سایت خبرکاو

جستجوگر هوشمند اخبار و مطالب فناوری

گوگل هشدار می دهد که باگ های Ivanti همچنان مورد هدف هکرهای چینی هستند

(اعتبار تصویر: Shutterstock / laymanzoom) هکرها همچنان از چندین آسیب پذیری در محصولات ایوانتی سوء استفاده می کنند که در اوایل امسال کشف و اصلاح شدند. از جمله Volt Typhoon، یک گروه بدنام هک با حمایت چین است که به محققان امنیت سایبری Mandiant متعلق به گوگل هشدار داد و از "خوشه های متعدد فعالیت" در اطراف CVE-2023-46805، CVE-2024-21887، و CVE-2089321، گزارش داد . این سه نقص که بر روی دروازه‌های Ivanti Connect Secure و Ivanti Policy Secure تأثیر ...
شخصی در لپ‌تاپ با نماد قفل امنیت سایبری <a href= که بالای آن شناور است. " class=" block-image-ads hero-image" srcset="https://cdn.mos.cms.futurecdn.net/GECPn964KJunKWgRJ5mMti-320-80.jpg 320w, https://cdn.mos.cms.futurecdn.net/GECPn964KJunKWgRJ5mMti-480-80.jpg 480w, https://cdn.mos.cms.futurecdn.net/GECPn964KJunKWgRJ5mMti-650-80.jpg 650w, https://cdn.mos.cms.futurecdn.net/GECPn964KJunKWgRJ5mMti-970-80.jpg 970w, https://cdn.mos.cms.futurecdn.net/GECPn964KJunKWgRJ5mMti-1024-80.jpg 1024w, https://cdn.mos.cms.futurecdn.net/GECPn964KJunKWgRJ5mMti-1200-80.jpg 1200w, https://cdn.mos.cms.futurecdn.net/GECPn964KJunKWgRJ5mMti-1920-80.jpg 1920w" sizes="(min-width: 1000px) 600px, calc(100vw - 40px)" data-pin-media="https://cdn.mos.cms.futurecdn.net/GECPn964KJunKWgRJ5mMti.jpg">
(اعتبار تصویر: Shutterstock / laymanzoom)

هکرها همچنان از چندین آسیب پذیری در محصولات ایوانتی سوء استفاده می کنند که در اوایل امسال کشف و اصلاح شدند.

از جمله Volt Typhoon، یک گروه بدنام هک با حمایت چین است که به محققان امنیت سایبری Mandiant متعلق به گوگل هشدار داد و از "خوشه های متعدد فعالیت" در اطراف CVE-2023-46805، CVE-2024-21887، و CVE-2089321، گزارش داد .

این سه نقص که بر روی دروازه‌های Ivanti Connect Secure و Ivanti Policy Secure تأثیر می‌گذارند، در اوایل سال جاری و پس از هشدار Ivanti در مورد سوء استفاده گروه‌های هکر از آنها برای کنترل دستگاه‌های آسیب‌پذیر، کشف شدند.

حذف بدافزارها و cryptominers

اندکی پس از آن، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) به سازمان‌های دولتی هشدار داد که فوراً این نقص‌ها را برطرف کنند، زیرا آنها به طور انبوه و عمدتاً توسط بازیگران تحت حمایت چین مورد استفاده قرار می‌گرفتند.

افزایش شدید حملات در 11 ژانویه یا پس از آن آغاز شد و سازمان‌های دولتی، مشاغل کوچک و متوسط ​​(SMB) و شرکت‌ها همگی قربانی شدند. در حالی که هکرها هیچ صنعت خاصی را انتخاب نکردند، اکثر قربانیان در بخش هوافضا، بانکداری، دفاع و دولت بودند.

Mandiant بيان کرد که ردیابی Volt Typhoon را در فوریه 2024 آغاز کرده است، زیرا در کمپین های متعدد علیه بخش های انرژی و دفاعی در ایالات متحده علاوه بر این گروه هکری، محققان گفتند که چهار گروه دیگر نیز فعال هستند: UNC5221، UNC5266، UNC5330. و UNC5337.

Mandiant گفت: «علاوه بر گروه‌های مظنون جاسوسی چین-Nexus، Mandiant همچنین بازیگرانی با انگیزه مالی را شناسایی کرده است که از CVE-2023-46805 و CVE-2024-21887 سوء استفاده می‌کنند، که احتمالاً عملیات‌هایی مانند استخراج رمزارز را ممکن می‌سازد.

خوشبختانه، Mandiant او میگوید هیچ مدرکی وجود ندارد که Volt Typhoon با موفقیت موارد Connect Secure کسی را نقض کند.

فعالیت برای این خوشه در دسامبر 2023 با تمرکز بر Citrix Netscaler ADC آغاز شد و پس از اینکه جزئیات در اواسط ژانویه عمومی شد، روی دستگاه‌های Ivanti Connect Secure متمرکز شد. 2024، آنها گفتند. کاوشگری علیه بخش‌های دانشگاهی، انرژی، دفاعی و بهداشتی مشاهده شده است که با علاقه گذشته ولت تایفون به زیرساخت‌های حیاتی همسو است.

در مکان‌هایی که مهاجمان موفق بوده‌اند، بیشتر از انواع بدافزار TERRIBLETEA، PHANTOMNET، TONERJAM، SPAWNSNAIL و SPAWNMOLE استفاده می‌کنند.

بیشتر از TechRadar Pro

Sead یک روزنامه‌نگار آزاد کارکشته در سارایوو، بوسنی و هرزگوین است. او در مورد IT (ابر، اینترنت اشیا، 5G، VPN) و امنیت سایبری (باج افزار، نقض داده ها، قوانین و مقررات) می نویسد. او در طول بیش از یک دهه فعالیت حرفه ای خود برای رسانه های متعددی از جمله الجزیره بالکان نوشته است. او همچنین چندین ماژول در زمینه نوشتن محتوا برای Represent Communications برگزار کرده است.

خبرکاو