‫ fars_sakha بلاگ

آسیب‌پذیری‌های بحرانی OpenSSH کاربران را در معرض حملات MITM و DoS قرار می‌دهد

دو آسیب‌پذیری حیاتیOpenSSH کشف شد! Qualys TRU نقص‌های مشتری و سرور(CVE-2025-26465 & CVE-2025-26466) را پیدا می‌کند کهMITM وDoS را فعال می‌کند. اکنون برای محافظت از سیستم‌های خود به 9.9p2 ارتقاء دهید.

واحد تحقیقاتQualys Threat (TRU) دو نقطه ضعف امنیتی درOpenSSH کشف کرده است، ابزاری که به طور گسترده در سیستم عامل‌های مختلف برای ورود امن از راه دور، انتقال فایل و سایر عملکردهای حیاتی مورد استفاده قرار می‌گیرد.

اولین آسیب‌پذیری که با نامCVE-2025-26465 شناخته می‌شود، کلاینتOpenSSH را در معرض حملات ماشینی در وسط قرار می‌دهد. در پست وبلاگ خوانده شده، این نقص "به هنگام فعال بودن گزینهVerifyHostKeyDNS به یک حمله ماشین در وسط به مشتریOpenSSH اجازه می‌دهد" و تنظیم یا "بله" یا "پرسش" را تنظیم کنید.

بررسی‌های بیشتر نشان داد که این آسیب‌پذیری بدون توجه به تنظیماتVerifyHostKeyDNS وجود دارد و نیازی به تعامل کاربر یا سوابقDNS خاصی ندارد. درOpenSSH نسخه 6.8p1 معرفی شد و بر نسخه‌های تا 9.9p1 تأثیر می‌گذارد.

علاوه بر این، این نقص به مهاجم اجازه می‌دهد تا جعل یک سرور قانونی را جعل کند، که به طور بالقوه یکپارچگی اتصالSSH را به خطر می‌اندازد و امکان رهگیری یا دست‌کاری داده‌ها را فراهم می‌کند. این می‌تواند منجر به به خطر افتادن جلساتSSH شود و به هکرها این امکان را می‌دهد که داده‌های حساس را مشاهده یا دست‌کاری کنند، در سرورهای مهم حرکت کنند و اطلاعات ارزشمند را استخراج کنند. شایان ذکر است که در حالی کهVerifyHostKeyDNS معمولاً غیرفعال است، به‌طور پیش‌فرض در سیستم‌هایFreeBSD برای نزدیک به یک دهه فعال بود و تأثیر بالقوه این نقص را افزایش داد.

دومین آسیب‌پذیری که با نامCVE-2025-26466 ردیابی می‌شود، هم کلاینتOpenSSH و هم سرور را تحت تأثیر قرار می‌دهد. این نقص امکان حمله انکار سرویس پیش از احراز هویت، مصرف بیش از حد حافظه و منابعCPU را فراهم می‌کند. این می‌تواند منجر به قطع سیستم شود و از دسترسی کاربران قانونی از جمله مدیران به سرورهای مهم جلوگیری کند. بهره‌برداری مکرر می‌تواند منجر به قطعی طولانی مدت و مشکلات مدیریت سرور شود که به طور بالقوه بر عملیات و وظایف تعمیر و نگهداری سازمان تأثیر می‌گذارد.

این آسیب‌پذیری اخیراً درOpenSSH نسخه 9.5p1 معرفی شده است و نسخه‌های تا 9.9p1 را نیز تحت تأثیر قرار می‌دهد. خوشبختانه، چندین پیکربندی سرورOpenSSH موجود، مانندLoginGraceTime، MaxStartups وPerSourcePenalties می‌توانند این حمله انکار سرویس را کاهش دهند.

Qualys TRU مسئولانه این آسیب‌پذیری‌ها را برای توسعه‌دهندگانOpenSSH فاش کرد و یک اصلاح درOpenSSH نسخه 9.9p2 موجود است. کاربران و مدیران باید فوراً به آخرین نسخه ارتقاء دهند تا از سیستم‌های خود در برابر این تهدیدات تازه شناسایی شده محافظت کنند. هرگونه تأخیر می‌تواند سیستم‌ها را در برابر نقض داده‌ها، دسترسی غیرمجاز و حملات انکار سرویس آسیب‌پذیر کند، که به طور بالقوه عملیات را مختل کرده و منجر به عواقب خطرناکی می‌شود.

لازم به ذکر است کهOpenSSH در گذشته با چالش‌های امنیتی مواجه بوده است، مانند گزارشHackread.com آسیب‌پذیریregreSSHion (CVE-2024-6387) که توسطQualys در سال 2024 کشف شد

این نقص‌ها درOpenSSH نشان می‌دهد که حتی نرم‌افزارهای قابل اعتماد و به خوبی نگهداری شده مانندOpenSSH نیز می‌توانند در معرض آسیب‌پذیری قرار گیرند، به‌روزرسانی‌های نرم‌افزاری منظم، نظارت بر فعالیت‌های مشکوک و اجرای بهترین شیوه‌های امنیتی برای محافظت از سیستم‌ها ضروری است.

 

آسیب‌پذیری‌های بحرانی OpenSSH کاربران را در معرض حملات MITM و DoS قرار می‌دهد

دو آسیب‌پذیری حیاتیOpenSSH کشف شد! Qualys TRU نقص‌های مشتری و سرور(CVE-2025-26465 & CVE-2025-26466) را پیدا می‌کند کهMITM وDoS را فعال می‌کند. اکنون برای محافظت از سیستم‌های خود به 9.9p2 ارتقاء دهید.

واحد تحقیقاتQualys Threat (TRU) دو نقطه ضعف امنیتی درOpenSSH کشف کرده است، ابزاری که به طور گسترده در سیستم عامل‌های مختلف برای ورود امن از راه دور، انتقال فایل و سایر عملکردهای حیاتی مورد استفاده قرار می‌گیرد.

اولین آسیب‌پذیری که با نامCVE-2025-26465 شناخته می‌شود، کلاینتOpenSSH را در معرض حملات ماشینی در وسط قرار می‌دهد. در پست وبلاگ خوانده شده، این نقص "به هنگام فعال بودن گزینهVerifyHostKeyDNS به یک حمله ماشین در وسط به مشتریOpenSSH اجازه می‌دهد" و تنظیم یا "بله" یا "پرسش" را تنظیم کنید.

بررسی‌های بیشتر نشان داد که این آسیب‌پذیری بدون توجه به تنظیماتVerifyHostKeyDNS وجود دارد و نیازی به تعامل کاربر یا سوابقDNS خاصی ندارد. درOpenSSH نسخه 6.8p1 معرفی شد و بر نسخه‌های تا 9.9p1 تأثیر می‌گذارد.

علاوه بر این، این نقص به مهاجم اجازه می‌دهد تا جعل یک سرور قانونی را جعل کند، که به طور بالقوه یکپارچگی اتصالSSH را به خطر می‌اندازد و امکان رهگیری یا دست‌کاری داده‌ها را فراهم می‌کند. این می‌تواند منجر به به خطر افتادن جلساتSSH شود و به هکرها این امکان را می‌دهد که داده‌های حساس را مشاهده یا دست‌کاری کنند، در سرورهای مهم حرکت کنند و اطلاعات ارزشمند را استخراج کنند. شایان ذکر است که در حالی کهVerifyHostKeyDNS معمولاً غیرفعال است، به‌طور پیش‌فرض در سیستم‌هایFreeBSD برای نزدیک به یک دهه فعال بود و تأثیر بالقوه این نقص را افزایش داد.

دومین آسیب‌پذیری که با نامCVE-2025-26466 ردیابی می‌شود، هم کلاینتOpenSSH و هم سرور را تحت تأثیر قرار می‌دهد. این نقص امکان حمله انکار سرویس پیش از احراز هویت، مصرف بیش از حد حافظه و منابعCPU را فراهم می‌کند. این می‌تواند منجر به قطع سیستم شود و از دسترسی کاربران قانونی از جمله مدیران به سرورهای مهم جلوگیری کند. بهره‌برداری مکرر می‌تواند منجر به قطعی طولانی مدت و مشکلات مدیریت سرور شود که به طور بالقوه بر عملیات و وظایف تعمیر و نگهداری سازمان تأثیر می‌گذارد.

این آسیب‌پذیری اخیراً درOpenSSH نسخه 9.5p1 معرفی شده است و نسخه‌های تا 9.9p1 را نیز تحت تأثیر قرار می‌دهد. خوشبختانه، چندین پیکربندی سرورOpenSSH موجود، مانندLoginGraceTime، MaxStartups وPerSourcePenalties می‌توانند این حمله انکار سرویس را کاهش دهند.

Qualys TRU مسئولانه این آسیب‌پذیری‌ها را برای توسعه‌دهندگانOpenSSH فاش کرد و یک اصلاح درOpenSSH نسخه 9.9p2 موجود است. کاربران و مدیران باید فوراً به آخرین نسخه ارتقاء دهند تا از سیستم‌های خود در برابر این تهدیدات تازه شناسایی شده محافظت کنند. هرگونه تأخیر می‌تواند سیستم‌ها را در برابر نقض داده‌ها، دسترسی غیرمجاز و حملات انکار سرویس آسیب‌پذیر کند، که به طور بالقوه عملیات را مختل کرده و منجر به عواقب خطرناکی می‌شود.

لازم به ذکر است کهOpenSSH در گذشته با چالش‌های امنیتی مواجه بوده است، مانند گزارشHackread.com آسیب‌پذیریregreSSHion (CVE-2024-6387) که توسطQualys در سال 2024 کشف شد

این نقص‌ها درOpenSSH نشان می‌دهد که حتی نرم‌افزارهای قابل اعتماد و به خوبی نگهداری شده مانندOpenSSH نیز می‌توانند در معرض آسیب‌پذیری قرار گیرند، به‌روزرسانی‌های نرم‌افزاری منظم، نظارت بر فعالیت‌های مشکوک و اجرای بهترین شیوه‌های امنیتی برای محافظت از سیستم‌ها ضروری است.

 

آسیب‌پذیری‌های بحرانی OpenSSH کاربران را در معرض حملات MITM و DoS قرار می‌دهد

دو آسیب‌پذیری حیاتیOpenSSH کشف شد! Qualys TRU نقص‌های مشتری و سرور(CVE-2025-26465 & CVE-2025-26466) را پیدا می‌کند کهMITM وDoS را فعال می‌کند. اکنون برای محافظت از سیستم‌های خود به 9.9p2 ارتقاء دهید.

واحد تحقیقاتQualys Threat (TRU) دو نقطه ضعف امنیتی درOpenSSH کشف کرده است، ابزاری که به طور گسترده در سیستم عامل‌های مختلف برای ورود امن از راه دور، انتقال فایل و سایر عملکردهای حیاتی مورد استفاده قرار می‌گیرد.

اولین آسیب‌پذیری که با نامCVE-2025-26465 شناخته می‌شود، کلاینتOpenSSH را در معرض حملات ماشینی در وسط قرار می‌دهد. در پست وبلاگ خوانده شده، این نقص "به هنگام فعال بودن گزینهVerifyHostKeyDNS به یک حمله ماشین در وسط به مشتریOpenSSH اجازه می‌دهد" و تنظیم یا "بله" یا "پرسش" را تنظیم کنید.

بررسی‌های بیشتر نشان داد که این آسیب‌پذیری بدون توجه به تنظیماتVerifyHostKeyDNS وجود دارد و نیازی به تعامل کاربر یا سوابقDNS خاصی ندارد. درOpenSSH نسخه 6.8p1 معرفی شد و بر نسخه‌های تا 9.9p1 تأثیر می‌گذارد.

علاوه بر این، این نقص به مهاجم اجازه می‌دهد تا جعل یک سرور قانونی را جعل کند، که به طور بالقوه یکپارچگی اتصالSSH را به خطر می‌اندازد و امکان رهگیری یا دست‌کاری داده‌ها را فراهم می‌کند. این می‌تواند منجر به به خطر افتادن جلساتSSH شود و به هکرها این امکان را می‌دهد که داده‌های حساس را مشاهده یا دست‌کاری کنند، در سرورهای مهم حرکت کنند و اطلاعات ارزشمند را استخراج کنند. شایان ذکر است که در حالی کهVerifyHostKeyDNS معمولاً غیرفعال است، به‌طور پیش‌فرض در سیستم‌هایFreeBSD برای نزدیک به یک دهه فعال بود و تأثیر بالقوه این نقص را افزایش داد.

دومین آسیب‌پذیری که با نامCVE-2025-26466 ردیابی می‌شود، هم کلاینتOpenSSH و هم سرور را تحت تأثیر قرار می‌دهد. این نقص امکان حمله انکار سرویس پیش از احراز هویت، مصرف بیش از حد حافظه و منابعCPU را فراهم می‌کند. این می‌تواند منجر به قطع سیستم شود و از دسترسی کاربران قانونی از جمله مدیران به سرورهای مهم جلوگیری کند. بهره‌برداری مکرر می‌تواند منجر به قطعی طولانی مدت و مشکلات مدیریت سرور شود که به طور بالقوه بر عملیات و وظایف تعمیر و نگهداری سازمان تأثیر می‌گذارد.

این آسیب‌پذیری اخیراً درOpenSSH نسخه 9.5p1 معرفی شده است و نسخه‌های تا 9.9p1 را نیز تحت تأثیر قرار می‌دهد. خوشبختانه، چندین پیکربندی سرورOpenSSH موجود، مانندLoginGraceTime، MaxStartups وPerSourcePenalties می‌توانند این حمله انکار سرویس را کاهش دهند.

Qualys TRU مسئولانه این آسیب‌پذیری‌ها را برای توسعه‌دهندگانOpenSSH فاش کرد و یک اصلاح درOpenSSH نسخه 9.9p2 موجود است. کاربران و مدیران باید فوراً به آخرین نسخه ارتقاء دهند تا از سیستم‌های خود در برابر این تهدیدات تازه شناسایی شده محافظت کنند. هرگونه تأخیر می‌تواند سیستم‌ها را در برابر نقض داده‌ها، دسترسی غیرمجاز و حملات انکار سرویس آسیب‌پذیر کند، که به طور بالقوه عملیات را مختل کرده و منجر به عواقب خطرناکی می‌شود.

لازم به ذکر است کهOpenSSH در گذشته با چالش‌های امنیتی مواجه بوده است، مانند گزارشHackread.com آسیب‌پذیریregreSSHion (CVE-2024-6387) که توسطQualys در سال 2024 کشف شد

این نقص‌ها درOpenSSH نشان می‌دهد که حتی نرم‌افزارهای قابل اعتماد و به خوبی نگهداری شده مانندOpenSSH نیز می‌توانند در معرض آسیب‌پذیری قرار گیرند، به‌روزرسانی‌های نرم‌افزاری منظم، نظارت بر فعالیت‌های مشکوک و اجرای بهترین شیوه‌های امنیتی برای محافظت از سیستم‌ها ضروری است.

 

نوع جدید بدافزار XCSSET با هدف قرار دادن برنامه و کیف پول macOS Notes

مایکروسافت به توسعه دهندگان اپل در مورد یک بدافزار جدیدXCSSET هشدار می‌دهد کهmacOS را هدف قرار می‌دهد و خطرات امنیتی را از طریق عفونت‌های مخفی و سرقت داده‌ها ایجاد می‌کند.

محققان امنیت سایبری درMicrosoft Threat Intelligence گونه جدیدی از بدافزارXCSSET را شناسایی کرده‌اند که کاربرانmacOS را هدف قرار می‌دهد. این بدافزار مدولار با آلوده کردن پروژه‌هایXcode، ابزارهای لازم برای ساخت برنامه‌های کاربردی در پلتفرمmacOS، بر حمله به توسعه‌دهندگان اپل تمرکز می‌کند.

در حالی که گسترش فعلی این نسخه به روز شده محدود به نظر می رسد، کارشناسان از توسعه دهندگان و سازمان ها می‌خواهند که اقدامات پیشگیرانه را برای محافظت از سیستم‌های خود اجرا کنند.

XCSSET چیست؟
XCSSET برای اولین بار توسطTrend Micro در سال 2020 شناسایی شد. از آن زمان به عنوان یک بدافزار آب زیرکاه شهرت پیدا کرده است. این آخرین نسخه بر اساس قابلیت‌های نسخه قبلی خود با پیشرفت‌های عمده در طراحی آن ساخته شده است و تشخیص و دفاع در برابر آن را حتی سخت‌تر می‌کند.

طبق یافته‌های مایکروسافت، نوع جدید مجهز به تکنیک‌های مبهم‌سازی پیشرفته، مکانیسم‌های پیچیده‌تر پایداری و روش‌های به‌روز شده برای آلوده‌سازی سیستم‌ها است. این ارتقاهاXCSSET را به یک تهدید دائمی و مخفی تبدیل می‌کند که می‌تواند ترکیبی از فعالیت‌های مخرب مختلف را انجام دهد، از جمله هدف قرار دادن کیف پول‌های دیجیتال، سرقت داده‌ها از برنامهNotes، سرقت اطلاعات حساس سیستم و استخراج فایل‌ها.

تشخیص سخت‌تر
یکی از قابلیت‌های اصلی این نوع جدیدXCSSET تمرکز آن بر فرار است. برای جلوگیری از شناسایی توسط آنتی ویروس و سایر ابزارهای امنیتی، بدافزار محموله‌های خود را به صورت کاملا تصادفی تولید می‌کند. هم فرآیند رمزگذاری و هم تعداد تکرارهای مورد استفاده را تصادفی می‌کند و چالش‌هایی را برای محققانی که سعی در تجزیه‌و تحلیل کد دارند ایجاد می‌کند.

علاوه بر این، نسخه‌های قدیمی‌ترXCSSET برای رمزگذاری بارهای خود به یک ابزار واحد، xxd (hexdump) متکی بودند. با این حال، آخرین نسخه، رمزگذاریBase64 را به زرادخانه خود اضافه می‌کند و تلاش‌های تجزیه‌و تحلیل را پیچیده تر می‌کند. حتی نام ماژول‌های بدافزار مبهم شده است و تشخیص هدف یا عملکرد آنها در کد را دشوار می‌کند.

سخت‌تر برای حذف
نوع جدیدXCSSET از دو روش نوآورانه برای اطمینان از فعال ماندن آن در سیستم‌های آلوده، حتی پس از راه‌اندازی مجدد یا خروج کاربر استفاده می‌کند.

1- روش"zshrc": این تاکتیک شامل ایجاد یک فایل مخفی به نام~/.zshrc_aliases برای قرار دادن بار مخرب است. سپس بدافزار فایل پیکربندی~/.zshrc را دست‌کاری می‌کند و دستوری را اضافه می‌کند که هر زمان که جلسه پوسته جدیدی شروع می‌شود، به‌طور خودکار فایل مخرب را بارگیری می‌کند. این بدان معناست که هر بار که کاربر ترمینال خود را باز می کند، بدافزار در پس زمینه فعال می شود.
2- روش"Dock": این رویکردDock macOS را ربوده است. این بدافزار یک ابزار امضا شده به نام"dockutil" را از یک سرور فرمان و کنترل از راه دور دانلود می‌کند تا مواردDock را تغییر دهد. این برنامه قانونی"Launchpad" را با یک نسخه مخرب جایگزین می‌کند‌ و تضمین می‌کند که بدافزار هر بار که کاربر باDock تعامل دارد اجرا می‌شود.

هدف‌گذاری پروژه‌هایXcode
همانطور که از نام آن پیداست، XCSSET در درجه اولXcode، محیط توسعه یکپارچه قدرتمند اپل(IDE) برایmacOS را هدف قرار می‌دهد. بدافزار با استفاده از یکی از سه استراتژی قرار دادن: TARGET، RULE، یاFORCED_STRATEGY به پروژه‌هایXcode نفوذ می‌کند. این استراتژی‌ها تعیین می‌کنند که چگونه و کجا بار مخرب در فایل‌های پروژه جاسازی شود.

علاوه بر این، بدافزار می‌تواند کلیدTARGET_DEVICE_FAMILY را در تنظیمات ساخت پروژه هدف قرار دهد. XCSSET با درج کد خود در اینجا اطمینان می‌دهد کهpayload فقط زمانی فعال می‌شود که برنامه در دستگاه‌های خاصی ساخته شده و اجرا شود، و از شناسایی در مراحل توسعه یا آزمایش اجتناب می‌کند.

چگونه از خود محافظت کنیم

اگر شما یک توسعه دهنده اپل یا به طور کلی کاربرmacOS هستید، در اینجا چند نکته ساده اما حیاتی برای محافظت از دستگاه‌های خود در برابر بدافزارXCSSET آورده شده است:

  • پروژه‌هایXcode را بررسی کنید: همیشه پروژه‌هایXcode را بررسی و تأیید کنید، به خصوص اگر از مخازن خارجی دانلود شده یا توسط اشخاص ثالث به اشتراک گذاشته شده است.
  • به منابع قابل اعتماد پایبند باشید: برنامه‌ها و ابزارها را منحصراً از کانال‌های رسمی اپل یا پلتفرم‌های نرم افزاری معتبر دانلود کنید. از فروشگاه‌های برنامه شخص ثالث یا دانلودهای غیر رسمی خودداری کنید.
  • با به روز‌رسانی‌ها همراه باشید: با آخرین توصیه‌های امنیتی مایکروسافت، اپل و سایر سازمان‌های امنیت سایبری به روز باشید.

 

نوع جدید بدافزار XCSSET با هدف قرار دادن برنامه و کیف پول macOS Notes

مایکروسافت به توسعه دهندگان اپل در مورد یک بدافزار جدیدXCSSET هشدار می‌دهد کهmacOS را هدف قرار می‌دهد و خطرات امنیتی را از طریق عفونت‌های مخفی و سرقت داده‌ها ایجاد می‌کند.

محققان امنیت سایبری درMicrosoft Threat Intelligence گونه جدیدی از بدافزارXCSSET را شناسایی کرده‌اند که کاربرانmacOS را هدف قرار می‌دهد. این بدافزار مدولار با آلوده کردن پروژه‌هایXcode، ابزارهای لازم برای ساخت برنامه‌های کاربردی در پلتفرمmacOS، بر حمله به توسعه‌دهندگان اپل تمرکز می‌کند.

در حالی که گسترش فعلی این نسخه به روز شده محدود به نظر می رسد، کارشناسان از توسعه دهندگان و سازمان ها می‌خواهند که اقدامات پیشگیرانه را برای محافظت از سیستم‌های خود اجرا کنند.

XCSSET چیست؟
XCSSET برای اولین بار توسطTrend Micro در سال 2020 شناسایی شد. از آن زمان به عنوان یک بدافزار آب زیرکاه شهرت پیدا کرده است. این آخرین نسخه بر اساس قابلیت‌های نسخه قبلی خود با پیشرفت‌های عمده در طراحی آن ساخته شده است و تشخیص و دفاع در برابر آن را حتی سخت‌تر می‌کند.

طبق یافته‌های مایکروسافت، نوع جدید مجهز به تکنیک‌های مبهم‌سازی پیشرفته، مکانیسم‌های پیچیده‌تر پایداری و روش‌های به‌روز شده برای آلوده‌سازی سیستم‌ها است. این ارتقاهاXCSSET را به یک تهدید دائمی و مخفی تبدیل می‌کند که می‌تواند ترکیبی از فعالیت‌های مخرب مختلف را انجام دهد، از جمله هدف قرار دادن کیف پول‌های دیجیتال، سرقت داده‌ها از برنامهNotes، سرقت اطلاعات حساس سیستم و استخراج فایل‌ها.

تشخیص سخت‌تر
یکی از قابلیت‌های اصلی این نوع جدیدXCSSET تمرکز آن بر فرار است. برای جلوگیری از شناسایی توسط آنتی ویروس و سایر ابزارهای امنیتی، بدافزار محموله‌های خود را به صورت کاملا تصادفی تولید می‌کند. هم فرآیند رمزگذاری و هم تعداد تکرارهای مورد استفاده را تصادفی می‌کند و چالش‌هایی را برای محققانی که سعی در تجزیه‌و تحلیل کد دارند ایجاد می‌کند.

علاوه بر این، نسخه‌های قدیمی‌ترXCSSET برای رمزگذاری بارهای خود به یک ابزار واحد، xxd (hexdump) متکی بودند. با این حال، آخرین نسخه، رمزگذاریBase64 را به زرادخانه خود اضافه می‌کند و تلاش‌های تجزیه‌و تحلیل را پیچیده تر می‌کند. حتی نام ماژول‌های بدافزار مبهم شده است و تشخیص هدف یا عملکرد آنها در کد را دشوار می‌کند.

سخت‌تر برای حذف
نوع جدیدXCSSET از دو روش نوآورانه برای اطمینان از فعال ماندن آن در سیستم‌های آلوده، حتی پس از راه‌اندازی مجدد یا خروج کاربر استفاده می‌کند.

1- روش"zshrc": این تاکتیک شامل ایجاد یک فایل مخفی به نام~/.zshrc_aliases برای قرار دادن بار مخرب است. سپس بدافزار فایل پیکربندی~/.zshrc را دست‌کاری می‌کند و دستوری را اضافه می‌کند که هر زمان که جلسه پوسته جدیدی شروع می‌شود، به‌طور خودکار فایل مخرب را بارگیری می‌کند. این بدان معناست که هر بار که کاربر ترمینال خود را باز می کند، بدافزار در پس زمینه فعال می شود.
2- روش"Dock": این رویکردDock macOS را ربوده است. این بدافزار یک ابزار امضا شده به نام"dockutil" را از یک سرور فرمان و کنترل از راه دور دانلود می‌کند تا مواردDock را تغییر دهد. این برنامه قانونی"Launchpad" را با یک نسخه مخرب جایگزین می‌کند‌ و تضمین می‌کند که بدافزار هر بار که کاربر باDock تعامل دارد اجرا می‌شود.

هدف‌گذاری پروژه‌هایXcode
همانطور که از نام آن پیداست، XCSSET در درجه اولXcode، محیط توسعه یکپارچه قدرتمند اپل(IDE) برایmacOS را هدف قرار می‌دهد. بدافزار با استفاده از یکی از سه استراتژی قرار دادن: TARGET، RULE، یاFORCED_STRATEGY به پروژه‌هایXcode نفوذ می‌کند. این استراتژی‌ها تعیین می‌کنند که چگونه و کجا بار مخرب در فایل‌های پروژه جاسازی شود.

علاوه بر این، بدافزار می‌تواند کلیدTARGET_DEVICE_FAMILY را در تنظیمات ساخت پروژه هدف قرار دهد. XCSSET با درج کد خود در اینجا اطمینان می‌دهد کهpayload فقط زمانی فعال می‌شود که برنامه در دستگاه‌های خاصی ساخته شده و اجرا شود، و از شناسایی در مراحل توسعه یا آزمایش اجتناب می‌کند.

چگونه از خود محافظت کنیم

اگر شما یک توسعه دهنده اپل یا به طور کلی کاربرmacOS هستید، در اینجا چند نکته ساده اما حیاتی برای محافظت از دستگاه‌های خود در برابر بدافزارXCSSET آورده شده است:

  • پروژه‌هایXcode را بررسی کنید: همیشه پروژه‌هایXcode را بررسی و تأیید کنید، به خصوص اگر از مخازن خارجی دانلود شده یا توسط اشخاص ثالث به اشتراک گذاشته شده است.
  • به منابع قابل اعتماد پایبند باشید: برنامه‌ها و ابزارها را منحصراً از کانال‌های رسمی اپل یا پلتفرم‌های نرم افزاری معتبر دانلود کنید. از فروشگاه‌های برنامه شخص ثالث یا دانلودهای غیر رسمی خودداری کنید.
  • با به روز‌رسانی‌ها همراه باشید: با آخرین توصیه‌های امنیتی مایکروسافت، اپل و سایر سازمان‌های امنیت سایبری به روز باشید.

 

امنیت و حریم خصوصی چالش تلاش‌های مدرن‌سازی

بر اساس گزارشSolarWinds، برای اکثر سازمان‌های بخش عمومی، تحول دیجیتال در حال انجام است و پیچیدگی یکپارچه‌سازی سیستم‌های جدید و نگرانی‌های مربوط به حریم خصوصی و امنیتی همچنان موانع اصلی باقی مانده است.

تراویس گالووی، مشاور ارشد امور دولتی درSolarWinds می‌گوید: «در حالی که بخش عمومی چشم‌انداز فناوری در حال تحول را دنبال می‌کند، سازمان‌های بیشتری به هدایت عملیات و حجم کاری به ابر و اتخاذ راه‌حل‌های فناوری اطلاعات ترکیبی ادامه خواهند داد.

گالووی ادامه داد: «این لایه دیگری از پیچیدگی را به امنیت داده‌ها و انطباق در سراسر عملیات اضافه می‌کند، همراه با فشارهای اضافی محدودیت‌های بودجه.

مهم‌ترین چالش‌های امنیتی امروز شامل آسیب‌پذیری‌ها در سیستم‌های نظارتی و نیاز حیاتی به محافظت از اطلاعات حساس در برابر تهدیدات سایبری است. شرکت کنندگان جامعه عمومی هک (59%) و افراد بی‌دقت/ آموزش ندیده (58%) را به عنوان تهدیدات امنیتی برتر خود رتبه‌بندی کردند و بر نیاز به آموزش آگاهی امنیتی قوی‌تر، ابزارهای پیشرفته و مکانیسم‌های کنترل دسترسی بهتر تاکید کردند.

پذیرش هوش مصنوعی نیز با مزایایی مانند تجزیه‌و تحلیل پیش‌بینی‌کننده و تشخیص مشکل، شتاب بیشتری می‌گیرد، اما نگرانی‌ها همچنان پابرجاست. بیش از 33 درصد از پاسخ‌دهندگان از هوش مصنوعی برای خودکارسازی عملیات امنیت سایبری و افزایش قابلیت مشاهده فناوری اطلاعات استفاده می‌کنند، با برنامه‌ریزی‌های بسیاری که به زودی از آن استفاده می‌کنند.

با وجود این، تقریباً 4 نفر از هر 10 پاسخ دهنده به شدت یا بسیار نگران خطرات بالقوه مرتبط با استفاده از هوش مصنوعی، مانند حفظ حریم خصوصی و انطباق داده‌ها هستند، که اجرای تمام مقیاس را به یک فرآیند محتاطانه تبدیل می‌کند.

وضعیت تحول دیجیتال در بخش دولتی
نگرانی‌های مربوط به حفظ حریم خصوصی و امنیت داده‌ها (62%)، محدودیت‌های بودجه (57%)، و پیچیدگی یکپارچه‌سازی (56%) چالش‌های اصلی در سفر تحول دیجیتال پاسخ‌دهندگان هستند. قابل توجه است که پاسخ دهندگان بخش آموزشی بیشتر به پیچیدگی ادغام به عنوان یک چالش اشاره می‌کنند.

برای بیش از نیمی از پاسخ دهندگان، بهبود قابلیت مشاهده سیستم ها و فرآیندها و پیشبرد تحول دیجیتال اولویت‌های بالا یا بسیار بالایی هستند. در مقابل، ادغام هوش مصنوعی در عملیات به عنوان اولویت پایین‌تری در نظر گرفته می‌شود.

محدودیت‌های بودجه (28 درصد) در صدر فهرست موانع مهم امسال برای حفظ یا بهبود امنیت فناوری اطلاعات قرار دارد. پیچیدگی محیط داخلی (20٪) دقیقاً دنبال می‌شود.

منابع اولیه تهدیدات امنیتی برای مخاطبانSLED (ایالتی، محلی‌ و آموزشی) از سال 2019 نسبتاً ثابت باقی مانده است. با این حال، در سال 2024، مخاطبان آموزش شاهد تغییری بودند و جامعه عمومی هکرها از خودی‌های بی‌دقت/ آموزش ندیده به عنوان منبع اصلی تهدیدها پیشی گرفتند.

محیط‌های فعلی و آینده
در سال 2024، ابر دولتی (خصوصی) به عنوان رایج‌ترین محیط (70٪) پیشتاز شده است که ناشی از کاهش استفاده سنتی از مرکز داده داخلی (58٪) است که در سال 2023 رایج‌ترین (91٪) بود. مطابق با سال گذشته، پاسخ‌دهندگان همچنان پیش‌بینی می‌کنند که محیط‌های ترکیبی رایج‌ترین محیط‌ها در آینده خواهند بود(48%).

بیش از نیمی از پاسخ دهندگان گزارش کردند که مدیریت محیطIT آنها بسیار یا بسیار پیچیده است، اگرچه این میزان نسبت به سال گذشته کاهش یافته است. علاوه بر این، کمتر از نیمی از آنها به توانایی خود در مدیریت موثر آن اعتماد دارند.

چالش‌های زیرساخت فناوری اطلاعات ترکیبی
پیچیدگی مدیریت محیط‌های ترکیبی، چالش اصلی (73%)، به ویژه برای پاسخ دهندگان فدرال است. مسائل امنیتی (67٪)، مسائل مربوط به یکپارچه‌سازی سیستم قدیمی (55٪)، و نگرانی‌های هزینه (51٪) نیز چالش‌هایی برای اکثر شرکت کنندگان هستند.

با در نظر گرفتن رتبه‌بندی کلی و رتبه‌بندی به عنوان اولویت اصلی، نگرانی‌های حفاظت از داده‌ها و حفظ حریم خصوصی، همراه با محافظت از اطلاعات حساس در برابر تهدیدات سایبری، به عنوان چالش‌های امنیتی پیش‌رو در زیرساخت‌های فناوری اطلاعات ترکیبی با 51 درصد ظاهر می‌شوند.

63 درصد از پاسخ‌دهندگان با چالش‌هایی در زمینه نظارت در محیط‌های مختلف مواجه هستند که مانع از توانایی آن‌ها برای به دست آوردن دید به زیرساخت فناوری اطلاعات ترکیبی سازمانشان می‌شود.

 

هکرها از ربودن RID ویندوز برای ایجاد حساب مدیریت مخفی استفاده می‌کنند

یک گروه هکری از تکنیکی به نام ربودن RID استفاده می‌کند که ویندوز را فریب می‌دهد تا یک حساب کاربری با امتیاز پایین را به عنوان حساب کاربری با مجوزهای سرپرست تلقی کند.

 

 

 

هکرها از یک فایل مخرب سفارشی و یک ابزار منبع باز برای حمله ربایی استفاده کردند. هر دو ابزار می‌توانند این حمله را انجام دهند، اما محققان شرکت امنیت سایبری کره‌جنوبی AhnLab می‌گویند که تفاوت‌هایی وجود دارد.

 

چگونه RID hijacking کار می‌کند

شناسه نسبی (RID) در ویندوز بخشی از شناسه امنیتی (SID) است، یک برچسب منحصر به فرد که به هر حساب کاربری اختصاص داده می‌شود تا بین آنها تمایز قائل شود.

 

RID می‌تواند مقادیری را دریافت کند که سطح دسترسی حساب را نشان می‌دهد، مانند «500» برای مدیران، «501» برای حساب‌های مهمان، «1000» برای کاربران عادی و «512» برای گروه سرپرستان دامنه.

 

ربودن RID زمانی اتفاق می‌افتد که مهاجمان RID یک حساب کاربری با امتیاز پایین را برای مطابقت با ارزش یک حساب مدیر تغییر می‌دهند و ویندوز به آن دسترسی بالاتری می‌دهد.

 

با این حال، انجام حمله مستلزم دسترسی به رجیستری SAM است، بنابراین هکرها باید ابتدا سیستم را نقض کرده و به SYSTEM دسترسی پیدا کنند.

 

 

 

 

 

 

 

آندریل حمله می‌کند

محققان ASEC، مرکز اطلاعات امنیتی AhnLab، این حمله را به گروه تهدید Andariel نسبت می‌دهند که با گروه هکر Lazarus کره‌شمالی مرتبط است.

 

حملات با دسترسی Andariel به SYSTEM روی هدف از طریق بهره‌برداری از یک آسیب‌پذیری آغاز می‌شود.

 

هکرها با استفاده از ابزارهایی مانند PsExec و JuicyPotato برای راه‌اندازی یک خط فرمان در سطح سیستم، به تشدید اولیه دست می‌یابند.

 

اگرچه دسترسی SYSTEM بالاترین سطح در ویندوز است، اما اجازه دسترسی از راه دور را نمی‌دهد، نمی‌تواند با برنامه‌های رابط کاربری گرافیکی تعامل داشته باشد، بسیار پر سر و صدا است و احتمالاً شناسایی می‌شود و نمی‌تواند بین راه‌اندازی مجدد سیستم باقی بماند.

 

برای رفع این مشکلات، Andariel ابتدا با استفاده از دستور «net user» و افزودن کاراکتر «$» در پایان، یک کاربر محلی پنهان و کم امتیاز ایجاد کرد.

 

با انجام این کار، مهاجم اطمینان حاصل کرد که حساب از طریق دستور "net user" قابل مشاهده نیست و فقط در رجیستری SAM قابل شناسایی است. سپس آنها ربودن RID را برای افزایش مجوزهای مدیریت انجام دادند.

 

 

 

 

 

به گفته محققان، Andariel حساب کاربری خود را به گروه کاربران و مدیران دسکتاپ از راه دور اضافه کرده است.

 

ربودن RID مورد نیاز برای این کار از طریق اصلاحات رجیستری مدیریت حساب امنیتی (SAM) امکان‌پذیر است از بدافزار سفارشی و یک ابزار متن باز برای انجام تغییرات استفاده می‌کند.

 

 

 

 

 

اگرچه دسترسی SYSTEM اجازه ایجاد مستقیم حساب مدیر را می‌دهد، بسته به تنظیمات امنیتی ممکن است محدودیت‌های خاصی اعمال شود. افزایش امتیازات حساب‌های معمولی بسیار پنهان‌تر و سخت‌تر است که شناسایی و متوقف شود.

 

Andariel در ادامه تلاش می‌کند تا مسیرهای خود را با صادر کردن تنظیمات رجیستری اصلاح‌ شده، حذف کلید و حساب سرکش‌ و سپس ثبت مجدد آن از یک نسخه پشتیبان ذخیره‌شده، پوشش دهد و امکان فعال‌سازی مجدد را بدون نمایش در گزارش‌های سیستم فراهم کند.

 

برای کاهش خطرات حملات ربودن RID، مدیران سیستم باید از سرویس زیرسیستم مرجع امنیت محلی (LSA) برای بررسی تلاش‌های ورود به سیستم و تغییرات رمز عبور و همچنین جلوگیری از دسترسی غیرمجاز و تغییرات در رجیستری SAM استفاده کنند.

 

همچنین توصیه می‌شود اجرای PsExec، JuicyPotato و ابزارهای مشابه را محدود کنید، حساب Guest را غیرفعال کنید و از تمام حساب‌های موجود، حتی با امتیاز پایین، با احراز هویت چند مرحله‌ای محافظت کنید.

 

شایان ذکر است که ربودن RID حداقل از سال 2018 شناخته شده است، زمانی که محقق امنیتی سباستین کاسترو حمله در DerbyCon 8 را به عنوان یک تکنیک پایدار در سیستم های ویندوز ارائه کرد.

 

منبع

bleepingcomputer

 

سرقت یک میلیارد رمز عبور توسط بدافزار Redline، Vidar و Raccoon

گزارش گذرواژه نقض شده Specops 2025 بیش از 1 میلیارد رمز عبور را نشان می‌دهد که توسط بدافزار در سال گذشته به سرقت رفته است و عملکردهای ضعیف، روند بدافزارها و شکاف‌های امنیتی را آشکار می‌کند.

محققان امنیت سایبری در Specops در حال ارائه یک زنگ هشدار جهانی در مورد یک مشکل مهم مرتبط با رمز عبور هستند: بیش از 1 میلیارد رمز عبور توسط بدافزار در سال گذشته به سرقت رفته است. طبق گزارش Specops Software Breached Password 2025 که پیش از انتشار آن در روز سه‌شنبه، میلیون‌ها رمز عبور دزدیده شده الزامات پیچیدگی استاندارد را برآورده کردند. این گزارش همچنین بر شیوع اطلاعات بدافزار دزدیده شده با بیش از یک میلیارد کشف در 12 ماه گذشته تاکید می‌کند.

 

یافته‌های کلیدی گزارش:

 

علیرغم رعایت الزامات پیچیدگی رایج (طول، حروف بزرگ، اعداد، نمادها)، 230 میلیون رمز عبور سرقت شده همچنان در خطر هستند.

رمزهای عبور ضعیف رایج مانند «123456» و «admin» همچنان سیستم‌ها را آزار می‌دهند و شکاف قابل توجهی را در آگاهی و آموزش کاربران نشان می‌دهند.

اصطلاحات پایه رایج مانند "qwerty"، "مهمان" و "دانشجو" اغلب به عنوان پایه رمز عبور استفاده می‌شوند.

Redline، Vidar و Raccoon Stealer به عنوان سه بدافزار برتر در سرقت اعتبار ظاهر شدند که پیچیدگی و تداوم این تهدیدها را نشان می‌دهند. این گونه‌های بدافزار پیچیده به‌طور فعال اعتبارنامه‌ها را از منابع مختلف، از جمله مرورگرهای وب، مشتریان ایمیل، و حتی مشتریان VPN، هدف قرار داده و سرقت می‌کنند. تجزیه‌و تحلیل دقیق Hackread.com از این بدافزارها را در اینجا بررسی کنید.

مدل «بدافزار به‌عنوان سرویس» که در آن مجرمان سایبری این ابزارها را اجاره می‌کنند، دسترسی و در دسترس بودن این بردار حمله قدرتمند را افزایش داده است.

این گزارش به مبارزه مداومی که کاربران و سازمان‌های ناآگاه در برخورد با شیوه‌های رمز عبور ضعیف با آن دست و پنجه نرم می‌کنند، اشاره می‌کند و کاربران نهایی با وجود آگاهی از خطرات، همچنان رمزهای عبور کوتاه و ضعیف ایجاد می‌کنند.

کاربران اغلب از رمزهای عبور یکسان یا کمی تغییر یافته در چندین حساب، از جمله خدمات کاری، شخصی و آنلاین استفاده می‌کنند، که این یک عمل پرخطر است زیرا استفاده مجدد از رمزهای عبور کاری در دستگاه‌های شخصی و پلت‌فرم‌های امن‌تر به طور قابل‌توجهی احتمال خطر را افزایش می‌دهد. یک رخنه در یک پلتفرم کمتر امن می‌تواند دسترسی به سیستم‌های حساس شرکتی، از جمله Active Directory و VPN‌ها را به خطر بیندازد.

علاوه بر این، اعتبارنامه‌های سرقت شده دسترسی مستقیم به داده‌های ارزشمند از جمله اطلاعات شخصی، سوابق مالی و اسرار شرکت را برای مهاجمان فراهم می‌کند. از این اعتبارنامه‌ها می‌توان برای راه‌اندازی حملات بیشتر مانند کمپین‌های فیشینگ و نقض‌های پیچیده‌تر استفاده کرد و مهاجمان را قادر می‌سازد تا دسترسی عمیق‌تری به سیستم‌های سازمانی داشته باشند.

 

«میزان رمزهای عبور دزدیده شده توسط بدافزارها باید برای سازمان‌ها نگران کننده باشد. حتی اگر خط‌مشی گذرواژه سازمان شما قوی باشد و با استانداردهای انطباق مطابقت داشته باشد، این امر از گذرواژه‌ها در برابر سرقت توسط بدافزار محافظت نمی‌کند

با در نظر گرفتن این پیامدهای خطرناک، کارشناسان امنیتی به سازمان‌ها توصیه می‌کنند که سیاست‌های رمز عبور قوی‌تری را اجرا کنند و به‌طور منظم Active Directory را برای گذرواژه‌های در معرض خطر برای اصلاح فوری اسکن کنند. آموزش کاربران در مورد رمزهای عبور ضعیف و به روز ماندن در مورد تهدیدات و آسیب‌پذیری‌ها برای دفاع در برابر حملات در حال ظهور ضروری است. در نهایت، احراز هویت چند عاملی (MFA) را برای اضافه کردن یک لایه امنیتی اضافی فراتر از رمزهای عبور پیاده‌سازی کنید.

منبع

hackread

fata.gov.ir/node/177252

استفاده بات‌نت‌ها از پیکربندی نادرست برای انتشار بدافزار

یک بات‌نت تازه کشف شده متشکل از 13000 دستگاه MikroTik از یک پیکربندی نادرست در سوابق سرور نام دامنه استفاده می‌کند تا با جعل کردن حدود 20000 دامنه وب، محافظت‌های ایمیل را دور بزند و بدافزار را ارائه دهد.

 

عامل تهدید از یک رکورد DNS پیکربندی نادرست برای چارچوب خط مشی فرستنده (SPF) استفاده می کند که برای فهرست کردن همه سرورهای مجاز برای ارسال ایمیل از طرف یک دامنه استفاده می‌شود.

 

رکورد SPF پیکربندی نادرست

به گفته شرکت امنیت DNS Infoblox، کمپین malspam در اواخر نوامبر 2024 فعال بود. برخی از ایمیل‌ها جعل هویت شرکت حمل‌ و نقل DHL Express و فاکتورهای جعلی حمل‌ونقل با بایگانی ZIP حاوی محموله مخرب را تحویل می‌دادند.

 

در فایل پیوست ZIP یک فایل جاوا اسکریپت وجود داشت که یک اسکریپت PowerShell را مونتاژ و اجرا می‌کرد. این اسکریپت ارتباطی با سرور فرمان و کنترل عامل تهدید (C2) در دامنه‌ای که قبلاً به هکرهای روسی مرتبط بود، برقرار می‌کند.

 

Infoblox توضیح می‌دهد: «سرصفحه‌های بسیاری از ایمیل‌های هرزنامه، مجموعه گسترده‌ای از دامنه‌ها و آدرس‌های IP سرور SMTP را نشان می‌دهند و ما متوجه شدیم که شبکه گسترده‌ای متشکل از حدود 13000 دستگاه MikroTik ربوده شده را کشف کرده‌ایم که همگی بخشی از یک بات‌نت بزرگ هستند.

 

Infoblox توضیح می دهد که رکوردهای SPF DNS برای حدود 20000 دامنه با گزینه بیش از حد مجاز "+all" پیکربندی شده است که به هر سروری اجازه می‌دهد از طرف آن دامنه‌ها ایمیل ارسال کند.

 

یک انتخاب مطمئن‌تر، استفاده از گزینه "-all" است که ارسال ایمیل به سرورهای مشخص شده توسط دامنه را محدود می‌کند.

 

 MikroTik یک بات‌نت دیگر را تامین می‌کند

روش مصالحه همچنان نامشخص است، اما Infoblox می‌گوید آنها «نسخه‌های مختلفی را تحت تأثیر قرار داده‌اند، از جمله نسخه‌های اخیر میان‌افزار [MikroTik]».

 

روترهای MikroTik به قدرتمند بودن معروف هستند و عوامل تهدید آنها را هدف قرار می‌دهند تا بات نت‌هایی ایجاد کنند که قادر به حملات بسیار قدرتمند هستند.

 

تابستان گذشته، ارائه‌ دهنده خدمات ابری OVHcloud، بات‌نتی از دستگاه‌های MikroTik به خطر افتاده را مقصر حمله انکار خدمات گسترده‌ای دانست که به رکورد 840میلیون بسته در ثانیه رسید.

 

علی‌رغم ترغیب صاحبان دستگاه‌های MikroTik برای به‌روزرسانی سیستم‌ها، بسیاری از روترها به دلیل نرخ وصله بسیار پایین برای مدت طولانی آسیب‌پذیر هستند.

 

بات‌نت در این مورد، دستگاه‌ها را به‌عنوان پراکسی‌های SOCKS4 برای راه‌اندازی حملات DDoS، ارسال ایمیل‌های فیشینگ، استخراج داده‌ها و به طور کلی کمک به پنهان کردن منشاء ترافیک مخرب پیکربندی کرد.

 

Infoblox می‌گوید: «اگرچه بات‌نت متشکل از 13000 دستگاه است، پیکربندی آن‌ها به‌عنوان پراکسی‌های SOCKS به ده‌ها یا حتی صدها هزار دستگاه در معرض خطر اجازه می‌دهد تا از آن‌ها برای دسترسی به شبکه استفاده کنند، که به طور قابل‌توجهی مقیاس بالقوه و تأثیر عملیات بات‌نت را تقویت می‌کند».

 

به دارندگان دستگاه MikroTik توصیه می‌شود که آخرین به روز‌رسانی سیستم عامل را برای مدل خود اعمال کنند، اعتبار حساب کاربری پیش فرض مدیریت را تغییر دهند و در صورت عدم نیاز، دسترسی از راه دور به کنترل پنل‌ها را ببندند.

منبع

bleepingcomputer

سرویس فیشینگ جدید FlowerStorm مایکروسافت جای خالی Rockstar2FA را پر می‌کند

پلتفرم جدید مایکروسافت 365 فیشینگ به عنوان یک سرویس به نام"FlowerStorm" در حال افزایش محبوبیت است و خلاء ناشی از خاموش شدن ناگهانی سرویس جرایم سایبریRockstar2FA را پر می‌کند.

اولین بار توسطTrustwave در اواخر نوامبر 2024 مستند شد، Rockstar2FA به عنوان یک پلتفرمPhaaS عمل کرد که حملات در مقیاس بزرگ دشمن در وسط(AiTM) را که اعتبارنامه مایکروسافت 365 را هدف قرار می‌داد، تسهیل می‌کرد.

این سرویس مکانیسم‌های فرار پیشرفته، یک پنل کاربرپسند و گزینه‌های فیشینگ متعدد را ارائه می‌کرد که دسترسی مجرمان سایبری را به قیمت 200 دلار در دو هفته به فروش می‌رساند.

به گفته محققانSophos شان گالاگر و مارک پارسونز، Rockstar2FA در 11 نوامبر 2024 دچار فروپاشی جزئی زیرساخت شد و بسیاری از صفحات این سرویس را غیرقابل دسترس کرد.سوفوس می‌گوید که به نظر نمی‌رسد این نتیجه اقدام مجری قانون علیه پلتفرم جرایم سایبری باشد، بلکه یک نقص فنی است. چند هفته بعد، FlowerStorm، که برای اولین بار در ژوئن 2024 به صورت آنلاین ظاهر شد، به سرعت شروع به جلب توجه کرد.

 

تغییر نام تجاریRockstar2FA ممکن است؟
Sophos دریافته است که سرویس جدید، FlowerStorm PhaaS، دارای بسیاری از ویژگی‌هایی است که قبلاً درRockstar2FA دیده شده بود، بنابراین ممکن است اپراتورها برای کاهش قرار گرفتن در معرض، تحت نام جدیدی تغییر نام دهند.

سوفوس چندین شباهت را بینRockstar2FA وFlowerStorm شناسایی کرد که نشان می‌دهد یک تبار مشترک یا همپوشانی عملیاتی وجود دارد:

1.هر دو پلتفرم از پورتال‌های فیشینگ تقلید از صفحات ورود قانونی (مانند مایکروسافت) برای جمع‌آوری اعتبارنامه‌ها و نشانه‌هایMFA، با تکیه بر سرورهای باطن میزبانی شده در دامنه‌هایی مانند.ru و.com استفاده می‌کنند. Rockstar2FA از اسکریپت‌های تصادفیPHP استفاده کرد، در حالی کهFlowerStorm باnext.php استاندارد شد.
2.ساختارHTML صفحات فیشینگ آنها بسیار مشابه است، شامل متن تصادفی در نظرات، ویژگی‌های امنیتیCloudflare "turnstile" و اعلان‌هایی مانند"Initializing Protocols Security مرورگر". Rockstar2FA از تم های خودرو استفاده می‌کرد، در حالی کهFlowerStorm به تم‌های گیاه شناسی تغییر می‌کرد، اما طراحی زیربنایی ثابت است.
3.روش‌های جمع‌آوری اعتبار با استفاده از فیلدی‌هایی مانند ایمیل، پاس و توکن‌های ردیابی جلسه، با یکدیگر هماهنگ هستند. هر دو پلتفرم از اعتبارسنجی ایمیل و احراز هویتMFA از طریق سیستم های باطن خود پشتیبانی می‌کنند.
4.الگوهای ثبت دامنه و میزبانی با استفاده زیاد از دامنه‌های.ru و.com و خدماتCloudflare به طور قابل توجهی همپوشانی دارند. الگوهای فعالیت آنها افزایش و کاهش همزمان را تا اواخر سال 2024 نشان داد که نشان دهنده هماهنگی بالقوه است.
5.این دو پلتفرم اشتباهات عملیاتی را مرتکب شدند که سیستم‌های باطن را در معرض دید قرار دادند و مقیاس‌پذیری بالایی را نشان دادند. Rockstar2FA بیش از 2000 دامنه را مدیریت کرد، در حالی کهFlowerStorm پس از فروپاشیRockstar2FA به سرعت گسترش یافت و یک چارچوب مشترک را پیشنهاد کرد.

Sophos در پایان می‌گوید: «ما نمی‌توانیم با اطمینان بالاRockstar2FA وFlowerStorm را به هم پیوند دهیم، به جز اینکه بدانیم این کیت‌ها حداقل منعکس کننده یک اصل و نسب مشترک هستند، زیرا محتوای مشابه کیت‌های به کار رفته است.

"الگوهای مشابه ثبت دامنه می‌تواند بازتابی از همکاریFlowerStorm وRockstar باشد، اگرچه ممکن است این الگوهای تطبیق بیشتر توسط نیروهای بازار انجام شده باشد تا خود پلتفرم‌ها."

خطر جدیدی بالا می‌رود
هرچه که داستان پشت ظهور ناگهانیFlowerStorm باشد، برای کاربران و سازمان‌ها، این یک عامل دیگر برای حملات مخرب فیشینگ است که می‌تواند منجر به حملات سایبری تمام عیار شود.

تله متریSophos نشان می‌دهد که تقریباً 63٪ از سازمان ها و 84٪ از کاربران هدفFlowerStorm در ایالات متحده مستقر هستند.

بیشترین بخش خدمات (33%)، تولید (21%)، خرده فروشی (12%) و خدمات مالی (8%) هستند.

برای محافظت در برابر حملات فیشینگ، از احراز هویت چند عاملی(MFA) با توکن‌هایFIDO2 مقاوم در برابرAiTM استفاده کنید، راه‌حل‌های فیلتر ایمیل را بکار ببرید و از فیلترDNS برای مسدود کردن دسترسی به دامنه‌های مشکوک مانند.ru، .moscow و.dev استفاده کنید.

منبع

بلیپینگ کامپیوتر

بایگانی

همیاران سایبری – تمام حقوق محفوظ است