خطای پایگاهداده وردپرس: [Table 'pooyanet_net.wp_terms' doesn't exist]SELECT t.*, tt.* FROM wp_terms AS t INNER JOIN wp_term_taxonomy AS tt ON t.term_id = tt.term_id WHERE tt.taxonomy IN ('nav_menu') ORDER BY t.name ASC
خطای پایگاهداده وردپرس: [Table 'pooyanet_net.wp_terms' doesn't exist]SELECT t.*, tt.* FROM wp_terms AS t INNER JOIN wp_term_taxonomy AS tt ON t.term_id = tt.term_id WHERE tt.taxonomy IN ('category') ORDER BY t.name ASC
خطای پایگاهداده وردپرس: [Table 'pooyanet_net.wp_terms' doesn't exist]SELECT t.*, tt.* FROM wp_terms AS t INNER JOIN wp_term_taxonomy AS tt ON t.term_id = tt.term_id WHERE tt.taxonomy IN ('portfolio-types') ORDER BY t.name ASC
خطای پایگاهداده وردپرس: [Table 'pooyanet_net.wp_statistics_useronline' doesn't exist]DELETE FROM `wp_statistics_useronline` WHERE timestamp < 1610943473
خطای پایگاهداده وردپرس: [Table 'pooyanet_net.wp_terms' doesn't exist]SELECT t.*, tt.* FROM wp_terms AS t INNER JOIN wp_term_taxonomy AS tt ON t.term_id = tt.term_id WHERE tt.taxonomy IN ('category') ORDER BY t.name ASC
خطای پایگاهداده وردپرس: [Table 'pooyanet_net.wp_terms' doesn't exist]SELECT t.*, tt.*, tr.object_id FROM wp_terms AS t INNER JOIN wp_term_taxonomy AS tt ON t.term_id = tt.term_id INNER JOIN wp_term_relationships AS tr ON tr.term_taxonomy_id = tt.term_taxonomy_id WHERE tt.taxonomy IN ('category', 'post_tag', 'post_format') AND tr.object_id IN (11658) ORDER BY t.name ASC
خطای پایگاهداده وردپرس: [Table 'pooyanet_net.wp_users' doesn't exist]SELECT * FROM wp_users WHERE ID = '15' LIMIT 1
خطای پایگاهداده وردپرس: [Table 'pooyanet_net.wp_users' doesn't exist]SELECT * FROM wp_users WHERE ID = '15' LIMIT 1
خطای پایگاهداده وردپرس: [Table 'pooyanet_net.wp_users' doesn't exist]SELECT * FROM wp_users WHERE ID = '15' LIMIT 1
محققان امنیتی به تازگی بررسیهای جدیدی را بر روی بدافزار شیمون۲ انجام داده و سرنخهای جدیدی از ابزارها و روشهای مورد استفاده توسط این گروه را کشف کردهاند.
بدافزار شیمون۲ تقریباً از آبان ماه سال جاری پدیدار شده درحالیکه نسخهی اصلی بدافزار شیمون، ۴ سال است که وجود دارد و در حملاتی گسترده شرکت نفت و گاز آرامکو در عربستان سعودی را هدف قرار داده بود. مشابه بدافزار اصلی، نسخهی بهروزرسانیشدهی شیمون۲ نیز با حذف رکوردهای بوت اصلی و دادهها، سامانههای هدف را تخریب میکند. گزارشها حاکی از آن است که شیمون۲ علاوه بر سازمانهای پتروشیمی، بانکهای مرکزی را نیز در عربستان سعودی هدف قرار داده است.
تا هفتهی قبل محققان امنیتی بهدنبال پاسخ این سؤال بودند که چگونه بدافزار شیمون۲ سامانههای هدف و زیرساختها را آلوده میکند. در حال حاضر به لطف بررسیهایی که محققان و کارشناسان امنیتی انجام دادهاند، به این سؤال پاسخ داده شده است. یک کارشناس امنیتی با نام نیل دنیز، در وبلاگ خود راجعبه این تحقیق نوشت: «ما امیدوار بودیم با کشف نشانهها و بررسی بر روی شیمون۲ بتوانیم روند آلودگی به این بدافزار را تشخیص دهیم و از وقوع آن پیشگیری کنیم.» هفتهی گذشته X-Force آیبیام گزارش داد که چگونه سامانههای قربانی به بدافزار شیمون۲ آلوده میشوند.
در این گزارش گفته شده در مراحل اولیهی آلودگی از اسنادی که حاوی ماکروهای مخرب هستند استفاده میشود. رایانامهای که برای قربانیان ارسال میشود، حاوی سندی با ماکروهای مخرب است. زمانی که این سند اجرا میشود، از طریق پاورشِل با کارگزار دستور و کنترل ارتباط برقرار خواهد شد. مهاجمان در ادامه بدافزار شیمون۲ را بارگیری و نصب میکنند. محققان با بررسی ۳ نمونه از بدافزار، توانستند آن را به دامنههای مخرب، آدرسهای IP و منابع وابسته به این بدافزار ردیابی کنند.
محققان میگویند در بررسیهای خود متوجه شدند بدافزار شیمون۲ با گروههای نفوذی مانند Magic Hound و PuppyRAT که توسط دولتهایی در خاورمیانه پشتیبانی میشوند، در ارتباط است. دنیز در پست خود گفته است: «در حال حاضر ما میتوانیم با اطمینان بگوییم که چهکسی پشت بدافزار شیمون۲ است و این بدافزار چگونه کار میکند.»
سرنخ دیگری که وجود دارد یک پرونده با نام sloo.exe که بدافزار شیمون۲ آن را بر روی سامانهی هدف در پوشهی Temp قرار داده است. دنیز در توضیحات فنی دربارهی پژوهش خود نوشت: «این پرونده در مسیرهای C:\Documents و Settings\Admin\Local Settings\Temp\sloo.exe ایجاد شده است. علاوه بر این پرونده، بدافزار با استفاده از پاورشِل به آدرس ۱۰۴.۲۳۸.۱۸۴.۲۵۲ متصل میشود.»
با بررسیهای بیشتر بر روی آدرسهای IP پاورشِل در این بدافزار، مشخص شد یک پویش جعل گواهینامه نیز وجود دارد که اولین بار بر روی دامنهی go-microstf[.]com برای جعل صفحهی ورود در سرویس تجزیه و تحلیل گوگل مورد استفاده قرار میگرفت. دنیز میگوید این پویش جعل گواهینامه تا اواخر ژانویه که حملات شیمون۲ ادامه داشت، مشاهده شده بود.