مقدمه
هکرهای چینی( MQsTTang-A) با دسترسی به فایل های دارای رفتار معیوب قصد سرقت اطلاعات حساس را از سازمانهای هدف دارند .
جزئیات آسیبپذیری
Av ،یک نوع پیشرفته از فناوری تشخیص ویروس می باشدکه فایل هایی که رفتار معیوب و مشکوک دارند را با استفاده از این فناوری شناسایی می کنند.
یک گروه از هکر های چینی (MQsTTang) با استفاده از این فناوری (AV)بدافزاری طراحی کرده اند که فایل های معیوب را شناسایی و شرایط دسترسی به اطلاعات حساس سازمان های مختلف را ایجاد کرده اند .این گروه با تمرکز اولیه بر تایوان و اوکراین , انتخابات در حال انجام دولت و سازمانهای سیاسی در اروپا و آسیا را مورد هدف قرار داده است .
ایمیلهای )Spear – phishing فیشینگ هدفمند )فایل های معیوب ارجح برای فعالیت این بدافزار هستند .
عملکرد این بدافزار براساس گزارش ESET , MQsTTang بدین صورت است که این بد افزار قابلیتهای اجرای فرمان از راه دور را در کامپیوتر قربانی فراهم میکند و پس از اجرای فرمان ،خود را در کامپیوتر قربانی کپی می کند و با ایجاد یک کلید رجیستری جدید در مسیر زیرشرایط را برای فعال سازی بدافزار هنگام راهاندازی سیستم به وجود می آورد:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
این بدافزار دارای توانایی ذاتی برای مقاومت در برابر شناسایی توسط مدافعان است.
بدافزار MQsTTang برای شناسایی نشدن، از مکانیزمی برای تشخیص ابزارهای عیب یابی یا نظارت بر روی سیستم میزبان استفاده می کند. اگر چنین ابزارهایی شناسایی شوند، بدافزار رفتار خود را برای جلوگیری از شناسایی با آن ابزار تطبیق می دهد.
این بدافزار از پروتکل MQTT برای تسهیل ارتباط بین سرور فرمان و کنترل استفاده می کند.
** پروتکل : MQTT پروتکل MQTT یک پروتکل ساده است که بر روی بستر TCP/IP سوار شده است و انتقال اطلاعات را بر اساس Socket انجام می دهد، هدر های مورد استفاده در MQTT حجم خیلی کمی دارند و این امر باعث کاهش حجم ترافیک در تبادلات شده و هم چنین باعث سادگی پروتکل میشود .
و ارتباط از طریق یک کارگزار را تسهیل می کند و زیرساخت مهاجم را پنهان نگه می دارد.**
محصولات تحت تأثیر
اطلاعات حساس از سازمانهای هدف
توصیههای امنیتی
ماهیت حملات Spear Phishing به گونهای است که شناسایی آنها بسیار دشوار است و متأسفانه هیچ ابزار و روش فنی کامل و کارآمدی برای توقف وجود ندارد.
بهترین روش دفاع در برابر حملات فیشینگ هدفمند، استفاده از خرد انسانی است و اینکه سازمانها برای حفاظت بهتر باید زیرساختهای امنیتی عمیق (مانند احراز هویت دوعاملی (2FA)و سیاستهای مربوط به مدیریت پسوردها) در مقابل این بدافزار داشته باشند .
و همچنین به کاربران توصیه میشود برای مقابله با این بدافزار از ضد بدافزار بهروزشده استفاده نمایند .
منابع خبر:
https://cert.ir/node/4816
CVE-2022-42255 آسیبپذیری در درایور نمایش گرافیکی NVIDIA برای Linux که امکان افشای اطلاعات٬ دستکاری دادهها٬ و حمله منع سرویس را برای مهاجم فراهم میسازد . شدت آسیب پذیری: 7.8 بالا لینک راهکار :https://nvidia.custhelp.com/app/answers/detail/a_id/5415 ____________________________________ CVE-2022-34676 آسیبپذیری در درایور نمایش گرافیکی NVIDIA برای Linux که امکان افشای اطلاعات٬ دستکاری دادهها٬ و حمله منع سرویس […]
CVE-2022-47986 این آسیب پذیری در IBM Aspera Faspex 4.4.2 و ماقبل امکان اجرای کد دلخواه از راه دور را برای مهاجم فراهم می آورد. شدت آسیب پذیری : 9.8 بحرانی لینک راهکار:https://www.ibm.com/support/pages/node/6952319
CVE-2021-3120 این آسیبپذیری در پلاگین های YITH WooCommerce نسخه قبل از3.3.1 بر روی WordPress به مهاجمان اجازه اجرای کد از راه دور از طریق بارگذاری فایل دلخواه را میدهد. شدت آسیب پذیری :9.8 بحرانی لینک راهکار :https://yithemes.com/themes/plugins/yith-woocommerce-gift-cards/
دیدگاهتان را بنویسید