده برای فروش گذاشته شده، ولی یه بخشی هم مجانی پخش شده.

این اطلاعات شامل اطلاعات شخصی و اسناد بوده که ظاهراً از سازمان‌های مورد حمله به‌دست اومده. سازمان ICAO تأیید کرده که ده‌ها هزار پرونده مربوط به درخواست‌ های استخدام از دیتابیسشون دزدیده شده.

بعد از خبر دستگیری این هکر، حساب Natohub توی BreachForums برای همیشه بسته شده.

اپل روز دوشنبه یه آپدیت امنیتی فوری منتشر کرد تا یه باگ خطرناک رو توی iOS و iPadOS برطرف کنه، باگی که ظاهراً قبلاً توی دنیای واقعی مورد سوءاستفاده قرار گرفته.

این آسیب‌پذیری که با شناسه CVE-2025-24200 شناخته میشه، یه مشکل مربوط به دسترسی‌های غیرمجاز توی دستگاه‌های قفل‌شده‌ اپل هست. این مشکل به هکرها اجازه میده حالت محدودیت USB رو غیرفعال کنن. این حالت از iOS 11.4.1 به بعد معرفی شد و باعث میشه اگه دستگاه بیشتر از یک ساعت به اکسسوری (مثل کابل USB یا دستگاه دیگه) وصل نشده باشه، ارتباط USB غیرفعال بمونه. این کار برای اینه که ابزارهایی مثل Cellebrite یا GrayKey که توسط پلیس‌ها و نهادهای امنیتی برای شکستن قفل آیفون استفاده میشن، نتونن به اطلاعات گوشی‌ های مصادره‌ شده دسترسی پیدا کنن.

اما این باگ باعث شده بود که یه مهاجم با دسترسی فیزیکی به گوشی بتونه این محدودیت رو دور بزنه. اپل جزئیات زیادی درباره‌ی این باگ منتشر نکرده، ولی گفته که با بهبود مدیریت وضعیت (state management) این مشکل رو برطرف کرده. همچنین تأیید کرده که این نقص امنیتی احتمالاً توی حملات خیلی پیچیده علیه افراد خاص و هدفمند مورد سوءاستفاده قرار گرفته.

این باگ رو بیل مارژاک، محقق امنیتی از تیم Citizen Lab توی دانشگاه تورنتو کشف و گزارش کرده. آپدیت امنیتی برای این دستگاه‌ها منتشر شده:

iOS 18.3.1 و iPadOS 18.3.1:

- آیفون XS به بعد
- آیپد پرو ۱۳ اینچ، آیپد پرو ۱۲.۹ اینچ نسل ۳ به بعد، آیپد پرو ۱۱ اینچ نسل ۱ به بعد
- آیپد ایر نسل ۳ به بعد، آیپد نسل ۷ به بعد، آیپد مینی نسل ۵ به بعد

iPadOS 17.7.5:
- آیپد پرو ۱۲.۹ اینچ نسل ۲
- آیپد پرو ۱۰.۵ اینچ
- آیپد نسل ۶

این اتفاق بعد از این افتاد که اپل چند هفته پیش یه باگ خطرناک دیگه (CVE-2025-24085) رو توی بخش Core Media برطرف کرد که توی نسخه‌های قبل از iOS 17.2 مورد سوءاستفاده قرار گرفته بود.

در سال‌های اخیر، نقص‌های امنیتی اپل ابزار اصلی شرکت‌های جاسوسی خصوصی بوده تا برنامه‌های پیشرفته‌ای برای دسترسی به اطلاعات کاربران طراحی کنن. یکی از معروف‌ترین این ابزارها، پگاسوس از شرکت NSO Group هست. این نرم‌افزار که به ادعای شرکت سازنده، برای مقابله با جرم و تروریسم ساخته شده، بارها برای جاسوسی از فعالان حقوق بشر، روزنامه‌نگارها و مخالفان سیاسی هم استفاده شده.

از طرفی NSO Group همیشه ادعا کرده که پگاسوس فقط به نهادهای امنیتی و سازمان‌های اطلاعاتی تاییدشده فروخته میشه و ابزار "نظارت عمومی" نیست. طبق گزارش شفافیت این شرکت در سال ۲۰۲۴، مشتریان اون شامل ۵۴ سازمان در ۳۱ کشور مختلف هستن، که ۲۳ تا از اون‌ها سازمان‌های اطلاعاتی و ۲۳ تا نیروی پلیس هستن.

هکرها دارن از Google Tag Manager (GTM) سوءاستفاده میکنن تا بدافزار اسکیمر کارت اعتباری رو روی سایت‌های فروشگاهی که از Magento استفاده میکنن، نصب کنن.

شرکت امنیتی sucuri کشف کرده که این کد مخرب، ظاهراً یه اسکریپت عادی GTM و Google Analytics به نظر میاد که برای آنالیز سایت و تبلیغات استفاده میشه، ولی در واقع یه در پشتی (backdoor) توش پنهان شده که به هکرها اجازه میده دسترسی مداوم به سایت داشته باشن.

تا الان، حداقل 3 سایت آلوده شناسایی شده، در حالی که قبلاً 6 سایت آلوده گزارش شده بود. این کد مخرب توی پایگاه‌داده‌ Magento ذخیره شده و داخل یکی از تگ‌های GTM یه اسکریپت جاوا اسکریپت رمزگذاری‌شده قرار داده که کارش دزدیدن اطلاعات کارت اعتباری کاربران موقع پرداخت هست.

- این اسکریپت اطلاعاتی مثل شماره کارت، CVV و تاریخ انقضا رو از صفحه‌ پرداخت میدزده.
- بعدش این اطلاعات رو به یه سرور خارجی که هکرها کنترلش میکنن، ارسال میکنه.

این اولین بار نیست که GTM برای کارهای مخرب استفاده میشه. توی آوریل ۲۰۱۸**، شرکت Sucuri کشف کرده بود که هکرها از این ابزار برای نمایش تبلیغات مخرب، پاپ‌آپ و ریدایرکت کردن کاربران به سایت‌های آلوده استفاده میکردن.

چند هفته پیش، همین شرکت یه حمله مشابه روی وب‌سایت‌های وردپرسی رو شناسایی کرده بود که با استفاده از آسیب‌پذیری‌های پلاگین‌ها یا دسترسی به اکانت‌های ادمین هک‌ شده، کاربران رو به سایت‌های آلوده هدایت میکرد.

از طرفی، وزارت دادگستری آمریکا (DoJ) اعلام کرده که دو شهروند رومانیایی به نام‌های آندری فاگاراس و تاماش کولوژواری به جرم سرقت اطلاعات کارت اعتباری بازداشت شدن.

در کل، داره مشخص میشه که حملات سرقت کارت اعتباری دارن پیچیده‌ تر میشن و حتی از ابزارهای قانونی مثل GTM هم برای این کار استفاده میشه.

توی یه خبر Progress Software چندتا باگ امنیتی خطرناک توی نرم‌افزار LoadMaster رو برطرف کرده که اگه دست هکرها می‌افتاد، میتونستن دستورهای دلخواه رو روی سیستم اجرا کنن یا هر فایلی رو دانلود کنن.

اما LoadMaster چیه؟
این یه نرم‌افزار لود بالانسر و کنترل‌کننده توزیع بار (ADC) هست که توی شرکت‌ها برای مدیریت ترافیک سرورها استفاده میشه تا سرعت، امنیت و پایداری سایت‌ها و اپلیکیشن‌ها بالا بره.

این آسیب‌پذیری‌ها با امتیاز خطر 8.4 از 10 مشخص شدن:

1.CVE-2024-56131, CVE-2024-56132, CVE-2024-56133, CVE-2024-56135
- مشکل: اعتبارسنجی نادرست ورودی‌ها
- تأثیر: هکرهایی که به بخش مدیریتی LoadMaster دسترسی پیدا کنن و لاگین بشن، میتونن با یه درخواست HTTP خاص، دستور های سیستمی دلخواه رو اجرا کنن.

2. CVE-2024-56134
- مشکل: باز هم اعتبارسنجی ضعیف ورودی‌ها
- تأثیر: یه هکر احراز هویت‌شده می‌تونه هر فایلی رو از سیستم دانلود کنه، حتی فایل‌های حساس.

نسخه های آسیب پذیر :
- نسخه‌های 7.2.55.0 تا 7.2.60.0 → در نسخه 7.2.61.0 برطرف شد.
- نسخه‌های 7.2.49.0 تا 7.2.54.12 → در نسخه 7.2.54.13 برطرف شد.
- نسخه 7.2.48.12 و قدیمی‌تر → باید به نسخه جدیدتر ارتقا پیدا کنه .
- نسخه‌های Multi-Tenant LoadMaster قبل از 7.1.35.12 → در نسخه 7.1.35.13 برطرف شد.

تا الان هیچ نشونه‌ ای از سوءاستفاده از این مشکلات دیده نشده، ولی از اونجایی که قبلاً باگ‌های مشابه مورد حمله قرار گرفتن، به‌شدت توصیه شده که کاربران هرچه سریع‌ تر آپدیت کنن تا از خطرات احتمالی جلوگیری بشه.

محققای امنیت سایبری یه راهی پیدا کردن که باهاش میتونن از یه باگ امنیتی که قبلاً تو NVIDIA Container Toolkit بوده و حالا پچ شده، رد بشن و از محیط ایزوله‌ی کانتینر خارج بشن و دسترسی کامل به سیستم اصلی بگیرن.

یه باگ جدید پیدا شده که CVE-2025-23359 نام‌گذاری شده و امتیاز امنیتی ۸.۳ از ۱۰ گرفته. این باگ روی نسخه‌های زیر تأثیر گذاشته:

- توی NVIDIA Container Toolkit (همه نسخه‌ها تا ۱.۱۷.۳ – که تو ۱.۱۷.۴ فیکس شده)

- توی NVIDIA GPU Operator (همه نسخه‌ها تا ۲۴.۹.۱ – که تو ۲۴.۹.۲ فیکس شده)


و NVIDIA اعلام کرده که Container Toolkit روی لینوکس یه مشکل امنیتی داره که از نوع TOCTOU (Time-of-Check Time-of-Use) هست. یعنی یه کانتینر مخرب میتونه از این باگ استفاده کنه و به فایل‌سیستم سیستم اصلی دسترسی بگیره.

اگه این باگ درست اکسپلویت بشه، ممکنه باعث بشه:
- اجرای کد مخرب تو سیستم اصلی
- حمله‌ی DoS (از کار انداختن سیستم)
- گرفتن دسترسی ادمین (Privilege Escalation)
- لو رفتن اطلاعات و دست‌کاری داده‌ها

یه شرکت امنیت ابری به نام Wiz گفته که این باگ در واقع یه راه دور زدن برای یه باگ دیگه هست (CVE-2024-0132) که NVIDIA تو سپتامبر ۲۰۲۴ فیکسش کرده بود.

- شخص مخرب میتونه فایل‌ سیستم اصلی سیستم رو روی یه کانتینر سوار کنه
- این یعنی می‌تونه به همه فایل‌های سیستم دسترسی داشته باشه
- حتی می‌تونه کانتینرهای خاص با دسترسی بالا اجرا کنه و کل سیستم رو بترکونه

محققای Wiz (شامل Shir Tamari، Ronen Shustin، Andres Riancho) بررسی کردن و دیدن که فایل‌هایی که برای مونت کردن (Mount) استفاده میشن، قابل دور زدن هستن.

- با استفاده از یه سیمبولیک لینک (Symbolic Link) میشه مسیر فایل‌ها رو عوض کرد و کاری کرد که از بیرون کانتینر (ریشه‌ سیستم) به داخل یه مسیر خاص (مثلاً داخل /usr/lib64/) مونت بشه .


- درسته که دسترسی به فایل‌سیستم فقط خوندنیه ولی با یه ترفند میشه این محدودیت رو دور زد
- هکر می‌تونه از طریق سوکت‌های Unix یه کانتینر جدید با دسترسی بالا اجرا کنه و کنترل کامل روی سیستم بگیره .


و NVIDIA پیشنهاد کرده که سریعاً به آخرین نسخه آپدیت کنید.
نکته مهم: تو محیط‌های پروداکشن، گزینه‌ "--no-cntlibs" رو غیرفعال نکنید

🚨 نقض جدید: اطلاعات میلیون‌ها شهروند ایرانی تحت پوشش سازمان بیمه سلامت در خطر افشای گسترده

مهاجمان توانسته‌اند به اطلاعات شخصی و بیمه‌ای شهروندان، کارکنان دولت و سایر بیمه شدگان "سازمان بیمه سلامت ایران" دسترسی پیدا کنند. هنوز جزئیات دقیقی از میزان اطلاعات به سرقت رفته و یا استفاده احتمالی از آنها منتشر نشده است. با این حال، تاکنون مجموعه بزرگی در حدود 1 میلیون خط نام، نام خانوادگی، تاریخ تولد، نام پدر، شماره ملی، شماره تلفن همراه، وضعیت حیات، شناسه بیمه گذار، نام بیمه گذار و اطلاعات دیگری از این داده‌ها توسط هکر/هکر‌ها به صورت عمومی منتشر شده است.

📌 اطلاعات افشاشده می‌تواند پیامدهای جدی مانند سرقت هویت، افزایش کلاهبرداری‌های فیشینگ و کاهش اعتماد عمومی را به دنبال داشته باشد. کاربران باید هوشیار بوده و از ارائه اطلاعات شخصی در تماس‌ها یا پیام‌های مشکوک خودداری کنند.

✅ صحت داده‌های نمونه بررسی شده و قابل تایید است!

منبع : @leakfarsi

مایکروسافت داره یه زنگ خطر جدید رو به صدا در میاره! یه گروه هکری که اسمش رو Storm-2372 گذاشتن، از آگوست ۲۰۲۴ تا حالا داره کلی حمله سایبری رو انجام میده و حسابی دردسر درست کرده.

این گروه تا الان به بخش‌های مختلفی حمله کرده، از جمله:

- دولت‌ها
- سازمان‌های غیردولتی (NGOها)
- شرکت‌های فناوری اطلاعات و خدمات IT
- بخش دفاعی و نظامی
- مخابرات
- بهداشت و درمان
- دانشگاه‌ها و مراکز آموزش عالی
- انرژی، نفت و گاز

و این حمله‌ها فقط تو یه منطقه خاص نبوده! اروپا، آمریکای شمالی، آفریقا و خاورمیانه همه تو لیست قربانی‌ها هستن.

مایکروسافت میگه با احتمال متوسط این گروه به منافع روسیه نزدیکه و بر اساس هدف‌هایی که انتخاب کرده و روشی که حمله می‌کنه، احتمالاً یه گروه تحت حمایت دولتیه.

این هکرها میان از طریق پیام‌رسان‌هایی مثل واتساپ، سیگنال و Microsoft Teams خودشون رو جای یه فرد مهم و قابل‌اعتماد جا میزنن و سعی میکنن قربانی‌ها رو فریب بدن.

هکرها از یه روش خاص به اسم "فیشینگ کد دستگاه" (Device Code Phishing) استفاده میکنن. یعنی کاربر رو فریب میدن تا وارد اپ‌های کاری (مثل آفیس ۳۶۵) بشه، ولی پشت پرده، اطلاعات ورودش (توکن‌های احراز هویت) توسط هکرها دزدیده میشه.

- یه ایمیل فیشینگ میفرستن که مثلاً دعوت به یه جلسه تو Microsoft Teams هست.
- قربانی روی لینک کلیک میکنه و به یه صفحه لاگین هدایت میشه.
- صفحه ازش میخواد که یه کد مخصوص ورود دستگاه (Device Code) رو وارد کنه.
- اون کد توسط هکرها تولید شده و وقتی کاربر واردش میکنه، در اصل داره یه سیشن معتبر رو برای اون‌ها ایجاد میکنه!
- هکرها از اون توکن ورود معتبر استفاده میکنن تا به حساب‌های قربانی دسترسی بگیرن.

وقتی هکرها تونستن وارد حساب بشن:
- بدون اینکه پسورد لازم باشه، به ایمیل و فضای ذخیره‌سازی ابری دسترسی میگیرن!
- از طریق همین حساب، به بقیه‌ی کارمندای همون سازمان ایمیل فیشینگ مشابه میفرستن تا دایره حمله رو گسترش بدن.
- با استفاده از Microsoft Graph تو پیام‌های قربانی دنبال کلمات کلیدی مثل نام کاربری، پسورد، ادمین، TeamViewer، Anydesk، اطلاعات محرمانه، وزارت، دولت و... میگردن و اطلاعات حساس رو سرقت میکنن!

مایکروسافت پیشنهاد کرده که سازمان‌ها این کارها رو انجام بدن:
- استفاده از Device Code رو (تا جایی که ممکنه) غیرفعال کنن!
- احراز هویت چندمرحله‌ای (MFA) مقاوم در برابر فیشینگ رو فعال کنن.
- اصل کمترین دسترسی (Least Privilege) رو رعایت کنن تا هر کاربر فقط به چیزایی که لازم داره دسترسی داشته باشه.

خلاصه اینکه این گروه داره با روش‌های هوشمندانه حسابی خرابکاری میکنه، پس باید حواسمون به این نوع حمله‌ها باشه!

گروه هکری RansomHub که باج‌ افزارش رو به‌عنوان سرویس (RaaS) ارائه میده، حسابی سر و صدا کرده ، اینا تونستن از یه سری باگ امنیتی که تو Microsoft Active Directory و پروتکل Netlogon بوده (و حالا پچ شده)، سوء استفاده کنن و دسترسی ادمین به سرورهای قربانی رو بگیرن. این حرکت بخشی از استراتژی‌ اوناس که بعد از نفوذ اولیه، کل شبکه رو تصاحب کنن.

تحلیل‌گرای Group-IB میگن این گروه بیش از ۶۰۰ سازمان در سراسر دنیا رو هدف گرفته که شامل بخش‌هایی مثل:

- بهداشت و درمان
- مالی و بانکداری
- دولت‌ها
- زیرساخت‌های حیاتی

همین موضوع باعث شده که RansomHub عنوان فعال‌ترین گروه باج‌افزاری سال ۲۰۲۴ رو به خودش اختصاص بده.

اولین‌بار فوریه ۲۰۲۴ دیده شدن و تونستن سورس‌ کد یه گروه دیگه به اسم Knight (که قبلاً با نام Cyclops شناخته میشد) رو از یه فروم جرایم سایبری به اسم RAMP بخرن تا عملیاتشون رو سریع‌ تر گسترش بدن. ۵ ماه بعد یه نسخه جدید از باج‌ افزارشون رو توی بازار سیاه معرفی کردن که قابلیت رمزگذاری از راه دور از طریق پروتکل SFTP رو داشت.

این گروه از انواع مختلفی از باج‌افزار استفاده میکنه که میتونن فایل‌ها رو روی ویندوز، VMware ESXi و سرورهای SFTP رمزگذاری کنن. جالب‌ تر اینه که شروع کردن به جذب اعضای گروه‌های LockBit و BlackCa که نشون میده دارن از فشارهای قانونی روی رقبا سوءاستفاده میکنن.

- این گروه سعی کردن از یه باگ جدی تو فایروال‌های Palo Alto (CVE-2024-3400) استفاده کنن، ولی موفق نشدن.
- بعدش، با یه حمله Brute-force روی سرویس VPN تونستن وارد شبکه قربانی بشن.
- این حمله بر اساس یه لیست ۵۰۰۰تایی از نام کاربری و پسوردها بوده.
- در نهایت، از طریق یه اکانت پیش‌فرض که توی سیستم‌های بکاپ‌گیری استفاده میشده، تونستن دیوار دفاعی رو بشکنن.

بعد از ورود، ظرف ۲۴ ساعت هم داده‌ها رو رمزگذاری کردن، هم دزدیدن!

- دو تا باگ معروف رو سوءاستفاده کردن: 

  - یکیشون CVE-2021-42278 (معروف به noPac) توی Active Directory
  - و یکی دیگه CVE-2020-1472 (معروف به ZeroLogon) توی Netlogon
- با این کار، تونستن کنترل کامل سرور Domain Controller رو بگیرن و به کل شبکه نفوذ کنن.
- بعد از دزدیدن اطلاعات، کاری کردن که هیچ داده‌ای قابل بازیابی نباشه!
- کل اطلاعات روی NASهای شرکت رو غیرقابل‌دسترس و غیرقابل‌بازیابی کردن، طوری که تنها راه، پرداخت باج باشه...

از ابزار های زیر استفاده میکردن :
-ابزار PCHunter: برای دور زدن و غیرفعال کردن آنتی‌ویروس‌ ها
- ابزار FileZilla: برای دزدیدن اطلاعات و انتقالشون به سرورهای خودشون

تحلیل‌گرای امنیتی میگن گروه‌هایی مثل RansomHub با ترکیب ابزارهای مختلف و استفاده از سورس‌کد بقیه گروه‌ها، یه اکوسیستم جرایم سایبری قوی ساختن :

- تو این دنیا، ابزارها و سورس‌کدها بین گروه‌های مختلف خرید و فروش یا اجاره داده میشه.
- این بازار سیاه، حول محور قربانی‌های مهم، گروه‌های معروف و پول‌های کلان میچرخه.

اخیراً محققای امنیتی روی یه گروه دیگه به اسم Lynx تحقیق کردن که اینا هم یه اپراتور بزرگ RaaS هستن.

- اینا نسخه‌های مختلفی برای ویندوز، لینوکس و ESXi دارن.
- یه قابلیت جالب اضافه کردن: مدل‌های مختلف رمزگذاری ("سریع"، "متوسط"، "کند" و "کامل") که باعث میشه هکرها بتونن بین سرعت و عمق رمزگذاری تعادل ایجاد کنن!
- این گروه خیلی روی امنیت عملیاتی و کیفیت کارشون حساسن، طوری که حتی برای اذیت کردن قربانی‌ها "Call Center" هم دارن که مدام بهشون زنگ بزنن و تهدیدشون کنن!

اخیراً روش‌های جدیدی دیده شده که با حملات فیشینگ از طریق ایمیل‌های آلوده و بات‌نت‌های مثل Phorpiex (یا همون Trik) انجام میشن.

- گروه LockBit از این بات‌نت برای انتشار باج‌افزارش استفاده کرده که یه تاکتیک نسبتاً جدیده!
- یه روش دیگه هم استفاده از آسیب‌پذیری‌های قدیمی VPN هست که دسترسی به دستگاه‌های داخلی سازمان رو فراهم میکنه.

اما حملات چطور پایدار میموندن؟
- استفاده از ابزارهای تونل‌زنی برای حفظ دسترسی مداوم
- استفاده از روش BYOVD (آوردن درایور آسیب‌پذیر خودشون) برای خاموش کردن آنتی‌ویروس‌ها

با این همه حمله، تعداد پرداخت‌های باج در سال ۲۰۲۴ کم شده...

- قربانی‌ها دارن بیشتر مقاومت میکنن و پول نمیدن.
- به همین خاطر، گروه‌های مثل RansomHub و Akira حالا دارن روی فروش داده‌های دزدیده شده سرمایه‌گذاری میکنن که همچنان سودآور باقی بمونن.

دنیای باج‌افزارها مدام در حال تغییر و تحول هست، گروه‌های جدید میان، گروه‌های قدیمی ناپدید میشن، ولی روش‌های حمله هر روز هوشمندتر و خطرناک‌تر میشه، باید حواسمون باشه که باج‌افزارها فقط یه تهدید قدیمی نیستن، بلکه دارن خودشون رو با شرایط جدید وفق میدن و حتی قوی‌ تر هم میشن...

You look lonely. I can fix that.

محقق‌های امنیت سایبری یه نوع جدید از حمله‌های جعل نام کشف کردن که اسمش "whoAMI" هست. این حمله به هر کسی که یه Amazon Machine Image (AMI) منتشر کنه، این امکان رو میده که بتونه روی حساب AWS بقیه کد اجرا کنه.

یه محقق امنیتی از Datadog Security Labs به اسم "ست آرت" توی گزارشی که با سایت The Hacker News به اشتراک گذاشته، گفته:
"اگه این حمله در مقیاس بزرگ اجرا بشه، میتونه به هزاران حساب AWS دسترسی پیدا کنه. الگوی آسیب‌پذیری این حمله توی کلی مخزن کد خصوصی و متن‌باز دیده شده."

در اصل، این حمله یه نوع حمله‌ی زنجیره تأمین (Supply Chain Attack) محسوب میشه که توش مهاجم یه منبع مخرب رو منتشر می‌کنه و کاری میکنه که نرم‌افزارهایی که به درستی پیکربندی نشدن، به جای منبع اصلی، از این منبع جعلی استفاده کنن.

تو AWS،AMI یه ایمیج ماشین مجازی هست که برای راه‌اندازی سرورهای EC2 استفاده میشه. یه مشکل امنیتی توی فرآیند جستجوی AMI باعث شده که مهاجم‌ها بتونن با انتخاب یه نام خاص برای AMI خودشون، یه حمله‌ جعل نام انجام بدن و کنترل سرورهای EC2 قربانی‌ها رو به دست بگیرن.

حمله زمانی کار میکنه که سه شرط زیر همزمان برقرار باشن:
1. وقتی قربانی داره از طریق API به دنبال یه AMI خاص می‌گرده، از "فیلتر نام" استفاده کنه.
2. توی درخواستش مشخص نکنه که AMI رو از کدوم مالک (Owner) میخواد. یعنی از گزینه‌های owner, owner-alias, یا owner-id استفاده نکنه.
3. گزینه‌ی most_recent=true رو بزنه که یعنی آخرین AMI ساخته شده رو دریافت کنه.

اگه این سه شرط برقرار باشن، مهاجم میتونه یه AMI مخرب بسازه که دقیقا همون نامی رو داره که قربانی داره سرچ میکنه. نتیجه این میشه که یه EC2 جدید روی AMI جعلی مهاجم اجرا میشه و اون شخص میتونه از راه دور روی این سرور کد اجرا کنه!

تنها چیزی که مهاجم نیاز داره اینه که:
1. یه حساب AWS داشته باشه.
2. یه AMI مخرب درست کنه و اونو توی "Community AMI" منتشر کنه.
3. برای این AMI، یه اسم وسوسه‌ کننده انتخاب کنه که قربانی‌ها دنبالش باشن.

این حمله خیلی شبیه "حملات جعل وابستگی" (Dependency Confusion Attack) هست. تو اون حملات، یه بسته‌ جعلی (مثلا یه پکیج pip تقلبی) جایگزین نسخه اصلی میشه، ولی اینجا، یه AMI جعلی جایگزین نسخه‌ اصلی میشه.

طبق بررسی‌های Datadog، حدود ۱٪ از شرکت‌هایی که بررسی شدن، به این حمله آسیب‌پذیر بودن و توی کدهای عمومی نوشته‌شده با Python, Go, Java, Terraform, Pulumi و Bash نمونه‌هایی از این آسیب‌پذیری پیدا شده.

بعد از اینکه این مشکل در ۱۶ سپتامبر ۲۰۲۴ به AWS گزارش شد، اونا توی ۱۹ سپتامبر ۲۰۲۴ این مشکل رو حل کردن. AWS گفته که تاکنون هیچ موردی از سوءاستفاده واقعی از این روش پیدا نشده و فقط محقق‌های امنیتی این حمله رو تست کردن.

از طرفی AWS همچنین یه قابلیت جدید به اسم "Allowed AMIs" معرفی کرده که به کاربرا اجازه میده فقط از AMIهایی که خودشون تعیین میکنن استفاده کنن. به همه پیشنهاد شده که این تنظیم امنیتی جدید رو فعال کنن تا در برابر این حمله محافظت بشن.

توی نوامبر ۲۰۲۴، Terraform شروع به هشدار دادن به کاربرا کرد که "most_recent=true" رو بدون مشخص کردن مالک استفاده نکنن. این هشدار توی نسخه‌ی ۶.۰.۰ قراره به یه خطای جدی تبدیل بشه.

در نهایت اگه کسی توی AWS داره از ec2:DescribeImages API برای پیدا کردن AMI استفاده میکنه، باید حتما مالک رو مشخص کنه، وگرنه ممکنه یه AMI جعلی و مخرب رو به جای AMI اصلی دریافت کنه. AWS هم برای حل این مشکل قابلیت‌های امنیتی جدیدی معرفی کرده تا جلوی این نوع حملات گرفته بشه.

یه سری هکر که پشت قضیه سوء استفاده از یه باگ zero day توی محصولات BeyondTrust Privileged Remote Access (PRA) و Remote Support (RS) توی دسامبر ۲۰۲۴ بودن، احتمالاً از یه باگ SQL Injection که قبلاً شناخته نشده بود، توی PostgreSQL هم سوء استفاده کردن. اینو تیم امنیتی Rapid7 کشف کرده.

این باگ که با شناسه CVE-2025-1094 (با امتیاز ۸.۱ از ۱۰ توی CVSS) پیگیری میشه، روی ابزار تعاملی psql توی PostgreSQL تأثیر داره.

یه محقق امنیتی به نام استیون فیور توضیح داده که:
"یه مهاجم اگه بتونه از این باگ برای اجرای SQL Injection استفاده کنه، میتونه کد دلخواه خودش رو اجرا کنه، چون این ابزار یه سری قابلیت‌های خاص برای اجرای دستورات داره."

تیم Rapid7 در حین بررسی یه آسیب‌ پذیری دیگه به اسم CVE-2024-12356 که اخیراً توی نرم‌ افزار BeyondTrust پچ شده، به این کشف جدید رسید. این باگ به هکرها اجازه میداد بدون احراز هویت کد مخرب اجرا کنن.

اونا متوجه شدن که برای اینکه یه سوء استفاده موفق از CVE-2024-12356 انجام بشه، باید همزمان CVE-2025-1094 هم مورد سوء استفاده قرار بگیره تا اجرای کد از راه دور ممکن بشه.

تیم PostgreSQL به‌طور هماهنگ این مشکل رو رفع کرده و نسخه‌های جدیدی منتشر شده که این باگ رو برطرف میکنه:

- توی PostgreSQL 17 (فیکس شده توی نسخه 17.3)
- توی PostgreSQL 16 (فیکس شده توی نسخه 16.7)
- توی PostgreSQL 15 (فیکس شده توی نسخه 15.11)
- توی PostgreSQL 14 (فیکس شده توی نسخه 14.16)
- توی PostgreSQL 13 (فیکس شده توی نسخه 13.19)

این آسیب‌پذیری به خاطر نحوه پردازش کاراکترهای نامعتبر UTF-8 توی PostgreSQL ایجاد شده، که باعث میشه یه مهاجم بتونه از طریق یه دستور میان‌ بر "\!"، اجرای دستورات روی سیستم رو انجام بده.

فیور توضیح داده که:
"یه هکر میتونه از CVE-2025-1094 برای اجرای این دستور میان‌ بر استفاده کنه، و در نتیجه کنترل کاملی روی دستورات اجرایی سیستم‌ عامل داشته باشه."
"همچنین، یه مهاجم که بتونه SQL Injection ایجاد کنه، میتونه کوئری‌های مخرب خودش رو هم اجرا کنه."

در همین حال، CISA (آژانس امنیت سایبری و زیرساخت‌های آمریکا) یه آسیب‌پذیری جدید توی نرم‌افزار SimpleHelp remote support (با شناسه CVE-2024-57727 و امتیاز ۷.۵) رو به لیست باگ‌ هایی که به‌ طور فعال مورد سوء استفاده قرار میگیرن، اضافه کرده. تمام آژانس‌های فدرال باید تا ۶ مارس ۲۰۲۵ این مشکل رو برطرف کنن.

کرنل لینوکس 6.14 rc3 منتشر شد.

لینوس توروالدز نسخه جدیدی از کرنل،
لینوکس، یعنی 6.14-rc3 رو منتشر کرده که نسخه آزمایشی جدید برای نسخه پایدار 6.14 هست.

پائولو بونزینی که مسئول بخش ماشین مجازی مبتنی بر کرنل (KVM) هست، یه سری اصلاحیه فرستاده که حالا توسط توروالدز توی کرنل ادغام شده.

این آپدیت‌ها مشکلات مهمی رو روی چندتا معماری، از جمله ARM و x86 برطرف میکنه و قابلیت‌های KVM رو هم بهتر و پایدارتر کرده.

۱. معرفی ویژگی Faux Bus:
یه قابلیت جدید اضافه شده به اسم Faux Bus که قراره کار توسعه درایورهای سخت‌افزار رو راحت‌ تر کنه. این یه فریمورک ساده‌ ست برای دستگاه‌ها و درایورهایی که خیلی پیچیده نیستن و نیازی به یه سیستم درایور کامل ندارن.

این قابلیت با دو تا فانکشن کار میکنه: یکی برای ساختن دستگاه و یکی برای پاک کردنش. همچنین، از C و Rust پشتیبانی میکنه، پس توسعه‌دهنده‌ها راحت‌ تر میتونن ازش استفاده کنن.

۲. تغییرات مهم KVM برای معماری ARM:
- مدیریت FP (اعداد اعشاری)، SIMD و SVE رو ساده‌ تر کرده و کلی باگ رو که توی شرایط واقعی باعث مشکل میشدن، برطرف کرده.
- یه مشکل رقابتی (Race Condition) بین vCPU و vGIC رو درست کرده که باعث مشکل توی بوت میشد.
- یه سری اصلاحات انجام داده که تو حالت Virtualization Host Extensions (VHE) خاموش، آدرس‌های کرنل الکی استفاده نشن.
- قابلیت Protected KVM (pKVM) هم بهینه شده، خطایابی بهتر شده و مشکلات هم‌ ترازی حافظه رفع شده.

۳. تغییرات KVM برای معماری x86:
- پشتیبانی از AMD Secure Nested Paging (SNP) بهتر شده تا موقع بالا اومدن KVM، ماژول Platform Security Processor (PSP) درست مقداردهی بشه.
- توی بخش Hyper-V، حالا اگه یه سری hypercalls که توسط APIC مجازی پشتیبانی نمیشن فرستاده بشن، KVM ردشون میکنه.
- یه مشکل قدیمی که باعث میشد مقدار DR6 توی تغییر حالت‌های مهمان خراب بشه، درست شده.
- یه مشکل توی تگ‌گذاری جدول صفحه‌های تو در تو (Nested Page Tables) که روی مهمان‌های سطح ۲ تأثیر میذاشت، برطرف شده.

چه تغییراتی داشیم ؟
- کلی از کدهای قدیمی رو پاک کردن و مسیرهای پیچیده رو ساده‌تر کردن.
- تست‌های KVM گسترده‌تر شده و حالا ویژگی‌های Hyper-V و سناریوهای خاص مجازی‌ سازی رو هم پوشش میده.
- در کل، ۳۰ فایل تغییر کرده، ۴۲۰ خط اضافه و ۴۲۷ خط حذف شده!

بونزینی گفته این درخواست به‌روزرسانی به خاطر تغییرات بزرگ ARM، حجمش زیاده، ولی جالب اینجاست که کد بیشتری حذف شده تا اضافه بشه! یعنی دارن سعی میکنن کرنل تمیزتر و بهینه‌ تر بشه.

مارک راتلند هم که روی تغییرات ARM کار کرده، نقش مهمی توی بهبود پایداری کرنل داشته.

فعلاً این نسخه آزمایشی هست و قبل از انتشار نهایی، قراره تست‌های بیشتری روش انجام بشه. توسعه‌دهنده‌ها هم تشویق شدن که این نسخه رو توی محیط‌های مختلف تست کنن و هر مشکلی که پیدا کردن، گزارش بدن.

آپدیت‌های KVM نشون میده که همکاری جامعه‌ی لینوکس، چقدر توی پیشرفت مجازی‌ سازی توی معماری‌های مختلف مؤثره.

دو تا باگ امنیتی توی OpenSSH پیدا شده که اگه یه هکر بتونه ازشون سوء استفاده کنه، میتونه یا یه حمله Man-in-the-Middle (MitM) انجام بده (یعنی خودش رو جای سرور جا بزنه و اطلاعات شما رو ببینه و دستکاری کنه) یا یه حمله Denial-of-Service (DoS) که باعث بشه سرور کلاً از کار بیفته و کسی نتونه بهش وصل بشه.

جزییات این دو تا باگ رو تیم Qualys Threat Research Unit (TRU) منتشر کرده:

CVE-2025-26465:
این باگ توی کلاینت OpenSSH از نسخه 6.8p1 تا 9.9p1 وجود داره. اگه گزینه VerifyHostKeyDNS فعال باشه، یه هکر میتونه خودش رو جای سرور اصلی جا بزنه و وقتی کاربر میخواد وصل بشه، کلاینت OpenSSH، کلید جعلی اون هکر رو به‌ جای کلید واقعی سرور قبول میکنه، این مشکل از دسامبر ۲۰۱۴ به بعد توی OpenSSH بوده.

CVE-2025-26466:
این یکی توی کلاینت و سرور OpenSSH از نسخه 9.5p1 تا 9.9p1 وجود داره. مشکل اینجاست که قبل از احراز هویت (pre-authentication)، میشه سرور رو با مصرف زیاد رم و پردازنده از کار انداخت. این باگ از آگوست ۲۰۲۳ اضافه شده.

یکی از محققای Qualys، سعید عباسی، درباره این مشکل گفته:
"اگه یه هکر بتونه حمله MitM رو از طریق CVE-2025-26465 انجام بده، کلاینت ممکنه کلید اون هکر رو به‌جای کلید واقعی سرور قبول کنه."
یعنی در واقع، امنیت و یکپارچگی اتصال SSH از بین میره و مهاجم میتونه کل جلسه SSH رو شنود کنه، تغییر بده یا حتی به داده‌ های حساس دسترسی پیدا کنه. البته به‌صورت پیش‌فرض گزینه VerifyHostKeyDNS غیرفعاله که یه مقدار ریسک این حمله رو کمتر میکنه.

اما از اون طرف، CVE-2025-26466 هم اگه مدام مورد سوء استفاده قرار بگیره، باعث میشه سرور کلاً در دسترس نباشه، ادمین‌ها نتونن مدیریتش کنن و کاربرای عادی هم قفل بشن بیرون، که یعنی کل سیستم دچار مشکل میشه.

هر دو تا مشکل توی نسخه OpenSSH 9.9p2 که امروز منتشر شده، برطرف شدن.

این افشاگری حدود هفت ماه بعد از یه باگ خطرناک دیگه توی OpenSSH به اسم regreSSHion (CVE-2024-6387) اومده که میتونست باعث اجرای کد از راه دور با دسترسی روت روی سیستم‌های لینوکسی مبتنی بر glibc بشه.

هکر های چینی یه روش جدید برای مخفی شدن و کنترل سیستم‌های آلوده پیدا کردن.

گروه Mustang Panda، که توسط دولت چین حمایت میشه، از یه ترفند جالب استفاده میکنه تا آنتی‌ویروس‌ ها رو دور بزنه و حضور خودش رو توی سیستم‌های قربانی حفظ کنه.

اینا از یه ابزار کاملاً قانونی ویندوزی به اسم Microsoft Application Virtualization Injector (MAVInject.exe) استفاده میکنن که در اصل برای اجرای برنامه‌ های مجازی‌ سازی‌ شده به کار میره. اما این گروه اومده و از این قابلیت سوء استفاده کرده تا کد مخرب خودش رو تزریق کنه به یه فرآیند خارجی به اسم waitfor.exe.

نکته‌ی مهم:

اگه آنتی‌ویروس ESET روی سیستم قربانی فعال باشه، این بدافزار این روش رو اجرا میکنه تا شناسایی نشه.

چندین فایل مختلف روی سیستم میریزن که شامل برنامه‌های قانونی و فایل‌های مخرب هست.
یه PDF تقلبی هم همراهش هست که نقش طعمه رو داره تا توجه قربانی رو جلب کنه.

از یه نرم‌افزار نصب‌ کننده به اسم Setup Factory استفاده میکنن که در اصل برای ساختن نصاب برنامه‌های ویندوزی هست، اما اینجا برای اجرای فایل مخرب به کار میره!

شروع حمله از یه فایل اجرایی به اسم IRSetup.exe هست که چندین فایل دیگه رو هم روی سیستم قربانی میریزه. این فایل ظاهراً کاربرای تایلندی رو هدف گرفته که نشون میده احتمالاً حملات از طریق ایمیل‌ های فیشینگ هدفمند انجام میشه.

بعد از اجرا شدن، این بدافزار یه برنامه‌ قانونی مربوط به کمپانی Electronic Arts (EA) به اسم OriginLegacyCLI.exe رو اجرا میکنه و از طریق اون یه فایل DLL آلوده شده به اسم EACore.dll رو بارگذاری میکنه.

این DLL در واقع یه نسخه تغییر یافته از یه بدافزار مخفی به اسم TONESHELL هست که قبلاً هم توسط هکرهای چینی استفاده شده.

این بدافزار وقتی روی سیستم اجرا میشه، اول چک میکنه ببینه دو تا فرآیند مربوط به آنتی‌ ویروس ESET فعال هستن یا نه:
ekrn.exe
egui.exe

اگه این فرآیندها فعال باشن، بدافزار waitfor.exe رو اجرا میکنه و بعدش از MAVInject.exe استفاده میکنه تا بدون اینکه شناسایی بشه، کد مخربش رو داخل این فرآیند تزریق کنه.

محققای امنیتی میگن که احتمالش زیاده که هکرها این حمله رو اول روی سیستم‌ هایی که ESET داشتن تست کرده باشن و بعد اومدن MAVInject.exe رو برای دور زدنش استفاده کردن.

بعد از اینکه کد مخرب اجرا شد، بدافزار یه شل‌کد رمزگذاری‌ شده رو رمزگشایی میکنه که بهش اجازه میده با یه سرور کنترل از راه دور ارتباط برقرار کنه:
www.militarytc.com:443
از طریق این سرور، هکرها میتون دستورات جدید به سیستم قربانی بفرستن یه شل معکوس (Reverse Shell) راه بندازن تا کنترل کامل روی سیستم داشته باشن فایل‌ ها رو جا‌بجا کنن فایل‌ها رو پاک کنن برای رد گم کردن