انتشار وصله امنیتی برای برخی از محصولات SONICWALL

شرکت امنیتی SonicWall به‌روزرسانی‌های امنیتی برای رفع نقص بحرانی تزریق کدSQL (SQLi) در محصولات Analytics On-Prem و Global Management System (GMS) منتشر کرد.

این ‫آسیب‌پذیری با شناسه CVE-2022-22280 دارای شدت 9.4 می‌باشد و مهاجم پس از تزریق کد SQL می‌تواند بررسی‌های امنیتی را دور زده و یا جهت درج عبارات اضافی که منجر به تغییر back-end پایگاه داده خواهد شد از آن سوءاستفاده کند. به گفته‌ی کارشناسان امنیتی شرکت SonicWall، احتمال بهره‌برداری از این آسیب‌پذیری با بکارگیری Web Application Firewall (WAF) و انسداد تلاش‌های مخرب SQLi کاهش می‌یابد.

محصولات Analytics On-Prem نسخه‌های 2520-2.5.0.3 و قبل‌تر و Global Management System (GMS) نسخه‌های Hotfix1-sp2-9.3.1 و قبل‌تر تحت تأثیر این آسیب‌پذیری هستند.
به سازمان‌هایی که از محصولات تحت تأثیر این آسیب‌پذیری استفاده می‌کنند توصیه می‌شود محصولات خود را به نسخه‌های زیر ارتقا دهند:

• Analytics 2.5.0.3-2520-Hotfix1
• GMS 9.3.1-SP2-Hotfix

منبع خبر

انتشار بدافزار AMADEY با قابلیت‌های جدید

یک #‫بدافزار سرقت اطلاعات به نام Amadey از طریق backdoor دیگری به نام SmokeLoader در حال توزیع است.

جزئیات آسیب‌پذیری

محققان ASEC در گزارشی که به تازگی منتشر کردند، اعلام کرده‌اند که این حملات به فریب کاربران جهت دانلود بدافزار SmokeLoader وابسته است که به عنوان کرک‌های نرم‌افزار ظاهر می‌شود و راه را برای استقرار Amadey هموار می‌کند. Amadey یک بات‌نت است که اولین بار در اکتبر 2018 در فروم‌های زیرزمینی روسیه با قیمت 600 دلار پدیدار شد. این بات‌نت با هدف سرقت اطلاعات، گرفتن اسکرین‌شات، متاداده سیستم و حتی اطلاعات در مورد موتورهای آنتی ویروس و دیگر بدافزارهای نصب‌شده در دستگاه آلوده، مجهز شده است.
مهاجم از این بدافزار جهت سرقت اطلاعات از FileZilla، Pidgin، Total Commander FTP Client، RealVNC، TightVNC، TigerVNC و WinSCP سوءاستفاده می‌کند.

محصولات تحت تأثیر
کاربران ویندوز، لینوکس و ESXi تحت تأثیر این باج‌افزار قرار دارند.

توصیه‌های امنیتی
از آنجاییکه فعالیت باج‌افزار Luna به تازگی کشف شده است، در حال حاضر اطلاعات محدودی در مورد قربانیان این باج‌افزار در دسترس است اما این احتمال وجود دارد که کاربران بیشتری مورد حمله Luna قرار بگیرند.

منبع خبر

حمله هکرها به سیستم‌های ویندوز، لینوکس و ESXI با استفاده از بدافزار مبتنی بر زبان RUST

اخیراً یک باج‌افزار جدید به نام Luna توسط محققان Kaspersky Security شناسایی شده است و ادعا می‌شود که به زبان برنامه‌نویسی Rust نوشته شده است.
سیستم‌عامل‌های زیادی وجود دارند که می‌توانند با باج‌افزار Luna رمزگذاری شوند، از جمله: ویندوز، لینوکس و ESXi. ظاهراً Luna از طریق یک تبلیغ در یک انجمن باج‌افزار در دارک‌وب مشاهده شده است. به نظر می‌رسد که این باج‌افزار به گونه‌ای خاص طراحی شده است که تنها توسط هکرهای روسی زبان مورد استفاده قرار گیرد.
برخلاف سایر باج‌افزارها، گزینه‌های خط فرمان Luna بسیار ساده هستند و این برنامه هنوز در مراحل اولیه توسعه خود است. این را می‌توان به سادگی طراحی آن نسبت داد که قابلیت‌های برنامه را محدود می‌کند. برای ترکیب امنیت و سرعت بالا در این باج‌افزار، الگوریتم X25519 elliptic curve Diffie-Hellman و AES در پروتکل تبادل اصلی در این طرح استفاده شده است. در این روش، Curve25519 به عنوان یکی از اجزای عناصر اصلی، نقش حیاتی ایفا می‌کند. در این باج‌افزار، انتقال کد منبع به پلتفرم‌های مختلف با تغییرات نسبتاً کم، تنها چیزی است که مورد نیاز است.
همچنین محققان توانسته‌اند جزئیاتی در مورد باج‌افزار دیگری به نام Black Basta بدست آورند. این باج‌افزار از فوریه 2022 در دسترس بوده است اما به تازگی کشف شده است. در این باج‌افزار هر فایل رمزگذاری شده با پسوند . basta ذخیره می‌شود و یک فایل به نام readme.txt در هر پوشه ساخته می‌شود. علاوه بر این، باج‌افزار Black Basta می‌تواند با سیستم ویندوز در حالت امن، چندین راه‌حل امنیتی نقطه پایانی را دور بزند.

محصولات تحت تأثیر
کاربران ویندوز، لینوکس و ESXi تحت تأثیر این باج‌افزار قرار دارند.
توصیه‌های امنیتی
از آنجاییکه فعالیت باج‌افزار Luna به تازگی کشف شده است، در حال حاضر اطلاعات محدودی در مورد قربانیان این باج‌افزار در دسترس است اما این احتمال وجود دارد که کاربران بیشتری مورد حمله Luna قرار بگیرند.
منبع خبر

هشدار به کاربران ویندوز در خصوص کرم Raspberry Robin

 محققان سایبری در خصوص موج مداوم حملات گروهی به نام Raspberry Robin که یک بدافزار ویندوز با قابلیت‌های کرم را منتشر می‌کنند، هشدار می‌دهند. در این حملات یک کرم از طریق دستگاه‌های USB با قابلیت جابجایی که حاوی یک فایل مخرب . LNK است منتشر می‌شود و از دستگاه‌های ذخیره‌سازی متصل به شبکه QNAP که آسیب‌دیده هستند جهت انجام فرآیندهای مربوط به کنترل و فرمان در دستگاه استفاده می‌کند.

این بدافزار که به نام کرم QNAP هم شناخته می‌شود، از یک باینری مجاز نصب‌کننده ویندوز به نام "msiexec.exe" جهت دانلود و اجرای یک کتابخانه مشترک (DLL) مخرب از یک دستگاه QNAP NAS آسیب‌دیده استفاده می‌کند.
پایداری این کرم در دستگاه آسیب‌پذیر، با تغییرات Windows Registry جهت بارگیری پی‌لود مخرب بدست می‌آید که این امر از طریق باینری ویندوز "rundll32.exe" در فاز راه‌اندازی صورت می‌پذیرد.

QNAP  اعلام کرد که به طور ویژه در حال بررسی موج جدیدی از آلودگی‌های باج‌افزار Checkmate است که دستگاه‌هایش را مورد هدف قرار می‌دهد، به طوری که پس از باج‌افزارهای AgeLocker،  eCh0raix و DeadBolt ، آن را به جدیدترین نوع از باج‌افزارها تبدیل کرده است. تحقیقات اولیه نشان می‌دهد که باج‌افزار Checkmate از طریق سرویس‌های SMB که در معرض اینترنت قرار دارند، حمله خود را شروع کرده و از dictionary attack جهت پیداکردن رمزعبور سیستم استفاده می‌کنند. هنگامی که مهاجم با موفقیت به دستگاهی وارد می‌شود، داده‌ها را در پوشه‌های مشترک رمزگذاری کرده و یادداشتی که نام فایل آن "!CHECKMATE_DECRYPTION_README" می‌باشد را در هر پوشه قرار می‌دهد. شرکت تایوانی QNAP به مشتریان توصیه می‌کند که خدمات SMB را در معرض اینترنت قرار ندهند، از رمزهای عبور قوی استفاده کنند، به طور منظم نسخه پشتیبان تهیه کنند و سیستم عامل QNAP را به آخرین نسخه‌ی منتشر شده، به‌روزرسانی کنند.

منبع

https://thehackernews.com/2022/07/researchers-warn-of-raspberry-robins.html