‫ khozestan_salamat بلاگ

انتشار نوع بدافزار جدید ValleyRAT از طریق دانلودهای جعلی کروم

Morphisec یک نوع بدافزار جدید ValleyRAT را با تاکتیک‌های پیشرفته فرار، زنجیره‌های عفونت چند مرحله‌ای و روش‌های تحویل جدید سیستم‌های هدف‌گیری کشف می‌کند.
 

محققان امنیت سایبری در Morphisec Threat Lab نسخه جدیدی از بدافزار پیچیده ValleyRAT را کشف کرده‌اند که از طریق کانال‌های مختلف از جمله ایمیل‌های فیشینگ، پلت‌فرم‌های پیام‌رسانی فوری و وب‌سایت‌های در معرض خطر توزیع شده است. ValleyRAT یک بدافزار چند مرحله ای است که به گروه بدنام Silver Fox APT مرتبط است.

بر اساس تحقیقات Morphisec که با Hackread.com به اشتراک گذاشته شده است، اهداف کلیدی این کمپین افراد با ارزش بالا در سازمان ها، به ویژه افرادی که در امور مالی، حسابداری و فروش هستند، هستند و هدف سرقت داده های حساس است.

نسخه‌های قبلی ValleyRAT از اسکریپت‌های PowerShell استفاده می‌کردند که به‌عنوان نصب‌کننده‌های نرم‌افزار قانونی پنهان شده بودند، که اغلب از ربودن DLL برای تزریق بار خود به فایل‌های اجرایی امضاشده از برنامه‌هایی مانند WPS Office و حتی Firefox استفاده می‌کردند. در آگوست 2024، Hackread.com در مورد یک نسخه ValleyRAT با استفاده از کد پوسته برای تزریق اجزای بدافزار به طور مستقیم به حافظه گزارش داد.

برعکس، نسخه فعلی از یک وب‌سایت جعلی شرکت مخابراتی چینی «Karlos» (karlostclub/) برای توزیع بدافزار استفاده می‌کند که مجموعه‌ای از فایل‌ها، از جمله یک فایل اجرایی NET را دانلود می‌کند که امتیازات سرپرست را بررسی می‌کند و اجزای اضافی، از جمله یک فایل DLL را دانلود می‌کند.

محققان در این پست وبلاگ نوشتند: «جالب است که بازیگر از همان URL برای هر دو نسخه قدیمی و جدیدتر حمله خود استفاده مجدد کرد.

به گفته محققان، دانلود جعلی مرورگر کروم از anizomcom/ ناقل عفونت اولیه در زنجیره حمله است که قربانی را فریب می دهد تا بدافزار را دانلود و اجرا کند. فایل sscronet.dll که عمداً با یک شناسه با صدای قانونی نامگذاری شده است تا از مشکوک شدن جلوگیری شود، کد را به فرآیند قانونی svchost.exe تزریق می کند، به عنوان یک مانیتور عمل می کند و برای جلوگیری از تداخل با عملکرد بدافزار، هر فرآیندی را در یک لیست محرومیت از پیش تعریف شده خاتمه می دهد.

در مرحله بعد، این بدافزار از نسخه اصلاح شده Douyin (TikTok چینی) قابل اجرا برای بارگذاری جانبی DLL و یک Tier0.dll قانونی از بازی های Valve (مخصوصاً Left 4 Dead 2 و Killing Floor 2) برای اجرای کدهای پنهان در فرآیند nslookup.exe استفاده می کند. این فرآیند بار اصلی ValleyRAT را از mpclient.dat بازیابی و رمزگشایی می کند.

محموله رمزگشایی شده از کد پوسته Donut برای اجرای بدافزار در حافظه استفاده می کند و روش های سنتی تشخیص مبتنی بر دیسک را دور می زند. همچنین سعی می کند مکانیسم های امنیتی مانند AMSI و ETW را غیرفعال کند.

برای اطلاع شما، ValleyRAT یک تروجان دسترسی از راه دور مبتنی بر C ++ با عملکردهای RAT اساسی مانند دسترسی به ایستگاه پنجره WinSta0 برای تعامل صفحه نمایش، صفحه کلید و ماوس و نظارت بر صفحه نمایش قربانی است. این دارای بررسی های گسترده ضد VMware برای فرار از شناسایی در محیط های مجازی است و با سرور C2 خود با استفاده از آدرس های IP و پورت هایی که در هنگام نصب در کد آن مقدار دهی اولیه می شوند، متصل می شود.

محققان خاطرنشان کردند: «اگر بدافزار تشخیص ندهد که در داخل یک ماشین مجازی (VM) در حال اجرا است، سعی می‌کند به عنوان بخشی از بررسی ارتباط شبکه خود با baidu.com ارتباط برقرار کند.

تغییر تاکتیک‌ها/تکنیک‌های فرار گروه Silver Fox APT، پیچیدگی روزافزون حملات جدید را نشان می‌دهد. سازمان ها باید یک استراتژی امنیتی مناسب، از جمله حفاظت از نقطه پایانی سخت گیرانه تر، آموزش کارکنان و نظارت مستمر، برای کاهش خطرات اتخاذ کنند.

نحوه مخفی کردن اطلاعات حساس در عکس‌ها در ویندوز 11

اگر عکس‌های شما حاوی اطلاعات حساسی هستند که نمی‌خواهید دیگران آن‌ها را ببینند، آن قسمت‌ها را با استفاده از ابزاری که در اختیار دارید پنهان کنید. برای انجام این کار می توانید از یک برنامه داخلی یا یک برنامه شخص ثالث در رایانه شخصی ویندوز 11 خود استفاده کنید.
 

اگر می‌خواهید اطلاعات را در تصویرتان تار یا پیکسل‌سازی کنید، توجه داشته باشید که به دلایل ایمنی، ما در اینجا به آن نمی‌پردازیم. اطلاعات تار و پیکسلی را می توان پنهان کرد، در حالی که یک بلوک تک رنگ نمی تواند. این چیزی است که در زیر بر روی آن تمرکز خواهیم کرد.

پر کردن مناطق در یک عکس با رنگ های ثابت با استفاده از رنگ
اپلیکیشن Paint داخلی برای بسیاری از کاربران برای روتوش های اولیه عکس، از جمله پنهان کردن قطعات در عکس ها، ابزاری کاربردی بوده است. می‌توانید از ابزار پر کردن این برنامه برای پر کردن یک رنگ ثابت در قسمتی از عکس که می‌خواهید پنهان کنید استفاده کنید.

برای انجام این کار، File Explorer را باز کنید (ویندوز + E را فشار دهید) و محل عکس را برای ویرایش پیدا کنید. روی عکس کلیک راست کرده و Open With > Paint را انتخاب کنید. همچنین، برنامه Paint را اجرا کنید، File > Open را انتخاب کنید و عکس خود را انتخاب کنید.

وقتی عکس شما در Paint راه اندازی شد، از قسمت Colors در بالا، روی "Color 2" کلیک کنید. در پالت رنگ، رنگ ثابتی را که می‌خواهید برای پنهان کردن اطلاعات استفاده کنید، انتخاب کنید.

برای استفاده از رنگ سفارشی که قبلاً در پالت نیست، روی «ویرایش رنگ‌ها» (چرخ رنگ) کلیک کنید و رنگ مورد استفاده را انتخاب کنید. با وارد کردن کد HEX می توانید رنگی را انتخاب کنید. سپس، روی "OK" کلیک کنید.

از بخش Shapes در بالا، شکلی را که می‌خواهید برای پنهان کردن قسمت‌های عکس خود استفاده کنید، انتخاب کنید. سپس، روی عکس، شکل را طوری بکشید که اطلاعات را برای پنهان کردن بپوشاند.

رنگ، شکل را با رنگ انتخابی شما پر می کند و آن قسمت از عکس را پنهان می کند. برای اطمینان از پر شدن جامد، روی شکل کلیک راست کرده و Fill > Solid Fill را انتخاب کنید. اگر نوع پرکننده دیگری مانند مداد رنگی انتخاب کنید، برخی از قسمت‌های پشت شکل همچنان قابل مشاهده خواهند بود.

اطمینان حاصل کنید که اطلاعاتی که می خواهید پنهان کنید واقعاً در عکس پنهان است. اکنون برای ذخیره عکس به عنوان یک کپی از نسخه اصلی، از نوار منوی Paint، File > Save As را انتخاب کنید و فرمت تصویر مورد نظر را انتخاب کنید. در پنجره Save As، پوشه ای را برای ذخیره عکس انتخاب کنید، در قسمت "File Name" نامی برای عکس تایپ کنید و روی "Save" کلیک کنید.

مخفی کردن اطلاعات در عکس ها با استفاده از GIMP
GIMP یک برنامه رایگان و منبع باز است که به شما امکان ویرایش و روتوش عکس‌ها را در رایانه می دهد. برای استفاده از آن برای پنهان کردن عناصر حساس عکس های خود، سایت GIMP را راه اندازی کنید و برنامه را دانلود و بر روی رایانه شخصی خود نصب کنید.

برنامه را اجرا کنید و File > Open را انتخاب کنید یا Ctrl+O را فشار دهید. به پوشه حاوی عکس خود بروید و عکس را انتخاب کنید.

از قسمت ابزار در سمت چپ، کادر رنگ پیش زمینه (بالا) را انتخاب کنید. در پنجره Change Foreground Color که باز می شود، رنگی را که می خواهید برای پنهان کردن اطلاعات در عکس خود استفاده کنید، انتخاب کنید. سپس، روی "OK" کلیک کنید.

در بخش ابزارها در سمت چپ، روی "ابزار انتخاب مستطیل" (R را فشار دهید) یا "ابزار انتخاب بیضی" (E را فشار دهید) کلیک کنید. روی عکس خود، شکلی را بکشید که قسمتی را که می خواهید پنهان کنید، بپوشانید. روی شکل کلیک راست کرده و Edit > Fill With FG Color را انتخاب کنید (یا Ctrl+، را فشار دهید).

GIMP شکل انتخاب شده را با رنگ پیش زمینه انتخاب شده پر می کند. اکنون قسمت انتخاب شده در عکس پنهان شده است. اکنون برای ذخیره عکس به عنوان یک کپی از نسخه اصلی، از نوار منوی GIMP، File > Export As را انتخاب کنید (یا Shift+Ctrl+E را فشار دهید).

در پنجره Export Image، پوشه ای را برای ذخیره عکس ویرایش شده انتخاب کنید. روی فیلد "Name" کلیک کنید و یک نام برای عکس تایپ کنید. گزینه "Select File Type (By Extension)" را انتخاب کنید و یک قالب برای عکس خود انتخاب کنید. سپس روی «صادرات» کلیک کنید.

نقض گسترده داده‌های گروه UnitedHealth بر 190 میلیون آمریکایی تأثیر می‌گذارد

گروه UnitedHealth تایید کرده است که یک حمله باج افزاری زیرمجموعه آن Change Healthcare را در فوریه 2024 هدف قرار داده است که بر 190 میلیون آمریکایی تأثیر گذاشته است. جزئیات کلیدی، تأثیر و پیامدهای بزرگترین نقض داده های مراقبت های بهداشتی در تاریخ ایالات متحده را کشف کنید.

 گروه UnitedHealth تایید کرده است که یک حمله باج‌افزاری که شرکت تابعه آن، Change Healthcare را در فوریه 2024 هدف قرار داد، بر 190 میلیون نفر در ایالات متحده تأثیر گذاشته است.

این به طور قابل توجهی از تخمین های قبلی در حدود 100 میلیون (PDF) فراتر رفته و آن را به بزرگترین نقض داده های پزشکی در تاریخ ایالات متحده تبدیل می کند. برای اینکه ایده ای به شما بدهم، این نقض 2.5 برابر بزرگتر از نقض داده Anthem Inc. در سال 2015 است که 78.8 میلیون رکورد را فاش کرده بود.

شایان ذکر است که Change Healthcare یک بازیگر اصلی در بخش فناوری مراقبت‌های بهداشتی است و حجم قابل توجهی از داده‌های حساس بهداشتی و پزشکی، از جمله سوابق بیماران و ادعاهای مراقبت‌های بهداشتی را مدیریت می‌کند و تقریباً 40٪ از کل ادعاهای پزشکی را سالانه پاک می‌کند.

این نقض که به گروه باج‌افزار ALPHV با نام مستعار Black Cat نسبت داده می‌شود، از یک حساب در معرض خطر فاقد احراز هویت چند عاملی بهره‌برداری کرد و از اعتبارنامه‌های در معرض خطر در نرم‌افزار دسترسی از راه دور Citrix برای دسترسی غیرمجاز به سیستم‌های Change Healthcare استفاده کرد. این حمله منجر به تأثیر مالی 872 میلیون دلاری و 6 ترابایت استخراج داده های حساس شد. ماه ها طول کشید تا این شرکت سیستم ها را بازیابی کند.

در حالی که UnitedHealth ادعا می‌کند با وجود دسترسی هکرها به داده‌های دزدیده شده برای تقریباً یک سال، هیچ مدرکی دال بر سوء استفاده از داده‌های دزدیده شده وجود ندارد، اما همچنان نگران‌کننده است زیرا این نقض سوابق پزشکی حساس را نشان می‌دهد. این شامل جزئیات بیمه درمانی، تشخیص بیمار، نتایج آزمایش و اطلاعات درمان است.

علاوه بر این، مهاجمان اطلاعات شخصی حساس از جمله نام، آدرس، تاریخ تولد، شماره تامین اجتماعی، شماره گواهینامه رانندگی و سوابق پزشکی را به سرقت بردند. پس از این حمله، این شرکت برای جلوگیری از درز اطلاعات بیشتر، 22 میلیون دلار باج پرداخت کرد.

بر اساس گزارش ها، بلک کت از شرکت وابسته «Notchy» که این تخلف را انجام داده کلاهبرداری کرده و بدون پرداخت سهم آنها، پرداخت باج را به جیب زده است. در پاسخ، این شرکت وابسته با RansomHub همکاری کرد و سعی کرد از Change Healthcare بیشتر اخاذی کند، اما هیچ پرداخت اضافی انجام نشد و داده‌های سرقت شده در دست مجرمان سایبری باقی ماند.

تأثیر این نقض بسیار فراتر از سرقت فوری داده ها است. این امر خدمات مراقبت های بهداشتی را در سراسر کشور مختل کرد و چالش های عملیاتی قابل توجهی را ایجاد کرد و نگرانی هایی را در مورد حفظ حریم خصوصی بیمار و امنیت داده ها ایجاد کرد. بررسی‌های انجمن بیمارستان‌های آمریکا تأثیرات شدید مالی و مراقبت از بیمار ناشی از این نقض را نشان می‌دهد به طوری که 94 درصد از بیمارستان‌های ایالات متحده متحمل خسارات مالی هستند، نزدیک به 40 درصد از بیمارستان‌ها در دسترسی به مراقبت‌ها به دلیل تأخیر مجوزها با مشکل مواجه هستند و 67 درصد از بیمارستان‌ها، تعویض خانه‌های تهاتر را بسیار دشوار می‌بینند.

با رعایت قانون مسئولیت پذیری و مسئولیت پذیری بیمه سلامت (HIPAA)، گروه UnitedHealth بیشتر افراد آسیب دیده را در مورد حمله باج افزار فوریه 2024 مطلع کرده است.

این حادثه نگرانی‌هایی را در مورد آسیب‌پذیری‌های بخش مراقبت‌های بهداشتی و امنیت داده‌های بیماران ایجاد کرده و نیاز فوری به اجرای اقدامات امنیت سایبری پیشرفته برای محافظت از اطلاعات حساس و کاهش چنین تهدیداتی را برجسته کرده است.

هکرها از XWorm RAT برای بهره برداری از اسکریپت ، از 18000 دستگاه استفاده می‌کنند.

کلاهبرداران کلاهبرداران - هکرها با استفاده از XWorm RAT از بچه‌های اسکریپت سوء استفاده می کنند، بیش از 18000 دستگاه را در سراسر جهان به خطر می اندازند و داده های حساس را از طریق C&C مبتنی بر تلگرام می‌دزدند.

CloudSEK کمپین جدیدی را کشف کرده است که شامل یک نسخه تروجانیزه شده از سازنده XWorm RAT است. این بدافزار از طریق کانال‌های مختلف، از جمله سرویس‌های اشتراک‌گذاری فایل (مانند Mega و Upload.ee)، مخازن Github (مانند LifelsHex/FastCryptor و FullPenetrationTesting/888-RAT)، کانال‌های تلگرام (از جمله HAX_CRYPT و inheritedeu)، و حتی یوتیوب و وب سایت های دیگر

این کمپین منجر به به خطر انداختن بیش از 18459 دستگاه در سراسر جهان شد. داده‌های به سرقت رفته شامل اطلاعات حساسی مانند اعتبار مرورگر، توکن‌های Discord، داده‌های تلگرام و اطلاعات سیستم از دستگاه‌های در معرض خطر بود.

در پست وبلاگ CloudSEK که توسط محقق اطلاعاتی Threat Intelligence، Vikas Kundu، منتشر شده است، این سازنده ابزاری کارآمد را برای استقرار و اجرای یک RAT بسیار توانمند در اختیار مهاجمان قرار می دهد که دارای قابلیت های پیشرفته ای مانند شناسایی سیستم، استخراج داده‌ها و اجرای فرمان است.

عوامل تهدید به طور خاص یک سازنده XWorm RAT اصلاح شده را برای هدف قرار دادن مهاجمان بی تجربه (معروف به Script Kiddies) توزیع کردند. پس از نصب، بدافزار داده های حساسی مانند اعتبار مرورگر، توکن های Discord، داده های تلگرام و اطلاعات سیستم را از دستگاه قربانی استخراج می کند. همچنین دارای ویژگی‌های پیشرفته‌ای مانند بررسی مجازی‌سازی، امکان اصلاح رجیستری و قابلیت‌های فرمان و کنترل گسترده است.

علاوه بر این، این بدافزار برای عملکرد فرمان و کنترل خود به تلگرام متکی است. از توکن‌های ربات و تماس‌های API تلگرام برای دریافت دستورات مهاجم و استخراج داده‌های دزدیده شده استفاده می‌کرد.

محققان توانستند یک عملکرد "سوئیچ کشتن" را در این بدافزار شناسایی و از آن استفاده کنند. این عملکرد برای ایجاد اختلال در عملکرد دستگاه‌های فعال آلوده به بدافزار مورد استفاده قرار گرفت. با این حال، این رویکرد محدودیت‌هایی داشت. ماشین‌های آفلاین و مکانیسم‌های محدودکننده نرخ تلگرام از اختلال کامل جلوگیری کردند.

بر اساس تحقیقات، محققان توانستند عامل تهدید را به نام مستعار "@shinyenigma" و "@milleniumrat" مرتبط کنند. علاوه بر این، آنها توانستند حساب های مرتبط GitHub و یک آدرس ProtonMail را شناسایی کنند.

شایان ذکر است که XWorm با گزارش سرویس دولتی ارتباطات و حفاظت اطلاعات ویژه اوکراین (SSSCIP) که استفاده از آن را در عملیات سایبری روسیه علیه اوکراین در نیمه اول سال 2024 گزارش کرده است، به یک تهدید دائمی تبدیل شده است.

برای محافظت در برابر چنین تهدیداتی، سازمان‌ها و افراد باید از راه‌حل‌های Endpoint Detection and Response (EDR) برای شناسایی فعالیت های مشکوک شبکه و حتی شناسایی بدافزار استفاده کنند.

علاوه بر این، نظارت بر شبکه با استفاده از سیستم‌های تشخیص نفوذ و پیشگیری (IDPS) می‌تواند ارتباط بین دستگاه‌های آلوده و سرور C&C مخرب در تلگرام را مسدود کند. اقدامات پیشگیرانه مانند مسدود کردن دسترسی به URL های مخرب شناخته شده و اعمال لیست سفید برنامه می تواند از دانلود و اجرای بدافزار جلوگیری کند.

بایگانی

همیاران سایبری – تمام حقوق محفوظ است