به‌روزرسانی‌های تهدید امنیت سایبری برای نوامبر 2022

کمپین ب،زار RapperBot حملات DDoS را علیه سرورهای بازی های ویدیویی انجام می دهد

محققان Fortinet اخیراً نمونه‌های جدیدی از ب،زار RapperBot را در کمپین حملات انکار سرویس توزیع شده (DDoS) علیه سرورهای بازی شناسایی کرده‌اند. این کمپین شبیه به یک کمپین قدیمی است که از فوریه 2022 شروع شد و “به طور مرموزی در اواسط آوریل ناپدید شد.” نمونه‌های جدید RapperBot برای اولین بار در آگوست 2022 شناسایی شدند و به ،وان «سرورهای SSH منحصراً brute-force پیکربندی شده برای تأیید تأیید رمز عبور» شناخته شدند. جدیدترین نمونه‌ها قابلیت اجرای brute-forcing Telnet و همچنین پشتیب، از حملات انکار سرویس (DoS) را دارند. این کار با استفاده از پروتکل تونل زنی Generic Routing Encapsulation (GRE) و همچنین با استفاده از UDP Floods برای هدف قرار دادن سرورهای بازی انجام می شود. این امر توسط لیست‌های سخت‌کدینگ اعتبارنامه‌های پیش‌فرض اینترنت اشیا در متن ساده که در کد دودویی brute-forcing Telnet تعبیه شده است، تسهیل می‌شود. این یک تکنیک جدید است، زیرا کمپین قبلی لیست های اعتبار را از یک سرور فرمان و کنترل (C2) ذخیره و بازیابی می کرد. اگر به درستی اجرا شود، عامل تهدید با موفقیت در دستگاه مورد نظر احراز هویت می‌شود و ب،زار را وادار می‌کند تا اعتبارنامه صحیح را به یک C2 کنترل‌شده توسط بازیگر ارسال کند و بار RapperBot را روی دستگاه مورد سوء استفاده نصب کند. یک پیشرفت جالب، ماهیت هدفمند این ب،زار است که فقط برای حمله به دستگاه‌هایی که روی «معماری‌های ARM، MIPS، PowerPC، SH4، و SPARC هستند، طراحی شده است، و مک،زم خود انتشار خود را در صورت اجرا بر روی چیپ‌ست‌های اینتل متوقف می‌کند». اگرچه به طور رسمی نسبت داده نشده است، اما به احتمال زیاد هر دوی این کمپین ها توسط یک عامل تهدید اداره می شوند. تحلیلگران CTIX بر این کمپین نظارت خواهند کرد و در صورت دسترسی قطعی، به‌روزرس،‌هایی را در مورد عامل تهدید ارائه خواهند کرد.

فعالیت بازیگر تهدید

TA542 پس از 4 ماه وقفه دوباره ظاهر می شود، Emotet Arsenal را بهبود می بخشد

پس از یک وقفه اخیر، عوامل تهدید از TA542 بار دیگر استفاده از ب،زار Emotet را برای توزیع هزاران ایمیل م،ب بین کاربران نهایی آغاز ،د. TA542 که با نام Mummy Spider نیز ردیابی می‌شود، معمولاً به دلیل توسعه اصلی ب،زار Emotet شناخته می‌شود که برای اولین بار در سال 2014 مشاهده شد. کمپین‌هایی که توسط بازیگران TA542 راه‌اندازی می‌شوند معمولاً کمپین‌های Emotet را راه‌اندازی می‌کنند که چندین ماه طول می‌کشد و پس از آن گروه به یک برنامه‌ریزی می‌پردازد. وقفه بین سه (3) تا دوازده (12) ماه. اخیراً، فعالیت Emotet پس از چهار (4) ماه وقفه پس از یک کمپین دیگر در ماه جولای، بار دیگر در اوایل نوامبر افزایش یافته است. در این کمپین جدید، تحلیلگران Proofpoint به تغییرات قابل توجهی در ب،زار Emotet اشاره ،د که شامل تغییرات باینری، بهبود تاکتیک‌های فریب ضمیمه ا،ل، بارگیری سبک به نام IcedID و گزارش‌های پراکنده از بارهای Bumblebee است که در کنار IcedID کاهش یافته است. از نظر هدف گیری، TA542 حملات Emotet را بین کاربران ایالات متحده، بریت،ا، ژاپن، مکزیک، برزیل و چندین مورد دیگر توزیع کرده است. به نظر می رسد اصلاحات انجام شده توسط بازیگران تهدید، مشکلات مربوط به میزبان های ،اب در بات نت را اصلاح می کند. CTIX انتظار دارد که این کمپین اخیر چند ماه دیگر به طول بینجامد تا اینکه TA542 یک وقفه دیگر را آغاز کند. CTIX به نظارت بر فعالیت عامل تهدید در سراسر چشم انداز ادامه می دهد و بر این اساس به روز رس، های اضافی را ارائه می دهد.

آسیب پذیری ها

F5 دو آسیب پذیری RCE با شدت بالا را اصلاح می کند

شرکت امنیت سایبری F5 وصله‌هایی را برای دو (2) آسیب‌پذیری حیاتی منتشر کرده است که بر محصولات BIG-IP و BIG-IQ آنها تأثیر می‌گذارد. اگر قرار بود از این نقص‌ها سوء استفاده شود، عامل تهدید می‌تواند اجرای کد از راه دور تأیید نشده (RCE) را در برابر نقاط پای، آسیب‌پذیر انجام دهد. اولین آسیب‌پذیری که با نام CVE-2022-41622 (CVSS 8.8/10) ردیابی می‌شود، یک نقص جعل درخواست متقابل (CSRF) در مؤلفه iControl SOAP است که بر محصولات BIG-IP و BIG-IQ تأثیر می‌گذارد. مهاجم می‌تواند از این آسیب‌پذیری توسط کاربران مهندسی اجتماعی با امتیازات نقش مدیر منبع یا بالاتر سوء استفاده کند و آنها را فریب دهد تا به نقاط پای، م،ب دسترسی پیدا کنند. در صورت سوء استفاده، عامل تهدید می‌تواند به رابط مدیریتی دستگاه آسیب‌پذیر دسترسی ریشه‌ای داشته باشد و امکان به خطر افتادن کامل سیستم را فراهم کند. دومین آسیب‌پذیری که به‌،وان CVE-2022-41800 (CVSS 8.7/10) ردیابی می‌شود، یک نقص در تزریق مشخصات RPM است که روی حالت دستگاه iControl REST تأثیر می‌گذارد. اگر با موفقیت مورد سوء استفاده قرار گیرد، مهاجمی که قبلاً اعتبار مدیر را ایمن کرده است، می‌تواند دوباره RCE احراز هویت نشده را با اجرای دستورات پوسته از طریق فایل‌های خاص RPM انجام دهد. اگرچه شدید است، اما احتمال اینکه این نقص‌ها در مقیاس مورد سوء استفاده قرار گیرند کم است، زیرا مهاجمان باید قبل از سوء استفاده از آسیب‌پذیری‌ها، در مورد شبکه مورد نظر اطلاعات ،ب کنند و حساب‌های صحیح مدیر را به خطر بیاندازند. یک ا،پلویت اثبات مفهوم (PoC) برای CVE-2022-41622 وجود دارد، بنابراین کاربران باید رفع‌های فوری را در اسرع وقت نصب کنند. علاوه بر نصب وصله، مدیران باید به صورت دستی احراز هویت اولیه را برای مؤلفه iControl SOAP پس از نصب Hotfix غیرفعال کنند. تحلیلگران CTIX از خوانندگ، که این امنیت F5 را پیاده‌سازی می‌کنند می‌خواهند برای جلوگیری از بهره‌برداری فوراً پلتفرم‌های خود را ارتقا دهند.