یک نوع جدید از بدافزار اینترنت اشیای Mirai بهسرعت در حال گسترش است. به گفتهی محققان انتشار کد اکسپلویت در یک پایگاهدادهی آسیبپذیریهای عمومی، عامل اصلی افزایش فعالیتهای مرتبط با باتنت Mirai است.
پس از انتشار کد اکسپلویت در ۳۱ اکتبر، محققان اسکنهایی را با استفاده از آن در ۲۲ نوامبر مشاهده کردند. این اکسپلویت آسیبپذیری CVE-2016-10401 را در مسیریابهای قدیمی ZyXEL PK5001z راهاندازی میکند. این مسیریاب دارای یک رمزعبور کاربر جاسازیشده است (zyad5001) که میتواند برای افزایش دسترسی کاربر به سطح روت استفاده شود. رمز عبور su نمیتواند برای ورود به دستگاه استفاده شود.
بههرحال مهاجمان کشف کردهاند که تعداد زیادی از دستگاههای ZyXEL از admin/CentryL1nk و admin/QwestM0dem بهعنوان مجوز پیشفرض استفاده میکنند.
کد اکسپلویتی که اخیراً منتشر شده است ابتدا با یکی از این دو پسورد، با استفاده از Telnet، از راه دور به دستگاه ZyXEL وارد میشود، و سپس از پسورد su جاسازی شده برای بدستآوردن امتیازهای root استفاده میکند.
از روز چهارشنبه، Netlab چندین اسکن بر روی پورت ۲۳ و ۲۳۲۳ را برای تأیید هویت Telnet کشف کرده است که مهاجمان از اکسپلویت ذکر شده برای آلوده کردن دستگاهها با Mirai استفاده میکردهاند.
سوءاستفاده از این دو مجوز از حدود ساعت ۱۱ تاریخ ۲۲ نوامبر آغاز شده و در اوایل روز ۲۳ نوامبر به اوج خود رسیده است.
متخصصان Netlab حدود یکصد هزار IP را درحال انجام اسکن کشف کردند. این به این معنی است که باتنت جدید Mirai ازحدود ۱۰۰۰۰۰ دستگاه تشکیل شده است که به دنبال دستگاههای آسیبپذیر ZyXEL میباشند.
حدود ۶۵۷۰۰ عدد از این باتها در آرژانتین قرار داشتند . هیچ گزارشی وجود ندارد که کاربران Telefonica از قطع اتصال اینترنت رنج میبرند، این وضعیت نشان میدهد که صاحبان مسیریابهای آلوده از آلودگی باخبر نیستند.
محققان تأیید کردهاند که بیشتر اسکنرهای IP از آرژانتین و دقیقاً از شبکهی ISP محلی Telefonica آرژانتین هستند.
خبر خوب اینکه باتهای Mirai مکانیزم پایداری ندارند و این بدان معنی است که وقتی دستگاه آلوده مجددا راهاندازی شود، Mirai میتواند ریشهکن شود.
این اولین بار نیست که باتنت Mirai برای استفاده از دستگاههای متعلق به یک شبکهی ISP خاص استفاده میشود، در اواخر سال ۲۰۱۶، این باتنت برای بهخطر انداختن بیشاز ۹۰۰۰۰۰ مسیریاب Deusche Telekom در آلمان مورد استفاده قرار گرفت.
منبع خبر: آپـا
اولین باجافزار موثر تولیدشده برای تلفنهای هوشمند مبتنی بر سیستم عامل اندروید، به عرصه حملات باجافزاری پاگذاشته است.
محققان امنیتی گونه جدیدی از حمله Rowhammer کشف کردند که تمام روشهای جلوگیری که قبلا ارائه شده بود را دور میزند.
شرکت آمریکایی 
دومین کنفرانس ملی «پدافند غیرعامل و پیشرفت پایدار» همراه با یک نمایشگاه جانبی مهرماه ۹۶ با مشارکت سازمان پدافند غیرعامل کشور برگزار می شود.
به گفته کارشناس امنیت سایبری سیستمهای گوگل، هماکنون هیچکس در هیچ جایی از جهان از گزند خطرات و حملات سایبری در امان نیست.
شرکت شبکه الکترونیک پرداخت کارت(شاپرک)
شرکت زرودیوم برنامه درخواست بهره جویی های خود را تغییر داده است و قرار است به کسی که بتواند از برنامه های پیام رسان امن و/یا برنامه های کاربردیِ رایانامه بهره جویی کند، پانصد هزار دلار جایزه بدهد. این شرکت تصمیم گرفته است تا پرداخت هایش را برای بهره جویی از دستگاه های تلفن همراه از بهره جویی از سامانه های رومیزی و سرورها جدا کند. اگر مهاجم بتواند بی نیاز از تعامل با کاربر، آیفون را از راه دور جیلبریک کند، ۱.۵ میلیون دلار جایزه دریافت می کند. برای چنین عملیاتی اگر تا حدودی به تعامل کاربر نیاز باشد، تا یک میلیون دلار می تواند جایزه دریافت کند. یکی از دگرگونیهای عمدهای که در برنامۀ زرودیوم پدید آمده ست این است که بهره جویی از برنامه های رایانامه و پیام رسان ها نیز به آن افزوده شده است. این شرکت وعده داده ست که به بهره جویی از آسیب پذیری های اجرای کد از راه دور و ارتقاء امتیاز محلی در نسخه های اندروید و “iOS” از برنامه های وی چت، وایبر، پیام رسان فیسبوک، سیگنال، تلگرام، واتس اپ و پیام رسان “iMessage”، نیم میلیون دلار جایزه بدهد. این اندازه جایزه برای بهره جویی از پیامک ها و محتوای چندرسانه ای کوتاه و همچنین برنامه های رایانامۀ تلفن همراه اندروید و “iOS” در نظر گرفته شده است. بهره جویی هایی، مانند: دور زدن جعبه شنی، دور زدن امضاء کدها، ارتقاء امتیازات هسته، SS۷ و بهره جویی های هسته نیز میتواند ۱۰۰ هزار دلار جایزه دریافت کند.
یک آسیبپذیری اجرای کد از راه دور در مجموعه نرمافزاری مایکروسافت آفیس مربوط به واسطهای OLE در ماه آوریل سال جاری وصله شد. اما اکنون مهاجمان در بخشهای مختلفی همچنان از این آسیبپذیری بهرهبرداری میکنند. پژوهشگران امنیتی کمپین بدافزاری جدیدی را شناسایی کردند که از همین آسیبپذیری بهرهبرداری میکند و حمله با استفاده از یک پیوست آلوده در رایانامههای فیشینگ آغاز میشود. محصولات شرکت مایکروسافت از قبیل آفیس ۲۰۰۷ سرویسپک ۳، آفیس ۲۰۱۰ سرویسپک ۲، آفیس ۲۰۱۳ سرویسپک ۱، آفیس ۲۰۱۶، ویندوز ویستا سرویسپک ۲، ویندوز سرور ۲۰۰۸ سرویسپک ۲، ویندوز هفت سرویسپک ۱ و ویندوز ۸٫۱ دارای این آسیبپذیری هستند. فایل مخرب، یک اکسپلویت از آسیبپذیری CVE-2017-0199 را هدف قرار میدهد که روند آلودگی را آغاز میکند. در نتیجه کد مخرب با استفاده از ویژگیهای انیمیشنهای پاورپوینت اجرا میشود و یک فایلِ لوگو را دانلود مینماید. فایل logo.doc کدهای XML و Javascript را در بر میگیرد که پاورشل را برای اجرای فایلی به نام RATMAN.EXE به راه میاندازد – یک نسخه تروجانی از ابزار دسترسی از راه دور Remcos – که سپس به سرور فرماندهی و کنترل وصل میشود. هنگامیکه سیستم راهاندازی میشود، Remcos قادر است با استفاده از ریسک ماشین آلوده نسبت به کیلاگینگ، اسکرینلاگینگ، رکوردهای وبکم و میکروفن و همچنین دانلود و اجرای بدافزارهای دیگر، عملیات مخرب زیادی را انجام دهد. در واقع مهاجم یک کنترل کامل بر دستگاه آلوده – بدون آگاهی دارندۀ دستگاه – بدست میآورد. با توجه به گزارش پژوهشگران، اولین بار هست که اکسپلویتی برای هدف قرار دادن کاربران محصول پاورپوینت مایکروسافت و انتشار تروجان از طریق آن مورد استفاده قرار میگیرد.
باج افزار لاکی مجدداً در قالب یک کمپین هرزنامه بزرگ بازگشته است و به سرعت در حال گسترش است. البته اکنون خیلی زود است که گفته شود این کمپین یک کمپین حمله بسیار بزرگ است، اما مشخص است که این کمپین بسیار قدرتمندانه در حال گسترش است. نسخه دیابلو باجافزار لاکی از طریق هرزنامههایی که شامل پیوست با قالب عنوان E 2017-08-09 (698).docx هستند، در حال آلوده کردن سامانهها است. هنگامیکه فایل پیوست شده به این هرزنامهها دانلود و اجرا شود، بدافزار به پویش فایلها روی کامپیوتر پرداخته، سپس فایلهای شناسایی شده با قالبهای مختلف را رمزنگاری خواهد کرد. قابل ذکر است، فایلهایی که توسط این باجافزار رمزنگاری میشوند دارای پسوند diablo6 خواهند بود.
