خوب | اپراتور میزبانی ضد گلوله فعال می‌کند که جرم‌افزار اصلی را محکوم می‌کند

یک تبعه رومانیایی این هفته به دلیل اجرای یک سرویس میزبانی ضد گلوله که توسط مجرمان سایبری در عملیات های مختلف حملات سایبری استفاده می شد، به سه سال زندان محکوم شد. Mihai Ionut Paunescu که به صورت آنلاین به عنوان “ویروس” نیز شناخته می شود، بوده است متهم به توطئه برای ارتکاب نفوذ رایانه ای به دلیل مشارکت او که امکان انجام انواع جرایم سایبری را فراهم می کند از DDoS و حملات مبتنی بر هرزنامه گرفته تا دزدان اطلاعات و بدافزارهای بانکی.

خدمات میزبانی ضد گلوله مجرمان سایبری را قادر می‌سازد تا بدافزارهای متمرکز بر سرقت اطلاعات محرمانه را گسترش دهند. این سایت‌ها به‌طور غیرقانونی در مورد مطالبی که به کاربرانشان اجازه آپلود می‌دهند ملایم هستند و از نظر استراتژیک در خارج از حوزه‌های قضایی اجرای قانون قرار دارند و به مجرمان ناشناس بودن لازم برای میزبانی کیت‌های بدافزار، ذخیره‌سازی داده‌ها، بازارهای تاریک پنهان و موارد دیگر را می‌دهند.

در بیانیه وزارت دادگستری، سرویس میزبانی ضد گلوله Paunescu نقش اساسی در توزیع برخی از مضرترین بدافزارهای جهان از جمله ویروس Gozi، تروجان زئوس، تروجان SpyEye و بدافزار BlackEnergy ایفا کرد.. اینها نام های بدنام در دنیای infosec هستند. به عنوان مثال گفته می شود که گوزی بیش از یک میلیون سیستم را آلوده کرده است و اطلاعات بانکی و رمزهای عبور را از نهادهای دولتی و کسب و کار در سطح جهان می دزدد.

اسناد دادگاه می گوید که پائونسکو به خوبی از اقدامات غیرقانونی پایگاه مشتریان جنایتکار خود آگاه بوده است. او نه تنها با اجاره آدرس‌های IP از ارائه‌دهندگان خدمات اینترنتی قانونی (ISP) از مشتریان پرداخت‌کننده از گروه‌های مجری قانون محافظت کرد، بلکه زیرساخت C2 را برای عملیات بات‌نت و پراکسی‌ها برای پنهان کردن ترافیک مخرب فراهم کرد. پائونسکو همچنین لیست‌های هرزنامه آدرس IP را برای افرادی که تحت کنترل او بودند تحت نظر داشت تا از مسدود شدن آن‌ها جلوگیری کند و پایگاه داده‌ای از همه سرورهای اجاره‌ای – که بسیاری از آنها به بدافزارهای شناخته شده متصل بودند – نگهداری می‌کرد.

پائونسکو به تمام اتهامات خود اعتراف کرده و دستور داده است که 3,510,000 دلار و پرداخت 18,945 دلار غرامت را بپردازد و پس از گذراندن دوره محکومیت خود با سه سال نظارت دیگر روبرو خواهد شد.

بد | نقص مهم RCE در Fortinet SSL VPN دریچه ای را برای حملات بیشتر باز می کند

پس از انتشار یک وصله برای یک آسیب‌پذیری حیاتی اجرای کد از راه دور (RCE) در FortiOS SSL VPN، Fortinet اکنون به مشتریان هشدار می دهد که ممکن است از این نقص در حملات نوظهور به دولت و نهادهای زیرساختی حیاتی سوء استفاده شده باشد.. این نقص که به‌عنوان CVE-2023-27997 ردیابی می‌شود، به‌عنوان ضعف سرریز بافر مبتنی بر پشته در FortiOS و FortiProxy SSL VPN توصیف می‌شود که می‌تواند به عوامل تهدید اجازه دهد تا RCE را از طریق درخواست‌های مخرب به دست آورند.

آخرین گزارش Fortinet در مورد این نقص نشان می‌دهد که یکی از مواردی که به‌عنوان FG-IR-23-097 ردیابی می‌شود احتمالاً در موارد متعددی مورد سوء استفاده قرار گرفته است و این شرکت از نزدیک با مشتریان خود برای نظارت بر وضعیت در حال توسعه همکاری می‌کند. فورتینت همچنین به این احتمال اشاره کرد که عوامل تهدید مستقر در چین مرتبط با حملات اخیر Volt Typhoon می توانند به نقص CVE-2023-27997 توجه کنند. در زمان نگارش این مقاله هیچ پیوند تأیید شده ای بین این دو ایجاد نشده است، اما این شرکت انتظار دارد که هرگونه آسیب پذیری اصلاح نشده همچنان با سوء استفاده در نرم افزارها و دستگاه های محبوب ادامه یابد. فورتی نت از همه مشتریان خود می خواهد که بلافاصله پس از انتشار، به اولویت بندی وصله ها ادامه دهند.

تایید شد: Volt Typhoon از یک بای پس احراز هویت CVE-2022-40684 در محصولات FortiOS برای دسترسی اولیه استفاده کرد.

تایید نشده: اگر Volt Typhoon از CVE-2023-27997 جدید در VPN های SSL استفاده می کرد – اما Fortinet انتظار دارد که بسیاری از عوامل تهدید، از جمله Volt Typhoon، ممکن است در آن تلاش کنندhttps://t.co/y9Dlbjw9dY https://t.co/ tbZDOfDGHU

— ویل (@BushidoToken) 13 ژوئن 2023

با توجه به ماهیت اینترنت و دسترسی به اینترانت سازمانی، SSL VPN ها همچنان یک هدف سودآور برای عوامل تهدید هستند. نقص‌های پیش‌احراز هویت مانند CVE-2023-27997 به ویژه برای بازیگران ارزشمند هستند زیرا نیاز به اعتبارنامه‌های معتبر را دور می‌زنند.. علاوه بر پیروی از فرآیندهای سختگیرانه مدیریت پچ، سازمان ها می توانند با اجرای سیاست های اعتماد صفر و راه حل های امنیتی پیشرفته مانند EDR و XDR به طور فعال از خود در برابر آسیب پذیری های جدید محافظت کنند.

زشت | BatCloak Obfuscation Tool Evareing Static Antivirus Engines

محققان امنیتی این هفته در مورد ابزار مبهم سازی به نام “BatCloak” به جامعه هشدار می دهند که به بازیگران اجازه می دهد کدهای مخرب را تحت پوشش فایل های دسته ای (BAT). با داشتن نرخ موفقیت بالا، ابزارهایی که از مؤلفه BatCloak استفاده می کنند، به دلیل سهولت استفاده از آن، به طور فزاینده ای در بین عوامل تهدید در تمام سطوح مهارت محبوب شده اند.

BatCloak در حال حاضر به عنوان “بدافزار کاملا غیرقابل کشف” یا “FUD” توسط نویسندگان آن تبلیغ می شود. وضعیت FUD قرار است به خریداران نشان دهد که بدافزار به اندازه کافی پیچیده است که در سیستم های در معرض خطر کاملاً غیرقابل شناسایی باقی بماند. بدافزار FUD با گذشتن از مجموعه‌های شناسایی قدیمی AV، به عوامل تهدید اجازه می‌دهد تا انواع فعالیت‌های مخرب را انجام دهند. اگرچه ابزارهایی از این نوع برای فرار از موتورهای تشخیص استاتیک تنظیم شده اند، اما به راحتی توسط راه حل های رفتاری و مبتنی بر هوش مصنوعی مدرن مانند SentinelOne قابل شناسایی هستند..

بر اساس آخرین تحقیقات در مورد BatCloak، گفته می شود که این ابزار توانایی قابل توجهی در جلوگیری مداوم از تشخیص استاتیک دارد. نمونه‌هایی که به سال 2022 بازمی‌گردند نشان می‌دهند که از طریق BatCloak، عوامل تهدید توانسته‌اند خانواده‌های بدافزار و سوءاستفاده‌های متعددی را با فایل‌های دسته‌ای بسیار مبهم بارگیری کنند.

فایل‌های BAT فایل‌های متنی هستند که حاوی مجموعه‌ای از دستورات هستند که برای اجرای برنامه‌ها و روال‌های قانونی مبتنی بر ویندوز استفاده می‌شوند. مجرمان سایبری می توانند از فایل های BAT برای اجرای اسکریپت های مخرب و نفوذ به شبکه ها و سیستم های آسیب پذیر سوء استفاده کنند. از آنجایی که فایل های BAT بسیار متغیر هستند، چالشی منظم برای موتورهای آنتی ویروس ایجاد می کنند. در واقع، بسیاری از موتورهای شناسایی استاتیک فایل های BAT را اسکن نمی کنند. اگر با استفاده از تکنیک های مبهم سازی ساخته شده باشند، تشخیص این فایل ها برای نرم افزار آنتی ویروس سنتی دشوار است. با این حال، در محیط‌هایی با فناوری‌های تشخیص رفتاری قوی، آنها هیچ تهدیدی ندارند.

ابزارهایی مانند Jlaive Crypter، Madera، ScrubCrypt و موارد مشابه، تاکتیک های مرتبط با موتور BatCloak را ادغام می کنند. همه این ابزارها از تعاملات مختلف مجموعه ویژگی BatCloak برای پردازش و تولید بارهای مبهم منحصر به فرد استفاده می کنند. همه مشتریان SentinelOne در برابر بارهای تولید شده از طریق Jlaive یا ابزارهای مبهم BatCloak محور محافظت می شوند..