‫ khozestan_salamat بلاگ

اقدام قانونی مایکروسافت علیه شرکت Storm-2139 علیه آسیب پذیری Azure

مایکروسافت Storm-2139 را افشا کرد، یک شبکه جرایم سایبری که از هوش مصنوعی Azure از طریق LLMjacking بهره برداری می کند.

مایکروسافت اقدام قانونی علیه یک شبکه مجرم سایبری به نام Storm-2139 انجام داده است که مسئول سوء استفاده از آسیب‌پذیری‌ها در سرویس‌های هوش مصنوعی Azure است. این شرکت علناً چهار نفر را در این عملیات غیرقانونی شناسایی و محکوم کرد.

طبق گزارش رسمی مایکروسافت که به طور انحصاری با Hackread.com به اشتراک گذاشته شده است، این افراد از نام‌های مستعار آنلاین مختلف برای اجرای طرحی به نام LLMjacking استفاده می‌کنند. این عمل ربودن مدل های زبان بزرگ (LLM) با سرقت کلیدهای API (رابط برنامه نویسی برنامه) است که به عنوان اعتبار دیجیتال برای دسترسی به خدمات هوش مصنوعی عمل می کند. در صورت به دست آوردن، کلیدهای API می توانند به مجرمان سایبری اجازه دهند تا LLM ها را برای تولید محتوای مضر دستکاری کنند.

فعالیت اصلی Storm-2139 شامل استفاده از اعتبارنامه‌های مشتری سرقت شده، به دست آمده از منابع عمومی، برای دسترسی غیرمجاز به پلتفرم‌های هوش مصنوعی، اصلاح قابلیت‌های این سرویس‌ها، دور زدن اقدامات ایمنی داخلی، و سپس فروش مجدد دسترسی به سایر عوامل مخرب بود. آنها دستورالعمل های دقیقی را در مورد چگونگی تولید محتوای غیرقانونی، از جمله تصاویر صمیمی غیرمجاز و مطالب صریح جنسی، که اغلب افراد مشهور را هدف قرار می دهند، ارائه کردند.

واحد جرایم دیجیتال مایکروسافت (DCU) در دسامبر 2024 اقدامات قانونی را آغاز کرد و در ابتدا ده فرد ناشناس را هدف قرار داد. از طریق تحقیقات بعدی، آنها اعضای کلیدی Storm-2139 را شناسایی کردند. این شبکه از طریق یک مدل ساختاریافته عمل می‌کرد که سازندگان ابزارهای مخرب را توسعه می‌دادند، ارائه‌دهندگان آن‌ها را اصلاح و توزیع می‌کردند و کاربران محتوای توهین‌آمیز را تولید می‌کردند.

Storm-2139 به سه دسته اصلی سازماندهی شده است: سازندگان، ارائه دهندگان و کاربران. سازندگان ابزارهای غیرقانونی را توسعه دادند که امکان سوء استفاده از خدمات تولید شده توسط هوش مصنوعی را فراهم می کرد. سپس ارائه دهندگان این ابزارها را اغلب با سطوح مختلف خدمات و پرداخت برای کاربران نهایی اصلاح و عرضه کردند. در نهایت، کاربران از این ابزارها برای تولید محتوای مصنوعی متخلف استفاده کردند.» پست وبلاگ مایکروسافت نشان داد.
اقدامات قانونی انجام شده توسط مایکروسافت، از جمله توقیف یک وب سایت کلیدی، منجر به اختلال قابل توجهی در شبکه شد. اعضای گروه با هشدار، درگیر شدن در چت آنلاین، تلاش برای شناسایی سایر اعضا، و حتی متوسل شدن به وکیل حقوقی مایکروسافت واکنش نشان دادند و کارآمدی استراتژی مایکروسافت در خنثی کردن عملیات جنایی را برجسته کردند.

مایکروسافت یک استراتژی حقوقی چند وجهی را به کار گرفت و دعوی حقوقی مدنی را برای مختل کردن عملیات شبکه و پیگیری ارجاع جنایی به سازمان های مجری قانون آغاز کرد. هدف این رویکرد هم توقف تهدید فوری و هم ایجاد یک عامل بازدارنده در برابر سوء استفاده از هوش مصنوعی در آینده بود.

این شرکت همچنین در حال رسیدگی به موضوع سوء استفاده از هوش مصنوعی برای تولید محتوای مضر، اجرای نرده‌های محافظ سخت‌گیرانه و توسعه روش‌های جدید برای محافظت از کاربران است. همچنین از نوسازی قوانین کیفری برای تجهیز مجریان قانون به ابزارهای لازم برای مبارزه با سوء استفاده از هوش مصنوعی دفاع می کند.

کارشناسان امنیتی بر اهمیت حفاظت از اعتبار قوی تر و نظارت مستمر در جلوگیری از چنین حملاتی تاکید کرده اند. رام کارمل، بنیانگذار و مدیر عامل آپونو به هکرید گفت که شرکت‌هایی که از هوش مصنوعی و ابزارهای ابری برای رشد استفاده می کنند، باید دسترسی به داده های حساس را محدود کنند تا خطرات امنیتی را کاهش دهند.

از آنجایی که سازمان‌ها ابزارهای هوش مصنوعی را برای پیشبرد رشد به کار می‌گیرند، سطح حمله خود را با برنامه‌هایی که داده‌های حساس را در خود نگه می‌دارند نیز گسترش می‌دهند. برای استفاده ایمن از هوش مصنوعی و ابر، دسترسی به سیستم‌های حساس باید بر اساس نیاز به استفاده محدود شود و فرصت‌ها را برای عوامل مخرب به حداقل برساند.

حمله 360XSS به بیش از 350 وب سایت پرمخاطب

کمپین 360XSS از Krpano XSS برای ربودن نتایج جستجو و توزیع تبلیغات هرزنامه در بیش از 350 سایت، از جمله دولت، دانشگاه‌ها و رسانه‌های خبری سوء استفاده می‌کند.
 

یک کمپین گسترده که از یک آسیب‌پذیری در چارچوب تور مجازی Krpano سوء استفاده می‌کند توسط محقق امنیت سایبری اولگ زایتسف کشف شده است. این حمله که "360XSS" نامیده شد، شامل دستکاری موتورهای جستجو و توزیع انبوه تبلیغات بود.

 Krpano یک ابزار نرم افزاری پرکاربرد است که امکان ایجاد تجربیات 360 درجه همهجانبه را فراهم می کند و به کاربران امکان می دهد تصاویر و ویدیوهای پانوراما را در یک محیط مجازی کاوش کنند.

تحقیقات Zaytsev که با Hackread.com به اشتراک گذاشته شده است، نشان داد که این حمله از یک نقص اسکریپت نویسی متقابل (XSS) منعکس شده در کتابخانه Krpano VR که به عنوان CVE-2020-24901 ردیابی شده است، استفاده می کند. این آسیب‌پذیری در یک تنظیمات پیکربندی در چارچوب Krpano (passQueryParameter) قرار داشت که به‌طور پیش‌فرض، اجازه می‌داد تا پارامترهای پرس و جو مستقیماً به پیکربندی چارچوب ارسال شوند.

این مهاجمان را قادر می سازد تا XML دلخواه را تزریق کنند که منجر به XSS منعکس شده می شود. تنظیمات پیش‌فرض این نقص را فعال کرده و منجر به بهره‌برداری گسترده تا زمان انتشار وصله‌ها شد. متأسفانه، در بسیاری از وب‌سایت‌ها، از جمله سایت توسعه‌دهنده فریم‌ورک، بدون اصلاح باقی ماند.

کشف این کمپین با یک نتیجه جستجوی غیرمنتظره برای محتوای بزرگسالان شروع شد که در دامنه یک دانشگاه معتبر ظاهر شد. تحقیقات بیشتر نشان داد که سایت از چارچوب Krpano برای تورهای مجازی استفاده می‌کند و یک پارامتر خاص در URL برای تزریق کد مخرب مورد سوء استفاده قرار می‌گیرد. این کد کاربران را به سمت تبلیغات اسپم هدایت می‌کرد که نشان‌دهنده یک حمله پیچیده فراتر از تخریب ساده وب‌سایت است.

مقیاس این کمپین با صدها وب سایت، از جمله پورتال های دولتی، مؤسسات آموزشی، رسانه های خبری و شرکت های بزرگ، قابل توجه بود. مهاجمان از آسیب‌پذیری XSS برای تزریق اسکریپت‌های مخربی استفاده کردند که نتایج موتورهای جستجو را دستکاری می‌کردند و تبلیغات هرزنامه‌ها را به بالای فهرست‌های جستجو هدایت می‌کردند. این تکنیک که به عنوان مسمومیت سئو شناخته می‌شود، به آن‌ها این امکان را می‌دهد تا از اعتبار دامنه‌های در معرض خطر برای افزایش دیده شدن تبلیغات خود استفاده کنند.

این کمپین تأثیر گسترده ای داشت و بیش از 350 وب سایت را در بخش های مختلف به خطر انداخت. این شامل پورتال‌های حساس دولتی و سایت‌های دولتی ایالتی، دانشگاه‌های بزرگ آمریکا، هتل‌های زنجیره‌ای برجسته، رسانه‌های خبری معتبر مانند CNN و Geo.tv، نمایندگی‌های خودرو و شرکت‌های Fortune 500 بود. تمرکز مهاجمان بر توزیع تبلیغات، به جای حمله مستقیم به داده های کاربران، رویکردی حساب شده را احتمالاً توسط یک گروه عرب پیشنهاد می کند.

زایتسف در پست وبلاگ خود خاطرنشان کرد: "افراد پشت این کمپین یک راز باقی مانده اند، اما از آنچه من دیده ام، بسیاری از سرنخ ها حاکی از آن است که این کمپین توسط یک گروه عرب اداره شده است - بر اساس تبلیغات، الگوها و خرده نان های تصادفی که در طول تحقیقات خود پیدا کردم."

او همچنین خاطرنشان می‌کند که تلاش‌ها برای گزارش آسیب‌پذیری به سازمان‌های آسیب‌دیده چالش‌برانگیز بود و بسیاری از آنها فاقد برنامه‌های رسمی افشا بودند. با این حال، برخی از سازمان‌ها پاسخ مثبت دادند و توسعه‌دهندگان Krpano این مشکل را با یک وصله در نسخه بعدی حل کردند. به سازمان‌هایی که از چارچوب Krpano استفاده می‌کنند توصیه می‌شود که به آخرین نسخه به‌روزرسانی شده و تنظیمات پیکربندی آسیب‌پذیر را غیرفعال کنند.

Eran Elshech، Field CTO در Seraphic Security، تأکید می‌کند که مهاجمان از بدافزار به سوء استفاده از آسیب‌پذیری‌های مرورگر و چارچوب‌های وب روی آورده‌اند. کمپین 360XSS نشان می دهد که چگونه به راحتی از یک نقص شناخته شده XSS برای به خطر انداختن سایت های قابل اعتماد، دستکاری نتایج جستجو و ربودن ویژگی های وب برای تبلیغات هرزنامه استفاده شده است.

او هشدار می دهد که مقیاس پذیری و مخفی بودن چنین حملاتی آنها را بسیار مؤثر می کند، زیرا مهاجمان با کمترین تلاش به سایت های پربازدید نفوذ می کنند و بدون دسترسی مستقیم به دستگاه های کاربر به مخاطبان زیادی دسترسی پیدا می کنند.

انتشار نوع بدافزار جدید ValleyRAT از طریق دانلودهای جعلی کروم

Morphisec یک نوع بدافزار جدید ValleyRAT را با تاکتیک‌های پیشرفته فرار، زنجیره‌های عفونت چند مرحله‌ای و روش‌های تحویل جدید سیستم‌های هدف‌گیری کشف می‌کند.
 

محققان امنیت سایبری در Morphisec Threat Lab نسخه جدیدی از بدافزار پیچیده ValleyRAT را کشف کرده‌اند که از طریق کانال‌های مختلف از جمله ایمیل‌های فیشینگ، پلت‌فرم‌های پیام‌رسانی فوری و وب‌سایت‌های در معرض خطر توزیع شده است. ValleyRAT یک بدافزار چند مرحله ای است که به گروه بدنام Silver Fox APT مرتبط است.

بر اساس تحقیقات Morphisec که با Hackread.com به اشتراک گذاشته شده است، اهداف کلیدی این کمپین افراد با ارزش بالا در سازمان ها، به ویژه افرادی که در امور مالی، حسابداری و فروش هستند، هستند و هدف سرقت داده های حساس است.

نسخه‌های قبلی ValleyRAT از اسکریپت‌های PowerShell استفاده می‌کردند که به‌عنوان نصب‌کننده‌های نرم‌افزار قانونی پنهان شده بودند، که اغلب از ربودن DLL برای تزریق بار خود به فایل‌های اجرایی امضاشده از برنامه‌هایی مانند WPS Office و حتی Firefox استفاده می‌کردند. در آگوست 2024، Hackread.com در مورد یک نسخه ValleyRAT با استفاده از کد پوسته برای تزریق اجزای بدافزار به طور مستقیم به حافظه گزارش داد.

برعکس، نسخه فعلی از یک وب‌سایت جعلی شرکت مخابراتی چینی «Karlos» (karlostclub/) برای توزیع بدافزار استفاده می‌کند که مجموعه‌ای از فایل‌ها، از جمله یک فایل اجرایی NET را دانلود می‌کند که امتیازات سرپرست را بررسی می‌کند و اجزای اضافی، از جمله یک فایل DLL را دانلود می‌کند.

محققان در این پست وبلاگ نوشتند: «جالب است که بازیگر از همان URL برای هر دو نسخه قدیمی و جدیدتر حمله خود استفاده مجدد کرد.

به گفته محققان، دانلود جعلی مرورگر کروم از anizomcom/ ناقل عفونت اولیه در زنجیره حمله است که قربانی را فریب می دهد تا بدافزار را دانلود و اجرا کند. فایل sscronet.dll که عمداً با یک شناسه با صدای قانونی نامگذاری شده است تا از مشکوک شدن جلوگیری شود، کد را به فرآیند قانونی svchost.exe تزریق می کند، به عنوان یک مانیتور عمل می کند و برای جلوگیری از تداخل با عملکرد بدافزار، هر فرآیندی را در یک لیست محرومیت از پیش تعریف شده خاتمه می دهد.

در مرحله بعد، این بدافزار از نسخه اصلاح شده Douyin (TikTok چینی) قابل اجرا برای بارگذاری جانبی DLL و یک Tier0.dll قانونی از بازی های Valve (مخصوصاً Left 4 Dead 2 و Killing Floor 2) برای اجرای کدهای پنهان در فرآیند nslookup.exe استفاده می کند. این فرآیند بار اصلی ValleyRAT را از mpclient.dat بازیابی و رمزگشایی می کند.

محموله رمزگشایی شده از کد پوسته Donut برای اجرای بدافزار در حافظه استفاده می کند و روش های سنتی تشخیص مبتنی بر دیسک را دور می زند. همچنین سعی می کند مکانیسم های امنیتی مانند AMSI و ETW را غیرفعال کند.

برای اطلاع شما، ValleyRAT یک تروجان دسترسی از راه دور مبتنی بر C ++ با عملکردهای RAT اساسی مانند دسترسی به ایستگاه پنجره WinSta0 برای تعامل صفحه نمایش، صفحه کلید و ماوس و نظارت بر صفحه نمایش قربانی است. این دارای بررسی های گسترده ضد VMware برای فرار از شناسایی در محیط های مجازی است و با سرور C2 خود با استفاده از آدرس های IP و پورت هایی که در هنگام نصب در کد آن مقدار دهی اولیه می شوند، متصل می شود.

محققان خاطرنشان کردند: «اگر بدافزار تشخیص ندهد که در داخل یک ماشین مجازی (VM) در حال اجرا است، سعی می‌کند به عنوان بخشی از بررسی ارتباط شبکه خود با baidu.com ارتباط برقرار کند.

تغییر تاکتیک‌ها/تکنیک‌های فرار گروه Silver Fox APT، پیچیدگی روزافزون حملات جدید را نشان می‌دهد. سازمان ها باید یک استراتژی امنیتی مناسب، از جمله حفاظت از نقطه پایانی سخت گیرانه تر، آموزش کارکنان و نظارت مستمر، برای کاهش خطرات اتخاذ کنند.

نحوه مخفی کردن اطلاعات حساس در عکس‌ها در ویندوز 11

اگر عکس‌های شما حاوی اطلاعات حساسی هستند که نمی‌خواهید دیگران آن‌ها را ببینند، آن قسمت‌ها را با استفاده از ابزاری که در اختیار دارید پنهان کنید. برای انجام این کار می توانید از یک برنامه داخلی یا یک برنامه شخص ثالث در رایانه شخصی ویندوز 11 خود استفاده کنید.
 

اگر می‌خواهید اطلاعات را در تصویرتان تار یا پیکسل‌سازی کنید، توجه داشته باشید که به دلایل ایمنی، ما در اینجا به آن نمی‌پردازیم. اطلاعات تار و پیکسلی را می توان پنهان کرد، در حالی که یک بلوک تک رنگ نمی تواند. این چیزی است که در زیر بر روی آن تمرکز خواهیم کرد.

پر کردن مناطق در یک عکس با رنگ های ثابت با استفاده از رنگ
اپلیکیشن Paint داخلی برای بسیاری از کاربران برای روتوش های اولیه عکس، از جمله پنهان کردن قطعات در عکس ها، ابزاری کاربردی بوده است. می‌توانید از ابزار پر کردن این برنامه برای پر کردن یک رنگ ثابت در قسمتی از عکس که می‌خواهید پنهان کنید استفاده کنید.

برای انجام این کار، File Explorer را باز کنید (ویندوز + E را فشار دهید) و محل عکس را برای ویرایش پیدا کنید. روی عکس کلیک راست کرده و Open With > Paint را انتخاب کنید. همچنین، برنامه Paint را اجرا کنید، File > Open را انتخاب کنید و عکس خود را انتخاب کنید.

وقتی عکس شما در Paint راه اندازی شد، از قسمت Colors در بالا، روی "Color 2" کلیک کنید. در پالت رنگ، رنگ ثابتی را که می‌خواهید برای پنهان کردن اطلاعات استفاده کنید، انتخاب کنید.

برای استفاده از رنگ سفارشی که قبلاً در پالت نیست، روی «ویرایش رنگ‌ها» (چرخ رنگ) کلیک کنید و رنگ مورد استفاده را انتخاب کنید. با وارد کردن کد HEX می توانید رنگی را انتخاب کنید. سپس، روی "OK" کلیک کنید.

از بخش Shapes در بالا، شکلی را که می‌خواهید برای پنهان کردن قسمت‌های عکس خود استفاده کنید، انتخاب کنید. سپس، روی عکس، شکل را طوری بکشید که اطلاعات را برای پنهان کردن بپوشاند.

رنگ، شکل را با رنگ انتخابی شما پر می کند و آن قسمت از عکس را پنهان می کند. برای اطمینان از پر شدن جامد، روی شکل کلیک راست کرده و Fill > Solid Fill را انتخاب کنید. اگر نوع پرکننده دیگری مانند مداد رنگی انتخاب کنید، برخی از قسمت‌های پشت شکل همچنان قابل مشاهده خواهند بود.

اطمینان حاصل کنید که اطلاعاتی که می خواهید پنهان کنید واقعاً در عکس پنهان است. اکنون برای ذخیره عکس به عنوان یک کپی از نسخه اصلی، از نوار منوی Paint، File > Save As را انتخاب کنید و فرمت تصویر مورد نظر را انتخاب کنید. در پنجره Save As، پوشه ای را برای ذخیره عکس انتخاب کنید، در قسمت "File Name" نامی برای عکس تایپ کنید و روی "Save" کلیک کنید.

مخفی کردن اطلاعات در عکس ها با استفاده از GIMP
GIMP یک برنامه رایگان و منبع باز است که به شما امکان ویرایش و روتوش عکس‌ها را در رایانه می دهد. برای استفاده از آن برای پنهان کردن عناصر حساس عکس های خود، سایت GIMP را راه اندازی کنید و برنامه را دانلود و بر روی رایانه شخصی خود نصب کنید.

برنامه را اجرا کنید و File > Open را انتخاب کنید یا Ctrl+O را فشار دهید. به پوشه حاوی عکس خود بروید و عکس را انتخاب کنید.

از قسمت ابزار در سمت چپ، کادر رنگ پیش زمینه (بالا) را انتخاب کنید. در پنجره Change Foreground Color که باز می شود، رنگی را که می خواهید برای پنهان کردن اطلاعات در عکس خود استفاده کنید، انتخاب کنید. سپس، روی "OK" کلیک کنید.

در بخش ابزارها در سمت چپ، روی "ابزار انتخاب مستطیل" (R را فشار دهید) یا "ابزار انتخاب بیضی" (E را فشار دهید) کلیک کنید. روی عکس خود، شکلی را بکشید که قسمتی را که می خواهید پنهان کنید، بپوشانید. روی شکل کلیک راست کرده و Edit > Fill With FG Color را انتخاب کنید (یا Ctrl+، را فشار دهید).

GIMP شکل انتخاب شده را با رنگ پیش زمینه انتخاب شده پر می کند. اکنون قسمت انتخاب شده در عکس پنهان شده است. اکنون برای ذخیره عکس به عنوان یک کپی از نسخه اصلی، از نوار منوی GIMP، File > Export As را انتخاب کنید (یا Shift+Ctrl+E را فشار دهید).

در پنجره Export Image، پوشه ای را برای ذخیره عکس ویرایش شده انتخاب کنید. روی فیلد "Name" کلیک کنید و یک نام برای عکس تایپ کنید. گزینه "Select File Type (By Extension)" را انتخاب کنید و یک قالب برای عکس خود انتخاب کنید. سپس روی «صادرات» کلیک کنید.

نقض گسترده داده‌های گروه UnitedHealth بر 190 میلیون آمریکایی تأثیر می‌گذارد

گروه UnitedHealth تایید کرده است که یک حمله باج افزاری زیرمجموعه آن Change Healthcare را در فوریه 2024 هدف قرار داده است که بر 190 میلیون آمریکایی تأثیر گذاشته است. جزئیات کلیدی، تأثیر و پیامدهای بزرگترین نقض داده های مراقبت های بهداشتی در تاریخ ایالات متحده را کشف کنید.

 گروه UnitedHealth تایید کرده است که یک حمله باج‌افزاری که شرکت تابعه آن، Change Healthcare را در فوریه 2024 هدف قرار داد، بر 190 میلیون نفر در ایالات متحده تأثیر گذاشته است.

این به طور قابل توجهی از تخمین های قبلی در حدود 100 میلیون (PDF) فراتر رفته و آن را به بزرگترین نقض داده های پزشکی در تاریخ ایالات متحده تبدیل می کند. برای اینکه ایده ای به شما بدهم، این نقض 2.5 برابر بزرگتر از نقض داده Anthem Inc. در سال 2015 است که 78.8 میلیون رکورد را فاش کرده بود.

شایان ذکر است که Change Healthcare یک بازیگر اصلی در بخش فناوری مراقبت‌های بهداشتی است و حجم قابل توجهی از داده‌های حساس بهداشتی و پزشکی، از جمله سوابق بیماران و ادعاهای مراقبت‌های بهداشتی را مدیریت می‌کند و تقریباً 40٪ از کل ادعاهای پزشکی را سالانه پاک می‌کند.

این نقض که به گروه باج‌افزار ALPHV با نام مستعار Black Cat نسبت داده می‌شود، از یک حساب در معرض خطر فاقد احراز هویت چند عاملی بهره‌برداری کرد و از اعتبارنامه‌های در معرض خطر در نرم‌افزار دسترسی از راه دور Citrix برای دسترسی غیرمجاز به سیستم‌های Change Healthcare استفاده کرد. این حمله منجر به تأثیر مالی 872 میلیون دلاری و 6 ترابایت استخراج داده های حساس شد. ماه ها طول کشید تا این شرکت سیستم ها را بازیابی کند.

در حالی که UnitedHealth ادعا می‌کند با وجود دسترسی هکرها به داده‌های دزدیده شده برای تقریباً یک سال، هیچ مدرکی دال بر سوء استفاده از داده‌های دزدیده شده وجود ندارد، اما همچنان نگران‌کننده است زیرا این نقض سوابق پزشکی حساس را نشان می‌دهد. این شامل جزئیات بیمه درمانی، تشخیص بیمار، نتایج آزمایش و اطلاعات درمان است.

علاوه بر این، مهاجمان اطلاعات شخصی حساس از جمله نام، آدرس، تاریخ تولد، شماره تامین اجتماعی، شماره گواهینامه رانندگی و سوابق پزشکی را به سرقت بردند. پس از این حمله، این شرکت برای جلوگیری از درز اطلاعات بیشتر، 22 میلیون دلار باج پرداخت کرد.

بر اساس گزارش ها، بلک کت از شرکت وابسته «Notchy» که این تخلف را انجام داده کلاهبرداری کرده و بدون پرداخت سهم آنها، پرداخت باج را به جیب زده است. در پاسخ، این شرکت وابسته با RansomHub همکاری کرد و سعی کرد از Change Healthcare بیشتر اخاذی کند، اما هیچ پرداخت اضافی انجام نشد و داده‌های سرقت شده در دست مجرمان سایبری باقی ماند.

تأثیر این نقض بسیار فراتر از سرقت فوری داده ها است. این امر خدمات مراقبت های بهداشتی را در سراسر کشور مختل کرد و چالش های عملیاتی قابل توجهی را ایجاد کرد و نگرانی هایی را در مورد حفظ حریم خصوصی بیمار و امنیت داده ها ایجاد کرد. بررسی‌های انجمن بیمارستان‌های آمریکا تأثیرات شدید مالی و مراقبت از بیمار ناشی از این نقض را نشان می‌دهد به طوری که 94 درصد از بیمارستان‌های ایالات متحده متحمل خسارات مالی هستند، نزدیک به 40 درصد از بیمارستان‌ها در دسترسی به مراقبت‌ها به دلیل تأخیر مجوزها با مشکل مواجه هستند و 67 درصد از بیمارستان‌ها، تعویض خانه‌های تهاتر را بسیار دشوار می‌بینند.

با رعایت قانون مسئولیت پذیری و مسئولیت پذیری بیمه سلامت (HIPAA)، گروه UnitedHealth بیشتر افراد آسیب دیده را در مورد حمله باج افزار فوریه 2024 مطلع کرده است.

این حادثه نگرانی‌هایی را در مورد آسیب‌پذیری‌های بخش مراقبت‌های بهداشتی و امنیت داده‌های بیماران ایجاد کرده و نیاز فوری به اجرای اقدامات امنیت سایبری پیشرفته برای محافظت از اطلاعات حساس و کاهش چنین تهدیداتی را برجسته کرده است.

هکرها از XWorm RAT برای بهره برداری از اسکریپت ، از 18000 دستگاه استفاده می‌کنند.

کلاهبرداران کلاهبرداران - هکرها با استفاده از XWorm RAT از بچه‌های اسکریپت سوء استفاده می کنند، بیش از 18000 دستگاه را در سراسر جهان به خطر می اندازند و داده های حساس را از طریق C&C مبتنی بر تلگرام می‌دزدند.

CloudSEK کمپین جدیدی را کشف کرده است که شامل یک نسخه تروجانیزه شده از سازنده XWorm RAT است. این بدافزار از طریق کانال‌های مختلف، از جمله سرویس‌های اشتراک‌گذاری فایل (مانند Mega و Upload.ee)، مخازن Github (مانند LifelsHex/FastCryptor و FullPenetrationTesting/888-RAT)، کانال‌های تلگرام (از جمله HAX_CRYPT و inheritedeu)، و حتی یوتیوب و وب سایت های دیگر

این کمپین منجر به به خطر انداختن بیش از 18459 دستگاه در سراسر جهان شد. داده‌های به سرقت رفته شامل اطلاعات حساسی مانند اعتبار مرورگر، توکن‌های Discord، داده‌های تلگرام و اطلاعات سیستم از دستگاه‌های در معرض خطر بود.

در پست وبلاگ CloudSEK که توسط محقق اطلاعاتی Threat Intelligence، Vikas Kundu، منتشر شده است، این سازنده ابزاری کارآمد را برای استقرار و اجرای یک RAT بسیار توانمند در اختیار مهاجمان قرار می دهد که دارای قابلیت های پیشرفته ای مانند شناسایی سیستم، استخراج داده‌ها و اجرای فرمان است.

عوامل تهدید به طور خاص یک سازنده XWorm RAT اصلاح شده را برای هدف قرار دادن مهاجمان بی تجربه (معروف به Script Kiddies) توزیع کردند. پس از نصب، بدافزار داده های حساسی مانند اعتبار مرورگر، توکن های Discord، داده های تلگرام و اطلاعات سیستم را از دستگاه قربانی استخراج می کند. همچنین دارای ویژگی‌های پیشرفته‌ای مانند بررسی مجازی‌سازی، امکان اصلاح رجیستری و قابلیت‌های فرمان و کنترل گسترده است.

علاوه بر این، این بدافزار برای عملکرد فرمان و کنترل خود به تلگرام متکی است. از توکن‌های ربات و تماس‌های API تلگرام برای دریافت دستورات مهاجم و استخراج داده‌های دزدیده شده استفاده می‌کرد.

محققان توانستند یک عملکرد "سوئیچ کشتن" را در این بدافزار شناسایی و از آن استفاده کنند. این عملکرد برای ایجاد اختلال در عملکرد دستگاه‌های فعال آلوده به بدافزار مورد استفاده قرار گرفت. با این حال، این رویکرد محدودیت‌هایی داشت. ماشین‌های آفلاین و مکانیسم‌های محدودکننده نرخ تلگرام از اختلال کامل جلوگیری کردند.

بر اساس تحقیقات، محققان توانستند عامل تهدید را به نام مستعار "@shinyenigma" و "@milleniumrat" مرتبط کنند. علاوه بر این، آنها توانستند حساب های مرتبط GitHub و یک آدرس ProtonMail را شناسایی کنند.

شایان ذکر است که XWorm با گزارش سرویس دولتی ارتباطات و حفاظت اطلاعات ویژه اوکراین (SSSCIP) که استفاده از آن را در عملیات سایبری روسیه علیه اوکراین در نیمه اول سال 2024 گزارش کرده است، به یک تهدید دائمی تبدیل شده است.

برای محافظت در برابر چنین تهدیداتی، سازمان‌ها و افراد باید از راه‌حل‌های Endpoint Detection and Response (EDR) برای شناسایی فعالیت های مشکوک شبکه و حتی شناسایی بدافزار استفاده کنند.

علاوه بر این، نظارت بر شبکه با استفاده از سیستم‌های تشخیص نفوذ و پیشگیری (IDPS) می‌تواند ارتباط بین دستگاه‌های آلوده و سرور C&C مخرب در تلگرام را مسدود کند. اقدامات پیشگیرانه مانند مسدود کردن دسترسی به URL های مخرب شناخته شده و اعمال لیست سفید برنامه می تواند از دانلود و اجرای بدافزار جلوگیری کند.

چگونه مجرمان سایبری ایمیل‌های شرکت را هدف قرار می دهند؟

اگرچه کد بدافزار همیشه در حال تکامل است و Emotet از یک تروجان بانکی به سلاحی تبدیل شده است که بسیاری از صنایع را هدف قرار می دهد، ایمیل همچنان یکی از محبوب ترین بردارهای حمله برای هکرها است. حملات فیشینگ در حال افزایش است، فیشینگ نیزه ای هدفمندتر می شود و اکنون پیام های متنی به هرزنامه تبدیل می شوند.
 

توصیه های زیر از کارشناسان امنیتی به متخصصان فناوری کمک می کند تا حملات جدید را شناسایی کنند، دفاع فنی خود را بهبود بخشند و به کاربران نهایی و اعضای تیم فناوری آموزش دهند.

تقویت محیط

ران کولر، مدیر ارشد فناوری و راه‌حل‌ها در امنیت سایبری ADT، گفت که علاوه بر ابزارهای استاندارد ضد ویروس و ضد بدافزار، کسب‌وکارها باید از فناوری sandboxing برای غربالگری ترافیک ایمیل برای کدهای مخرب تعبیه‌شده در HTML یا پیوست‌ها استفاده کنند.

او می‌گوید: «جعبه‌های ایمنی محیط‌های دسکتاپ را شبیه‌سازی می‌کنند، بنابراین وقتی پیامی همراه با پیوست می‌آید، فرآیند را طی می‌کند و کل فرآیند را شبیه‌سازی می‌کند تا بتوانید ببینید که آیا اتفاقی به‌طور مخرب رخ می‌دهد یا خیر».

شرکت‌ها همچنین باید تمرین‌های فیشینگ را در داخل خود با قالب‌های ایمیلی که حرفه‌ای به نظر می‌رسند و شامل زبان متقاعدکننده هستند، اجرا کنند. کولر می‌گوید: «شما برای افراد ایمیل می‌فرستید، و اگر آنها روی پیوند کلیک کنند، می‌تواند به آنها بگوید، «شما روی یک پیوند فیشینگ کلیک کرده‌اید، برای آموزش به اینجا بروید».

روندها در حملات به خطر انداختن ایمیل های تجاری

اگرچه حملات ایمیل رایج‌ترین روش ارسال بدافزار باقی می‌ماند، اما پیام‌های متنی با افزایش استفاده هکرها از پیام‌های متنی فریبنده، در یک لحظه بعدی دنبال می‌شوند.

دیوید ریچاردسون، معاون تولید در Lookout، گفت که بازیگران بد اکنون سایت هایی را به طور خاص هدف قرار دادن دستگاه های تلفن همراه می سازند. اگر پیوندی روی دسکتاپ یا از طریق تجزیه و تحلیل خودکار بررسی شود، برخی از این سایت‌ها کاربران را به یک سایت واقعی هدایت می‌کنند.

او گفت: "بازیگران بد متوجه شده اند که می توانند سایت های خود را برای مدت طولانی تری با هدایت مجدد به سایت واقعی در برخی شرایط ناشناخته نگه دارند، زیرا این امر آنها را قانونی نشان می دهد."

ریچاردسون اضافه کرد که بسیاری از این حملات از حساب های در معرض خطر از برنامه های تلفن همراه مانند What's App هستند.

او گفت: "هکرها حساب شخصی را به خطر می اندازند و سپس این پیام را برای همه افراد موجود در دفترچه آدرس آنها ارسال می کنند و مردم کلیک می کنند زیرا به نظر قانونی می رسد."

بازیگران بد نیز کاربران را با کپی کردن دقیق طرح‌بندی صفحه ورود برند مورد اعتماد فریب می‌دهند. صفحه درست به نظر می رسد اما اغلب فیلدهای ورود به سیستم و رمز عبور به جای صفحه های جداگانه در یک صفحه قرار دارند. او گفت: «هجوم‌کنندگان تمام محتوا را در یک صفحه قرار می‌دهند تا به جای اینکه آن را به یک فرآیند چند مرحله‌ای تقسیم کنند، روی آن تمرکز بیشتری داشته باشند.

کاربران همچنین باید به دنبال لوگوهای پیکسلی، گرامر ضعیف یا نوشتن نامناسب به عنوان علائم هشدار دهنده صفحه فیشینگ باشند.

یکی دیگر از ترفندهای رایج این است که به دلیل محدودیت املاک و مستغلات در صفحه تلفن همراه، URL کامل را به سختی مشاهده کنید. Culler از ADT توصیه می کند که به کاربران بگوید ماوس را روی یک دکمه یا URL قرار دهند تا بررسی کنند که یک پیوند کجا می رود.

حملات همپوشانی صفحه یکی دیگر از رویکردهای محبوب است. اینجاست که هکرها کدهای مخرب را در چیزی که بی گناه به نظر می رسد، مانند یک برنامه چراغ قوه، جاسازی می کنند. کد مخرب کارهایی که کاربر انجام می دهد را ردیابی می کند و به دنبال فعالیت خاصی می گردد. به عنوان مثال، وقتی کاربر روی یک برنامه بانکی ضربه می‌زند، کد مخرب یک پنجره تمام صفحه باز می‌شود که برنامه اصلی را تقلید می‌کند. این به بازیگر بد این شانس را می دهد که اطلاعات کاربر را بدون هدایت کردن شخص به یک وب سایت به دست آورد.

جلوگیری از حملات به خطر انداختن ایمیل های تجاری

برومر گفت که شرکت‌ها باید حداقل یک بار در سال آموزش های مربوط به امنیت و حفظ حریم خصوصی را انجام دهند. آموزش باید منعکس کننده مسئولیت های شغلی و نقش افراد در شرکت باشد.

او گفت: «مدیران، مدیر عامل و اعضای هیئت مدیره به بالاترین سطح آموزش نیاز دارند زیرا همیشه مورد حمله قرار می گیرند. نگهبان میز جلو به نوع دیگری از آموزش نیاز دارد، اما همه به آن نیاز دارند.

شرکت‌ها همچنین باید در صورت موفقیت‌آمیز بودن یک حمله فیشینگ، واکنش به نقض داده‌ها را تمرین کنند. برومر توصیه کرد که یک گروه چندکاره تشکیل شود که شامل سرپرست تیم امنیت فناوری اطلاعات، افسر ارشد حریم خصوصی، نماینده ای از هیئت مدیره شرکت، کارشناسان امنیت داخلی و احتمالاً یک مربی نقض کننده و مشاور حقوقی خارجی نیز می شود.

او گفت: «تعداد زیادی از افراد هستند که نیاز به هماهنگی دارند، و جمع کردن این گروه به زمان و تمرین نیاز دارد. همه چیز روی کاغذ خوب به نظر می رسد، اما اگر تمرین نکنید، یک رخنه رخ می دهد و هرج و مرج رخ می دهد.

او افزود که رهبران شرکت اغلب این واقعیت را نادیده می گیرند که تیم پاسخ باید تمام وقت خود را به مشکل اختصاص دهد تا زمانی که حل شود.

اطلاعات دزدیده شده اشنایدر الکتریک در وب تاریک به بیرون درز کرد

مجرمان سایبری ادعا می کنند که اشنایدر الکتریک از پرداخت باج به صورت باگت خودداری کرده است.

در ماه نوامبر، یک باج افزار باج افزار به نام Hellcat ادعا کرد که زیرساخت اشنایدر الکتریک را نقض کرده است. این گروه گفت که به محیط Atlassian Jira این شرکت دسترسی پیدا کرده و به آنها امکان سرقت داده‌ها را می دهد.

این شرکت تایید کرد که پلتفرم توسعه‌دهنده‌اش نقض شده است و تیم واکنش آن در حال بررسی این حادثه است.

مجرمان سایبری برای اولین بار در تاریخ 7 نوامبر باج 125000 دلاری باگت را ارسال کردند. بازیگر تهدید گفت که اگر مدیر عامل شرکت علناً نقض را تأیید کند، تقاضای باج 50 درصد کاهش می یابد.

با این حال، در 29 دسامبر، مجرمان سایبری اطلاعات سرقت شده را در سایت نشت داده های خود منتشر کردند و ادعا کردند که این شرکت از پرداخت باج امتناع کرده است. پست در وب تاریک فقط از یک فایل غول پیکر (40 گیگابایت) تشکیل شده است که گفته می شود حاوی داده های شرکت در مورد پروژه ها، مسائل، افزونه ها و بیش از 400000 ردیف از داده های کاربر است.

سایبرنیوز برای اظهار نظر با اشنایدر الکتریک تماس گرفته است، اما هنوز پاسخی دریافت نشده است.

باند Hellcat قبلاً اطلاعاتی را به بیرون درز داده است که ادعا می شود متعلق به وزارت آموزش اردن، دانشکده تجارت در تانزانیا و ارتباطات خصوصی از برنامه Pinger است.

حادثه کنونی سومین حمله سایبری مهم اشنایدر الکتریک در 18 ماه گذشته است. در فوریه 2024، باج افزار باج افزار کاکتوس مسئولیت سرقت 1.5 ترابایت اطلاعات حساس از این شرکت را بر عهده گرفت.

سال گذشته، اشنایدر الکتریک اذعان کرد که توسط گروه باج افزار Cl0p در طول کمپین MOVEit zero-day مورد هدف قرار گرفته است.

حملات باج افزارها در حال افزایش است و باعث ایجاد سردردهای عظیم در شرکت ها و سازمان ها می شود. بر اساس گزارش‌ها، متوسط ​​تقاضای باج به 1.3 میلیون دلار افزایش یافته است و انواع خاصی تا 4.3 میلیون دلار برای یک کلید رمزگشایی درخواست می‌کنند.

اگرچه برای جلوگیری از تحریک اقتصاد جنایی به شدت توصیه می‌شود که درخواست‌های باج‌افزاری را پرداخت نکنید، میانگین ضرر مالی پس از مذاکرات همچنان به 353000 دلار می‌رسد.

عامل مزاحمت در فضای مجازی دستگیر شد

رئیس پلیس فتا استان خوزستان از دستگیری مزاحم اینترنتی در فضای سایبری، خبر داد.
 

 پایگاه اطلاع رسانی پلیس فتا: سرهنگ کارآگاه علی حسینی در تشریح این خبر بیان داشت: با مراجعه یکی از شهروندان خانم به پلیس فتا شهرستان دزفول، وی مدعی شد شخصی در یکی از شبکه اجتماعی، اقدام به انتشار مطالب توهین آمیز و مستهجن علیه وی نموده و باعث خدشه وارد کردن به آبرو او شده است. به همین دلیل موضوع در دستور کار این پلیس قرار گرفت.

وی افزود: کارشناسان پلیس فتا با انجام اقدامات فنی و اطلاعاتی، موفق به شناسایی متهمه شده و ضمن هماهنگی با مقام قضایی، او را دستگیر کردند. 

این مقام انتظامی ادامه داد: متهمه که از نزدیکان شاکیه بوده، پس از مشاهده مستندات و ادله دیجیتال جمع‌آوری شده، به بزه ارتکابی اعتراف و هدف خود را از بین بردن آبروی قربانی می‌دانست. در نتیجه به همراه پرونده تکمیلی به دادسرا معرفی شد.

سرهنگ حسینی ضمن هشدار به مجرمان سایبری یادآور شد: انتشار تصاویر خصوصی و هتک حیثیت در فضای مجازی جزء مصادیق مجرمانه بوده و با خاطیان در این‌گونه جرائم برابر قانون به‌ شدت برخورد می‌شود.

رئیس پلیس فتا استان خوزستان در پایان خاطرنشان کرد: شهروندان عزیز توجه داتشه باشند تصاویر شخصی و خانوادگی خود را حدالامکان در فضای مجازی به اشتراک نگذارند.

Finastra نقض داده در مقیاس بزرگ را افشا می‌کند

Finastra در حال بررسی یک سرقت اطلاعات در مقیاس بزرگ است که ظاهراً 400 گیگابایت از اسناد داخلی آن را به خطر انداخته است. از آن زمان این داده‌ها در یک انجمن هکرها منتشر شده است.

شرکت فین‌تک مستقر در لندن، Finastra، مشتریان خود را از نقض داده‌ها مطلع کرده است که منجر به فروش 400 گیگابایت مشتری خصوصی و داده‌های شرکت در یک انجمن مجرمان سایبری شده است.

این رخنه اولین بار توسط روزنامه نگار امنیت سایبری برایان کربز فاش شد که یک نسخه از افشای رویداد امنیتی شرکت در 8 نوامبر 2024 به دست آورد.

Finastra به حدود 8100 موسسه مالی در سراسر جهان خدمات ارائه می‌دهد، از جمله عملیات روزانه Finastra عمدتاً شامل رسیدگی به پرونده‌های دیجیتال با دستورالعمل‌های انتقال سیم و بانک برای مشتریان خود است. سال گذشته، این شرکت 1.9 میلیارد دلار درآمد داشت.

طبق اخطار نقض، در 7 نوامبر، تیم امنیتی این شرکت فعالیت مشکوکی را در "پلت فرم انتقال فایل با میزبانی داخلی" Finastra شناسایی کرد. پروتکل انتقال امن فایل (SFTP) روشی است که به طور گسترده توسط سازمان‌ها برای انتقال ایمن فایل‌ها و مجموعه داده‌های بزرگ از طریق اینترنت استفاده می‌شود.

Finastra در این افشاگری می‌گوید: «در 8 نوامبر، یک عامل تهدید در وب تاریک ارتباط برقرار کرد و ادعا کرد که داده‌هایی از این پلتفرم استخراج شده است. این شرکت ادعا کرد که "هیچ تاثیر مستقیمی" بر عملیات مشتری و سیستم مشتریان وجود ندارد.

در اطلاعیه شرکت آمده است: «بازیگر تهدید بدافزار را مستقر نکرده یا هیچ فایل مشتری را در محیط دستکاری نکرده است. "علاوه بر این، هیچ پرونده‌ای به جز فایل‌های استخراج شده مشاهده یا دسترسی نبود."

Finastra در بیانیه‌ای به Krebs توضیح داد که SFTP آسیب دیده توسط همه مشتریان استفاده نمی‌شود و پلت فرم پیش فرض برای تبادل فایل‌های داده مربوط به طیف گسترده محصولات آن نیست.

اسکرین شات‌های جمع‌آوری شده توسط پلتفرم اطلاعات سایبری Ke-la.com نشان می‌دهد که مهاجمان در ابتدا تلاش کردند تا داده‌هایی را که گفته می‌شود از Finastra به سرقت رفته بود، در 31 اکتبر بفروشند.

به گفته کربس، پست‌های انجمن نشان می‌دهد که عامل تهدید ممکن است حداقل یک هفته قبل از اینکه شرکت اعلام کند برای اولین بار فعالیت مشکوکی را شناسایی کرده است، به سیستم اشتراک‌گذاری فایل Finastra دسترسی پیدا کرده است.

بایگانی

همیاران سایبری – تمام حقوق محفوظ است