به روز رسانی Ankura CTIX FLASH – 14 ژوئیه 2023 – امنیت

فعالیت ب،زار

،س پنهان شده دیپلمات ها را در کمپین ب،زار جدید هدف قرار می دهد

عوامل تهدید از سازمان تهدید ،س پنهان (APT29) در آ،ین کمپین خود، شخصیت های دیپلماتیک سطح بالا را در سراسر جهان مورد هدف قرار داده و از آنها سوء استفاده می کنند. این گروه به دلیل هدف گذاری دیپلماتیک مداوم خود در طول سال ها و استفاده از انواع فریب های اجتماعی مانند ارتباطات نیمه رسمی ،تی، عملیات سفارت، برنامه ریزی و دعوت به رویدادهای سفارت، به خوبی شناخته شده است. با این حال، تاکتیک جدیدی که توسط بازیگران ،س پوشیده استفاده می‌شود، شامل هدف قرار دادن خود فرد دیپلماتیک به جای کشوری است که تحت آن فعالیت می‌کنند، با استفاده از وسایل شخصی مانند وسیله نقلیه جدید به ،وان فریب اجتماعی. بازیگران تهدید از یک پست بی ام و برای فروش دزدیده شده به ،وان فریب استفاده ،د و این پست را به دیپلمات ها در سراسر جهان پخش ،د. هنگامی که کاربران روی «تصاویر با کیفیت بیشتر» کلیک می‌،د، به یک وب‌سایت Cloaked Ursa ارسال می‌شدند که در آنجا محموله م،ب از طریق قاچاق HTML به دستگاه کاربر دانلود می‌شد. پس از کلیک بر روی فایل های PNG دانلود شده و ماسک شده، فایل های م،ب LNK و EXE برای به خطر انداختن سیستم کاربر اجرا می شوند. پس از این اجراها، DLL های م،ب بارگذاری می شوند تا امکان تزریق پوسته کد مرحله آ، به فرآیندهای ویندوز را فراهم کنند. پس از تزریق به سیستم، کد م،ب سیگنالی را از طریق چراغ‌های Dropbox و Microsoft Graph API به سرورهای فرمان و کنترل Cloaked Ursa (C2) ارسال می‌کند. CTIX همچنان از کاربران می‌خواهد تا قبل از دانلود هرگونه سند یا بازدید از URLهای تعبیه‌شده، یکپارچگی تمام ارتباطات دیجیتال را تأیید کنند تا خطر به خطر افتادن عامل تهدید را کاهش دهند.

بازیگر تهدید فعالیت

مایکروسافت و CISA جزئیات فعالیت های تحت حمایت ،ت چین را که بر ،ت ایالات متحده تأثیر می گذارد، افشا می کنند

یک آژانس فدرال غیرنظامی فدرال ایالات متحده (FCEB) اخیراً در اواسط ژوئن 2023 فعالیت غیرعادی را در گزارش های حسابرسی مایکروسافت 365 شناسایی کرده است و آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) یک مشاوره امنیت سایبری مش، (AA23-193A) منتشر کرده است. ) در 12 ژوئیه 2023، جزئیات حادثه را به اشتراک گذاشت. جزئیات همچنین با مایکروسافت به اشتراک گذاشته شد و به ،وان یک فعالیت تهدید دائمی پیشرفته (APT) در نظر گرفته شد که در آن بازیگران «به داده‌های طبقه‌بندی نشده Exchange Online Outlook دسترسی پیدا ،د و از تعداد کمی از حساب‌های موجود در آژانس استفاده ،د.» CISA توضیح داد که بازیگران با استفاده از کلید مصرف کننده حساب مایکروسافت برای “جعل توکن ها برای جعل هویت کاربران و کاربران سازم،” به داده ها دسترسی پیدا ،د. قبل از مشاوره CISA، مایکروسافت یک پست وبلاگی منتشر کرد که در آن یک حمله مشاهده شده توسط بازیگر تهدید کننده جدید مستقر در چین Storm-0558 که از یک آسیب پذیری در سرویس ایمیل ابری مایکروسافت برای “جاسوسی از دوجین سازمان، از جمله برخی سازمان های ،تی” سوء استفاده می کند، شرح می داد. ایمیل های مشتری را هدف قرار دهید Storm-0558 عمدتاً سازمان‌های ،تی در اروپای غربی را هدف قرار می‌دهد و بر دسترسی به اعتبار، سرقت داده‌ها و جاسوسی تمرکز دارد. لازم به ذکر است که مایکروسافت پس از آن که یکی (1) سازمان اشکال را گزارش کرد و سخنگوی شورای امنیت ملی کاخ سفید به اشتراک گذاشت که این نقص برای اولین بار توسط ،ت ایالات متحده شناسایی شد، مایکروسافت شروع به بررسی این رویدادهای دقیق کرد. مایکروسافت سازمان‌هایی را که تحت تأثیر این فعالیت قرار گرفته‌اند در گزارش خود فاش نکرده است، اما جزئیات حمله در مشاوره CISA با موارد موجود در گزارش مایکروسافت ی،ان است. با انتشار جزئیات بیشتر از حمله و قرب،ان، تحلیلگران CTIX به نظارت بر این حادثه ادامه خواهند داد و در صورت ،وم به‌روزرس،‌ها را منتشر خواهند کرد.

آسیب پذیری ها

اشکال حیاتی در محصولات FortiOS و FortiProxy آسیب پذیر به RCE

Fortinet یک آسیب‌پذیری حیاتی مورد سوء استفاده فعال را فاش کرده است که بر راه‌حل‌های فایروال FortiOS و FortiProxy SSL-VPN تأثیر می‌گذارد. این نقص که به‌،وان CVE-2023-33308 ردیابی می‌شود، به‌،وان آسیب‌پذیری سرریز بافر مبتنی بر پشته توصیف می‌شود که زم، رخ می‌دهد که یک برنامه داده‌های بیشتری نسبت به بافر با طول ثابت تخصیص داده در یک آدرس حافظه می‌نویسد. این منجر به نشت داده ها و ،اب شدن داده های مجاور در پشته حافظه می شود که باعث می شود برنامه اشتباه رفتار کند یا از کار بیفتد. مهاجمان می‌توانند از این آسیب‌پذیری با ارسال ورودی‌های م،ب طراحی‌شده برای فراتر از بافر، بازنویسی دستورالعمل‌ها و پارامترها برای دستیابی به اجرای کد از راه دور دلخواه (RCE) از این آسیب‌پذیری سوء استفاده کنند. این نقص امتیاز CVSS 9.8/10 را دریافت کرده است و آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) هشداری را منتشر کرده است و از سازمان‌هایی که از محصولات Fortinet آسیب دیده استفاده می‌کنند می‌خواهد اطمینان حاصل کنند که نسخه ایمن این نرم‌افزار را اجرا می‌کنند. این آسیب‌پذیری قبلاً در نسخه‌ی اخیر FortiOS 7.4 اصلاح شده بود، اما اگر محصولات به دلیل تأثیر منفی روی عملیات‌های حیاتی نمی‌توانند فوراً وصله شوند، Fortinet اسنادی را در مورد چگونگی کاهش این نقص با غیرفعال ، پشتیب، HTTP/2 ارائه کرده است. نمایه های بازرسی SSL حالت پرو،ی. افشای این نقص کمتر از یک (1) ماه پس از افشای آسیب‌پذیری RCE سرریز بافر حیاتی دیگر در محصولات Fortinet، موسوم به XORtigate، فاش شد که صدها هزار دستگاه را تحت تأثیر قرار داد و هنوز به طور فعال توسط عوامل تهدید مورد سوء استفاده قرار می‌گرفت (1). ) یک ماه پس از رفع اشکال. بسته به اینکه چه تعداد از نمونه‌های FortiOS و FortiProxy در آینده نزدیک مورد سوء استفاده قرار می‌گیرند، CISA ممکن است این نقص را به فهرست آسیب‌پذیری‌های شناخته شده (KEV) خود اضافه کند، و موظف است که تمام آژانس‌های فدرال شعبه غیرنظامی اجرایی (FCEB) با اصلاح قبل از ضرب‌الاجل، مطابقت داشته باشند. . تحلیلگران CTIX توصیه می کنند که همه مشتریان Fortinet اطمینان حاصل کنند که همیشه با آ،ین وصله امنیتی به روز هستند و در صورت نیاز ممکن است به روز رس، این خلاصه در به روز رس، های بعدی FLASH منتشر شود.

ذکر افتخاری

نقض داده های مراقبت های بهداشتی HCA بر 11 میلیون بیمار تأثیر می گذارد

HCA Healthcare دارای ی،د و هشتاد و دو (182) بیمارستان و 2200 مرکز مراقبتی است که در ایالات متحده و بریت،ا قرار دارند و عملاً آنها را به یکی از بزرگترین مالکان و اپراتورهای مراکز درم، تبدیل می کند. در 5 ژوئیه 2023، یک بازیگر تهدید شروع به ارسال نمونه‌هایی از اطلاعات دزدیده شده HCA Healthcare در یک تالار گفتمان داده‌های لو رفته و سرقت شده کرد. در این پست ادعا شده است که پایگاه داده سرقت شده شامل هفده (17) پرونده و 27.7 میلیون پرونده است که دارای سوابق بیمار است که از سال 2021 تا 2023 را شامل می شود. عامل تهدید در ابتدا پایگاه داده را برای فروش پست نکرد، بلکه آن را بیشتر برای اعتبار و به ،وان راهی برای تحت فشار قرار دادن نهایی HCA ارسال کرد. پس از ارسال پایگاه داده و نمونه ها، عامل تهدید اظهار داشت که HCA تا 10 ژوئیه 2023 فرصت دارد تا خواسته های آنها را برآورده کند. پس از عدم پاسخگویی، پایگاه داده کامل توسط بازیگر تهدید برای فروش ارسال شد. در همان روز، HCA تأیید کرد که آنها واقعاً به خطر افتاده اند و نقض داده ها را افشا کرد و ،ن زد که 11 میلیون بیمار را تحت تأثیر قرار داده است. HCA اعلام کرد که “هیچ اختلالی در مراقبت و خدمات ارائه شده توسط HCA Healthcare وجود ندارد.” گفته می‌شود این داده‌ها از یک «محل ذخیره‌سازی خارجی» به سرقت رفته است که برای قالب‌بندی پیام‌های ایمیل بیمار استفاده می‌شود که به هکر اجازه می‌دهد به داده‌هایی از جمله نام کامل، شهر، ایالت و کد پستی بیماران، آدرس ایمیل، شماره تلفن، تاریخ تولد، ،ت دسترسی داشته باشد. ، تاریخ و مکان سرویس و همچنین تاریخ قرار بعدی. گمان نمی‌رود که داده‌های دزدیده شده شامل اطلاعات بالینی مانند وضعیت بیماران، تشخیص یا درمان، یا شماره کارت اعتباری یا حساب بانکی و سایر اطلاعات حساس باشد. در حالی که داده‌های به سرقت رفته در سمت کمتر حساسی قرار دارند، اما همچنان می‌تواند برای تهدید بازیگران برای حملات فیشینگ، کلاهبرداری‌ها و حملات مهندسی اجتماعی ارزشمند باشد.

محتوای این مقاله به منظور ارائه راهنمای کلی در مورد موضوع است. در مورد شرایط خاص خود باید از یک متخصص مشاوره بگیرید.

آیا NFTها اکنون با نرخ بالاتری مشمول مالیات هستند؟

فال، راپاپورت و برکمن LLP

سرویس درآمد داخلی (IRS) اخیراً اطلاعیه ای (“اطلاعیه”) در مورد قصد خود برای ارائه راهنمایی های مربوط به تعیین زم، که توکن های غیرقابل تعویض (NFT) …

مقررات هوش مصنوعی در تصمیمات استخدامی (ویدئو)

Akin Gump Strauss Hauer & Feld LLP

در این ،مت از LaborSpeak، ما در مورد افزایش هوش مصنوعی (AI) در محل کار و موج بعدی مقررات جدیدی که کارفرمایان باید از آن آگاه باشند، از جمله شهر نیویورک صحبت می کنیم.

به روز رس، در مورد هوش مصنوعی و قانون

Butler Weihmuller Katz Craig LLP

در ماه مه 2023، من بخشی از پانلی بودم که در کنفرانس سالانه انجمن مطالبات بیمه املاک انجمن بازار لندن (PICG) ارائه داد. بخشی از ارائه ما به …