about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
مطالب پربازدید
نفوذ
1405/04/04 - 12:52- تروریسم سایبری

نفوذ رژیم صهیونیستی با استارلینک به ایران

نخست وزیر سابق رژیم صهیونیستی ادعا کرد که اسرائیل ده‌ها هزار سیستم استارلینک را به ایران قاچاق کرده است.

بازار
1405/02/02 - 13:10- بررسی تخصصی

بازار سیاه فیلترشکن در زمان قطع اینترنت؛ از قیمت‌های میلیونی تا موج گسترده کلاهبرداری

مقاله ای از کارشناس سایبری مهیار خدادادی پیرامون مسئله فیلتر شکن ها در زمان قطعی اینترنت بین المللی

آیا
1405/04/01 - 14:49- جنگ سایبری

آیا رسانه‌ای کردن حملات سایبری برای ایران بازدارندگی ایجاد می‌کند؟

در سال‌های اخیر، اخبار متعددی درباره نفوذ و عملیات‌های سایبری منتسب به ایران و محور مقاومت با بازتاب گسترده رسانه‌ای همراه بوده است. برخی این اقدامات را نشانه‌ای از قدرت سایبری و عاملی جهت بازدارندگی در برابر دشمنان می‌دانند و برخی دیگر معتقدند بخش مهمی ا

یک بارگذار چندمرحله‌ای به نام «PNGPlug» بدافزار «ValleyRAT» را از طریق نصب‌کننده‌های نرم‌افزار جعلی ارائه کرد.

به گزارش کارگروه امنیت سایبربان؛ به گفته محققان امنیت سایبری، مجموعه‌ای از حملات سایبری مناطق چینی‌زبان مانند هنگ‌کنگ، تایوان و سرزمین اصلی چین را با بدافزار شناخته شده‌ای به نام «ValleyRAT» هدف قرار داده است.

شرکت نرم‌افزاری اینتزر (Intezer)، واقع در تل‌آویو، در گزارشی فنی اعلام کرد که در این حملات از یک بارگذار چند مرحله‌ای به نام «PNGPlug» برای ارائه بدافزار ValleyRAT استفاده شده است.

زنجیره آلودگی با یک صفحه فیشینگ شروع می‌شود که برای تشویق قربانیان به دانلود بسته مخرب نصب کننده مایکروسافت (MSI)، پنهان شده به عنوان نرم‌افزار قانونی، طراحی شده است.

پس از اجرا، نصب کننده یک برنامه کاربردی را برای جلوگیری از ایجاد سوءظن مستقر می‌کند، درحالی‌که به طور مخفیانه یک بایگانی رمزگذاری شده حاوی بار بدافزار را استخراج می‌کند.

نیکول فیشبین (Nicole Fishbein)، محقق امنیتی، گفت:

«بسته نصب کننده مایکروسافت از ویژگی «CustomAction» نصب کننده ویندوز استفاده و به آن کمک می‌کند تا کدهای مخرب را اجرا کند، از جمله اجرای یک «DLL» مخرب جاسازی شده که بایگانی (all.zip) را با استفاده از رمز عبور رمزگذاری‌شده «hello202411» رمزگشایی می‌کند تا اجزای اصلی بدافزار را استخراج نماید.»

این موارد شامل یک DLL نفوذی (libcef.dll)؛ یک برنامه قانونی (down.exe) که به عنوان پوششی برای پنهان کردن فعالیت‌های مخرب استفاده می‌شود؛ و 2 فایل «payload» است که به صورت تصاویر PNG  (aut.png و  view.png) نمایش داده می‌شوند.

محققان براین باورند که هدف اصلی بارگذار چندمرحله‌ای، آماده کردن محیط برای اجرای بدافزار اصلی با تزریق aut.png و view.png به حافظه است تا با ایجاد تغییرات رجیستری ویندوز و اجرای ValleyRAT، پایداری را تنظیم کند.

ValleyRAT، که از سال 2023 شناخته شده، یک تروجان دسترسی از راه دور (RAT) است که می‌تواند دسترسی غیرمجاز و کنترل ماشین‌های آلوده را برای مهاجمان فراهم کند. نسخه‌های اخیر این بدافزار دارای ویژگی‌هایی برای گرفتن اسکرین‌شات و پاک کردن گزارش‌های رویداد ویندوز است.

کارشناسان معتقدند که این بدافزار به یک گروه تهدید به نام «Silver Fox» مرتبط است که به دلیل استفاده از چارچوب فرماندهی و کنترل (C&C) به نام «Winos 4.0»، همپوشانی‌های تاکتیکی با یک خوشه فعالیت دیگر به نام «Void Arachne» دارد.

این کمپین به دلیل تمرکز بر جمعیت چینی‌زبان و استفاده از فریب‌های مرتبط با نرم‌افزار برای فعال کردن زنجیره حمله، منحصر به فرد است.

فیشبین گفت:

«استفاده پیچیده مهاجمان از نرم‌افزار قانونی به‌عنوان مکانیسم ارائه بدافزار، که به‌طور یکپارچه فعالیت‌های مخرب را با برنامه‌های به ظاهر بی‌خطر ترکیب می‌کند، بسیار قابل توجه است. سازگاری این بارگذار چندمرحله‌ای تهدید را بیشتر می‌کند، زیرا طراحی ماژولار آن اجازه می‌دهد تا برای کمپین‌های متعدد طراحی شود.»
 

منبع:

تازه ترین ها
نامیبیا
1405/04/21 - 18:04- آفریقا

نامیبیا اولین آیین‌نامه اجرایی رسانه‌های اجتماعی را تدوین کرد

یونسکو و نامیبیا یک آیین‌نامه اجرایی رسانه‌های اجتماعی برای استانداردهای اخلاقی تدوین کردند.

گسترش
1405/04/21 - 17:38- هوش مصنوعي

گسترش امنیت ویندوز مبتنی بر هوش مصنوعی

مایکروسافت امنیت ویندوز مبتنی بر هوش مصنوعی را گسترش می‌دهد.

همکاری
1405/04/21 - 17:09- هوش مصنوعي

همکاری مراکش و فرانسه در زمینه حاکمیت هوش مصنوعی

مراکش از طریق همکاری با فرانسه در ژنو از حاکمیت هوش مصنوعی انسان‌محور حمایت خواهد کرد.