مطالب پربازدید

1404/07/10 - 08:30- جنگ سایبری

«حملات تخریبی» به کشور۳ برابر شد/ افشای نام «اهداف اصلی» حملات هکرها

بر اساس داده‌های گزارش سالانه گراف، هوش مصنوعی مولد (GenAI) چشم‌انداز تهدیدات ایران را در سال ۱۴۰۳ دگرگون کرد؛ جایی که حملات با LLMJacking، باج‌افزار و فریب‌های پیشرفته، نهادهای دولتی و آموزشی را در کانون هدف قرار دادند.

1404/08/05 - 14:27- جنگ سایبری

اسرار نظامی و اطلاعات سری پدافند لیزری اسرائیل به دست هکرها افتاد

گروه هکری جبهه پشتیبانی سایبری «الجبهة الإسناد السيبرانية» اعلام کرد که با نفوذ به شرکت نظامی مایا، به اطلاعات محرمانه پدافند پیشرفته لیزری Iron Beam و تعداد زیادی از سلاح‌های پیشرفته اسرائیل دست یافته است.

1404/08/04 - 13:09- جنگ سایبری

افشای اطلاعات حساس وزارت جنگ رژیم صهیونیستی توسط گروه هکری جبهه پشتیبانی سایبری

گروه هکری «الجبهة الإسناد السيبرانية» با نفوذ به شرکت پوششی «مایا» وابسته به وزارت دفاع رژیم صهیونیستی، اطلاعات محرمانه‌ای از پروژه‌های نظامی این رژیم از جمله سامانه دفاع لیزری، پهپاد و موشک‌ها را فاش کرد.

کامیار عزیزی

انتشار شده در تاریخ 1403/12/28 - 14:58

سوءاستفاده گروه باج‌افزاری مورا 001 از آسیب‌پذیری فورتینت

یک گروه باج‌افزاری جدید با ارتباطات احتمالی با گروه لاکبیت در حال سوءاستفاده از دو آسیب‌پذیری در محصولات فورتینت است.

به گزارش کارگروه امنیت خبرگزاری سایبربان، هفته گذشته، چندین محقق امنیتی اعلام کردند که گروه مورا 001 (Mora_001) در حال بهره‌برداری از دو آسیب‌پذیری CVE-2024-55591 و CVE-2025-24472 است.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) در ژانویه به تمام نهادهای فدرال غیرنظامی تنها یک هفته فرصت داد تا آسیب‌پذیری CVE-2024-55591 را برطرف کنند؛ این یکی از کوتاه‌ترین مهلت‌هایی است که این سازمان تاکنون تعیین کرده است.

فورتینت (Fortinet) نیز در یک اطلاعیه هشدار داد که این نقص امنیتی به‌طور فعال مورد سوءاستفاده قرار گرفته است و سپس آسیب‌پذیری CVE-2025-24472 را نیز به همان اطلاعیه اضافه کرد.

شرکت فورسکات ریسرچ (Forescout Research) روز چهارشنبه گزارش داد که از اواخر ژانویه تا مارس، یک سری نفوذهای امنیتی را شناسایی کرده که از طریق این دو آسیب‌پذیری آغاز شده و در نهایت به توزیع یک باج‌افزار جدید به نام سوپر بلک (SuperBlack) منتهی شده است.

سوپر بلک توسط گروه مورا 001 منتشر شده است.

به گفته فورسکات، این گروه از ترکیب روش‌های حملات فرصت‌طلبانه با عناصر مرتبط با اکوسیستم لاکبیت (LockBit) استفاده می‌کند.

لاکبیت یکی از خطرناک‌ترین گروه‌های باج‌افزاری بود تا زمانی که یک عملیات بین‌المللی اجرایی بسیاری از ابزارها و سیستم‌های آن‌ها را از کار انداخت.

فورسکات اعلام کرد که مورا 001 از نسخه درز کرده لاکبیت بیلدر (LockBit builder) استفاده کرده است، اما برند لاکبیت را از یادداشت باج‌گیری حذف کرده و از ابزار استخراج داده خود استفاده کرده است.

یادداشت باج‌گیری که این گروه در سیستم‌های قربانیان به جا می‌گذارد، حاوی نشانه‌هایی است که کارشناسان امنیتی را به این نتیجه رسانده که مورا 001 ممکن است یکی از وابستگان فعلی لاکبیت باشد که روش‌های منحصربه‌فردی را اتخاذ کرده است یا این گروه ممکن است یک همکار لاکبیت باشد که از کانال‌های ارتباطی مشترک استفاده می‌کند.

یک تحلیلگر امنیتی در شرکت آرکتیک وولف (Arctic Wolf) اظهار داشت که این گروه از اواخر ژانویه در حال سوءاستفاده از آسیب‌پذیری‌های فورتینت بوده و اولین حمله‌های شناسایی‌شده در ۲ فوریه رخ داده‌اند.

فورتینت یک پچ برای برطرف کردن هر دو آسیب‌پذیری منتشر کرده است، اما مهاجمان همچنان سازمان‌هایی را که نتوانسته‌اند پچ را نصب کنند یا پیکربندی فایروال خود را تقویت کنند، هدف قرار می‌دهند.

فورسکات اعلام کرد که گروه مهاجم در این حملات از همان مجموعه ابزارهایی که در فعالیت‌های قبلی باج‌افزار دیده شده، استفاده کرده اما روش‌های نفوذ اولیه خود را تغییر داده است.

تحلیلگر آرکتیک وولف اظهار کرد که پس از نشت لاکبیت 3.0 بیلدر (LockBit 3.0 builder) در سال ۲۰۲۲، بسیاری از گروه‌های هکری شروع به ایجاد نسخه‌های خاص خود از باج‌افزارها کردند.

اما گروه شناسایی‌شده توسط فورسکات روش‌های خود را با تاکتیک‌های سایر گروه‌های باج‌افزاری، از جمله گربه سیاه (بلک کت)/ای ال پی اج وی (BlackCat/ALPHV)، ترکیب کرده است.

آرکتیک وولف از اوایل دسامبر متوجه افزایش تلاش‌های مهاجمان برای هدف قرار دادن رابط‌های مدیریتی دستگاه‌های فایروال فورتینت فورتی گیت (FortiGate) شده بود، و این فعالیت‌ها حتی پیش از انتشار توصیه امنیتی فورتینت درباره این آسیب‌پذیری ادامه داشت.

فورتینت تاکنون هیچ واکنشی به این موضوع نشان نداده است.