ITProgrammers

ITProgrammers Contact information, map and directions, contact form, opening hours, services, ratings, photos, videos and announcements from ITProgrammers, Computer Company, Cairo.

We are a company specialized in warehouse management systems and cashier software
And website design
We support a pe*******on testing service to secure your site and your company against unwanted persons

تم الاستعانة ببرنامج تشغيل ضعيف لمكافحة الغش في لعبة فيديو Genshin Impact بواسطة ممثل جرائم الإنترنت لتعطيل برامج مكافحة...
05/09/2022

تم الاستعانة ببرنامج تشغيل ضعيف لمكافحة الغش في لعبة فيديو Genshin Impact بواسطة ممثل جرائم الإنترنت لتعطيل برامج مكافحة الفيروسات لتسهيل نشر برامج الفدية ، وفقًا لنتائج Trend Micro.

استندت الإصابة بفيروس الفدية ، التي ظهرت في الأسبوع الأخير من يوليو 2022 ، إلى حقيقة أن السائق المعني ("mhyprot2.sys") قد تم توقيعه بشهادة صالحة ، مما يجعل من الممكن التحايل على الامتيازات وإنهاء الخدمات المرتبطة تطبيقات حماية نقطة النهاية.

Genshin Impact هي لعبة لعب الأدوار الشهيرة التي تم تطويرها ونشرها من قبل شركة miHoYo ومقرها شنغهاي في سبتمبر 2020.

يقال إن السائق المستخدم في سلسلة الهجوم تم بناؤه في أغسطس 2020 ، مع وجود خلل في الوحدة تمت مناقشته بعد إصدار اللعبة ، مما أدى إلى ثغرات تظهر القدرة على قتل أي عملية تعسفية والتصعيد إلى النواة. الوضع.

الفكرة ، باختصار ، هي استخدام وحدة برنامج تشغيل الجهاز المشروعة مع توقيع رمز صالح لتصعيد الامتيازات من وضع المستخدم إلى وضع kernel ، مما يؤكد مجددًا كيف يبحث الخصوم باستمرار عن طرق مختلفة لنشر البرامج الضارة خلسة.

قال محللا الاستجابة للحوادث ريان سوليفن وهيتومي كيمورا: "هدف التهديد إلى نشر برامج الفدية داخل جهاز الضحية ثم نشر العدوى".

"يجب أن تكون المنظمات وفرق الأمن حذرة بسبب عدة عوامل: سهولة الحصول على وحدة mhyprot2.sys ، وتعدد استخدامات السائق من حيث تجاوز الامتيازات ، ووجود أدلة جيدة الصنع للمفهوم (PoCs)."

في الحادث الذي تم تحليله بواسطة Trend Micro ، تم استخدام نقطة نهاية مخترقة تنتمي إلى كيان غير مسمى كقناة للاتصال بوحدة التحكم بالمجال عبر بروتوكول سطح المكتب البعيد (RDP) ونقل مثبت Windows إليها متظاهرًا باسم AVG Internet Security ، والذي أسقط و تنفيذ ، من بين ملفات أخرى ، برنامج التشغيل الضعيف.

وقال الباحثون إن الهدف كان نشر برنامج الفدية على نطاق واسع لاستخدام وحدة تحكم المجال عبر ملف دفعي يقوم بتثبيت برنامج التشغيل ، ويقتل خدمات مكافحة الفيروسات ، ويطلق حمولة برامج الفدية.

أشار Trend Micro إلى أن اللعبة "لا تحتاج إلى أن يتم تثبيتها على جهاز الضحية حتى يعمل هذا" ، مما يعني أنه يمكن لممثلي التهديد ببساطة تثبيت برنامج مكافحة الغش كخطوة تمهيدية لنشر برامج الفدية.

لقد تواصلنا مع miHoYo للتعليق ، وسنقوم بتحديث القصة إذا سمعنا مرة أخرى.

وقال الباحثون: "لا يزال من النادر العثور على وحدة تحمل توقيع رمز كمشغل جهاز يمكن إساءة استخدامها". "من السهل جدًا الحصول على هذه الوحدة وستكون متاحة للجميع حتى يتم محوها من الوجود. ويمكن أن تظل لفترة طويلة كأداة مفيدة لتجاوز الامتيازات."

"قد يساعد إبطال الشهادة واكتشاف برامج مكافحة الفيروسات في تثبيط إساءة الاستخدام ، ولكن لا توجد حلول في الوقت الحالي لأنها وحدة نمطية شرعية."

ظهر حصان طروادة المصرفي الشهير الذي يعمل بنظام Android والمعروف باسم SharkBot مرة أخرى على متجر Google Play من خلال تنكر...
05/09/2022

ظهر حصان طروادة المصرفي الشهير الذي يعمل بنظام Android والمعروف باسم SharkBot مرة أخرى على متجر Google Play من خلال تنكره على أنه تطبيقات مكافحة فيروسات وأنظف.

قال Fox-IT من NCC Group في تقرير: "هذا القطارة الجديدة لا تعتمد على أذونات إمكانية الوصول لإجراء تثبيت تلقائي لبرنامج Sharkbot الضار بالقطارة". "بدلاً من ذلك ، يطلب هذا الإصدار الجديد من الضحية تثبيت البرامج الضارة كتحديث مزيف لبرنامج مكافحة الفيروسات ليظل محميًا من التهديدات."

يحتوي التطبيقان المعنيان ، Mister Phone Cleaner و Kylhavy Mobile Security ، على أكثر من 60 ألف عملية تثبيت بينهما ، وهي مصممة لاستهداف المستخدمين في إسبانيا ، وأستراليا ، وبولندا ، وألمانيا ، والولايات المتحدة ، والنمسا -

Mister Phone Cleaner (com.mbkristine8.cleanmaster ، أكثر من 50000 تنزيل)
Kylhavy Mobile Security (com.kylhavy.antivirus ، أكثر من 10000 تنزيل)
تم تصميم القطارات لإسقاط نسخة جديدة من SharkBot ، أطلق عليها اسم V2 من قبل شركة الأمن الهولندية ThreatFabric ، والتي تتميز بآلية اتصال محدثة للقيادة والتحكم (C2) ، وخوارزمية إنشاء المجال (DGA) ، وقاعدة كود برمجية معاد تشكيلها بالكامل.

قالت Fox-IT إنها اكتشفت الإصدار الأحدث 2.25 في 22 أغسطس 2022 ، والذي يقدم وظيفة لشفط ملفات تعريف الارتباط عندما يسجل الضحايا الدخول إلى حساباتهم المصرفية ، مع إزالة القدرة على الرد تلقائيًا على الرسائل الواردة التي تحتوي على روابط إلى البرامج الضارة لنشرها. .

من خلال تجنب أذونات الوصول لتثبيت SharkBot ، يسلط التطوير الضوء على أن المشغلين يقومون بتعديل تقنياتهم بنشاط لتجنب الاكتشاف ، ناهيك عن إيجاد طرق بديلة في مواجهة قيود Google المفروضة حديثًا للحد من إساءة استخدام واجهات برمجة التطبيقات.

تشمل إمكانات سرقة المعلومات البارزة الأخرى حقن تراكبات وهمية لجمع بيانات اعتماد الحساب المصرفي ، وتسجيل ضغطات المفاتيح ، واعتراض رسائل SMS ، وتنفيذ عمليات تحويل الأموال الاحتيالية باستخدام نظام التحويل الآلي (ATS).

ليس من المستغرب أن تشكل البرامج الضارة تهديدًا متطورًا ومنتشرًا في كل مكان ، وعلى الرغم من الجهود المستمرة من جانب Apple و Google ، فإن متاجر التطبيقات معرضة لسوء الاستخدام عن غير قصد للتوزيع ، حيث يحاول مطورو هذه التطبيقات كل حيلة في الكتاب لتفادي الأمان الفحوصات.

قال الباحثان Alberto Segura و Mike Stokkel: "حتى الآن ، يبدو أن مطوري SharkBot يركزون على القطارة من أجل الاستمرار في استخدام متجر Google Play لتوزيع برامجهم الضارة في الحملات الأخيرة".

اكتشف الباحثون بابًا خلفيًا خاصًا قائمًا على قناة Telegram في المعلومات التي تسرق البرامج الضارة ، يُطلق عليه اسم Prynt ...
04/09/2022

اكتشف الباحثون بابًا خلفيًا خاصًا قائمًا على قناة Telegram في المعلومات التي تسرق البرامج الضارة ، يُطلق عليه اسم Prynt Stealer ، والذي أضافه مطور البرنامج بقصد سرقة نسخة من بيانات الضحايا التي تم اختراقها سراً عند استخدامها من قبل مجرمي الإنترنت الآخرين.

"في حين أن هذا السلوك غير الجدير بالثقة ليس شيئًا جديدًا في عالم الجرائم الإلكترونية ، فإن بيانات الضحايا ينتهي بها الأمر في أيدي جهات تهديدات متعددة ، مما يزيد من مخاطر هجوم أو أكثر من الهجمات الكبيرة التي يجب اتباعها" ، وفقًا للباحثين في Zscaler ThreatLabz Atinderpal Singh و Brett Stone قال -Gross في تقرير جديد.

يأتي Prynt Stealer ، الذي ظهر في وقت سابق من هذا الشهر ، مزودًا بقدرات لتسجيل ضغطات المفاتيح ، وسرقة بيانات الاعتماد من متصفحات الويب ، وسحب البيانات من Discord و Telegram. تم بيعه مقابل 100 دولار مقابل ترخيص لمدة شهر و 900 دولار للاشتراك مدى الحياة.

يُظهر تحليل شركة الأمن السيبراني لـ Prynt Stealer أن قاعدة الكود الخاصة بها مشتقة من عائلتين أخريين من البرامج الضارة مفتوحة المصدر ، AsyncRAT و StormKitty ، مع إضافات جديدة مدمجة لتشمل قناة Telegram خلفية لجمع المعلومات التي سرقتها جهات فاعلة أخرى لمؤلف البرنامج الضار.

برينت ستيلر
يُقال إن الكود المسؤول عن استخراج بيانات Telegram تم نسخه من StormKitty ، ولكن مع بعض التغييرات الطفيفة.

تم تضمين أيضًا ميزة مكافحة التحليل التي تزود البرامج الضارة بالمراقبة المستمرة لقائمة عمليات الضحية للعمليات مثل Taskmgr و netstat و wireshark ، وإذا تم اكتشافها ، قم بحظر قنوات الاتصال للأوامر والتحكم في Telegram.

بينما استخدم الفاعلون السيئون تكتيكات مماثلة لسرقة البيانات في الماضي حيث يتم تقديم البرامج الضارة مجانًا ، فإن التطوير يمثل إحدى الحالات النادرة التي يقوم فيها السارق الذي يتم بيعه على أساس الاشتراك بإرسال المعلومات المنهوبة إلى مطوره.

قال الباحثون: "لاحظ أن هناك نسخًا متصدعة / مسربة من Prynt Stealer بنفس الباب الخلفي ، والتي بدورها ستفيد مؤلف البرامج الضارة حتى بدون تعويض مباشر".

قال Zscaler إنه حدد نوعين مختلفين من Prynt Stealer يحملان الاسمين WorldWind و DarkEye وكتبهما نفس المؤلف ، والذي تم تجميعه كغرس مع منشئ Prynt Stealer "المجاني".

تم تصميم المُنشئ أيضًا لإسقاط وتشغيل حصان طروادة للوصول عن بُعد يسمى Loda RAT ، وهو برنامج ضار قائم على تقنية AutoIT قادر على الوصول إلى معلومات النظام والمستخدم وإخراجها ، والعمل كلوغر ، والتقاط لقطات شاشة ، وإطلاق العمليات وإنهائها ، وتنزيل المزيد حمولات البرامج الضارة عبر اتصال بخادم C2.

وخلص الباحثون إلى أن "التوافر المجاني لشفرة المصدر للعديد من عائلات البرامج الضارة قد جعل التطوير أسهل من أي وقت مضى بالنسبة لممثلي التهديدات الأقل تطورًا".

"ذهب مؤلف Prynt Stealer إلى أبعد من ذلك وأضاف بابًا خلفيًا للسرقة من عملائه عن طريق تشفير رمز Telegram ومعرف الدردشة في البرنامج الضار. كما يقول المثل ، لا يوجد شرف بين اللصوص."

قامت Google يوم الجمعة بشحن إصلاحات طارئة لمعالجة ثغرة أمنية في متصفح الويب Chrome الذي قالت إنه يتم استغلاله بنشاط في ا...
04/09/2022

قامت Google يوم الجمعة بشحن إصلاحات طارئة لمعالجة ثغرة أمنية في متصفح الويب Chrome الذي قالت إنه يتم استغلاله بنشاط في البرية.

تتعلق المشكلة ، التي تم تعيينها للمعرف CVE-2022-3075 ، بحالة عدم كفاية التحقق من صحة البيانات في Mojo ، والتي تشير إلى مجموعة من مكتبات وقت التشغيل التي توفر آلية حيادية للنظام الأساسي للاتصال بين العمليات (IPC).

نُسب الفضل إلى باحث مجهول في الإبلاغ عن عيب شديد الخطورة في 30 أغسطس 2022.

قال عملاق الإنترنت: "Google على علم بالتقارير التي تفيد بوجود استغلال ل CVE-2022-3075 في البرية" ، دون الخوض في تفاصيل إضافية حول طبيعة الهجمات لمنع الجهات الفاعلة الأخرى من استغلال هذا الخلل.

يجعل التحديث الأخير هذه ثغرة يوم الصفر في Chrome والتي تمكنت Google من حلها منذ بداية العام -

CVE-2022-0609 - استخدام مجاني في الرسوم المتحركة
CVE-2022-1096 - اكتب الارتباك في V8
CVE-2022-1364 - اكتب الارتباك في V8
CVE-2022-2294 - تجاوز سعة المخزن المؤقت في WebRTC
CVE-2022-2856 - التحقق من صحة الإدخال غير الموثوق به في Intents غير كافٍ
يُنصح المستخدمون بالترقية إلى الإصدار 105.0.5195.102 لنظام التشغيل Windows و macOS و Linux لتقليل التهديدات المحتملة. يُنصح أيضًا مستخدمو المتصفحات المستندة إلى Chromium مثل Microsoft Edge و Brave و Opera و Vivaldi بتطبيق الإصلاحات عندما تصبح متاحة.

قالت شركة chaebol Samsung الكورية الجنوبية يوم الجمعة إنها تعرضت لحادث يتعلق بالأمن السيبراني أدى إلى الوصول غير المصرح ...
04/09/2022

قالت شركة chaebol Samsung الكورية الجنوبية يوم الجمعة إنها تعرضت لحادث يتعلق بالأمن السيبراني أدى إلى الوصول غير المصرح به إلى بعض معلومات العملاء ، وهي المرة الثانية هذا العام التي تبلغ فيها عن مثل هذا الخرق.

كشفت الشركة في إشعار: "في أواخر تموز (يوليو) 2022 ، حصل طرف ثالث غير مصرح به على معلومات من بعض أنظمة Samsung في الولايات المتحدة". "في 4 أغسطس 2022 أو تقريبًا ، قررنا من خلال تحقيقنا المستمر أن المعلومات الشخصية لبعض العملاء قد تأثرت."

وقالت سامسونج إن التسلل مكّن المتسللين من الوصول إلى بيانات معينة مثل الأسماء ومعلومات الاتصال والمعلومات الديموغرافية وتواريخ الميلاد وتفاصيل تسجيل المنتج.

وشددت على أن الحادث لم يؤثر على أرقام الضمان الاجتماعي للمستخدمين أو أرقام بطاقات الائتمان والخصم ، لكنه أشار إلى أن المعلومات المسربة لكل عميل ذي صلة قد تختلف.

وأضافت أن المعلومات التي تم جمعها ضرورية لمساعدة الشركة على تقديم أفضل تجربة لمنتجاتها وخدماتها. من غير الواضح عدد العملاء المتأثرين أو من كان وراء الاختراق ، ولماذا استغرق الأمر ما يقرب من شهر حتى تكشف الشركة عن الاختراق.

بصرف النظر عن إخطار المستخدمين بالحدث الأمني ​​، صرحت Samsung بأنها اتخذت خطوات لتأمين الأنظمة المتأثرة وأشركت شركة خارجية للأمن السيبراني لقيادة جهود الاستجابة.

علاوة على ذلك ، فإنه يحث المستخدمين على توخي الحذر من محاولات الهندسة الاجتماعية المحتملة ، وتجنب النقر فوق الروابط أو فتح المرفقات من مرسلين غير معروفين ، ومراجعة حساباتهم بحثًا عن أي نشاط مشبوه.

يأتي هذا الإعلان بعد أقل من ستة أشهر من تأكيد سامسونج وقوع حادث مماثل. في مارس 2022 ، كشفت أن البيانات الداخلية ، بما في ذلك كود المصدر المتعلق بهواتف Galaxy الذكية ، تم تسريبها في أعقاب هجوم شنته عصابة الابتزاز بالدولار الأمريكي LAPSUS.

تم تعقب ممثل التهديد المستمر الصيني (APT) حيث استهدف Winnti ما لا يقل عن 13 منظمة جغرافية تمتد عبر الولايات المتحدة وتاي...
19/08/2022

تم تعقب ممثل التهديد المستمر الصيني (APT) حيث استهدف Winnti ما لا يقل عن 13 منظمة جغرافية تمتد عبر الولايات المتحدة وتايوان والهند وفيتنام والصين على خلفية أربع حملات مختلفة في عام 2021.

وقالت شركة Group-IB للأمن السيبراني في تقرير مشترك مع The Hacker News: "تشمل الصناعات المستهدفة القطاع العام والتصنيع والرعاية الصحية والخدمات اللوجستية والضيافة والتعليم بالإضافة إلى وسائل الإعلام والطيران".

وشمل ذلك أيضًا الهجوم على طيران الهند الذي ظهر في يونيو 2021 كجزء من حملة أطلق عليها اسم ColunmTK. تم تخصيص الحملات الثلاث الأخرى للألقاب DelayLinkTK و Mute-Pond و Gentle-Voice استنادًا إلى أسماء المجالات المستخدمة في الهجمات.

APT41 ، المعروفة أيضًا باسم Barium أو Bronze Atlas أو Double Dragon أو Wicked Panda أو Winnti ، هي مجموعة تهديدات إلكترونية صينية غزيرة الإنتاج معروفة بتنفيذ نشاط تجسس برعاية الدولة بالتوازي مع عمليات ذات دوافع مالية منذ عام 2007 على الأقل.

قراصنة APT41
وصف عام 2021 بأنه "عام مكثف لـ APT41" ، تضمنت الهجمات التي شنها الخصم بشكل أساسي الاستفادة من حقن SQL على المجالات المستهدفة كموجه وصول أولي لاختراق شبكات الضحايا ، متبوعًا بتسليم منارة Cobalt Strike مخصصة على نقاط النهاية.

ولكن في نهج غير معتاد إلى حد ما ، تم تحميل Cobalt Strike Beacon في أجزاء أصغر من سلاسل مشفرة Base64 كتكتيك تشويش للطيران تحت الرادار ، قبل كتابة الحمولة الكاملة إلى ملف على المضيف المصاب.

قال الباحثون: "عادة ما يستخدم أعضاء APT41 التصيد الاحتيالي ، ويستغلون نقاط الضعف المختلفة (بما في ذلك Proxylogon) ، ويقومون بهجمات ثقب المياه أو سلسلة التوريد لتعريض ضحاياهم للخطر في البداية".

تراوحت الإجراءات الأخرى التي تم تنفيذها بعد الاستغلال من إثبات المثابرة إلى سرقة بيانات الاعتماد وإجراء الاستطلاع من خلال تقنيات العيش خارج الأرض (LotL) لجمع المعلومات حول البيئة المعرضة للخطر والتحرك بشكل جانبي عبر الشبكة.

قالت الشركة التي تتخذ من سنغافورة مقراً لها إنها حددت 106 خوادم فريدة من نوعها من نوع Cobalt Strike تم استخدامها حصريًا بواسطة APT41 بين أوائل عام 2020 وأواخر عام 2021 للقيادة والسيطرة. معظم الخوادم لم تعد نشطة.

تشير النتائج إلى استمرار إساءة استخدام إطار محاكاة الخصم الشرعي من قبل جهات تهديد مختلفة للأنشطة الخبيثة بعد الاقتحام.

قال نيكيتا روستوفتسيف ، محلل تهديدات Group-IB Threat Analyst ، نيكيتا روستوفتسيف: "في الماضي ، كانت الأداة موضع تقدير من قبل عصابات مجرمي الإنترنت التي تستهدف البنوك ، بينما تحظى اليوم بشعبية بين مختلف الجهات الفاعلة في مجال التهديد بغض النظر عن دوافعهم ، بما في ذلك مشغلي برامج الفدية سيئة السمعة".

تم استخدام برنامج تشفير مراوغ قائم على .NET يسمى DarkTortilla من قبل الجهات المهددة لتوزيع مجموعة واسعة من البرامج الضار...
19/08/2022

تم استخدام برنامج تشفير مراوغ قائم على .NET يسمى DarkTortilla من قبل الجهات المهددة لتوزيع مجموعة واسعة من البرامج الضارة للسلع بالإضافة إلى الحمولات المستهدفة مثل Cobalt Strike و Metasploit ، على الأرجح منذ عام 2015.

وقالت شركة الأمن السيبراني Secureworks في تقرير يوم الأربعاء: "يمكنها أيضًا تقديم" حزم إضافية "مثل الحمولات الخبيثة الإضافية والوثائق الخبيثة الحميدة والملفات التنفيذية". "إنها تتميز بضوابط قوية لمكافحة التحليل ومكافحة العبث التي يمكن أن تجعل الاكتشاف والتحليل والقضاء أمرًا صعبًا."

تتضمن البرامج الضارة التي يقدمها برنامج التشفير أدوات توصيل المعلومات وأحصنة طروادة (RATs) مثل Agent Tesla و AsyncRat و NanoCore و RedLine Stealer. وأشار الباحثون إلى أن "DarkTortilla لديها براعة لا تمتلكها البرامج الضارة المماثلة".

أدوات التشفير هي أدوات برمجية تستخدم مزيجًا من التشفير والتشويش ومعالجة التعليمات البرمجية للبرامج الضارة لتجاوز الاكتشاف بواسطة حلول الأمان.

يتم تسليم DarkTortilla عبر رسائل البريد الإلكتروني الضارة التي تحتوي على أرشيفات ذات ملف تنفيذي لأداة تحميل أولية تُستخدم لفك شفرة وحدة المعالج الأساسية وتشغيلها إما مضمنة داخل نفسها أو يتم جلبها من مواقع تخزين النصوص مثل Pastebin.

DarkTortilla Crypter
بعد ذلك ، يكون المعالج الأساسي مسؤولاً عن إنشاء الثبات وحقن حمولة RAT الأساسية في الذاكرة دون ترك أثر على نظام الملفات من خلال ملف تكوين مفصل يسمح له أيضًا بإسقاط الحزم الإضافية ، بما في ذلك keyloggers ، وسرقة الحافظة ، وعمال المناجم المشفرة .

DarkTortilla جدير بالملاحظة أيضًا لاستخدامه لعناصر تحكم مكافحة التلاعب التي تضمن إعادة تشغيل كل من العمليات المستخدمة لتنفيذ المكونات في الذاكرة فور الإنهاء.

على وجه التحديد ، يتم تحقيق استمرار اللودر الأولي عن طريق ملف تنفيذي ثانٍ يُشار إليه باسم WatchDog المصمم للاحتفاظ بعلامات تبويب على العملية المعينة وإعادة تشغيلها في حالة تعرضها للقتل.

تذكرنا هذه التقنية بآلية مماثلة اعتمدها ممثل تهديد يسمى Moses Staff ، والذي تم اكتشافه ، في وقت سابق من هذا العام ، يعتمد على نهج قائم على المراقبة لمنع أي انقطاع في حمولاته. كما تم استخدام ضابطين آخرين لضمان استمرار تنفيذ برنامج WatchDog القابل للتنفيذ الذي تم إسقاطه واستمرار المحمل الأولي.

قالت Secureworks أنها حددت ما معدله 93 عينة فريدة DarkTortilla يتم تحميلها إلى قاعدة بيانات VirusTotal للبرامج الضارة أسبوعيًا على مدى 17 شهرًا من يناير 2021 إلى مايو 2022. من بين جميع العينات البالغ عددها 10000 التي تم تتبعها خلال الإطار الزمني ، كان تسعة منها فقط تستخدم لنشر برامج الفدية - سبعة منها تقدم بابوك واثنان آخران يديران MedusaLocker.

وخلص الباحثون إلى أن "DarkTortilla قادرة على تجنب الاكتشاف ، وهي قابلة للتكوين بدرجة كبيرة ، وتوفر مجموعة واسعة من البرامج الضارة الشائعة والفعالة". وقدراتها وانتشارها يجعلانها تهديدا هائلا ".

ومع ذلك ، فإن طريقة العمل الدقيقة لكيفية وصول جهاز crypter إلى أيدي الجهات الفاعلة المهددة لا تزال غير واضحة ، على الرغم من أنه يشتبه في أنه قد يتم الترويج لها في العمل السري الإجرامي كخدمة.

قال روب بانتازوبولوس ، كبير الباحثين الأمنيين في Secureworks Counter Threat Unit (CTU) لصحيفة The Hacker News: "على الرغم من تجوب الأسواق والمنتديات السرية ، لم نتمكن من العثور على مكان أو كيفية بيع DarkTortilla".

"لقد واجهنا برنامج تشفير آخر تم الإعلان عنه باسم PureCrypter ، وهو ليس DarkTortilla ولكنه يعرض الكثير من نفس الشيء. وبالنظر إلى أوجه التشابه ، نشك في أنه يعمل في نفس السوق ؛ مما يعني أنه من المحتمل أن يكون انتهازيًا ويتم بيعه لأي شخص يرغب في دفع رسوم معقولة ".

يتم إشراك أداة تحميل البرامج الضارة المعروفة باسم Bumblebee بشكل متزايد من قبل الجهات الفاعلة في التهديد المرتبطة بـ Baz...
19/08/2022

يتم إشراك أداة تحميل البرامج الضارة المعروفة باسم Bumblebee بشكل متزايد من قبل الجهات الفاعلة في التهديد المرتبطة بـ BazarLoader و TrickBot و IcedID في حملاتهم لخرق الشبكات المستهدفة لأنشطة ما بعد الاستغلال.

قال الباحثان في Cybereason Meroujan Antonyan و Alon Laufer في تقرير فني: "يقوم مشغلو Bumblebee بأنشطة استطلاع مكثفة ويعيدون توجيه إخراج الأوامر المنفذة إلى ملفات للتسلل".

ظهر Bumblebee لأول مرة في مارس 2022 عندما كشفت مجموعة تحليل التهديدات (TAG) التابعة لـ Google عن أنشطة وسيط وصول أولي أطلق عليه اسم Exotic Lily مع علاقات مع TrickBot ومجموعات Conti الأكبر.

Bumblebee محمل البرامج الضارة
عادةً ما يتم تسليمه عبر الوصول الأولي الذي تم الحصول عليه من خلال حملات التصيد الاحتيالي ، وقد تم تعديل طريقة العمل منذ ذلك الحين عن طريق تجنب المستندات ذات الصلة بالماكرو لصالح ملفات ISO و LNK ، وذلك في المقام الأول استجابةً لقرار Microsoft بحظر وحدات الماكرو افتراضيًا.

Bumblebee محمل البرامج الضارة
وقال الباحثون: "يتم توزيع البرامج الضارة عن طريق رسائل البريد الإلكتروني المخادعة التي تحتوي على مرفق أو رابط لأرشيف ضار يحتوي على Bumblebee". "يعتمد التنفيذ الأولي على تنفيذ المستخدم النهائي الذي يتعين عليه استخراج الأرشيف ، وتركيب ملف صورة ISO ، والنقر فوق ملف اختصار Windows (LNK)."

يحتوي ملف LNK ، من جانبه ، على أمر تشغيل محمل Bumblebee ، والذي يتم استخدامه بعد ذلك كقناة لإجراءات المرحلة التالية مثل المثابرة ، وتصعيد الامتياز ، والاستطلاع ، وسرقة بيانات الاعتماد.

كما تم استخدام إطار محاكاة خصم Cobalt Strike أثناء الهجوم عند الحصول على امتيازات مرتفعة على نقاط النهاية المصابة ، مما يتيح للمهاجم التحرك بشكل جانبي عبر الشبكة. يتم تحقيق الثبات من خلال نشر برنامج AnyDesk لسطح المكتب البعيد.

في الحادث الذي حلله Cybereason ، تم استخدام بيانات الاعتماد المسروقة الخاصة بمستخدم ذي امتيازات عالية لاحقًا للسيطرة على Active Directory ، ناهيك عن إنشاء حساب مستخدم محلي لاستخراج البيانات.

وقالت شركة الأمن السيبراني: "كان الوقت المستغرق بين الوصول الأولي وتسوية Active Directory أقل من يومين". "يجب التعامل مع الهجمات التي تتضمن Bumblebee على أنها حرجة ، [...] وهذا المُحمل معروف بتسليم برامج الفدية الضارة."

كشف موقع Twitter يوم الجمعة أنه تم استخدام خطأ يوم الصفر الذي تم تصحيحه الآن لربط أرقام الهواتف ورسائل البريد الإلكتروني...
13/08/2022

كشف موقع Twitter يوم الجمعة أنه تم استخدام خطأ يوم الصفر الذي تم تصحيحه الآن لربط أرقام الهواتف ورسائل البريد الإلكتروني بحسابات المستخدمين على منصة التواصل الاجتماعي.

وقالت الشركة في بيان: "نتيجة للثغرة الأمنية ، إذا أرسل شخص ما عنوان بريد إلكتروني أو رقم هاتف إلى أنظمة تويتر ، فإن أنظمة تويتر ستخبر الشخص بحساب Twitter الذي تم ربط عناوين البريد الإلكتروني أو رقم الهاتف به ، إن وجدت". استشاري.

قال موقع Twitter إن الخطأ ، الذي تم إبلاغه به في يناير 2022 ، ناجم عن تغيير رمز تم إدخاله في يونيو 2021. ولم يتم الكشف عن كلمات مرور نتيجة للحادث.

ينبع التأخير لمدة ستة أشهر في الإعلان عن هذا الأمر من دليل جديد الشهر الماضي على أن ممثلًا غير معروف قد استغل الخلل قبل الإصلاح لكشط معلومات المستخدم وبيعها من أجل الربح في منتديات الخرق.

على الرغم من أن Twitter لم يكشف عن العدد الدقيق للمستخدمين المتأثرين ، فإن منشور المنتدى الذي نشره ممثل التهديد يُظهر أن الخلل قد تم استغلاله على الأرجح لتجميع قائمة تحتوي على ما يُزعم أنه أكثر من 5.48 مليون ملف تعريف حساب مستخدم.

وقالت شركة Restore Privacy ، التي كشفت عن الانتهاك أواخر الشهر الماضي ، إن قاعدة البيانات بيعت مقابل 30 ألف دولار.

صرّح موقع Twitter أنه بصدد إخطار مالكي الحسابات المتأثرين بالمشكلة مباشرةً ، مع حث المستخدمين أيضًا على تشغيل المصادقة الثنائية للتأمين ضد عمليات تسجيل الدخول غير المصرح بها.

يأتي هذا التطور في الوقت الذي وافق فيه تويتر ، في مايو ، على دفع غرامة قدرها 150 مليون دولار لتسوية شكوى من وزارة العدل الأمريكية زعمت أن الشركة بين عامي 2014 و 2019 استخدمت أصحاب حسابات المعلومات المقدمة للتحقق الأمني ​​لأغراض الدعاية دون موافقتهم.

أعلنت وزارة الخارجية الأمريكية يوم الخميس عن مكافأة قدرها 10 ملايين دولار مقابل معلومات تتعلق بخمسة أفراد مرتبطين بمجموع...
13/08/2022

أعلنت وزارة الخارجية الأمريكية يوم الخميس عن مكافأة قدرها 10 ملايين دولار مقابل معلومات تتعلق بخمسة أفراد مرتبطين بمجموعة Conti ransomware.

عرض المكافأة ، الذي أبلغت عنه WIRED لأول مرة ، ملحوظ أيضًا لأنه يمثل المرة الأولى التي يتم فيها الكشف عن وجه أحد شركاء Conti ، المعروف باسم "Target". تمت الإشارة إلى المساعدين الأربعة الآخرين باسم "الصعلوك" و "دانديس" و "الأستاذ" و "ريشايف".

إلى جانب البحث عن معلومات حول المشغلين الخمسة الذين يمكن أن تؤدي إلى تحديد هويتهم أو تحديد موقعهم ، تدعو الحكومة أيضًا الأشخاص إلى مشاركة تفاصيل حول شركة Conti والمجموعات التابعة لها TrickBot و Wizard Spider.

منذ تغيير علامتها التجارية من Ryuk إلى Conti ، تم ربط مجموعة الجريمة المنظمة العابرة للحدود الوطنية بمئات حوادث برامج الفدية على مدار العامين الماضيين.

اعتبارًا من كانون الثاني (يناير) 2022 ، يُقدر أن عملية Ransomware-as-a-service (RaaS) التي تتخذ من روسيا مقراً لها قد وصلت إلى أكثر من 1000 كيان ، حيث تجاوزت مدفوعات الضحايا 150 مليون دولار. أطلقت وزارة الخارجية الأمريكية على كونتي لقب "أكثر سلالة تم توثيقها من برامج الفدية الضارة على الإطلاق".

سلط تحليل للدردشات المسربة بين أعضاء كونتي في مارس 2022 والذي ظهر بعد انحياز النقابة لروسيا في الصراع المستمر بين البلاد وأوكرانيا ، الضوء على دور تارجت كمدير مشارك في عملياتها المادية في روسيا.

أشار باحثو Trellix في مارس 2022 إلى أن "التسريبات وصلت إلى مستوى غير مسبوق وتُظهر للعالم كيف تعمل عصابة فدية مدعومة من الحكومة بملايين الدولارات".

"بطريقة ما كان الأمر أشبه بعمل عادي تقريبًا ؛ يجب دفع الأجور ، والحصول على تراخيص البرمجيات ، وبدء خدمة العملاء ، وتشكيل تحالفات استراتيجية."

على الرغم من إنهاء علامة Conti التجارية ، إلا أن أعضائها لا يزالون نشطين ، ويواصلون عملهم من خلال عمليات ابتزاز وابتزاز بيانات أخرى في إطار فروع مختلفة ، بما في ذلك Karakurt و Silent Ransom و Quantum و Roy / Zeon.

يأتي التطوير أيضًا بعد أكثر من ثلاثة أشهر بقليل من إعلان الوكالة أنها تقدم مكافأة تصل إلى 10 ملايين دولار للحصول على معلومات تؤدي إلى تحديد و / أو موقع الأفراد الذين يشغلون مناصب قيادية رئيسية في فريق كونتي.

هواتف Xiaomi المزودة بشرائح MediaTek معرضة لمدفوعات مزورة هواتف شاوميتم تحديد عيوب أمنية في طرازي Xiaomi Redmi Note 9T و...
13/08/2022

هواتف Xiaomi المزودة بشرائح MediaTek معرضة لمدفوعات مزورة

هواتف شاومي
تم تحديد عيوب أمنية في طرازي Xiaomi Redmi Note 9T و Redmi Note 11 ، والتي يمكن استغلالها لتعطيل آلية الدفع عبر الهاتف المحمول وحتى إجراء معاملات عبر تطبيق Android مخادع مثبت على الأجهزة.

قالت Check Point إنها وجدت عيوبًا في الأجهزة التي تعمل بشرائح MediaTek أثناء تحليل أمني لبيئة التنفيذ الموثوقة (Kinibi) الخاصة بصانع الهاتف الصيني (TEE).

يشير TEE إلى منطقة آمنة داخل المعالج الرئيسي تستخدم لمعالجة وتخزين المعلومات الحساسة مثل مفاتيح التشفير وذلك لضمان السرية والنزاهة.

على وجه التحديد ، اكتشفت شركة الأمن السيبراني الإسرائيلية أنه يمكن تخفيض أحد التطبيقات الموثوقة على جهاز Xiaomi بسبب نقص التحكم في الإصدار ، مما يمكّن المهاجم من استبدال إصدار أحدث وآمن من التطبيق بمتغير أقدم وضعيف.

قال الباحث في Check Point Slava Makkaveev في تقرير تمت مشاركته مع The Hacker News: "لذلك ، يمكن للمهاجم تجاوز الإصلاحات الأمنية التي أجرتها Xiaomi أو MediaTek في التطبيقات الموثوقة عن طريق تخفيضها إلى إصدارات غير مصححة".

هواتف شاومي
بالإضافة إلى ذلك ، تم تحديد العديد من الثغرات الأمنية في "thhadmin" ، وهو تطبيق موثوق به مسؤول عن إدارة الأمان ، والذي يمكن أن يسيء استخدامه أحد التطبيقات الضارة لتسريب المفاتيح المخزنة أو لتنفيذ تعليمات برمجية عشوائية في سياق التطبيق.

وقال Makkaveev في بيان تمت مشاركته مع The Hacker News: "اكتشفنا مجموعة من الثغرات الأمنية التي قد تسمح بتزوير حزم الدفع أو تعطيل نظام الدفع مباشرة من تطبيق Android غير مميز".

تستهدف نقاط الضعف تطبيقًا موثوقًا طورته Xiaomi لتنفيذ عمليات التشفير المتعلقة بخدمة تسمى Tencent Soter ، وهي "معيار بيولوجي" يعمل كإطار عمل مضمن للدفع عبر الهاتف المحمول للسماح بالمعاملات على تطبيقات الطرف الثالث باستخدام WeChat و Alipay .

لكن وجود ثغرة أمنية كبيرة في التطبيق الموثوق به soter تعني أنه يمكن استغلالها للحث على رفض الخدمة من قبل تطبيق Android ليس لديه أذونات للتواصل مع TEE مباشرة.

هذا ليس كل شئ. من خلال ربط هجوم الرجوع إلى إصدار أقدم المذكور أعلاه لاستبدال تطبيق soter الموثوق به بإصدار أقدم يحتوي على ثغرة قراءة عشوائية ، وجدت Check Point أنه من الممكن استخراج المفاتيح الخاصة المستخدمة لتوقيع حزم الدفع.

وأشارت الشركة إلى أن "الثغرة [...] تهدد منصة تينسنت بالكامل ، مما يسمح لمستخدم غير مصرح له بالتوقيع على حزم دفع مزيفة".

قامت Xiaomi ، بعد الإفصاح المسؤول ، بطرح تصحيحات لمعالجة CVE-2020-14125 في 6 يونيو 2022. "يتم إصلاح مشكلة الرجوع إلى إصدار أقدم ، والتي تم تأكيدها من قِبل Xiaomi على أنها تنتمي إلى بائع تابع لجهة خارجية ،" Check Point مضاف.

تم الكشف عن ثغرة أمنية في تجاوز ميزة الأمان في ثلاثة برامج تحميل موقعة من طرف ثالث لواجهة البرامج الثابتة القابلة للتوسي...
13/08/2022

تم الكشف عن ثغرة أمنية في تجاوز ميزة الأمان في ثلاثة برامج تحميل موقعة من طرف ثالث لواجهة البرامج الثابتة القابلة للتوسيع (UEFI) والتي تسمح بتجاوز ميزة التمهيد الآمن لـ UEFI.

قالت شركة أمن الأجهزة Eclypsium في تقرير تمت مشاركته مع The أخبار القراصنة.

تم العثور على برامج تحميل التمهيد التالية الخاصة بالبائع ، والتي تم توقيعها والمصادقة عليها من قبل Microsoft ، عرضة للتجاوز وتم تصحيحها كجزء من تحديث يوم الثلاثاء من عملاق التكنولوجيا الذي تم إصداره هذا الأسبوع -

يوروسوفت لودر التمهيد (CVE-2022-34301)
أداة تحميل التمهيد لشركة New Horizon Data Systems Inc (CVE-2022-34302) ، و
Crypto Pro Boot Loader (CVE-20220-34303)
التمهيد الآمن هو معيار أمان مصمم لإحباط تحميل البرامج الضارة عند بدء تشغيل الكمبيوتر (التمهيد) والتأكد من تشغيل البرنامج الموثوق به فقط من قبل الشركة المصنعة للمعدات الأصلية (OEM).

التمهيد لوادر
بعبارة أخرى ، يمكن أن يسمح الاستغلال الناجح للعيوب للخصم بالتحايل على حواجز الأمان عند بدء التشغيل وتنفيذ تعليمات برمجية عشوائية غير موقعة أثناء عملية التمهيد.

يمكن أن يكون لهذا المزيد من التأثيرات غير المباشرة ، مما يمكّن الفاعل السيئ من الحصول على وصول راسخ وإثبات المثابرة على مضيف من خلال طريقة يمكن أن تنجو من عمليات إعادة تثبيت نظام التشغيل واستبدال محرك الأقراص الثابتة ، ناهيك عن تجاوز الاكتشاف تمامًا بواسطة برامج الأمان.

واصفًا CVE-2022-34302 بأنه "أكثر تخفيًا" ، أشار Eclypsium إلى أن ثغرة New Horizon Datasys ليست سهلة الاستغلال في البرية فحسب ، بل يمكنها أيضًا "تمكين عمليات تهرب أكثر تعقيدًا مثل تعطيل معالجات الأمان".

قال باحثا Eclypsium ميكي شكاتوف وجيسي مايكل إن معالجات الأمان ، على سبيل المثال ، يمكن أن تشمل قياسات وحدة النظام الأساسي الموثوق (TPM) وفحوصات التوقيع.

تجدر الإشارة إلى أن استغلال هذه الثغرات الأمنية يتطلب أن يمتلك المهاجم امتيازات المسؤول ، على الرغم من أن الحصول على تصعيد الامتياز المحلي ليس بالأمر المستحيل.

وخلص الباحثون إلى أن "هذه الثغرات الأمنية ، مثل BootHole ، تسلط الضوء على التحديات التي تواجه ضمان سلامة تمهيد الأجهزة التي تعتمد على سلسلة توريد معقدة من البائعين والرمز الذي يعمل معًا" ، مضيفين "هذه المشكلات تسلط الضوء على مدى قدرة الثغرات الأمنية البسيطة في التعليمات البرمجية الخاصة بطرف ثالث عمومية العملية برمتها ".

Address

Cairo

Website

Alerts

Be the first to know and let us send you an email when ITProgrammers posts news and promotions. Your email address will not be used for any other purpose, and you can unsubscribe at any time.

Contact The Business

Send a message to ITProgrammers:

Shortcuts

Share

Category