IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

CDN

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

 باگ CloudFlare CDNJS و گسترش حملات زنجیره تأمین

takian.ir cloudflare cdnjs bug could have led to widespread supply chain attacks 1

زیرساخت شبکه و وب سایت شرکت امنیتی CloudFlare ماه گذشته یک آسیب پذیری مهم را در لایبرری CDNJS خود رفع کرده است. این لایبرری مجموعا 12.7٪ از کل وب سایت های فضای اینترنت را در بر گرفته که از آن استفاده می کرده اند.

ساختار CDNJS یک شبکه تحویل محتوای منبع باز یا content delivery network (CDN) است که به حدود 4،041 مجموعه JavaScript و CSS سرویس ارائه می کند و پس از مجموعه های هاست Google، دومین لایبرری محبوب CDN برای JavaScript است.

این ضعف مربوط به موردی در سرور بروزرسانی لایبرری CDNJS بود که می تواند به طور بالقوه به مهاجم اجازه دهد دستورات دلخواه خود را اجرا کند. این اجرای دستورات دلخواه منتج به در معرض خطر قرار گرفتن کامل آن سرور شود.

به نقل از هکرنیوز، این آسیب پذیری توسط محقق امنیتی RyotaK در 6 آوریل 2021 کشف و گزارش شد. تاکنون هیچ مدرکی دال بر سواستفاده از این نقص در حملات سایبری پیدا و افشا نشده است.

این آسیب پذیری به طور خاص با انتشار پکیج هایی در CDNJS Cloudflare با استفاده از GitHub و npm، و از آن برای ایجاد آسیب پذیری در طی مسیر استفاده مینماید؛ و در نهایت سرور را فریب می دهد تا کد دلخواه خود را اجرا نموده که به متعاقب آن به هدف پایانی یعنی اجرای کد از راه دور نیز می رسد.

takian.ir cloudflare cdnjs bug could have led to widespread supply chain attacks 2

شایان ذکر است که زیرساخت CDNJS شامل ویژگی هایی برای بروز رسانی خودکار لایبرری با اجرای دوره ای اسکریپت ها بر روی سرور برای دانلود فایل های مرتبط از منبع Git مبتنی بر مدیریت کاربر مربوطه یا پکیج رجیستری npm می‌باشد.

محقق امنیتی RyotaK با کشف موردی درباره نحوه پاکسازی مکانیزم مسیرهای پکیج، دریافت که "می توان کد دلخواه را پس از انجام پیمایش مسیر از فایل .tgz منتشر شده برای npm و رونویسی از اسکریپتی که به طور منظم در سرور اجرا می شود، اجرا کرد.".

به عبارت دیگر، هدف از این حمله انتشار نسخه جدیدی از یک پکیج ساختگی ویژه در منبع است که پس از آن سرور بروزرسانی لایبرری CDNJS را برای انتشار انتخاب می نماید؛ در این فرآیند محتوای پکیج مخرب را در نسخه ای از فایل اسکریپت که به طور منظم اجرا شده و در سرور میزبانی میشود کپی میکند و بدین ترتیب امکان اجرای کد دستوری دلخواه را بدست می آورد.

محقق امنیتی RyotaK گفت: "اگرچه این آسیب پذیری می تواند بدون مهارت خاصی مورد بهره برداری قرار گیرد، اما می تواند بسیاری از وب سایت ها را نیز تحت تأثیر قرار دهد. با توجه به این که آسیب پذیری های متعددی در زنجیره تأمین وجود دارد که بهره برداری از آنها ظاهرا آسان است اما این آسیب پذیری ها بسیار تأثیرگذار هستند که مسئله نشان از خطرناک و ترسناک بودن آنها دارد.".

این اولین بار نیست که محققان امنیتی درباره نحوه بروزرسانی منابع نرم افزار، نقایص اساسی و مهمی را کشف می کند. در آوریل 2021 نیز RyotaK اعلام کرد که یک آسیب پذیری مهم در منبع رسمی Homebrew Cask توسط یک مهاجم برای اجرای کد دلخواه در دستگاههای کاربران مورد سواستفاده قرار گرفته است.

حمله سایبری به زنجیره تامین غول مدیریت رمز عبور Passwordstate

 

یک حمله جدی دیگر در زنجیره تأمین به صورت آنلاین به وقوع پیوسته است که به طور بالقوه هزاران کاربر و مشتری را تحت تأثیر قرار داده است. این بار قربانی، غول مدیریت رمز عبور Passwordstate Click Studios است که خود این مجموعه، حمله سایبری را تأیید کرده است. ممکن است مهاجمان رمزهای ورود کاربران را از مدیریت رمز عبور هک شده نیز جمع آوری کرده باشند.

 takina.ir passwordstate password manager supply chain cyber attack main

 

حمله سایبری بهمدیریت رمز عبورPasswordstate

گفته می شود شرکت نرم افزاری استرالیایی کلیک استودیوز، که در پس سیستم مدیریت رمز عبور Passwordstate است، حمله سایبری به سیستم های خود را تایید کرده است.

به نقل از لیتست هکینگ نیوز، همانطور که در گزارش آنها شرح داده شده است، این شرکت دچار حمله در زنجیره تأمین شده است، چرا که مهاجمان از طریق یک بروزرسانی مخرب، موفق به تخریب و آسیب رسانی به ساختار مدیریت رمز عبور شدند. برای این منظور، مهاجمان عملکرد بروزرسانی در محل وب سایت اصلی آنها را به خطر انداخته اند.

اگرچه این حمله نسبتاً کوتاه مدت بود و به مدت 28 ساعت ادامه پیدا کرد ولی مهاجمان موفق به وارد کردن خسارت شدند.

کلیک استودیوز جزئیات مربوط به حمله را به اشتراک گذاشته است: "هرگونه ارتقا در محل که بین 20 آوریل در ساعت 8:33 بعد از ظهر به وقت آمریکا تا 22 آپریل ساعت 0:30 صبح به وقت آمریکا انجام شده باشد، امکان دارد که یک فایل بدافزار با نام Passwordstate_upgrade.zip را بارگیری کرده باشد. این فایل zip از یک شبکه بارگیری که توسط Click Studios کنترل نمی شود، بارگیری شده است".

این بروزرسانی مخرب طبق بررسی های انجام شده، بدافزار را در سیستم دریافت کننده های بروزرسانی رمز عبور، نصب میکند. این بدافزار که "Moserware" نامیده می شود، اطلاعات مربوط به سیستم هدف را سرقت کرده و برای مهاجمان ارسال میکند.

هنگامی که قابلیت  بروزرسانی در محل پردازش و آغاز می شود، Passwordstate_upgrade.zip مخرب، یک moserware.secretsplitter.dll طراحی شده با اندازه 65 کیلوبایت را بارگیری می کند. سپس این فایل اضافی، فایل upgrade_service_upgrade.zip را از شبکه CDN عاملین حمله بارگیری می کند، یک تهدید جدید را در پس برنامه ها آغاز می کند و upgrade_service_upgrade.zip را به یک ساختار .NET که فقط در مموری نگهداری میشود تبدیل کرده و شروع به پردازش می نماید.

 

رفع سریع و کاهش خطر

با کشف این حادثه، تامین کنندگان از ارائه این بروزرسانی ها در محل مخرب جلوگیری کردند. همچنین آنها از مشتریان و کاربران خواسته اند که وجود فایل 65 کیلوبایتی moserware.secretsplitter.dll را در دایرکتوری c:\inetpub\passwordstate\bin خود مورد بررسی قرار دهند.

در صورت یافتن این فایل، آنها باید "فهرست خروجی دایرکتوری c:\inetpub\passwordstate\bin را که حاوی فایلی به نام PasswordstateBin.txt است، برای کلیک استودیوز ارسال کنند تا برای دریافت دستورالعمل های اصلاح این مشکل، راهنمایی های لازم را دریافت نمایند.

در حالی کلیک استودیوز تأیید کرد که این حادثه برخی از مشتریان را تحت تأثیر قرار داده است، اما جزئیات تعداد این حمله بسیار کم است. با این حال ، با روشن شدن اوضاع، این تعداد ممکن است به طور بالقوه افزایش یابد.

در حال حاضر کلیک استودیوز دارای بیش از 29،000 مشتری از بخشهای مختلف، از جمله برخی از 500 شرکت معرفی شده توسط مجله معروف فورچون است.

هشدار: بدافزار Saint Bot، سارق جدید رمزهای کاربران

یک بدافزار دانلودر که پیش از این شناسایی نشده بود، و اقدام به حملات فیشینگ برای سرقت گواهی های کاربران و بارگیری سایر داده های مخرب میکند، به تازگی مشاهده شده است.

گفته می شود این بدافزار که "Saint Bot" نامیده می شود برای اولین بار در ژانویه 2021 وارد عمل شده و نشانه هایی از توسعه و بهینه سازی عملکرد مخرب آن نیز دیده شده است.

طبق گفته الکساندرا دونیک، تحلیلگر اطلاعات در مالوربایتز، "Saint Bot دانلود کننده ای است که به تازگی ظاهر شده و به آرامی روند رو به رشدی به خود گرفته است. همچنین دیده شده است که از طریق سرقت کنندگان اطلاعات (به عنوان مثال تائوروس استیلر) یا دیگر لودرها منتشر می شود، اما طراحی آن به شما امکان آن را می دهد که از آن برای توزیع و نشر هر نوع بدافزاری استفاده شود.

وی افزوده است: "علاوه بر اینها، Saint Bot از طیف گسترده ای از تکنیک هایی که هرچند بعضی از آنها بدیع نیستند، استفاده می کند؛ اما با توجه به ظاهر نسبتاً جدید آن، از سطح کارایی بالایی برخوردار است".

زنجیره آلودگی مورد تجزیه و تحلیل شرکت امنیتی سایبری با یک ایمیل فیشینگ حاوی یک فایل زیپ تعبیه شده ( با نام bitcoin.zip) که ادعا میکند کیف پول بیت کوین است، آغاز شده است. در حقیقت یک اسکریپت PowerShell است که تحت عنوان فایل میانبر .LNK قرار دارد. سپس این اسکریپت PowerShell بدافزار مرحله بعدی را که یک برنامه قابل اجرا با نام WindowsUpdate.exe است را بارگیری می کند، که به متعاقب خود باعث می شود دومین فایل قابل اجرا (InstallUtil.exe) که مسئولیت دانلود دو فایل اجرایی دیگر به نام های def.exe و putty.exe را بر عهده دارد، انجام بپذیرد.

takian.ir saint bot malware attack

 

در حالی که نسخه اول یک اسکریپت دسته ای است که مسئول غیرفعال کردن Windows Defender است، putty.exe حاوی حجم داده ای مخربی است که در نهایت به یک سرور command-and-control (C2) جهت بهره برداری اطلاعاتی بیشتر، متصل می شود.

سردرگمی و در هم پیچیدگی موجود در هر مرحله از آلودگی به بدافزار، همراه با تکنیک های ممانعت کننده از تجزیه، تحلیل و آنالیز توسط بدافزار، به اپراتورهای بدافزار امکان می دهد بدون جلب هرگونه توجه، از دستگاه هایی که این بدافزار روی آنها نصب شده است سوءاستفاده کنند.

علاوه بر انجام "بررسی های دفاع از خود" برای شناسایی وجود debugger یا یک محیط مجازی، Saint Bot به شکلی طراحی شده است که در رومانی و کشورهای مشترک المنافع (CIS)، شامل ارمنستان، بلاروس، قزاقستان، مولداوی، روسیه و اوکراین اجرا نشود.

لیست دستورات پشتیبانی شده توسط بدافزار شامل موارد زیر میباشد:

  • بارگیری و اجرای سایر داده های بازیابی شده از سرور C2
  • به روزرسانی بدافزار بات
  • حذف نصب بدافزار از دستگاه در معرض خطر

 

اگرچه این قابلیت ها بسیار کوچک به نظر می رسند، اما واقعیت این که Saint Bot به عنوان دانلود کننده سایر بدافزارها عمل می کند که طبیعتا آن را به اندازه کافی خطرناک می کند.

نکته جالب توجه اینکه داده های دریافتی، خود از فایل های میزبانی شده در Discord دریافت می شوند؛ در این تاکتیک که به طور فزاینده ای در میان مهاجمین سایبری و تهدیدکنندگان رایج شده است، از عملکردهای قانونی چنین سیستم عامل هایی برای ارتباطات C2 سوءاستفاده کرده، از محدودیت های امنیتی فرار می کنند و بدافزارها را وارد دستگاه مینمایند.

محققان از سیسکو تالوس در تحیلی در اوایل این هفته منتشر کردند اعلام نمودند: "وقتی فایل ها در Discord CDN بارگذاری و ذخیره می شوند، بدون نیاز به اینکه Discord نصب شده باشد یا خیر، می توان با استفاده از آدرس CDN کدگذاری شده توسط هر سیستم، به آنها دسترسی پیدا کرد". که این موضوع به طبع نرم افزارهایی مانند Discord و Slack را به اهدافی جذاب برای میزبانی محتواهای مخرب تبدیل کرده است.

الکساندرا دونیک اضافه کرد: "Saint Bot در اصل یک دانلود کننده دیگری است و به حد و اندازه SmokeLoader به تکامل نرسیده، اما کاملاً جدید است و در حال حاضر به طور فعال در حال توسعه میباشد. به نظر می رسد برنامه نویس آن از طراحی بدافزار آگاهی کامل دارد، که این نکته با  مشاهده طیف گسترده ای از تکنیک های به کار رفته قابل درک است. با این حال، تمام تکنیک های به کار رفته کاملاً شناخته شده و کاملاً استاندارد هستند و تاکنون خلاقیت زیادی از نشان نداده است".