about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
جرم سایبری
مطالب پربازدید
تمرکز
1404/06/26 - 14:35- جنگ سایبری

تمرکز اسرائیل بر «پیجر» و جنگ الکترونیک در نبردهای آینده با ایران

مقامات رژیم صهیونیستی، طراحی عملیات‌های غافلگیر کننده ای همچون عملیات پیجرها برای جنگ آینده با ایران را ضروری می دانند.

«حملات
1404/07/10 - 08:30- جنگ سایبری

«حملات تخریبی» به کشور۳ برابر شد/ افشای نام «اهداف اصلی» حملات هکرها

بر اساس داده‌های گزارش سالانه گراف، هوش مصنوعی مولد (GenAI) چشم‌انداز تهدیدات ایران را در سال ۱۴۰۳ دگرگون کرد؛ جایی که حملات با LLMJacking، باج‌افزار و فریب‌های پیشرفته، نهادهای دولتی و آموزشی را در کانون هدف قرار دادند.

نقش
1404/06/24 - 09:51- جنگ سایبری

نقش سرداران شهید « باقری و سلامی» در برتری قدرت سایبری ایران

رویکرد راهبردی شهیدان باقری و سلامی، نیروهای مسلح ایران را با تدوین دکترین سایبری نوآورانه به یکی از قدرت‌های سایبری تبدیل کرد.

انتشار شده در تاریخ

حمله هکرها به ارائه دهندگان خدمات مخابراتی با بدافزارهای جدید

بدافزارهای جدیدی به نام‌های اچ تی تی پی اسنوپ و پایپ اسنوپ در حملات سایبری به ارائه‌دهندگان خدمات مخابراتی در خاورمیانه استفاده می‌شوند و به عوامل تهدید اجازه می‌دهند تا دستورات را از راه دور بر روی دستگاه‌های آلوده اجرا کنند.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، بدافزار اچ تی تی پی اسنوپ (HTTPSnoop) با درایورها و دستگاه‌های هسته اچ تی تی پی (HTTP) ویندوز برای اجرای محتوا در نقطه پایانی آلوده بر اساس پیوند (URL) های خاص اچ تی تی پی و یا اچی تی تی پی اس کار می کند و بدافزار پایپ اسنوپ (PipeSnoop) کد پوسته دلخواه را از یک پایپ نام‌گذاری شده می‌پذیرد و اجرا می‌کند.

طبق گزارش سیسکو تالوس (Cisco Talos)، این دو بدافزار متعلق به یک مجموعه نفوذی به نام شرودد اسنوپر (ShroudedSnooper) هستند؛ اما از نظر سطح نفوذ اهداف عملیاتی متفاوتی را انجام می دهند.

هر دو بدافزار به‌عنوان اجزای امنیتی محصول پالو آلتو نتوورگس کورتکس اکس دی آر (Palo Alto Networks Cortex XDR) برای جلوگیری از تشخیص داده شدن، ظاهر شده‌اند.

اچ تی تی پی اسنوپ
این بدافزار از ای پی آی (API) های سطح پایین ویندوز برای نظارت بر ترافیک اچ تی تی پی و یا اچ تی تی پی اس در دستگاه آلوده برای پیوند های خاص استفاده می کند.

هنگامی که بدافزار شناسایی شد، داده های کدگذاری شده با بیس 64 (base64)، ورودی را از آن پیوند ها رمزگشایی می کند و آن را به عنوان یک کد پوسته روی میزبان در معرض خطر اجرا می کند.

بدافزار که از طریق ربودن دی ال ال (DLL) بر روی سیستم هدف فعال می شود، از دو جزء تشکیل شده است: پوسته کد مرحله 2 که یک وب سرور پشتی را از طریق فراخوانی هسته راه اندازی می کند و همچنین پیکربندی آن.

اچ تی تی پی اسنوپ یک حلقه شنیداری ایجاد می‌کند که منتظر درخواست‌های اچ تی تی پی ورودی می‌ماند و داده‌های معتبر را هنگام ورود پردازش می‌کند؛ در غیر این صورت، یک تغییر مسیر اچ تی تی پی 302 (HTTP 302) را برمی گرداند.

کد پوسته دریافتی رمزگشایی و اجرا می‌شود و نتیجه اجرا به عنوان حباب‌های کدگذاری شده با اکس او آر (XOR) با کد بیس 64 به مهاجمان بازگردانده می‌شود.

این بدافزار همچنین تضمین می کند که هیچ پیوندی با پیوندهای پیکربندی شده قبلی روی سرور تداخل نداشته باشد.

سیسکو سه نوع اچ تی تی پی اسنوپ را دیده است که هر کدام از الگوهای گوش دادن به پیوندهای مختلفی استفاده می کنند.

اولی به درخواست‌های مبتنی بر پیوند اچ تی تی پی عمومی گوش می‌دهد، دومی به پیوند‌هایی که از سرویس وب مایکروسافت اکسچنج (Microsoft Exchange) تقلید می‌کنند، و سومی به پیوند‌هایی که آفیس ترک/ال بی اس (LBS/OfficeTrack) و برنامه‌های مخابراتی آفیس کور (OfficeCore) را شبیه‌سازی می‌کنند.

این گونه‌ها بین 17 آوریل و 29 آوریل 2023 نمونه‌برداری شدند، که جدیدترین آنها دارای کمترین تعداد پیوندهایی است که به آنها گوش می‌دهد که این امر احتمالاً برای افزایش مخفی کاری انجام شده است.

تقلید از الگوهای پیوند قانونی از خدمات شبکه مایکروسافت اکسچنج و آفیس ترک، باعث می‌شود که درخواست‌های مخرب تقریباً از ترافیک بی‌خطر، قابل تشخیص نباشند.

پایپ اسنوپ
سیسکو برای اولین بار بدافزار پایپ اسنوپ را در می 2023 مشاهده کرد که به عنوان یک درب پشتی عمل می کند که داده های کد پوسته را در نقاط پایانی شکسته شده از طریق پایپ های ارتباط بین فرآیندی ویندوز (Windows IPC) اجرا می کند.

تحلیلگران خاطرنشان می کنند که برخلاف اچ تی تی پی اسنوپ که به نظر می رسد سرورهای عمومی را هدف قرار می دهد، پایپ اسنوپ برای عملیات عمیق در شبکه های در معرض خطر مناسب تر است.

سیسکو همچنین خاطرنشان می کند که این بدافزار به قطعه ای نیاز دارد که کد پوسته را تامین کند.

با این حال، تحلیلگران آن قادر به شناسایی این قطعه نیستند.

ارائه دهندگان خدمات مخابراتی اغلب به دلیل نقش حیاتی خود در اجرای زیرساخت های حیاتی و انتقال اطلاعات بسیار حساس از طریق شبکه ها، هدف عوامل تهدید مورد حمایت دولتها قرار می گیرند.

افزایش اخیر حملات تحت حمایت دولت علیه مؤسسات مخابراتی بر نیاز فوری به اقدامات امنیتی و همکاری بین المللی برای محافظت از آنها تأکید می کند.

منبع:

سایبربان

موضوع:

تازه ترین ها
رهگیری
1404/08/29 - 15:19- جرم سایبری

رهگیری ۵۵ میلیون دلار رمزارز مرتبط با سایت‌های دزدی دیجیتال

یوروپل روز چهارشنبه اعلام کرد که تحقیق‌کنندگان در یک عملیات بین‌المللی توانستند از طریق پرداخت هزینه خدمات پلتفرم‌ها با رمزارز، اطلاعاتی درباره شبکه‌های مجرمانه پشت سایت‌های استریم غیرقانونی به دست آورند.

تایید
1404/08/29 - 15:12- جرم سایبری

تایید سرقت اطلاعات از شرکت لاجیتک

شرکت تولیدکننده فناوری لاجیتک روز جمعه اسنادی را نزد کمیسیون بورس و اوراق بهادار آمریکا ثبت کرد که به یک حادثه اخیر امنیت سایبری مربوط می‌شود؛ حادثه‌ای که در آن از یک آسیب‌پذیری روز صفر سوءاستفاده شده بود.

شهادت
1404/08/29 - 15:03- آمریکا

شهادت رئیس دفتر بودجه کنگره مبنی بر اخراج هکرها از سیستم‌های ایمیلی

رئیس دفتر بودجه کنگره روز سه‌شنبه صبح به قانون‌گذاران اعلام کرد که این نهاد پس از حمله سایبری که دو هفته پیش افشا شد، هکرها را از سیستم‌های خود خارج کرده است.

مطالب مرتبط

در این بخش مطالبی که از نظر دسته بندی و تگ بندی مرتبط با محتوای جاری می باشند نمایش داده می‌شوند.