چهارشنبه 23 نوامبر 2022
کمپین ب،زار RapperBot حملات DDoS را علیه سرورهای بازی های ویدیویی انجام می دهد
محققان Fortinet اخیراً نمونههای جدیدی از ب،زار RapperBot را در کمپین حملات انکار سرویس توزیع شده (DDoS) علیه سرورهای بازی شناسایی کردهاند. این کمپین شبیه به یک کمپین قدیمی است که از فوریه 2022 شروع شد و “به طور مرموزی در اواسط آوریل ناپدید شد.” نمونههای جدید RapperBot برای اولین بار در آگوست 2022 شناسایی شدند و به ،وان «سرورهای SSH منحصراً brute-force پیکربندی شده برای تأیید تأیید رمز عبور» شناخته شدند. جدیدترین نمونهها قابلیت اجرای brute-forcing Telnet و همچنین پشتیب، از حملات انکار سرویس (DoS) را دارند. این کار با استفاده از پروتکل تونل زنی Generic Routing Encapsulation (GRE) و همچنین با استفاده از UDP Floods برای هدف قرار دادن سرورهای بازی انجام می شود. این امر توسط لیستهای سختکدینگ اعتبارنامههای پیشفرض اینترنت اشیا در متن ساده که در کد دودویی brute-forcing Telnet تعبیه شده است، تسهیل میشود. این یک تکنیک جدید است، زیرا کمپین قبلی لیست های اعتبار را از یک سرور فرمان و کنترل (C2) ذخیره و بازیابی می کرد. اگر به درستی اجرا شود، عامل تهدید با موفقیت در دستگاه مورد نظر احراز هویت میشود و ب،زار را وادار میکند تا اعتبارنامه صحیح را به یک C2 کنترلشده توسط بازیگر ارسال کند و بار RapperBot را روی دستگاه مورد سوء استفاده نصب کند. یک پیشرفت جالب، ماهیت هدفمند این ب،زار است که فقط برای حمله به دستگاههایی که روی «معماریهای ARM، MIPS، PowerPC، SH4، و SPARC هستند، طراحی شده است، و مک،زم خود انتشار خود را در صورت اجرا بر روی چیپستهای اینتل متوقف میکند». اگرچه به طور رسمی نسبت داده نشده است، اما به احتمال زیاد هر دوی این کمپین ها توسط یک عامل تهدید اداره می شوند. تحلیلگران CTIX بر این کمپین نظارت خواهند کرد و در صورت دسترسی قطعی، بهروزرس،هایی را در مورد عامل تهدید ارائه خواهند کرد.
فعالیت بازیگر تهدید
TA542 پس از 4 ماه وقفه دوباره ظاهر می شود، Emotet Arsenal را بهبود می بخشد
پس از یک وقفه اخیر، عوامل تهدید از TA542 بار دیگر استفاده از ب،زار Emotet را برای توزیع هزاران ایمیل م،ب بین کاربران نهایی آغاز ،د. TA542 که با نام Mummy Spider نیز ردیابی میشود، معمولاً به دلیل توسعه اصلی ب،زار Emotet شناخته میشود که برای اولین بار در سال 2014 مشاهده شد. کمپینهایی که توسط بازیگران TA542 راهاندازی میشوند معمولاً کمپینهای Emotet را راهاندازی میکنند که چندین ماه طول میکشد و پس از آن گروه به یک برنامهریزی میپردازد. وقفه بین سه (3) تا دوازده (12) ماه. اخیراً، فعالیت Emotet پس از چهار (4) ماه وقفه پس از یک کمپین دیگر در ماه جولای، بار دیگر در اوایل نوامبر افزایش یافته است. در این کمپین جدید، تحلیلگران Proofpoint به تغییرات قابل توجهی در ب،زار Emotet اشاره ،د که شامل تغییرات باینری، بهبود تاکتیکهای فریب ضمیمه ا،ل، بارگیری سبک به نام IcedID و گزارشهای پراکنده از بارهای Bumblebee است که در کنار IcedID کاهش یافته است. از نظر هدف گیری، TA542 حملات Emotet را بین کاربران ایالات متحده، بریت،ا، ژاپن، مکزیک، برزیل و چندین مورد دیگر توزیع کرده است. به نظر می رسد اصلاحات انجام شده توسط بازیگران تهدید، مشکلات مربوط به میزبان های ،اب در بات نت را اصلاح می کند. CTIX انتظار دارد که این کمپین اخیر چند ماه دیگر به طول بینجامد تا اینکه TA542 یک وقفه دیگر را آغاز کند. CTIX به نظارت بر فعالیت عامل تهدید در سراسر چشم انداز ادامه می دهد و بر این اساس به روز رس، های اضافی را ارائه می دهد.
آسیب پذیری ها
F5 دو آسیب پذیری RCE با شدت بالا را اصلاح می کند
شرکت امنیت سایبری F5 وصلههایی را برای دو (2) آسیبپذیری حیاتی منتشر کرده است که بر محصولات BIG-IP و BIG-IQ آنها تأثیر میگذارد. اگر قرار بود از این نقصها سوء استفاده شود، عامل تهدید میتواند اجرای کد از راه دور تأیید نشده (RCE) را در برابر نقاط پای، آسیبپذیر انجام دهد. اولین آسیبپذیری که با نام CVE-2022-41622 (CVSS 8.8/10) ردیابی میشود، یک نقص جعل درخواست متقابل (CSRF) در مؤلفه iControl SOAP است که بر محصولات BIG-IP و BIG-IQ تأثیر میگذارد. مهاجم میتواند از این آسیبپذیری توسط کاربران مهندسی اجتماعی با امتیازات نقش مدیر منبع یا بالاتر سوء استفاده کند و آنها را فریب دهد تا به نقاط پای، م،ب دسترسی پیدا کنند. در صورت سوء استفاده، عامل تهدید میتواند به رابط مدیریتی دستگاه آسیبپذیر دسترسی ریشهای داشته باشد و امکان به خطر افتادن کامل سیستم را فراهم کند. دومین آسیبپذیری که به،وان CVE-2022-41800 (CVSS 8.7/10) ردیابی میشود، یک نقص در تزریق مشخصات RPM است که روی حالت دستگاه iControl REST تأثیر میگذارد. اگر با موفقیت مورد سوء استفاده قرار گیرد، مهاجمی که قبلاً اعتبار مدیر را ایمن کرده است، میتواند دوباره RCE احراز هویت نشده را با اجرای دستورات پوسته از طریق فایلهای خاص RPM انجام دهد. اگرچه شدید است، اما احتمال اینکه این نقصها در مقیاس مورد سوء استفاده قرار گیرند کم است، زیرا مهاجمان باید قبل از سوء استفاده از آسیبپذیریها، در مورد شبکه مورد نظر اطلاعات ،ب کنند و حسابهای صحیح مدیر را به خطر بیاندازند. یک ا،پلویت اثبات مفهوم (PoC) برای CVE-2022-41622 وجود دارد، بنابراین کاربران باید رفعهای فوری را در اسرع وقت نصب کنند. علاوه بر نصب وصله، مدیران باید به صورت دستی احراز هویت اولیه را برای مؤلفه iControl SOAP پس از نصب Hotfix غیرفعال کنند. تحلیلگران CTIX از خوانندگ، که این امنیت F5 را پیادهسازی میکنند میخواهند برای جلوگیری از بهرهبرداری فوراً پلتفرمهای خود را ارتقا دهند.
حق چاپ © 2022 Ankura Consulting Group, LLC. تمامی حقوق محفوظ است.بررسی حقوق ملی، جلد دوازدهم، شماره 327
منبع: https://www.natlawreview.com/article/ankura-ctix-flash-update-november-18-2022