چهارشنبه 26 اکتبر 2022
فعالیت باج افزار/ب،زار
کمپین فیشینگ با استفاده از بیش از دویست دامنه تایپسکوت شده برای جعل هویت بیست و هفت برند
اخیراً یک کمپین فیشینگ انبوه شناسایی شده است که از حدود 200 دامنه تایپی اسکوات استفاده می کند. عامل تهدید از طریق این کمپین قصد دارد از قرب،ان ب،زارهای مختلف اندروید و ویندوز را دانلود کند. محققان Cyble کشف ،د که دامنهها به،وان فروشگاههای محبوب برنامه اندروید و پورتالهای دانلود برای پلتفرمهای متعدد، با استفاده از شش (6) دامنه تایپسکوت شده، پنهان میشوند. این بخش از کمپین فیشینگ بر روی استقرار “ERMAAC” متمرکز است، یک تروجان بانکی که حساب های بانکی و کیف پول های ارزهای دیجیتال را هدف قرار می دهد. BleepingComputer بخش بزرگی از کمپین را شناسایی کرد که شامل بیش از نود (90) دامنه است که جعل هویت بیست و هفت (27) مارک از جمله Google Play، PayPal، Microsoft Visual Studio، TikTok، Notepad+، MetaMask و غیره است. این بخش از کمپین بر توزیع ب،زار ویندوز، فشار دادن ب،زار اندروید و است،اج کلیدهای بازیابی ارزهای دیجیتال متمرکز است. ب،زار دیگری که توسط محققان مشاهده شده است شامل ب،زار سرقت اطلاعات Vidar Stealer و Keylogger Agent Tesla و تروجان دسترسی از راه دور (RAT) است. ا،ر دامنههای شناساییشده شبیهسازیهای وبسایت قانونی هستند که جعل هویت میکنند. کاربران میتوانند از طریق تایپ اشتباه دامنه و همچنین ایمیلهای فیشینگ، پیامهای اس ام اس یا پستهای رسانههای اجتماعی/فرومها به این سایتهای م،ب هدایت شوند. نمونههایی از دامنههای تایپی و همچنین شاخصهای سازش (IOC) را میتوان در گزارش Cyble که در زیر پیوند داده شده است، مرور کرد.
فعالیت بازیگر تهدید
هشدار CISA: تیم Daixin
در یک هشدار اخیر توسط آژانس امنیت سایبری و امنیت زیرساخت (CISA)، مقامات هشدار میدهند که عوامل تهدید Daixin به طور فعال صنعت مراقبتهای بهداشتی ایالات متحده را با حملات ویرانگر باجافزار هدف قرار میدهند. تیم Daixin یک گروه باجافزار و اخاذی داده در حال تکامل است که از ژوئن 2022 بخش مراقبتهای بهداشتی را هدف قرار داده است. دادههای است،اجشده از عملیات باجافزار آنها شامل اطلاعات شناسایی شخصی (PII) و اطلاعات سلامت بیمار (PHI) است که هر دو معمولاً به ،وان استفاده میشوند. اگر قرب، باج درخواستی را نپردازد، اهرمی را به کار بگیرید. در موارد قبلی، عوامل تهدید Daixin از طریق سرورهای آسیبپذیر VPN با استفاده از اعتبارنامههای فیش شده دسترسی پیدا ،د. پس از ورود به شبکه قرب،، عوامل تهدید چندین پوسته و اسکریپت وب را برای انجام برداشت اعتبار مستقر ،د و سپس به سرور vCenter دسترسی پیدا ،د و تمام اعتبار کاربر را تنظیم مجدد ،د. تجزیه و تحلیل حملات باج افزار Daixin نشان داده است که این عوامل تهدید از ساختار کد منبع مشابه با Babuk Locker استفاده می کنند. CTIX به نظارت بر فعالیت عامل تهدید در سراسر جهان ادامه خواهد داد و بر این اساس به روز رس، های اضافی را ارائه خواهد کرد.
آسیب پذیری ها
اپل آسیب پذیری روز صفر بحر، iOS و iPad را اصلاح می کند
اپل یک آسیبپذیری حیاتی روز صفر را اصلاح کرده است که بر آیفونها و آیپدها تأثیر میگذارد که به طور فعال در طبیعت مورد سوء استفاده قرار میگیرد. این نقص که به،وان CVE-2022-42827 ردیابی میشود، به،وان یک آسیبپذیری نوشتن خارج از محدوده توصیف میشود، که زم، ایجاد میشود که نرمافزار دادهها را خارج از محدودیتهای بافر مورد نظر یا در یک مکان حافظه نامعتبر مینویسد. اگر توسط عوامل تهدید مورد سوء استفاده قرار گیرد، عملیات نوشتن میتواند منجر به ،اب شدن اطلاعات حساس، از کار افتادن برنامهها یا خود سیستم و اجرای کد با امتیازات هسته در دستگاه آسیبپذیر شود. اگرچه این آسیبپذیری مورد حمله فعال است، اما اپل هنوز جزئیات فنی این نقص را منتشر نکرده است تا به بسیاری از مشتریان خود اجازه دهد دستگاههای آسیبپذیر iOS خود را اصلاح کنند. این روز صفر روز نهم (9) برای اپل در سال جاری است، و تحلیلگران CTIX به همه مشتری، که از دستگاههای آسیبدیده استفاده میکنند توصیه میکنند به آ،ین بهروزرس، امنیتی ارتقا دهند. اگر جزئیات فنی بیشتر، یا یک سوء استفاده اثبات مفهوم منتشر شود، و به روز رس، این قطعه ممکن است در یک به روز رس، FLASH آینده منتشر شود.
حق چاپ © 2022 Ankura Consulting Group, LLC. تمامی حقوق محفوظ است.بررسی حقوق ملی، جلد دوازدهم، شماره 299
منبع: https://www.natlawreview.com/article/ankura-ctix-flash-update-october-25-2022