‫ ilam_heydari بلاگ

 یک عملیات هماهنگ بین‌المللی با مشارکت آژانس‌های مجری قانون از 40 کشور جهان منجر به دستگیری بیش از 5500 فرد مرتبط با جرایم مالی و مصادره بیش از 400 میلیون دلار دارایی مجازی و ارزهای دولتی شد.
 

جزئیات عملیات HAECHI V

عملیات پنج ماهه HAECHI V (ژوئیه - نوامبر 2024) هفت نوع کلاهبرداری سایبری را هدف قرار داد: فیشینگ صوتی، کلاهبرداری احساسی (برای فریب کاربران)، کلاهبرداری آنلاین، کلاهبرداری از سرمایه‌گذاران، قمار آنلاین غیرقانونی، کلاهبرداری ارز دیجیتال‌ و کلاهبرداری در تجارت الکترونیک.

به عنوان بخشی از این عملیات، مقامات کره‌ای همراه با مقامات پکن با موفقیت یک سندیکای فیشینگ صوتی گسترده را که مسئول خسارات مالی بالغ بر 1.1 میلیارد دلار بود و بیش از 1900 قربانی را تحت تأثیر قرار داد، منحل کردند روش کار پیچیده این سازمان شامل جلوه دادن به عنوان مقامات مجری قانون و استفاده از هویت جعلی بود این عملیات منجر به دستگیری 27 نفر از اعضای گروه جنایتکار سازمان یافته و 19 نفر پس از آن متهم شدند.

«در حالی که دستگیری 5500 نفر قابل توجه است، این گروه‌ها به جای انجام حملات بزرگ با تعداد کمتر مانند پرداخت‌های سنگین باج‌افزار، که ممکن است اهداف خاص با مبلغ 100،000 دلار را هدف قرار دهد، عملیات‌هایی با مقیاس بزرگ و حجم بالایی از قربانیان با پرداخت‌های کوچک‌تر 1000 دلار هدف قرار می‌دادند که پس ازحملات مبالغ جمع میشد. توبی لوئیس، رئیس جهانی تحلیل تهدید در Darktrace، گفت: کلاهبرداری‌های عاشقانه در حوزه ارزهای دیجیتال نشان می‌دهد که مجرمان مهندسی اجتماعی کلاسیک را برای عصر رمزنگاری تطبیق می‌دهند یعنی ترکیب دستکاری احساسی با پیچیدگی ارزهای دیجیتال برای فریب قربانیان برای اعطای دسترسی به حساب.

کلاهبرداری تأیید رمز USDT

INTERPOL همچنین در طول عملیات HAECHI V یک اعلامیه بنفش صادر کرد تا به کشورها در مورد روش کلاهبرداری ارزهای دیجیتال در حال ظهور شامل استیبل کوین هشدار دهد. به کشورهای عضو «کلاهبرداری تأیید رمز USDT» هشدار داده شد که به کلاهبرداران اجازه می‌دهد به کیف پول‌های ارز دیجیتال قربانیان دسترسی داشته باشند و آن‌ها را کنترل کنند.

رویکرد دو مرحله‌ای ابتدا قربانیان را با استفاده از تکنیک‌های طعمه‌گذاری عاشقانه جذب می‌کند و به آنها دستور می‌دهد تا از طریق یک پلتفرم قانونی، استیبل کوین‌های محبوب Tether (توکن‌های USDT) را خریداری کنند هنگامی که کلاهبرداران اعتماد خود را به دست آوردند، به قربانیان لینک فیشینگ ارسال می‌شود که ادعا می‌کند به آنها اجازه می‌دهد حساب‌های سرمایه‌گذاری خود را راه‌اندازی کنند که با کلیک کردن، افراد قربانی اجازه دسترسی کامل به کلاهبرداران را می‌دهند که می‌توانند بدون اطلاع فرد قربانی، وجوه را از کیف پول خود منتقل کنند.

نوامبر 2024 مایکروسافت 89 مشکل امنیتی جدید را در محصولات مختلف خود رفع کرده است که دو مورد از آنها (CVE-2024-43451، CVE-2024-49039) دائما توسط مهاجمان مورد سوء‌استفاده قرار می‌گرفته‌اند.

آسیب‌پذیری‌های مورد سوء‌استفاده (CVE-2024-43451، CVE-2024-49039)

CVE-2024-43451 یک آسیب‌پذیری است که به مهاجمان اجازه می‌دهد با افشای هش NTLMv2 کاربر، که حاوی اعتبار احراز هویت آنها است، امتیازات خود را در ماشین‌های Windows و Windows Server هدفمند افزایش دهند سپس مهاجمان می‌توانند از هش برای احراز هویت به عنوان کاربر با استفاده از تکنیک هک به نام پاس دادن هش استفاده کنند.

ساتنام نارنگ، مهندس ارشد تحقیقاتی کارکنان در Tenable به Help Net Security گفت: «از نظر من، این سومین آسیب‌پذیری است که می‌تواند هش NTLMv2 کاربر را که در سال 2024 در طبیعت مورد سوء‌استفاده قرار گرفته است، افشا کند.

اگرچه ما در حال حاضر بینشی در مورد بهره‌برداری درونی از CVE-2024-43451 نداریم، یک چیز مسلم است: مهاجمان همچنان در مورد کشف و بهره‌برداری از آسیب‌پذیری‌های روز صفر که می‌توانند هش‌های NTLMv2 را فاش کنند، مصمم هستند. زیرا می‌توان از آنها برای احراز هویت در سیستم‌ها استفاده کرد و به طور بالقوه به صورت جانبی در یک شبکه برای دسترسی به سیستم‌های دیگر حرکت کرد.

تعامل کاربر - به عنوان مثال، انتخاب یا بازرسی فایل مخربی که اکسپلویت را در خود نگه می‌دارد، برای ایجاد آسیب‌پذیری لازم است، اما بدیهی است که این یک مانع واقعی برای مهاجمان نیست CVE-2024-49039 یک آسیب‌پذیری در Windows Task Scheduler است که برای بالا بردن امتیازات سیستم‌های نقض شده نیز مورد سوء‌استفاده قرار می‌گیرد.

«این آسیب به یک AppContainer اجازه فرار می‌دهد همچنین به کاربر با امتیاز پایین اجازه می‌دهد تا کد را با یکپارچگی متوسط اجرا کند. داستین چایلدز، رئیس آگاهی از تهدیدات در Trend Micro's Zero Day Initiative می‌گوید: هنوز باید بتوانید کد را روی سیستم اجرا کنید تا این اتفاق بیفتد، اما فرار از کانتینر (Container) همچنان بسیار جالب است زیرا به ندرت در طبیعت دیده می‌شود.

نارنگ افزود: "یک مهاجم پس از سوء‌استفاده، می‌تواند امتیازات خود را افزایش دهد و به منابعی که قبلا در دسترس آنها نبود و همچنین کدهایی مانند توابع فراخوانی از راه دور (RPC) دسترسی پیدا کند." ما اطلاعات زیادی در مورد بهره‌برداری از این نقص نداریم، اگرچه می‌دانیم که این نقص به افراد متعددی از جمله اعضای گروه تحلیل تهدیدات گوگل (TAG) نسبت داده می‌شود می‌توانیم استنباط کنیم برخی از تهدیدهای پایدار پیشرفته (APT) یا فعالیت‌های همسو با دولت در ارتباط با بهره‌برداری روز صفر از این نقص وجود دارد.

سایر آسیب‌پذیری‌های وصله شده 

CVE-2024-43639 مورد جالبی است: مایکروسافت می‌گوید: «یک مهاجم تأیید نشده می‌تواند از یک برنامه کاربردی ساخته‌شده ویژه برای استفاده از آسیب‌پذیری پروتکل رمزنگاری در Windows Kerberos برای اجرای کد از راه دور در برابر هدف استفاده کند».

رشته برداری CVSS مرتبط با این آسیب‌پذیری می‌گوید هیچ اقدام کاربر برای بهره‌برداری از آن لازم نیست Childs خاطرنشان کرد: «از آنجایی که Kerberos با امتیازات بالا اجرا می‌شود، این باعث می‌شود که این یک باگ قابل حل بین سیستم‌های آسیب‌دیده باشد.

CVE 2024-5535 - یک باگ در OpenSSL که در ژوئن 2024 فاش شد  در Microsoft Defender برای Endpoint وصله شده است.

«استفاده از این آسیب‌پذیری مستلزم آن است که مهاجم یک پیوند مخرب را از طریق ایمیل برای قربانی ارسال کند، یا اینکه کاربر را متقاعد کند که روی پیوند کلیک کند، در بدترین حالت حمله ایمیل، مهاجم می‌تواند یک ایمیل ساخته‌شده خاص را بدون نیاز به باز کردن، خواندن یا کلیک بر روی پیوند توسط قربانی برای کاربر ارسال کند مایکروسافت گفت که این امر می‌تواند منجر به اجرای کد از راه دور توسط مهاجم بر روی دستگاه قربانی شود، اما ارزیابی کرد که احتمال بهره‌برداری کمتر است.

غول شرکت مالی، به کسانی که آسیب دیده‌اند خدمات نظارت بر هویت رایگان ارائه می‌دهد شرکت Fidelity Investments، ابتلا به نقض داده‌ها را تایید کرده است که در آن کلاهبرداران اطلاعات حساس ده‌ها هزار نفر را سرقت کرده‌اند.

این شرکت این خبر را از طریق یک اخطار نقض ثبت شده در دفتر دادستان کل مین فاش کرد و خاطرنشان کرد که بین 17 تا 19 اوت 2024، عوامل تهدید از دو حساب جعلی در پوشش "مشتری تازه تاسیس" برای دسترسی به زیرساخت شرکت استفاده کرده‌اند.

این شرکت در اطلاعیه گفت: "ما این فعالیت را در 19 اوت شناسایی کردیم و بلافاصله اقداماتی را برای پایان دادن به دسترسی انجام دادیم." وی افزود: «تحقیقات به سرعت با کمک کارشناسان امنیتی خارجی آغاز شد». تحقیقات نشان داد که کلاهبرداران اطلاعات «مربوط به زیرمجموعه کوچکی» از مشتریان Fidelity را به دست آورده‌اند و به حساب‌های کسی دسترسی نداشته‌اند.

نظارت بر سرقت هویت

این زیر مجموعه کوچک دقیقاً 77099 مشتری دارد که 337 نفر از ساکنان مین هستند. در اطلاعیه جزئیاتی از نوع اطلاعات دزدیده شده ذکر نشده است، اما TechCrunch یک پرونده جداگانه نزد دادستان کل ماساچوست پیدا کرد که در آن گفته شده بود هکرها شماره امنیت اجتماعی و گواهینامه رانندگی افراد را به دست آورده‌اند اطلاعاتی که از طریق آن می‌توان برای فیشینگ، سرقت هویت یا حتی کلاهبرداری اقدام کرد.

برای دسترسی به داده‌ها، کلاهبرداران ظاهراً دو حساب مشتری ایجاد کرده‌اند و از آنها برای ارسال درخواست‌های جعلی به یک پایگاه داده داخلی استفاده کرده‌اند که تصاویری از اسناد متعلق به مشتریان Fidelity را در خود داشت.

تا‌کنون، هیچ مدرکی مبنی بر سوء‌استفاده از داده‌ها وجود نداشته است، اما Fidelity هیچ شانسی را نمی‌پذیرد به همه افراد آسیب دیده به مدت 24 ماه خدمات نظارت بر اعتبار و بازیابی هویت به صورت رایگان ارائه می‌کند.

Fidelity Investments یک شرکت خدمات مالی بزرگ است که خدمات مدیریت سرمایه‌گذاری، برنامه‌ریزی بازنشستگی، کارگزاری و مدیریت ثروت را ارائه می‌دهد این شرکت بیش از 4 تریلیون دلار دارایی را برای بیش از 40 میلیون سرمایه‌گذار، مؤسسه و مشاور مالی فردی مدیریت می‌کند.

هکرهای نظامی روسیه با نام واحد 29155 زیرساخت‌های حیاتی ایالات متحده و سطح جهان را هدف قرار داده‌اند این واحد که به‌ خاطر عملیات سایبری پیچیده‌اش شناخته می‌شود، با حملاتی مرتبط بوده است که هدف آنها مختل کردن و به خطر انداختن بخش‌های حیاتی است.
 

پیامدهای این نفوذهای سایبری گسترده است و بر خدمات دولتی، مؤسسات مالی، سیستم‌های حمل‌ونقل، شبکه‌های انرژی و امکانات بهداشتی تأثیر می‌گذارد.

تهدید واحد 29155

واحد 29155، یک گروه مخفی در آژانس اطلاعات نظامی روسیه (GRU)، به دلیل فعالیت‌های سایبری تهاجمی خود تحت نظارت قرار گرفته است به گفته FBI، NSA و CISA، این واحد عملیات خود را فراتر از جاسوسی سنتی گسترش داده است و حداقل از سال 2020 تاکتیک‌های سایبری تهاجمی را شامل می‌شود اهداف آنها از سرقت اطلاعات برای جاسوسی تا آسیب رساندن به شهرت و خرابکاری سیستماتیک از طریق تخریب داده‌ها متغیر است. واحد 29155 در کمپین‌های سایبری مختلفی از جمله تخریب وب سایت، اسکن زیرساخت، استخراج داده‌ها و عملیات نشت داده‌ها شرکت داشته است این اقدامات تعداد زیادی از اعضا و کشورهای ناتو را در سراسر اروپا، آمریکای لاتین و آسیای مرکزی هدف قرار داده است.

این گروه با بیش از 14000 مورد اسکن دامنه در حداقل 26 عضو ناتو، بر ایجاد اختلال در تلاش‌ها برای کمک به اوکراین متمرکز است واحد 29155 از طیف وسیعی از ابزارهای در دسترس عموم برای شناسایی و بهره‌برداری استفاده می‌کند که عبارتند از Acunetix، Nmap، Amass و Shodan و غیره از این ابزارها برای شناسایی آسیب‌پذیری‌ها و جمع‌آوری اطلاعات در شبکه‌های هدف استفاده می‌شود. این گروه همچنین از VPN‌ها برای ناشناس کردن فعالیت‌های خود استفاده می‌کند و برای انجام عملیات خود به بازیگران غیر GRU از جمله مجرمان سایبری متکی است.

آسیب‌پذیری‌های مورد سوء‌استفاده

مشاهده شده است که هکرها از چندین آسیب‌پذیری و قرار گرفتن در معرض مشترک (CVE) برای دسترسی اولیه سوء‌استفاده می‌کنند CVE‌های قابل توجه عبارتند از:

CVE-2020-1472: آسیب‌پذیری در سرور مایکروسافت ویندوز.

CVE-2021-26084: آسیب‌پذیری Atlassian Confluence Server و Data Center.

CVE-2021-3156: افزایش امتیاز در سیستم‌های ردهت.

CVE-2021-4034: یکی دیگر از نقص‌های افزایش امتیاز در سیستم‌های Red Hat.

CVE-2022-27666: نقص سرریز بافر هیپ در سیستم‌های Red Hat.

این آسیب‌پذیری‌ها برای دسترسی غیرمجاز و حرکت جانبی در شبکه‌های قربانی مورد سوء‌استفاده قرار گرفته‌اند. در یک نمونه مستند، واحد 29155 از آسیب‌پذیری‌های CVE-2021-33044 و CVE-2021-33045 در دوربین‌های IP داهوا (Dahua) سوء استفاده کرد. هکرها احراز هویت را دور زدند و به آنها اجازه داده شد تصاویر را استخراج کنند و تنظیمات پیکربندی و اعتبارسنجی را در متن ساده خالی کنند این توانایی گروه را برای هدف قرار دادن دستگاه‌های اینترنت اشیا (IoT) و بهره‌برداری از آنها برای نفوذ بیشتر به شبکه برجسته می‌کند.

مثال کد: بهره برداری از CVE-2021-33044

# Exploit script for CVE-2021-33044
echo "Exploiting Dahua IP Camera vulnerability..."
curl -X POST "http://<target-ip>/cgi-bin/configManager.cgi?action=getConfig&name=Network" \
     --data "user=admin&password=admin"

این اسکریپت یک تلاش اساسی برای بهره‌برداری با استفاده از یک درخواست POST برای استخراج تنظیمات شبکه از یک دوربین IP آسیب پذیر Dahua را نشان می‌دهد.

کنش و واکنش

برای کاهش این تهدیدات، به سازمان‌ها توصیه می‌شود اقدامات امنیتی سایبری قوی را اجرا کنند که شامل اصلاح منظم آسیب‌پذیری‌های نرم‌افزار، استفاده از سیستم‌های تشخیص نفوذ، و انجام ممیزی‌های امنیتی کامل است احراز هویت چند عاملی و تقسیم‌بندی شبکه نیز می‌تواند به کاهش خطر دسترسی غیرمجاز کمک کند صنعت امنیت سایبری نقش مهمی در ردیابی و کاهش این تهدیدات دارد شرکت‌هایی مانند مایکروسافت و CrowdStrike در شناسایی و نسبت دادن فعالیت‌های واحد 29155 نقش مهمی داشته‌اند همکاری آنها با سازمان های دولتی به توسعه اقدامات متقابل موثر و به اشتراک گذاری اطلاعات تهدید کمک می‌کند.

فعالیت‌های هکرهای نظامی روسیه تهدیدی جدی برای امنیت جهانی است همانطور که واحد 29155 به تکامل تاکتیک‌های خود ادامه می‌دهد، کشورها و سازمان‌ها باید در تلاش‌های امنیت سایبری خود هوشیار و فعال باشند همکاری مداوم بین سازمان‌های دولتی و صنعت امنیت سایبری در مبارزه با این تهدیدات سایبری پیچیده و حفاظت از زیرساخت‌های حیاتی در سراسر جهان حیاتی است.

گوگل به دلیل نقص مدیریت رمز عبور خود برای میلیون‌ها کاربر ویندوز به دلیل نقصی که باعث شد بسیاری از کاربران به مدت نزدیک به 18 ساعت نتوانند به رمزهای عبور ذخیره شده خود دسترسی پیدا کنند، عذرخواهی کرده است.

گوگل اعتراف کرد به طور تصادفی مدیر رمز عبور خود را شکسته است این مشکل بر روی کاربران ویندوز در نسخه M127 مرورگر کروم تأثیر گذاشت و پس از 17 ساعت و 51 دقیقه برطرف شد به گفته گوگل، علت اصلی مشکل تغییر در رفتار محصول بدون ابزارهای حافظتی مناسب بوده است در نهایت، یک بروز رسانی معیوب عملکرد مدیر رمز عبور را مختل کرد و کاربران را از دسترسی به اطلاعات کاربری ذخیره شده باز داشت.

به روز رسانی معیوب باعث اختلال در عملکرد مدیر رمز عبور گوگل شد

شرکت گوگل وجود نقص را اینگونه بیان کرد: «کاربران تحت تأثیر نتوانستند رمزهای عبور را در مدیر رمز عبور Chrome پیدا کنند کاربران می‌توانستند رمزهای عبور را ذخیره کنند، اما برای آنها قابل مشاهده نبود برآوردهای مختلف حاکی از آن است که 15 تا 17 میلیون نفر تحت تأثیر قطعی تقریباً یک روزه قرار گرفته‌اند.

علاوه بر این، پس از اینکه بسیاری از مدیران از قبل با عواقب یک به‌روزرسانی مشکل‌ساز CrowdStrike که دستگاه‌های مایکروسافت را نیز تحت تأثیر قرار می‌داد دست و پنجه نرم می‌کردند این حادثه نیز باعث آسیب شد ماهیت جهانی این نقص، خطرات مرتبط با اتکا به مدیران رمز عبور مبتنی بر مرورگر را برجسته می کند در حالی که مدیران رمز عبور برای امنیت آنلاین بسیار مهم هستند آنها از چنین اختلالاتی مصون نیستند و این قطعی تنها به عنوان یادآوری است که سیستم‌های پشتیبان باید وجود داشته باشند.

در گزارش حادثه خود گوگل بابت این قطعی عذرخواهی کرد و افزود که کاربران آسیب دیده باید مرورگرهای خود را برای بازیابی عملکرد پس از رفع مشکل تایید شده در 25 جولای در ساعت 09:27 ایالات متحده/اقیانوس آرام، مجددا راه‌اندازی کنند.

این شرکت همچنین راهنمایی‌هایی را برای یک راه حل احتمالی در طول خاموشی صادر کرد، که ممکن است بسیاری از شرکت های کوچکتر قادر به انجام سریع آن نباشند با این حال، برای برخی از کاربران، این خطا طعم تلخی را در دهان آنها گذاشته است.

گزارش جدیدی از شبکه باراکودا مدعی شده است که حملات سایبری که از طریق ایمیل منتشر می‌شوند همچنان در حال افزایش هستند و با بکارگیری هوش مصنوعی (AI) خطرناک‌تر شده‌اند.

پس از تجزیه و تحلیل 69 میلیون حمله در 4.5 میلیون صندوق پستی در 12 ماه گذشته، باراکودا گفت که خطر ایمیل تجاری (BEC)، ربودن مکالمه و حملات کد QR همگی در حال رشد هستند.

در واقع، حملات BEC اکنون یک دهم (10.6٪) از تمام حملات مهندسی اجتماعی مبتنی بر ایمیل را تشکیل می‌دهند که از 8٪ در سال 2022 و از 9٪ در سال 2021 افزایش یافته است در همان زمان، ربودن مکالمه 0.5٪ از حملات را تشکیل می‌دهد تمام حملات مهندسی اجتماعی در سال 2023 حدود 70 درصد افزایش یافته است در حالی که در مقایسه با سال 2022 تنها 0.3 درصد بوده است.

جیمیل و bit.ly

یک عامل تهدید، با ربودن مکالمه حساب ایمیل شخص را به خطر می‌اندازد و به دنبال مکالمه با اهداف بالقوه می‌گردد سپس آنها مکالمه را "ربایش" می‌کنند و به آخرین ایمیل پاسخ می‌دهند و زنجیره ارتباط را ادامه می‌دهند به این ترتیب، قربانی هیچ دلیلی برای اعتماد نکردن به محتوای ایمیل ندارد‌ و توزیع بدافزار و سرقت داده‌های حساس را بسیار آسان‌تر می‌کند.

در نهایت، از هر 20 صندوق پستی 1 مورد هدف حملات کد QR قرار گرفت که نسبتاً موفق آمیز هستند زیرا حمله کنندگان عمدتاً راه‌حل‌های سنتی فیلتر کردن ایمیل را دور می‌زنند علاوه بر این، آنها قربانیان را مجبور می‌کنند از یک دستگاه شخصی برای اسکن کد QR استفاده کنند که معمولاً توسط نرم افزار امنیتی شرکت محافظت نمی‌شود.

باراکودا اضافه کرد که مهاجمان معمولاً به سمت کاربران جی‌میل می‌روند زیرا جی‌میل 22 درصد از دامنه های مورد استفاده برای مهندسی اجتماعی را تشکیل می‌دهد علاوه بر این، bit.ly ابزاری مناسب برای کوتاه کردن URL است که تقریباً در 40٪ از حملات مهندسی اجتماعی استفاده می‌شود.

شیلا هارا (Sheila Hara)، مدیر بخش محصول در Barracuda، گفت: «متخصصان فناوری اطلاعات و امنیت باید روی تکامل تهدیدات ایمیل و آنچه که به معنای اقدامات امنیتی و واکنش به حوادث است متمرکز بمانند.

این شامل درک اینکه چگونه مهاجمان می‌توانند از هوش مصنوعی برای پیشبرد و مقیاس‌بندی فعالیت‌های خود استفاده کنند‌ و آخرین تاکتیک‌هایی را که برای عبور از کنترل‌های امنیتی استفاده می‌کنند، شامل می‌شود بهترین دفاع، فناوری امنیت ایمیل ابری مبتنی بر هوش مصنوعی است که می‌تواند به سرعت با یک چشم‌انداز در حال تغییر سازگار شود و صرفاً به جستجوی پیوندهای مخرب یا پیوست‌ها متکی نیست.

مهاجمان سعی می‌کنند از طریق حساب‌های محلی که فقط با رمز عبور محافظت می‌شوند به دستگاه‌های Check Point VPN دسترسی پیدا کنند هدف نهایی آنها استفاده از این دسترسی برای کشف کاربران سازمانی، سایر دارایی‌ها و به دست آوردن پایداری در محیط های سازمانی است.

حملات علیه VPN و سایر خدمات

در اواسط آوریل 2024، Cisco Talos هشداری در مورد افزایش جهانی حملات brute-force علیه سرویس‌های VPN، رابط‌های احراز هویت برنامه‌های وب و سرویس‌های SSH منتشر کرد دستگاه‌هایی که در این حملات مورد هدف قرار گرفته‌اند، دستگاه‌های Cisco، Check Point، Fortinet و Sonicwall (VPN) و همچنین MiktroTik، Draytek و Ubiquiti بودند.

تلاش برای هک و نفوذ از آدرس‌های IP مرتبط با سرویس‌های پراکسی انجام می‌شد و ترکیبی از نام‌های کاربری و رمزهای عبور رایج، مانند “Passw0rd”, “qwerty”, “test123”, و غیره را امتحان می‌کردند.

نام های کاربری استفاده شده در یکی از چندین دسته زیر قرار می گیرند:

• حروف اول نام + نام خانوادگی، به عنوان مثال "cwilliams"، "jgarcia"، "msmith"
• نام‌های رایج مانند مری، برایان، لئون و غیره.
• کلمات مرتبط با شغل/نوع سرویس: "test.user"، "superadmin"، "cloud"، "ftpadmin"، "backupuser"، "vpn" و غیره.

Check Point اکنون می‌گوید «ما حملات برای دسترسی غیرمجاز به VPN‌های مشتریان Check Point را رصد کرده‌ایم تا 24 مه 2024 تعداد کمی تلاش برای ورود به سیستم با استفاده از حساب‌های محلی VPN قدیمی شناسایی کردیم که با روش احراز هویت فقط با رمز عبور بوده است.

پیشگیری از حمله

خبر خوب این است که با انجام اقدامات زیر این حملات را می توان به راحتی خنثی کرد:

• غیرفعال کردن حساب‌های محلی (در صورت عدم استفاده)
• افزودن یک لایه دیگر احراز هویت (به عنوان مثال، سرتیفیکیت‌ها)
• نصب یک Hotfix که کاربران داخلی را از ورود به Remote Access VPN با رمز عبور به عنوان تنها عامل احراز هویت مسدود می کند.

شرکت چک پوینت: «احراز هویت فقط با رمز عبور روشی نامطلوب برای اطمینان از بالاترین سطوح امنیت در نظر گرفته می‌شود، و توصیه می‌کنیم هنگام ورود به زیرساخت شبکه به آن اعتماد نکنید» و درمورد چگونگی بهبود امنیت VPN و بررسی هرگونه تلاش ناموفق برای دسترسی غیرمجاز توصیه‌هایی را ارائه کرد.

محققان ESET تحقیقات خود را در مورد یکی از پیشرفته ترین کمپین‌های بدافزار سمت سرور منتشر کردند که هنوز در حال رشد است و صدها هزار سرور در معرض خطر را در حملات حداقل 15 ساله خود دیده است گروه Ebury و بات‌نت در طول سال‌ها در انتشار هرزنامه‌ها، هدایت ترافیک وب و سرقت اعتبار نقش داشته‌اند در سال‌های اخیر آنها به سرقت کارت‌های اعتباری و ارزهای دیجیتال دست زده اند.

Ebury به عنوان یک درب پشتی برای به خطر انداختن تقریباً 400000 سرور Linux، FreeBSD و OpenBSD استفاده شده است در بسیاری از موارد، اپراتورهای Ebury می‌توانند به سرورهای بزرگ ISPها و ارائه‌دهندگان میزبانی معروف دسترسی کامل داشته باشند Ebury که حداقل از سال 2009 فعال است، یک درب پشتی OpenSSH و دزد اعتبار است برای استقرار بدافزار اضافی برای کسب درآمد از بات‌نت (مانند ماژول‌ها برای تغییر مسیر ترافیک وب)، ترافیک پروکسی برای هرزنامه، انجام حملات دشمن در وسط (AitM) و میزبانی که از زیرساخت‌های مخرب پشتیبانی می‌کند استفاده می‌شود در حملات AitM، ESET بیش از 200 هدف را در بیش از 75 شبکه در 34 کشور بین فوریه 2022 و مه 2023 مشاهده کرده است.

اپراتورهای آن از بات نت Ebury برای سرقت کیف پول ارزهای دیجیتال، اعتبارنامه‌ها و جزئیات کارت اعتباری استفاده کرده اند. ESET خانواده‌های بدافزار جدیدی را کشف کرده است که توسط این باند برای منافع مالی ایجاد و مستقر شده‌اند، از جمله ماژول‌های آپاچی و یک ماژول هسته برای هدایت ترافیک وب اپراتورهای Ebury همچنین از آسیب‌پذیری‌های روز صفر در نرم‌افزار سرپرست برای به خطر انداختن سرورها به صورت انبوه استفاده کردند پس از به خطر افتادن یک سیستم، چندین جزئیات استخراج می شوند با استفاده از رمزهای عبور و کلیدهای شناخته شده به دست آمده در آن سیستم، اعتبارنامه ها مجدداً برای ورود به سیستم های مرتبط مورد استفاده قرار می گیرند هر نسخه اصلی Ebury تغییرات مهم، ویژگی های جدید و تکنیک های مبهم سازی را معرفی می کند.

ما موارد مستندی داریم که زیرساخت ارائه دهندگان هاست توسط Ebury به خطر افتاده است در این موارد، ما شاهد استقرار Ebury بر روی سرورهایی هستیم که بدون هیچ هشداری به اجاره کنندگان توسط ارائه دهندگان اجاره شده‌اند، این منجر به مواردی شد که مهاجمین Ebury توانستند هزاران سرور را در یک زمان به خطر بیندازند هیچ مرز جغرافیایی برای Ebury وجود ندارد تقریباً در همه کشورهای جهان سرورهایی با Ebury در خطر هستند هر زمان که یک  سرور در معرض خطر قرار می گرفت، منجر به ایجاد تعداد زیادی سرور در معرض خطر در همان مراکز داده می شد قربانیان شامل دانشگاه ها، شرکت های کوچک و بزرگ، ارائه دهندگان خدمات اینترنت، معامله گران ارزهای دیجیتال، گره های خروج Tor، ارائه دهندگان میزبانی مشترک و ارائه دهندگان سرور اختصاصی هستند.

در اواخر سال 2019، زیرساخت یک ثبت کننده دامنه بزرگ و محبوب مستقر در ایالات متحده و ارائه دهنده میزبانی وب به خطر افتاد. در مجموع، تقریباً 2500 سرور فیزیکی و 60000 سرور مجازی توسط مهاجمان در معرض خطر قرار گرفتند. اگر نگوییم همه، بخش بسیار بزرگی از این سرورها بین چندین کاربر به اشتراک گذاشته می شود تا وب سایت های بیش از 1.5 میلیون حساب را میزبانی کند. در یک حادثه دیگر، در سال 2023، در مجموع 70000 سرور از آن ارائه دهنده میزبانی توسط Ebury در معرض خطر قرار گرفت. Kernel.org، میزبان کد منبع هسته لینوکس، قربانی Ebury نیز شده بود.

Ebury یک تهدید جدی و یک چالش برای جامعه امنیتی لینوکس است هیچ راه حل ساده ای وجود ندارد که Ebury را بی اثر کند، اما تعدادی از اقدامات کاهشی را می توان برای به حداقل رساندن گسترش و تأثیر آن اعمال کرد نکته ای که باید بدانیم این است که این فقط برای سازمان ها یا افرادی اتفاق نمی افتد که کمتر به امنیت اهمیت می دهند بسیاری از افراد بسیار آگاه به فناوری و سازمان‌های بزرگ در میان لیست قربانیان قرار دارند.»

مکنزی جکسون، توسعه‌دهنده و مدافع امنیت در GitGuardian، هفته گذشته در شهر Zagreb به حضار گفت: «هوش مصنوعی، در ابتدایی‌ترین سطح به مهاجمان مخرب توانایی یک ابرقدرت را داده است.
از زمان معرفی ChatGPT در نوامبر 2022، تاثیرهوش مصنوعی در افزایش حملات فیشینگ، SMS phishing و ویشینگ (فیشینگ تلفنی) توسط این ابر قدرت‌ها به چشم می‌خورد. و همچنین (large language model) LLM های مخربی مانند FraudGPT، WormGPT، DarkBARD و White Rabbit وجود دارند که به عوامل تهدید اجازه می‌دهند کد مخرب بنویسند، صفحات و پیام های فیشینگ تولید کنند، نشت‌ها و آسیب پذیری‌ها را شناسایی کنند، ابزارهای هک ایجاد کنند و موارد دیگر.... . هوش مصنوعی لزوماً حملات را پیچیده‌تر نکرده است، اما به گفته او حملات سایبری را برای تعداد بیشتری از مردم در دسترس‌ قرار داده است.

حملات مبتنی بر هوش مصنوعی

تصور انواع حملات مبتنی بر هوش مصنوعی که آینده برای ما در نظر گرفته غیرممکن است اما خی از حملات حال حاضر را  می‌توانیم تشریح کنیم. یکی از آنها حمله تزریق سریع علیه یک دستیار ایمیل مبتنی بر ChatGPT است که ممکن است به مهاجم اجازه دهد تا دستیار را برای اجرای اقداماتی مانند حذف همه ایمیل ها یا ارسال آنها به مهاجم دستکاری کند جکسون با الهام از یک پرس و جو که منجر به اختراع کامل بسته نرم افزاری توسط ChatGPT شد، جکسون همچنین اظهار داشت که یک مهاجم ممکن است با ایجاد بسته های مملو از بدافزار که بسیاری از توسعه دهندگان در جستجوی آن هستند در حملات خود استفاده کند.

تهدیدات کنونی
در حال حاضر با تهدیدهای بیشتری روبرو هستیم و یکی از آنها نشت داده‌های حساس است از آنجایی که مردم اغلب داده‌های حساس را در پیام‌ها درج می‌کنند، تاریخچه چت یک هدف جذاب برای مجرمان سایبری است متأسفانه، سیستم‌ها برای ایمن کردن داده‌ها طراحی نشده‌اند مواردی از ChatGTP وجود دارد که سابقه چت کاربران و حتی داده‌های شخصی و صورت‌ حساب را فاش کرده است همچنین، هنگامی که داده‌ها در سیستم‌ها وارد می‌شوند، می‌توانند در پایگاه‌های داده‌های مختلف «گسترش» پیدا کنند و نگهداری آن را دشوار می‌کند. اساسا، داده‌های وارد شده به سیستم‌های دارای هوش مصنوعی ممکن است برای همیشه در پلتفرم‌های مختلف قابل دسترسی باقی بمانند.

حتی اگر تاریخچه چت را غیرفعال کنید، هیچ تضمینی وجود ندارد که داده ها در جایی ذخیره نشوند ممکن است تصور شود که راه حل واضح ممنوعیت استفاده از LLM در محیط های تجاری است، اما این گزینه دارای اشکالات بسیار زیادی است کسانی که مجاز به استفاده از LLM برای کار (به ویژه در حوزه فناوری) نیستند، احتمالاً از توانایی های خود عقب می‌مانند ثانیاً، افراد گزینه‌های دیگری (VPN، سیستم‌های مختلف و غیره) را جستجو کرده و پیدا می‌کنند که به آنها اجازه می‌دهد از LLM در داخل شرکت‌ها استفاده کنند این کار به طور بالقوه می‌تواند درها را به روی حملات مهم دیگری برای سازمان‌ها باز کند این بدان معناست که LLM هنوز بخشی از سطح حمله سازمان است اما اکنون نامرئی است.

چگونه از سازمان خود محافظت کنیم؟
وقتی صحبت از محافظت از یک سازمان در برابر خطرات مرتبط با استفاده از هوش مصنوعی می شود، ما واقعاً باید به اصول اولیه امنیتی بازگردیم به افراد باید ابزارهای مناسب برای شغلشان داده شود، اما باید به آنها آموزش داده شود که اهمیت استفاده ایمن از LLM را درک کنند.

همچنین نکات ذیل توصیه می‌شود:

• حفاظت‌های فیشینگ را در جای خود قرار دهید.
• برای جلوگیری از باج گیری، به صورت مستمر نسخه پشتیبان تهیه کنید.
• مطمئن شوید که PII برای کارمندان قابل دسترسی نیست.
• از ذخیره اسناد محرمانه در شبکه برای جلوگیری از نشت اطلاعات خودداری کنید.
• از ابزارهای تجزیه و تحلیل ترکیب نرم افزار (SCA) برای جلوگیری از سوء استفاده از هوش مصنوعی استفاده کنید.
•  پیاده سازی LLM های دوگانه، همانطور که توسط برنامه نویس Simon Willison پیشنهاد شده است، ممکن است ایده خوبی باشد.

علیرغم خطرات گفته شده، هوش مصنوعی آنقدر ارزشمند است که نمی توان از آن فاصله گرفت پیش‌بینی می‌شود شرکت‌ها و استارت‌آپ‌هایی که از مجموعه ابزارهای هوش مصنوعی استفاده می‌کنند، منجر به نقض احتمالی داده‌ها و حملات زنجیره‌ای شود این حوادث ممکن است نیاز به قوانین بهبود یافته، ابزارهای بهتر، تحقیقات و درک مفاهیم هوش مصنوعی را که در حال حاضر به دلیل تکامل سریع آن وجود ندارد، ایجاد کند همگام شدن با آن به یک چالش تبدیل شده است.

محققان Securonix هشدار می‌دهند هکرها سرورهای پایگاه داده MS SQL را مجبور به دریافت باج‌افزار Mimic می‌کنند.

درباره باج افزار Mimic

باج افزار Mimic برای اولین بار در ژوئن 2022 مشاهده شد و در ژانویه 2023 توسط محققان Trend Micro مورد تجزیه و تحلیل قرار گرفت.

از APIهای متعلق به موتور جستجو برای جستجوی فایل‌هایی که باید در ویندوز رمزگذاری شوند سوء استفاده می‌کند و توانایی حذف کپی‌ها، توقف فرآیندها و سرویس‌ها (مانند Windows Defender)، خارج کردن درایوهای مجازی و موارد دیگر را دارد فایل های رمزگذاری شده پسوند فایل .QUIETPLACE را دریافت می‌کنند.

از تجزیه و تحلیل‌ها به نظر می‌رسد برخی از بخش‌های کد مبتنی بر باج‌افزار Conti است که در مارس 2022 فاش شد و دارای شباهت‌های متعددی با آن است برای مثال، شمارش تمام حالت‌های رمزگذاری برای Mimic و Conti یک عدد صحیح را به اشتراک می‌گذارد محققان Trend Micro خاطرنشان کردند که MIMIC کاربران روسی و انگلیسی زبان را هدف قرار می دهد.

کمپین تهدیدهای آنالیز شده

در این کمپین اخیر هکرها موفق شدند از طریق حملات brute force به سرورهای MS SQL دسترسی پیدا کنند هنگامی که یک حساب مدیر در معرض خطر قرار می‌گیرد، از رویه xp_cmdshell برای اجرای دستورات استفاده می‌کنند سپس ابزار Cobalt Strike یک ابزار دسترسی از راه دور تجاری می‌باشد را برای اجرای کد و همچنین ابزار دسترسی از راه دور AnyDesk را مستقر کردند.

هکرها با ایجاد یک اکانت کاربری و افزودن آن به گروه "مدیران" ماندگاری پیدا می کنند آنها اقدام به کشف سیستم کردند و در نهایت با استفاده از AnyDesk باج افزار را مستقر کردند محققان Securonix خاطرنشان کردند: "جدول زمانی رویدادها نشان می‌دهد حدود یک ماه از استقرار باج‌افزار Mimic در دامنه قربانی گذشته است." به نظر می‌رسد هکرها انگیزه مالی داشته و کشورهای آمریکا، اتحادیه اروپا و LATAM را هدف قرار داده‌اند.

سرورهای MS SQL تحت حمله

در آخرین کمپین تهدیدهای آنالیز شده، چیزی که محققان Securonix در سال گذشته مشاهده کردند، باج‌افزار Mimic سرورهای MS SQL را هدف قرار دادند در کمپین دیگری که توسط محققان در اوایل سال 2020 ثبت شد، مهاجمان از سرورهای MS SQL دارای امنیت ضعیف برای نصب ماینرهای ارزهای دیجیتال Vollar و Monero استفاده کردند.