تدوین چارچوب قانونی برای شرکت‌های افتا با کمک بخش خصوصی

معاون امنیت سازمان فناوری اطلاعات از بخش خصوصی خواست برای تدوین راهکارها و کاهش زمان صدور مجوزهای شرکت‌های افتا، به دولت مشورت دهند.
 
ابوالقاسم صادقی، در نشست کمیسیون افتای سازمان نظام صنفی رایانه‌ای تهران در بیست و پنجمین نمایشگاه الکامپ و درباره لزوم دریافت مجوزهای متعدد برای کسب‌وکارها گفت: «مجوز برای حفاظت از زیرساخت‌های حیاتی مردم است و این حداقل کاری است که می‌توانیم انجام دهیم. ممکن است در اجرا مشکلاتی وجود داشته باشد اما نباید اساس صدور مجوز را زیر سوال برد.»
 
او در بخش دیگری از سخنانش با انتقاد از عملکرد نهادهای صنفی گفت: «کسانی که وارد نهادهای صنفی می‌شوند باید بخشی از وقت‌شان را برای صنف بگذارند و این مساله‌ای است که در حال حاضر آنچنان که باید در این افراد دیده نمی‌شود. یکی از چالش‌های ما نبود آمار و اطلاعات است و ما از بخش خصوصی می‌خواهیم این اطلاعات را در اختیار ما بگذارند و تحلیل‌های عمیق و جدی داشته باشند.» او با تاکید بر اینکه مدل گواهی‌های موجود به لحاظ محتوایی و مفهومی نیاز به به روزرسانی دارند خطاب به حاضران گفت:‌ «ما می‌خواهیم با مشورت شما در دولت راهکارها را تدوین کنیم و این کمکی است که بخش خصوصی می‌تواند به دولت بکند.» 
 
در مقابل، بهناز آریا، رئیس کمیسیون افتای سازمان نظام صنفی رایانه‌ای تهران با انتقاد از این سخنان گفت: «به نظر می‌رسد دولت می‌خواهد نقش خودش را به بخش خصوصی واگذار کند. اطلاعات در اختیار دولت است و تجمیع آن هم وظیفه دولت است.»
 
پس از این گفته‌ها رامبد راستی،‌ قائم‌مقام اول کمیسیون افتا گفت: «صنف در این مدت خواسته‌های بسیاری را با مدیران دولتی مطرح کرده اما جوابی نگرفته و این باعث ناامیدی شده است. اگر یکی از این خواسته‌ها به سرانجام می‌رسید ناامیدی صنف از بین می‌رفت.»
 
محمود روزبهانی، معاون ارزیابی و اعتبارسنجی مرکز مدیریت راهبردی افتای ریاست جمهوری از دیگر شرکت‌کنندگان در این نشست بود که اعلام کرد اسفند ماه سال ۹۴ بخشنامه‌ای به حراست‌ سازمان‌ها ابلاغ شده که براساس آن شرکت‌هایی که مجوز خدمات افتا دارند نیازی به استعلام تایید صلاحیت ندارند. او از فعالان بخش خصوصی خواست اگر با چنین مساله‌ای برخورد کردند آن را گزارش دهند.
 

سوءاستفاده باج افزاری از آسیب پذیری ویندوز

مرکز مدیریت راهبردی افتای ریاست جمهوری نسبت به سوءاستفاده یک ویروس باج گیر (باج افزار) جدید از آسیب پذیری سیستم عامل ویندوز هشدار داد.
 
به گزارش معاونت بررسی مرکز افتا، باج‌افزار Sodinokibi با بهره‌برداری از یک آسیب‌پذیری در مؤلفه Win۳۲k در نسخه‌های مختلف ویندوز، در حال افزایش سطح دسترسی خود است. این باج‌افزار اولین بار در ماه آوریل، زمانی که سوءاستفاده از یک آسیب‌پذیری بحرانی در Oracle WebLogic را آغاز کرد، شناسایی شد.
 
باج‌افزار Sodinokibi با نام REvil هم شناخته می‌شود و از آسیب‌پذیری CVE-۲۰۱۸-۸۴۵۳ بهره‌برداری می‌کند. این آسیب‌پذیری توسط مایکروسافت در ماه اکتبر سال ۲۰۱۸ رفع شد.
 
بر اساس تحلیل انجام شده توسط پژوهشگران، در کد بدافزار یک بخش پیکربندی به صورت رمز شده وجود دارد که حاوی اطلاعات و تنظیمات مورد نیاز برای فعالیت بدافزار است. به طور جزئی‌تر، کد پیکربندی حاوی فیلدهایی برای کلید عمومی، شناسه‌های حمله و توزیع‌کننده باج‌افزار، پسوندهایی که نباید رمزگذاری شوند، نام فرایندهای پردازشی که باید متوقف شوند، آدرس سرورهای فرمان و کنترل، قالب متن باج‌خواهی و گزینه‌های دیگری است که استفاده از یک اکسپلویت را برای افزایش سطح دسترسی٬ فعال می‌کند.
 
نمونه بدافزار تحلیل شده توسط پژوهشگران کسپرسکی، از یک فرایند ترکیبی برای رمزگذاری داده‌ها استفاده می‌کند. پژوهشگران متوجه شدند که باج‌افزار کلید عمومی و کلید خصوصی را در رجیستری ذخیره می‌کند. پس از رمزگذاری فایل‌ها، باج‌افزار به ازای هر سیستم قربانی یک پسوند تصادفی قرار می‌دهد. قربانی باید کلید و پسوند فایل‌های رمز شده را در سایت مهاجم وارد کند تا میزان مبلغ باج را مشاهده کند. این باج‌افزار سیستم‌های مختلفی را در سراسر جهان آلوده کرده است.

مشتریان بانک‌ها هدف اصلی بدافزار جدید

پژوهشگران امنیتی حملات فیشینگ فعالی را کشف کرده‌اند که در حال انتشار تروجان دسترسی از راه دور RAT هستند و مشتریان بانکی را با کلیدنگارها و سرقت‌کنندگان اطلاعات هدف قرار می‌دهد.
 
به گزارش مرکز مدیریت راهبردی افتای ریاست جمهوری، این بدافزار جدید که ابزار دسترسی از راه دور WSH نامگذاری شده است، نوعی کرم مبتنی بر VBS (ویژوال بیسیک اسکریپت) است که ابتدا در سال ۲۰۱۳ ایجاد و منتشر شده است.
 
سرعت انتشار WSH RAT بسیار بالا است، به طوری که با وجود شروع انتشار در ۲ ژوئن (۱۶ خرداد) ، در حال حاضر توسط یک عملیات فیشینگ و در قالب URL های مخرب و همچنین فایل‌های MHT و ZIP توزیع می‌شود.
 
علاوه بر این، این تروجان به عوامل خود اجازه انجام حملاتی را می‌دهد که قادر به سرقت گذرواژه‌ها از مرورگرهای اینترنتی قربانیان و کاربران ایمیل، کنترل رایانه‌های اهداف از راه دور، بارگذاری، دانلود و اجرای فایل‌ها و همچنین اجرای اسکریپت‌ها و دستورات از راه دور هستند.
 
حملات فیشینگ توزیع‌کننده ضمیمه‌های ایمیل مخرب WSH RAT که در قالب‌های URL،ZIP و یا MHT هستند، مشتریان بانک‌های تجاری را با هدایت آنان به سمت دانلود فایل‌های ZIP حاوی این بدافزار، هدف قرار می‌دهند.
 
پس از اجرای محتوای مخرب و برقراری ارتباط با سرور c۲، این بدافزار سه محتوای مخرب را روی ماشین‌های آسیب‌دیده قربانیان در قالب فایل‌های اجرایی PE۳۲ و تحت پوشش آرشیوهای tar.gz.، به عنوان بخشی از مرحله دوم حمله، بارگیری‌کرده و روی سیستم قربانی قرار می‌دهد.
 
این سه ابزار مخرب کلیدنگار، ناظر اطلاعات ایمیل و ناظر اطلاعات مرورگر هستند که اپراتورهای عملیات مخرب برای جمع‌آوری مدارک و سایر اطلاعات حساس از آنها استفاده می‌کنند.
 
بدافزار WSH RAT همچنین دارای ویژگی کلیدنگاری نیز هست که آن را قادر به از بین‌بردن روش‌های ضدبدافزار و غیرفعال کردن UAC ویندوز کرده و ارسال دسته‌ای دستورات را به همه قربانیان حمله امکان‌پذیر می‌کند.
 
کارشناسان معاونت فنی مرکز افتا می‌گویند: در حال حاضر، سازندگان بدافزار WSH RAT ، آن را تحت یک مدل اشتراکی به فروش می‌رسانند و تمام امکانات موجود در آن را برای خریداران فعال می‌کنند.

نفوذ به وب سرور آپاچی برای انتقال بدافزار استخراج رمزارز

پژوهشگران امنیتی در Sophos اخیرا روش حمله جدیدی را مشاهده کرده‌اند که در آن یک وب سرور اجراکننده Apache Tomcat هدف قرار گرفته است. تلاش مهاجمین در این حمله انتقال بدافزار استخراج رمز ارز به سرور قربانی بوده است.
 
به گزارش لابراتوار امنیتی Sophos، دلیل اصلی وقوع این حمله استفاده از گذرواژه‌هایی که به راحتی قابل حدس زدن هستند یا گذرواژه‌های ضعیف در صفحه مدیریت Tomcat است. مرحله اول حمله با بهره‌برداری از روش جستجوی فراگیر (brute-force) در پنل ادمین Tomcat انجام شده است.
 
پس از حدس گذرواژه سرور، مهاجمین یک درخواست HTTP POST به سرور ارسال می‌کنند. درخواست POST به صفحه ادمین Tomcat انجام می‌شود که این صفحه دارای قابلیت بارگذاری برنامه‌های وب به سرور است. این برنامه‌ها در قالب فایل‌هایی با پسوند war هستند. سپس، مهاجم یک فایل war دلخواه با نام admin-manager.war به سرور ارسال می‌کند که حاوی یک فایل JSP مخرب با نام admin.jsp است. این فایل دارای سه قابلیت ایجاد اطلاعات پروفایل سیستمی، ساخت فایل جدید روی سرور Apache یا اجرای دستور در سرور است.
 
در حمله مشاهده شده توسط Sophos، مهاجمین دستوراتی را به منظور راه‌اندازی کاوش‌گر رمز ارز در سیستم، اجرا کردند. این دستورات در ابتدا فرایندهای پردازشی WMIC.exe، RegSvr۳۲.exe و PowerShell.exe را متوقف می‌کند و سپس وجود PowerShell ۱,۰ در مسیر %systemroot%System۳۲WindowsPowerShellv۱.۰PowerShell.exe را بررسی می‌کند که مهاجم از آن برای اجرای اسکریپت استفاده می‌کند. در صورت عدم وجود این فایل، از فایل RegSvr۳۲.exe استفاده می‌شود.
 
اسکریپت‌های مخرب مهاجم که بصورت زنجیره‌ای اجرا می‌شوند، در نهایت منجر به انتقال یک payload به نام Neutrino می‌شوند. این payload با دستکاری مسیر system۳۲ و فایل HOSTS، رکوردهای DNS استخرهای کاوش رمز ارز را بررسی و در صورت نیاز این فایل را ویرایش می‌کند. همچنین، لیستی از فرایندهای پردازشی نیز توسط این payload بررسی می‌شوند که در صورت وجود متوقف شوند. Payload اصلی کاوش‌گر در مرحله آخر منتقل می‌شود و با استفاده از منابع سرور، به استخراج رمز ارز می‌پردازد.
 
با توجه به روش نفوذ اولیه مهاجمین، با استفاده از گذرواژه‌های قوی و مناسب، می‌توان از این نوع حمله جلوگیری کرد.
 
نشانه‌های آلودگی (IoC):
دامنه‌ها و آدرس IP:
•    ۱۳۴,۱۷۵.۳۳.۷۱
•    xmr.usa-۱۳۸.com
•    wk.ctosus.ru
•    down.ctosus.ru
•    blog.ctoscn.ru
•    down,۹ni.top
•    down.sxly۵۱۸.xyz
•    gowel.top
•    m۴.rui۲.net
 
URLها:
•    hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/PSN/_DL.ps۱
•    hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/test/x۶۴.bin
•    hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/test/x۶۴_VMP.bin
•    hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/test/x۸۶.bin
•    hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/test/x۸۶_VMP.bin
•    hxxp://۱۳۴,۱۷۵.۳۳.۷۱/Update/test/_WMI.ps۱
 
هش فایل DL.php:
•    ۲F۹۰۸ECDC۲۰۹۲۳D۷۰۳F۰۵DA۶EEDE۷۶EB۱۴DCA۲۹۶
 

تلاش هکرها برای نصب باج‌افزار از طریق نفوذ به سرورهای MySQL

هکرها در حال اسکن اینترنت هستند تا سرورهای ویندوز که در حال اجرای پایگاه‌داده MySQL هستند را شناسایی کنند و سپس آن‌ها را با باج‌افزار GandCrab آلوده کنند.
 
به گزارش مرکز افتا به نقل از وبسایت ZDNet، این حملات به نوعی جدید هستند و پژوهشگران تاکنون هدف قرار گرفتن سرورهای MySQL را برای نصب باج‌افزار مشاهده نکرده اند.
 
آنها اعلام کرده‌اند که هکرها پایگاه‌داده‌های MySQL قابل دسترس از اینترنت و قبول کننده دستورهای SQL را اسکن می‌کنند تا در صورت ویندوزی بودن سرور آن، با دستورهای SQL مخرب یک فایل در سرور هدف قرار داده و باج‌افزار GandCrab را در فضای میزبان نصب می‌کنند.
 
با این که اکثر مدیران سیستم‌ها، با گذرواژه از سرورهای MySQL محافظت می‌کنند، مهاجمین اسکن خود را بر مبنای یافتن سرورهایی که دارای پیکربندی مناسبی نیستند یا برای آن‌ها گذرواژه تعریف نشده است، انجام می‌دهند.
 
پژوهشگران در این حملات یک سرور از راه دور را شناسایی کردند که روی آن HFS یا HTTP File Server در حال اجرا است. HFS یک وب سرور مبتنی بر ویندوز است. در این سرور پنج فایل اجرایی با نام ۳۳۰۶ مشاهده شده و تعداد دانلود هر یک مشخص است.
 
در سرور شناسایی شده یک فایل اجرایی لینوکس ELF با نام RDP نیز وجود دارد که در این حمله از آن استفاده نشده است.
 
در زمان تهیه این گزارش، فایل ۳۳۰۶-۱.exe که در هانی‌پات پژوهشگران شناسایی شده٬ بیش از ۵۵۰ بار دانلود شده است.
 
همچنین سایر فایل‌ها (۳۳۰۶-۲.exe، ۳۳۰۶-۳.exe و ۳۳۰۶-۴.exe) به همراه فایل اول، در مجموع ۸۴۲ بار دانلود شده‌اند که نشان دهنده قربانیان حمله است.
 
با اینکه دامنه این حمله گسترده و وسیع نیست، اما این گونه حملات تهدیدی مهم برای سرورهای MySQL که پورت ۳۳۰۶ آن‌ها در معرض دسترسی است، تلقی می‌شود.
 
نشانه‌های آلودگی (IoC)
 
نمونه‌های GandCrab:
•  c۸۳bf۹۰۰eb۷۵۹e۵de۵c۸b۰۶۹۷a۱۰۱ce۸۱۵۷۳۸۷۴a۴۴۰ac۰۷ae۴ecbc۵۶c۴f۶۹۳۳۱
 
•  ۰۱۷b۲۳۶bf۳۸a۱cf۹a۵۲fc۰bdee۲d۵f۲۳f۰۳۸b۰۰f۹۸۱۱c۸a۵۸b۸b۶۶b۱c۷۵۶b۸d۶
 
 
cna۱۲.dll:
•   ۱f۸۶۵۶۱ca۸ff۳۰۲df۲a۶۴e۶d۱۲ff۵۳۰bb۴۶۱f۹a۹۳cf۹b۷c۰۷۴۶۹۹e۸۳۴f۵۹ef۴۴
 
 
IPهای میزبان مهاجم:
•    ۱۷۲,۹۶.۱۴.۱۳۴:۵۴۷۱ (GandCrab host)
•    ۱۴۸,۷۲.۱۷۱.۸۳ (MySQL attacker)
 

کشف نقص امنیتی در نرم افزار WinRAR

مرکز مدیریت راهبردی افتای ریاست جمهوری نسبت به کشف آسیب‌پذیری بحرانی در نرم افزار کاربردی وین‌رر (WinRAR) به عنوان یکی از پراستفاده‌ترین باگ‌ها توسط مهاجمان سایبری، هشدار داد.
 
به گزارش معاونت بررسی مرکز افتای ریاست جمهوری، آسیب‌پذیری CVE-۲۰۱۸-۲۰۲۵۰ در نرم‌افزار WinRAR در حال تبدیل شدن به یکی از پراستفاده‌ترین نقص‌های امنیتی ماه‌های اخیر است. مایکروسافت نیز اخیراً گزارشی را در ارتباط با سوءاستفاده از این آسیب‌پذیری در حملات مختلف، منتشر کرده است.
 
آسیب‌پذیری برنامه پرطرفدار WinRAR یک نقص اجرای کد از راه دور است که به مدت ۱۹ سال در این نرم‌افزار وجود داشته است. پس از انتشار کد اثبات مفهومی این آسیب‌پذیری، حدود ۱۰۰ اکسپلویت مختلف با بهره‌گیری از این نقص توسط مجرمان سایبری ایجاد شده است.
 
سوءاستفاده از این آسیب‌پذیری از طریق فایل‌های فشرده با پسوند ACE انجام می‌شود که با انتشار نسخه ۵,۷۱ beta پشتیبانی از این پسوند متوقف شده است.
 
گزارش مایکروسافت از حملات انجام شده توسط این آسیب‌پذیری، هشداری است برای سازمان‌هایی که هنوز نسخه WinRAR خود را به‌روزرسانی نکرده‌اند.
 
در یکی از حملات اخیر، از طریق ایمیل‌های فیشینگ، پیوست‌های Word مخربی ارسال شده است که با باز کردن آن‌ها یک فایل Word دیگر از طریق یک لینک OneDrive دانلود می‌شود. این فایل حاوی یک کد ماکرو برای راه‌اندازی payload بدافزار است. در نهایت یک اسکریپت PowerShell با بهره‌برداری از اکسپلویت CVE-۲۰۱۸-۲۰۲۵۰ باعث ایجاد حمله از طریق درپشتی برای مهاجمان می‌شود.
 
مرکز افتا به کاربران توصیه کرده است که فایل‌های ACE تحت هیچ شرایطی باز نشوند و برنامه WinRAR به‌روزرسانی شود. باید توجه شود که مهاجمان می‌توانند برای فریب کاربر پسوند فایل‌های فشرده را تغییر دهند.
 
نشانه‌های آلودگی (IoC) حمله بررسی شده توسط مایکروسافت در این لینک آمده است.

ابلاغ طرح امن‌سازی زیرساخت‌های حیاتی در قبال حملات سایبری

 
مرکز مدیریت راهبردی افتای ریاست جمهوری، طرح امن سازی زیرساخت‌های حیاتی را در قبال حملات سایبری تدوین و برای اجرا به تمامی دستگاه‌های اجرایی دارای زیرساخت حیاتی کشور ابلاغ کرد.
 
هدف این طرح که به تمامی دستگاه‌های زیرساختی کشور ابلاغ شده است، ارتقا امنیت فضای تولید و تبادل اطلاعات هر سازمان و جلوگیری از بروز اختلال در ارائه سرویس‌های حیاتی آنهاست.
 
در این باره رضا جواهری - رئیس مرکز مدیریت راهبردی افتای ریاست جمهوری - گفت: مسئولیت امنیت سایبری در هر حوزه‌ی زیرساختی با بالاترین مقام آن دستگاه است و انتظار می‌رود برای پیشگیری از وقوع حوادث احتمالی، طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری در هر دستگاه زیرساختی و واحدهای تابع آن با بهره‌گیری از ظرفیت بخش خصوصی دارای مجوز با قید فوریت، عملیاتی شود.
جواهری افزود: با توجه به مخاطرات نوظهور در عرصه‌ی فناوری اطلاعات و ارتباطات، این طرح با بازنگری همه جانبه در نسخه ابلاغی اسفند ۱۳۹۲ با بیش از ۱۸ ماه کار مداوم، تحقیق، پژوهش، بررسی آسیب‌ها و توانمندی‌های سایبری و ارزیابی ظرفیت امنیت سایبری و صرف افزون بر ۷۲ هزار ساعت نفر کار تدوین نهایی و ابلاغ شده است.
 
وی تصریح کرد: نسخه جدید طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری شامل الزامات امنیتی اولویت دار، نقشه راه اجرا و مدل ارزیابی بلوغ امنیتی است.
 
رئیس مرکز مدیریت راهبردی افتای ریاست جمهوری گفت: این مرکز با دریافت بازخوردهای مختلف از زیرساخت‌های حیاتی، بخش خصوصی ارائه دهنده‌ی خدمات افتا و همچنین متخصصان فنی این حوزه، نسخه‌ی بازنگری شده این سند را تدوین کرده است تا سازمان‌ها به سوی نظم بخشی و ساماندهی فعالیت‌های تضمین امنیت سایبری رهنمون شوند.
 
جواهری گفت: هدف از الزامات طرح امن سازی، جهت دهی راهبردی به فعالیت‌های ملی در حوزه‌ی امنیت سایبری زیرساخت‌ها و ارائه‌ی یک نقشه راه برای توسعه‌ی همزمان امنیت سایبری در بخش‌های مختلف است.
وی با اشاره به اهمیت مدیریت مخاطرات در طرح امن سازی زیرساخت‌های حیاتی در برابر حملات سایبری گفت: مدیریت مخاطرات در این طرح امن سازی، فرآیندی مستمر است که در آن تهدیدات و آسیب پذیری‌های موجود در یک سازمان شناسایی و ارزیابی می‌شوند تا با انجام اقدامات امن سازی، مخاطرات احتمالی سایبری مدیریت شوند.
 
بنا بر اعلام روابط عمومی مرکز مدیریت راهبردی افتای ریاست جمهوری، جواهری ضمن مقایسه این طرح با طرح امن‌سازی اسفند ۱۳۹۲ گفت: در طرح جدید به مدل بلوغ امن سازی توجه خاصی شده و برای اندازه‌گیری پیشرفت امن‌سازی، سطوح چهارگانه شاخص بلوغ در نظر گرفته شده است تا سازمان‌های دارای زیرساخت حیاتی بتوانند با سنجش سطح بلوغ امنیتی حوزه‌ی خود برای ارتقا آن تلاش کنند.
رئیس مرکز مدیریت راهبردی افتای ریاست جمهوری، اطلاعات موجود در هر دستگاه زیرساختی را جز دارایی‌ها و سرمایه‌های ارزشمند خواند و گفت: اجرای دقیق طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری می‌تواند امنیت لازم را برای تولید و تبادل اطلاعات به‌وجود آورد.
 

ایران هدف حملات بدافزار Roaming Mantis قرار گرفت

مرکز مدیریت افتا نسبت به آلودگی هزاران کاربر اینترنتی که هدف حملات بدافزاری Roaming Mantis قرار گرفتند، هشدار داد. ایران در لیست کشورهای هدف این حملات قرار دارد.
 
اسفند ماه سال گذشته بود که مرکز مدیریت افتای ریاست جمهوری براساس گزارشی از کسپرسکی اعلام کرد ایران بیشترین آلودگی در حوزه بدافزارهای موبایلی را داراست. بنابراین متاسفانه طبیعی است که در آلودگی‌های مختلف اندرویدی، نام ایران همیشه به عنوان یکی از قربانیان به چشم بخورد. در آخرین خبر نیز موبایل‌های ایرانیان قربانی بدافزار Roaming Mantis شده‌اند.
 
به گزارش معاونت بررسی مرکز افتای ریاست جمهوری، بدافزار Roaming Mantis برای اولین بار در مارچ ۲۰۱۸ مشاهده شد که به مسیریاب‌های ژاپنی نفوذ کرد و باعث انتقال کاربران به سایت‌های مخرب شد.
 
آخرین موج حملات این بدافزار بر گسترش لینک‌های فیشینگ از طریق پیامک تمرکز دارد که قربانیان این حملات در کشورهای روسیه، ژاپن، هند، بنگلادش، قزاقستان، آذربایجان، ایران و ویتنام قرار دارند.
در تصویر زیر کشورهای آلوده به همراه میزان آلودگی مشخص شده‌ است.
 
بدافزارهای مرتبط با Roaming Mantis بیش از ۶۸۰۰ بار توسط پژوهشگران مشاهده شدند که این تعداد برای ۹۵۰ کاربر منحصر به فرد و در بازه ۲۵ فوریه تا ۲۰ مارچ ۲۰۱۹ است.
 
همراه با تکنیک دستکاری DNS که در گذشته انجام شده بود، مهاجمان از روش فیشینگ جدیدی با پیکربندی‌های موبایل مخرب استفاده کردند.
 
برای این منظور مهاجمان از صفحات فرود جدیدی برای هدف قرار دادن دستگاه‌های iOS استفاده کردند که باعث نصب پیکربندی مخرب در iOS می‌شود. این پیکربندی باعث باز شدن سایت فیشینگ در مرورگر دستگاه‌های هدف می‌شود تا اطلاعات قربانیان جمع‌آوری شوند.
 
کاربران اندروید توسط بدافزارهایی آلوده شدند که Trend Micro آن را با نام XLoader و McAfee با نام MoqHao شناسایی می‌کنند.
 
در اواخر ماه فوریه ۲۰۱۹، کارشناسان یک URL را شناسایی کردند که مهاجمان از آن برای تغییر DNS مسیریاب استفاده کردند.
 
این حمله تحت شرایطی موفق عمل می‌کند که هیچ احراز هویتی برای کنترل پنل مسیریاب وجود نداشته باشد، دستگاه یک نشست ادمین برای پنل مسیریاب داشته باشد و نام‌کاربری و گذرواژه پیش‌فرض برای مسیریاب تعیین شده باشد.
 
کارشناسان کسپرسکی در همین رابطه هزاران مسیریاب را کشف کردند که از این طریق DNS آن‌ها به آدرس‌های مخرب تغییر یافته است. این نوع حمله توسط فایل sagawa.apk نیز انجام شده است.
 
مرکز افتا برای جلوگیری از نفوذ و آلودگی توسط این حملات، موارد زیر را توصیه کرده است:
• تغییر شناسه و گذرواژه‌های پیش‌فرض و اعمال وصله‌های امنیتی منتشره
• عدم دانلود فایل‌های APK از منابع نامعتبر توسط کاربران اندروید
• عدم نصب پیکربندی ثالث نامعتبر توسط کاربران iOS.
 

موقعیت‌های شغلی در خطر فعالیت ۱۰ بدافزار

پژوهشگران بیش از هزار سرور را در آمریکا شناسایی کردند که از طریق عملیات فیشینگ مرتبط با بات‌نت Necurs، ده خانواده بدافزار مختلف را توزیع می‌کنند.
 
به گزارش مرکز مدیریت راهبردی افتای ریاست جمهوری، پژوهشگران Bromium اعلام کردند در این سرورها پنج تروجان بانکی شامل Dridex، Gootkit، IcedID، Nymaim و Trickbot، دو باج‌افزار شامل Gandcrab و Hermes و سه بدافزار سارق اطلاعات شامل Fareit، Neutrino و Azorult مشاهده شده‌اند.
 
یکی از این سرورها متعلق به سیستمی مستقل است که سرویس میزبانی bulletproof نام دارد و ۱۱ سرور دیگر هم متعلق به یک شرکت در Nevada است که سرورهای خصوصی مجازی به فروش می‌رساند.
 
به گفته پژوهشگران، ایمیل‌های فیشینگ بُردار حمله اصلی حملات شناسایی شده و در این حملات از فایل‌های Word حاوی ماکروهای VBS مخرب استفاده شده است. ایمیل‌ها در قالب یک سازمان شناخته شده ارسال شده‌اند و محتوای آن‌ها مربوط به موقعیت‌های شغلی است.
 
کارشناسان معاونت بررسی مرکز افتا به نقل از پژوهشگران Bromium می‌گویند: از سرورها برای عملیات مختلف استفاده شده است، برای مثال در ۹ مارس یک سرور برای توزیع تروجان بانکی IcedID به کار گرفته و یک هفته بعد همان سرور برای میزبانی Dridex استفاده شده و وب سرور دیگری در مدت ۴۰ روز از ۶ خانواده بدافزاری مختلف میزبانی کرده است.

طرح امن سازی زیرساخت‌های حیاتی در برابر حملات سایبری ابلاغ شد

مرکز مدیریت راهبردی افتای ریاست جمهوری، طرح امن سازی زیرساخت‌های حیاتی را در قبال حملات سایبری تدوین و برای اجرا به تمامی دستگاه‌های اجرایی دارای زیرساخت حیاتی کشور، ابلاغ کرد.
 
به گزارش مرکز مدیریت راهبردی افتای ریاست جمهوری، هدف این طرح که به تمامی دستگاه‌های زیرساختی کشور ابلاغ شده است، ارتقای امنیت فضای تولید و تبادل اطلاعات هر سازمان و جلوگیری از بروز اختلال در ارائه سرویس‌های حیاتی آنها است.
 
رضا جواهری رئیس مرکز مدیریت راهبردی افتای ریاست جمهوری در این باره گفت: مسئولیت امنیت سایبری در هر حوزه زیرساختی کشور با بالاترین مقام آن دستگاه است و انتظار می‌رود برای پیشگیری از وقوع حوادث احتمالی، طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری در هر دستگاه زیرساختی و واحدهای تابع آن با بهره‌گیری از ظرفیت بخش خصوصی دارای مجوز با قید فوریت، عملیاتی شود.
 
وی افزود: با توجه به مخاطرات نوظهور در عرصه فناوری اطلاعات و ارتباطات، این طرح با بازنگری همه جانبه در نسخه ابلاغی اسفند ۱۳۹۲ با بیش از ۱۸ ماه کار مداوم، تحقیق، پژوهش، بررسی آسیب‌ها و توانمندی‌های سایبری و ارزیابی ظرفیت امنیت سایبری و صرف بیش از ۷۲ هزار ساعت نفر کار تدوین نهایی و ابلاغ شده است.
 
جواهری تصریح کرد: نسخه جدید طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری شامل الزامات امنیتی اولویت دار، نقشه راه اجرا و مدل ارزیابی بلوغ امنیتی است.
 
رئیس مرکز مدیریت راهبردی افتای ریاست جمهوری گفت: این مرکز با دریافت بازخوردهای مختلف از زیرساخت‌های حیاتی، بخش خصوصی ارائه دهنده خدمات افتا و همچنین متخصصان فنی این حوزه، نسخه بازنگری شده این سند را تدوین کرده است تا سازمان‌ها به سوی نظم بخشی و ساماندهی فعالیت‌های تضمین امنیت سایبری رهنمون شوند.
 
جواهری گفت: هدف از الزامات طرح امن سازی، جهت دهی راهبردی به فعالیت‌های ملی در حوزه امنیت سایبری زیرساخت‌ها و ارائه یک نقشه راه برای توسعه همزمان امنیت سایبری در بخش‌های مختلف کشور است.
 
وی با اشاره به اهمیت مدیریت مخاطرات در طرح امن سازی زیرساخت‌های حیاتی در برابر حملات سایبری گفت: مدیریت مخاطرات در این طرح امن سازی، فرآیندی مستمر است که در آن تهدیدات و آسیب پذیری‌های موجود در یک سازمان شناسایی و ارزیابی می‌شوند تا با انجام اقدامات امن سازی، مخاطرات احتمالی سایبری مدیریت شوند.
 
جواهری ضمن مقایسه این طرح با طرح امن سازی اسفند ۱۳۹۲ گفت: در طرح جدید به مدل بلوغ امن سازی توجه خاصی شده و برای اندازه گیری پیشرفت امن سازی، سطوح چهارگانه شاخص بلوغ در نظر گرفته شده است تا سازمان‌های دارای زیرساخت حیاتی، بتوانند با سنجش سطح بلوغ امنیتی حوزه خود، برای ارتقا آن تلاش کنند.
 
رئیس مرکز مدیریت راهبردی افتای ریاست جمهوری، اطلاعات موجود در هر دستگاه زیرساختی را جزئی از دارایی‌ها و سرمایه‌های ارزشمند کشور برشمرد و گفت: اجرای دقیق طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری می‌تواند امنیت لازم را برای تولید و تبادل اطلاعات به‌وجود آورد.