آسیب‌پذیری گوشی‌های هوشمند گوگل پیکسل به کاربران اجازه می‌دهد از قفل صفحه عبور کنند


چهارشنبه 16 نوامبر 2022

فعالیت باج افزار/ب،زار

کمپین جعل دامنه Fanxiao شبکه بیش از 42000 وب سایت م،ب و تغییر مسیر را ایجاد می کند

محققان Cyjax گزارشی در مورد اینکه چگونه یک گروه تهدید کننده با انگیزه مالی معروف به “Fangxiao” با ایجاد شبکه ای از حدود 42000 دامنه، یک کمپین گسترده جعل وب سایت را انجام می دهد، منتشر کرده اند. دامنه‌ها از برندهای بسیار محبوبی مانند کوکا کولا، امارات، مک دونالد و بسیاری دیگر تقلید می‌کنند، زیرا این کمپین، نهادها را در بخش‌های ،ده‌فروشی، بانکداری، مسافرت، داروسازی، حمل‌ونقل، مالی و انرژی تقلب می‌کند. به نظر می رسد که این کمپین به ،وان یک کلاهبرداری تولید ترافیک برای ،ب درآمد تبلیغاتی برای سایت های خود گروه تهدید عمل می کند و همچنین از داده های کاربران قرب،، که به اندازه کافی بدشانس هستند و به یکی از دامنه های ه، پات خود دست پیدا می کنند، ،ب درآمد می کند. به گفته محقق، که بر فعالیت Fangxiao نظارت می‌کنند، این گروه تهدید روزانه حدود 300 دامنه جعلی جدید را ثبت می‌کند. برای افزایش آسیب، برخی از سایت‌ها حاوی درخواست‌های تغییر مسیر هستند که قرب،ان را به سایت‌های میزبان ب،زار مانند تروجان “Triada” می‌آورند. کاربران در ابتدا از طریق تعامل با تبلیغات تلفن همراه یا قرب، شدن در حملات فیشینگ واتس اپ با لینک های م،ب جاسازی شده که به صفحات فرود جعلی این گروه منجر می شود، به سایت های جعلی آورده می شوند. دامنه‌های نظرسنجی جعلی نیز رایج هستند، اغلب دارای تایمرهایی هستند که احساس فوریت را ایجاد می‌کنند تا قرب، زمان کمتری برای مشکوک شدن داشته باشد. پس از تکمیل نظرسنجی ممکن است از قرب،ان خواسته شود که یک برنامه م،ب را دانلود کنند تا “پاداش” خود را دریافت کنند و آنها را به ،وان یک کاربر ارجاع جدید Fangxiao ثبت کنند. گزارش Cyjax حاوی چندین شاخص معتبر برای تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTP) است که توسط گروه‌های تهدید چینی استفاده می‌شود. این شامل نوشتن سایت‌ها/تبلیغات طعمه به زبان ماندارین و همچنین استفاده از آدرس‌های ایمیل منتسب به حساب‌های عامل تهدید چینی در انجمن‌های هک شناخته شده است. تحلیلگران CTIX پیامدهای این کمپین را زیر نظر خواهند داشت و به گزارش‌های مربوط به ش،تن و جدید TTP‌های مورد استفاده در فعالیت‌های مجرمانه سایبری ادامه می‌دهند.

بازیگر تهدید فعالیت

گروه تهدید مظنون تحت حمایت ،ت چین “Billbug” کمپین جاسوسی سایبری در سراسر آسیا انجام می دهد

حداقل از مارس 2022، یک عامل تهدید مظنون تحت حمایت ،ت چین، یک کمپین جاسوسی سایبری را با هدف هدف قرار دادن سازمان‌های ،تی، سازمان‌های دفاعی و یک مرجع گواهی (CA) در چندین کشور آسیایی انجام داده است. این بازیگر تهدید با نام “Billbug” (با نام مستعار Thrip، Lotus Blossom، Spring Dragon) شناخته می شود و به گفته محققان امنیتی حداقل یک دهه است که فعال بوده اند. این اطلاعات پس از انتشار گزارشی توسط سیمانتک که از سال 2018 بیل‌باگ را ردیابی می‌کرد، آشکار شد. این یک عامل تهدید بسیار پیچیده است که به دلیل استفاده از ابزارهای موجود و ابزارهای عمومی که در حال حاضر در سیستم قرب، وجود دارند، بدنام است. WinRAR و tracert و همچنین استقرار ب،زار سفارشی. این تاکتیک به عامل تهدید کمک می کند تا از شناسایی اجتناب کند و برای مدت طول، تری در محیط هدف باقی بماند. سیمانتک توانست این کمپین را پس از شناسایی استفاده از دو (2) درب پشتی اختصاصی که در کمپین های دیگر آنها به نام Hannotog (“Backdoor.Hannotog”) و Sagerunex (“Backdoor.Sagerunex”) استفاده شده است، به Billbug نسبت دهد. Backdoor یک فروشگاه یک مرحله ای است که فایروال قرب، را مجبور می کند “تمام ترافیک را فعال کند و به عامل تهدید اجازه می دهد تا روی ماشین آسیب دیده پایداری کند، داده های رمزگذاری شده را آپلود کند، دستورات را اجرا کند و فایل ها را در دستگاه دانلود کند.” بخشی از Hannotog عملکرد این است که درپشتی Sagerunex را رها می کند، که ارتباطی را با سرور فرماندهی و کنترل (C2) متعلق به مهاجم برقرار می کند. به خصوص برای این کمپین نگران کننده این است که Billbug قرب، CA را هدف قرار می دهد. اگر عامل تهدید با موفقیت به خطر بیفتد. CA، آنها می توانند ب،زار خود را با گواهینامه های دیجیتال معتبر امضا کنند، که تشخیص اقدامات امنیتی را حتی سخت تر می کند. به خوانندگان ما.

آسیب پذیری ها

آسیب‌پذیری تلفن هوشمند Google Pixel به هر کاربری اجازه می‌دهد از صفحه قفل عبور کند

اندروید یک آسیب‌پذیری مهم را اصلاح کرده است که به کاربر، که دسترسی فیزیکی به گوشی هوشمند Google Pixel قفل شده دارند، اجازه می‌دهد بدون ارائه پین/گذرواژه یا کلید بیومتریک، صفحه قفل را دور بزنند. این نقص توسط محقق امنیتی دیوید شوتز کشف شد که به ،وان بخشی از برنامه جایزه باگ گوگل 70000 دلار جایزه دریافت کرد. این آسیب‌پذیری که به‌،وان CVE-2022-20465 ردیابی می‌شود، می‌تواند در یک فرآیند پنج مرحله‌ای آسان که در نوشته Schütz به تفصیل آمده است مورد سوء استفاده قرار گیرد و منجر به افزایش محلی امتیاز بدون نیاز به امتیازات اجرایی اضافی یا تعامل کاربر می‌شود. Schütz بیان می‌کند که برای بهره‌برداری از این نقص، کاربران باید سه بار (3) بار پشت سر هم اثر انگشت نادرست ارائه دهند، که احراز هویت بیومتریک را غیرفعال می‌کند. سپس مهاجم سیم کارت فیزیکی گوشی را با یک سیم کارت کنترل شده توسط مهاجم که دارای پینی است که مهاجم می شناسد تعویض می کند. مهاجم سه (3) بار متوالی پین اشتباه را وارد می‌کند و سیم کارت را قفل می‌کند و از دستگاه می‌خواهد تا رمز باز ، قفل شخصی (PUK) سیم کارت کاربر را بخواهد. سپس مهاجم پین خود را وارد می کند و قفل دستگاه به طور خودکار باز می شود. این آسیب پذیری توسط گوگل اصلاح شده است و همه کاربران پی،ل باید مطمئن شوند که آ،ین نسخه پایدار نرم افزار را اجرا می کنند. تحلیلگران CTIX به گزارش های مربوط به آسیب پذیری های جالب ادامه خواهند داد.

حق چاپ © 2022 Ankura Consulting Group, LLC. تمامی حقوق محفوظ است.بررسی حقوق ملی، جلد دوازدهم، شماره 320


منبع: https://www.natlawreview.com/article/ankura-ctix-flash-update-november-15-2022