اینترنت خانههای یک روستا در ولز هر روز ساعت ۷ صبح دچار اختلال میشد.
کارشناسها پس از ۱۸ ماه تحقیق فهمیدند که یکی در اون ساعت تلویزیون قدیمی خودش رو روشن میکرد و این دستگاه قدیمی سیگنالی منتشر میکرد که اینترنت پهنباند کل روستا مختل میشد.
منبع:
https://www.bbc.com/news/uk-wales-54239180
🦁«کتاس»
http://t.me/ict_security
کارشناسها پس از ۱۸ ماه تحقیق فهمیدند که یکی در اون ساعت تلویزیون قدیمی خودش رو روشن میکرد و این دستگاه قدیمی سیگنالی منتشر میکرد که اینترنت پهنباند کل روستا مختل میشد.
منبع:
https://www.bbc.com/news/uk-wales-54239180
🦁«کتاس»
http://t.me/ict_security
Bbc
Internet: Old TV caused village broadband outages for 18 months
Every morning at 7am when the second hand TV was switched on, the village internet went down.
Forwarded from IACS (Pedram Kiani)
This media is not supported in your browser
VIEW IN TELEGRAM
در اینجا پنج دلیل که چرا سازمان شما باید تست نفوذ را به شیوه های امنیتی خود اضافه کند را ببینید.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
ادرس ایمیل:
admin@ics-cert.ir
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
وبسایت:
https://ics-cert.ir
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
ادرس ایمیل:
admin@ics-cert.ir
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
وبسایت:
https://ics-cert.ir
⚠️هشدار❗️
آسيبپذيریهای روزصفرم منع سرویس در نرم افزار IOS XR سیسکو
🔷 این آسیبپذیریها دارای شناسه CVE-2020-3566 و CVE-2020-3569 و شدت 8.6 از 10 هستند.
🔶 این آسیبپذیریها در واقع نقص DoS در قابلیت Distance Vector Multicast Routing Protocol (DVMRP) از نرمافزار IOS XR سیسکو هستند، که به مهاجم غیرمجاز از راه دور اجازه میدهد بلافاصله فرآیند IGMP را متوقف سازد و یا تمام حافظهی موجود را مصرف نموده و در نهایت موجب خرابی حافظه گردد.
🔴 تمامی دستگاههای سیسکو که در حال اجرای هر نسخه از نرمافزار IOS XR هستند و قابلیت مسیریابی چندپخشی (Multicast routing) بر روی آنها فعال شده است تحت تأثیر این آسیبپذیریها قرار دارند.
✅ توصیه به مدیران شبکه 👇
▪️در تاریخ 29 سپتامبر 2020 سیسکو برای رفع هر دو آسیبپذیری بهروزرسانی منتشر نمود. توصیه میشود هر چه سریعتر بهروزرسانیها اعمال شوند.
▪️اگر در حال حاضر بهروزرسانی امکانپذیر نیست سیسکو دو راهحل برای کاهش خطر در دستگاههای آسیبپذیر ارائه نموده است:
1⃣ این راهحل مانع از بهرهبرداری موفق آسیبپذیریها نمیشود، اما میزان ترافیک IGMP را به پایینتر از میزان متوسط فعلی محدود میکند و موجب افزایش زمان لازم برای بهرهبرداری موفق میگردد. این روش با وارد نمودن دستور زیر در مُد پیکربندی قابل پیادهسازی خواهد بود:
RP/0/0/CPU0:router(config)# lpts pifib hardware police flow igmp rate
2⃣ در این راهحل توصیه میشود لیست کنترل دسترسی رابطها (ACL) بهروزرسانی شود و یا یک لیست جدید با ورودی کنترل دسترسی ایجاد شود که در آن از ترافیک ورودی DVMRP بر روی آن رابط جلوگیری میشود. این روش با وارد نمودن دستور زیر قابل پیادهسازی خواهد بود:
RP/0/0/CPU0:router(config)# ipv4 access-list deny igmp any any dvmrp
🦁«کتاس»
http://t.me/ict_security
آسيبپذيریهای روزصفرم منع سرویس در نرم افزار IOS XR سیسکو
🔷 این آسیبپذیریها دارای شناسه CVE-2020-3566 و CVE-2020-3569 و شدت 8.6 از 10 هستند.
🔶 این آسیبپذیریها در واقع نقص DoS در قابلیت Distance Vector Multicast Routing Protocol (DVMRP) از نرمافزار IOS XR سیسکو هستند، که به مهاجم غیرمجاز از راه دور اجازه میدهد بلافاصله فرآیند IGMP را متوقف سازد و یا تمام حافظهی موجود را مصرف نموده و در نهایت موجب خرابی حافظه گردد.
🔴 تمامی دستگاههای سیسکو که در حال اجرای هر نسخه از نرمافزار IOS XR هستند و قابلیت مسیریابی چندپخشی (Multicast routing) بر روی آنها فعال شده است تحت تأثیر این آسیبپذیریها قرار دارند.
✅ توصیه به مدیران شبکه 👇
▪️در تاریخ 29 سپتامبر 2020 سیسکو برای رفع هر دو آسیبپذیری بهروزرسانی منتشر نمود. توصیه میشود هر چه سریعتر بهروزرسانیها اعمال شوند.
▪️اگر در حال حاضر بهروزرسانی امکانپذیر نیست سیسکو دو راهحل برای کاهش خطر در دستگاههای آسیبپذیر ارائه نموده است:
1⃣ این راهحل مانع از بهرهبرداری موفق آسیبپذیریها نمیشود، اما میزان ترافیک IGMP را به پایینتر از میزان متوسط فعلی محدود میکند و موجب افزایش زمان لازم برای بهرهبرداری موفق میگردد. این روش با وارد نمودن دستور زیر در مُد پیکربندی قابل پیادهسازی خواهد بود:
RP/0/0/CPU0:router(config)# lpts pifib hardware police flow igmp rate
2⃣ در این راهحل توصیه میشود لیست کنترل دسترسی رابطها (ACL) بهروزرسانی شود و یا یک لیست جدید با ورودی کنترل دسترسی ایجاد شود که در آن از ترافیک ورودی DVMRP بر روی آن رابط جلوگیری میشود. این روش با وارد نمودن دستور زیر قابل پیادهسازی خواهد بود:
RP/0/0/CPU0:router(config)# ipv4 access-list deny igmp any any dvmrp
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
هشدار
اخیرا پیامی مبنی بر دریافت کفشهای رایگان شرکت آدیداس به مناسبت ۹۳ سالگی این شرکت به دست برخی از کاربران رسیده است. در این خبر که از طریق نرمافزار پیامرسان Whats App منتشر شده، یک لینک مربوط به سایت (جعلی) آدیداس دیده میشود.
از دید کاربران عادی، این لینک مربوط به سایت Adidas بوده و با توجه به عنوان وسوسه انگیز این پیام، احتمال باز کردن آن زیاد است.
پس از بررسیهای اولیه، کارشناسان این مرکز متوجه دو نکته در ساختار این پیام شدهاند.
نکته ی اول اینکه این سایت دارای گواهینامهی امنیتی معتبر نبوده و از پروتکل ناامن http به جای https استفاده میکند که برای وبسایت یک شرکت مشهور و بزرگ امری غیر عادی است.
نکتهی دوم حرف i است که در واقع i نیست و بجای نقطه، بروی آن یک ^ کوچک قرار دارد.
در ادامه مشخص شد که این یک صفحهی جعلی و احتمالا آلوده است و از روش Puny-code phishing برای ساخت این صفحهی جعلی استفاده شده است.
در گذشته مقالهی کاملی در خصوص نحوهی کارکرد این نوع حمله منتشر کرده است که در این پست در دسترس است.
قربانی به علت استفاده از مرورگر های بروز نشده بروی سایت جعلی بالا کلیک نموده و وارد سایت شده و پس از آن سوالات زیر از او پرسیده میشود:
آیا تابه حال از محصولات آدیداس استفاده کردهاید؟
آیا از محصول راضی بودید؟
آیا سن شما بیشتر از ۱۸ سال است؟
سایز پای شما چند است؟
و در انتها از قربانی سوال مبنی بر تمایل او برای به اشتراک گذاری آن با دوستانش پرسیده میشود که در صورد تایید آن را برای ۱۰ نفر از مخاطبین قربانی (به انتخاب خودش) ارسال میکند.
سوالات پرسیده شده بسیار منطقی بودهاند و احتمال اینکه قربانی به جعلی بودن سایت شک کند وجود ندارد، ولی نکتهای که قابل تشخیص است، این موضوع میباشد که هدف این سایت جعلی هدیه کفش آدیداس نیست و به احتمال زیاد یا قربانی را عضو یک بات نت میکند، یا در پس ماجرا از منابع آن برای استخراج ارز دیجیتال استفاده میکند و یا بدون اطلاع کاربر و به واسطهی تعاملی که با سایت میکند (کلیکها ) بدافزاری بروی سیستم او نصب شده و یا Session او دزدیده میشود.
اینکه کدام مورد بالا در این سایت رخ میدهد نیازمند بررسی های بیشتر است که در آینده به اطلاع خواهد رسید.
لازم به ذکر است که اگر این سایت را در یک مرورگر بروزرسانی شده باز کنید آدرس جعلی آن به راحتی قابل مشاهده است:
البته سازندگان این سایت خلاقیت به خرج داده و این سایت را بروی سایتی دیگر Redirect نموده اند، به نحوی که پس از چند لحظه آدرس آن عوض میشود و یک آدرس معقول تر در نوار آدرس به نمایش گذاشته میشود:
اگر از تلفن همراه برای بازکردن این لینک استفاده نمودهاید پیشنهاد میشود تلفن همراه خود را به تنظیمات کارخانه برگردانید و یا آن را به یک متخصص امنیت جهت بررسی دقیق نشان دهید.
لطفا این پست را به اشتراک بگذارید .
🦁«کتاس»
http://t.me/ict_security
اخیرا پیامی مبنی بر دریافت کفشهای رایگان شرکت آدیداس به مناسبت ۹۳ سالگی این شرکت به دست برخی از کاربران رسیده است. در این خبر که از طریق نرمافزار پیامرسان Whats App منتشر شده، یک لینک مربوط به سایت (جعلی) آدیداس دیده میشود.
از دید کاربران عادی، این لینک مربوط به سایت Adidas بوده و با توجه به عنوان وسوسه انگیز این پیام، احتمال باز کردن آن زیاد است.
پس از بررسیهای اولیه، کارشناسان این مرکز متوجه دو نکته در ساختار این پیام شدهاند.
نکته ی اول اینکه این سایت دارای گواهینامهی امنیتی معتبر نبوده و از پروتکل ناامن http به جای https استفاده میکند که برای وبسایت یک شرکت مشهور و بزرگ امری غیر عادی است.
نکتهی دوم حرف i است که در واقع i نیست و بجای نقطه، بروی آن یک ^ کوچک قرار دارد.
در ادامه مشخص شد که این یک صفحهی جعلی و احتمالا آلوده است و از روش Puny-code phishing برای ساخت این صفحهی جعلی استفاده شده است.
در گذشته مقالهی کاملی در خصوص نحوهی کارکرد این نوع حمله منتشر کرده است که در این پست در دسترس است.
قربانی به علت استفاده از مرورگر های بروز نشده بروی سایت جعلی بالا کلیک نموده و وارد سایت شده و پس از آن سوالات زیر از او پرسیده میشود:
آیا تابه حال از محصولات آدیداس استفاده کردهاید؟
آیا از محصول راضی بودید؟
آیا سن شما بیشتر از ۱۸ سال است؟
سایز پای شما چند است؟
و در انتها از قربانی سوال مبنی بر تمایل او برای به اشتراک گذاری آن با دوستانش پرسیده میشود که در صورد تایید آن را برای ۱۰ نفر از مخاطبین قربانی (به انتخاب خودش) ارسال میکند.
سوالات پرسیده شده بسیار منطقی بودهاند و احتمال اینکه قربانی به جعلی بودن سایت شک کند وجود ندارد، ولی نکتهای که قابل تشخیص است، این موضوع میباشد که هدف این سایت جعلی هدیه کفش آدیداس نیست و به احتمال زیاد یا قربانی را عضو یک بات نت میکند، یا در پس ماجرا از منابع آن برای استخراج ارز دیجیتال استفاده میکند و یا بدون اطلاع کاربر و به واسطهی تعاملی که با سایت میکند (کلیکها ) بدافزاری بروی سیستم او نصب شده و یا Session او دزدیده میشود.
اینکه کدام مورد بالا در این سایت رخ میدهد نیازمند بررسی های بیشتر است که در آینده به اطلاع خواهد رسید.
لازم به ذکر است که اگر این سایت را در یک مرورگر بروزرسانی شده باز کنید آدرس جعلی آن به راحتی قابل مشاهده است:
البته سازندگان این سایت خلاقیت به خرج داده و این سایت را بروی سایتی دیگر Redirect نموده اند، به نحوی که پس از چند لحظه آدرس آن عوض میشود و یک آدرس معقول تر در نوار آدرس به نمایش گذاشته میشود:
اگر از تلفن همراه برای بازکردن این لینک استفاده نمودهاید پیشنهاد میشود تلفن همراه خود را به تنظیمات کارخانه برگردانید و یا آن را به یک متخصص امنیت جهت بررسی دقیق نشان دهید.
لطفا این پست را به اشتراک بگذارید .
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
Forwarded from IACS (Pedram Kiani)
هشدار در خصوص گسترش حملات باج افزاری پیرو مشاهده برخی شواهد باج افزاری، لازم است به منظور پیشگیری و مقابله با اینگونه حملات، موارد ذیل در اسرع وقت اجرایی گردد:
1- با توجه به گسترش بسیاری از باج افزارها از طریق AD، لازم است پسورد کلیه کاربران Admin سرویس AD، در بازه های زمانی کوتاه عوض شود.
2- اسکریپت های اجرایی در policy چک شده و موارد غیر متعارف پاک شوند.
3- در صورت وجود شک در مورد امن سازی سرویس AD روی سرور اصلی و Additional، لازم است سرویس از ابتدا بر روی سرور دیگر راه اندازی گردد.
4- از عدم وجود هر نوع آلودگی بدافزاری بر روی سرور AD اطمینان حاصل شود.
5- در صورت استفاده از سرویس exchange در سازمان، از به روز بودن آن، آنتی ویروس و آنتی اسپم آن اطمینان حاصل شود.
6- از کلیه سرویس ها و اطلاعات حیاتی پشتیبان تهیه شود و فایل های پشتیبان خارج از شبکه نگهداری شوند.
7- پسورد کلیه کاربران طی بازه های زمانی حداکثر 3 ماهه عوض شود.
8- از به روز بودن سرویس های لبه شبکه اطمینان حاصل شود.
۹- دسترسی از راه دور RDP به کلیه سرورها و کلاینت ها، تا حد امکان غیرفعال و محدود گردد.
10- در صورت مشاهده اولین شواهد، بلافاصله سرور AD از شبکه جدا شود.
11- شواهد آلودگی بلافاصله با این مرکز در میان گذاشته شود. مرکز مدیریت راهبری افتا
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
ادرس ایمیل:
admin@ics-cert.ir
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
وبسایت:
https://ics-cert.ir
1- با توجه به گسترش بسیاری از باج افزارها از طریق AD، لازم است پسورد کلیه کاربران Admin سرویس AD، در بازه های زمانی کوتاه عوض شود.
2- اسکریپت های اجرایی در policy چک شده و موارد غیر متعارف پاک شوند.
3- در صورت وجود شک در مورد امن سازی سرویس AD روی سرور اصلی و Additional، لازم است سرویس از ابتدا بر روی سرور دیگر راه اندازی گردد.
4- از عدم وجود هر نوع آلودگی بدافزاری بر روی سرور AD اطمینان حاصل شود.
5- در صورت استفاده از سرویس exchange در سازمان، از به روز بودن آن، آنتی ویروس و آنتی اسپم آن اطمینان حاصل شود.
6- از کلیه سرویس ها و اطلاعات حیاتی پشتیبان تهیه شود و فایل های پشتیبان خارج از شبکه نگهداری شوند.
7- پسورد کلیه کاربران طی بازه های زمانی حداکثر 3 ماهه عوض شود.
8- از به روز بودن سرویس های لبه شبکه اطمینان حاصل شود.
۹- دسترسی از راه دور RDP به کلیه سرورها و کلاینت ها، تا حد امکان غیرفعال و محدود گردد.
10- در صورت مشاهده اولین شواهد، بلافاصله سرور AD از شبکه جدا شود.
11- شواهد آلودگی بلافاصله با این مرکز در میان گذاشته شود. مرکز مدیریت راهبری افتا
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
ادرس ایمیل:
admin@ics-cert.ir
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
وبسایت:
https://ics-cert.ir
Telegram
Pedram Kiani
IT service management and ICT & ICS security consultant & trainer.
Forwarded from IACS (Pedram Kiani)
آسيبپذيري CVE-۲۰۱۷-۱۴۴۹۱ در Siemens SCALANCE
هشدار در خصوص آسيبپذيري CVE-۲۰۱۷-۱۴۴۹۱ در Siemens SCALANCE W۱۷۵۰D, M۸۰۰, S۶۱۵, and RUGGEDCOM RM۱۲۲۴ كه به مهاجم امكان حمله DoS را ميدهد. توصيه ميشود نسبت به بروزرساني اقدام شود.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
ادرس ایمیل:
admin@ics-cert.ir
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
وبسایت:
https://ics-cert.ir
هشدار در خصوص آسيبپذيري CVE-۲۰۱۷-۱۴۴۹۱ در Siemens SCALANCE W۱۷۵۰D, M۸۰۰, S۶۱۵, and RUGGEDCOM RM۱۲۲۴ كه به مهاجم امكان حمله DoS را ميدهد. توصيه ميشود نسبت به بروزرساني اقدام شود.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
ادرس ایمیل:
admin@ics-cert.ir
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
وبسایت:
https://ics-cert.ir
Telegram
Pedram Kiani
IT service management and ICT & ICS security consultant & trainer.
⚠️ محققان کسپرسکی جزییات روتکیتی مبتنی بر Unified Extensible Firmware Interface – به اختصار UEFI – را منتشر کردند که در جریان بررسی حملات اجرا شده در سال میلادی گذشته بر ضد دو سازمان موفق به کشف آن شدهاند.
این نوع بدافزارها با رخنه در ماژول حافظه Serial Peripheral Interface – به اختصار SPI – نه تنها در صورت تغییر سیستم عامل ماندگار میماند که حتی جایگزینی دیسک سخت نیز تأثیری در حضور این بدافزار نخواهد داشت.
این بوتکیت UEFI که محققان کسپرسکی آن را MosaicRegressor نامگذاری کردهاند یک بستر مبتنی بر ماژول (Modular) و چندمرحلهای است که به گفته این شرکت توسط هکرهای چینیزبان در عملیاتهای جاسوسی و سرقت دادهها مورد استفاده قرار گرفته بوده است.
در MosaicRegressor مهاجمان با تزریق چندین ماژول مخرب اقدام به دستکاری ثابتافزار UEFI و بهرهگیری از آن برای توزیع بدافزار بر روی دستگاههای مقصد میکردند.
این بوت کیت مجهز به چند دریافتکننده (Downloader) و اجراکننده (Loader) واسطی است که امکان دریافت و اجرای کدهای مخرب بر روی دستگاه قربانی را برای مهاجمان فراهم میکنند. بستر چند ماژولی MosaicRegressor ضمن دشوار کردن تحلیل، مهاجمان را قادر به استفاده از امکانات مختلف بسته به شرایط بر روی ماشینهای مقصد میکند.
محققان کسپرسکی نیز در بررسیهای خود به تعداد محدودی از این کدها دست یافتهاند. یکی از این کدها توسط نسخهای از بوتکیت با نام BitsRegEx برای سرقت، آرشیو کردن و استخراج اطلاعات در پوشه موسوم به Recent Documents مورد استفاده قرار گرفته است. این روتکیت UEFI نسخهای سفارشی از بوتکیت VectorEDK متعلق به شرکت ایتالیایی Hacking Team است که در سال 2015 افشا شده بود.
در فاصله سالهای ۲۰۱۷ تا ۲۰۱۹، نمونههایی از MosaicRegressor بر روی کامپیوترهای چندین سازمان غیرانتفاعی و نهاد دیپلماتیک در آفریقا، آسیا و اروپا فعال بوده.
محققان کسپرسکی معتقدند که همگی قربانیان به نحوی با کره شمالی در ارتباط بودهاند.
کسپرسکی اعلام کرده که موفق به پیدا کردن روش اصلی آلودگی که منجر به رونویسی فرم ور UEFI میشده نگردیده است. یکی از احتمالات مطرح شده از سوی کسپرسکی دسترسی فیزیکی مهاجمان به ماشینهای هدف و بالا آوردن آن از طریق یک حافظه USB Flash برای تزریق کد آلوده بوده است.
احتمال مطرح شده دیگر نصب از راه دور بوتکیت با بهرهجویی (BIOS) از آسیبپذیریهای BIOS است.
دو سال قبل نیز شرکت ESET جزییات بوتکیت دیگری با نام LoJax را بهصورت عمومی منتشر کرده بود. گروه روسیزبان APT28 بوتکیت LoJax را در کنار نرمافزار معتبر ضدسرقت LoJack در قالب ماژولهای UEFI اصلاح شده به اهداف خود تزریق میکردند.
پیش از آن و در سال 2016 هم سایت افشاگر WikiLeaks اقدام به انتشار اسنادی سری کرد که در آنها ابزارهای مورد استفاده در عملیاتهای سایبری سازمان اطلاعات مرکزی آمریکا تشریح شده بودند. برخی از این اسناد نشان میداد که این سازمان با بهرهجویی از آسیبپذیریهایی روز صفر، کد مخرب را مستقیماً به ثابتافزار دستگاهها از جمله UEFI تزریق میکرده است. در پی درز اسناد مذکور در آن سال، شرکت مکآفی راهکاری را برای پویش UEFI دستگاه بهمنظور بررسی وجود کد مخرب بر روی آن منتشر کرد.
مشروح گزارش کسپرسکی در خصوص MosaicRegressor در لینک زیر قابل دریافت و مطالعه است:
https://securelist.com/mosaicregressor/98849/
🦁«کتاس»
http://t.me/ict_security
این نوع بدافزارها با رخنه در ماژول حافظه Serial Peripheral Interface – به اختصار SPI – نه تنها در صورت تغییر سیستم عامل ماندگار میماند که حتی جایگزینی دیسک سخت نیز تأثیری در حضور این بدافزار نخواهد داشت.
این بوتکیت UEFI که محققان کسپرسکی آن را MosaicRegressor نامگذاری کردهاند یک بستر مبتنی بر ماژول (Modular) و چندمرحلهای است که به گفته این شرکت توسط هکرهای چینیزبان در عملیاتهای جاسوسی و سرقت دادهها مورد استفاده قرار گرفته بوده است.
در MosaicRegressor مهاجمان با تزریق چندین ماژول مخرب اقدام به دستکاری ثابتافزار UEFI و بهرهگیری از آن برای توزیع بدافزار بر روی دستگاههای مقصد میکردند.
این بوت کیت مجهز به چند دریافتکننده (Downloader) و اجراکننده (Loader) واسطی است که امکان دریافت و اجرای کدهای مخرب بر روی دستگاه قربانی را برای مهاجمان فراهم میکنند. بستر چند ماژولی MosaicRegressor ضمن دشوار کردن تحلیل، مهاجمان را قادر به استفاده از امکانات مختلف بسته به شرایط بر روی ماشینهای مقصد میکند.
محققان کسپرسکی نیز در بررسیهای خود به تعداد محدودی از این کدها دست یافتهاند. یکی از این کدها توسط نسخهای از بوتکیت با نام BitsRegEx برای سرقت، آرشیو کردن و استخراج اطلاعات در پوشه موسوم به Recent Documents مورد استفاده قرار گرفته است. این روتکیت UEFI نسخهای سفارشی از بوتکیت VectorEDK متعلق به شرکت ایتالیایی Hacking Team است که در سال 2015 افشا شده بود.
در فاصله سالهای ۲۰۱۷ تا ۲۰۱۹، نمونههایی از MosaicRegressor بر روی کامپیوترهای چندین سازمان غیرانتفاعی و نهاد دیپلماتیک در آفریقا، آسیا و اروپا فعال بوده.
محققان کسپرسکی معتقدند که همگی قربانیان به نحوی با کره شمالی در ارتباط بودهاند.
کسپرسکی اعلام کرده که موفق به پیدا کردن روش اصلی آلودگی که منجر به رونویسی فرم ور UEFI میشده نگردیده است. یکی از احتمالات مطرح شده از سوی کسپرسکی دسترسی فیزیکی مهاجمان به ماشینهای هدف و بالا آوردن آن از طریق یک حافظه USB Flash برای تزریق کد آلوده بوده است.
احتمال مطرح شده دیگر نصب از راه دور بوتکیت با بهرهجویی (BIOS) از آسیبپذیریهای BIOS است.
دو سال قبل نیز شرکت ESET جزییات بوتکیت دیگری با نام LoJax را بهصورت عمومی منتشر کرده بود. گروه روسیزبان APT28 بوتکیت LoJax را در کنار نرمافزار معتبر ضدسرقت LoJack در قالب ماژولهای UEFI اصلاح شده به اهداف خود تزریق میکردند.
پیش از آن و در سال 2016 هم سایت افشاگر WikiLeaks اقدام به انتشار اسنادی سری کرد که در آنها ابزارهای مورد استفاده در عملیاتهای سایبری سازمان اطلاعات مرکزی آمریکا تشریح شده بودند. برخی از این اسناد نشان میداد که این سازمان با بهرهجویی از آسیبپذیریهایی روز صفر، کد مخرب را مستقیماً به ثابتافزار دستگاهها از جمله UEFI تزریق میکرده است. در پی درز اسناد مذکور در آن سال، شرکت مکآفی راهکاری را برای پویش UEFI دستگاه بهمنظور بررسی وجود کد مخرب بر روی آن منتشر کرد.
مشروح گزارش کسپرسکی در خصوص MosaicRegressor در لینک زیر قابل دریافت و مطالعه است:
https://securelist.com/mosaicregressor/98849/
🦁«کتاس»
http://t.me/ict_security
Securelist
MosaicRegressor: Lurking in the Shadows of UEFI
We found a compromised UEFI firmware image that contained a malicious implant. To the best of our knowledge, this is the second known public case where malicious UEFI firmware in use by a threat actor was found in the wild.
سلام به کاربران ویندوز، یک وصله جدید و مهم در دسترس است. لطفا برای به روز رسانی سیستم عامل خود در اسرع وقت اطمینان حاصل کنید
لینک پچ:.
You can find more info here: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898
🦁«کتاس»
http://t.me/ict_security
لینک پچ:.
You can find more info here: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
هشدار در خصوص آسیب پذیری CVE-2020-5135 در SonicWall''s SonicOS که منجر به حمله DoS می شود. توصیه می شود نسبت به بروزرسانی اقدام شود. مرکز مدیریت راهبردی افتا
🦁«کتاس»
http://t.me/ict_security
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
هشدار در خصوص چندین آسیب پذیری ازجمله CVE-2020-1682 در Junos OS که منجر به حمله DoS می شود. توصیه می شود نسبت به بروزرسانی اقدام شود. مرکز مدیریت راهبردی افتا
🦁«کتاس»
http://t.me/ict_security
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
هشدار در خصوص آسیب پذیری CVE-2020-13943 در Apache Tomcat که به مهاجم امکان دسترسی به اطلاعات حساس را می دهد. توصیه می شود نسبت به بروزرسانی اقدام شود. مرکز مدیریت راهبردی افتا
🦁«کتاس»
http://t.me/ict_security
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
کانال تخصصی امنیت سایبری «کتاس»
Photo
🔻هشدار پلیس درباره ارسال کلیپهای چالش «مومو» برای دانش آموزان
رجبی، رئیس مرکز تشخیص و پیشگیری از جرایم سایبری پلیس فتا ناجا:
🔹در روزهای اخیر شاهد مطرح شدن چالش «مومو» در سطح برخی استانهای کشور به خصوص استانهای جنوبی بوده ایم و برخی کاربران که بیشتر آنها دانش آموز بوده اند پیامهایی حاوی محتوا و تصاویر مومو دریافت کرده اند.
🔹رسیدگی به ارسال پیامها و کلیپهای موسوم به «مومو» به صورت ویژه در دستور کار پلیس فتا قرار گرفته و بزودی افراد داخلی که هدفشان اذیت و آزار دانش آموزان بوده است، گرفتار قانون میشوند.
🔹والدین در صورت برخورد فرزندشان با محتوای «مومو» با آنها صحبت کرده و نگرانی آنها را کاهش دهند.
⚠️"مومو" چالش خطرناک آنلاینی بسیار شبیه به بازی نهنگ آبی است که ابتدا از فیسبوک شروع شد و بعدتر از طریق واتس آپ گسترش پیدا کرد. هدف از این بازی ترسناک، قربانی کردن کودکان و نوجوانان بوده است. «مومو» کودکان و نوجوانان را تهدید میکند در صورتی که از دستورات او پیروی نکنند در شب به رویشان ظاهر شده و آنها را نفرین میکند.
🔻راهکار چیست؟
🔸تنها راهکار اینه که تحت هیچ عنوان بهش پیام ندین! چون ذخیره هر شماره ای در واتساپ، منجر به ذخیره شماره شما نیز برای طرف مقابل میشه، بنابراین با اولین پیامی که به مومو ارسال کنید، در واقع شماره خودتون رو به اون دادین و میتونه از طریق همین شماره اقدام به ایجاد مزاحمت برای شما بکنه.
🔸حتی پس از دیلیت اکانت و ایجاد یک حساب جدید، چون از همون شماره استفاده میکنید، مومو بازهم شما رو پیدا میکنه. حتی گزارشاتی از تماس مومو با افراد نیز دریافت شده که با وجود پاک کردن واتساپ، مومو از طریق شماره تلفن ذخیره شده با اونها تماس گرفته و تهدیدهاش رو مجددا از سر میگیره!
🔺 اگه درگیر چالش مومو شدین، بهترین راهکار پاک کردن حساب واتساپ و استفاده از یک شماره جدید هستش.
#بهداشت_سایبری
🦁«کتاس»
http://t.me/ict_security
رجبی، رئیس مرکز تشخیص و پیشگیری از جرایم سایبری پلیس فتا ناجا:
🔹در روزهای اخیر شاهد مطرح شدن چالش «مومو» در سطح برخی استانهای کشور به خصوص استانهای جنوبی بوده ایم و برخی کاربران که بیشتر آنها دانش آموز بوده اند پیامهایی حاوی محتوا و تصاویر مومو دریافت کرده اند.
🔹رسیدگی به ارسال پیامها و کلیپهای موسوم به «مومو» به صورت ویژه در دستور کار پلیس فتا قرار گرفته و بزودی افراد داخلی که هدفشان اذیت و آزار دانش آموزان بوده است، گرفتار قانون میشوند.
🔹والدین در صورت برخورد فرزندشان با محتوای «مومو» با آنها صحبت کرده و نگرانی آنها را کاهش دهند.
⚠️"مومو" چالش خطرناک آنلاینی بسیار شبیه به بازی نهنگ آبی است که ابتدا از فیسبوک شروع شد و بعدتر از طریق واتس آپ گسترش پیدا کرد. هدف از این بازی ترسناک، قربانی کردن کودکان و نوجوانان بوده است. «مومو» کودکان و نوجوانان را تهدید میکند در صورتی که از دستورات او پیروی نکنند در شب به رویشان ظاهر شده و آنها را نفرین میکند.
🔻راهکار چیست؟
🔸تنها راهکار اینه که تحت هیچ عنوان بهش پیام ندین! چون ذخیره هر شماره ای در واتساپ، منجر به ذخیره شماره شما نیز برای طرف مقابل میشه، بنابراین با اولین پیامی که به مومو ارسال کنید، در واقع شماره خودتون رو به اون دادین و میتونه از طریق همین شماره اقدام به ایجاد مزاحمت برای شما بکنه.
🔸حتی پس از دیلیت اکانت و ایجاد یک حساب جدید، چون از همون شماره استفاده میکنید، مومو بازهم شما رو پیدا میکنه. حتی گزارشاتی از تماس مومو با افراد نیز دریافت شده که با وجود پاک کردن واتساپ، مومو از طریق شماره تلفن ذخیره شده با اونها تماس گرفته و تهدیدهاش رو مجددا از سر میگیره!
🔺 اگه درگیر چالش مومو شدین، بهترین راهکار پاک کردن حساب واتساپ و استفاده از یک شماره جدید هستش.
#بهداشت_سایبری
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
کانال تخصصی امنیت سایبری «کتاس»
🔻هشدار پلیس درباره ارسال کلیپهای چالش «مومو» برای دانش آموزان رجبی، رئیس مرکز تشخیص و پیشگیری از جرایم سایبری پلیس فتا ناجا: 🔹در روزهای اخیر شاهد مطرح شدن چالش «مومو» در سطح برخی استانهای کشور به خصوص استانهای جنوبی بوده ایم و برخی کاربران که بیشتر آنها…
♦️۱۰ نفر در ارتباط با چالش مومو در اصفهان شناسایی شدند
رییس پلیس فتای اصفهان:
🔹در پی دریافت گزارشهایی از تماس با برخی شهروندان با عنوان "مومو" ، ۱۰ نفر در استان اصفهان شناسایی شدند که پس از بررسیها مشخص شد هدف آنها شوخی و تفنن بوده است و در مرحله نخست به آنها تذکر و اخطار داده شد.
🦁«کتاس»
http://t.me/ict_security
رییس پلیس فتای اصفهان:
🔹در پی دریافت گزارشهایی از تماس با برخی شهروندان با عنوان "مومو" ، ۱۰ نفر در استان اصفهان شناسایی شدند که پس از بررسیها مشخص شد هدف آنها شوخی و تفنن بوده است و در مرحله نخست به آنها تذکر و اخطار داده شد.
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
مروری بر متداولترین پیوستهای ایمیل ناقل بدافزار
شناخت پیوستهای مخربی که بهطور گسترده توسط مهاجمان در ایمیلهای فیشینگ ناقل بدافزار مورد استفاده قرار میگیرند نقشی مؤثر در ایمن ماندن از گزند این نوع تهدیدات دارد.
راهاندازی کارزارهای هرزنامهای (Spam Campaign) در ظاهر صورتحساب دعوتنامه، اطلاعات پرداخت، اطلاعات مرسوله، نمابرهای الکترونیکی، پیامهای صوتی و مواردی از این قبیل از روشهای رایج توزیع بدافزار توسط گردانندگان تهدید است. در اکثر مواقع ایمیلهای ارسالی دارای پیوستهایی از نوع سند Word یا صفحه گسترده Excel یا لینکهایی هستند که کلیک بر روی آنها منجر به دریافت این نوع فایلها میشود. با باز شدن فایل و فعال شدن ماکرو (Macros)، بدافزار بر روی دستگاه دریافت و نصب میشود.
https://www.afta.gov.ir/portal/home/?news/235046/237266/242059/
🦁«کتاس»
http://t.me/ict_security
شناخت پیوستهای مخربی که بهطور گسترده توسط مهاجمان در ایمیلهای فیشینگ ناقل بدافزار مورد استفاده قرار میگیرند نقشی مؤثر در ایمن ماندن از گزند این نوع تهدیدات دارد.
راهاندازی کارزارهای هرزنامهای (Spam Campaign) در ظاهر صورتحساب دعوتنامه، اطلاعات پرداخت، اطلاعات مرسوله، نمابرهای الکترونیکی، پیامهای صوتی و مواردی از این قبیل از روشهای رایج توزیع بدافزار توسط گردانندگان تهدید است. در اکثر مواقع ایمیلهای ارسالی دارای پیوستهایی از نوع سند Word یا صفحه گسترده Excel یا لینکهایی هستند که کلیک بر روی آنها منجر به دریافت این نوع فایلها میشود. با باز شدن فایل و فعال شدن ماکرو (Macros)، بدافزار بر روی دستگاه دریافت و نصب میشود.
https://www.afta.gov.ir/portal/home/?news/235046/237266/242059/
🦁«کتاس»
http://t.me/ict_security
www.afta.gov.ir
پورتال-مرکز مدیریت راهبردی افتای ریاست جمهوری -افتا/مروری بر متداولترین پیوستهای ایمیل ناقل بدافزار
پورتال--/
Forwarded from IACS (Pedram Kiani)
کمی تفکر .....
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
ادرس ایمیل:
admin@ics-cert.ir
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
وبسایت:
https://ics-cert.ir
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
ادرس ایمیل:
admin@ics-cert.ir
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
وبسایت:
https://ics-cert.ir
Forwarded from IACS (Pedram Kiani)
هشدار!! RAT جدید ویندوز از طریق کانال تلگرام قابل کنترل است
این RAT جدید با افزایش بدافزارها با ویژگی های کنترل شده توسط تلگرام ، روند افزایشی در جرایم اینترنتی زیرزمینی را نشان می دهد.
محققان امنیتی یک تروجان دسترسی از راه دور (RAT) جدید را در انجمن های هک زیرزمینی روسی زبان کشف کردند.
این بدافزار که T-RAT نامیده می شود تنها با قیمت 45 دلار در دسترس است و نقطه اصلی فروش آن توانایی کنترل سیستم های آلوده از طریق کانال تلگرام و نه پنل مدیریتی تحت وب است.
این نویسنده ادعا می کند این به خریداران امکان دسترسی سریعتر و آسانتر از هر مکان به رایانه های آلوده را می دهد ، به بازیگران تهدید اجازه می دهد تا به محض آلوده شدن قربانی ، قبل از کشف حضور RAT ، ویژگی های سرقت اطلاعات را فعال کنند.
برای این منظور ، کانال تلگرامی RAT از 98 دستور پشتیبانی می کند که وقتی در داخل پنجره اصلی چت تایپ شود ، به صاحب RAT اجازه می دهد رمزهای عبور مرورگر و کوکی ها را بازیابی کند ، در سیستم فایل قربانی گشت و گذار کند و اطلاعات حساس را جستجو کند ، یک keylogger مستقر کند ، از طریق میکروفون صدا را ضبط کند ، از دسک تاپ قربانی عکس بگیرید ، از طریق وب کم عکس بگیرید و مطالب کلیپ بورد را بازیابی کنید.
علاوه بر این ، دارندگان T-RAT همچنین می توانند مکانیزم هواپیماربای کلیپ بورد را جایگزین رشته هایی کنند که به نظر می رسد رمز ارزها و آدرس های ارز دیجیتال است و به مهاجم اجازه می دهد معاملات را برای راه حل های پرداخت مانند Qiwi ، WMR ، WMZ ، WME ، WMX ، پول Yandex ربوده ، Payeer ، CC ، BTC ، BTCG ، Ripple ، Dogecoin و Tron.
علاوه بر این ، RAT می تواند دستورات ترمینال (CMD و PowerShell) را نیز اجرا کند ، دسترسی به وب سایت های خاص (مانند آنتی ویروس و سایت های پشتیبانی فنی) را مسدود کند ، فرایندها را از بین ببرد (نرم افزار امنیتی و رفع اشکال) و حتی نوار وظیفه و مدیر وظیفه را غیرفعال کند.
سیستم های کنترل و کنترل ثانویه از طریق RDP یا VNC در دسترس هستند ، اما ویژگی Telegram همان ویژگی تبلیغاتی برای خریداران است که دلیل اصلی آن سهولت نصب و استفاده از آن است.
محبوب شدن تلگرام به عنوان یک کانال C&C بدافزار
اگرچه بسیاری از RAT ها در تبلیغات خود غالباً پنهان هستند ، اما قابلیت های T-RAT در تحلیلی توسط كارستن هان ، محقق امنیتی G DATA ، تأیید شد.
هان در گفتگو با ما گفت T-RAT آخرین مورد از خانواده های بدافزار اخیر است که دارای قابلیت کنترل توسط تلگرام هستند.
استفاده از تلگرام به عنوان سیستم فرمان و کنترل در سال های اخیر روند رو به رشدی داشته است و T-RAT حتی اولین RAT نیست که چنین مدلی را اجرا می کند.
موارد قبلی شامل RATAttack (بارگذاری و حذف از GitHub در سال 2017 ، ویندوز هدفمند) ، HeroRAT (اندروید را هدف قرار می دهد) ، TeleRAT (علیه ایرانیان استفاده می شود ، اندروید را هدف قرار می دهد) ، IRRAT (اندروید را هدف قرار می دهد) ) ، RAT از طریق تلگرام (موجود در GitHub ، ویندوز را هدف قرار می دهد) و Telegram-RAT (موجود در GitHub ، ویندوز را هدف قرار می دهد).
بردار توزیع ناشناخته باقی مانده است
در حال حاضر ، تهدید T-RAT نسبتاً کم است. معمولاً چند ماه طول می کشد تا بازیگران تهدید به فشار جدید بدافزار تجاری اعتماد کنند. با این حال ، هان معتقد است که موش صحرایی RAT در حال حاضر موارد زیر را بدست آورده است.
هان به ما گفت: "بارگذاری منظم نمونه های T-RAT جدید در VirusTotal انجام می شود." "من تصور می کنم که در حال توزیع است اما هیچ مدرک دیگری در مورد آن ندارم."
اما T-RAT تنها RAT جدیدی نیست که این روزها برای فروش ارائه می شود. طبق گزارش Recorded Future ، RAT جدید دیگری نیز در انجمن های هکری به نام Mandaryna تبلیغ شده است.
✅توصیه: حذف سریع تلگرام دسکتاپ از روی کامپیوترهای سازمان
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
ادرس ایمیل:
admin@ics-cert.ir
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
وبسایت:
https://ics-cert.ir
این RAT جدید با افزایش بدافزارها با ویژگی های کنترل شده توسط تلگرام ، روند افزایشی در جرایم اینترنتی زیرزمینی را نشان می دهد.
محققان امنیتی یک تروجان دسترسی از راه دور (RAT) جدید را در انجمن های هک زیرزمینی روسی زبان کشف کردند.
این بدافزار که T-RAT نامیده می شود تنها با قیمت 45 دلار در دسترس است و نقطه اصلی فروش آن توانایی کنترل سیستم های آلوده از طریق کانال تلگرام و نه پنل مدیریتی تحت وب است.
این نویسنده ادعا می کند این به خریداران امکان دسترسی سریعتر و آسانتر از هر مکان به رایانه های آلوده را می دهد ، به بازیگران تهدید اجازه می دهد تا به محض آلوده شدن قربانی ، قبل از کشف حضور RAT ، ویژگی های سرقت اطلاعات را فعال کنند.
برای این منظور ، کانال تلگرامی RAT از 98 دستور پشتیبانی می کند که وقتی در داخل پنجره اصلی چت تایپ شود ، به صاحب RAT اجازه می دهد رمزهای عبور مرورگر و کوکی ها را بازیابی کند ، در سیستم فایل قربانی گشت و گذار کند و اطلاعات حساس را جستجو کند ، یک keylogger مستقر کند ، از طریق میکروفون صدا را ضبط کند ، از دسک تاپ قربانی عکس بگیرید ، از طریق وب کم عکس بگیرید و مطالب کلیپ بورد را بازیابی کنید.
علاوه بر این ، دارندگان T-RAT همچنین می توانند مکانیزم هواپیماربای کلیپ بورد را جایگزین رشته هایی کنند که به نظر می رسد رمز ارزها و آدرس های ارز دیجیتال است و به مهاجم اجازه می دهد معاملات را برای راه حل های پرداخت مانند Qiwi ، WMR ، WMZ ، WME ، WMX ، پول Yandex ربوده ، Payeer ، CC ، BTC ، BTCG ، Ripple ، Dogecoin و Tron.
علاوه بر این ، RAT می تواند دستورات ترمینال (CMD و PowerShell) را نیز اجرا کند ، دسترسی به وب سایت های خاص (مانند آنتی ویروس و سایت های پشتیبانی فنی) را مسدود کند ، فرایندها را از بین ببرد (نرم افزار امنیتی و رفع اشکال) و حتی نوار وظیفه و مدیر وظیفه را غیرفعال کند.
سیستم های کنترل و کنترل ثانویه از طریق RDP یا VNC در دسترس هستند ، اما ویژگی Telegram همان ویژگی تبلیغاتی برای خریداران است که دلیل اصلی آن سهولت نصب و استفاده از آن است.
محبوب شدن تلگرام به عنوان یک کانال C&C بدافزار
اگرچه بسیاری از RAT ها در تبلیغات خود غالباً پنهان هستند ، اما قابلیت های T-RAT در تحلیلی توسط كارستن هان ، محقق امنیتی G DATA ، تأیید شد.
هان در گفتگو با ما گفت T-RAT آخرین مورد از خانواده های بدافزار اخیر است که دارای قابلیت کنترل توسط تلگرام هستند.
استفاده از تلگرام به عنوان سیستم فرمان و کنترل در سال های اخیر روند رو به رشدی داشته است و T-RAT حتی اولین RAT نیست که چنین مدلی را اجرا می کند.
موارد قبلی شامل RATAttack (بارگذاری و حذف از GitHub در سال 2017 ، ویندوز هدفمند) ، HeroRAT (اندروید را هدف قرار می دهد) ، TeleRAT (علیه ایرانیان استفاده می شود ، اندروید را هدف قرار می دهد) ، IRRAT (اندروید را هدف قرار می دهد) ) ، RAT از طریق تلگرام (موجود در GitHub ، ویندوز را هدف قرار می دهد) و Telegram-RAT (موجود در GitHub ، ویندوز را هدف قرار می دهد).
بردار توزیع ناشناخته باقی مانده است
در حال حاضر ، تهدید T-RAT نسبتاً کم است. معمولاً چند ماه طول می کشد تا بازیگران تهدید به فشار جدید بدافزار تجاری اعتماد کنند. با این حال ، هان معتقد است که موش صحرایی RAT در حال حاضر موارد زیر را بدست آورده است.
هان به ما گفت: "بارگذاری منظم نمونه های T-RAT جدید در VirusTotal انجام می شود." "من تصور می کنم که در حال توزیع است اما هیچ مدرک دیگری در مورد آن ندارم."
اما T-RAT تنها RAT جدیدی نیست که این روزها برای فروش ارائه می شود. طبق گزارش Recorded Future ، RAT جدید دیگری نیز در انجمن های هکری به نام Mandaryna تبلیغ شده است.
✅توصیه: حذف سریع تلگرام دسکتاپ از روی کامپیوترهای سازمان
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
ادرس ایمیل:
admin@ics-cert.ir
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
وبسایت:
https://ics-cert.ir
Telegram
Pedram Kiani
IT service management and ICT & ICS security consultant & trainer.
ادوارد اسنودن از روسیه اقامت دائم دریافت کرد.
پیمانکار سابق امنیت ملی در سال 2013 پس از افشای اسناد مربوط به عملیات نظارتی دولت آمریکا ،از آمریکا فرار کرد.وکیل وی روز پنجشنبه گفت ،ادوارد اسنودن ، پیمانکار امنیتی سابق آمریکا ، اقامت دائم در روسیه را دریافت کرده است.
اسنودن ، پیمانکار سابق آژانس امنیت ملی ، پس از درز اسناد طبقه بندی شده با جزئیات برنامه های نظارت دولت ، از سال 2013 در روسیه زندگی می کند تا از پیگرد قانونی در ایالات متحده فرار کند.
آناتولی کوچرنا ، وکیل روسی وی به خبرگزاری اینترفاکس گفت که این درخواست در ماه آوریل ارسال شده است ، اما به دلیل همه گیر شدن ویروس کرونا و محدودیت قفل ، زمان بیشتری برای بررسی آن به مقامات مهاجرت نیاز داشته است.
وی گفت: اسنودن به دليل تغييرات در قوانين مهاجرت روسيه كه در سال 2019 انجام شد ، توانست حقوق اقامت دائم را بدست آورد.
اسنودن که در روسیه از وضعیت مطلوبی برخوردار نبوده و گهگاهی از سیاست های دولت روسیه در شبکه های اجتماعی انتقاد می کند ، سال گذشته گفته بود در صورت تضمین دادرسی عادلانه ، مایل است به ایالات متحده بازگردد.
🦁«کتاس»
http://t.me/ict_security
پیمانکار سابق امنیت ملی در سال 2013 پس از افشای اسناد مربوط به عملیات نظارتی دولت آمریکا ،از آمریکا فرار کرد.وکیل وی روز پنجشنبه گفت ،ادوارد اسنودن ، پیمانکار امنیتی سابق آمریکا ، اقامت دائم در روسیه را دریافت کرده است.
اسنودن ، پیمانکار سابق آژانس امنیت ملی ، پس از درز اسناد طبقه بندی شده با جزئیات برنامه های نظارت دولت ، از سال 2013 در روسیه زندگی می کند تا از پیگرد قانونی در ایالات متحده فرار کند.
آناتولی کوچرنا ، وکیل روسی وی به خبرگزاری اینترفاکس گفت که این درخواست در ماه آوریل ارسال شده است ، اما به دلیل همه گیر شدن ویروس کرونا و محدودیت قفل ، زمان بیشتری برای بررسی آن به مقامات مهاجرت نیاز داشته است.
وی گفت: اسنودن به دليل تغييرات در قوانين مهاجرت روسيه كه در سال 2019 انجام شد ، توانست حقوق اقامت دائم را بدست آورد.
اسنودن که در روسیه از وضعیت مطلوبی برخوردار نبوده و گهگاهی از سیاست های دولت روسیه در شبکه های اجتماعی انتقاد می کند ، سال گذشته گفته بود در صورت تضمین دادرسی عادلانه ، مایل است به ایالات متحده بازگردد.
🦁«کتاس»
http://t.me/ict_security
خبر تایید نشده و دردست بررسی:
🔰 کشف آسیب پذیری از سه دانشگاه علوم پزشکی شهید بهشتی ، ایران ، تهران منجر به نشت اطلاعات بیش از 30 هزار دانشجو شد!
⚠️ این آسیب پذیری منجر به لو رفتن اطلاعاتی مانند نام ، نام خانوادگی ، نام پدر ، تاریخ تولد ، شماره شناسنامه ، محل صدور شناسنامه ، شماره کارت بانکی ، تلفن منزل و ... شد.
🦁«کتاس»
http://t.me/ict_security
🔰 کشف آسیب پذیری از سه دانشگاه علوم پزشکی شهید بهشتی ، ایران ، تهران منجر به نشت اطلاعات بیش از 30 هزار دانشجو شد!
⚠️ این آسیب پذیری منجر به لو رفتن اطلاعاتی مانند نام ، نام خانوادگی ، نام پدر ، تاریخ تولد ، شماره شناسنامه ، محل صدور شناسنامه ، شماره کارت بانکی ، تلفن منزل و ... شد.
🦁«کتاس»
http://t.me/ict_security