about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
مطالب پربازدید
ادعای
1403/12/06 - 20:15- تروریسم سایبری

ادعای مؤسسه صهیونیستی آلما درباره واحد ۳۰۰ سازمان جنگ الکترونیک؛ پروپاگاندایی برای توجیه تجاوزات سایبری رژیم

مؤسسه تحقیقاتی اسرائیلی آلما در مقاله‌ای ادعا کرد که برخی یگان‌های ایران از جمله واحد 300 درگیر کمک‌های نظامی برای احیای حزب‌الله هستند.

مقاله
1403/12/23 - 15:23- ایران

مقاله اندیشکده هندی درباره گروه هکری سایبر اونجرز

سایت هندی متخصص در زمینه سایبر به نام «TheSecMaster» مقاله‌ای جدید درمورد گروه هکری انتقام‌جویان سایبری منتشر کرد.

یک
1403/11/17 - 09:27- تروریسم سایبری

یک اندیشکده آمریکایی حملات سایبری منتسب به ایران را اغراق‌آمیز توصیف کرد

اندیشکده FDD ادعا کرد که ایران اغلب یک بازیگر سایبری درجه دوم است که هکرهای آن به طور مرتب از عملیات‌های نفوذ فقط برای تحریک و ایجاد وحشت استفاده می‌کنند.

بدافزارهای جدیدی به نام‌های اچ تی تی پی اسنوپ و پایپ اسنوپ در حملات سایبری به ارائه‌دهندگان خدمات مخابراتی در خاورمیانه استفاده می‌شوند و به عوامل تهدید اجازه می‌دهند تا دستورات را از راه دور بر روی دستگاه‌های آلوده اجرا کنند.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، بدافزار اچ تی تی پی اسنوپ (HTTPSnoop) با درایورها و دستگاه‌های هسته اچ تی تی پی (HTTP) ویندوز برای اجرای محتوا در نقطه پایانی آلوده بر اساس پیوند (URL) های خاص اچ تی تی پی و یا اچی تی تی پی اس کار می کند و بدافزار پایپ اسنوپ (PipeSnoop) کد پوسته دلخواه را از یک پایپ نام‌گذاری شده می‌پذیرد و اجرا می‌کند.

طبق گزارش سیسکو تالوس (Cisco Talos)، این دو بدافزار متعلق به یک مجموعه نفوذی به نام شرودد اسنوپر (ShroudedSnooper) هستند؛ اما از نظر سطح نفوذ اهداف عملیاتی متفاوتی را انجام می دهند.

هر دو بدافزار به‌عنوان اجزای امنیتی محصول پالو آلتو نتوورگس کورتکس اکس دی آر (Palo Alto Networks Cortex XDR) برای جلوگیری از تشخیص داده شدن، ظاهر شده‌اند.

اچ تی تی پی اسنوپ
این بدافزار از ای پی آی (API) های سطح پایین ویندوز برای نظارت بر ترافیک اچ تی تی پی و یا اچ تی تی پی اس در دستگاه آلوده برای پیوند های خاص استفاده می کند.

هنگامی که بدافزار شناسایی شد، داده های کدگذاری شده با بیس 64 (base64)، ورودی را از آن پیوند ها رمزگشایی می کند و آن را به عنوان یک کد پوسته روی میزبان در معرض خطر اجرا می کند.

بدافزار که از طریق ربودن دی ال ال (DLL) بر روی سیستم هدف فعال می شود، از دو جزء تشکیل شده است: پوسته کد مرحله 2 که یک وب سرور پشتی را از طریق فراخوانی هسته راه اندازی می کند و همچنین پیکربندی آن.

اچ تی تی پی اسنوپ یک حلقه شنیداری ایجاد می‌کند که منتظر درخواست‌های اچ تی تی پی ورودی می‌ماند و داده‌های معتبر را هنگام ورود پردازش می‌کند؛ در غیر این صورت، یک تغییر مسیر اچ تی تی پی 302 (HTTP 302) را برمی گرداند.

کد پوسته دریافتی رمزگشایی و اجرا می‌شود و نتیجه اجرا به عنوان حباب‌های کدگذاری شده با اکس او آر (XOR) با کد بیس 64 به مهاجمان بازگردانده می‌شود.

این بدافزار همچنین تضمین می کند که هیچ پیوندی با پیوندهای پیکربندی شده قبلی روی سرور تداخل نداشته باشد.

سیسکو سه نوع اچ تی تی پی اسنوپ را دیده است که هر کدام از الگوهای گوش دادن به پیوندهای مختلفی استفاده می کنند.

اولی به درخواست‌های مبتنی بر پیوند اچ تی تی پی عمومی گوش می‌دهد، دومی به پیوند‌هایی که از سرویس وب مایکروسافت اکسچنج (Microsoft Exchange) تقلید می‌کنند، و سومی به پیوند‌هایی که آفیس ترک/ال بی اس (LBS/OfficeTrack) و برنامه‌های مخابراتی آفیس کور (OfficeCore) را شبیه‌سازی می‌کنند.

این گونه‌ها بین 17 آوریل و 29 آوریل 2023 نمونه‌برداری شدند، که جدیدترین آنها دارای کمترین تعداد پیوندهایی است که به آنها گوش می‌دهد که این امر احتمالاً برای افزایش مخفی کاری انجام شده است.

تقلید از الگوهای پیوند قانونی از خدمات شبکه مایکروسافت اکسچنج و آفیس ترک، باعث می‌شود که درخواست‌های مخرب تقریباً از ترافیک بی‌خطر، قابل تشخیص نباشند.

پایپ اسنوپ
سیسکو برای اولین بار بدافزار پایپ اسنوپ را در می 2023 مشاهده کرد که به عنوان یک درب پشتی عمل می کند که داده های کد پوسته را در نقاط پایانی شکسته شده از طریق پایپ های ارتباط بین فرآیندی ویندوز (Windows IPC) اجرا می کند.

تحلیلگران خاطرنشان می کنند که برخلاف اچ تی تی پی اسنوپ که به نظر می رسد سرورهای عمومی را هدف قرار می دهد، پایپ اسنوپ برای عملیات عمیق در شبکه های در معرض خطر مناسب تر است.

سیسکو همچنین خاطرنشان می کند که این بدافزار به قطعه ای نیاز دارد که کد پوسته را تامین کند.

با این حال، تحلیلگران آن قادر به شناسایی این قطعه نیستند.

ارائه دهندگان خدمات مخابراتی اغلب به دلیل نقش حیاتی خود در اجرای زیرساخت های حیاتی و انتقال اطلاعات بسیار حساس از طریق شبکه ها، هدف عوامل تهدید مورد حمایت دولتها قرار می گیرند.

افزایش اخیر حملات تحت حمایت دولت علیه مؤسسات مخابراتی بر نیاز فوری به اقدامات امنیتی و همکاری بین المللی برای محافظت از آنها تأکید می کند.

منبع:

تازه ترین ها
آمریکا
1404/02/13 - 15:31- آمریکا

آمریکا به دنبال قطع نقش‌آفرینی صنعت جرایم سایبری جنوب‌شرق آسیا

وزارت خزانه‌داری ایالات متحده، گروه هوی‌وان مستقر در کامبوج را به‌عنوان یک نهاد دارای نگرانی اصلی در زمینه پول‌شویی معرفی کرده و پیشنهاد داده است که دسترسی این گروه به نظام مالی آمریکا قطع شود.

تحویل
1404/02/13 - 15:21- جرم سایبری

تحویل مظنون حملات باج‌افزاری نتفیلیم از اسپانیا به ایالات متحده

دادستان‌های فدرال روز پنج‌شنبه اعلام کردند که یک شهروند اوکراینی به اتهام استفاده از باج‌افزار نتفیلیم برای حمله به شرکت‌های بزرگ در ایالات متحده و سایر کشورها، به آمریکا تحویل داده شده است.

جریمه
1404/02/13 - 15:14- آمریکا

جریمه ۸.۴ میلیون دلاری برای پیمانکاران دفاعی آمریکا

دو شرکت پیمانکار دفاعی ایالات متحده، ریتیون و گروه نایت‌وینگ، موافقت کردند که برای حل‌وفصل اتهاماتی مبنی بر نقض مفاد قرارداد با وزارت دفاع، مبلغ ۸.۴ میلیون دلار به دولت پرداخت کنند.