Skip to content

ONHEXGROUP

اخبار دنیای امنیت سایبری

  • اخبار
    • آسیب پذیری امنیتی
    • آنالیز بدافزار
    • کنفرانس ،دوره ، وبینار ، لایو ، CTF
    • بازیگران تهدید
    • توسعه اکسپلویت
    • افشای اطلاعات
    • باگ بانتی
    • تیم آبی
    • تیم قرمز
    • امنیت وب
  • دوره های آموزشی
    • دوره رایگان مهندسی معکوس نرم افزار
  • لیست های ویژه
    • موتورهای جستجو برای امنیت سایبری
    • کاتالوگ KEV آژانس CISA
    • آسیب پذیری های وردپرس
      • آسیب پذیری پلاگین ها
      • آسیب پذیری های هسته
      • آسیب پذیری تم ها
    • محصولات خارج از پشتیبانی مایکروسافت
      • محصولات مایکروسافتی که در سال 2022 پشتیبانی نمیشن
      • محصولات مایکروسافتی که در سال 2023 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2024 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2025 پشتیبانی نمیشن
    • معرفی فیلم ها و سریالهای مرتبط با هک و امنیت
  • آموزش های ویدیویی
  • انتشارات
    • مجله
    • مقالات
    • پادکست
  • پروژه ها
    • ماشین آسیب پذیر
      • وردپرس آسیب پذیر
  • حمایت مالی ( Donate)
  • تماس با ما
 
  • Home
  • اخبار
  • آنالیز بدافزار
  • اخبار
  • بازیگران تهدید

نگاهی به باج افزارها : آوریل 2023

On اردیبهشت 23, 1402خرداد 27, 1402
seyyid
Share
زمان مطالعه: 5 دقیقه

باج افزارها در سالهای اخیر، یکی از محبوب ترین بدافزارها ، در بین مجرمین سایبری هستند. محققای Malwarebytes با رصد سایت های نشت باج افزارها، گزارش های ماهانه از عملکرد اونا منتشر میکنن.

نکته ای که در این خصوص این گزارش هستش اینه که ، حملات زیادی ممکنه از جنس باج افزاری وجود داشته باشه، اما در این گزارش به مواردی که افشاء شده پرداخته شده. همچنین منظور از حملات شناخته شده، حملاتی هستش که باج بهشون داده نشده.

در ماه آوریل حملات باج افزاری شناخته شده، موارد زیر بودن :

 

برترین باج افزارهای آوریل

 

نمودار زیر نشون دهنده ، کشورهایی هستش که بیشترین قربانی باج افزارها در ماه آوریل بودن  :

 

کشورهای قربانی باج افزار

نمودار زیر هم نشون دهنده ، بیشترین صنایع قربانی حملات باج افزاری هستش :

 

صنایع درگیر باج افزار

 

با توجه به نمودارهای بالا، آمریکا و صنعت خدمات آسیب پذیرترین کشورها و صنایع در این حوزه هستن. این مسئله در کل سال تکرار شده. صنعت مراقبت های بهداشتی هم با 37 مورد، یه ماه پر حمله رو از ابتدای سال تجربه کرده.

باج افزار لاک بیت در آوریل، همچنان در صدر حملات باج افزاری بود و نسخه باج افزار برای پلتفرم مک خودش رو هم توسعه داده. نسخه macOS arm64 این باج افزار برای اولین بار در نوامبر و دسامبر 2022 ، آبان و آذر 1401، در VirusTotal مشاهده شده اما در آوریل که توسط MalwareHunterTeam گزارش شد، مورد توجه قرار گرفت.

محققا با بررسی نمونه های نسخه مک این باج افزار، معتقدند که این نسخه به دلیل عدم امضاء، در نظر نگرفتن محدودیتهای TCC/SIP و باگهای سرریزبافر زیاد ،که باعث توقف اجرای این باج افزار میشه، هنوز تاثیرگذار نیستش. این نسخه ممکنه در آینده بهبود داده بشه و یا ممکنه به دلیل عدم نتیجه بخش بودن آزمایشات، متوقف بشه. با توجه به اینکه لاک بیت یکی از پیشروهای صنعت باج افزار هست، علاقه اون به مک، موجب حرکت سایر باج افزارها به سمت این پلتفرم هم میشه.

 

lockbit mac

 

باج افزار Cl0p در مارس در صدر حملات باج افزاری بود، اما این ماه فعالیت زیادی نداشته. این گروه با استفاده از یه زیرودی در GoAnywhere MFT شهرت یافت اما در آوریل تنها 4 حمله داشته. اما مایکروسافت در خصوص این باج افزار اعلام کرده بود که ، این تیم در حال سرقت اطلاعات شرکتها از طریق آسیب پذیری PaperCut هستن.

PaperCut یه برنامه مدیریت چاپ محبوب هستش که در ماه آوریل توسط Cl0p و لاک بیت مورد اکسپلویت قرار گرفته بود. این دو گروه با استفاده از دو آسیب پذیری حیاتی ، CVE-2023-27350 که امکان اجرای کد و CVE-2023-27351 که امکان افشای اطلاعات رو میداد ، اهداف رو آلوده میکردن.

گروه Cl0p ، بعد از دسترسی اولیه ، یه بدافزار بنام TrueBot و یه Cobalt Strike beacon در اهداف مستقر میکرد تا بتونه حرکات جانبی و داده ها رو استخراج کنه.

Cl0p در استفاده از آسیب پذیری ها در پلتفرمهایی مانند Accellion FTA و GoAnywhere MFT معروفه و الانم داره از PaperCut سوء استفاده میکنه، بنابراین اگه از نسخه آسیب پذیر این برنامه استفاده میکنید، در اسرع وقت به نسخه های جدید بروزرسانی کنید.

Vice Society که در زمینه هدف قرار دادن بخش آموزش معروفه، این ماه از یه اسکریپت پاورشلی که برای سرقت خودکار داده ها توسعه داده شده، در حملاتش استفاده میکنه. این اسکریپت که توسط محققین Palo Alto Networks کشف و گزارش شده، با استفاده از تکنیک living off the land (LOTL) برای جلوگیری از شناسایی استفاده میشه.

گروه باج افزاری Play دو ابزار دات نتی بنام Grixba و VSS Copying Tool رو برای موثرتر کردن حملاتشون ، توسعه دادن. Grixba کارش اینه که محصولات امنیتی مانند آنتی ویروس، EDR و ابزارهای پشتیبان گیری در شبکه هدف مشخص میکنه، تا گروه بتونه برای حملات بعدی ، بهتر برنامه ریزی بکنه. VSS Copying Tool کارش اینه که system snapshots و بکآپ رو به سادگی از Volume Shadow Copy Service (VSS) کپی و سرقت میکنه. هر دو ابزار هم با Costura .NET development tool توسعه داده شدن.

 

 

بازیگران جدید:

Akira یه باج افزار جدید هستش که از مارس 2023 حملات خودش آغاز کرده و در آوریل داده های 9 سازمان در بخش های مختلف مانند آموزش، امور مالی و تولید رو منتشر کرده. این باج افزار بعد از اجرا ، داده های Shadow Copy رو حذف میکنه و بعدش یسری فایل با پسوند مدنظرش رو رمز کرده و پسوند Akira رو بهش اضافه میکنه.

این گروه هم مثله سایر گروههای باج افزاری، قبل رمزنگاری فایلها، اونا رو برای اخاذی بیشتر به سرقت می بره. داده هایی که در سایت نشتشون ارائه دادن بین 5.9 گیگابایت تا 259 گیگابایت بوده.

باج در خواستیشون هم بین 200 هزار دلار تا میلیونها هستش و یه تخفیفی هم به شرکتهایی که میخوان فقط اطلاعاتشون به بیرون درز نکنه (رمزگشارو نمیخوان) میدن.

 

Akira

 

CrossLock در زبان گولنگ توسعه داده شده و این باعث سخت تر شدن فرایند مهندسی معکوس و همچنین قابلیت اجرا در پلتفرم های مختلف میشه. برای سختتر شدن فرایند آنالیز باج افزارشون هم، از یسری تکنیک مثله بررسی محیط WINE ( بررسی میکنه که آیا باج افزار در یه محیط سندباکس یا آنالیز اجرا میشه یا نه) و اختلال در عملکرد Event Tracing for Windows (ETW) ( برای ایجاد اختلال در داده هایی که، ابزارهای امنیتی و تحلیلگران برای شناسایی رفتارهای مشکوک به این داده ها متکی هستن.) استفاده میکنن.

گروه باج افزاری CrossLock در ماه آوریل، اعلام کرده بود که Valid Certificadora ، که یه شرکت برزیلی مرتبط با IT و ITES هستش رو هدف قرار داده.

 

CrossLock

 

Trigona در اکتبر 2022 با هدف قرار دادن شرکتهای مختلفی در سراسر جهان، شروع به فعالیت کرد. اپراتورهای این باج افزار، از ابزارهایی مانند NetScan و Splashtop و Mimikatz ، برای دسترسی ، ریکان و جمع آوری اطلاعات حساس استفاده میکنن. همچنین از batch scriptها برای ایجاد حسابهای کاربری جدید و غیرفعال کردن ویژگی های امنیتی استفاده میکنن.

این گروه در ماه آوریل، 6 سازمان رو هدف قرار داده بود.

 

Trigona

 

 

Dunghill Leak یه باج افزار جدید هستش که از روی باج افزار Dark Angels توسعه داده شده. خود Dark Angels هم از Babuk ، توسعه داده شده بود. در آوریل این گروه، دو شرکت رو هدف قرار داده بود که یکیش یه شرکت بازی سازی آمریکایی هستش. این گروه ادعا کرده که به 500 گیگ از اطلاعات این شرکت از جمله فایل بازیها و گزارشهای مالیاتی دسترسی داره. محققا معتقدند که Dunghill Leak همون Dark Angels هستش، فقط اسمش عوض کرده.

 

Dunghill Leak

 

Money Message یه باج افزار جدید هستش که پلتفرمهای ویندوزی و لینوکسی رو هدف قرار میده. این باج افزار، در ماه آوریل ، حداقل ده قربانی که عمدتا در آمریکا بودن رو هدف قرار داده بود. یکی از قربانیان بزرگ این گروه، شرکت تایوانی MSI بود. Money Message از تکنیکهای رمزنگاری پیشرفته استفاده میکنه و یه متن باج با نام money_message.log در سیستم قربانی میزاره.

 

Money Message

 

 

منبع

 

اشتراک در شبکه های اجتماعی :

Facebook
Twitter
Pinterest
LinkedIn
In آنالیز بدافزار اخبار بازیگران تهدیدIn Akira , Babuk , Cl0p , GoAnywhere MFT , Grixba , living off the land , LockBit , Malwarebytes , Money Message , monthlyransomware , Play , Trigona , Vice Society , VirusTotal , Volume Shadow Copy Service , VSS , VSS Copying Tool , باج افزار , پاورشل , زیرودی , گولنگ , لاک بیت

راهبری نوشته

اسلایدهای کنفرانس Black Hat Asia 2023
آسیب پذیری XSS در پلاگین Advanced Custom Fields

دیدگاهتان را بنویسید لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دسته‌ها

  • Osint
  • آسیب پذیری امنیتی
  • آموزش های ویدیویی
  • آنالیز بدافزار
  • اخبار
  • افشای اطلاعات
  • امنیت وب
  • انتشارات
  • اینترنت اشیاء
  • بازیگران تهدید
  • باگ بانتی
  • پادکست
  • پروژه ها
  • توسعه اکسپلویت
  • تیم آبی
  • تیم قرمز
  • دوره های آموزشی
  • فازینگ
  • کنفرانس ،دوره ، وبینار ، لایو ، CTF
  • لیست های ویژه
  • ماشین آسیب پذیر
  • مجله
  • مقالات
  • مهندسی معکوس نرم افزار

پست های مرتبط

  • اخبار
  • تیم آبی
  • تیم قرمز
  • کنفرانس ،دوره ، وبینار ، لایو ، CTF
seyyid
On اردیبهشت 4, 1402اردیبهشت 5, 1402

حضور 38 کشور در برنامه دفاع سایبری Locked Shields

  • آنالیز بدافزار
  • اخبار
  • بازیگران تهدید
  • تیم آبی
  • مقالات
seyyid
On دی 2, 1401دی 19, 1401

مصاحبه با هکر اوکراینی ، Herm1t ، در خصوص حملات سایبری هواداران کرملین

  • آسیب پذیری امنیتی
  • اخبار
  • مقالات
seyyid
On شهریور 25, 1402

بررسی هفتگی آسیب پذیری های منتشر شده در ZDI – (18 تا 24 شهریور)

  • Osint
  • اخبار
  • افشای اطلاعات
  • بازیگران تهدید
  • مقالات
seyyid
On شهریور 4, 1403

افشای هویت USDoD، هکر معروف برزیلی

درباره ما

بعد از چندین سال فعالیت تو حوزه امنیت سایبری و تولید محتوا در شبکه های اجتماعی ، بالاخره تصمیم گرفتیم تا یه سایت راه اندازی کنیم و مطالب رو ساده تر ، در یک محیط منسجم و طبقه بندی شده به دست مخاطب برسونیم. امیدوارم که قدمی در راستای رشد امنیت سایبری کشورمون برداشته باشیم.

تگ ها

0day APT command injection Deserialization of Untrusted Data Directory Traversal FBI Fortinet Heap buffer overflow integer overflow kali LockBit Memory Corruption nuclei Off By One Security out-of-bounds write Out of bounds read Patch Tuesday PWN2OWN Stack Buffer overflow type confusion use after free vulnerable wordpress XSS ZDI vulnerability آموزش اکسپلویت نویسی ارز دیجیتال اندروید اپل اکسپلویت باج افزار تلگرام زیرودی سیسکو فارنزیک فورتی نت فیشینگ لاک بیت مایکروسافت هوش مصنوعی وردپرس وردپرس آسیب پذیر ویندوز پلاگین کروم گوگل

شبکه های اجتماعی

    • Instagram
    • Telegram
    • Twitter
    • GitHub
    • YouTube
    • LinkedIn
      کپی مطالب با ذکر منبع بلامانع است | 1401-1404