مقدمه
هکرهای چینی( MQsTTang-A) با دسترسی به فایل های دارای رفتار معیوب قصد سرقت اطلاعات حساس را از سازمانهای هدف دارند .
جزئیات آسیبپذیری
Av ،یک نوع پیشرفته از فناوری تشخیص ویروس می باشدکه فایل هایی که رفتار معیوب و مشکوک دارند را با استفاده از این فناوری شناسایی می کنند.
یک گروه از هکر های چینی (MQsTTang) با استفاده از این فناوری (AV)بدافزاری طراحی کرده اند که فایل های معیوب را شناسایی و شرایط دسترسی به اطلاعات حساس سازمان های مختلف را ایجاد کرده اند .این گروه با تمرکز اولیه بر تایوان و اوکراین , انتخابات در حال انجام دولت و سازمانهای سیاسی در اروپا و آسیا را مورد هدف قرار داده است .
ایمیلهای )Spear – phishing فیشینگ هدفمند )فایل های معیوب ارجح برای فعالیت این بدافزار هستند .
عملکرد این بدافزار براساس گزارش ESET , MQsTTang بدین صورت است که این بد افزار قابلیتهای اجرای فرمان از راه دور را در کامپیوتر قربانی فراهم میکند و پس از اجرای فرمان ،خود را در کامپیوتر قربانی کپی می کند و با ایجاد یک کلید رجیستری جدید در مسیر زیرشرایط را برای فعال سازی بدافزار هنگام راهاندازی سیستم به وجود می آورد:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
این بدافزار دارای توانایی ذاتی برای مقاومت در برابر شناسایی توسط مدافعان است.
بدافزار MQsTTang برای شناسایی نشدن، از مکانیزمی برای تشخیص ابزارهای عیب یابی یا نظارت بر روی سیستم میزبان استفاده می کند. اگر چنین ابزارهایی شناسایی شوند، بدافزار رفتار خود را برای جلوگیری از شناسایی با آن ابزار تطبیق می دهد.
این بدافزار از پروتکل MQTT برای تسهیل ارتباط بین سرور فرمان و کنترل استفاده می کند.
** پروتکل : MQTT پروتکل MQTT یک پروتکل ساده است که بر روی بستر TCP/IP سوار شده است و انتقال اطلاعات را بر اساس Socket انجام می دهد، هدر های مورد استفاده در MQTT حجم خیلی کمی دارند و این امر باعث کاهش حجم ترافیک در تبادلات شده و هم چنین باعث سادگی پروتکل میشود .
و ارتباط از طریق یک کارگزار را تسهیل می کند و زیرساخت مهاجم را پنهان نگه می دارد.**
محصولات تحت تأثیر
اطلاعات حساس از سازمانهای هدف
توصیههای امنیتی
ماهیت حملات Spear Phishing به گونهای است که شناسایی آنها بسیار دشوار است و متأسفانه هیچ ابزار و روش فنی کامل و کارآمدی برای توقف وجود ندارد.
بهترین روش دفاع در برابر حملات فیشینگ هدفمند، استفاده از خرد انسانی است و اینکه سازمانها برای حفاظت بهتر باید زیرساختهای امنیتی عمیق (مانند احراز هویت دوعاملی (2FA)و سیاستهای مربوط به مدیریت پسوردها) در مقابل این بدافزار داشته باشند .
و همچنین به کاربران توصیه میشود برای مقابله با این بدافزار از ضد بدافزار بهروزشده استفاده نمایند .
منابع خبر:
https://cert.ir/node/4816
CVE-2019-17621 آسیبپذیری در D-Link DIR-859 Wi-Fi router ورژن 1.05 و 1.06B01 Beta01که برای مهاجم از راه دورامکان اجرای دستورات سیستمی فراهم میسازد . شدت آسیب پذیری: 9.8 بحرانی لینک راهکار: https://www.dlink.com/en/security-bulletin https://nvd.nist.gov/
CVE-2013-0880 این آسیبپذیری در Google Chrome نسخه قبل از 25.0.1364.97 بر روی ویندوز و لینوکس٬ و قبل از ۲۵٫۰٫۱۳۶۴٫۹۹ برای مک منع سرویس را برای مهاجم راه دور فراهم می سازد . شدت آسیب پذیری: 7.5 بالا لینک راهکار: http://googlechromereleases.blogspot.com/2013/02/stable-channel-update_21.html
CVE-2022-32749 این آسیبپذیری درمحصولات Apache که شرایط تخریب سرور را برای مهاجمان فراهم می سازد . سطح آسیب پذیری : 7.5 بالا لینک راهکار: https://lists.apache.org/thread/mrj2lg4s0hf027rk7gz8t7hbn9xpfg02 ___________________________________________ CVE-2022-38659 این آسیبپذیری در محصولات HCL (BigFix) برای ویندوز٬ از رمزنگاری با قدرت ناکافی استفاده میکند. سطح آسیب پذیری : 7.8 بالا لینک راهکار: https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0102049 ____________________________________ CVE-2022-4606 این آسیبپذیری […]
دیدگاهتان را بنویسید