about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
بررسی تخصصی
مطالب پربازدید
آماده‌سازی
1404/09/11 - 08:18- تروریسم سایبری

آماده‌سازی رژیم صهیونیستی در حوزه فناوری برای جنگ احتمالی بعدی با ایران

رژیم صهیونیستی در حال آماده‌سازی طیف جدیدی از سلاح‌ها و فناوری‌های جدید برای جنگ بعدی با ایران است.

هشدار
1404/09/24 - 10:47- تروریسم سایبری

هشدار رژیم صهیونیستی درمورد حملات سایبری نگران‌کننده ایران

مدیرکل اداره ملی سایبری رژیم صهیونیستی درمورد حملات ایران و احتمال جنگ سایبری هولناک هشدار داد.

هشدار
1404/10/01 - 10:44- جنگ سایبری

هشدار روزنامه اسرائیلی درباره جنگ سایبری با ایران

روزنامه اسرائیلی معاریو پس از یک سری حملات هکری علیه شخصیت‌های ارشد سیاسی و نهادهای دولتی، درباره جنگ سایبری با ایران و تشدید نفوذها هشدار داد.

انتشار شده در تاریخ

یک خطای کوچک در دی ان اس، پلی به سمت حملات گسترده سایبری

چندی پیش، تیم اطلاعات تهدید اینفوبلاکس، یک بات‌نت را کشف کرد که از طریق کمپین‌های اسپم و با استفاده از دامنه‌های جعلی ارسال‌کننده، به توزیع بدافزار مشغول بود.

به گزارش کارگروه امنیت خبرگزاری سایبربان، این روش با جعل ایمیل‌هایی که پیش‌تر در گزارش مختل کردن مال‌اسپم (Malspam): استفاده از دامنه های جعلی در هرزنامه های مخرب (Muddling Malspam: The Use of Spoofed Domains in Malicious Spam) مورد بحث قرار گرفته بود، متفاوت است.

در این مورد، مهاجمان از پیکربندی نادرست سوابق دی ان اس (DNS) بهره می‌بردند تا تکنیک‌های حفاظت از ایمیل را دور بزنند.

بات‌نت‌ها، که از دستگاه‌های تحت کنترل مهاجمان تشکیل شده‌اند، تهدیدی مداوم و دشوار برای متوقف کردن هستند.

این بات‌نت از شبکه‌ای جهانی از روترهای میکروتیک (MikroTik) برای ارسال ایمیل‌های مخرب استفاده می‌کند که ظاهراً از دامنه‌های معتبر ارسال شده‌اند.

ایمیل‌های اسپمی که مشاهده شد، حاوی بدافزار تروجان بودند، اما احتمالاً این بات‌نت برای فعالیت‌های مخرب دیگر نیز استفاده می‌شود.

همچنان فعالیت این بات‌نت از طریق دی ان اس ردیابی می‌شود.

پیشینه‌ای از بات‌نت‌ها
بات‌نت‌ها از نخستین روزهای اینترنت وجود داشته‌اند و به مرور زمان پیچیده‌تر شده‌اند.

یک بات‌نت مجموعه‌ای از دستگاه‌های آلوده است که توسط یک مهاجم از راه دور کنترل می‌شوند و اقدامات مخرب گسترده‌ای مانند توزیع اسپم یا حملات منع سرویس توزیع‌شده (DDoS) را انجام می‌دهند.

ماهیت توزیع‌شده بات‌نت‌ها، شناسایی و توقف آنها را دشوار کرده و به مهاجمان کمک می‌کند هویت خود را پنهان کنند.

استفاده‌های رایج از بات‌نت‌های مخرب شامل موارد زیر است:

1.    حملات منع سرویس توزیع‌شده: بات‌نت‌ها می‌توانند با ارسال ترافیک زیاد به شبکه یا سرور هدف، آن را از کار بیندازند.
2.    کمپین‌های اسپم و فیشینگ: مهاجمان می‌توانند حجم زیادی از ایمیل‌های اسپم یا پیام‌های فیشینگ را ارسال کنند.
3.    سرقت اعتبارنامه: بات‌نت‌ها می‌توانند به طور خودکار ترکیبات نام کاربری و رمز عبور را در وب‌سایت‌های مختلف آزمایش کنند.
4.    سرقت داده: دستگاه‌های آلوده می‌توانند اطلاعات شخصی یا مالی را سرقت کنند.
5.    کریپتوجکینگ (سرقت رمزارز): بات‌نت‌ها می‌توانند قدرت پردازش دستگاه‌های آلوده را برای استخراج ارزهای دیجیتال به کار بگیرند.
6.    شبکه‌های پروکسی: دستگاه‌های آلوده می‌توانند به‌عنوان پروکسی برای پنهان کردن موقعیت واقعی مهاجمان استفاده شوند.
7.    کلیک‌های جعلی: بات‌نت‌ها می‌توانند کلیک‌های جعلی روی تبلیغات آنلاین ایجاد کنند.

یک فاکتور غیرمنتظره
یک سری تحقیقات با کشف یک کمپین اسپم در اواخر نوامبر آغاز شد.

ایمیل‌های این کمپین حاوی اطلاعاتی درباره فاکتورهای حمل و نقل بودند و یک فایل فشرده زیپ (ZIP) مخرب ضمیمه داشتند.

این فایل‌ها معمولاً با الگوهایی مثل Invoice (2–3-digit number).zip یا Tracking (2-3-digit number).zip نام‌گذاری می‌شدند.

به نظر می‌رسید مهاجم نقش شرکت حمل‌ونقل دی اچ ال (DHL) را جعل کرده است.

نمونه‌ای از متن این ایمیل‌ها به شرح زیر است:

فاکتور برای پرداخت حمل‌ونقل
شماره فاکتور: 728326122
مشتری گرامی،
ما فاکتور حمل‌ونقل بسته شما را تهیه کرده‌ایم. لطفاً فایل ضمیمه حاوی اطلاعات پرداخت را مشاهده کنید. برای جلوگیری از تأخیر در فرآیند تحویل، لطفاً هر چه سریع‌تر پرداخت را انجام دهید.

با احترام،
شرکت دی اچ ال اکسپرس (DHL Express)

بدافزار تروجان
فایل زیپ ضمیمه حاوی یک فایل جاوا اسکریپت (JavaScript) مبهم‌سازی شده بود که یک اسکریپت پاورشل (PowerShell) را ایجاد و اجرا می‌کرد.

این اسکریپت به سرور فرمان و کنترل (C2) در آدرس آی پی 62.133.60[.]137 متصل می‌شد.

این آی پی (IP) به فعالیت‌های مشکوک قبلی مرتبط با روسیه اختصاص داشت.

بات‌نت و دامنه‌های جعلی
با بررسی هدرهای ایمیل‌ها، شبکه‌ای از حدود ۱۳ هزار دستگاه میکروتیک آلوده و ۲۰ هزار دامنه جعلی شناسایی شدند.

مهاجمان از آسیب‌پذیری‌های بحرانی موجود در روترهای میکروتیک استفاده کرده و دستگاه‌ها را به پروکسی‌های ساکس 4 (SOCKS4) تبدیل کرده بودند.

این پیکربندی نه‌تنها به مهاجمان اجازه می‌دهد موقعیت واقعی خود را پنهان کنند، بلکه امکان استفاده از دستگاه‌های آلوده برای دیگر عوامل مخرب را نیز فراهم می‌کند.

نقش دی ان اس در این حمله
مهاجمان از خطاهای پیکربندی سوابق اس پی اف (SPF) در دی ان اس استفاده کردند.

سوابق اس پی اف برای تأیید سرورهای مجاز برای ارسال ایمیل از دامنه‌ها به کار می‌روند، اما در این حمله، این سوابق به‌گونه‌ای پیکربندی شده بودند که هر سروری می‌توانست به‌جای دامنه اصلی، ایمیل ارسال کند.

برای مثال، یک رکورد (سابقه) اس پی اف صحیح به شکل زیر است:

v=spf1 include:example.com -all

اما در این حمله، سوابق اشتباه به شکل زیر پیکربندی شده بودند:

v=spf1 include:example.com +all

نتیجه‌گیری
تحقیقات نشان داد که این بات‌نت ۱۳ هزار دستگاه میکروتیک و ۲۰ هزار دامنه جعلی را شامل می‌شود.

مهاجمان از سوءاستفاده از پروکسی‌های ساکس 4 و پیکربندی اشتباه سوابق دی ان اس استفاده کردند تا شناسایی و توقف حملات را پیچیده‌تر کنند.

این یافته‌ها تأکید می‌کنند که پیکربندی صحیح دی ان اس و ارزیابی منظم تنظیمات امنیتی برای جلوگیری از چنین تهدیداتی بسیار حیاتی است.

 

منبع:

سایبربان

موضوع:

تازه ترین ها
تقویت
1404/11/16 - 15:58- آسیا

تقویت روابط سایبری ژاپن و بریتانیا

ژاپن و بریتانیا از گسترش همکاری در زمینه امنیت سایبری و گسترش روابط در سه حوزه اصلی خبر دادند.

هکر
1404/11/16 - 15:41- آمریکا

هکر مرموز جفری اپستین کیست؟

کارشناسان در گزارشی درمورد جفری اپستین و اسناد و مدارکی که از وی منتشر شده مقاله‌ای نوشته‌اند.

خنثی‌سازی
1404/11/16 - 09:40- آسیا

خنثی‌سازی 90 هزار حمله سایبری به اجلاس دولت‌های جهان توسط امارات

رئیس شورای امنیت سایبری امارات اعلام کرد که سیستم‌های سایبری این کشور ۹۰ هزار حمله به اجلاس دولت‌های جهان را مسدود کردند.

مطالب مرتبط

در این بخش مطالبی که از نظر دسته بندی و تگ بندی مرتبط با محتوای جاری می باشند نمایش داده می‌شوند.