چهارشنبه 16 نوامبر 2022
فعالیت باج افزار/ب،زار
کمپین جعل دامنه Fanxiao شبکه بیش از 42000 وب سایت م،ب و تغییر مسیر را ایجاد می کند
محققان Cyjax گزارشی در مورد اینکه چگونه یک گروه تهدید کننده با انگیزه مالی معروف به “Fangxiao” با ایجاد شبکه ای از حدود 42000 دامنه، یک کمپین گسترده جعل وب سایت را انجام می دهد، منتشر کرده اند. دامنهها از برندهای بسیار محبوبی مانند کوکا کولا، امارات، مک دونالد و بسیاری دیگر تقلید میکنند، زیرا این کمپین، نهادها را در بخشهای ،دهفروشی، بانکداری، مسافرت، داروسازی، حملونقل، مالی و انرژی تقلب میکند. به نظر می رسد که این کمپین به ،وان یک کلاهبرداری تولید ترافیک برای ،ب درآمد تبلیغاتی برای سایت های خود گروه تهدید عمل می کند و همچنین از داده های کاربران قرب،، که به اندازه کافی بدشانس هستند و به یکی از دامنه های ه، پات خود دست پیدا می کنند، ،ب درآمد می کند. به گفته محقق، که بر فعالیت Fangxiao نظارت میکنند، این گروه تهدید روزانه حدود 300 دامنه جعلی جدید را ثبت میکند. برای افزایش آسیب، برخی از سایتها حاوی درخواستهای تغییر مسیر هستند که قرب،ان را به سایتهای میزبان ب،زار مانند تروجان “Triada” میآورند. کاربران در ابتدا از طریق تعامل با تبلیغات تلفن همراه یا قرب، شدن در حملات فیشینگ واتس اپ با لینک های م،ب جاسازی شده که به صفحات فرود جعلی این گروه منجر می شود، به سایت های جعلی آورده می شوند. دامنههای نظرسنجی جعلی نیز رایج هستند، اغلب دارای تایمرهایی هستند که احساس فوریت را ایجاد میکنند تا قرب، زمان کمتری برای مشکوک شدن داشته باشد. پس از تکمیل نظرسنجی ممکن است از قرب،ان خواسته شود که یک برنامه م،ب را دانلود کنند تا “پاداش” خود را دریافت کنند و آنها را به ،وان یک کاربر ارجاع جدید Fangxiao ثبت کنند. گزارش Cyjax حاوی چندین شاخص معتبر برای تاکتیکها، تکنیکها و رویهها (TTP) است که توسط گروههای تهدید چینی استفاده میشود. این شامل نوشتن سایتها/تبلیغات طعمه به زبان ماندارین و همچنین استفاده از آدرسهای ایمیل منتسب به حسابهای عامل تهدید چینی در انجمنهای هک شناخته شده است. تحلیلگران CTIX پیامدهای این کمپین را زیر نظر خواهند داشت و به گزارشهای مربوط به ش،تن و جدید TTPهای مورد استفاده در فعالیتهای مجرمانه سایبری ادامه میدهند.
بازیگر تهدید فعالیت
گروه تهدید مظنون تحت حمایت ،ت چین “Billbug” کمپین جاسوسی سایبری در سراسر آسیا انجام می دهد
حداقل از مارس 2022، یک عامل تهدید مظنون تحت حمایت ،ت چین، یک کمپین جاسوسی سایبری را با هدف هدف قرار دادن سازمانهای ،تی، سازمانهای دفاعی و یک مرجع گواهی (CA) در چندین کشور آسیایی انجام داده است. این بازیگر تهدید با نام “Billbug” (با نام مستعار Thrip، Lotus Blossom، Spring Dragon) شناخته می شود و به گفته محققان امنیتی حداقل یک دهه است که فعال بوده اند. این اطلاعات پس از انتشار گزارشی توسط سیمانتک که از سال 2018 بیلباگ را ردیابی میکرد، آشکار شد. این یک عامل تهدید بسیار پیچیده است که به دلیل استفاده از ابزارهای موجود و ابزارهای عمومی که در حال حاضر در سیستم قرب، وجود دارند، بدنام است. WinRAR و tracert و همچنین استقرار ب،زار سفارشی. این تاکتیک به عامل تهدید کمک می کند تا از شناسایی اجتناب کند و برای مدت طول، تری در محیط هدف باقی بماند. سیمانتک توانست این کمپین را پس از شناسایی استفاده از دو (2) درب پشتی اختصاصی که در کمپین های دیگر آنها به نام Hannotog (“Backdoor.Hannotog”) و Sagerunex (“Backdoor.Sagerunex”) استفاده شده است، به Billbug نسبت دهد. Backdoor یک فروشگاه یک مرحله ای است که فایروال قرب، را مجبور می کند “تمام ترافیک را فعال کند و به عامل تهدید اجازه می دهد تا روی ماشین آسیب دیده پایداری کند، داده های رمزگذاری شده را آپلود کند، دستورات را اجرا کند و فایل ها را در دستگاه دانلود کند.” بخشی از Hannotog عملکرد این است که درپشتی Sagerunex را رها می کند، که ارتباطی را با سرور فرماندهی و کنترل (C2) متعلق به مهاجم برقرار می کند. به خصوص برای این کمپین نگران کننده این است که Billbug قرب، CA را هدف قرار می دهد. اگر عامل تهدید با موفقیت به خطر بیفتد. CA، آنها می توانند ب،زار خود را با گواهینامه های دیجیتال معتبر امضا کنند، که تشخیص اقدامات امنیتی را حتی سخت تر می کند. به خوانندگان ما.
آسیب پذیری ها
آسیبپذیری تلفن هوشمند Google Pixel به هر کاربری اجازه میدهد از صفحه قفل عبور کند
اندروید یک آسیبپذیری مهم را اصلاح کرده است که به کاربر، که دسترسی فیزیکی به گوشی هوشمند Google Pixel قفل شده دارند، اجازه میدهد بدون ارائه پین/گذرواژه یا کلید بیومتریک، صفحه قفل را دور بزنند. این نقص توسط محقق امنیتی دیوید شوتز کشف شد که به ،وان بخشی از برنامه جایزه باگ گوگل 70000 دلار جایزه دریافت کرد. این آسیبپذیری که به،وان CVE-2022-20465 ردیابی میشود، میتواند در یک فرآیند پنج مرحلهای آسان که در نوشته Schütz به تفصیل آمده است مورد سوء استفاده قرار گیرد و منجر به افزایش محلی امتیاز بدون نیاز به امتیازات اجرایی اضافی یا تعامل کاربر میشود. Schütz بیان میکند که برای بهرهبرداری از این نقص، کاربران باید سه بار (3) بار پشت سر هم اثر انگشت نادرست ارائه دهند، که احراز هویت بیومتریک را غیرفعال میکند. سپس مهاجم سیم کارت فیزیکی گوشی را با یک سیم کارت کنترل شده توسط مهاجم که دارای پینی است که مهاجم می شناسد تعویض می کند. مهاجم سه (3) بار متوالی پین اشتباه را وارد میکند و سیم کارت را قفل میکند و از دستگاه میخواهد تا رمز باز ، قفل شخصی (PUK) سیم کارت کاربر را بخواهد. سپس مهاجم پین خود را وارد می کند و قفل دستگاه به طور خودکار باز می شود. این آسیب پذیری توسط گوگل اصلاح شده است و همه کاربران پی،ل باید مطمئن شوند که آ،ین نسخه پایدار نرم افزار را اجرا می کنند. تحلیلگران CTIX به گزارش های مربوط به آسیب پذیری های جالب ادامه خواهند داد.
حق چاپ © 2022 Ankura Consulting Group, LLC. تمامی حقوق محفوظ است.بررسی حقوق ملی، جلد دوازدهم، شماره 320
منبع: https://www.natlawreview.com/article/ankura-ctix-flash-update-november-15-2022