حامد کیانمهر
11th September 2013, 23:55
متخصصین کسپرسکی یک عامل حمله جدید که توسط "NetTraveler" استفاده میشود را یافته اند.
دیتاسکوریتی بریچ پیشتر از ان تحت نامهای "Travnet", "Netfile" و "Red Star APT " خبر داده بود. ترند میکرو نیز در ماه مه از نوع دیگری از ان با نام "Safe" خبر داده بود.
این ملویر تاکنون چند صد هدف را در پیش از چهل کشور الوده کرده است. قربانیان NetTraveler که تا کنون شناسائی شده اند, فعالان تبت/ایغور, گروه های نفتی, مراکز و انستیتوهای تحقیقات علمی, دانشگاه ها, شرکتهای خصوصی, حکومتها یا سازمانهای دولتی, سفارتخانه ها و شرکتهای همکار ارتش ها میباشند.
بعد از اولین افشای کشف ان در ژوئن 2013, سازندگان ان تمام سیستم فرمان و کنترل را متوقف ساخته و انرا به سرورهای جدیدی در چین, هنگ کنگ و تایوان منتقل کرده اند. سپس بدون دردسر به فعالیت خود ادامه داده اند.
در روزهای اخیر حمله فیشینگی هدفمند در مورد فعالان ایغور صورت گرفته است. بهره برداری از جاوا که اخرین پیچ امنیتی ان در ژوئن 2013 ارائه شده بود, برای انتشار نوع جدید ان که "APT Red Star" است استفاده شده و درصد موفقیت بسیار بالا است.
"NetTraveler" از روشهای جدیدی بخصوص watehing hole, drive-by downloads و دامینهای الوده برای بدام انداختن قربانیان خود استفاده میکند. تعدادی از حملات از دامین wetstock[z]org که به دلیل استفاده برای حملات قبلی شناسائی شده بود صورت گرفته اند. به نظر میرسد که این تغییر جهت دادن کاربران از سایتهائی که با اجتماع ایغور مرتبط هستند صورت گرفته اند که در واقع خود الوده شده بوده اند. بهره برداریهای جدید دیگر میتوانند وسیعا انجام شوند. توصیه میشود که برای محافظت خود و اینگونه حمله راهکارهای زیر را انجام دهید :
- جاوا را بروز کرده و از اخرین نسخه ان استفاده کنید و یا اگر از ان استفاده نمیکنید بکل انرا حذف نمائید.
- ویندوز و ا*** را بروز کنید.
- تمام برنامه های دیگر نصب شده بخصوص ادوبی ریدر را بروز کنید.
- از مرورگری ایمن چون کروم که سیکلهای بروز رسانی و پیچهای امنیتی ان سریعتر از اینترنت اکسپلورر توسعه داده شده و ارائه میشوند استفاده نمائید.
- مراقب لینکهائی که روی انها کلیک میکنید و فایلهای پیوست ایمیلها که از جانب افرادی ناشناس ارسال شده اند باشید.
Costin Raiu, رئیس گروه تحقیقات عمومی و انالیز شرکت کسپرسکی میگوید که به نظر میرسد که تا کنون هیچ اسیب پذیری از نوع زرودی توسط NetTraveler بهره برداری نشده است. پیچ ها برای اینچنین حملاتی ناتوانند اما فناوریهائی چون Automatic Exploit Prevention و DefaultDeny حفاظتی موثر دارند.
قابل توجه انانی که محصولات امنیتی کسپرسکی استفاده میکنند :
Automatic Exploit Prevention در محصولات کسپرسکی بطور پیشفرض فعال است با ابنهمه برای انهائیکه احیانا این تنظیمات پیشفرض را تغییر داده اند در زیر چگونگی فعال سازی ان بطور تصویری نمایش داده شده است.
دیتاسکوریتی بریچ پیشتر از ان تحت نامهای "Travnet", "Netfile" و "Red Star APT " خبر داده بود. ترند میکرو نیز در ماه مه از نوع دیگری از ان با نام "Safe" خبر داده بود.
این ملویر تاکنون چند صد هدف را در پیش از چهل کشور الوده کرده است. قربانیان NetTraveler که تا کنون شناسائی شده اند, فعالان تبت/ایغور, گروه های نفتی, مراکز و انستیتوهای تحقیقات علمی, دانشگاه ها, شرکتهای خصوصی, حکومتها یا سازمانهای دولتی, سفارتخانه ها و شرکتهای همکار ارتش ها میباشند.
بعد از اولین افشای کشف ان در ژوئن 2013, سازندگان ان تمام سیستم فرمان و کنترل را متوقف ساخته و انرا به سرورهای جدیدی در چین, هنگ کنگ و تایوان منتقل کرده اند. سپس بدون دردسر به فعالیت خود ادامه داده اند.
در روزهای اخیر حمله فیشینگی هدفمند در مورد فعالان ایغور صورت گرفته است. بهره برداری از جاوا که اخرین پیچ امنیتی ان در ژوئن 2013 ارائه شده بود, برای انتشار نوع جدید ان که "APT Red Star" است استفاده شده و درصد موفقیت بسیار بالا است.
"NetTraveler" از روشهای جدیدی بخصوص watehing hole, drive-by downloads و دامینهای الوده برای بدام انداختن قربانیان خود استفاده میکند. تعدادی از حملات از دامین wetstock[z]org که به دلیل استفاده برای حملات قبلی شناسائی شده بود صورت گرفته اند. به نظر میرسد که این تغییر جهت دادن کاربران از سایتهائی که با اجتماع ایغور مرتبط هستند صورت گرفته اند که در واقع خود الوده شده بوده اند. بهره برداریهای جدید دیگر میتوانند وسیعا انجام شوند. توصیه میشود که برای محافظت خود و اینگونه حمله راهکارهای زیر را انجام دهید :
- جاوا را بروز کرده و از اخرین نسخه ان استفاده کنید و یا اگر از ان استفاده نمیکنید بکل انرا حذف نمائید.
- ویندوز و ا*** را بروز کنید.
- تمام برنامه های دیگر نصب شده بخصوص ادوبی ریدر را بروز کنید.
- از مرورگری ایمن چون کروم که سیکلهای بروز رسانی و پیچهای امنیتی ان سریعتر از اینترنت اکسپلورر توسعه داده شده و ارائه میشوند استفاده نمائید.
- مراقب لینکهائی که روی انها کلیک میکنید و فایلهای پیوست ایمیلها که از جانب افرادی ناشناس ارسال شده اند باشید.
Costin Raiu, رئیس گروه تحقیقات عمومی و انالیز شرکت کسپرسکی میگوید که به نظر میرسد که تا کنون هیچ اسیب پذیری از نوع زرودی توسط NetTraveler بهره برداری نشده است. پیچ ها برای اینچنین حملاتی ناتوانند اما فناوریهائی چون Automatic Exploit Prevention و DefaultDeny حفاظتی موثر دارند.
قابل توجه انانی که محصولات امنیتی کسپرسکی استفاده میکنند :
Automatic Exploit Prevention در محصولات کسپرسکی بطور پیشفرض فعال است با ابنهمه برای انهائیکه احیانا این تنظیمات پیشفرض را تغییر داده اند در زیر چگونگی فعال سازی ان بطور تصویری نمایش داده شده است.