about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
جرم سایبری
مطالب پربازدید
بازار
1405/02/02 - 13:10- بررسی تخصصی

بازار سیاه فیلترشکن در زمان قطع اینترنت؛ از قیمت‌های میلیونی تا موج گسترده کلاهبرداری

مقاله ای از کارشناس سایبری مهیار خدادادی پیرامون مسئله فیلتر شکن ها در زمان قطعی اینترنت بین المللی

در
1405/02/01 - 15:13- ایران

در غم از دست دادن پدر امت به سوگ نشسته ایم

در غم از دست دادن پدر امت به سوگ نشسته ایم

بزرگ‌ترین
1405/01/10 - 16:13- جنگ سایبری

بزرگ‌ترین حمله سایبری به شرکت‌های نفتی امارات

شرکت های نفتی امارات مورد حمله سایبری گروه هکری نصیر قرار گرفت

انتشار شده در تاریخ

استفاده از رپتایل روت کیت در حمله علیه سیستم های لینوکس در کره جنوبی

محققان عوامل تهدیدی را مشاهده کرده اند که از یک روت کیت منبع باز به نام رپتایل (Reptile) در حملاتی که به سیستم‌های کره جنوبی صورت گرفته اند، استفاده می‌کنند.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، رپتایل یک روت کیت ماژول هسته منبع باز است که برای هدف قرار دادن سیستم های لینوکس طراحی شده است و برخلاف سایر روت کیت ها، پوسته معکوس نیز ارائه می دهد.

این بدافزار از ضربه زدن پورت پشتیبانی می کند، یک پورت خاص را روی یک سیستم آلوده باز می کند و منتظر بسته جادویی است که توسط مهاجمان ارسال می شود تا یک اتصال کنترل و فرمان (C2) برقرار کند.

محققان از سال 2022 چندین کمپین را مشاهده کرده اند که از رپتایل استفاده می کرده اند.

اخیرا ماندیانت (Mandiant) گزارشی درباره کمپینی منتسب به یک گروه ای پی تی (APT) مرتبط با چین منتشر کرده است که از روت کیت رپتایل استفاده کرده و از آسیب‌پذیری روز صفر (CVE-2022-41328) در محصولات فورتی نت (Fortinet) سوء استفاده کرده است.

محققان اکزاترک (ExaTrack) نیز کمپینی را با استفاده از بدافزار ملوفی (Mélofée) و روت کیت رپتایل را شرح داده اند.

محققان این کمپین را به گروه جاسوسی سایبری وینتی (Winnti) مرتبط با چین نسبت می دهند.

بدافزار رپتایل از یک لودر استفاده می کند که یک ماژول هسته است که با استفاده از ابزار منبع باز کماتریوشکا (kmatryoshka) بسته بندی شده است.

این ابزار برای رمزگشایی روت کیت و بارگذاری ماژول هسته آن در حافظه استفاده می شود و سپس ماژول هسته یک پورت خاص را باز می کند و منتظر ارتباطات مهاجم می شود.

رپتایل برای به دام انداختن توابع هسته لینوکس به موتوری به نام خوک (KHOOK) متکی است.

این روت کیت در حملات گذشته علیه شرکت های کره جنوبی استفاده شده است.

گزارش ASEC بیان می کند روش اولیه نفوذ ناشناخته باقی مانده است، اما پس از بررسی، روت کیت رپتایل، پوسته معکوس، خط فرمان (Cmd) و اسکریپت راه‌اندازی همگی گنجانده شده‌اند که اجازه می‌دهد پیکربندی اولیه مشخص شود.

در این مورد حمله خاص، به غیر از رپتایل، یک پوسته مبتنی بر ICMP به نام ISH نیز توسط عامل تهدید مورد استفاده قرار گرفته است.

ISH یک نوع بدافزار است که از پروتکل ICMP برای ارائه یک پوسته به عامل تهدید استفاده می کند.

به طور معمول، پوسته‌های معکوس یا پوسته‌های اتصال از پروتکل‌هایی مانند TCP یا HTTP استفاده می‌کنند، اما حدس زده می‌شود که عامل تهدید برای فرار از تشخیص شبکه ناشی از این پروتکل‌های ارتباطی، ISH را انتخاب کرده است.

محققان هشدار می دهند که رپتایل می تواند به راحتی توسط عوامل مختلف تهدید مورد استفاده قرار گیرد زیرا کد آن به عنوان منبع باز در دسترس است.

عامل تهدید همچنین می‌تواند روت‌کیت را در حملات آینده شخصی‌سازی کند و از آن در ارتباط با بدافزارهای دیگر استفاده کند.

این گزارش همچنین شامل شاخص های سازش (IOC) برای این تهدید می باشد.

منبع:

سایبربان

موضوع:

تازه ترین ها
تصویب
1405/04/02 - 10:13- هوش مصنوعي

تصویب طرح ملی هوش مصنوعی در سرزمین‌های اشغالی

رژیم صهیونیستی طرح ملی هوش مصنوعی را با هدف تبدیل شدن به قدرت برتر فناوری تصویب کرد.

واگذاری
1405/04/02 - 10:02- آسیا

واگذاری حاکمیت دیجیتال ارمنستان به آذربایجان

ارمنستان اعلام کرد که طی یک توافق‌نامه، داوطلبانه حاکمیت دیجیتال را به آذربایجان واگذار می‌کند.

انتقاد
1405/04/02 - 09:45- تلگرام

انتقاد دوروف از مسدودسازی تلگرام در هند

بنیان‌گذار پیام‌رسان تلگرام تأکید کرد که این اقدام میلیون‌ها کاربر عادی را متضرر کرده و تأثیر چندانی در جلوگیری از افشای سؤالات امتحانی نداشته است.

مطالب مرتبط

در این بخش مطالبی که از نظر دسته بندی و تگ بندی مرتبط با محتوای جاری می باشند نمایش داده می‌شوند.