به‌روزرسانی امنیت سایبری Ankura برای بدافزار، باج‌افزار، بازیگران تهدید

فعالیت باج افزار/ب،زار

کمپین فیشینگ با استفاده از بیش از دویست دامنه تایپسکوت شده برای جعل هویت بیست و هفت برند

اخیراً یک کمپین فیشینگ انبوه شناسایی شده است که از حدود 200 دامنه تایپی اسکوات استفاده می کند. عامل تهدید از طریق این کمپین قصد دارد از قرب،ان ب،زارهای مختلف اندروید و ویندوز را دانلود کند. محققان Cyble کشف ،د که دامنه‌ها به‌،وان فروشگاه‌های محبوب برنامه اندروید و پورتال‌های دانلود برای پلتفرم‌های متعدد، با استفاده از شش (6) دامنه تایپ‌سکوت شده، پنهان می‌شوند. این بخش از کمپین فیشینگ بر روی استقرار “ERMAAC” متمرکز است، یک تروجان بانکی که حساب های بانکی و کیف پول های ارزهای دیجیتال را هدف قرار می دهد. BleepingComputer بخش بزرگی از کمپین را شناسایی کرد که شامل بیش از نود (90) دامنه است که جعل هویت بیست و هفت (27) مارک از جمله Google Play، PayPal، Microsoft Visual Studio، TikTok، Notepad+، MetaMask و غیره است. این بخش از کمپین بر توزیع ب،زار ویندوز، فشار دادن ب،زار اندروید و است،اج کلیدهای بازیابی ارزهای دیجیتال متمرکز است. ب،زار دیگری که توسط محققان مشاهده شده است شامل ب،زار سرقت اطلاعات Vidar Stealer و Keylogger Agent Tesla و تروجان دسترسی از راه دور (RAT) است. ا،ر دامنه‌های شناسایی‌شده شبیه‌سازی‌های وب‌سایت قانونی هستند که جعل هویت می‌کنند. کاربران می‌توانند از طریق تایپ اشتباه دامنه و همچنین ایمیل‌های فیشینگ، پیام‌های اس ام اس یا پست‌های رسانه‌های اجتماعی/فروم‌ها به این سایت‌های م،ب هدایت شوند. نمونه‌هایی از دامنه‌های تایپی و همچنین شاخص‌های سازش (IOC) را می‌توان در گزارش Cyble که در زیر پیوند داده شده است، مرور کرد.

فعالیت بازیگر تهدید

هشدار CISA: تیم Daixin

در یک هشدار اخیر توسط آژانس امنیت سایبری و امنیت زیرساخت (CISA)، مقامات هشدار می‌دهند که عوامل تهدید Daixin به طور فعال صنعت مراقبت‌های بهداشتی ایالات متحده را با حملات ویرانگر باج‌افزار هدف قرار می‌دهند. تیم Daixin یک گروه باج‌افزار و اخاذی داده در حال تکامل است که از ژوئن 2022 بخش مراقبت‌های بهداشتی را هدف قرار داده است. داده‌های است،اج‌شده از عملیات باج‌افزار آنها شامل اطلاعات شناسایی شخصی (PII) و اطلاعات سلامت بیمار (PHI) است که هر دو معمولاً به ،وان استفاده می‌شوند. اگر قرب، باج درخواستی را نپردازد، اهرمی را به کار بگیرید. در موارد قبلی، عوامل تهدید Daixin از طریق سرورهای آسیب‌پذیر VPN با استفاده از اعتبارنامه‌های فیش شده دسترسی پیدا ،د. پس از ورود به شبکه قرب،، عوامل تهدید چندین پوسته و اسکریپت وب را برای انجام برداشت اعتبار مستقر ،د و سپس به سرور vCenter دسترسی پیدا ،د و تمام اعتبار کاربر را تنظیم مجدد ،د. تجزیه و تحلیل حملات باج افزار Daixin نشان داده است که این عوامل تهدید از ساختار کد منبع مشابه با Babuk Locker استفاده می کنند. CTIX به نظارت بر فعالیت عامل تهدید در سراسر جهان ادامه خواهد داد و بر این اساس به روز رس، های اضافی را ارائه خواهد کرد.

آسیب پذیری ها

اپل آسیب پذیری روز صفر بحر، iOS و iPad را اصلاح می کند

اپل یک آسیب‌پذیری حیاتی روز صفر را اصلاح کرده است که بر آیفون‌ها و آی‌پدها تأثیر می‌گذارد که به طور فعال در طبیعت مورد سوء استفاده قرار می‌گیرد. این نقص که به‌،وان CVE-2022-42827 ردیابی می‌شود، به‌،وان یک آسیب‌پذیری نوشتن خارج از محدوده توصیف می‌شود، که زم، ایجاد می‌شود که نرم‌افزار داده‌ها را خارج از محدودیت‌های بافر مورد نظر یا در یک مکان حافظه نامعتبر می‌نویسد. اگر توسط عوامل تهدید مورد سوء استفاده قرار گیرد، عملیات نوشتن می‌تواند منجر به ،اب شدن اطلاعات حساس، از کار افتادن برنامه‌ها یا خود سیستم و اجرای کد با امتیازات هسته در دستگاه آسیب‌پذیر شود. اگرچه این آسیب‌پذیری مورد حمله فعال است، اما اپل هنوز جزئیات فنی این نقص را منتشر نکرده است تا به بسیاری از مشتریان خود اجازه دهد دستگاه‌های آسیب‌پذیر iOS خود را اصلاح کنند. این روز صفر روز نهم (9) برای اپل در سال جاری است، و تحلیلگران CTIX به همه مشتری، که از دستگاه‌های آسیب‌دیده استفاده می‌کنند توصیه می‌کنند به آ،ین به‌روزرس، امنیتی ارتقا دهند. اگر جزئیات فنی بیشتر، یا یک سوء استفاده اثبات مفهوم منتشر شود، و به روز رس، این قطعه ممکن است در یک به روز رس، FLASH آینده منتشر شود.