مقدمه
هکرهای چینی( MQsTTang-A) با دسترسی به فایل های دارای رفتار معیوب قصد سرقت اطلاعات حساس را از سازمانهای هدف دارند .
جزئیات آسیبپذیری
Av ،یک نوع پیشرفته از فناوری تشخیص ویروس می باشدکه فایل هایی که رفتار معیوب و مشکوک دارند را با استفاده از این فناوری شناسایی می کنند.
یک گروه از هکر های چینی (MQsTTang) با استفاده از این فناوری (AV)بدافزاری طراحی کرده اند که فایل های معیوب را شناسایی و شرایط دسترسی به اطلاعات حساس سازمان های مختلف را ایجاد کرده اند .این گروه با تمرکز اولیه بر تایوان و اوکراین , انتخابات در حال انجام دولت و سازمانهای سیاسی در اروپا و آسیا را مورد هدف قرار داده است .
ایمیلهای )Spear – phishing فیشینگ هدفمند )فایل های معیوب ارجح برای فعالیت این بدافزار هستند .
عملکرد این بدافزار براساس گزارش ESET , MQsTTang بدین صورت است که این بد افزار قابلیتهای اجرای فرمان از راه دور را در کامپیوتر قربانی فراهم میکند و پس از اجرای فرمان ،خود را در کامپیوتر قربانی کپی می کند و با ایجاد یک کلید رجیستری جدید در مسیر زیرشرایط را برای فعال سازی بدافزار هنگام راهاندازی سیستم به وجود می آورد:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
این بدافزار دارای توانایی ذاتی برای مقاومت در برابر شناسایی توسط مدافعان است.
بدافزار MQsTTang برای شناسایی نشدن، از مکانیزمی برای تشخیص ابزارهای عیب یابی یا نظارت بر روی سیستم میزبان استفاده می کند. اگر چنین ابزارهایی شناسایی شوند، بدافزار رفتار خود را برای جلوگیری از شناسایی با آن ابزار تطبیق می دهد.
این بدافزار از پروتکل MQTT برای تسهیل ارتباط بین سرور فرمان و کنترل استفاده می کند.
** پروتکل : MQTT پروتکل MQTT یک پروتکل ساده است که بر روی بستر TCP/IP سوار شده است و انتقال اطلاعات را بر اساس Socket انجام می دهد، هدر های مورد استفاده در MQTT حجم خیلی کمی دارند و این امر باعث کاهش حجم ترافیک در تبادلات شده و هم چنین باعث سادگی پروتکل میشود .
و ارتباط از طریق یک کارگزار را تسهیل می کند و زیرساخت مهاجم را پنهان نگه می دارد.**
محصولات تحت تأثیر
اطلاعات حساس از سازمانهای هدف
توصیههای امنیتی
ماهیت حملات Spear Phishing به گونهای است که شناسایی آنها بسیار دشوار است و متأسفانه هیچ ابزار و روش فنی کامل و کارآمدی برای توقف وجود ندارد.
بهترین روش دفاع در برابر حملات فیشینگ هدفمند، استفاده از خرد انسانی است و اینکه سازمانها برای حفاظت بهتر باید زیرساختهای امنیتی عمیق (مانند احراز هویت دوعاملی (2FA)و سیاستهای مربوط به مدیریت پسوردها) در مقابل این بدافزار داشته باشند .
و همچنین به کاربران توصیه میشود برای مقابله با این بدافزار از ضد بدافزار بهروزشده استفاده نمایند .
منابع خبر:
https://cert.ir/node/4816
CVE-2022-20803 این آسیب پذیری در OLE2 file parser of Clam AntiVirus (ClamAV) نسخه 0.104.2 تا 0.104.0 امکان ایجاد منع سرویس را برای مهاجم فراهم می آورد. شدت آسیب پذیری :8.6بالا لینک راهکار:https://blog.clamav.net/2022/05/clamav-01050-01043-01036-released.html
CVE-2020-7346 این آسیبپذیری درMcAfee بر روی ویندوز 11.6.100 به مهاجم امکان افزایش امتیاز دسترسی به اتصالات (تقاطع ها) و حذف و اضافه آنها و ارسال فرمان IOTL خاص در زمان معین را میدهد . شدت آسیب پذیری : 7.8 بالا لینک راهکار : https://kc.mcafee.com/corporate/index?page=content&id=SB10344 ______________________________ CVE-2021-23892 این آسیبپذیری درMcAfee امکان افزایش امتیاز دسترسی به مدیریت […]
CVE-2022-4262 یک نقص فنی در محصولات Chrome (گوگل کروم قبل از108.0.5359.94 ) که امکان اجرای کد از راه دور را برای مهاجم فراهم میسازد . سطح آسیب پذیری : 8.8 بالا لینک راهکار: https://chromereleases.googleblog.com/2022/12/stable-channel-update-for-desktop.html CVE-2022-46366 یک نقص فنی در محصولات Apache ( Apache Tapestry 3.x) که اجازه اجرای کد از راه دور رابرای مهاجم فراهم میسازد . سطح آسیب […]
دیدگاهتان را بنویسید