‫ khozestan_salamat بلاگ

گروه UnitedHealth تایید کرده است که یک حمله باج افزاری زیرمجموعه آن Change Healthcare را در فوریه 2024 هدف قرار داده است که بر 190 میلیون آمریکایی تأثیر گذاشته است. جزئیات کلیدی، تأثیر و پیامدهای بزرگترین نقض داده های مراقبت های بهداشتی در تاریخ ایالات متحده را کشف کنید.

 گروه UnitedHealth تایید کرده است که یک حمله باج‌افزاری که شرکت تابعه آن، Change Healthcare را در فوریه 2024 هدف قرار داد، بر 190 میلیون نفر در ایالات متحده تأثیر گذاشته است.

این به طور قابل توجهی از تخمین های قبلی در حدود 100 میلیون (PDF) فراتر رفته و آن را به بزرگترین نقض داده های پزشکی در تاریخ ایالات متحده تبدیل می کند. برای اینکه ایده ای به شما بدهم، این نقض 2.5 برابر بزرگتر از نقض داده Anthem Inc. در سال 2015 است که 78.8 میلیون رکورد را فاش کرده بود.

شایان ذکر است که Change Healthcare یک بازیگر اصلی در بخش فناوری مراقبت‌های بهداشتی است و حجم قابل توجهی از داده‌های حساس بهداشتی و پزشکی، از جمله سوابق بیماران و ادعاهای مراقبت‌های بهداشتی را مدیریت می‌کند و تقریباً 40٪ از کل ادعاهای پزشکی را سالانه پاک می‌کند.

این نقض که به گروه باج‌افزار ALPHV با نام مستعار Black Cat نسبت داده می‌شود، از یک حساب در معرض خطر فاقد احراز هویت چند عاملی بهره‌برداری کرد و از اعتبارنامه‌های در معرض خطر در نرم‌افزار دسترسی از راه دور Citrix برای دسترسی غیرمجاز به سیستم‌های Change Healthcare استفاده کرد. این حمله منجر به تأثیر مالی 872 میلیون دلاری و 6 ترابایت استخراج داده های حساس شد. ماه ها طول کشید تا این شرکت سیستم ها را بازیابی کند.

در حالی که UnitedHealth ادعا می‌کند با وجود دسترسی هکرها به داده‌های دزدیده شده برای تقریباً یک سال، هیچ مدرکی دال بر سوء استفاده از داده‌های دزدیده شده وجود ندارد، اما همچنان نگران‌کننده است زیرا این نقض سوابق پزشکی حساس را نشان می‌دهد. این شامل جزئیات بیمه درمانی، تشخیص بیمار، نتایج آزمایش و اطلاعات درمان است.

علاوه بر این، مهاجمان اطلاعات شخصی حساس از جمله نام، آدرس، تاریخ تولد، شماره تامین اجتماعی، شماره گواهینامه رانندگی و سوابق پزشکی را به سرقت بردند. پس از این حمله، این شرکت برای جلوگیری از درز اطلاعات بیشتر، 22 میلیون دلار باج پرداخت کرد.

بر اساس گزارش ها، بلک کت از شرکت وابسته «Notchy» که این تخلف را انجام داده کلاهبرداری کرده و بدون پرداخت سهم آنها، پرداخت باج را به جیب زده است. در پاسخ، این شرکت وابسته با RansomHub همکاری کرد و سعی کرد از Change Healthcare بیشتر اخاذی کند، اما هیچ پرداخت اضافی انجام نشد و داده‌های سرقت شده در دست مجرمان سایبری باقی ماند.

تأثیر این نقض بسیار فراتر از سرقت فوری داده ها است. این امر خدمات مراقبت های بهداشتی را در سراسر کشور مختل کرد و چالش های عملیاتی قابل توجهی را ایجاد کرد و نگرانی هایی را در مورد حفظ حریم خصوصی بیمار و امنیت داده ها ایجاد کرد. بررسی‌های انجمن بیمارستان‌های آمریکا تأثیرات شدید مالی و مراقبت از بیمار ناشی از این نقض را نشان می‌دهد به طوری که 94 درصد از بیمارستان‌های ایالات متحده متحمل خسارات مالی هستند، نزدیک به 40 درصد از بیمارستان‌ها در دسترسی به مراقبت‌ها به دلیل تأخیر مجوزها با مشکل مواجه هستند و 67 درصد از بیمارستان‌ها، تعویض خانه‌های تهاتر را بسیار دشوار می‌بینند.

با رعایت قانون مسئولیت پذیری و مسئولیت پذیری بیمه سلامت (HIPAA)، گروه UnitedHealth بیشتر افراد آسیب دیده را در مورد حمله باج افزار فوریه 2024 مطلع کرده است.

این حادثه نگرانی‌هایی را در مورد آسیب‌پذیری‌های بخش مراقبت‌های بهداشتی و امنیت داده‌های بیماران ایجاد کرده و نیاز فوری به اجرای اقدامات امنیت سایبری پیشرفته برای محافظت از اطلاعات حساس و کاهش چنین تهدیداتی را برجسته کرده است.

کلاهبرداران کلاهبرداران - هکرها با استفاده از XWorm RAT از بچه‌های اسکریپت سوء استفاده می کنند، بیش از 18000 دستگاه را در سراسر جهان به خطر می اندازند و داده های حساس را از طریق C&C مبتنی بر تلگرام می‌دزدند.

CloudSEK کمپین جدیدی را کشف کرده است که شامل یک نسخه تروجانیزه شده از سازنده XWorm RAT است. این بدافزار از طریق کانال‌های مختلف، از جمله سرویس‌های اشتراک‌گذاری فایل (مانند Mega و Upload.ee)، مخازن Github (مانند LifelsHex/FastCryptor و FullPenetrationTesting/888-RAT)، کانال‌های تلگرام (از جمله HAX_CRYPT و inheritedeu)، و حتی یوتیوب و وب سایت های دیگر

این کمپین منجر به به خطر انداختن بیش از 18459 دستگاه در سراسر جهان شد. داده‌های به سرقت رفته شامل اطلاعات حساسی مانند اعتبار مرورگر، توکن‌های Discord، داده‌های تلگرام و اطلاعات سیستم از دستگاه‌های در معرض خطر بود.

در پست وبلاگ CloudSEK که توسط محقق اطلاعاتی Threat Intelligence، Vikas Kundu، منتشر شده است، این سازنده ابزاری کارآمد را برای استقرار و اجرای یک RAT بسیار توانمند در اختیار مهاجمان قرار می دهد که دارای قابلیت های پیشرفته ای مانند شناسایی سیستم، استخراج داده‌ها و اجرای فرمان است.

عوامل تهدید به طور خاص یک سازنده XWorm RAT اصلاح شده را برای هدف قرار دادن مهاجمان بی تجربه (معروف به Script Kiddies) توزیع کردند. پس از نصب، بدافزار داده های حساسی مانند اعتبار مرورگر، توکن های Discord، داده های تلگرام و اطلاعات سیستم را از دستگاه قربانی استخراج می کند. همچنین دارای ویژگی‌های پیشرفته‌ای مانند بررسی مجازی‌سازی، امکان اصلاح رجیستری و قابلیت‌های فرمان و کنترل گسترده است.

علاوه بر این، این بدافزار برای عملکرد فرمان و کنترل خود به تلگرام متکی است. از توکن‌های ربات و تماس‌های API تلگرام برای دریافت دستورات مهاجم و استخراج داده‌های دزدیده شده استفاده می‌کرد.

محققان توانستند یک عملکرد "سوئیچ کشتن" را در این بدافزار شناسایی و از آن استفاده کنند. این عملکرد برای ایجاد اختلال در عملکرد دستگاه‌های فعال آلوده به بدافزار مورد استفاده قرار گرفت. با این حال، این رویکرد محدودیت‌هایی داشت. ماشین‌های آفلاین و مکانیسم‌های محدودکننده نرخ تلگرام از اختلال کامل جلوگیری کردند.

بر اساس تحقیقات، محققان توانستند عامل تهدید را به نام مستعار "@shinyenigma" و "@milleniumrat" مرتبط کنند. علاوه بر این، آنها توانستند حساب های مرتبط GitHub و یک آدرس ProtonMail را شناسایی کنند.

شایان ذکر است که XWorm با گزارش سرویس دولتی ارتباطات و حفاظت اطلاعات ویژه اوکراین (SSSCIP) که استفاده از آن را در عملیات سایبری روسیه علیه اوکراین در نیمه اول سال 2024 گزارش کرده است، به یک تهدید دائمی تبدیل شده است.

برای محافظت در برابر چنین تهدیداتی، سازمان‌ها و افراد باید از راه‌حل‌های Endpoint Detection and Response (EDR) برای شناسایی فعالیت های مشکوک شبکه و حتی شناسایی بدافزار استفاده کنند.

علاوه بر این، نظارت بر شبکه با استفاده از سیستم‌های تشخیص نفوذ و پیشگیری (IDPS) می‌تواند ارتباط بین دستگاه‌های آلوده و سرور C&C مخرب در تلگرام را مسدود کند. اقدامات پیشگیرانه مانند مسدود کردن دسترسی به URL های مخرب شناخته شده و اعمال لیست سفید برنامه می تواند از دانلود و اجرای بدافزار جلوگیری کند.

اگرچه کد بدافزار همیشه در حال تکامل است و Emotet از یک تروجان بانکی به سلاحی تبدیل شده است که بسیاری از صنایع را هدف قرار می دهد، ایمیل همچنان یکی از محبوب ترین بردارهای حمله برای هکرها است. حملات فیشینگ در حال افزایش است، فیشینگ نیزه ای هدفمندتر می شود و اکنون پیام های متنی به هرزنامه تبدیل می شوند.
 

توصیه های زیر از کارشناسان امنیتی به متخصصان فناوری کمک می کند تا حملات جدید را شناسایی کنند، دفاع فنی خود را بهبود بخشند و به کاربران نهایی و اعضای تیم فناوری آموزش دهند.

تقویت محیط

ران کولر، مدیر ارشد فناوری و راه‌حل‌ها در امنیت سایبری ADT، گفت که علاوه بر ابزارهای استاندارد ضد ویروس و ضد بدافزار، کسب‌وکارها باید از فناوری sandboxing برای غربالگری ترافیک ایمیل برای کدهای مخرب تعبیه‌شده در HTML یا پیوست‌ها استفاده کنند.

او می‌گوید: «جعبه‌های ایمنی محیط‌های دسکتاپ را شبیه‌سازی می‌کنند، بنابراین وقتی پیامی همراه با پیوست می‌آید، فرآیند را طی می‌کند و کل فرآیند را شبیه‌سازی می‌کند تا بتوانید ببینید که آیا اتفاقی به‌طور مخرب رخ می‌دهد یا خیر».

شرکت‌ها همچنین باید تمرین‌های فیشینگ را در داخل خود با قالب‌های ایمیلی که حرفه‌ای به نظر می‌رسند و شامل زبان متقاعدکننده هستند، اجرا کنند. کولر می‌گوید: «شما برای افراد ایمیل می‌فرستید، و اگر آنها روی پیوند کلیک کنند، می‌تواند به آنها بگوید، «شما روی یک پیوند فیشینگ کلیک کرده‌اید، برای آموزش به اینجا بروید».

روندها در حملات به خطر انداختن ایمیل های تجاری

اگرچه حملات ایمیل رایج‌ترین روش ارسال بدافزار باقی می‌ماند، اما پیام‌های متنی با افزایش استفاده هکرها از پیام‌های متنی فریبنده، در یک لحظه بعدی دنبال می‌شوند.

دیوید ریچاردسون، معاون تولید در Lookout، گفت که بازیگران بد اکنون سایت هایی را به طور خاص هدف قرار دادن دستگاه های تلفن همراه می سازند. اگر پیوندی روی دسکتاپ یا از طریق تجزیه و تحلیل خودکار بررسی شود، برخی از این سایت‌ها کاربران را به یک سایت واقعی هدایت می‌کنند.

او گفت: "بازیگران بد متوجه شده اند که می توانند سایت های خود را برای مدت طولانی تری با هدایت مجدد به سایت واقعی در برخی شرایط ناشناخته نگه دارند، زیرا این امر آنها را قانونی نشان می دهد."

ریچاردسون اضافه کرد که بسیاری از این حملات از حساب های در معرض خطر از برنامه های تلفن همراه مانند What's App هستند.

او گفت: "هکرها حساب شخصی را به خطر می اندازند و سپس این پیام را برای همه افراد موجود در دفترچه آدرس آنها ارسال می کنند و مردم کلیک می کنند زیرا به نظر قانونی می رسد."

بازیگران بد نیز کاربران را با کپی کردن دقیق طرح‌بندی صفحه ورود برند مورد اعتماد فریب می‌دهند. صفحه درست به نظر می رسد اما اغلب فیلدهای ورود به سیستم و رمز عبور به جای صفحه های جداگانه در یک صفحه قرار دارند. او گفت: «هجوم‌کنندگان تمام محتوا را در یک صفحه قرار می‌دهند تا به جای اینکه آن را به یک فرآیند چند مرحله‌ای تقسیم کنند، روی آن تمرکز بیشتری داشته باشند.

کاربران همچنین باید به دنبال لوگوهای پیکسلی، گرامر ضعیف یا نوشتن نامناسب به عنوان علائم هشدار دهنده صفحه فیشینگ باشند.

یکی دیگر از ترفندهای رایج این است که به دلیل محدودیت املاک و مستغلات در صفحه تلفن همراه، URL کامل را به سختی مشاهده کنید. Culler از ADT توصیه می کند که به کاربران بگوید ماوس را روی یک دکمه یا URL قرار دهند تا بررسی کنند که یک پیوند کجا می رود.

حملات همپوشانی صفحه یکی دیگر از رویکردهای محبوب است. اینجاست که هکرها کدهای مخرب را در چیزی که بی گناه به نظر می رسد، مانند یک برنامه چراغ قوه، جاسازی می کنند. کد مخرب کارهایی که کاربر انجام می دهد را ردیابی می کند و به دنبال فعالیت خاصی می گردد. به عنوان مثال، وقتی کاربر روی یک برنامه بانکی ضربه می‌زند، کد مخرب یک پنجره تمام صفحه باز می‌شود که برنامه اصلی را تقلید می‌کند. این به بازیگر بد این شانس را می دهد که اطلاعات کاربر را بدون هدایت کردن شخص به یک وب سایت به دست آورد.

جلوگیری از حملات به خطر انداختن ایمیل های تجاری

برومر گفت که شرکت‌ها باید حداقل یک بار در سال آموزش های مربوط به امنیت و حفظ حریم خصوصی را انجام دهند. آموزش باید منعکس کننده مسئولیت های شغلی و نقش افراد در شرکت باشد.

او گفت: «مدیران، مدیر عامل و اعضای هیئت مدیره به بالاترین سطح آموزش نیاز دارند زیرا همیشه مورد حمله قرار می گیرند. نگهبان میز جلو به نوع دیگری از آموزش نیاز دارد، اما همه به آن نیاز دارند.

شرکت‌ها همچنین باید در صورت موفقیت‌آمیز بودن یک حمله فیشینگ، واکنش به نقض داده‌ها را تمرین کنند. برومر توصیه کرد که یک گروه چندکاره تشکیل شود که شامل سرپرست تیم امنیت فناوری اطلاعات، افسر ارشد حریم خصوصی، نماینده ای از هیئت مدیره شرکت، کارشناسان امنیت داخلی و احتمالاً یک مربی نقض کننده و مشاور حقوقی خارجی نیز می شود.

او گفت: «تعداد زیادی از افراد هستند که نیاز به هماهنگی دارند، و جمع کردن این گروه به زمان و تمرین نیاز دارد. همه چیز روی کاغذ خوب به نظر می رسد، اما اگر تمرین نکنید، یک رخنه رخ می دهد و هرج و مرج رخ می دهد.

او افزود که رهبران شرکت اغلب این واقعیت را نادیده می گیرند که تیم پاسخ باید تمام وقت خود را به مشکل اختصاص دهد تا زمانی که حل شود.

مجرمان سایبری ادعا می کنند که اشنایدر الکتریک از پرداخت باج به صورت باگت خودداری کرده است.

در ماه نوامبر، یک باج افزار باج افزار به نام Hellcat ادعا کرد که زیرساخت اشنایدر الکتریک را نقض کرده است. این گروه گفت که به محیط Atlassian Jira این شرکت دسترسی پیدا کرده و به آنها امکان سرقت داده‌ها را می دهد.

این شرکت تایید کرد که پلتفرم توسعه‌دهنده‌اش نقض شده است و تیم واکنش آن در حال بررسی این حادثه است.

مجرمان سایبری برای اولین بار در تاریخ 7 نوامبر باج 125000 دلاری باگت را ارسال کردند. بازیگر تهدید گفت که اگر مدیر عامل شرکت علناً نقض را تأیید کند، تقاضای باج 50 درصد کاهش می یابد.

با این حال، در 29 دسامبر، مجرمان سایبری اطلاعات سرقت شده را در سایت نشت داده های خود منتشر کردند و ادعا کردند که این شرکت از پرداخت باج امتناع کرده است. پست در وب تاریک فقط از یک فایل غول پیکر (40 گیگابایت) تشکیل شده است که گفته می شود حاوی داده های شرکت در مورد پروژه ها، مسائل، افزونه ها و بیش از 400000 ردیف از داده های کاربر است.

سایبرنیوز برای اظهار نظر با اشنایدر الکتریک تماس گرفته است، اما هنوز پاسخی دریافت نشده است.

باند Hellcat قبلاً اطلاعاتی را به بیرون درز داده است که ادعا می شود متعلق به وزارت آموزش اردن، دانشکده تجارت در تانزانیا و ارتباطات خصوصی از برنامه Pinger است.

حادثه کنونی سومین حمله سایبری مهم اشنایدر الکتریک در 18 ماه گذشته است. در فوریه 2024، باج افزار باج افزار کاکتوس مسئولیت سرقت 1.5 ترابایت اطلاعات حساس از این شرکت را بر عهده گرفت.

سال گذشته، اشنایدر الکتریک اذعان کرد که توسط گروه باج افزار Cl0p در طول کمپین MOVEit zero-day مورد هدف قرار گرفته است.

حملات باج افزارها در حال افزایش است و باعث ایجاد سردردهای عظیم در شرکت ها و سازمان ها می شود. بر اساس گزارش‌ها، متوسط ​​تقاضای باج به 1.3 میلیون دلار افزایش یافته است و انواع خاصی تا 4.3 میلیون دلار برای یک کلید رمزگشایی درخواست می‌کنند.

اگرچه برای جلوگیری از تحریک اقتصاد جنایی به شدت توصیه می‌شود که درخواست‌های باج‌افزاری را پرداخت نکنید، میانگین ضرر مالی پس از مذاکرات همچنان به 353000 دلار می‌رسد.

رئیس پلیس فتا استان خوزستان از دستگیری مزاحم اینترنتی در فضای سایبری، خبر داد.
 

 پایگاه اطلاع رسانی پلیس فتا: سرهنگ کارآگاه علی حسینی در تشریح این خبر بیان داشت: با مراجعه یکی از شهروندان خانم به پلیس فتا شهرستان دزفول، وی مدعی شد شخصی در یکی از شبکه اجتماعی، اقدام به انتشار مطالب توهین آمیز و مستهجن علیه وی نموده و باعث خدشه وارد کردن به آبرو او شده است. به همین دلیل موضوع در دستور کار این پلیس قرار گرفت.

وی افزود: کارشناسان پلیس فتا با انجام اقدامات فنی و اطلاعاتی، موفق به شناسایی متهمه شده و ضمن هماهنگی با مقام قضایی، او را دستگیر کردند. 

این مقام انتظامی ادامه داد: متهمه که از نزدیکان شاکیه بوده، پس از مشاهده مستندات و ادله دیجیتال جمع‌آوری شده، به بزه ارتکابی اعتراف و هدف خود را از بین بردن آبروی قربانی می‌دانست. در نتیجه به همراه پرونده تکمیلی به دادسرا معرفی شد.

سرهنگ حسینی ضمن هشدار به مجرمان سایبری یادآور شد: انتشار تصاویر خصوصی و هتک حیثیت در فضای مجازی جزء مصادیق مجرمانه بوده و با خاطیان در این‌گونه جرائم برابر قانون به‌ شدت برخورد می‌شود.

رئیس پلیس فتا استان خوزستان در پایان خاطرنشان کرد: شهروندان عزیز توجه داتشه باشند تصاویر شخصی و خانوادگی خود را حدالامکان در فضای مجازی به اشتراک نگذارند.

Finastra در حال بررسی یک سرقت اطلاعات در مقیاس بزرگ است که ظاهراً 400 گیگابایت از اسناد داخلی آن را به خطر انداخته است. از آن زمان این داده‌ها در یک انجمن هکرها منتشر شده است.

شرکت فین‌تک مستقر در لندن، Finastra، مشتریان خود را از نقض داده‌ها مطلع کرده است که منجر به فروش 400 گیگابایت مشتری خصوصی و داده‌های شرکت در یک انجمن مجرمان سایبری شده است.

این رخنه اولین بار توسط روزنامه نگار امنیت سایبری برایان کربز فاش شد که یک نسخه از افشای رویداد امنیتی شرکت در 8 نوامبر 2024 به دست آورد.

Finastra به حدود 8100 موسسه مالی در سراسر جهان خدمات ارائه می‌دهد، از جمله عملیات روزانه Finastra عمدتاً شامل رسیدگی به پرونده‌های دیجیتال با دستورالعمل‌های انتقال سیم و بانک برای مشتریان خود است. سال گذشته، این شرکت 1.9 میلیارد دلار درآمد داشت.

طبق اخطار نقض، در 7 نوامبر، تیم امنیتی این شرکت فعالیت مشکوکی را در "پلت فرم انتقال فایل با میزبانی داخلی" Finastra شناسایی کرد. پروتکل انتقال امن فایل (SFTP) روشی است که به طور گسترده توسط سازمان‌ها برای انتقال ایمن فایل‌ها و مجموعه داده‌های بزرگ از طریق اینترنت استفاده می‌شود.

Finastra در این افشاگری می‌گوید: «در 8 نوامبر، یک عامل تهدید در وب تاریک ارتباط برقرار کرد و ادعا کرد که داده‌هایی از این پلتفرم استخراج شده است. این شرکت ادعا کرد که "هیچ تاثیر مستقیمی" بر عملیات مشتری و سیستم مشتریان وجود ندارد.

در اطلاعیه شرکت آمده است: «بازیگر تهدید بدافزار را مستقر نکرده یا هیچ فایل مشتری را در محیط دستکاری نکرده است. "علاوه بر این، هیچ پرونده‌ای به جز فایل‌های استخراج شده مشاهده یا دسترسی نبود."

Finastra در بیانیه‌ای به Krebs توضیح داد که SFTP آسیب دیده توسط همه مشتریان استفاده نمی‌شود و پلت فرم پیش فرض برای تبادل فایل‌های داده مربوط به طیف گسترده محصولات آن نیست.

اسکرین شات‌های جمع‌آوری شده توسط پلتفرم اطلاعات سایبری Ke-la.com نشان می‌دهد که مهاجمان در ابتدا تلاش کردند تا داده‌هایی را که گفته می‌شود از Finastra به سرقت رفته بود، در 31 اکتبر بفروشند.

به گفته کربس، پست‌های انجمن نشان می‌دهد که عامل تهدید ممکن است حداقل یک هفته قبل از اینکه شرکت اعلام کند برای اولین بار فعالیت مشکوکی را شناسایی کرده است، به سیستم اشتراک‌گذاری فایل Finastra دسترسی پیدا کرده است.

بنیاد Shadowserver گزارش می‌دهد که بیش از 2000 فایروال شبکه Palo Alto از طریق دو آسیب‌پذیری روز صفر هک شده‌اند. 
 

محققان امنیت سایبری در Shadowserver فاش کردند که تقریباً 2000 فایروال شبکه پالو آلتو در معرض خطر قرار گرفته است. این نقض‌ها دو آسیب‌پذیری روز صفر را در نرم‌افزار PAN-OS این شرکت شناسایی کرده‌اند. این آسیب‌پذیری‌ها با نام‌های CVE-2024-0012 و CVE-2024-9474 برچسب‌گذاری شده‌اند.

آسیب‌پذیری‌ها
CVE-2024-0012: این آسیب‌پذیری یک دور زدن احراز هویت در رابط وب مدیریت PAN-OS است. این به مهاجمان راه دور اجازه می‌دهد تا بدون احراز هویت، امتیازات مدیر را به دست آورند. این بدان معنی است که مهاجمان می‌توانند تنظیمات دیوار آتش را دستکاری کنند و آنها را در معرض سوء‌استفاده بیشتر قرار دهند.

CVE-2024-9474: این نقص یک مسئله تشدید امتیاز است. پس از سوء‌استفاده، به مهاجمان اجازه می‌دهد تا دستورات را با امتیازات ریشه اجرا کنند و به آنها کنترل کامل بر فایروال در معرض خطر را می‌دهد.

عملیات قمری پیک - فعالیت تهدید مداوم
شبکه‌های پالو آلتو، بهره‌برداری اولیه از این آسیب‌پذیری‌ها را «عملیات Lunar Peek» نامگذاری کرده است. Palo Alto Networks ابتدا در 8 نوامبر به مشتریان در مورد محدودیت دسترسی به فایروال‌های نسل بعدی خود به دلیل نقص نامشخص اجرای کد از راه دور هشدار داد.

از آن زمان، این شرکت پس از انتشار عمومی بینش‌های فنی توسط محققان شخص ثالث در 19 نوامبر 2024، افزایش قابل توجهی در فعالیت تهدید مشاهده کرده است.

واحد 42، تیم اطلاعاتی تهدید شبکه‌های پالو آلتو، با اطمینان متوسط ​​تا بالا ارزیابی می‌کند که یک زنجیره بهره‌برداری عملکردی CVE-2024-0012 و CVE-2024-9474 در دسترس عموم است، که می‌تواند منجر به فعالیت تهدید گسترده‌تر شود.

این شرکت در حال حاضر در حال بررسی حملات جاری است که شامل زنجیره‌سازی این دو آسیب‌پذیری برای هدف قرار دادن تعداد محدودی از رابط‌های وب مدیریت دستگاه است. این شرکت مشاهده کرده است که عوامل تهدید بدافزار را حذف می‌کنند و دستوراتی را روی فایروال‌های آسیب‌ دیده اجرا می‌کنند، که نشان می‌دهد احتمالاً یک سوءاستفاده زنجیره‌ای در حال حاضر در حال استفاده است.

توصیه هایی برای کاربران
Palo Alto Networks چندین توصیه برای کاهش خطر ارائه کرده است:

نظارت و بررسی: کاربران باید هرگونه فعالیت مشکوک یا غیرعادی در دستگاه‌های دارای رابط وب مدیریتی را که در معرض اینترنت قرار دارند نظارت کنند. پس از اعمال وصله، بررسی تنظیمات فایروال و گزارش‌های حسابرسی برای هر گونه نشانه‌ای از فعالیت غیرمجاز سرپرست بسیار مهم است.

وصله فوری: به مشتریان توصیه می‌شود سیستم‌های خود را برای دریافت آخرین وصله‌هایی که CVE-2024-0012 و CVE-2024-9474 را اصلاح می‌کنند، به روز کنند. اطلاعات دقیق درباره محصولات و نسخه‌های آسیب‌ دیده را می‌توانید در مشاوره‌های امنیتی Palo Alto Networks بیابید.

محدود کردن دسترسی: برای کاهش خطر، Palo Alto Networks توصیه می‌کند که دسترسی به رابط وب مدیریت را فقط به آدرس‌های IP داخلی قابل اعتماد محدود کنید. این مطابق با دستورالعمل‌های استقرار بهترین عملکرد توصیه شده آنها است.

بینش تخصصی
الاد لوز، رئیس تحقیقات Oasis Security، بر اهمیت اقدام فوری حتی قبل از پچ کردن تاکید می‌کند. او به مشتریان آسیب دیده توصیه می‌کند که دسترسی به رابط مدیریت وب را محدود کنند و ترجیحاً فقط IP‌های داخلی را مجاز کنند. Luz همچنین بر لزوم اطمینان از اینکه دستگاه‌ها پس از وصله‌سازی از هرگونه بدافزار یا پیکربندی مخرب بالقوه عاری هستند، تأکید می‌کند.

یک پلتفرم هدایای تبلیغاتی محبوب، gs-jj.com، 300000 ایمیل از مشتریان را برای ماه‌ها در معرض نمایش گذاشت. این نشت به احتمال شکست‌های امنیتی عملیاتی اشاره دارد، زیرا به نظر می‌رسد این شرکت از چین فعالیت می‌کند و 2500 ایمیل ارسال شده از دامنه‌های .mil و .gov را ارائه کرده است.

در 10 ژوئیه 2024، تیم تحقیقاتی Cybernews یک نمونه باز Elasticsearch متعلق به EnamelPins Inc را کشف کرد. این شرکت پشت سرویس gs-jj.com، لوازم جانبی نمادین، مانند وصله‌ها، سنجاق‌های برگردان، نشان‌ها، مدال‌ها و موارد دیگر را طراحی و تولید می‌کند.

Elasticsearch یک موتور جستجو و تجزیه و تحلیل قدرتمند برای تجزیه‌ و تحلیل سریع مقادیر زیادی از داده‌ها است.

نمونه EnamelPins حاوی بیش از 300000 ایمیل خصوصی بود که بین شرکت و مشتریانش ارسال شده بود. برخی از ایمیل‌ها حاوی نام کامل، سایر اطلاعات شخصی خصوصی و اسناد طراحی محصول بودند. کاربران در معرض خطر نیز در معرض هدف قرار گرفتن در کمپین‌های spearphishing یا سایر فعالیت‌های مخرب قرار می‌گیرند.

در میان ایمیل‌های فاش شده، حدود 2500 ایمیل از دامنه‌های ایمیل .mil و .gov متعلق به افسران مختلف ارتش ایالات متحده و مقامات دولتی بود. اینها بیشتر سفارش محصولاتی مانند وصله، سکه، مدال و در برخی موارد حتی نشان گردان بود.

«ایمیل‌ها و پیوست‌ها اطلاعات حساسی را در مورد مقامات عالی رتبه نظامی افشا می‌کردند. آنها می‌توانند برای تعیین موقعیت آنها در واحدهای ارتش خاص، شماره تلفن، آدرس ایمیل و آدرس‌های حمل‌و نقل استفاده شوند. محققان سایبرنیوز گفتند که پیوست‌ها شامل طرح‌هایی برای نشان‌ها بودند.

تیم تحقیقاتی همچنین سایر مشکلات امنیتی را در مورد وب‌سایت کشف کردند، مانند پیکربندی مخزن git لو رفته، پوشه و ساختار فایل وب‌سایت. به نظر می‌رسد این فایل‌های مخفی به طور تصادفی آپلود شده و سهوا باز گذاشته شده‌اند. آنها پیوندهای عملیاتی این شرکت با چین را آشکار می‌کنند.

EnamelPins Inc. یک شرکت خصوصی است که در کالیفرنیا، ایالات متحده ثبت شده است. این سرویس در سال 2018 تأسیس شد. خدمات gs-jj.com عمدتاً غیرنظامیان را هدف قرار داده است.

با انتشار GPT-4o در ماه مه 2024 به همراه GPT-4، احتمالاً از خود می‌پرسید که تفاوت بین این مدل‌های هوش مصنوعی چیست و از کدام مدل ChatGPT باید استفاده کنید.

اگرچه مدل‌های GPT-4 OpenAI از یک پایه شروع می‌شوند، اما تفاوت‌های قابل‌توجهی دارند که به این معنی است که برای برخی از کارها بدون در نظر گرفتن هزینه‌های مرتبط با دسترسی به آنها، نسبت به سایرین مناسب‌تر هستند.

تفاوت بین مدل‌های GPT-4 OpenAI 

مدل‌های GPT-4 OpenAI شامل انواع مختلفی هستند که هر کدام برای رفع نیازهای مختلف طراحی شده‌اند. در اینجا مروری بر تفاوت‌های GPT-4، GPT-4o (Omni) و GPT-4o mini است.

GPT-4 مدل پایه است. این جملات پیچیده را می‌فهمد و تولید می‌کند و برای طیف وسیعی از کاربردها مانند نوشتن خلاق، تجزیه و تحلیل داده‌ها، ترجمه زبان و تولید کد مفید است. با پنجره زمینه 23000-25000 کلمه GPT-4، همچنین می‌توانید چندین سند طولانی را ضمیمه کنید و از آنها بخواهید به هر سؤالی در مورد فایل‌های آپلود شده شما پاسخ دهند. از آنجایی که این مدل پایه این سری است، شما همچنین می‌توانید به تمام ویژگی‌های مفید GPT -4 در GPT-4 Turbo و GPT-4o دسترسی داشته باشید.

GPT-4o mini یک مدل زبان کوچک (SLM) است که به خوبی با بسیاری از مدل‌های زبان بزرگ (LLM) رقابت می‌کند. اگرچه GPT-4o mini بر روی مجموعه داده‌های کوچکتر و خاص‌تر آموزش داده شده است، GPT-4o mini در برخی از زمینه‌های کلیدی، مانند سرعت پاسخگویی و دسترسی رایگان کاربر، بهتر از GPT-4 عمل می‌کند.

با این حال، در حالی که GPT-4o mini به عنوان یک مدل چندوجهی طراحی شده است، نسخه فعلی ChatGPT آن تنها از متن پشتیبانی می‌کند، بدون اینکه توانایی استفاده از بینایی یا صدا را داشته باشد. علاوه بر این، برخلاف GPT-4 و GPT-4o، ChatGPT به GPT-4o mini اجازه نمی‌دهد فایل‌ها را پیوست کند. هنوز مشخص نیست که آیا ChatGPT قابلیت‌های چندوجهی را در GPT-4o mini در آینده امکان‌پذیر می‌کند یا خیر.

GPT-4o ("o" برای "omni") آخرین مدل اضافه شده به سری مدل‌های GPT-4 است و مدل پیش‌فرض انتخاب شده برای کاربران ChatGPT Free و Plus است. این مدل هوشمندتر و چهار برابر سریع‌تر از GPT-4 است که آن را برای برنامه‌های بلادرنگ ایده‌آل می‌کند. GPT-4o اولین مدل چند وجهی در این سری بود که قادر به تجزیه و تحلیل انواع فرمت‌های فایل مانند متن، صدا، تصویر و ویدئو بود و می‌تواند متن و تصاویر را در ChatGPT تولید کند.

علاوه بر این، OpenAI به کاربران سطح رایگان امکان دسترسی محدود به GPT-4o را با 16 پیام در هر 3 ساعت داده است. پس از آن، ChatGPT به استفاده از GPT-3.5 برمی‌گردد.
علاوه بر هزینه‌ها، زمان پاسخ و پنجره زمینه، معیار دقت را برای هر مدل نیز اضافه کرده‌ام تا به مقایسه دقت در کارهای مختلف کمک کند. آزمون‌های معیار شامل MMLU برای آزمایش دانش آکادمیک، GPQA برای ارزیابی دانش عمومی، HumanEval برای ارزیابی توانایی مدل‌ها در کدنویسی‌ و MATH برای حل مسائل ریاضی است. در هر کدام نمره بالاتر بهتر است.

از کدام مدل GPT-4 باید استفاده کنید؟

انتخاب مدل مناسب به نیازهای خاص شما و ماهیت وظایفی که قصد انجام آن را دارید بستگی دارد.

GPT-4o قدرتمندترین مدل در خط تولید است. بالاترین نمرات دقت را در تمام تست‌های محک دار دارد و احتمالا بهترین عملکرد را در هر تعاملی خواهد داشت. با این حال، تعداد پیام‌هایی که می‌توانید برای GPT-4o ارسال کنید، محدود است، به خصوص برای کاربران سطح آزاد. این محدودیت دلیلی کلیدی است که چرا باید همچنان به ChatGPT Plus ارتقا دهید.

با این حال، بهتر است استفاده از GPT-4o را برای فعل و انفعالاتی که نیاز به ورودی‌ها و خروجی‌های چندوجهی دارند یا زمانی که به حداکثر دقت نیاز است رزرو کنید. از آنجایی که GPT-4o mini از نظر ریاضیات، دانش آکادمیک، کدنویسی و دانش عمومی بهتر از GPT-4 عمل می‌کند، این مدل باید برای پرس‌و‌جوهای مبتنی بر متن در جایی که به دقت بالاتری نیاز است استفاده شود. از مدل GPT-4 برای مواردی که پیوست کردن فایل‌هایی مانند اسناد، فایل‌های PDF و صدا مورد نیاز است استفاده کنید.

محققان امنیت سایبری یک قطعه مخفی جدید از بدافزار لینوکس را کشف کرده‌اند که از روشی غیر متعارف برای دستیابی به پایداری در سیستم‌های آلوده و پنهان کردن کد اسکیمر کارت اعتباری استفاده می‌کند.

این بدافزار که به یک عامل تهدید با انگیزه مالی نسبت داده می‌شود، توسط تیم خدمات پاسخگویی به حوادث Aon's Stroz Friedberg با نام رمز sedexp شناخته شده است.

محققین می‌گویند: «این تهدید پیشرفته که از سال 2022 فعال است، در دید آشکار پنهان می‌شود و در عین حال به مهاجمان قابلیت‌های پوسته معکوس و تاکتیک‌های پنهان‌سازی پیشرفته را ارائه می‌دهد».

چیزی که sedexp را قابل توجه می‌کند استفاده آن از قوانین udev برای حفظ پایداری است. Udev، جایگزینی برای Device File System، مکانیزمی را برای شناسایی دستگاه‌ها بر اساس ویژگی‌های آن‌ها و پیکربندی قوانینی ارائه می‌دهد تا در صورت تغییر در وضعیت دستگاه، یعنی دستگاهی که به برق وصل یا حذف شده است، پاسخ دهند.

هر خط در فایل قوانین udev حداقل یک بار دارای جفت کلید-مقدار است، که این امکان را فراهم می‌کند که دستگاه‌ها را بر اساس نام مطابقت داده و هنگام شناسایی رویدادهای مختلف دستگاه، اقدامات خاصی را آغاز کند (به عنوان مثال، هنگام اتصال یک درایو خارجی، یک پشتیبان‌گیری خودکار راه‌اندازی شود)

SUSE Linux در مستندات خود خاطرنشان می‌کند: «یک قانون تطبیق ممکن است نام گره دستگاه را مشخص کند، پیوندهای نمادین را به گره اضافه کند، یا یک برنامه مشخص را به عنوان بخشی از مدیریت رویداد اجرا کند». "اگر هیچ قانون منطبقی یافت نشد، نام گره دستگاه پیش فرض برای ایجاد گره دستگاه استفاده می‌شود."

این بدافزار دارای قابلیت‌هایی برای راه‌اندازی پوسته معکوس برای تسهیل دسترسی از راه دور به میزبان آسیب‌دیده، و همچنین تغییر حافظه برای پنهان کردن فایل‌های حاوی رشته «sedexp» از دستوراتی مانند ls یا find است.

استروز فریدبرگ گفت در مواردی که بررسی کرده است، از این قابلیت برای مخفی کردن پوسته‌های وب، فایل‌های پیکربندی تغییر یافته آپاچی و خود قانون udev استفاده شده است.

محققان گفتند: «این بدافزار برای مخفی کردن کد خراش کارت اعتباری در یک وب سرور استفاده شد که نشان دهنده تمرکز بر سود مالی است. "کشف sedexp پیچیدگی در حال تکامل عوامل تهدید کننده با انگیزه مالی فراتر از باج افزار را نشان می‌دهد."