مرکز افتا
-
افتا اعلام کرد: فعالیت مجدد یک باجافزار
گردانندگان باجافزار LockBit ۳.۰ با سوء استفاده از خط فرمان Windows Defender و یک سری روالهای ضد شناسایی و ضد تحلیل برای دور زدن محصولات امنیتی، فعالیت خود را از سر گرفتند. به گزارش روابط عمومی مرکز مدیریت راهبردی افتا، پیش از این، محققان امنیتی، در فروردین ۱۴۰۱ اعلام کرده بودند که LockBit (که به LockBit Black نیز معروف است) از ابزار معتبر خط فرمان VMware، به نام VMwareXferlogs.exe، برای بارگذاری و تزریق Cobalt Strike استفاده میکند.Cobalt Strike یک ابزار تست نفوذ معتبر با ویژگیهای گستردهای است که در بین مهاجمان برای شناسایی شبکه و گسترش آلودگی در آن، پیش از سرقت و رمزگذاری دادهها استفاده میشود.در این حملات، از طریق آسیبپذیری Log۴j نفوذ اولیه به هدف موردنظر در سرور VMWare Horizon که وصله نشده است، صورت میگیرد. پس از نفوذ اولیه، مهاجمان با استفاده از فرمانهایی تلاش میکنند که چندین ابزار را به کار گرفته و روش جدیدی برای بارگذاری و تزریق Cobalt Strike اجرا کنند.در این سری از حملات به طور خاص، هنگام اجرای Cobalt Strike، از ابزار معتبر جدیدی برای بارگذاری یک DLL مخرب استفاده میشود که کد مخرب را رمزگشایی میکند. کد بدافزاری، DLL مخرب و ابزار معتبر را، مهاجمان با بهکارگیری ابزار معتبر خط فرمان، …
-
ایرانیها مراقب نرمافزارهای غیرمجاز باشند
توزیعکنندگان بدافزار برای آلودهکردن سیستمهای عامل کاربران، همچنان به صورت گسترده و بدون توقف، مشغول استفاده از ترفندهایی همچون فریبدادن قربانیان به دانلود و اجرای فایلهای مخرب هستند. به گزارش مرکز مدیریت راهبردی افتا، برخی دیگر از ترفندهای توزیعکنندگان بدافزار شامل مخفی کردن فایلهای اجرایی بدافزار در قالب برنامههای کاربردی متداول، امضای آنها با گواهینامههای معتبر یا حتی هک کردن سایتهای قابلاعتماد برای سوءاستفاده و بهکارگیری از آنها بهعنوان نقاط توزیع فایلهای مخرب است. کاربران می توانند برای شناسایی بدافزارها از سایت (VirusTotal )، سایت پویش و تحلیل بدافزار استفاده کنند که هر فایل ارسالی از سوی کاربران را در اکثر ضدویروسهای مطرح بررسی کرده و گزارش شناسایی یا عدم شناسایی آنها را در اختیار کاربر قرار میدهد، این سایت در بازه زمانی ۱۲ دی ۱۳۹۹ تا ۱۰ تیر ۱۴۰۱، روزانه دو میلیون فایل ارسالی کاربران را تحلیل کرده است. بهرهجویی از دامنههای معتبر توزیع بدافزار از طریق سایتهای معتبر، محبوب و با رتبه بالا به مهاجمان این امکان را میدهد تا فهرستهای مسدود شده مبتنی بر IP را دور بزنند، همواره در دسترس باشند و سطح اعتماد بیشتری را جلب کنند. سایت VirusTotal، بر اساس فهرست هزار سایت محبوب و برتر (Alexa top ۱۰۰۰ websites) و از میان …
-
خبر خوش برای قربانیان باجافزار AstraLocker
گرداننده باج افزار AstraLocker ضمن اعلام توقف فعالیتهای باجافزاری خود، اقدام به انتشار کلیدهای رمزگشایی این باجافزار کرده است. به گزارش روابط عمومی مرکز مدیریت راهبردی افتا، گرداننده باج افزار AstraLocker در گفتگویی همچنین عنوان کرده است که در آینده بر روی استخراج رمزارز بر روی دستگاههای هک شده (Cryptojacking) تمرکز خواهد کرد. فایل فشرده حاوی کلیدهای رمزگشای باج افزار AstraLocker به سایت تحلیل بدافزار VirusTotal ارسال شده است.محققان با دانلود فایل مذکور و بهکارگیری کلیدهای آن، موفق شدند برخی از فایلهای رمزگذاری شده در کارزار اخیر AstroLocker را رمزگشایی و تأیید کنند که این رمزگشا کاملاً معتبر است.برای باجافزارهایی همچون Avaddon، Ragnarok، SynAck، TeslaCrypt، Crysis، AES-NI، Shade، FilesLocker، Ziggy و FonixLocker نیز درگذشته، ابزارهای رمزگشایی منتشر شده بود.توسعهدهنده باجافزار AstraLocker اعلام کرده که این باجافزار برای او حکم یک سرگرمی را داشته است اما او دلیل اصلی توقف فعالیت باجافزار AstraLocker را فاش نکرد؛ احتمال آن میرود که به دلیل سروصدای زیاد گزارش کارزار اخیر و ترس از تحت پیگرد قرارگرفتن توسط نهادهای قانونی، فعالیت خود را متوقف کرده باشد.شرکت امنیتی امسیسافت (Emsisoft, Ltd.) نیز اعلام کرده است که بهزودی با انتشار ابزار رمزگشا به قربانیان باجافزار در رمزگشایی دادهها کمک میکند.کارشناسان امنیتی مرکز مدیرت راهبردی افتا میگویند: AstraLocker باجافزاری …
-
هشدار افتا درباره حملات بدافزاری به زیرساختهای صنعتی
بدافزار جدیدی با نام چاپلین، به تازگی در زیرساختهای حیاتی، فعال شده که عامل وقوع حادثه سایبری و اختلالات اخیر بوده است. به گزارش روابط عمومی مرکز مدیریت راهبردی افتا، ، اجرای دستورات مخرب در CMD، تغییر تنظیمات امنیتی، تزریق به پردازههای معتبر ویندوز و تخریب، MBR سیستم از جمله قابلیتهای این بدافزار است. دیگر ویژگی حایز اهمیت در بدافزار چاپلین، قابلیت خود انتشاری به شبکههای صنعتی است؛ بنابراین در صورتیکه مجزاسازی شبکه IT از شبکههای صنعتی انجام نگرفته باشد، فعالیت مخربگونه این بدافزار به شبکه صنعتی نیز سرایت و سامانههای کنترلی را در این شبکهها، دچار اختلال میکند. بدافزارچاپلین (Chaplin) که توسعه آن از اوایل امسال آغاز شده است، از خانواده تروجانها محسوب میشود. عدم تفکیک شبکه حیاتی از اینترنت (به خصوص شبکه IT از OT)، استفاده از نام کاربری و رمز عبور پیشفرض یا ساده و همچنین استفاده از نرمافزارهای آسیبپذیر(به خصوص در لبه اینترنت)، عواملی هستند که در پیشبرد اهداف طراحان بدافزار، نفوذ مهاجمان سایبری به زیرساختهای صنعتی و گسترش دامنه آلودگی نقش داشتهاند. این بدافزار، برای انتقال اطلاعات و ارتباط با خارج از شبکه سازمان، ترافیک غیرمتداول ICMP تولید میکند. با توجه به تمرکز حمله اخیر بر روی زیرساخت های صنعتی، ضروری است متولیان ومسئولانITزیرساختها، شبکه های فناوری اطلاعات …
-
هشدار مرکز افتا: آیا مطمئنید که میزبان هکرها نیستید؟
استفاده از مولفههای (کامپوننت) قدیمی و آسیبپذیر تِلِریک (Telerik)، بسیاری از سیستمهای دفاعی سامانههای کاربران را سست کرده، بنحوی که تبدیل به پنجرهای برای نفوذ هکرها وبروز حملات سایبری همچون حملات اخیر شده است. به گزارش روابط عمومی مرکز مدیریت راهبردی افتا، تحلیل کارشناسان افتا از حوادث سایبری اخیر نشان میدهد که سازمانهای قربانی این حملات نیز، از کامپوننتهای قدیمی و آسیبپذیر Telerik استفاده میکردهاند.آمارهای جهانی نشان میدهد که تنها در سال 2020 میلادی، نشت اطلاعات و دادههای سازمانی، بیش از 36 میلیارد دلار به شرکتها و سازمانهای دنیا خسارت وارد کرده است.حدود 45 درصد خسارات ناشی از نشت اطلاعات و دادههای سازمانی، در نتیجه نفوذ هکرها به زیرساختهای سازمانی بوده و سوءاستفاده از Telerikهای قدیمی، یکی از پراستفادهترین آسیبپذیریها در جریان عملیات هک بوده است.کامپوننتهای Telerik در طراحی برنامههای دسکتاپ، موبایل و نیز صفحات وب استفاده میشود و بیشترین مورد استفاده از کامپوننتها در پلتفرمهای مربوط به مایکروسافت است.در سالهای اخیر حداقل 10 آسیبپذیری در کامپوننتهای Telerik گزارش شده است، آسیب پذیریهایی که به راحتی هکران را به دادهها و اطلاعات سازمانی رسانده است.بررسی دسترسیهای موردنیاز برای سوءاستفاده از این آسیبپذیریها، نشان میدهد که بهرهبرداری از آنها به آسانی میسر بوده و نیازی به احراز هویت ندارد؛ همچنین در …
-
شناسایی بدافزار جدید (Dilemma) در زیرساختها
مرکز مدیریت راهبردی افتا، نسبت به فعالیت نوعی بدافزار جدید با نام (Dilemma) در سیستمهای زیر ساختی هشدار داد. بهگزارش روابط عمومی مرکز مدیریت راهبردی افتا، هر چند ریشهیابی و شناسایی عوامل ورود آلودگی این بدافزار جدید هنوز در دست بررسی است، ولی از آنجایی که رفتار و چگونگی عملکرد این بدافزار کاملاً شناسایی شده است، واحدهای فناوری اطلاعات سازمانها باید با استفاده از شاخصهای این آلودگی، نسبت به معرفی آن به سامانههای ضدبدافزار و سایر ابزارهای امنیتی خود اقدام کنند.مرکز مدیریت راهبردی افتا شاخص های آلودگی بدافزار جدید Dilemma را در جداولی تهیه و آن را در پایگاه اینترنتی خود و به آدرس https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2129/ در دسترس متخصصان، کارشناسان و مدیران IT سازمانهای دارای زیرساخت حیاتی قرار داده است.شاخصهای مرتبط با آلودگی که با سوءاستفاده از آسیبپذیریهای سامانهها و نرمافزارها امکان انتقال آنها وجود دارد در سه دسته 1- فایل اجرایی .bat -2- فایل اجرایی .exe و 3- سرویسهای ویندوزی مخرب، قرار دارند.کارشناسان مرکز مدیریت راهبردی افتا همچنین استفاده سازمانها از نام کاربری و رمز عبور پیشفرض، عدم اعمال اصل حداقل دسترسی برای کاربران و عدم پایش رویدادهای امنیتی هر سازمانی اعم از فعالیتهای شبکه و سیستم را باعث تسهیل و تسریع در انتشار آلودگی بدافزار جدید (Dilemma) …
-
اطلاعیه مرکز افتا از مهار حمله گسترده سایبری به حوزههای زیرساختی کشور
با اقدام به موقع مرکز عملیات امنیت افتا در روزهای اخیر، از وقوع حمله سایبری گسترده به حوزههای زیرساختی کشور پیشگیری بعمل آمد و عملیات طراحی شده توسط مهاجمین در مراحل اولیه بهرهبرداری خنثی شد. به گزارش روابط عمومی مرکز مدیریت راهبردی افتا، مهاجمین سایبری قصد داشتند با سوءاستفاده از حفره امنیتی در یکی از نرمافزارهای پرکاربرد در سازمانها، ضمن اخذ دسترسی به زیرساختها و استخراج اطلاعات از آنها، دستورات دلخواه را اجرا و محتوای آلوده خود را تزریق کنند، اما پیش از آنکه مهاجمان بتوانند حمله سایبری خود را عملی کنند، با اقدام به موقع مرکز عملیات امنیت افتا از وقوع آن پیشگیری شد.با کشف سرنخها و الگوهای رفتاری استفاده شده در حمله و همچنین اشراف کارشناسان مرکز مدیریت راهبردی افتا، بر اقدامات مهاجمین، نقاط هدف و عملیات طراحی شده برای حمله به زیرساختها تحت رصد قرار گرفت و مشخص شد بیش از 100 خدمت الکترونیکی مهم در بخشهای دولتی و خصوصی جزء اهداف اصلی حمله است.مهاجمین سایبری در اینگونه حملات پس از نفوذ و اخذ دسترسی غیرمجاز، «دربهای پشتی» را بارگذاری کرده تا از این طریق، امکان بهرهبرداریهای بیشتری چون افزایش سطح دسترسی و حفظ آن، استخراج اطلاعات، اجرای دستورات دلخواه و تزریق محتوای آلوده را داشته باشند.کارشناسان …
-
حمله بدافزار Tarrask به سیستمهای Windows
گروه هکری چینی Hafnium با استفاده از بدافزار Tarrask در سیستمهای آسیبپذیر Windows ماندگار و پنهان میشوند. به گزارش مرکز مدیریت راهبردی افتا، گفته میشود که مهاجمان سایبری ، از مرداد 1400 تا بهمن 1400، سازمانهایی را در بخشهای مخابرات، شرکتهای ارائهدهنده خدمات اینترنتی و خدمات دادهای هدف قرار دادهاند. تحلیل الگوهای حمله به قربانیان اولیه نشان داده است که مهاجمان از ضعفهای امنیتی روز – صفر در سرورهای Microsoft Exchange سوءاستفاده کردهاند که در اسفند 1399 افشاء شد. محققان مایکروسافت میگویند که این بدافزار مخفی شونده وظایف زمانبندی شده و پنهانی را در سیستم ایجاد و اجرا میکند. بهرهجویی از وظایف زمانبندی شده برای ماندگاری در سیستم بسیار متداول بوده و روشی فریبنده برای فرار از راهکارهای امنیتی و دفاعی است.اگرچه تاکنون گروه هکری Hafnium بیشتر در حملات علیه Exchange Server فعالیت داشتهاند، اما مدتی است که از آسیبپذیریهای روز – صفر وصله نشده بهعنوان راه نفوذ برای انتشار بدافزارهایی نظیر Tarrask بهرهجویی میکنند. قصد اصلی مهاجمان پس از ایجاد وظایف زمانبندی شده، ایجاد کلیدهای رجیستری جدید برای سیستمهای قربانی است. تحلیل حملات بدافزار Tarrask نشان میدهد که مهاجمان Hafnium درک منحصربهفردی از جزئیات سیستمعامل Windows دارند و از این تخصص برای پنهان کردن فعالیتهای خود در نقاط پایانی استفاده میکنند تا در سیستمهای …
-
بسیاری از حملات سایبری در مرکز «افتا» دفع میشود
سخنگوی کمیسیون امنیت ملی و سیاست خارجی مجلس شورای اسلامی، گفت: عرصه نوین دفاعی کشور در حوزه سایبری به طور طبیعی با تهدیدات جدی دشمن مواجه است و خوشبختانه مرکز مدیریت راهبردی افتا (امنیت فضای تبادل اطلاعات) بسیاری از حملات را به موقع شناسایی، پیشگیری و دفع میکند. به گزارش ایرنا، «محمود عباس زاده مشکینی» با اشاره به بازدید اعضای کمیسیون امنیت ملی و سیاست خارجی مجلس از مرکز مدیریت راهبردی افتا (امنیت فضای تبادل اطلاعات) گفت: هدف از این بازدید در جریان قرار گرفتن نمایندگان مجلس از کارکردها، ماموریتها و محدودیتهای این مجموعه بود. سخنگوی کمیسیون امنیت ملی و سیاست خارجی مجلس شورای اسلامی افزود: در جریان این بازدید نحوه مدیریت، پیشگیری و مقابله با تهدیدها و حملات سایبری بهویژه حملات سایبری اخیر در حوزه وزارت نفت و راه و شهرسازی مورد بحث و بررسی قرار گرفت. عباس زاده مشکینی ادامه داد: عرصه نوین دفاعی کشور در حوزه سایبری به طور طبیعی با تهدیدات جدی از طرف دشمن مواجه است و خوشبختانه این مرکز با توانمندی، بسیاری از حملات را به موقع شناسایی، پیشگیری و دفع میکند. وی خاطرنشان کرد: این مرکز برای کاهش آسیب پذیری زیرساختهای حیاتی، تهدیدات را دائما رصد میکند. بدیهی است که تقویت سخت افزاری …
-
نقش مرکز افتا در اختلال سامانه سوخت/حمله سایبری یا نفوذ؟
یک کارشناس فناوری اطلاعات با واکاوی فنی بروز اختلال در سامانه هوشمند سوخت کشور، ساختار این شبکه را به لحاظ وقوع رخدادهایی مانند حمله سایبری، هک و یا نفوذ تشریح کرد. در پی بروز اختلال نرم افزاری به وجود آمده در سامانه هوشمند سوخت کشور که منجر به قطع سوخت رسانی جایگاههای بنزین سراسر کشور شد، شاهد اظهار نظرهای متعدد و متفاوتی درباره قطع سیستم ارتباطی جایگاههای بنزین سراسر کشور بودیم و مسئولان متولی و نهادهای مرتبط، وقوع «حمله سایبری» به این سامانه حیاتی کشور را تأیید و اطلاعیههایی در این زمینه منتشر کردند که پیش تر در گزارشی به این اطلاعیهها اشاره شد. اگرچه روز سه شنبه هفته گذشته ۱۱ آبان، شرکت ملی پخش فرآوردههای نفتی ایران اعلام کرد که «همه پمپبنزینهای کشور پس از ۷ روز به سامانه هوشمند سوخت متصل شدهاند و فقط برخی جایگاهها در نقاط دورافتاده باقی مانده اند»، اما با گذشت بیش از ۱۰ روز از این رخداد، همچنان موضوع وجود نقاط ضعف جدی در مدیریت مخاطرات فضای مجازی و دلایلی که سبب وقوع اینگونه رخدادها در زیرساختهای حیاتی کشور میشود، موضوع تازه ای است که متولیان پاسخ مشخصی برای آن ارائه نکردند. جزئیات این رخداد که متولیان حوزه امنیت سایبری کشور آن را …