חוקרי אבטחה הבחינו לאחרונה בעלייה במתקפות הכוללות גרסה חדשה ומתוחכמת של Jupyter, גנבת מידע שמכוונת למשתמשים של דפדפני Chrome, Edge ו-Firefox מאז 2020 לפחות.
התוכנה הזדונית, המכונה גם Yellow Cockatoo, Solarmarker ו-Polazert, יכולה למכונות בדלת אחורית ולקטוף מגוון של מידע אישורים, כולל שם המחשב, הרשאות המנהל של המשתמש, קובצי Cookie, נתוני אינטרנט, מידע על מנהל סיסמאות הדפדפן ונתונים רגישים אחרים מ- מערכות קורבן - כגון כניסות עבור ארנקי קריפטו ואפליקציות גישה מרחוק.
איום סייבר מתמשך של גניבת נתונים
חוקרים משירות Carbon Black של VMware ניהלו שירות זיהוי ותגובה (MDR) לאחרונה צפה בגרסה החדשה של תוכנות זדוניות הממנפות את שינויי הפקודות של PowerShell ומטענים חוקיים למראה, חתומים דיגיטלית, מדביקים מספר גדל בהתמדה של מערכות מאז סוף אוקטובר.
"ההדבקות האחרונות של Jupyter משתמשות במספר אישורים כדי לחתום על תוכנות זדוניות, אשר, בתורו, יכולות לאפשר לתת אמון לקובץ הזדוני, ולספק גישה ראשונית למכונה של הקורבן", אמרה VMware בבלוג האבטחה שלה השבוע. "נראה שהשינויים הללו משפרים את יכולות ההתחמקות [של ג'ופיטר] ומאפשרים לה להישאר בלתי בולט."
מורפיסק ו BlackBerry - שני ספקים אחרים שעקבו בעבר אחרי Jupyter - זיהו את התוכנה הזדונית כמסוגלת לתפקד כדלת אחורית מלאה. הם תיארו את היכולות שלו ככוללות תמיכה בתקשורת פיקוד ובקרה (C2), פועלת כמטפטפת ומטעין עבור תוכנות זדוניות אחרות, חלילת קוד מעטפת כדי להתחמק מזיהוי, וביצוע סקריפטים ופקודות PowerShell.
BlackBerry דיווחה כי היא מתמקדת ב-Jupyter גם בארנקי קריפטו, כגון Ethereum Wallet, MyMonero Wallet ו-Atomic Wallet, בנוסף לגישה ל-OpenVPN, Remote Desktop Protocol ויישומי גישה מרחוק אחרים.
מפעילי התוכנה הזדונית השתמשו במגוון טכניקות כדי להפיץ את התוכנה הזדונית, לרבות הפניות מחדש של מנועי חיפוש לאתרים זדוניים, הורדות ב-drive-by, דיוג והרעלת SEO - או מניפולציה זדונית של תוצאות מנועי החיפוש כדי לספק תוכנות זדוניות.
Jupyter: איך להתמצא בזיהוי תוכנות זדוניות
בהתקפות האחרונות, שחקן האיום שמאחורי Jupyter השתמש באישורים תקפים כדי לחתום דיגיטלית על התוכנה הזדונית כך שהיא תיראה לגיטימית לכלי זיהוי תוכנות זדוניות. לקבצים יש שמות שנועדו לנסות להערים על משתמשים לפתוח אותם, עם כותרות כמו "An-Employers-guide-to-group-health-continuation.exe"וגם"How-To-Edits-On-A-Word-Document-Permanent.exe
חוקרי VMware צפו בתוכנה הזדונית יצירת חיבורי רשת מרובים לשרת ה-C2 שלה כדי לפענח את המטען של גנב המידע ולטעון אותו לזיכרון, כמעט מיד עם הנחיתה על מערכת הקורבן.
"במיקוד לדפדפני Chrome, Edge ו-Firefox, זיהומים של Jupyter משתמשים בהרעלת SEO והפניות מחדש של מנועי חיפוש כדי לעודד הורדות קבצים זדוניות שהם וקטור ההתקפה הראשוני בשרשרת התקיפה", לפי הדוח של VMware. "התוכנה הזדונית הדגימה קצירת אישורים ויכולות תקשורת מוצפנות C2 המשמשות לחילוץ נתונים רגישים."
עלייה מטרידה בגנבי מידע
Jupyter היא בין 10 ההדבקות השכיחות ביותר ש-VMware זיהתה ברשתות לקוחות בשנים האחרונות, על פי הספק. זה עולה בקנה אחד עם מה שאחרים דיווחו על א עלייה חדה ומדאיגה בשימוש בגנבי מידע בעקבות המעבר בקנה מידה גדול לעבודה מרחוק בארגונים רבים לאחר תחילת מגיפת COVID-19.
הקנרית האדומה, למשל, דיווחו שגנבי מידע כמו RedLine, Racoon ו-Vidar הגיעו ל-10 הרשימות המובילות שלה מספר פעמים בשנת 2022. לרוב, התוכנה הזדונית הגיעה כקובצי התקנה מזויפים או מורעלים עבור תוכנות לגיטימיות באמצעות פרסומות זדוניות או באמצעות מניפולציה של SEO. החברה מצאה תוקפים שמשתמשים בתוכנה הזדונית בעיקר כדי לנסות לאסוף אישורים מעובדים מרוחקים שאפשרו גישה מהירה, מתמשכת ומיוחסת לרשתות ומערכות ארגוניות.
"אף תעשייה לא חסינה מפני גניבת תוכנות זדוניות והתפשטות תוכנות זדוניות כאלה היא לעתים קרובות אופורטוניסטית, בדרך כלל באמצעות מניפולציה של פרסום ו-SEO", אמרו חוקרי רד קנרי.
Uptycs דיווחו על א עלייה דומה ומטרידה בהפצת גנבי מידע מוקדם יותר השנה. הנתונים שאחריהם עקבה החברה הראו את מספר התקריות שבהן תוקף פרס גנב מידע יותר מהכפלה ברבעון הראשון של 2023, בהשוואה לתקופה המקבילה אשתקד. ספק האבטחה מצא שחקני איומים שמשתמשים בתוכנה הזדונית כדי לגנוב שמות משתמש וסיסמאות, מידע דפדפן כגון פרופילים ופרטי מילוי אוטומטי, פרטי כרטיס אשראי, מידע על ארנק קריפטו ומידע מערכת. גנבי מידע חדשים יותר כמו Rhadamanthys יכולים גם לגנוב יומנים ספציפיים מיישומי אימות רב-גורמי, לפי Uptycs. יומנים המכילים את הנתונים הגנובים נמכרים לאחר מכן בפורומים פליליים, שם יש ביקוש כבד לכך.
"לחיצה של נתונים גנובים יש א השפעה מסוכנת על ארגונים או יחידים, מכיוון שניתן למכור אותו בקלות ברשת האפלה כנקודת גישה ראשונית עבור גורמי איומים אחרים", הזהירו חוקרי Uptycs.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant
- :יש ל
- :הוא
- :איפה
- 10
- 2020
- 2022
- 2023
- 7
- a
- אודות
- גישה
- גישה
- פי
- משחק
- שחקנים
- תוספת
- מנהל
- פרסום
- לאחר
- להתיר
- מאפשר
- כמעט
- גם
- בין
- an
- ו
- מופיע
- יישומים
- אפליקציות
- ARE
- סביב
- הגיע
- AS
- At
- לתקוף
- המתקפות
- אימות
- דלת אחורית
- BE
- היה
- החל
- מאחור
- שחור
- בלוג
- דפדפן
- דפדפנים
- מבצע
- CAN
- יכולות
- מסוגל
- פַּחמָן
- כרטיס
- תעודות
- שרשרת
- Chrome
- לקוחות
- קוד
- תקשורת
- תקשורת
- חברה
- לעומת
- המחשב
- לגבי
- חיבורי
- עִקבִי
- לִשְׁלוֹט
- עוגיות
- תקופת הקורונה
- מגיפת COVID-19
- תְעוּדָה
- אישורים
- אשראי
- כרטיס אשראי
- פלילי
- סייבר
- מסוכן
- כהה
- אינטרנט אפל
- נתונים
- פענוח
- למסור
- דרישה
- מופגן
- פרס
- מְתוּאָר
- מעוצב
- שולחן העבודה
- זוהה
- איתור
- באופן דיגיטלי
- לְהָפִיץ
- הפצה
- כפילה
- הורדות
- מוקדם יותר
- בקלות
- אדג '
- מופעל
- לעודד
- מוצפן
- מנוע
- להגביר את
- מִפְעָל
- ethereum
- ארנק אתריום
- התחמקות
- מבצע
- פילטרציה
- מְזוּיָף
- שלח
- קבצים
- Firefox
- ראשון
- הבא
- בעד
- פורומים
- מצא
- תכוף
- החל מ-
- מן המניין
- תִפקוּד
- ללקט
- מקבל
- כמובן מאליו
- קציר
- קְצִיר
- יש
- כבד
- HTML
- HTTPS
- מזוהה
- מיד
- פְּגִיעָה
- in
- כולל
- להגדיל
- אנשים
- תעשייה
- זיהומים
- מידע
- מידע
- בתחילה
- למשל
- אל תוך
- מעורב
- IT
- שֶׁלָה
- jpg
- נחיתה
- בקנה מידה גדול
- אחרון
- שנה שעברה
- מְאוּחָר
- הכי פחות
- לגיטימי
- מינוף
- רשימות
- לִטעוֹן
- מטעין
- מכונה
- מכונה
- עשוי
- בעיקר
- עשייה
- תוכנות זדוניות
- איתור תוכנות זדוניות
- הצליח
- מנהל
- מניפולציה
- מניפולציה
- רב
- MDR
- זכרון
- שינויים
- יותר
- רוב
- אימות רב-פקטורי
- מספר
- שם
- שמות
- רשת
- רשתות
- חדש
- לא
- מספר
- אוֹקְטוֹבֶּר
- of
- לעתים קרובות
- on
- פתיחה
- מפעילי
- or
- ארגונים
- אחר
- אחרים
- מגיפה
- סיסמה
- מנהל סיסמא
- סיסמאות
- תקופה
- דיוג
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודה
- PowerShell
- קוֹדֶם
- חסוי
- הרשאות
- פרופילים
- פרוטוקול
- מתן
- רובע
- מָהִיר
- רקטון
- לאחרונה
- לאחרונה
- Red
- מכונה
- להשאר
- מרחוק
- גישה מרחוק
- עבודה מרחוק
- עובדים מרוחקים
- לדווח
- דווח
- חוקרים
- תגובה
- תוצאות
- עולה
- s
- אמר
- אותו
- סקריפטים
- חיפוש
- מנוע חיפוש
- אבטחה
- נראה
- רגיש
- SEO
- שרת
- שרות
- פָּגָז
- משמרת
- הראה
- סִימָן
- חָתוּם
- since
- So
- תוכנה
- נמכרים
- מתוחכם
- במיוחד
- התפשטות
- בהתמדה
- גָנוּב
- כזה
- תמיכה
- מערכת
- מערכות
- מיקוד
- טכניקות
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- אז
- שם.
- אלה
- הֵם
- זֶה
- השבוע
- השנה
- איום
- איום שחקנים
- דרך
- פִּי
- כותרות
- ל
- כלים
- חלק עליון
- 10 למעלה
- מטריד
- סומך
- לנסות
- תור
- שתיים
- על
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- משתמשים
- באמצעות
- בְּדֶרֶך כְּלַל
- לנצל
- תקף
- גִרְסָה אַחֶרֶת
- מגוון
- מוכר
- ספקים
- באמצעות
- קרבן
- VMware
- ארנק
- אינטרנט
- אתרים
- שבוע
- מה
- אשר
- עם
- תיק עבודות
- עובדים
- שנה
- שנים
- זפירנט