آنتی ویروس پادویش

مراقب ایمیل های فیشینگ هکر های روس باشید

ایمیل های فیشینگ هکر های روس

هکرهای روسی با سواستفاده از یک آسیب‌پذیری روز صفر در NTLM، بدافزار Spark RAT را از طریق ایمیل‌های فیشینگ با موضوع تمدید گواهی‌های آموزشی منتشر می‌کنند. این حملات عمدتاً اوکراین را هدف قرار داده‌اند.

تبلیغ

ایمیل های فیشینگ هکر های روس

هکرهای روس با سوءاستفاده از آسیب‌پذیری جدید NTLM، بدافزار Spark RAT را از طریق ایمیل‌های فیشینگ منتشر می‌کنند. به گزارش زوم تک از The Hacker News، یک آسیب‌پذیری امنیتی جدید در Windows NT LAN Manager (NTLM) توسط گروهی از هکرها که گمان می‌رود وابسته به روسیه باشند، به عنوان یک آسیب‌پذیری روز صفر مورد سوءاستفاده قرار گرفته است. این حملات سایبری عمدتاً اوکراین را هدف قرار داده‌اند.

این آسیب‌پذیری که با شناسه CVE-2024-43451 (با امتیاز CVSS 6.5) شناخته می‌شود، به عنوان یک آسیب‌پذیری جعل هویت افشای هش NTLM شناخته می‌شود که می‌تواند برای سرقت هش NTLMv2 کاربر مورد سوءاستفاده قرار گیرد. مایکروسافت در اوایل این هفته وصله‌ای برای این آسیب‌پذیری منتشر کرد.

مایکروسافت در اطلاعیه خود اعلام کرد: “حتی تعاملات جزئی کاربر با یک فایل مخرب، مانند انتخاب (با یک کلیک)، بررسی (با کلیک راست) یا انجام هرگونه عملی غیر از باز کردن یا اجرای فایل، می‌تواند این آسیب‌پذیری را فعال کند.”

شرکت امنیت سایبری ClearSky واقع در اسرائیل که سوءاستفاده از این آسیب‌پذیری را در ژوئن ۲۰۲۴ کشف کرد، اعلام کرد که این آسیب‌پذیری به عنوان بخشی از یک زنجیره حمله برای انتشار بدافزار متن باز Spark RAT مورد سوءاستفاده قرار گرفته است.

این شرکت گفت: “این آسیب‌پذیری فایل‌های URL را فعال می‌کند و منجر به فعالیت‌های مخرب می‌شود.” فایل‌های مخرب روی یک سایت دولتی رسمی اوکراین که به کاربران امکان دانلود گواهی‌های آموزشی را می‌دهد، میزبانی می‌شدند.

زنجیره حمله شامل ارسال ایمیل‌های فیشینگ از یک سرور دولتی هک شده اوکراین (“doc.osvita-kp.gov[.]ua”) است که گیرندگان را به تمدید گواهی‌های آموزشی خود از طریق کلیک بر روی یک URL مخرب جاسازی شده در پیام تشویق می‌کند.

این کار منجر به دانلود یک فایل فشرده ZIP حاوی یک فایل میانبر اینترنتی مخرب (.URL) می‌شود. آسیب‌پذیری زمانی فعال می‌شود که قربانی با فایل URL تعامل داشته باشد، مثلاً با کلیک راست، حذف یا کشیدن آن به پوشه دیگر.

فایل URL برای برقراری ارتباط با یک سرور ریموت (“92.42.96[.]30”) و دانلود payload های اضافی، از جمله Spark RAT، طراحی شده است.

ClearSky گفت: “علاوه بر این، اجرای sandbox هشداری درباره تلاش برای انتقال NTLM Hash از طریق پروتکل SMB صادر کرد. پس از دریافت NTLM Hash، مهاجم می‌تواند حمله Pass-the-Hash را برای شناسایی به عنوان کاربر مرتبط با هش گرفته شده بدون نیاز به رمز عبور مربوطه انجام دهد.”

تیم واکنش به فوریت‌های رایانه‌ای اوکراین (CERT-UA) این فعالیت را به یک گروه هکری احتمالاً روسی که با نام UAC-0194 ردیابی می‌شود، مرتبط دانسته است.

به این پست امتیاز بدید

نظرات در مورد : مراقب ایمیل های فیشینگ هکر های روس باشید

0 دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *