شركت كاميران نمایندگی ESET | Kaspersky | Bitdefender - آنالیز فنی حمله راه آهن و وزارت راه
 
 

 
منوی اصلی
 




 

گواهینامه های کامیران









مرکز ارتباط کامیران

مرکز تماس کامیران :
شبانه روزی

47251 - 021
44007217 - 021
( 40 خط ويژه )

موارد اضطراری امور مشتریان
09302700800


کانال تلگرام کامیران:
KAMIRANChannel@

ارتباط از طریق پیامرسانها:
تلگرام فروش: @KAMIRANco
WhatsApp : 09302700800

  Telegram Support:
@KAMIRANSupport
Whatsapp Support:
09332050007

کامیران در سایر پیامرسانها:
(سروش ، گپ ، بیسفون و ... )
KAMIRAN SocialMedia

سامانه پیامکی:
02147251

Skype : KAMIRAN.Asia
Gmail : KAMIRAN.Asia

 

 


رادار ویروس ها


اطلاعات آخرین آپدیت ها
و لیست ویروس های جدید
از لابراتوار های ESET


اطلاعات شناسائی لحظه ای
از لابراتوآر Kaspersky
 
 

آنالیز فنی حمله راه آهن و وزارت راه
اخبار ويروس هاي جديد

آنالیز فنی حمله سایبری به راه آهن و وزارت راه توسط Sentinel منتشر شد :

در تاریخ 18 تیر 1400 مورخ 9 جولای 2021 سیستم های راه آهن و وزارت راه دچار حمله سایبری شدند که اکنون محققین Sentinel بدافزارهای استفاده شده در این حملات را با نام گروه  MeteorExpress یا شهاب سریع میشناسند. برخی شرکت های امنیتی از جمله ESET این بدافزار را BreakWin می نامند.  براي اطلاعات بيشتر  بر روي ادامه خبر كليك نمائيد.






‼️ آنالیز فنی حمله سایبری به راه آهن و وزارت راه توسط Sentinel منتشر شد :

▪️ در تاریخ 18 تیر 1400 مورخ 9 جولای 2021 سیستم های راه آهن و وزارت راه دچار حمله سایبری شدند که اکنون محققین Sentinel بدافزارهای استفاده شده در این حملات را با نام گروه  MeteorExpress یا شهاب سریع میشناسند. برخی شرکت های امنیتی از جمله ESET این بدافزار را BreakWin می نامند.








▪️ حمله از پیش طراحی شده : هکرهای پشت پرده Meteor یا BreakWin هفته ها قبل با شناخت کامل از شبکه قربانی اقدام به اجرای این Wiper در سیستمها نموده اند. Wiper ها بر خلاف باج افزارها کلیه اطلاعات سیستم و هارددیسک را حذف و نابود میکنند. در این حمله از چندین فایل BAT و EXE و سوء استفاده از Group Policy برای نصب این تخریب گر- Wiper  - استفاده شده است.

▪️ شناخت کامل هکرها از شبکه قربانی : بررسی فایلهای BAT نشان میدهد هکرها میدانستند در برخی سیستم های قربانیان آنتی ویروس Kaspersky نصب است و سیستم بکاپ آنها نیز Veeam است لذا بدافزار را کاملا بر پایه این اطلاعات نوشته اند ! این یعنی قبل از شروع حمله عملیات شناسائی به صورت کامل در شبکه هدف انجام شده است.

▪️ دسترسی کامل هکرها به DC : در گزارشات منتشر شده هنوز مشخص نیست هکر چگونه دسترسی کامل به Domain Controller را بدست آورده است اما شواهد نشان میدهد این بدافزار با استفاده از Group Policy بر روی سیستم های شبکه نصب شده است. احتمالا این دسترسی توسط یک کلاینت آلوده یا سروری آسیب پذیر در شبکه قربانی ایجاد شده است. احتمال استفاده از حملات PrintNightmare هم دور از ذهن نیست که پیشتر در این دو ویدئو آنها را معرفی کرده ایم :

https://www.kamiran.asia/videos/printnightmare_tests_f3047622c.html

https://www.kamiran.asia/videos/eset-printnightmare_fb40f3487.html

▪️ هویت هکرها فعلا مجهول است : سبک این حملات مشابه هیچ یک از APT های شناخته شده قبلی نیست و فعلا نمیتوان آن را به هیچ گروه یا کشوری نسبت داد.

▪️ نتایج اسکن این بدافزار توسط آنتی ویروسها: فایل های اصلی استفاده شده در این حملات موارد زیر هستند که با کلیک بر روی هر کدام نتایج اسکن VT تا لحظه درج این خبر برای شما نمایش داده میشود. نکته جالب اینجاست که برخی آنتی ویروسها بعد از گذشت 25روز از این رخداد سایبری هنوز بدافزار BreakWin را شناسائی نمیکنند !

setup.bat  -  میزان شناسائی 16 از 59
https://www.site-shot.com/T45WNvOMEeuvxwJCrBEABg

cache.bat
  -  میزان شناسائی 12 از 58
https://www.site-shot.com/mhnC5POMEeu0VwJCrBEABg

update.bat
  -  میزان شناسائی 12 از 58
https://www.site-shot.com/w-CBTvOMEeuQzAJCrBEABg

env.exe/msapp.exe
  -  میزان شناسائی 43 از 70
https://www.site-shot.com/5JR17POJEeuQ6gJCrBEABg

mssetup.exe
  -  میزان شناسائی 39 از 68
https://www.site-shot.com/Pe5vdvOyEeufywJCrBEABg

bcd.bat
  -  میزان شناسائی 15 از 59
https://www.site-shot.com/TPcTcPOOEeuTrwJCrBEABg

envxp.bat
  -  میزان شناسائی 13 از 58
https://www.site-shot.com/aLM-UPONEeuvpAJCrBEABg


▪️ هکرهایی با سطح متوسط و شاید ابزارهای جاسوسی پیشرفته: ما بر این باوریم که مهاجمین پشت پرده این حملات در سطح متوسطی هستند که در حال پیشرفتند. شناخت بالای هکرها از شبکه قربانی نشان از انجام عملیات شناسائی کامل دارد که ممکن است توسط ابزارهای جاسوسی که هنوز ناشناخته هستند، انجام شده باشد ! این حملات همچنان نکات مبهم بسیاری دارد ...


🔗 منبع : گزارش فنی SentinelLab :

https://labs.sentinelone.com/meteorexpress-mysterious-wiper-paralyzes-iranian-trains-with-epic-troll/

🔗 گزارش اولیه پادویش :
https://threats.amnpardaz.com/malware/trojan-win32-breakwin/




‼️ ساده انگاری و کم توجهی، عامل اصلی بروز حملات سایبری به وزارت راه و شهرسازی و شرکت راه‌آهن !

▪️ مرکز افتا بعد از 10 روز اعلام کرد: کم توجهی به الزامات امنیتی ابلاغ شده از قبیل طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری و هشدارهای مرکز افتا، علت اصلی بروز حملات سایبری جمعه و شنبه گذشته به وزارت راه و شهرسازی و شرکت راه‌آهن بوده است.

▪️ کارشناسان امنیت سایبری افتا معتقدند از حدود 1 ماه پیش هکرها به شبکه این دو سازمان نفوذ کرده و در کمال صبر و حوصله حمله خود را برنامه ریزی کرده اند. رعایت نکردن مسائل امنیتی در دورکاری‌ها، سیستم‌های ناقص، سهل‌انگاری پرسنل فاوا در نگهداری رمزهای عبور تجهیزات، بروز نکردن ضدویروس‌ها، سرمایه‌گذاری ناکافی برای افزایش امنیت سایبری و پیکربندی نامناسب از دیگر دلایل بروز این دو حادثه سایبری بوده است.


🔗 منبع : سایت افتا :



▪️ برای اطلاع از اخبار امنیتی حتما در کانال تلگرام @KamiranChannel عضو شوید و یا برای دریافت اخبار مهم از طریق واتساپ عدد 11 را به شماره 09302700800 واتساپ نمائید.


▪️ در صورت وجود هر گونه سوال در این خصوص با مرکز پشتیبانی کامیران با شماره 02147251 ، تلگرام @KamiranSupport یا واتساپ 09332050007 ارتباط برقرار نمائید.



با تشكر
 
لابراتوآر ویروس شناسی شركت مهندسي كاميران
__________________________________________





کلمات کليدي : حمله به راه آهن و وزارت راه آنالیز حمله BreakWin Meteor

ارسال شده در مورخه : سه شنبه، 12 مرداد ماه ، 1400 توسط administrator  چاپ مطلب

 

مرتبط با موضوع :

 آسیب پذیری روز صفر CVE-2021-40444  [يكشنبه، 21 شهريور ماه ، 1400]
 آسیب پذیری روز صفر حیاتی PrintNightmare  [جمعه، 18 تير ماه ، 1400]
 کشف 4 آسیب پذیری در اکسچنج  [شنبه، 16 اسفند ماه ، 1399]
 آسیب پذیری 17 ساله Windows DNS Server  [چهارشنبه، 25 تير ماه ، 1399]
 آسیب پذیری بحرانی SMBGhost  [سه شنبه، 3 تير ماه ، 1399]
 حملات گروه هکری APT27  [شنبه، 10 اسفند ماه ، 1398]

امتیاز دهی به مطلب
امتیاز متوسط : 5
تعداد آراء: 1


لطفا رای مورد نظرتان را در مورد این مطلب ارائه نمائید :

عالی
خیلی خوب
خوب
متوسط
بد


انتخاب ها

 نمایش تمام صفحه این مقاله نمایش تمام صفحه این مقاله


اشتراک گذاري مطلب


صفحه اصلي |  آنتی ویروس اورجینال |  نمایندگان ما |  برخی از مشترکین کامیران |  تماس با کامیران
كليه حقوق اين وب سايت متعلق به شركت ایمن کارا کام ایرانیان ( صاحب امتیاز برند کامیران ) مي باشد - 2020-2008

  


وقت بخیر، کاربر عزیز
از مشاوره آنلاین ما استفاده کنید!



مشاوره خرید و پشتیبانی
نمایندگی قویترین آنتی ویروسهای جهان
( شبانه روزی )