هکرها بیشتر از چه زبان‌های برنامه‌نویسی استفاده می‌کنند؟

محققان می‌گویند توسعه‌دهندگان بدافزار به طور عمده به زبان‌های برنامه‌نویسی غیرمعمول و عجیب روی می‌آورند تا جلوی تحلیل برنامه‌های مخرب ساخته شده توسط آنها گرفته شود.
 
براساس گزارش جدیدی که توسط تیم تحقیقات و اطلاعات شرکت بلکبری منتشر شده مشخص شد به تازگی میزان استفاده هکرها از زبان برنامه‌نویسی Go یا همان Golang، D یا DLang، Nim و Rust افزایش یافته است.
 
این پلتفرم‌ها بیشترین میزان استفاده توسط توسعه‌دهندگان بدافزار را داشته‌اند تا بر این اساس از شناسایی توسط جامعه امنیتی دور بمانند و مشکلات خاص در روند توسعه بدافزار آنها ایجاد نشود.
 
به طور خاص، توسعه‌دهندگان بدافزار در حال آزمایش لودرها و ابزارهای کدگذاری هستند که با این زبان‌ها نوشته شده‌اند و برای استقرار بدافزارهای خود استفاده از این زبان‌ها را در زنجیره حملات سایبری مناسب می‌دانند.
 
گروه بلکبری در گزارش خود اعلام کرد ابزارهای کدگذاری در مرحله اول به منظور اجتناب از شناسایی در نقطه پایانی هدف به کار گرفته می‌شوند و هنگامی که بدافزار کنترل‌های امنیتی موجود را دور زده و می‌تواند اشکال مشمول کد مخرب را تشخیص دهد، از آنها برای رمزگشایی و بارگیری استفاده می‌شود و در نهایت بدافزارها از این طریق می‌توانند تروجان‌ها را مستقر کنند.
 
بدافزارهایی که در این گزارش به آنها توجه شده تروجان‌های دسترسی از راه دور (RATs)، Remcos و NanoCore را شامل می‌شوند. علاوه بر این بدافزارهای Cobalt Strike در بیشتر موارد با این زبان‌ها توسعه میابند.
 

اطلاعات بیش از یک میلیون گیمر در معرض هک

 
یک توسعه دهنده بازی های رایانه ای در چین اطلاعات کاربرانش را در یک مخزن داده بدون اقدامات امنیتی ذخیره کرده و آنها را در معرض خطر هک و کلاهبرداری قرار داده است.
 
 به نقل از گیزموچاینا، گروهی از محققان امنیتی شکاف امنیتی را در فعالیت‌های یک توسعه دهنده بازی رایانه‌ای مشهور در چین کشف کرده‌اند. با استفاده از شکاف امنیتی رصد شده، اطلاعات بیش از یک میلیون گیمر در معرض هک قرار گرفته است.
 
طبق گفته محققان امنیتی وب سایت «وی پی ان منتور»، EskFun از یک سرور بدون اقدامات امنیتی برای ذخیره انبوه اطلاعات جمع آوری شده از کاربران بازی‌هایش استفاده کرده است. بخشی از اطلاعات جمع آوری شده بسیار حساس هستند و محققان اشاره کرده‌اند هیچ دلیلی وجود ندارد که یک شرکت توسعه دهنده بازی رایانه‌ای اطلاعاتی با این دقت از کاربرانش حفظ کند. از آنجا که اطلاعات مذکور ایمن نشده بودند، احتمالاً تمام اطلاعات در معرض خطر کلاهبرداری، هک یا بدافزارها قرار دارند.
 
EskFun یک تولید کننده بازی‌های رایانه‌ای در چین است که بازی‌های محبوبی برای سیستم اندروید ساخته است.
 
محققان امنیت این وب سایت شکاف مذکور را در جولای ۲۰۲۱ میلادی کشف کردند و به سرعت به شرکت اطلاع دادند. اما این شرکت هیچ واکنشی نشان نداد.

نشست اضطراری بایدن با مدیران اپل، آمازون و مایکروسافت

 
رئیس جمهور آمریکا قصد دارد جلسه ای درباره ارتقای امنیت سایبری با مدیران ارشد شرکت های بزرگی مانند اپل، آمازون و مایکروسافت برگزار کند.
 
 به نقل از ورج، جوبایدن رئیس جمهور آمریکا تصمیم دارد فردا جلسه‌ای با حضور مدیران ارشد اجرایی شرکت‌های فناوری برگزار کند تا موضوع ارتقای امنیت سایبری پس از موج حملات سایبری و بدافزار را بررسی کند.
 
در این جلسه تیم کوک (مدیر ارشد اجرایی اپل)، ساتیا نادلا (مدیر ارشد اجرایی مایکروسافت)، اندی جسی (مدیر ارشد اجرایی آمازون) حضور دارند.
 
همچنین از شرکت‌های گوگل، آی بی ام، جی پی مورگان چیس و شرکت ساترن کمپانی نیز برای شرکت در جلسه دعوت شده‌است.
 
هنوز مشخص نیست رئیس جمهور آمریکا و شرکت کنندگان به طور دقیق درباره چه موضوعاتی بحث و گفتگو می‌کنند اما با توجه به رویدادهایی مانند هک سولارویندز، حمله باج افزاری کاسیا یا تعطیلی خط لوله کلونیال به دلیل حمله سایبری این گفتگو مفصل خواهد بود.
 
اپل، مایکروسافت، گوگل، آمازون، ای بی ام، و ساترن کمپانی از اظهار نظر در این باره خودداری کرده‌اند.

رشد ۶۸ درصدی انتشار بدافزار در فضای ابری

براساس تازه‌ترین اطلاعات شرکت امنیت سایبری Netskope مشخص شد میزان انتشار بدافزارها در فضای پردازش ابری در فصل دوم سال جاری میلادی رشد 68 درصدی داشته است.
 
این شرکت امنیتی پنجمین ویرایش از «گزارش فضای ابری و تهدید» را منتشر کرد و در آن تمامی خطرات، تهدیدها و روندهای پیش‌روی داده‌های ابری در طول بازه زمانی سه ماهه دوم امسال مورد تحلیل قرار گرفت.
 
در این گزارش اعلام شد که حساب‌های کاربری مخصوص اپلیکیشن‌های ذخیره‌سازی داده در فضای ابری بیش از 66 درصد بدافزارهای فضای ابری را منتشر می‌کنند.
 
در این گزارش آمده است: «در فصل دوم سال 2021 میلادی 43 درصد تمام بدافزارهای بارگذاری شده مربوط به فایل‌های مخرب مبتنی بر مجموعه نرم‌افزاری آفیس بودند که این رقم در ابتدای سال 2020 میلادی حدود 20 درصد گزارش شده بود.»
 
این گزارش می‌افزاید: «این افزایش چشمگیر در حالی صورت گرفته است که در این مدت بدافزار Emotet نیز غیرفعال شد و بنابراین می‌توان نتیجه گرفت که دیگر گروه‌های هکری با مشاهده موفقیت‌های Emotet توانسته‌اند تکنیک‌های مشابه را به کار گیرند».
 
پس از این، برنامه‌های اشتراکی و همکاری به همراه ابزارهای توسعه‌دهنده بیشترین عامل انتشار بدافزارها بوده‌اند. زیرا مهاجمان از اپلیکیشن‌های محبوب پیام‌رسان و مخازن کدهای نرم افزاری برای انتشار بدافزارهای خود استفاده می‌کردند.
 
مرکز Netskope اعلام کرد که در مجموع در نیمه نخست سال جاری 209 بدافزار مخصوص فضای ابری شناسایی شده است.
 

هکرها از نصب‌کننده‌های جعلی ویندوز ۱۱ برای توزیع بدافزارها استفاده می‌کنند

 
مایکروسافت پیش نمایش ویندوز ۱۱ را منتشر کرده و کاربران می‌توانند بطور رسمی آن را دریافت کنند. با این حال برخی کاربران به سراغ فایل‌های ISO غیررسمی می‌روند که نصب‌کننده یا اینستالر (Installer) حاوی بدافزار دارند.
 
گزارشی از کسپرسکی نشان می‌دهد که نسخه‌ای از ویندوز با نام ۸۶۳۰۷_windows 11 build 21996.1 x64 + activator.exe در فضای اینترنت بارگذاری شده و حجم آن ۱.۷۵ گیگابایت است. براساس نام آن می‌توان عنوان کرد که به بیلد ۲۱۹۹۶.۱ ویندوز ۱۱ و در واقع نسخه غیررسمی منتشر شده قبل از رونمایی رسمی سیستم عامل مایکروسافت مربوط می‌شود که حاوی یک فایل DLL بی‌فایده است.
 
زمانی که کاربران فرآیند نصب نسخه حاوی این فایل را آغاز می‌کنند، به صورت خودکار فایل قابل اجرا دیگری نیز توسط همان فایل دانلود و اجرا می‌شود. البته این موضوع کاملا با توافقنامه ویندوز مطابقت دارد که بیان می‌کند «برخی اپلیکیشن‌های حمایت شده روی دستگاه شما نصب خواهند شد.» با این وجود افرادی که بدون خواندن آن را قبول می‌کنند، می‌توانند پای اپلیکیشن‌های مخرب را به سیستم خود باز کنند.

 
کسپرسکی خاطرنشان می‌کند که این فایل دانلود شده می‌تواند آگهی‌افزار یا تروجان باشد و فایل‌های سیستم شما را در اختیار خود بگیرد. به گفته این شرکت، برنامه کسپرسکی با صدها تلاش برای حمله به سیستم با استفاده از این تکنیک در ویندوز ۱۱ مقابله کرده است.
 
شرکت امنیتی روسی هشدار می‌دهد که برای نصب ویندوز ۱۱ بهتر است از نصب‌کننده‌های رسمی ویندوز استفاده کنید و البته با توجه به اینکه این سیستم عامل هنوز در حال توسعه است، بهتر است برای نصب آن عجله‌ای نداشته باشید، زیرا می‌تواند منجر به مشکلات پایداری شود.
 
مایکروسافت اولین نسخه پیش نمایش ویندوز ۱۱ را در تاریخ ۷ تیر منتشر کرد و طی چند هفته گذشته بروزرسانی‌های جدیدی را برای آن ارائه کرده است. در حالی که فرآیند نصب ویندوز ۱۱ نسبتا ساده است و تمام مراحل آن توسط اینستالر ویندوز انجام می‌شود، استفاده از فایل‌های غیررسمی خطر گرفتار شدن به بدافزارها را افزایش می‌دهد. استفاده از نصب‌کننده‌های غیررسمی ویندوز پیچیده نیست و تنها باید یک اینستالر را دانلود کرد و سپس بدون مطالعه شرایط و ضوابط آن عملیات نصب را انجام داد.

حملات فیشینگ برای آلوده کردن شرکت‌های انرژی و نفت و گاز

 
مدتی است ارسال ایمیل‌های آلوده به بدافزار به شرکت‌های انرژی و مؤسسات همکار با آنها با هدف سرقت اطلاعات از این شرکت‌ها تشدید شده است.
 
 به نقل از زد دی نت، هکرهای اینترنتی از این طریق شرکت‌های انرژی، نفتی، گازی و دیگر مؤسسات همکار با آنها را هدف گرفته‌اند و با ارسال ایمیل‌های فیشینگ تلاش می‌کنند اسامی کاربری، کلمات عبور و دیگر اطلاعات حساس را از شرکت‌های مذکور سرقت کنند.
 
بررسی‌های مؤسسه امنیت سایبری اینتزر نشان می‌دهد حملات فیشینگ یاد شده از یک سال قبل آغاز و تلاش فراوانی شده تا این ایمیل‌ها پاسخ به ایمیل‌های قبلی مدیران و مسئولان شرکت‌های هدف به نظر برسند. این ایمیل‌ها حاوی لوگوهای رسمی شرکت‌ها هستند و در آنها به قراردادها و پروژه‌های مشترک دوجانبه اشاره شده تا مخاطب اقناع شود.
 
بخش عمده شرکت‌ها و مؤسسات هدف این حملات در آمریکا، امارات متحده عربی، آلمان و کره جنوبی قرار دارند. همراه با این ایمیل‌ها فایل‌های ضمیمه با فرمت پی دی اف، ای اس او یا سی ای بی ارسال می‌شوند که با کلیک بر روی آنها بدافزاری بر روی رایانه‌های شخصی با هدف سرقت اطلاعات مختلف نصب می‌شود. با توجه به پیچیدگی‌های این حمله جدید عامل یا عاملان آن هنوز شناسایی نشده‌اند.

حمله وسیع سولارویندز، داستان سایبری قرن

 
بسیاری از شرکت‌های مطرح حوزه امنیت اطلاعات برای شناسایی بدافزارهای مرتبط با حملات سایبری، روش‌ها و دستورالعمل‌هایی را صادر کرده‌اند، با وجود این، هنوز بسیاری از سازمان‌ها اقدام به به‌روزرسانی سیستم‌های خود نکرده‌اند، درحالی که حمله به زیرساخت‌های شرکت‌های مهم و مطرحی مانند سولارویندز، مایکروسافت و سیسکو نشان می‌دهد حمله به هر شرکت یا سازمان دیگر هم ممکن است.
 
 اگرچه به دلیل شیوع کرونا و شرایط دوکاری انتظار می‌رفت که سال ۱۳۹۹ سالی پرهیاهو در حوزه فناوری اطلاعات باشد، اما شاید کمتری کسی حدس می‌زد که این سال حتی در نخستین روزهای خود در حوزه امنیت سایبری غوغا به پا کند. در اولین روزهای فروردین سال ۱۳۹۹، نه اخبار مربوط به کرونا، بلکه خبر نشت اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام فضای مجازی کشور را تکان داد.
 
اما این تنها روزهای ابتدایی سال بود. با نگاهی به اخبار و رخدادهای سال ۱۳۹۹ می‌توان دریافت که این سال یکی از پرهیجان‌ترین و پرالتهاب‌ترین سال‌ها از دید امنیت سایبری چه برای مردم ایران و چه مردم جهان بوده است.
 
حملات سولارویندز، zerologon، نشت‌های اطلاعاتی گسترده و پیشرفت پروژه‌های کلان کشوری در حوزه فناوری اطلاعات تنها بخشی از اخبار داغ سال ۱۳۹۹ بودند. مرکز تخصصی آپا دانشگاه صنعتی اصفهان در گزارش خود به حمله وسیع سولارویندز تحت عنوان داستان سال پرداخته و معتقد است اهمیت این حمله می‌توان آن را به داستان سایبری قرن هم تبدیل کند.
 
داستان سال، حملات سولارویندز
 
 شرکت فایرآی در هجدهم آذرماه سال ۱۳۹۹ اعلام کرد مورد هجوم حملات گسترده‌ای واقع شده که طی این حملات، بسیاری از ابزارها و اطلاعات حساس این شرکت به سرقت رفته است. پنج روز بعد، کریس بینگ از رویترز از نفوذ به وزارت خزانه‌داری ایالات متحده آمریکا پرده برداشت. الن ناکاشیما،‌ تحلیل‌گر امنیت اطلاعات واشنگتن پست با ارائه مدرکی، این دو حمله را به هم مرتبط دانست و مدعی شد که هر دو توسط یک گروه تهدید روسی به نام APT۲۹ پیاده شده‌اند و در هر دو حمله از پلتفرم SolarWinds Orion سوء‌استفاده شده است.
 
محصول Orion شرکت سولارویندز، یک سیستم مدیریت شبکه (Network Management System) یا NMS است که قابلیت‌های بسیاری برای نظارت و مدیریت سیستم‌های شبکه از سرورها و ایستگاه‌های کاری، تا تجهیزات شبکه مانند مسیریاب‌ها، دیوار آتش و ... دارد. برای مهاجمین، NMSها اهداف بسیار مهمی هستند؛ چرا که: سیستم NMS بایستی با تمامی دستگاه‌های شبکه درارتباط باشد و از این حیث مکانیزم‌های لیست دسترسی یا  ACLs بر آن اثر ندارد.
 
به علاوه، NMS‌ها اغلب به گونه‌ای پیکربندی می‌شوند که بتوانند شبکه را نظارت کنند و به رویدادهای آن پاسخ دهند. در صورت نفوذ به NMS این امکان، قابلیت‌های بسیاری را در اختیار مهاجم قرار خواهد داد. حتی اگر NMS فقط برای نظارت شبکه پیکربندی شده باشد، با به دست آوردن اعتبارنامه‌ها، مهاجم سطح دسترسی خوبی در شبکه هدف خواهد داشت. «در صورت نفوذ، هر کاری که NMS قادر به انجام آن است؛ مهاجم نیز می‌تواند انجام دهد.»
 
حمله زنجیره تامین، حمله‌ای است که برای نفوذ به یک نهاد،سازمان یا شرکت از ضعیف‌ترین عنصر (ضعیف‌ترین حلقه) در زنجیره هدف سوء‌استفاده می‌شود. در حمله زنجیره تامین سولارویندز نیز از سولارویندز به عنوان حلقه ضعیف برای نفوذ به بزرگ‌ترین شرکت‌ها، نهادها و سازمان‌ها مانند پنتاگون ایالات متحده آمریکا، ناتو، اتحادیه اروپا، چندین وزارتخانه ایالات متحده آمریکا، چندین شرکت دارویی فعال در تولید واکسن کووید ۱۹ و خوش‌نام‌ترین شرکت‌ها مانند مایکروسافت، VMware، سیسکو، اینتل، فایرآی و ... استفاده شد.
 
روایت حمله سولارویندز برای اولین بار در آذرماه سال ۱۳۹۹ گفته شد؛ ولی در حقیقت زمان این حمله به ماه‌ها قبل تر یعنی اواخر ۱۳۹۸ باز می‌گردد. مایکروسافت لیستی از DLL۱۹ آلوده سولارویندز را در گزارشی منتشر کرد که زمان دیده شدن این فایل‌ها بهمن‌ماه و اسفندماه ۱۳۹۸ است. هنوز مشخص نیست در این بازه زمانی، مهاجمین چه اطلاعاتی را به سرقت برده‌اند؟ تا چه اندازه کنترل شبکه‌های تسخیر شده را به دست گرفته‌اند و در آینده با توجه به قابلیت‌های جدید چه می‌کنند؟
 
نیمه پر این داستان این است که بسیاری از شرکت‌های مطرح حوزه امنیت اطلاعات برای شناسایی بدافزارهای مرتبط با این حملات روش‌ها و دستورالعمل‌هایی را صادر کرده‌اند. همچنین شرکت سولارویندز وصله‌هایی‌ را برای رفع آسیب‌پذیری‌های مورد سوء‌استفاده در این حملات منتشر کرد. اما نیمه خالی لیوان آن است که هنوز بسیاری از سازمان‌ها اقدام به به‌روزرسانی سیستم‌های خود نکرده‌اند. برای مثال با گذشت چندین ماه از انتشار اخبار مرتبط با این حملات پیچیده و گسترده، هنوز نسخه آسیب‌پذیر سولارویندز بر ۳۰ آدرس IP ایرانی نصب است.
 
درس‌هایی برای مدیران امنیت و ناظران شبکه
 
حملاتی مانند زنجیره تامین سولارویندز درس‌هایی زیادی برای مدیران امنیت و ناظران شبکه دارند. اینکه حتی بهترین‌ها، کامل نیستند. محصول Solarwinds Orion از مهم‌ترین و محبوب‌ترین محصولات NMS است که در سراسر جهان استفاده می‌شود ولیکن این بدین معنی نیست که از همه نظر – از جمله از نظر امنیتی – بی‌نقص باشد. در نتیجه برای استفاده از چنین محصولاتی با استفاده از رویکردهای اعتماد صفر یا Zero Trust، بایستی ورودی و خروجی‌هایشان کاملا کنترل و نظارت شود.
 
گزارش وقوع حمله، کمک به خود و سایر قربانیان است. اگر چه هنوز ابعاد دقیق این حمله کاملا روشن نیست؛ ولیکن چراغ اول شناخت حمله را فایرآی با انتشار وقوع حملات به زیرساخت‌هایش روشن کرد. اگر شرکت‌ها و سازمان‌های قربانی حملات سایبری به جای توضیح و تشریح حمله، وقوع آن را کتمان کنند نه تنها به جای سایر قربانیان به مهاجم کمک می‌کنند؛ بلکه کمک دیگران را از خود دریغ کرده‌اند. برای مثال در حمله سولارویندز، بدافزار Sunburst توسط FireEye شناسایی و معرفی شد. پس از آن CrowdStrike بدافزار SunSpot را شناسایی کرد؛ شرکت‌هایی مانند مایکروسافت آنها را تحلیل و روش‌هایی برای شناسایی‌شان ارائه کردند و این روند هم‌افزایی همچنان ادامه دارد.
 
از آنجا که کد بدخواهانه در این حمله به فایل به‌روزرسانی محصول Solarwinds Orion تزریق شده بود؛ سوال معمول آن است که آیا به‌روزرسانی‌ها نباید نصب و اعمال شوند؟! در پاسخ باید گفت حتما باید به‌روزرسانی‌ها اعمال شوند ولی نه به صورت خودکار و بدون تحلیل. در رویکرد اعتماد صفر، شما نباید هر وصله یا فایل را بدون تحلیل بارگذاری و نصب کنید. علاوه بر این بدافزار Sunburst با دوره خاموشی ۱۴ روزه‌اش نشان داده است که تحلیل و بررسی کوتاه مدت ابدا کافی نیست.
 
مهم‌تر از همه آن‌که اهمیت شرکت یا سازمان وابسته‌تان را جدی بگیرید. به زنجیره تامین شرکت یا سازمان خود توجه کنید و هرگونه ارتباط با حلقه‌های ضعیف‌تر این زنجیره را رصد کنید. توجه کنید که اگر به زیرساخت‌های پیچیده شرکت‌های مطرح و مهمی مانند سولارویندز، فایرآی، مایکروسافت، سیسکو و سازمان‌هایی مانند پنتاگون، وزارتخانه‌های ایالات متحده، ناتو حمله شده است؛ حمله به شرکت یا سازمان شما نیز ممکن است.
 

سازمان‌های ایرانی هدف نوعی بدافزار با دام‌هایی به زبان فارسی

 
مرکز افتا اعلام کرد که سازمان‌های ایرانی در هفته‌های اخیر هدف بدافزار Agent Tesla قرار گرفته‌اند که در جریان آن ایمیل‌های جعلی با ظاهر و محتوای قابل‌باور به کاربران ارسال شده است.
 
به‌گزارش مرکز مدیریت راهبردی افتا، نکته قابل‌توجه در خصوص ایمیل‌های فیشینگ بدافزار Agent Tesla ، فارسی بودن محتوا و عنوان آنهاست که این خود احتمال به دام افتادن کاربران ایرانی را، افزایش داده است.
 
در مواردی گردانندگان این بدافزار برخی اجزای مخرب را روی سایت‌های معتبر قرار می‌دهند تا ارتباط با آن سایت‌ها، از سوی ابزارهای امنیتی و مسئولان امنیت مشکوک تلقی نشود.
 
دامنه وسیعی از مهاجمان از این بدافزار برای سرقت اطلاعات هویتی و اطلاعات بالقوه حساس از روش‌هایی همچون تصویربرداری از دسکتاپ، ثبت کلیدهای فشرده شده و استخراج محتوای کلیپ برد، بهره گرفته‌اند.
 
اصلی‌ترین روش انتشار Agent Tesla، ایمیل‌های Spam است که فایل حاوی این بدافزار را در پیوست خود به همراه دارند.
 
نکته مهم این بدافزار آن است که خریداران Agent Tesla قادر به سفارشی‌سازی بدافزار، توزیع و بهره‌برداری از آن به روش خود خواهند بود.
 
در نسخه‌های اخیر Agent Tesla از روش‌های مختلفی برای دشوار کردن افشای عملکرد بدافزار در سندباکس‌ها و در جریان تحلیل‌های ایستا بهره گرفته شده است.
 
بدافزار Agent Tesla می‌تواند در بستر برخی از پروتکل‌ها با سرور فرماندهی و کنترل خود ارتباط برقرار کند و داده‌های به سرقت رفته کاربران را این سرور ارسال کند.
 
در نسخه جدید، هنگام اجرای بدافزار، هر نمونه دیگر از این بدافزار در صورت فعال بودن متوقف خواهد شد و این سازوکار زمینه را برای ارتقای نسخه فعلی به نسخه جدید فراهم می‌کند.
 
پروتکل پرطرفداربرای بدافزار ، SMTP است. چون برای مهاجمان امن‌تر بوده و بهره‌گیری از آن به زیرساخت کمتری نیاز دارد.
 
یکی از اصلی‌ترین اقدامات مخرب Agent Tesla سرقت اطلاعات هویتی است. تعداد برنامه‌های هدف قرار گرفته شده توسط این بدافزار در هر نسخه جدید آن افزایش می‌یابد.
 
از جمله برنامه‌هایی که Agent Tesla برای دستیابی به اطلاعات هویتی آنها تلاش می‌کند، مرورگرها، نرم افزارهای مدیریت ایمیل و سایر نرم‌افزارها است.
 
طبق اعلام شرکت Sophos ، بدافزار Agent Tesla از مجموع ایمیل‌های حامل بدافزار در دسامبر ۲۰۲۰ سهمی ۲۰ درصدی را به خود اختصاص داده است.
 
کارشناسان مرکز مدیریت راهبردی افتا برای مقابله با تهدیدات بدافزار Agent Tesla به تمامی متخصصان، کارشناسان و مدیران IT دستگاه‌ها و سازمان‌های دارای زیرساخت حیاتی تاکید می‌کنند که از ضدویروس قدرتمند و به‌روز استفاده کنند.
 
آموزش و راهنمایی کاربران سازمان به‌صرفنظر کردن از فایل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از اجرا شدن فایل‌های ارسالی بدافزار داشته باشد.
 
مسدود کردن ایمیل‌های دارای پیوست ماکرو در gateway شبکه، نصب همواره patch های امنیتی روی تمامی دستگاه‌ها و استفاده نکردن از هرگونه سیستم‌عامل از رده‌خارج شده از دیگر توصیه‌های امنیتی مرکز افتا است.
 
کارشناسان مرکز مدیریت راهبردی افتا از همه متولیان IT دستگاه‌ها و سازمان‌های دارای زیرساخت حیاتی خواسته اند تا با محدود کردن سطح دسترسی کاربران، موجب شوند تا حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به بدافزار Agent Tesla آلوده نشود.
 
اطلاعات فنی و امنیتی درباره بدافزار Agent Tesla، روش‌های نفوذ به سیستم‌های سازمان‌ها، قابلیت‌های نسخه‌های جدید و مشخصات پروتکل‌های مورد سو استفاده این بدافزار در پایگاه اینترنتی مرکز افتا منتشر شده است.

طعمه جدید هکرها برای استخراج رمزارز

 
تحقیقات شرکت امنیتی Avast نشان داد خلافکاران سایبری برای استخراج رمزارز، گیمرها را با یک بدافزار استخراج هدف قرار دادند.
 
 شرکت Avast اعلام کرد: بدافزار کِرکونوش در نسخه های رایگان بازیهایی مانند NBA ۲k۱۹، گرند تیف اوتو وی فایو، فار کرای فایو، سیمز فور و ژوراسیک ورلد اِولوشن که برای دانلود رایگان در سایتهای تورنت قابل دسترس هستند، مخفی شده است.
 
به محض نصب شدن بازی، این بدافزار پنهانی به استفاده از نیروی پردازش رایانه برای استخراج رمزارزها برای هکرها می پردازد. این بدافزار دستکم از ژوئن سال ۲۰۱۸ برای تولید رمزارز مونِرو به ارزش دو میلیون دلار مورد استفاده قرار گرفته است.
 
دانیل بینس، محقق شرکت Avast به شبکه سی ان بی سی گفت: کاربرانی که سیستمشان آلوده شده، ممکن است متوجه شوند رایانه شان آهسته شده یا به دلیل استفاده بیش از حد مستهلک شده و هزینه برق آنها هم ممکن است بالاتر از حد معمول شود. این بدافزار از همه منابع رایانه استفاده می کند؛ بنابراین عملکرد رایانه ممکن است ضعیف شود.
 
وی اظهار کرد: حدود ۲۲۰ هزار کاربر در سراسر جهان به این بدافزار آلوده شده اند و ۸۰۰ دستگاه هر روز آلوده می شوند. با این حال Avast تنها در دستگاههایی که نرم افزار آنتی ویروس این شرکت نصب شده است، این بدافزار را شناسایی کرده و نرخ آلودگی آن ممکن است بسیار بالاتر باشد. برزیل، هند و فیلیپین در میان آلوده ترین کشورها هستند در حالی که آمریکا هم موارد بسیاری را مشاهده کرده است.
 
این محقق امنیتی گفت: کِرکونوش پس از نصب شدن اقدامات متعددی را برای حفاظت از خود انجام می دهد که شامل غیرفعال کردن به روزرسانی های ویندوز و از نصب خارج کردن نرم افزار امنیتی است. منشا این نرم افزار ممکن است جمهوری چک باشد زیرا کِرکونوش در زبان فولکلور چک به معنای روح کوه است.
 
شرکت Avast زمانی این بدافزار را کشف کرد که مشتریانش ناپدید شدن نرم افزار این شرکت از سیستمهایشان را گزارش کردند.
 
بر اساس گزارش شبکه سی ان بی سی، شرکت آکامی سکیوریتی ریسرچ هفته گذشته اعلام کرد شمار حملات سایبری به گیمرها در دوران همه گیری کووید ۱۹ به میزان ۳۴۰ درصد افزایش پیدا کرده است.
 

شناسایی ۱۵۰ مورد آلودگی به فیشینگ در خردادماه

 
گزارشی از ۸۰۴ فراوانی رخدادهای رایانه‌ای در خرداد ماه سال ۱۴۰۰ منتشر شده و بیشترین فراوانی مربوط به فیشینگ سایت‌های خارجی بوده که بیشتر از ۱۵۰ مورد را شامل می‌شود.
 
 گزارشی از ۸۰۴ مورد خدمت ارائه‌شده توسط مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) در خرداد ماه سال ۱۴۰۰ در گراف‌های زیر قابل مشاهده است. خدمات ارائه‌شده شامل فراوانی و نوع رخدادهای رسیدگی‌شده توسط مرکز، بخش‌های دریافت‌کننده این خدمات و نحوه مطلع شدن مرکز از این رخدادها است.
 
طبق این اطلاعات، بیشترین فراوانی رخداد به ترتیب مربوط به آلودگی به فیشینگ سایت‌های خارجی، بدافزار و بات، شناسایی آسیب‌پذیری، دیفیس سایت، افشای اطلاعات، گزارش‌های خبری، فیشینگ سایت‌های داخلی،  درخواست ارزیابی درخواست مشاوره و باج‌افزار بوده است.
 
 
نحوه مطلع شدن مرکز ماهر از رخداد نیز در نمودار زیر آمده که نشان می‌دهد بیشترین آمار از طریق مراجع بین‌المللی به این مرکز رسیده است.
 
 
بیشترین اطلاع‌رسانی از طریق منابع داخلی به ترتیب از سامانه دانا، کارشناسان مرکز ماهر،  سامانه هوشیار، گزارش آپاها، گزارش بخش خصوصی، سامانه بینا، گزارش نهادهای حاکمیتی، سامانه تله بدافزار و گزارش مردمی رسیده است.
 
 
همچنین بخش‌های دریافت‌کننده خدمات از مرکز ماهر شامل اپراتورها، بخش خصوصی، دستگاه‌های حاکمیتی و بانک‌ها و موسسات مالی می‌شود که تعداد دریافت این خدمات در نمودار زیر آمده است.
 
 
در نمودار بخش‌های حاکمیتی دریافت‌کننده خدمات از مرکز ماهر هم وزارت بهداشت، وزارت ارتباطات و فناوری اطلاعات، وزارت نفت، ریاست جمهوری، قوه قضائیه، وزارت عتف، وزارت کشور، وزارت کار، وزارت صمت، وزارت راه و شهرسازی، وزارت دادگستری و وزارت اقتصاد قرار دارد.
 
 
با توجه به اهمیت پاسخگویی به رخدادهای فضای تبادل اطلاعات و ایجاد مراکز پاسخگویی به حوادث فضای مجازی که در اکثر کشورها تحت عنوان مراکز CERT انجام‌شده است، مرکز ماهر به‌عنوان CERT ملی ایران در سال ١٣٨٧ ایجاد و در سطح ملی فعالیت گسترده‌ای را برای پیشگیری و مقابله با حوادث فضای تبادل اطلاعات به عهده دارد.
 
این مرکز در حوزه فعالیت‌های امداد و واکنشی موظف به رسیدگی فوری به حوادث فضای مجازی بر اساس درخواست سازمان‌ها است. همچنین در حوزه فعالیت‌های پیشگیرانه نیز این مرکز وظیفه دارد تا به ارائه هشدارها، اعلانات، مخاطرات و ضعف‌های سامانه‌ها در سطح ملی و انتشار بسته‌های راهنما برای مقاوم‌سازی سامانه‌ها بپردازد.