‫ fars_sakha بلاگ

کلاهبرداری جدید فیشینگ از چت ربات جعلی اینستاگرام

کلاهبرداری فیشینگ جدید با استفاده از ربات‌های چت جعلی و ایمیل‌های پشتیبانی، حساب‌های تجاری اینستاگرام را هدف قرار می‌دهد و کاربران را فریب می‌دهد تا اعتبار ورود به سیستم را تحویل دهند.

یک کمپین فیشینگ جدید، کاربران را فریب می‌دهد تا به حساب‌های تجاری متا خود به ویژه اینستاگرام دسترسی داشته باشند. این کلاهبرداری که توسط مرکز دفاع فیشینگCofense شناسایی شده است، از پشتیبانی چت جعلی، دستورالعمل‌های دقیق استفاده می‌کند و تلاش می‌کند تا خود را به عنوان یک روش ورود امن برای ربودن حساب‌های تجاری اضافه کند.

کمپین فیشینگ با یک ایمیل هشدار جعلی اینستاگرام مبنی بر تعلیق تبلیغات کاربر به دلیل نقض قوانین تبلیغات شروع می‌شود. این ایمیل که به نظر می‌رسد از طرف تیم پشتیبانی اینستاگرام باشد، از کاربر می‌خواهد تا برای حل مشکل روی دکمه «بررسی جزئیات بیشتر» کلیک کند. با این حال، ایمیل در واقع از یک آدرسSalesforce (noreply@salesforce.com) ارسال می‌شود، نه ایمیل پشتیبانی رسمی اینستاگرام.

این کلاهبرداری بسیار شبیه همان چیزی است که در فوریه 2025 به کاربران فیس‌بوک حمله کرد، جایی که کلاهبرداران از ایمیل‌هایSalesforce خودکار استفاده کردند تا با تظاهر به اعلامیه‌های حق نسخه‌برداری فیس‌بوک، افراد را فریب دهند تا اعتبار ورود خود را واگذار کنند.

پشتیبانی از چت جعلی از طریق چت‌بات، فیشینگ و 2FA - همه در یک کلاهبرداری
در آخرین کلاهبرداری، هنگامی که کاربر برای جزئیات بیشتر روی پیوند کلیک می‌کند، به یک صفحه جعلی(businesshelp-managercom) هدایت می‌شود که شبیه به یک صفحه تجاری متا قانونی است. این صفحه به کاربر اطلاع می‌دهد که حسابش در خطر تعلیق و فسخ است و از او می‌خواهد نام و ایمیل تجاری خود را وارد کند تا به یک نماینده پشتیبانی چت ادامه دهد.

سپس مهاجم از دو روش برای ربودن حساب تجاری استفاده می‌کند: یک چت بات پشتیبانی فنی جعلی یا یک "راهنمای راه‌اندازی" فرضی با دستورالعمل‌های گام به گام. ربات چت از کاربر اسکرین شات از حساب تجاری و اطلاعات شخصی خود می‌خواهد، در حالی که راهنمای راه‌اندازی دستورالعمل‌هایی در مورد نحوه افزودن احراز هویت دو مرحله‌ای(2FA) به حساب تجاری کاربر ارائه می‌دهد.

اگر تلاش فیشینگ ربات چت ناموفق باشد، مهاجم یک راهنمای آموزشی برای افزودن احراز هویت دو مرحله‌ای(2FA) به حساب تجاری کاربر ارائه می‌دهد. این راهنما روشی را تقلید می‌کند که خودتان آن را انجام دهید تا حساب کاربر را «تصحیح» کنید. به کاربران دستور داده می‌شود تا روی دکمه «مشاهده وضعیت حساب» کلیک کنند، که دستورالعمل‌های دقیق درباره نحوه شروع «بررسی سیستم» و رفع مشکل را نشان می‌دهد. با این حال، پیروی از این مراحل به مهاجم راه دیگری برای ورود به حسابBusiness Meta از طریق برنامهAuthenticator هکر به نام"SYSTEM CHECK" می‌دهد.

طبق پست وبلاگCofence که باHackread.com به اشتراک گذاشته شده است، مهاجمان تلاش زیادی کرده‌اند تا این کلاهبرداری قانونی به نظر برسد. ایمیل‌ها و صفحات فرود بسیار شبیه ارتباطات رسمی متا هستند‌ و گنجاندن پشتیبانی عامل زنده لایه‌ای از فریب را اضافه می‌کند. مهاجمان حتی دستورالعمل‌های ویدیویی را ارائه می‌کنند که جزئیات نحوه فریب کاربر را برای اضافه کردن آنها به عنوان یک روش 2FA ارائه می‌کنند.

آنچه کاربران باید انجام دهند
این کمپین فیشینگ از کلاهبرداری‌های معمول متمایز است و نشان می‌دهد که چرا همه کسانی که از رسانه‌های اجتماعی استفاده می‌کنند باید از ترفندهای رایج مهندسی اجتماعی که کلاهبرداران این روزها استفاده می‌کنند آگاه باشند. همیشه فرستنده را دوباره چک کنید و قبل از کلیک کردن روی هر چیزی، URL را از نزدیک بررسی کنید. استفاده از برنامه‌هایی مانندGoogle Authenticator وMicrosoft Authenticator می‌تواند به مسدود کردن تلاش‌های ورود به سیستم از مکان‌های مشکوک و دستگاه‌های ناشناس کمک کند.

منبع

hackread

 

هکرها بدافزار VenomRAT را در فایل تصویری هارد دیسک مجازی مخفی می‌کنند

 

Forcepoint X-Labs فاش می‌کند که هکرها از فایل‌هایVHD برای گسترش بدافزارVenomRAT استفاده می‌کنند و نرم‌افزار امنیتی را دور می‌زنند

محققان امنیت سایبری درForcepoint X-Labs یک کمپین بدافزار جدید و حیله‌آمیز را شناسایی کرده‌اند که در حال پخش و آلوده کردن دستگاه‌های هدف باVenomRAT، یک تروجان دسترسی از راه دور، شناخته شده برای هدف قرار دادن محققان در حملات جعلیPoC (اثبات مفهوم) است.

در این کمپین، مجرمان سایبری به جای اسناد یا فایل‌های اجرایی که معمولاً آلوده شده‌اند، VenomRAT خطرناک پنهان شده در فایل تصویری هارد دیسک مجازی(vhd.) را تحویل می‌دهند.

کمپین با یک ایمیل فیشینگ آغاز می‌شود. این بار طعمه یک سفارش خرید ظاهرا بی‌ضرر است. با این حال، باز کردن بایگانی پیوست یک سند معمولی را نشان نمی‌دهد. در عوض، کاربران یک فایل.vhd را پیدا می‌کنند. محفظه‌ای که یک هارد دیسک فیزیکی را تقلید می‌کند.

هنگامی که کاربر فایل.vhd را باز می‌کند، رایانه او با آن مانند یک درایو جدید رفتار می‌کند. اما این یک درایو پر از فایل‌های قانونی نیست. این شامل یک اسکریپت دسته‌ای مخرب است که برای ایجاد آسیب طراحی شده است. استفاده از فایل.vhd برای انتشار بدافزار یک ترفند جدید است. از آنجایی که این فایل‌ها معمولاً برای تصویربرداری و مجازی‌سازی دیسک استفاده می‌شوند، نرم‌افزار امنیتی همیشه آن‌ها را به‌عنوان یک تهدید علامت‌گذاری نمی‌کند.

پراشانت کومار، محقق امنیتی درForcepoint X-Labs توضیح می‌دهد: "این یک رویکرد منحصر به فرد است." مهاجمان دائماً به دنبال راه‌هایی برای فرار از شناسایی هستند و مخفی کردن بدافزار در تصویر هارد دیسک مجازی نمونه خوبی از آن است.

حمله و سرقت اطلاعات کاربر
طبق تحقیقاتForcepoint X-Labs که باHackread.com به اشتراک گذاشته شده است، اسکریپت بدافزار با چندین لایه کد پنهان می‌شود و پس از فعال شدن، یک‌سری فعالیت‌های مخرب را اجرا می‌کند. با خود تکثیر شروع می‌شود و مطمئن می‌شوید که یک کپی همیشه در دسترس است.

سپس، PowerShell را راه‌اندازی می‌کند، یک ابزار قانونی ویندوز که اغلب توسط مهاجمان مورد سوء‌استفاده قرار می‌گیرد‌ و با قرار دادن یک اسکریپت مخرب در پوشهStartup، پایداری را ایجاد می‌کند و به آن اجازه می‌دهد هر زمان که کاربر وارد سیستم می‌شود، به طور خودکار اجرا شود. برای حفاری بیشتر، اسکریپت تنظیمات رجیستری ویندوز را تغییر می‌دهد و شناسایی و حذف آن را سخت‌تر می‌کند.

این بدافزار همچنین با اتصال بهPastebin، یک پلتفرم محبوب اشتراک‌گذاری متن، از ارتباطات پنهان استفاده می‌کند تا دستورالعمل‌ها را از یک سرور فرمان و کنترل از راه دور(C2) که به عنوان مرکز فرماندهی مهاجم عمل می‌کند، دریافت کند. پس از ایجاد، بدافزار سرقت داده‌ها را آغاز می‌کند، فشارهای کلید را ثبت می‌کند و اطلاعات حساس را در یک فایل پیکربندی ذخیره می‌کند. همچنین برای کمک به رمزگذاری و دست‌کاری سیستم، اجزای اضافی از جمله یک فایل اجرایی دات نت را دانلود می‌کند.

محققان خاطرنشان کردند که این نوعVenomRAT ازHVNC (محاسبات شبکه مجازی پنهان) استفاده می‌کند، یک سرویس کنترل از راه دور که به مهاجمان اجازه می‌دهد تا سیستم آلوده را بدون شناسایی کنترل کنند.

 

چه چیزی برای کاربران ناخواسته اتفاق می‌افتد؟
مراقب پیوست‌های ایمیل باشید، حتی اگر قانونی به نظر برسند. به خصوص اگر از فرستنده ناشناس آمده باشند. اگر فاکتور یا سفارش خرید غیرمنتظره‌ای دریافت کردید، به جزئیات تماس در ایمیل اعتماد نکنید. آن را مستقیماً با فرستنده با استفاده از یک شماره تلفن یا ایمیل شناخته شده تأیید کنید.

به روز نگه داشتن سیستم عامل، آنتی ویروس و ابزارهای امنیتی برای جلوگیری از اجرای تهدیدات در سیستم شما بسیار مهم است. در نهایت، مطمئن شوید که تیم شما می‌داند چگونه تلاش های فیشینگ را شناسایی و گزارش کند. آگاهی و عقل سلیم دو مورد از بهترین اقدامات امنیت سایبری هستند که هر کسی می‌تواند در هر مکان و در هر زمان از آن استفاده کند.

منبع

hackread

 

هکرها از Stripe API برای سرقت Web Skimming Card سوء‌استفاده می‌کنند

محققان امنیت سایبری در Jscamblers یک کمپین پیچیده وب اسکیمینگ را کشف کرده‌اند که خرده فروشان آنلاین را مورد هدف قرار می‌دهد. این کمپین از یک رابط برنامه‌نویسی برنامه‌نویسی قدیمی (API) استفاده می‌کند تا جزئیات کارت اعتباری سرقت شده را قبل از انتقال به سرورهای مخرب در زمان واقعی تأیید کند. این تکنیک به مهاجمان این امکان را می‌دهد تا مطمئن شوند که فقط شماره‌های کارت فعال و معتبر را جمع‌آوری می‌کنند و کارایی و سود بالقوه عملیات خود را به میزان قابل توجهی افزایش می‌دهند.

 

بر اساس تجزیه‌و تحلیل Jscrambler که با Hackread.com به اشتراک گذاشته شده است، این عملیات مرور وب حداقل از آگوست 2024 ادامه داشته است. این حمله با تزریق کد جاوا اسکریپت مخرب، طراحی شده برای تقلید از فرم های پرداخت قانونی، به صفحات پرداخت وب‌سایت‌های هدف شروع می‌شود. این کد اطلاعات پرداخت مشتری را به محض وارد کردن دریافت می‌کند. مرحله دوم شامل مبهم‌سازی با استفاده از یک رشته رمزگذاری شده با base64 است که URL‌های مهم را از تجزیه‌و تحلیل‌های امنیتی ایستا، مانند آنچه که توسط فایروال‌های برنامه کاربردی وب (WAF) انجام می‌شود، پنهان می‌کند.

 

نوآوری کلیدی در این کمپین در استفاده از نسخه منسوخ شده Stripe API، یک سرویس پردازش پرداخت محبوب، برای تأیید اعتبار کارت قبل از ارسال داده‌ها به سرورهای مهاجمان نهفته است. در مرحله سوم، iframe قانونی Stripe پنهان می‌شود و با یک تقلید فریبنده جایگزین می‌شود و دکمه "Place Order" کلون می‌شود و اصل را پنهان می‌کند. داده‌های پرداخت وارد شده با استفاده از API Stripe تأیید می‌شود و جزئیات کارت، در صورت تأیید، به سرعت به یک سرور دراپ که توسط مهاجمان کنترل می‌شود، منتقل می‌شود. سپس از کاربر خواسته می‌شود که صفحه را پس از یک پیام خطا دوباره بارگذاری کند.

 

محققان شناسایی کرده‌اند که خرده‌فروشان آنلاین تحت تأثیر در درجه اول آنهایی هستند که از پلتفرم‌های تجارت الکترونیک محبوب مانند WooCommerce، WordPress و PrestaShop استفاده می‌کنند. آنها همچنین انواع Silent Skimmer را مشاهده کردند، اما نه به طور مداوم. حدود 49 تاجر آسیب دیده، رقمی که گمان می‌رود دست کم گرفته شود، به همراه دو دامنه مورد استفاده برای انجام مراحل دوم و سوم حمله شناسایی شدند. 20 دامنه اضافی در همان سرور نیز شناسایی شد. Jscrambler گزارش داد که 15 تا از سایت‌های در معرض خطر به این موضوع پرداخته‌اند.

 

بررسی‌های بیشتر نشان داد که اسکریپت‌های اسکیمر به صورت پویا تولید و برای هر وب‌سایت هدف‌گذاری شده طراحی شده‌اند، که نشان‌دهنده درجه بالایی از پیچیدگی و استقرار خودکار است. محققان از یک تکنیک brute-forcing استفاده کردند و هدر Referrer را دست‌کاری کردند تا قربانیان بیشتری را شناسایی کنند.

 

در یک نمونه، اسکیمر جعل یک فریم پرداخت مربعی است، در حالی که در برخی موارد دیگر، اسکیمر گزینه‌های پرداخت را تزریق می‌کند، مانند کیف پول‌های ارز دیجیتال، و به صورت پویا پنجره‌های اتصال متاماسک جعلی را وارد می‌کند. با این حال، آدرس‌های کیف پول مرتبط با این تلاش‌ها فعالیت‌های اخیر چندانی نشان ندادند.

 

در پست وبلاگ خود، محققان به بازرگانان هشدار داده‌اند که راه‌حل‌های نظارت بر صفحه وب را در زمان واقعی برای شناسایی تزریق‌های غیرمجاز اسکریپت پیاده‌سازی کنند، در حالی که ارائه‌دهندگان خدمات شخص ثالث (TPSPs) می‌توانند امنیت را با اتخاذ پیاده‌سازی iframe سخت‌شده برای جلوگیری از ربودن iframe و تغییرات فرم افزایش دهند.

منبع

hackread

آسیب‌پذیری‌های بحرانی OpenSSH کاربران را در معرض حملات MITM و DoS قرار می‌دهد

دو آسیب‌پذیری حیاتیOpenSSH کشف شد! Qualys TRU نقص‌های مشتری و سرور(CVE-2025-26465 & CVE-2025-26466) را پیدا می‌کند کهMITM وDoS را فعال می‌کند. اکنون برای محافظت از سیستم‌های خود به 9.9p2 ارتقاء دهید.

واحد تحقیقاتQualys Threat (TRU) دو نقطه ضعف امنیتی درOpenSSH کشف کرده است، ابزاری که به طور گسترده در سیستم عامل‌های مختلف برای ورود امن از راه دور، انتقال فایل و سایر عملکردهای حیاتی مورد استفاده قرار می‌گیرد.

اولین آسیب‌پذیری که با نامCVE-2025-26465 شناخته می‌شود، کلاینتOpenSSH را در معرض حملات ماشینی در وسط قرار می‌دهد. در پست وبلاگ خوانده شده، این نقص "به هنگام فعال بودن گزینهVerifyHostKeyDNS به یک حمله ماشین در وسط به مشتریOpenSSH اجازه می‌دهد" و تنظیم یا "بله" یا "پرسش" را تنظیم کنید.

بررسی‌های بیشتر نشان داد که این آسیب‌پذیری بدون توجه به تنظیماتVerifyHostKeyDNS وجود دارد و نیازی به تعامل کاربر یا سوابقDNS خاصی ندارد. درOpenSSH نسخه 6.8p1 معرفی شد و بر نسخه‌های تا 9.9p1 تأثیر می‌گذارد.

علاوه بر این، این نقص به مهاجم اجازه می‌دهد تا جعل یک سرور قانونی را جعل کند، که به طور بالقوه یکپارچگی اتصالSSH را به خطر می‌اندازد و امکان رهگیری یا دست‌کاری داده‌ها را فراهم می‌کند. این می‌تواند منجر به به خطر افتادن جلساتSSH شود و به هکرها این امکان را می‌دهد که داده‌های حساس را مشاهده یا دست‌کاری کنند، در سرورهای مهم حرکت کنند و اطلاعات ارزشمند را استخراج کنند. شایان ذکر است که در حالی کهVerifyHostKeyDNS معمولاً غیرفعال است، به‌طور پیش‌فرض در سیستم‌هایFreeBSD برای نزدیک به یک دهه فعال بود و تأثیر بالقوه این نقص را افزایش داد.

دومین آسیب‌پذیری که با نامCVE-2025-26466 ردیابی می‌شود، هم کلاینتOpenSSH و هم سرور را تحت تأثیر قرار می‌دهد. این نقص امکان حمله انکار سرویس پیش از احراز هویت، مصرف بیش از حد حافظه و منابعCPU را فراهم می‌کند. این می‌تواند منجر به قطع سیستم شود و از دسترسی کاربران قانونی از جمله مدیران به سرورهای مهم جلوگیری کند. بهره‌برداری مکرر می‌تواند منجر به قطعی طولانی مدت و مشکلات مدیریت سرور شود که به طور بالقوه بر عملیات و وظایف تعمیر و نگهداری سازمان تأثیر می‌گذارد.

این آسیب‌پذیری اخیراً درOpenSSH نسخه 9.5p1 معرفی شده است و نسخه‌های تا 9.9p1 را نیز تحت تأثیر قرار می‌دهد. خوشبختانه، چندین پیکربندی سرورOpenSSH موجود، مانندLoginGraceTime، MaxStartups وPerSourcePenalties می‌توانند این حمله انکار سرویس را کاهش دهند.

Qualys TRU مسئولانه این آسیب‌پذیری‌ها را برای توسعه‌دهندگانOpenSSH فاش کرد و یک اصلاح درOpenSSH نسخه 9.9p2 موجود است. کاربران و مدیران باید فوراً به آخرین نسخه ارتقاء دهند تا از سیستم‌های خود در برابر این تهدیدات تازه شناسایی شده محافظت کنند. هرگونه تأخیر می‌تواند سیستم‌ها را در برابر نقض داده‌ها، دسترسی غیرمجاز و حملات انکار سرویس آسیب‌پذیر کند، که به طور بالقوه عملیات را مختل کرده و منجر به عواقب خطرناکی می‌شود.

لازم به ذکر است کهOpenSSH در گذشته با چالش‌های امنیتی مواجه بوده است، مانند گزارشHackread.com آسیب‌پذیریregreSSHion (CVE-2024-6387) که توسطQualys در سال 2024 کشف شد

این نقص‌ها درOpenSSH نشان می‌دهد که حتی نرم‌افزارهای قابل اعتماد و به خوبی نگهداری شده مانندOpenSSH نیز می‌توانند در معرض آسیب‌پذیری قرار گیرند، به‌روزرسانی‌های نرم‌افزاری منظم، نظارت بر فعالیت‌های مشکوک و اجرای بهترین شیوه‌های امنیتی برای محافظت از سیستم‌ها ضروری است.

 

آسیب‌پذیری‌های بحرانی OpenSSH کاربران را در معرض حملات MITM و DoS قرار می‌دهد

دو آسیب‌پذیری حیاتیOpenSSH کشف شد! Qualys TRU نقص‌های مشتری و سرور(CVE-2025-26465 & CVE-2025-26466) را پیدا می‌کند کهMITM وDoS را فعال می‌کند. اکنون برای محافظت از سیستم‌های خود به 9.9p2 ارتقاء دهید.

واحد تحقیقاتQualys Threat (TRU) دو نقطه ضعف امنیتی درOpenSSH کشف کرده است، ابزاری که به طور گسترده در سیستم عامل‌های مختلف برای ورود امن از راه دور، انتقال فایل و سایر عملکردهای حیاتی مورد استفاده قرار می‌گیرد.

اولین آسیب‌پذیری که با نامCVE-2025-26465 شناخته می‌شود، کلاینتOpenSSH را در معرض حملات ماشینی در وسط قرار می‌دهد. در پست وبلاگ خوانده شده، این نقص "به هنگام فعال بودن گزینهVerifyHostKeyDNS به یک حمله ماشین در وسط به مشتریOpenSSH اجازه می‌دهد" و تنظیم یا "بله" یا "پرسش" را تنظیم کنید.

بررسی‌های بیشتر نشان داد که این آسیب‌پذیری بدون توجه به تنظیماتVerifyHostKeyDNS وجود دارد و نیازی به تعامل کاربر یا سوابقDNS خاصی ندارد. درOpenSSH نسخه 6.8p1 معرفی شد و بر نسخه‌های تا 9.9p1 تأثیر می‌گذارد.

علاوه بر این، این نقص به مهاجم اجازه می‌دهد تا جعل یک سرور قانونی را جعل کند، که به طور بالقوه یکپارچگی اتصالSSH را به خطر می‌اندازد و امکان رهگیری یا دست‌کاری داده‌ها را فراهم می‌کند. این می‌تواند منجر به به خطر افتادن جلساتSSH شود و به هکرها این امکان را می‌دهد که داده‌های حساس را مشاهده یا دست‌کاری کنند، در سرورهای مهم حرکت کنند و اطلاعات ارزشمند را استخراج کنند. شایان ذکر است که در حالی کهVerifyHostKeyDNS معمولاً غیرفعال است، به‌طور پیش‌فرض در سیستم‌هایFreeBSD برای نزدیک به یک دهه فعال بود و تأثیر بالقوه این نقص را افزایش داد.

دومین آسیب‌پذیری که با نامCVE-2025-26466 ردیابی می‌شود، هم کلاینتOpenSSH و هم سرور را تحت تأثیر قرار می‌دهد. این نقص امکان حمله انکار سرویس پیش از احراز هویت، مصرف بیش از حد حافظه و منابعCPU را فراهم می‌کند. این می‌تواند منجر به قطع سیستم شود و از دسترسی کاربران قانونی از جمله مدیران به سرورهای مهم جلوگیری کند. بهره‌برداری مکرر می‌تواند منجر به قطعی طولانی مدت و مشکلات مدیریت سرور شود که به طور بالقوه بر عملیات و وظایف تعمیر و نگهداری سازمان تأثیر می‌گذارد.

این آسیب‌پذیری اخیراً درOpenSSH نسخه 9.5p1 معرفی شده است و نسخه‌های تا 9.9p1 را نیز تحت تأثیر قرار می‌دهد. خوشبختانه، چندین پیکربندی سرورOpenSSH موجود، مانندLoginGraceTime، MaxStartups وPerSourcePenalties می‌توانند این حمله انکار سرویس را کاهش دهند.

Qualys TRU مسئولانه این آسیب‌پذیری‌ها را برای توسعه‌دهندگانOpenSSH فاش کرد و یک اصلاح درOpenSSH نسخه 9.9p2 موجود است. کاربران و مدیران باید فوراً به آخرین نسخه ارتقاء دهند تا از سیستم‌های خود در برابر این تهدیدات تازه شناسایی شده محافظت کنند. هرگونه تأخیر می‌تواند سیستم‌ها را در برابر نقض داده‌ها، دسترسی غیرمجاز و حملات انکار سرویس آسیب‌پذیر کند، که به طور بالقوه عملیات را مختل کرده و منجر به عواقب خطرناکی می‌شود.

لازم به ذکر است کهOpenSSH در گذشته با چالش‌های امنیتی مواجه بوده است، مانند گزارشHackread.com آسیب‌پذیریregreSSHion (CVE-2024-6387) که توسطQualys در سال 2024 کشف شد

این نقص‌ها درOpenSSH نشان می‌دهد که حتی نرم‌افزارهای قابل اعتماد و به خوبی نگهداری شده مانندOpenSSH نیز می‌توانند در معرض آسیب‌پذیری قرار گیرند، به‌روزرسانی‌های نرم‌افزاری منظم، نظارت بر فعالیت‌های مشکوک و اجرای بهترین شیوه‌های امنیتی برای محافظت از سیستم‌ها ضروری است.

 

آسیب‌پذیری‌های بحرانی OpenSSH کاربران را در معرض حملات MITM و DoS قرار می‌دهد

دو آسیب‌پذیری حیاتیOpenSSH کشف شد! Qualys TRU نقص‌های مشتری و سرور(CVE-2025-26465 & CVE-2025-26466) را پیدا می‌کند کهMITM وDoS را فعال می‌کند. اکنون برای محافظت از سیستم‌های خود به 9.9p2 ارتقاء دهید.

واحد تحقیقاتQualys Threat (TRU) دو نقطه ضعف امنیتی درOpenSSH کشف کرده است، ابزاری که به طور گسترده در سیستم عامل‌های مختلف برای ورود امن از راه دور، انتقال فایل و سایر عملکردهای حیاتی مورد استفاده قرار می‌گیرد.

اولین آسیب‌پذیری که با نامCVE-2025-26465 شناخته می‌شود، کلاینتOpenSSH را در معرض حملات ماشینی در وسط قرار می‌دهد. در پست وبلاگ خوانده شده، این نقص "به هنگام فعال بودن گزینهVerifyHostKeyDNS به یک حمله ماشین در وسط به مشتریOpenSSH اجازه می‌دهد" و تنظیم یا "بله" یا "پرسش" را تنظیم کنید.

بررسی‌های بیشتر نشان داد که این آسیب‌پذیری بدون توجه به تنظیماتVerifyHostKeyDNS وجود دارد و نیازی به تعامل کاربر یا سوابقDNS خاصی ندارد. درOpenSSH نسخه 6.8p1 معرفی شد و بر نسخه‌های تا 9.9p1 تأثیر می‌گذارد.

علاوه بر این، این نقص به مهاجم اجازه می‌دهد تا جعل یک سرور قانونی را جعل کند، که به طور بالقوه یکپارچگی اتصالSSH را به خطر می‌اندازد و امکان رهگیری یا دست‌کاری داده‌ها را فراهم می‌کند. این می‌تواند منجر به به خطر افتادن جلساتSSH شود و به هکرها این امکان را می‌دهد که داده‌های حساس را مشاهده یا دست‌کاری کنند، در سرورهای مهم حرکت کنند و اطلاعات ارزشمند را استخراج کنند. شایان ذکر است که در حالی کهVerifyHostKeyDNS معمولاً غیرفعال است، به‌طور پیش‌فرض در سیستم‌هایFreeBSD برای نزدیک به یک دهه فعال بود و تأثیر بالقوه این نقص را افزایش داد.

دومین آسیب‌پذیری که با نامCVE-2025-26466 ردیابی می‌شود، هم کلاینتOpenSSH و هم سرور را تحت تأثیر قرار می‌دهد. این نقص امکان حمله انکار سرویس پیش از احراز هویت، مصرف بیش از حد حافظه و منابعCPU را فراهم می‌کند. این می‌تواند منجر به قطع سیستم شود و از دسترسی کاربران قانونی از جمله مدیران به سرورهای مهم جلوگیری کند. بهره‌برداری مکرر می‌تواند منجر به قطعی طولانی مدت و مشکلات مدیریت سرور شود که به طور بالقوه بر عملیات و وظایف تعمیر و نگهداری سازمان تأثیر می‌گذارد.

این آسیب‌پذیری اخیراً درOpenSSH نسخه 9.5p1 معرفی شده است و نسخه‌های تا 9.9p1 را نیز تحت تأثیر قرار می‌دهد. خوشبختانه، چندین پیکربندی سرورOpenSSH موجود، مانندLoginGraceTime، MaxStartups وPerSourcePenalties می‌توانند این حمله انکار سرویس را کاهش دهند.

Qualys TRU مسئولانه این آسیب‌پذیری‌ها را برای توسعه‌دهندگانOpenSSH فاش کرد و یک اصلاح درOpenSSH نسخه 9.9p2 موجود است. کاربران و مدیران باید فوراً به آخرین نسخه ارتقاء دهند تا از سیستم‌های خود در برابر این تهدیدات تازه شناسایی شده محافظت کنند. هرگونه تأخیر می‌تواند سیستم‌ها را در برابر نقض داده‌ها، دسترسی غیرمجاز و حملات انکار سرویس آسیب‌پذیر کند، که به طور بالقوه عملیات را مختل کرده و منجر به عواقب خطرناکی می‌شود.

لازم به ذکر است کهOpenSSH در گذشته با چالش‌های امنیتی مواجه بوده است، مانند گزارشHackread.com آسیب‌پذیریregreSSHion (CVE-2024-6387) که توسطQualys در سال 2024 کشف شد

این نقص‌ها درOpenSSH نشان می‌دهد که حتی نرم‌افزارهای قابل اعتماد و به خوبی نگهداری شده مانندOpenSSH نیز می‌توانند در معرض آسیب‌پذیری قرار گیرند، به‌روزرسانی‌های نرم‌افزاری منظم، نظارت بر فعالیت‌های مشکوک و اجرای بهترین شیوه‌های امنیتی برای محافظت از سیستم‌ها ضروری است.

 

نوع جدید بدافزار XCSSET با هدف قرار دادن برنامه و کیف پول macOS Notes

مایکروسافت به توسعه دهندگان اپل در مورد یک بدافزار جدیدXCSSET هشدار می‌دهد کهmacOS را هدف قرار می‌دهد و خطرات امنیتی را از طریق عفونت‌های مخفی و سرقت داده‌ها ایجاد می‌کند.

محققان امنیت سایبری درMicrosoft Threat Intelligence گونه جدیدی از بدافزارXCSSET را شناسایی کرده‌اند که کاربرانmacOS را هدف قرار می‌دهد. این بدافزار مدولار با آلوده کردن پروژه‌هایXcode، ابزارهای لازم برای ساخت برنامه‌های کاربردی در پلتفرمmacOS، بر حمله به توسعه‌دهندگان اپل تمرکز می‌کند.

در حالی که گسترش فعلی این نسخه به روز شده محدود به نظر می رسد، کارشناسان از توسعه دهندگان و سازمان ها می‌خواهند که اقدامات پیشگیرانه را برای محافظت از سیستم‌های خود اجرا کنند.

XCSSET چیست؟
XCSSET برای اولین بار توسطTrend Micro در سال 2020 شناسایی شد. از آن زمان به عنوان یک بدافزار آب زیرکاه شهرت پیدا کرده است. این آخرین نسخه بر اساس قابلیت‌های نسخه قبلی خود با پیشرفت‌های عمده در طراحی آن ساخته شده است و تشخیص و دفاع در برابر آن را حتی سخت‌تر می‌کند.

طبق یافته‌های مایکروسافت، نوع جدید مجهز به تکنیک‌های مبهم‌سازی پیشرفته، مکانیسم‌های پیچیده‌تر پایداری و روش‌های به‌روز شده برای آلوده‌سازی سیستم‌ها است. این ارتقاهاXCSSET را به یک تهدید دائمی و مخفی تبدیل می‌کند که می‌تواند ترکیبی از فعالیت‌های مخرب مختلف را انجام دهد، از جمله هدف قرار دادن کیف پول‌های دیجیتال، سرقت داده‌ها از برنامهNotes، سرقت اطلاعات حساس سیستم و استخراج فایل‌ها.

تشخیص سخت‌تر
یکی از قابلیت‌های اصلی این نوع جدیدXCSSET تمرکز آن بر فرار است. برای جلوگیری از شناسایی توسط آنتی ویروس و سایر ابزارهای امنیتی، بدافزار محموله‌های خود را به صورت کاملا تصادفی تولید می‌کند. هم فرآیند رمزگذاری و هم تعداد تکرارهای مورد استفاده را تصادفی می‌کند و چالش‌هایی را برای محققانی که سعی در تجزیه‌و تحلیل کد دارند ایجاد می‌کند.

علاوه بر این، نسخه‌های قدیمی‌ترXCSSET برای رمزگذاری بارهای خود به یک ابزار واحد، xxd (hexdump) متکی بودند. با این حال، آخرین نسخه، رمزگذاریBase64 را به زرادخانه خود اضافه می‌کند و تلاش‌های تجزیه‌و تحلیل را پیچیده تر می‌کند. حتی نام ماژول‌های بدافزار مبهم شده است و تشخیص هدف یا عملکرد آنها در کد را دشوار می‌کند.

سخت‌تر برای حذف
نوع جدیدXCSSET از دو روش نوآورانه برای اطمینان از فعال ماندن آن در سیستم‌های آلوده، حتی پس از راه‌اندازی مجدد یا خروج کاربر استفاده می‌کند.

1- روش"zshrc": این تاکتیک شامل ایجاد یک فایل مخفی به نام~/.zshrc_aliases برای قرار دادن بار مخرب است. سپس بدافزار فایل پیکربندی~/.zshrc را دست‌کاری می‌کند و دستوری را اضافه می‌کند که هر زمان که جلسه پوسته جدیدی شروع می‌شود، به‌طور خودکار فایل مخرب را بارگیری می‌کند. این بدان معناست که هر بار که کاربر ترمینال خود را باز می کند، بدافزار در پس زمینه فعال می شود.
2- روش"Dock": این رویکردDock macOS را ربوده است. این بدافزار یک ابزار امضا شده به نام"dockutil" را از یک سرور فرمان و کنترل از راه دور دانلود می‌کند تا مواردDock را تغییر دهد. این برنامه قانونی"Launchpad" را با یک نسخه مخرب جایگزین می‌کند‌ و تضمین می‌کند که بدافزار هر بار که کاربر باDock تعامل دارد اجرا می‌شود.

هدف‌گذاری پروژه‌هایXcode
همانطور که از نام آن پیداست، XCSSET در درجه اولXcode، محیط توسعه یکپارچه قدرتمند اپل(IDE) برایmacOS را هدف قرار می‌دهد. بدافزار با استفاده از یکی از سه استراتژی قرار دادن: TARGET، RULE، یاFORCED_STRATEGY به پروژه‌هایXcode نفوذ می‌کند. این استراتژی‌ها تعیین می‌کنند که چگونه و کجا بار مخرب در فایل‌های پروژه جاسازی شود.

علاوه بر این، بدافزار می‌تواند کلیدTARGET_DEVICE_FAMILY را در تنظیمات ساخت پروژه هدف قرار دهد. XCSSET با درج کد خود در اینجا اطمینان می‌دهد کهpayload فقط زمانی فعال می‌شود که برنامه در دستگاه‌های خاصی ساخته شده و اجرا شود، و از شناسایی در مراحل توسعه یا آزمایش اجتناب می‌کند.

چگونه از خود محافظت کنیم

اگر شما یک توسعه دهنده اپل یا به طور کلی کاربرmacOS هستید، در اینجا چند نکته ساده اما حیاتی برای محافظت از دستگاه‌های خود در برابر بدافزارXCSSET آورده شده است:

  • پروژه‌هایXcode را بررسی کنید: همیشه پروژه‌هایXcode را بررسی و تأیید کنید، به خصوص اگر از مخازن خارجی دانلود شده یا توسط اشخاص ثالث به اشتراک گذاشته شده است.
  • به منابع قابل اعتماد پایبند باشید: برنامه‌ها و ابزارها را منحصراً از کانال‌های رسمی اپل یا پلتفرم‌های نرم افزاری معتبر دانلود کنید. از فروشگاه‌های برنامه شخص ثالث یا دانلودهای غیر رسمی خودداری کنید.
  • با به روز‌رسانی‌ها همراه باشید: با آخرین توصیه‌های امنیتی مایکروسافت، اپل و سایر سازمان‌های امنیت سایبری به روز باشید.

 

نوع جدید بدافزار XCSSET با هدف قرار دادن برنامه و کیف پول macOS Notes

مایکروسافت به توسعه دهندگان اپل در مورد یک بدافزار جدیدXCSSET هشدار می‌دهد کهmacOS را هدف قرار می‌دهد و خطرات امنیتی را از طریق عفونت‌های مخفی و سرقت داده‌ها ایجاد می‌کند.

محققان امنیت سایبری درMicrosoft Threat Intelligence گونه جدیدی از بدافزارXCSSET را شناسایی کرده‌اند که کاربرانmacOS را هدف قرار می‌دهد. این بدافزار مدولار با آلوده کردن پروژه‌هایXcode، ابزارهای لازم برای ساخت برنامه‌های کاربردی در پلتفرمmacOS، بر حمله به توسعه‌دهندگان اپل تمرکز می‌کند.

در حالی که گسترش فعلی این نسخه به روز شده محدود به نظر می رسد، کارشناسان از توسعه دهندگان و سازمان ها می‌خواهند که اقدامات پیشگیرانه را برای محافظت از سیستم‌های خود اجرا کنند.

XCSSET چیست؟
XCSSET برای اولین بار توسطTrend Micro در سال 2020 شناسایی شد. از آن زمان به عنوان یک بدافزار آب زیرکاه شهرت پیدا کرده است. این آخرین نسخه بر اساس قابلیت‌های نسخه قبلی خود با پیشرفت‌های عمده در طراحی آن ساخته شده است و تشخیص و دفاع در برابر آن را حتی سخت‌تر می‌کند.

طبق یافته‌های مایکروسافت، نوع جدید مجهز به تکنیک‌های مبهم‌سازی پیشرفته، مکانیسم‌های پیچیده‌تر پایداری و روش‌های به‌روز شده برای آلوده‌سازی سیستم‌ها است. این ارتقاهاXCSSET را به یک تهدید دائمی و مخفی تبدیل می‌کند که می‌تواند ترکیبی از فعالیت‌های مخرب مختلف را انجام دهد، از جمله هدف قرار دادن کیف پول‌های دیجیتال، سرقت داده‌ها از برنامهNotes، سرقت اطلاعات حساس سیستم و استخراج فایل‌ها.

تشخیص سخت‌تر
یکی از قابلیت‌های اصلی این نوع جدیدXCSSET تمرکز آن بر فرار است. برای جلوگیری از شناسایی توسط آنتی ویروس و سایر ابزارهای امنیتی، بدافزار محموله‌های خود را به صورت کاملا تصادفی تولید می‌کند. هم فرآیند رمزگذاری و هم تعداد تکرارهای مورد استفاده را تصادفی می‌کند و چالش‌هایی را برای محققانی که سعی در تجزیه‌و تحلیل کد دارند ایجاد می‌کند.

علاوه بر این، نسخه‌های قدیمی‌ترXCSSET برای رمزگذاری بارهای خود به یک ابزار واحد، xxd (hexdump) متکی بودند. با این حال، آخرین نسخه، رمزگذاریBase64 را به زرادخانه خود اضافه می‌کند و تلاش‌های تجزیه‌و تحلیل را پیچیده تر می‌کند. حتی نام ماژول‌های بدافزار مبهم شده است و تشخیص هدف یا عملکرد آنها در کد را دشوار می‌کند.

سخت‌تر برای حذف
نوع جدیدXCSSET از دو روش نوآورانه برای اطمینان از فعال ماندن آن در سیستم‌های آلوده، حتی پس از راه‌اندازی مجدد یا خروج کاربر استفاده می‌کند.

1- روش"zshrc": این تاکتیک شامل ایجاد یک فایل مخفی به نام~/.zshrc_aliases برای قرار دادن بار مخرب است. سپس بدافزار فایل پیکربندی~/.zshrc را دست‌کاری می‌کند و دستوری را اضافه می‌کند که هر زمان که جلسه پوسته جدیدی شروع می‌شود، به‌طور خودکار فایل مخرب را بارگیری می‌کند. این بدان معناست که هر بار که کاربر ترمینال خود را باز می کند، بدافزار در پس زمینه فعال می شود.
2- روش"Dock": این رویکردDock macOS را ربوده است. این بدافزار یک ابزار امضا شده به نام"dockutil" را از یک سرور فرمان و کنترل از راه دور دانلود می‌کند تا مواردDock را تغییر دهد. این برنامه قانونی"Launchpad" را با یک نسخه مخرب جایگزین می‌کند‌ و تضمین می‌کند که بدافزار هر بار که کاربر باDock تعامل دارد اجرا می‌شود.

هدف‌گذاری پروژه‌هایXcode
همانطور که از نام آن پیداست، XCSSET در درجه اولXcode، محیط توسعه یکپارچه قدرتمند اپل(IDE) برایmacOS را هدف قرار می‌دهد. بدافزار با استفاده از یکی از سه استراتژی قرار دادن: TARGET، RULE، یاFORCED_STRATEGY به پروژه‌هایXcode نفوذ می‌کند. این استراتژی‌ها تعیین می‌کنند که چگونه و کجا بار مخرب در فایل‌های پروژه جاسازی شود.

علاوه بر این، بدافزار می‌تواند کلیدTARGET_DEVICE_FAMILY را در تنظیمات ساخت پروژه هدف قرار دهد. XCSSET با درج کد خود در اینجا اطمینان می‌دهد کهpayload فقط زمانی فعال می‌شود که برنامه در دستگاه‌های خاصی ساخته شده و اجرا شود، و از شناسایی در مراحل توسعه یا آزمایش اجتناب می‌کند.

چگونه از خود محافظت کنیم

اگر شما یک توسعه دهنده اپل یا به طور کلی کاربرmacOS هستید، در اینجا چند نکته ساده اما حیاتی برای محافظت از دستگاه‌های خود در برابر بدافزارXCSSET آورده شده است:

  • پروژه‌هایXcode را بررسی کنید: همیشه پروژه‌هایXcode را بررسی و تأیید کنید، به خصوص اگر از مخازن خارجی دانلود شده یا توسط اشخاص ثالث به اشتراک گذاشته شده است.
  • به منابع قابل اعتماد پایبند باشید: برنامه‌ها و ابزارها را منحصراً از کانال‌های رسمی اپل یا پلتفرم‌های نرم افزاری معتبر دانلود کنید. از فروشگاه‌های برنامه شخص ثالث یا دانلودهای غیر رسمی خودداری کنید.
  • با به روز‌رسانی‌ها همراه باشید: با آخرین توصیه‌های امنیتی مایکروسافت، اپل و سایر سازمان‌های امنیت سایبری به روز باشید.

 

امنیت و حریم خصوصی چالش تلاش‌های مدرن‌سازی

بر اساس گزارشSolarWinds، برای اکثر سازمان‌های بخش عمومی، تحول دیجیتال در حال انجام است و پیچیدگی یکپارچه‌سازی سیستم‌های جدید و نگرانی‌های مربوط به حریم خصوصی و امنیتی همچنان موانع اصلی باقی مانده است.

تراویس گالووی، مشاور ارشد امور دولتی درSolarWinds می‌گوید: «در حالی که بخش عمومی چشم‌انداز فناوری در حال تحول را دنبال می‌کند، سازمان‌های بیشتری به هدایت عملیات و حجم کاری به ابر و اتخاذ راه‌حل‌های فناوری اطلاعات ترکیبی ادامه خواهند داد.

گالووی ادامه داد: «این لایه دیگری از پیچیدگی را به امنیت داده‌ها و انطباق در سراسر عملیات اضافه می‌کند، همراه با فشارهای اضافی محدودیت‌های بودجه.

مهم‌ترین چالش‌های امنیتی امروز شامل آسیب‌پذیری‌ها در سیستم‌های نظارتی و نیاز حیاتی به محافظت از اطلاعات حساس در برابر تهدیدات سایبری است. شرکت کنندگان جامعه عمومی هک (59%) و افراد بی‌دقت/ آموزش ندیده (58%) را به عنوان تهدیدات امنیتی برتر خود رتبه‌بندی کردند و بر نیاز به آموزش آگاهی امنیتی قوی‌تر، ابزارهای پیشرفته و مکانیسم‌های کنترل دسترسی بهتر تاکید کردند.

پذیرش هوش مصنوعی نیز با مزایایی مانند تجزیه‌و تحلیل پیش‌بینی‌کننده و تشخیص مشکل، شتاب بیشتری می‌گیرد، اما نگرانی‌ها همچنان پابرجاست. بیش از 33 درصد از پاسخ‌دهندگان از هوش مصنوعی برای خودکارسازی عملیات امنیت سایبری و افزایش قابلیت مشاهده فناوری اطلاعات استفاده می‌کنند، با برنامه‌ریزی‌های بسیاری که به زودی از آن استفاده می‌کنند.

با وجود این، تقریباً 4 نفر از هر 10 پاسخ دهنده به شدت یا بسیار نگران خطرات بالقوه مرتبط با استفاده از هوش مصنوعی، مانند حفظ حریم خصوصی و انطباق داده‌ها هستند، که اجرای تمام مقیاس را به یک فرآیند محتاطانه تبدیل می‌کند.

وضعیت تحول دیجیتال در بخش دولتی
نگرانی‌های مربوط به حفظ حریم خصوصی و امنیت داده‌ها (62%)، محدودیت‌های بودجه (57%)، و پیچیدگی یکپارچه‌سازی (56%) چالش‌های اصلی در سفر تحول دیجیتال پاسخ‌دهندگان هستند. قابل توجه است که پاسخ دهندگان بخش آموزشی بیشتر به پیچیدگی ادغام به عنوان یک چالش اشاره می‌کنند.

برای بیش از نیمی از پاسخ دهندگان، بهبود قابلیت مشاهده سیستم ها و فرآیندها و پیشبرد تحول دیجیتال اولویت‌های بالا یا بسیار بالایی هستند. در مقابل، ادغام هوش مصنوعی در عملیات به عنوان اولویت پایین‌تری در نظر گرفته می‌شود.

محدودیت‌های بودجه (28 درصد) در صدر فهرست موانع مهم امسال برای حفظ یا بهبود امنیت فناوری اطلاعات قرار دارد. پیچیدگی محیط داخلی (20٪) دقیقاً دنبال می‌شود.

منابع اولیه تهدیدات امنیتی برای مخاطبانSLED (ایالتی، محلی‌ و آموزشی) از سال 2019 نسبتاً ثابت باقی مانده است. با این حال، در سال 2024، مخاطبان آموزش شاهد تغییری بودند و جامعه عمومی هکرها از خودی‌های بی‌دقت/ آموزش ندیده به عنوان منبع اصلی تهدیدها پیشی گرفتند.

محیط‌های فعلی و آینده
در سال 2024، ابر دولتی (خصوصی) به عنوان رایج‌ترین محیط (70٪) پیشتاز شده است که ناشی از کاهش استفاده سنتی از مرکز داده داخلی (58٪) است که در سال 2023 رایج‌ترین (91٪) بود. مطابق با سال گذشته، پاسخ‌دهندگان همچنان پیش‌بینی می‌کنند که محیط‌های ترکیبی رایج‌ترین محیط‌ها در آینده خواهند بود(48%).

بیش از نیمی از پاسخ دهندگان گزارش کردند که مدیریت محیطIT آنها بسیار یا بسیار پیچیده است، اگرچه این میزان نسبت به سال گذشته کاهش یافته است. علاوه بر این، کمتر از نیمی از آنها به توانایی خود در مدیریت موثر آن اعتماد دارند.

چالش‌های زیرساخت فناوری اطلاعات ترکیبی
پیچیدگی مدیریت محیط‌های ترکیبی، چالش اصلی (73%)، به ویژه برای پاسخ دهندگان فدرال است. مسائل امنیتی (67٪)، مسائل مربوط به یکپارچه‌سازی سیستم قدیمی (55٪)، و نگرانی‌های هزینه (51٪) نیز چالش‌هایی برای اکثر شرکت کنندگان هستند.

با در نظر گرفتن رتبه‌بندی کلی و رتبه‌بندی به عنوان اولویت اصلی، نگرانی‌های حفاظت از داده‌ها و حفظ حریم خصوصی، همراه با محافظت از اطلاعات حساس در برابر تهدیدات سایبری، به عنوان چالش‌های امنیتی پیش‌رو در زیرساخت‌های فناوری اطلاعات ترکیبی با 51 درصد ظاهر می‌شوند.

63 درصد از پاسخ‌دهندگان با چالش‌هایی در زمینه نظارت در محیط‌های مختلف مواجه هستند که مانع از توانایی آن‌ها برای به دست آوردن دید به زیرساخت فناوری اطلاعات ترکیبی سازمانشان می‌شود.

 

هکرها از ربودن RID ویندوز برای ایجاد حساب مدیریت مخفی استفاده می‌کنند

یک گروه هکری از تکنیکی به نام ربودن RID استفاده می‌کند که ویندوز را فریب می‌دهد تا یک حساب کاربری با امتیاز پایین را به عنوان حساب کاربری با مجوزهای سرپرست تلقی کند.

 

 

 

هکرها از یک فایل مخرب سفارشی و یک ابزار منبع باز برای حمله ربایی استفاده کردند. هر دو ابزار می‌توانند این حمله را انجام دهند، اما محققان شرکت امنیت سایبری کره‌جنوبی AhnLab می‌گویند که تفاوت‌هایی وجود دارد.

 

چگونه RID hijacking کار می‌کند

شناسه نسبی (RID) در ویندوز بخشی از شناسه امنیتی (SID) است، یک برچسب منحصر به فرد که به هر حساب کاربری اختصاص داده می‌شود تا بین آنها تمایز قائل شود.

 

RID می‌تواند مقادیری را دریافت کند که سطح دسترسی حساب را نشان می‌دهد، مانند «500» برای مدیران، «501» برای حساب‌های مهمان، «1000» برای کاربران عادی و «512» برای گروه سرپرستان دامنه.

 

ربودن RID زمانی اتفاق می‌افتد که مهاجمان RID یک حساب کاربری با امتیاز پایین را برای مطابقت با ارزش یک حساب مدیر تغییر می‌دهند و ویندوز به آن دسترسی بالاتری می‌دهد.

 

با این حال، انجام حمله مستلزم دسترسی به رجیستری SAM است، بنابراین هکرها باید ابتدا سیستم را نقض کرده و به SYSTEM دسترسی پیدا کنند.

 

 

 

 

 

 

 

آندریل حمله می‌کند

محققان ASEC، مرکز اطلاعات امنیتی AhnLab، این حمله را به گروه تهدید Andariel نسبت می‌دهند که با گروه هکر Lazarus کره‌شمالی مرتبط است.

 

حملات با دسترسی Andariel به SYSTEM روی هدف از طریق بهره‌برداری از یک آسیب‌پذیری آغاز می‌شود.

 

هکرها با استفاده از ابزارهایی مانند PsExec و JuicyPotato برای راه‌اندازی یک خط فرمان در سطح سیستم، به تشدید اولیه دست می‌یابند.

 

اگرچه دسترسی SYSTEM بالاترین سطح در ویندوز است، اما اجازه دسترسی از راه دور را نمی‌دهد، نمی‌تواند با برنامه‌های رابط کاربری گرافیکی تعامل داشته باشد، بسیار پر سر و صدا است و احتمالاً شناسایی می‌شود و نمی‌تواند بین راه‌اندازی مجدد سیستم باقی بماند.

 

برای رفع این مشکلات، Andariel ابتدا با استفاده از دستور «net user» و افزودن کاراکتر «$» در پایان، یک کاربر محلی پنهان و کم امتیاز ایجاد کرد.

 

با انجام این کار، مهاجم اطمینان حاصل کرد که حساب از طریق دستور "net user" قابل مشاهده نیست و فقط در رجیستری SAM قابل شناسایی است. سپس آنها ربودن RID را برای افزایش مجوزهای مدیریت انجام دادند.

 

 

 

 

 

به گفته محققان، Andariel حساب کاربری خود را به گروه کاربران و مدیران دسکتاپ از راه دور اضافه کرده است.

 

ربودن RID مورد نیاز برای این کار از طریق اصلاحات رجیستری مدیریت حساب امنیتی (SAM) امکان‌پذیر است از بدافزار سفارشی و یک ابزار متن باز برای انجام تغییرات استفاده می‌کند.

 

 

 

 

 

اگرچه دسترسی SYSTEM اجازه ایجاد مستقیم حساب مدیر را می‌دهد، بسته به تنظیمات امنیتی ممکن است محدودیت‌های خاصی اعمال شود. افزایش امتیازات حساب‌های معمولی بسیار پنهان‌تر و سخت‌تر است که شناسایی و متوقف شود.

 

Andariel در ادامه تلاش می‌کند تا مسیرهای خود را با صادر کردن تنظیمات رجیستری اصلاح‌ شده، حذف کلید و حساب سرکش‌ و سپس ثبت مجدد آن از یک نسخه پشتیبان ذخیره‌شده، پوشش دهد و امکان فعال‌سازی مجدد را بدون نمایش در گزارش‌های سیستم فراهم کند.

 

برای کاهش خطرات حملات ربودن RID، مدیران سیستم باید از سرویس زیرسیستم مرجع امنیت محلی (LSA) برای بررسی تلاش‌های ورود به سیستم و تغییرات رمز عبور و همچنین جلوگیری از دسترسی غیرمجاز و تغییرات در رجیستری SAM استفاده کنند.

 

همچنین توصیه می‌شود اجرای PsExec، JuicyPotato و ابزارهای مشابه را محدود کنید، حساب Guest را غیرفعال کنید و از تمام حساب‌های موجود، حتی با امتیاز پایین، با احراز هویت چند مرحله‌ای محافظت کنید.

 

شایان ذکر است که ربودن RID حداقل از سال 2018 شناخته شده است، زمانی که محقق امنیتی سباستین کاسترو حمله در DerbyCon 8 را به عنوان یک تکنیک پایدار در سیستم های ویندوز ارائه کرد.

 

منبع

bleepingcomputer

 

بایگانی

همیاران سایبری – تمام حقوق محفوظ است