‫ ilam_heydari بلاگ

 یک عملیات هماهنگ بین‌المللی با مشارکت آژانس‌های مجری قانون از 40 کشور جهان منجر به دستگیری بیش از 5500 فرد مرتبط با جرایم مالی و مصادره بیش از 400 میلیون دلار دارایی مجازی و ارزهای دولتی شد.
 

جزئیات عملیات HAECHI V

عملیات پنج ماهه HAECHI V (ژوئیه - نوامبر 2024) هفت نوع کلاهبرداری سایبری را هدف قرار داد: فیشینگ صوتی، کلاهبرداری احساسی (برای فریب کاربران)، کلاهبرداری آنلاین، کلاهبرداری از سرمایه‌گذاران، قمار آنلاین غیرقانونی، کلاهبرداری ارز دیجیتال‌ و کلاهبرداری در تجارت الکترونیک.

به عنوان بخشی از این عملیات، مقامات کره‌ای همراه با مقامات پکن با موفقیت یک سندیکای فیشینگ صوتی گسترده را که مسئول خسارات مالی بالغ بر 1.1 میلیارد دلار بود و بیش از 1900 قربانی را تحت تأثیر قرار داد، منحل کردند روش کار پیچیده این سازمان شامل جلوه دادن به عنوان مقامات مجری قانون و استفاده از هویت جعلی بود این عملیات منجر به دستگیری 27 نفر از اعضای گروه جنایتکار سازمان یافته و 19 نفر پس از آن متهم شدند.

«در حالی که دستگیری 5500 نفر قابل توجه است، این گروه‌ها به جای انجام حملات بزرگ با تعداد کمتر مانند پرداخت‌های سنگین باج‌افزار، که ممکن است اهداف خاص با مبلغ 100،000 دلار را هدف قرار دهد، عملیات‌هایی با مقیاس بزرگ و حجم بالایی از قربانیان با پرداخت‌های کوچک‌تر 1000 دلار هدف قرار می‌دادند که پس ازحملات مبالغ جمع میشد. توبی لوئیس، رئیس جهانی تحلیل تهدید در Darktrace، گفت: کلاهبرداری‌های عاشقانه در حوزه ارزهای دیجیتال نشان می‌دهد که مجرمان مهندسی اجتماعی کلاسیک را برای عصر رمزنگاری تطبیق می‌دهند یعنی ترکیب دستکاری احساسی با پیچیدگی ارزهای دیجیتال برای فریب قربانیان برای اعطای دسترسی به حساب.

کلاهبرداری تأیید رمز USDT

INTERPOL همچنین در طول عملیات HAECHI V یک اعلامیه بنفش صادر کرد تا به کشورها در مورد روش کلاهبرداری ارزهای دیجیتال در حال ظهور شامل استیبل کوین هشدار دهد. به کشورهای عضو «کلاهبرداری تأیید رمز USDT» هشدار داده شد که به کلاهبرداران اجازه می‌دهد به کیف پول‌های ارز دیجیتال قربانیان دسترسی داشته باشند و آن‌ها را کنترل کنند.

رویکرد دو مرحله‌ای ابتدا قربانیان را با استفاده از تکنیک‌های طعمه‌گذاری عاشقانه جذب می‌کند و به آنها دستور می‌دهد تا از طریق یک پلتفرم قانونی، استیبل کوین‌های محبوب Tether (توکن‌های USDT) را خریداری کنند هنگامی که کلاهبرداران اعتماد خود را به دست آوردند، به قربانیان لینک فیشینگ ارسال می‌شود که ادعا می‌کند به آنها اجازه می‌دهد حساب‌های سرمایه‌گذاری خود را راه‌اندازی کنند که با کلیک کردن، افراد قربانی اجازه دسترسی کامل به کلاهبرداران را می‌دهند که می‌توانند بدون اطلاع فرد قربانی، وجوه را از کیف پول خود منتقل کنند.

نوامبر 2024 مایکروسافت 89 مشکل امنیتی جدید را در محصولات مختلف خود رفع کرده است که دو مورد از آنها (CVE-2024-43451، CVE-2024-49039) دائما توسط مهاجمان مورد سوء‌استفاده قرار می‌گرفته‌اند.

آسیب‌پذیری‌های مورد سوء‌استفاده (CVE-2024-43451، CVE-2024-49039)

CVE-2024-43451 یک آسیب‌پذیری است که به مهاجمان اجازه می‌دهد با افشای هش NTLMv2 کاربر، که حاوی اعتبار احراز هویت آنها است، امتیازات خود را در ماشین‌های Windows و Windows Server هدفمند افزایش دهند سپس مهاجمان می‌توانند از هش برای احراز هویت به عنوان کاربر با استفاده از تکنیک هک به نام پاس دادن هش استفاده کنند.

ساتنام نارنگ، مهندس ارشد تحقیقاتی کارکنان در Tenable به Help Net Security گفت: «از نظر من، این سومین آسیب‌پذیری است که می‌تواند هش NTLMv2 کاربر را که در سال 2024 در طبیعت مورد سوء‌استفاده قرار گرفته است، افشا کند.

اگرچه ما در حال حاضر بینشی در مورد بهره‌برداری درونی از CVE-2024-43451 نداریم، یک چیز مسلم است: مهاجمان همچنان در مورد کشف و بهره‌برداری از آسیب‌پذیری‌های روز صفر که می‌توانند هش‌های NTLMv2 را فاش کنند، مصمم هستند. زیرا می‌توان از آنها برای احراز هویت در سیستم‌ها استفاده کرد و به طور بالقوه به صورت جانبی در یک شبکه برای دسترسی به سیستم‌های دیگر حرکت کرد.

تعامل کاربر - به عنوان مثال، انتخاب یا بازرسی فایل مخربی که اکسپلویت را در خود نگه می‌دارد، برای ایجاد آسیب‌پذیری لازم است، اما بدیهی است که این یک مانع واقعی برای مهاجمان نیست CVE-2024-49039 یک آسیب‌پذیری در Windows Task Scheduler است که برای بالا بردن امتیازات سیستم‌های نقض شده نیز مورد سوء‌استفاده قرار می‌گیرد.

«این آسیب به یک AppContainer اجازه فرار می‌دهد همچنین به کاربر با امتیاز پایین اجازه می‌دهد تا کد را با یکپارچگی متوسط اجرا کند. داستین چایلدز، رئیس آگاهی از تهدیدات در Trend Micro's Zero Day Initiative می‌گوید: هنوز باید بتوانید کد را روی سیستم اجرا کنید تا این اتفاق بیفتد، اما فرار از کانتینر (Container) همچنان بسیار جالب است زیرا به ندرت در طبیعت دیده می‌شود.

نارنگ افزود: "یک مهاجم پس از سوء‌استفاده، می‌تواند امتیازات خود را افزایش دهد و به منابعی که قبلا در دسترس آنها نبود و همچنین کدهایی مانند توابع فراخوانی از راه دور (RPC) دسترسی پیدا کند." ما اطلاعات زیادی در مورد بهره‌برداری از این نقص نداریم، اگرچه می‌دانیم که این نقص به افراد متعددی از جمله اعضای گروه تحلیل تهدیدات گوگل (TAG) نسبت داده می‌شود می‌توانیم استنباط کنیم برخی از تهدیدهای پایدار پیشرفته (APT) یا فعالیت‌های همسو با دولت در ارتباط با بهره‌برداری روز صفر از این نقص وجود دارد.

سایر آسیب‌پذیری‌های وصله شده 

CVE-2024-43639 مورد جالبی است: مایکروسافت می‌گوید: «یک مهاجم تأیید نشده می‌تواند از یک برنامه کاربردی ساخته‌شده ویژه برای استفاده از آسیب‌پذیری پروتکل رمزنگاری در Windows Kerberos برای اجرای کد از راه دور در برابر هدف استفاده کند».

رشته برداری CVSS مرتبط با این آسیب‌پذیری می‌گوید هیچ اقدام کاربر برای بهره‌برداری از آن لازم نیست Childs خاطرنشان کرد: «از آنجایی که Kerberos با امتیازات بالا اجرا می‌شود، این باعث می‌شود که این یک باگ قابل حل بین سیستم‌های آسیب‌دیده باشد.

CVE 2024-5535 - یک باگ در OpenSSL که در ژوئن 2024 فاش شد  در Microsoft Defender برای Endpoint وصله شده است.

«استفاده از این آسیب‌پذیری مستلزم آن است که مهاجم یک پیوند مخرب را از طریق ایمیل برای قربانی ارسال کند، یا اینکه کاربر را متقاعد کند که روی پیوند کلیک کند، در بدترین حالت حمله ایمیل، مهاجم می‌تواند یک ایمیل ساخته‌شده خاص را بدون نیاز به باز کردن، خواندن یا کلیک بر روی پیوند توسط قربانی برای کاربر ارسال کند مایکروسافت گفت که این امر می‌تواند منجر به اجرای کد از راه دور توسط مهاجم بر روی دستگاه قربانی شود، اما ارزیابی کرد که احتمال بهره‌برداری کمتر است.

غول شرکت مالی، به کسانی که آسیب دیده‌اند خدمات نظارت بر هویت رایگان ارائه می‌دهد شرکت Fidelity Investments، ابتلا به نقض داده‌ها را تایید کرده است که در آن کلاهبرداران اطلاعات حساس ده‌ها هزار نفر را سرقت کرده‌اند.

این شرکت این خبر را از طریق یک اخطار نقض ثبت شده در دفتر دادستان کل مین فاش کرد و خاطرنشان کرد که بین 17 تا 19 اوت 2024، عوامل تهدید از دو حساب جعلی در پوشش "مشتری تازه تاسیس" برای دسترسی به زیرساخت شرکت استفاده کرده‌اند.

این شرکت در اطلاعیه گفت: "ما این فعالیت را در 19 اوت شناسایی کردیم و بلافاصله اقداماتی را برای پایان دادن به دسترسی انجام دادیم." وی افزود: «تحقیقات به سرعت با کمک کارشناسان امنیتی خارجی آغاز شد». تحقیقات نشان داد که کلاهبرداران اطلاعات «مربوط به زیرمجموعه کوچکی» از مشتریان Fidelity را به دست آورده‌اند و به حساب‌های کسی دسترسی نداشته‌اند.

نظارت بر سرقت هویت

این زیر مجموعه کوچک دقیقاً 77099 مشتری دارد که 337 نفر از ساکنان مین هستند. در اطلاعیه جزئیاتی از نوع اطلاعات دزدیده شده ذکر نشده است، اما TechCrunch یک پرونده جداگانه نزد دادستان کل ماساچوست پیدا کرد که در آن گفته شده بود هکرها شماره امنیت اجتماعی و گواهینامه رانندگی افراد را به دست آورده‌اند اطلاعاتی که از طریق آن می‌توان برای فیشینگ، سرقت هویت یا حتی کلاهبرداری اقدام کرد.

برای دسترسی به داده‌ها، کلاهبرداران ظاهراً دو حساب مشتری ایجاد کرده‌اند و از آنها برای ارسال درخواست‌های جعلی به یک پایگاه داده داخلی استفاده کرده‌اند که تصاویری از اسناد متعلق به مشتریان Fidelity را در خود داشت.

تا‌کنون، هیچ مدرکی مبنی بر سوء‌استفاده از داده‌ها وجود نداشته است، اما Fidelity هیچ شانسی را نمی‌پذیرد به همه افراد آسیب دیده به مدت 24 ماه خدمات نظارت بر اعتبار و بازیابی هویت به صورت رایگان ارائه می‌کند.

Fidelity Investments یک شرکت خدمات مالی بزرگ است که خدمات مدیریت سرمایه‌گذاری، برنامه‌ریزی بازنشستگی، کارگزاری و مدیریت ثروت را ارائه می‌دهد این شرکت بیش از 4 تریلیون دلار دارایی را برای بیش از 40 میلیون سرمایه‌گذار، مؤسسه و مشاور مالی فردی مدیریت می‌کند.

هکرهای نظامی روسیه با نام واحد 29155 زیرساخت‌های حیاتی ایالات متحده و سطح جهان را هدف قرار داده‌اند این واحد که به‌ خاطر عملیات سایبری پیچیده‌اش شناخته می‌شود، با حملاتی مرتبط بوده است که هدف آنها مختل کردن و به خطر انداختن بخش‌های حیاتی است.
 

پیامدهای این نفوذهای سایبری گسترده است و بر خدمات دولتی، مؤسسات مالی، سیستم‌های حمل‌ونقل، شبکه‌های انرژی و امکانات بهداشتی تأثیر می‌گذارد.

تهدید واحد 29155

واحد 29155، یک گروه مخفی در آژانس اطلاعات نظامی روسیه (GRU)، به دلیل فعالیت‌های سایبری تهاجمی خود تحت نظارت قرار گرفته است به گفته FBI، NSA و CISA، این واحد عملیات خود را فراتر از جاسوسی سنتی گسترش داده است و حداقل از سال 2020 تاکتیک‌های سایبری تهاجمی را شامل می‌شود اهداف آنها از سرقت اطلاعات برای جاسوسی تا آسیب رساندن به شهرت و خرابکاری سیستماتیک از طریق تخریب داده‌ها متغیر است. واحد 29155 در کمپین‌های سایبری مختلفی از جمله تخریب وب سایت، اسکن زیرساخت، استخراج داده‌ها و عملیات نشت داده‌ها شرکت داشته است این اقدامات تعداد زیادی از اعضا و کشورهای ناتو را در سراسر اروپا، آمریکای لاتین و آسیای مرکزی هدف قرار داده است.

این گروه با بیش از 14000 مورد اسکن دامنه در حداقل 26 عضو ناتو، بر ایجاد اختلال در تلاش‌ها برای کمک به اوکراین متمرکز است واحد 29155 از طیف وسیعی از ابزارهای در دسترس عموم برای شناسایی و بهره‌برداری استفاده می‌کند که عبارتند از Acunetix، Nmap، Amass و Shodan و غیره از این ابزارها برای شناسایی آسیب‌پذیری‌ها و جمع‌آوری اطلاعات در شبکه‌های هدف استفاده می‌شود. این گروه همچنین از VPN‌ها برای ناشناس کردن فعالیت‌های خود استفاده می‌کند و برای انجام عملیات خود به بازیگران غیر GRU از جمله مجرمان سایبری متکی است.

آسیب‌پذیری‌های مورد سوء‌استفاده

مشاهده شده است که هکرها از چندین آسیب‌پذیری و قرار گرفتن در معرض مشترک (CVE) برای دسترسی اولیه سوء‌استفاده می‌کنند CVE‌های قابل توجه عبارتند از:

CVE-2020-1472: آسیب‌پذیری در سرور مایکروسافت ویندوز.

CVE-2021-26084: آسیب‌پذیری Atlassian Confluence Server و Data Center.

CVE-2021-3156: افزایش امتیاز در سیستم‌های ردهت.

CVE-2021-4034: یکی دیگر از نقص‌های افزایش امتیاز در سیستم‌های Red Hat.

CVE-2022-27666: نقص سرریز بافر هیپ در سیستم‌های Red Hat.

این آسیب‌پذیری‌ها برای دسترسی غیرمجاز و حرکت جانبی در شبکه‌های قربانی مورد سوء‌استفاده قرار گرفته‌اند. در یک نمونه مستند، واحد 29155 از آسیب‌پذیری‌های CVE-2021-33044 و CVE-2021-33045 در دوربین‌های IP داهوا (Dahua) سوء استفاده کرد. هکرها احراز هویت را دور زدند و به آنها اجازه داده شد تصاویر را استخراج کنند و تنظیمات پیکربندی و اعتبارسنجی را در متن ساده خالی کنند این توانایی گروه را برای هدف قرار دادن دستگاه‌های اینترنت اشیا (IoT) و بهره‌برداری از آنها برای نفوذ بیشتر به شبکه برجسته می‌کند.

مثال کد: بهره برداری از CVE-2021-33044

# Exploit script for CVE-2021-33044
echo "Exploiting Dahua IP Camera vulnerability..."
curl -X POST "http://<target-ip>/cgi-bin/configManager.cgi?action=getConfig&name=Network" \
     --data "user=admin&password=admin"

این اسکریپت یک تلاش اساسی برای بهره‌برداری با استفاده از یک درخواست POST برای استخراج تنظیمات شبکه از یک دوربین IP آسیب پذیر Dahua را نشان می‌دهد.

کنش و واکنش

برای کاهش این تهدیدات، به سازمان‌ها توصیه می‌شود اقدامات امنیتی سایبری قوی را اجرا کنند که شامل اصلاح منظم آسیب‌پذیری‌های نرم‌افزار، استفاده از سیستم‌های تشخیص نفوذ، و انجام ممیزی‌های امنیتی کامل است احراز هویت چند عاملی و تقسیم‌بندی شبکه نیز می‌تواند به کاهش خطر دسترسی غیرمجاز کمک کند صنعت امنیت سایبری نقش مهمی در ردیابی و کاهش این تهدیدات دارد شرکت‌هایی مانند مایکروسافت و CrowdStrike در شناسایی و نسبت دادن فعالیت‌های واحد 29155 نقش مهمی داشته‌اند همکاری آنها با سازمان های دولتی به توسعه اقدامات متقابل موثر و به اشتراک گذاری اطلاعات تهدید کمک می‌کند.

فعالیت‌های هکرهای نظامی روسیه تهدیدی جدی برای امنیت جهانی است همانطور که واحد 29155 به تکامل تاکتیک‌های خود ادامه می‌دهد، کشورها و سازمان‌ها باید در تلاش‌های امنیت سایبری خود هوشیار و فعال باشند همکاری مداوم بین سازمان‌های دولتی و صنعت امنیت سایبری در مبارزه با این تهدیدات سایبری پیچیده و حفاظت از زیرساخت‌های حیاتی در سراسر جهان حیاتی است.