about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
آسیب پذیری
مطالب پربازدید
ادعای
1403/12/06 - 20:15- تروریسم سایبری

ادعای مؤسسه صهیونیستی آلما درباره واحد ۳۰۰ سازمان جنگ الکترونیک؛ پروپاگاندایی برای توجیه تجاوزات سایبری رژیم

مؤسسه تحقیقاتی اسرائیلی آلما در مقاله‌ای ادعا کرد که برخی یگان‌های ایران از جمله واحد 300 درگیر کمک‌های نظامی برای احیای حزب‌الله هستند.

مقاله
1403/12/23 - 15:23- ایران

مقاله اندیشکده هندی درباره گروه هکری سایبر اونجرز

سایت هندی متخصص در زمینه سایبر به نام «TheSecMaster» مقاله‌ای جدید درمورد گروه هکری انتقام‌جویان سایبری منتشر کرد.

یک
1403/11/17 - 09:27- تروریسم سایبری

یک اندیشکده آمریکایی حملات سایبری منتسب به ایران را اغراق‌آمیز توصیف کرد

اندیشکده FDD ادعا کرد که ایران اغلب یک بازیگر سایبری درجه دوم است که هکرهای آن به طور مرتب از عملیات‌های نفوذ فقط برای تحریک و ایجاد وحشت استفاده می‌کنند.

انتشار شده در تاریخ

آسیب پذیری و حملات هدفمند BlackOasis

بررسی کارشناسان امنیتی موسسه کسپرسکی نشان می‌دهد آسیب‌پذیری روز صفرم Adobe Flash فعالیت مخرب خود را روی سیستم‌عامل‌های مختلف و سازمان‌های استفاده‌کننده توسعه داده است.


به گزارش کارگروه امنیت سایبربان؛ در 10 اکتبر 2017 واحد پیشگیری آزمایشگاه کسپرسکی آسیب‌پذیری جدیدی در نرم‌افزار Adobe Flash شناسایی کرد که کاربران را موردحمله قرار می‌داد. بررسی‌ها نشان می‌دهد بدافزار نام‌برده با فعالیت‌های مخرب خود روی فایل‌های مایکروسافت آخرین نسخه خود را اجرا کرده است. پس از شناسایی و ارائه شناسه CVE-2017-11292 به آسیب‌پذیری مذکور، شرکت Adobe وصله امنیتی برای این نقص فنی ارائه کرد.


جزییات آسیب‌پذیری
پس از بررسی‌های صورت گرفته مشخص شد که آسیب‌پذیری نام‌برده توسط مهاجمی به نام BlackOasis توسعه داده‌شده است. بررسی‌ها نشان می‌دهد مهاجم پس از بهره‌برداری از آسیب‌پذیری نام‌برده فعالیت مخرب خود را اجرا کرده است. شرکت فایرآی پس از بررسی‌های خود اعلام کرد مهاجم با استفاده از LoadSource FinSpy در حملات خود فعالیت سرور را تحت نظر قرار داده و شناسه‌ی CVE-2017-8759 را به آسیب‌پذیری نام‌برده اختصاص داد.

جزییات BlackOasis
پس از اولین بررسی‌های صورت گرفته از نحوه فعالیت BlackOasis کارشناسان به بررسی نرم‌افزار ادوبی پرداختند در این میان با شناسایی آسیب‌پذیری با شناسه CVE-2016-4117 در نسخه lash Player 21.0.0.226 و نسخه‌های قبلی ارائه‌شده برای سیستم‌عامل‌های ویندوز، لینوکس، مکینتاش و سیستم‌عامل Chrome تأثیرپذیر هستند، ارائه‌شده است.
آزمایشگاه کسپرسکی پس از بررسی‌های خود موفق به شناسایی این آسیب‌پذیری در سیستم‌عامل‌ها شد. در این میان بررسی‌های خود را در قالب سند RTF از شناسه CVE-2016-4117 که فعلیت خود را در قالب ارسال و دریافت اطلاعات از یک سرور کنترل و فرماندهی اجرا می‌کند را موردبررسی قرارداد.
با استفاده از اطلاعات به‌دست‌آمده دوزنجیره دیگر نیز توسط مهاجم مورد بهره‌برداری قرار گرفت که در ژوئن 2015 شناسایی شدند. آسیب‌پذیری‌های نام‌برده با شناسه‌های CVE-2015-5119 و CVE-2016-0984 به ترتیب در جولای 2015 و فوریه 2016 نصب و اجراشده‌اند.
پس از بررسی‌های صورت گرفته در مورد نحوه حملات و بهره‌برداری BlackOasis جزییات بهره‌برداری و نحوه فعالیت این بدافزار را موردبررسی قراردادیم که زیر به آن اشاره‌شده است.

به‌طور خلاصه، BlackOasis با استفاده از حداقل پنج آسیب‌پذیری روز صفرم از ژوئن 2015 دیده‌شده است:
•    CVE-2016-0984 – June 2015
•     CVE-2015-5119 – June 2015
•    CVE-2016-4117 – May 2016
•    CVE-2017-8759 – Sept 2017
•    CVE-2017-11292 – Oct 2017

حملات صورت گرفته توسط CVE-2017-11292
حمله موردنظر در این میان با استفاده از ارسال ایمیل مخرب اجرا می‌شود.

فلش متصل شده حاوی ActionScript است که مسئول بهره‌برداری از بسته نرم‌افزاری با استفاده از FinSpy است.

بهره‌برداری از این قابلیت فقط با استفاده از آسیب‌پذیری موجود در حافظه صورت می‌گیرد که در کلاس com.adobe.tvsdk.mediacore.BufferControlParameters موجود است این در حالتی است که در صورت موفقیت‌آمیز بودن بهره‌برداری توسط مهاجم عملیات خواندن و نوشتن توسط مهاجم اجرا می‌شود و در مرحله دوم مهاجم به اجرای یک shellcode برای پیش برد اهداف خود استفاده می‌کند.
 
Shellcode اولیه شامل ابزار NOP است که با ارسال دستورات جایگزین به‌منظور جلوگیری از تشخیص محصولات ضدویروس در سامانه است.

هدف اصلی فعالیت شل کد اولیه مهیا کردن مسیر و دانلود شل کد دوم از آدرس hxxp://89.45.67.]107/rss/5uzosoff0u.iaf. است که در تصویر زیر نشان داده‌شده است.

اقدام نهایی صورت گرفته توسط شل، شامل موارد زیر است.
1.    دانلود نهایی FinSpy از آدرس hxxp://89.45.67.]107/rss/mo.exe
2.    دانلود IP آدرس‌های مورداستفاده توسط قربانی
3.    اجرای نهایی فعالیت و نمایش آن
همان‌طور که قبلاً به آن اشاره شد نرم‌افزار موردنظر با استفاده از قابلیت هَش 4a49135d2ecc07085a8b7c5925a36c0a و استفاده از الگوریتم MD5 به‌عنوان جدیدترین نسخه بدافزار FinSpy Gamma International شناخته شد است که به‌طورمعمول به سازمان‌ها دولت‌ها و سایر سازمان‌ها فروخته می‌شود؛ که در قالب ماشین‌های مجازی به کاربران ارائه می‌شود.
PCODE ماشین مجازی با aplib بسته‌بندی‌شده است.
پس از باز کردن ماشین مجازی و رمزگشایی کردن آن در قالب تصویر زیر نشان داده‌شده است.
پشتیبانی از 34 دستورالعمل توسط ماشین مجازی


هنگامی‌که مقدار بار با موفقیت اجرا شود فایل‌ها به مکان‌های زیر کپی می‌شوند.
•    C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
•    C:\ProgramData\ManagerApp\15b937.cab
•    C:\ProgramData\ManagerApp\install.cab
•    C:\ProgramData\ManagerApp\msvcr90.dll
•    C:\ProgramData\ManagerApp\d3d9.dll
فایل AdapterTroubleshooter.exe به‌عنوان یک نوع کد باینری است که برای استفاده و سرقت اطلاعات از طریق کدهای DLL فعالیت خود را اجرا می‌کند. فایل مخرب d3d9.dll پس از اجرای legit به حافظه بارگذاری شده و به اجرای فرایند Winlogon کمک می‌کند.
برای بارگذاری و کنترل اطلاعات هم‌زمان به سه سرور C2 تماس می‌گیرد این در حالی است که اخیراً یکی از این سرورها با شناسه آسیب‌پذیری CVE-2017-8759 در حملات صورت گرفته توسط FireEye گزارش‌شده است. بررسی‌ها نشان می‌دهد که این IP ها و دیگر نمونه‌های قبلی نزدیک به فعالیت گروه BlackOasis APT است.


اهداف و قربانیان
گستره وسیع قربانیان این گروه شامل مناطقی از خاورمیانه مانند چهره‌های برجسته در سازمان ملل، وبلاگ نویسان و فعالان اپوزیسیون و خبرنگاران منطقه‌ای می‌شود. قربانیان BlackOasis در کشورهای زیر مشاهده‌شده است: روسیه، عراق، افغانستان، نیجریه، لیبی، اردن، تونس، عربستان سعودی، ایران، هلند، بحرین و انگلیس.


نتیجه‌گیری
بررسی‌ها نشان می‌دهد که حمله به HackingTeam در اواسط 2015 شکاف بزرگی در بازار ابزارهای نظارتی به وجود آورد که هم‌اکنون توسط شرکت‌ها این شکاف امنیتی پرشده است. بررسی‌های صورت گرفته نشان می‌دهد تعداد حملات صورت گرفته متکی بر نرم‌افزار FinFisher با استفاده از آسیب‌پذیری روز صفرم صورت گرفته که شرح داده خواهد شدد.
برای آسیب‌پذیری CVE-2017-11292 و سایر آسیب‌پذیری‌های مشابه، می‌توان از killbit برای فلش در سازمان‌ها جهت غیرفعال کردن برنامه‌های مخرب استفاده شود. استقرار یک رویکرد چندلایه ازجمله سیاست‌های دسترسی، ضدویروس، نظارت بر شبکه و لیست سفید می‌تواند اطمینان حاصل کند که مشتریان در برابر تهدیدات مانند این محافظت می‌شوند.
•    PDM:Exploit.Win32.Generic
•    HEUR:Exploit.SWF.Generic
•    HEUR:Exploit.MSOffice.Generic

موضوع:

تازه ترین ها
جریمه
1404/02/14 - 15:18- سایر شبکه های اجتماعی

جریمه ۶۰۰ میلیون دلاری تیک‌تاک

نهاد ناظر بر حفظ حریم خصوصی داده‌ها در ایرلند اعلام کرد که تیک‌تاک را به دلیل نقض قوانین سخت‌گیرانه اتحادیه اروپا درباره نحوه انتقال داده‌های شخصی به خارج از این اتحادیه و عدم رعایت الزامات شفافیت، ۵۳۰ میلیون یورو (معادل ۶۰۰ میلیون دلار) جریمه کرده است.

تاثیر
1404/02/14 - 15:07- جرم سایبری

تاثیر نفوذ اطلاعاتی به اسنشن هلث بر بیش از 100 هزار نفر

شرکت اسنشن هلث این هفته از وقوع یک حادثه امنیتی دیگر خبر داد و به بیش از ۱۰۰ هزار نفر در ایالت‌های مختلف هشدار داد که اطلاعات آن‌ها احتمالاً در اواخر سال گذشته به دست هکرها افتاده است.

اتهام
1404/02/14 - 14:56- جرم سایبری

اتهام آمریکا علیه یک مرد یمنی در ارتباط با حملات باج‌افزاری

دادستان‌های فدرال ایالات متحده اعلام کردند که مردی ۳۶ ساله که گمان می‌رود ساکن یمن باشد، به مدت دو سال در عملیات باج‌افزاری بلک کینگدام یا همان پادشاهی سیاه مشارکت داشته است.

مطالب مرتبط

در این بخش مطالبی که از نظر دسته بندی و تگ بندی مرتبط با محتوای جاری می باشند نمایش داده می‌شوند.