محققان امنیتی افزایش اخیر حملاتی را مشاهده کردهاند که شامل یک نوع جدید پیچیده از Jupyter است، یک سارق اطلاعات که حداقل از سال 2020 کاربران مرورگرهای کروم، اج و فایرفاکس را هدف قرار داده است.
این بدافزار که با نامهای Yellow Cockatoo، Solarmarker و Polazert نیز شناخته میشود، میتواند ماشینهای درب پشتی و اطلاعات اعتباری مختلفی از جمله نام رایانه، امتیازات مدیریت کاربر، کوکیها، دادههای وب، اطلاعات مدیر رمز عبور مرورگر و سایر دادههای حساس را جمعآوری کند. سیستم های قربانی – مانند ورود به سیستم کیف پول های دیجیتال و برنامه های دسترسی از راه دور.
تهدید سایبری دائمی برای سرقت اطلاعات
اخیراً محققان سرویس تشخیص و پاسخ مدیریت شده (MDR) Carbon Black VMware نسخه جدید را مشاهده کرد بدافزاری که از تغییرات فرمان PowerShell و محمولههای دارای امضای دیجیتالی با ظاهر قانونی استفاده میکند و تعداد سیستمها را از اواخر اکتبر بهطور پیوسته در حال افزایش است.
VMware در وبلاگ امنیتی خود در این هفته گفت: "آلودگی های اخیر Jupyter از چندین گواهی برای امضای بدافزار خود استفاده می کنند که به نوبه خود می تواند به فایل مخرب اعتماد شود و دسترسی اولیه به دستگاه قربانی را فراهم کند." «به نظر میرسد این تغییرات قابلیتهای فرار [ژوپیتر] را افزایش میدهند و به آن اجازه میدهند که نامحسوس باقی بماند.»
Morphisec و شاه توت - دو فروشنده دیگر که قبلا Jupyter را ردیابی کرده اند - این بدافزار را به عنوان یک درب پشتی کامل شناسایی کرده اند. آنها قابلیت های آن را شامل پشتیبانی از ارتباطات فرمان و کنترل (C2)، عمل به عنوان قطره چکان و بارگیری برای سایر بدافزارها، خالی کردن کد پوسته برای فرار از شناسایی، و اجرای اسکریپت ها و دستورات PowerShell توصیف کرده اند.
بلک بری گزارش داده است که Jupyter علاوه بر دسترسی به OpenVPN، پروتکل دسکتاپ از راه دور، و دیگر برنامه های کاربردی دسترسی از راه دور، کیف پول های رمزنگاری شده مانند Ethereum Wallet، MyMonero Wallet و Atomic Wallet را نیز مورد هدف قرار داده است.
اپراتورهای بدافزار از تکنیکهای مختلفی برای توزیع بدافزار استفاده کردهاند، از جمله هدایت موتورهای جستجو به وبسایتهای مخرب، دانلودهای درایو، فیشینگ، و مسمومیت سئو – یا دستکاری مخرب نتایج موتورهای جستجو برای ارائه بدافزار.
Jupyter: Getting Around Detection Malware
در جدیدترین حملات، عامل تهدید کننده ژوپیتر از گواهینامه های معتبر برای امضای دیجیتالی بدافزار استفاده می کند تا برای ابزارهای تشخیص بدافزار قانونی به نظر برسد. این فایل ها دارای نام هایی هستند که برای فریب دادن کاربران به باز کردن آنها طراحی شده اند، با عناوینی مانند "راهنمای-کارفرمایان-گروه-health-continuation.exe"و"How-To-Make-Make-Edits-On-A-Word-Document-Permanent.exe".
محققان VMware مشاهده کردند که این بدافزار چندین اتصال شبکه به سرور C2 خود برقرار می کند تا محموله اطلاعات سرقت را رمزگشایی کرده و آن را در حافظه بارگذاری کند، تقریباً بلافاصله پس از فرود بر روی یک سیستم قربانی.
بر اساس گزارش VMware، "با هدف قرار دادن مرورگرهای کروم، اج و فایرفاکس، عفونت های Jupyter از مسمومیت SEO و تغییر مسیر موتورهای جستجو برای تشویق دانلود فایل های مخرب که بردار حمله اولیه در زنجیره حمله هستند، استفاده می کنند." این بدافزار قابلیتهای جمعآوری اعتبار و قابلیتهای ارتباطی رمزگذاریشده C2 را نشان داده است که برای استخراج دادههای حساس استفاده میشود.»
افزایش نگران کننده در Infostealers
به گفته فروشنده، Jupyter در میان 10 عفونت شایعی است که VMware در سال های اخیر در شبکه های مشتری شناسایی کرده است. که با آنچه دیگران در مورد الف گزارش کرده اند سازگار است افزایش شدید و نگران کننده در استفاده از دزدهای اطلاعاتی پس از تغییر مقیاس بزرگ به کار از راه دور در بسیاری از سازمان ها پس از شروع همه گیری COVID-19.
قناری قرمزبه عنوان مثال، گزارش داد که دزدهای اطلاعاتی مانند RedLine، Racoon و Vidar چندین بار در سال 10 در لیست 2022 برتر خود قرار گرفتند. بیشتر اوقات، این بدافزار به عنوان فایل های نصب جعلی یا مسموم شده برای نرم افزارهای قانونی از طریق تبلیغات مخرب یا از طریق دستکاری SEO وارد می شد. این شرکت متوجه شد که مهاجمانی که از بدافزار استفاده میکنند، عمدتاً برای جمعآوری اعتبار از کارکنان راه دور که دسترسی سریع، مداوم و ممتاز به شبکهها و سیستمهای سازمانی را امکانپذیر میسازد، استفاده میکنند.
محققان Red Canary میگویند: «هیچ صنعتی از بدافزارهای دزد مصون نیست و گسترش چنین بدافزاری اغلب فرصتطلبانه است، معمولاً از طریق تبلیغات و دستکاری سئو.
Uptycs گزارش داد افزایش مشابه و نگران کننده در توزیع infostealer در اوایل سال جاری. دادههایی که این شرکت ردیابی کرده است نشان میدهد که تعداد حوادثی که در آن یک مهاجم یک دزد اطلاعاتی را مستقر کرده است در سه ماهه اول سال 2023 در مقایسه با مدت مشابه سال گذشته بیش از دو برابر شده است. فروشنده امنیتی عوامل تهدیدی را پیدا کرد که از این بدافزار برای سرقت نامهای کاربری و رمز عبور، اطلاعات مرورگر مانند نمایهها و اطلاعات تکمیل خودکار، اطلاعات کارت اعتباری، اطلاعات کیف پول دیجیتال و اطلاعات سیستم استفاده میکردند. به گفته Uptycs، دزدهای اطلاعاتی جدیدتر مانند Rhadamanthys نیز می توانند به طور خاص لاگ ها را از برنامه های احراز هویت چند عاملی بدزدند. لاگ های حاوی داده های دزدیده شده سپس در انجمن های جنایی فروخته می شوند، جایی که تقاضای زیادی برای آن وجود دارد.
«استخراج داده های دزدیده شده دارای یک تاثیر خطرناک بر سازمان ها محققان Uptycs هشدار دادند که می تواند به راحتی در وب تاریک به عنوان یک نقطه دسترسی اولیه برای سایر عوامل تهدید فروخته شود.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant
- : دارد
- :است
- :جایی که
- 10
- 2020
- 2022
- 2023
- 7
- a
- درباره ما
- دسترسی
- دسترسی
- مطابق
- بازیگری
- بازیگران
- اضافه
- مدیر سایت
- تبلیغات
- پس از
- اجازه دادن
- اجازه دادن
- تقریبا
- همچنین
- در میان
- an
- و
- ظاهر می شود
- برنامه های کاربردی
- برنامه های
- هستند
- دور و بر
- وارد
- AS
- At
- حمله
- حمله
- تصدیق
- درپشتی
- BE
- بوده
- آغاز شد
- پشت سر
- سیاه پوست
- بلاگ
- مرورگر
- مرورگرهای
- کمپین بین المللی حقوق بشر
- CAN
- قابلیت های
- توانا
- کربن
- کارت
- گواهینامه ها
- زنجیر
- کروم
- مشتری
- رمز
- ارتباط
- ارتباطات
- شرکت
- مقایسه
- کامپیوتر
- در باره
- اتصالات
- استوار
- کنترل
- بیسکویت ها
- Covid-19
- بیماری همه گیر COVID-19
- اعتبار
- مجوزها و اعتبارات
- اعتبار
- کارت اعتباری
- کیفری
- سایبر
- خطرناک
- تاریک
- وب سایت تیره
- داده ها
- رمزگشایی کنید
- ارائه
- تقاضا
- نشان
- مستقر
- شرح داده شده
- طراحی
- دسکتاپ
- شناسایی شده
- کشف
- دیجیتالی
- توزیع کردن
- توزیع
- دو برابر
- دانلود
- پیش از آن
- به آسانی
- لبه
- فعال
- تشویق
- رمزگذاری
- موتور
- بالا بردن
- سرمایه گذاری
- ethereum
- کیف پول اتریوم
- فرار از زندان
- اجرا کردن
- استخراج
- جعلی
- پرونده
- فایل ها
- فایرفاکس
- نام خانوادگی
- پیروی
- برای
- انجمن
- یافت
- مکرر
- از جانب
- تمام عیار
- عملکرد
- جمع آوری
- گرفتن
- اعطا شده
- محصول
- جمع آوری
- آیا
- سنگین
- HTML
- HTTPS
- شناسایی
- بلافاصله
- تأثیر
- in
- از جمله
- افزایش
- افراد
- صنعت
- عفونت
- اطلاعات
- اطلاعات
- اول
- نمونه
- به
- شامل
- IT
- ITS
- JPG
- فرود
- در مقیاس بزرگ
- نام
- پارسال
- دیر
- کمترین
- قانونی
- بهره برداری
- لیست
- بار
- بارکننده
- دستگاه
- ماشین آلات
- ساخته
- عمدتا
- ساخت
- نرم افزارهای مخرب
- تشخیص بدافزار
- اداره می شود
- مدیر
- دستکاری کردن
- دست کاری
- بسیاری
- MDR
- حافظه
- تغییرات
- بیش
- اکثر
- احراز هویت چند عاملی
- چندگانه
- نام
- نام
- شبکه
- شبکه
- جدید
- نه
- عدد
- اکتبر
- of
- غالبا
- on
- افتتاح
- اپراتور
- or
- سازمان های
- دیگر
- دیگران
- بیماری همه گیر
- کلمه عبور
- مدیر رمز عبور
- کلمه عبور
- دوره
- فیشینگ
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- PowerShell را
- قبلا
- ممتاز
- امتیازات
- پروفایل
- پروتکل
- ارائه
- یک چهارم
- سریع
- راکون
- اخیر
- تازه
- قرمز
- اشاره
- ماندن
- دور
- دسترسی از راه دور
- کار از راه دور
- کارگران از راه دور
- گزارش
- گزارش
- محققان
- پاسخ
- نتایج
- طلوع
- s
- سعید
- همان
- اسکریپت
- جستجو
- موتور جستجو
- تیم امنیت لاتاری
- به نظر می رسد
- حساس
- جستجوگرها
- سرور
- سرویس
- صدف
- تغییر
- نشان داد
- امضاء
- امضاء شده
- پس از
- So
- نرم افزار
- فروخته شده
- مصنوعی
- به طور خاص
- گسترش
- به طور پیوسته
- به سرقت رفته
- چنین
- پشتیبانی
- سیستم
- سیستم های
- هدف گذاری
- تکنیک
- نسبت به
- که
- La
- شان
- آنها
- سپس
- آنجا.
- اینها
- آنها
- این
- این هفته
- در این سال
- تهدید
- بازیگران تهدید
- از طریق
- بار
- عناوین
- به
- ابزار
- بالا
- بالا 10
- مزاحم
- اعتماد
- امتحان
- دور زدن
- دو
- بر
- استفاده کنید
- استفاده
- کاربر
- کاربران
- با استفاده از
- معمولا
- استفاده کنید
- معتبر
- نوع دیگر
- تنوع
- فروشنده
- فروشندگان
- از طريق
- قربانی
- آموزش VMware
- کیف پول
- وب
- وب سایت
- هفته
- چی
- که
- با
- مهاجرت کاری
- کارگران
- سال
- سال
- زفیرنت