محققان ۳ نوع بدافزار جدید را که توسط هکر های SolarWind استفاده می شد، را پیدا کردند

FireEye و مایکروسافت روز پنجشنبه اعلام کردند که سه نوع بدافزار دیگر در رابطه با حملات زنجیره ای SolarWinds از جمله “sophisticated second-stage backdoor” کشف کردند زیرا ادامه تحقیقات در مورد این جاسوسی گسترده سرنخ های جدیدی درباره تاکتیک های هکر ها ارائه می دهد.

GoldMax (با نام مستعار SUNSHUTTLE ، GoldFinder و Sibot)، مجموعه جدیدی از بدافزارها است که به لیست فزاینده ای از ابزارهای مخرب همانند Sunspot ، Sunburst (یا Solorigate) ، Teardrop و Raindrop اضافه شده که به طور پنهانی توسط شبکه های روسی هدایت می شود.

مایکروسافت گفت: “این ابزارها بدافزارهای جدیدی هستند که مختص این بازیگر هستند.” “آنها برای شبکه های خاص ساخته شده اند و ارزیابی می شوند که پس از دسترسی بازیگر از طریق اعتبارنامه های به خطر افتاده یا باینری SolarWinds و پس از حرکت جانبی با Teardrop و سایر اقدامات صفحه کلید معرفی شوند.

SUNSHUTTLE که بین اوت تا سپتامبر سال ۲۰۲۰ مشاهده شده است ، یک بدافزار مبتنی بر Golang است که به عنوان یک درب پشتی فرمان و کنترلر عمل می کند ، که با ایجاد یک اتصال ایمن با سرور کنترل شده توسط هکر ، وظیفه دریافت دستورات بارگیری و اجرای پرونده ها ، بارگذاری پرونده ها از سیستم به سرور ، و دستورات سیستم عامل را بر روی ماشین در معرض خطر را بر عهده دارد.

یکی از برجسته ترین ویژگی های GoldMax این است که می توان ترافیک مخرب شبکه مربوط decoy HTTP GET requests خود را با ترافیکی به ظاهر درست مخفی کرد که این حملات معمولا  با انتخاب تصادفی از لیست URL وب سایتهای محبوب (مانند www.bing.com ، www.yahoo.com ، www .facebook.com ، www.twitter.com و www.google.com) است.

FireEye با جزئیات توضیح می دهد: “درب پشت جدید SUNSHUTTLE یک درب پشتی دو مرحله ای پیچیده است که تکنیک های ساده اما ظریف فرار از تشخیص ترافیک را از طریق قابلیت های” ترکیبی ” برای ارتباطات C2 نشان می دهد. “SUNSHUTTLE به عنوان یک درب پشتی مرحله دوم در چنین مصالحه ای برای انجام عملیات شناسایی شبکه در کنار سایر ابزارهای مرتبط با Sunburst عمل خواهد کرد.”
حتی با قرار گرفتن قطعات مختلف پازل حمله SolarWinds ، این توسعه بار دیگر دامنه و پیچیدگی را در طیف وسیعی از روش های استفاده شده برای نفوذ ، گسترش و ادامه در محیط قربانی تأکید می کند.
مایکروسافت گفت: “این قابلیت ها و ابزارهای NOBELIUM با الگوهای حمله شناخته شده قبلی متفاوت است و مهارت هکر را نشان می دهد.” ” تمامی مراحل حمله نشان دهنده دانش عمیقی از ابزارهای نرم افزاری ، استقرارها ، نرم افزارهای امنیتی و سیستم های رایج در شبکه ها و تکنیک هایی را که اغلب توسط تیم های واکنش حادثه استفاده می شود ، هکر است.”

  • Active Directory Pentesting Full Course – Red Team Hacking

Active Directory Pentesting Full Course – Red Team Hacking

Active Directory Pentesting Full Course – Red Team Hacking   اکثر شبکه های امروزی از سرویس اکتیو دایرکتوری برای مدیریت اکانتینگشبکه استفاده میکنند . در واقع سرویس AD برای مدیریت لاگین و دسترسی [...]