يمكن أن يمثل استخدام 0-day لإصابة مستخدمي Chrome أيضًا تهديدًا لمستخدمي Edge و Safari
يمكن أن يمثل استخدام 0-day لإصابة مستخدمي Chrome أيضًا تهديدًا لمستخدمي Edge و Safari
Zoom
صور جيتي
يقول باحثون أمنيون إن أحد موردي برامج الهجوم الإلكتروني السري استغل مؤخرًا ثغرة أمنية غير معروفة سابقًا في Chrome وثغرتين أخريين من ثغرات يوم الصفر في حملات أصابت الصحفيين وأهدافًا أخرى سراً ببرامج تجسس معقدة.
CVE-2022-2294 ، نظرًا لتعقب الثغرة الأمنية ، ينبع من عيوب تلف الذاكرة في Web Real-Time Communications ، وهو مشروع مفتوح المصدر يوفر واجهات برمجة JavaScript لتمكين إمكانات الاتصالات الصوتية والنصية والصوتية. وقت الفيديو بين متصفحات الويب والأجهزة. قامت Google بإصلاح الخلل في 4 يوليو بعد أن أبلغ باحثون من شركة الأمان Avast الشركة بشكل خاص أنه يتم استغلالها في هجمات حفرة المياه ، والتي تصيب مواقع الويب المستهدفة ببرامج ضارة على أمل إصابة المستخدمين المتكررين. قامت Microsoft و Apple منذ ذلك الحين بتصحيح نفس الخلل في WebRTC في متصفحي Edge و Safari على التوالي.
قالت Avast يوم الخميس إنها اكتشفت عدة حملات هجومية ، كل منها تقدم الثغرة بطريقتها الخاصة لمستخدمي Chrome في لبنان وتركيا واليمن وفلسطين. كانت ثقوب الري انتقائية للغاية في اختيار الزوار الذين يصابون بالعدوى. بمجرد أن نجحت مواقع حفر المياه في استغلال الثغرة الأمنية ، استخدمت وصولها لتثبيت DevilsTongue ، وهو الاسم الذي أعطته Microsoft العام الماضي للبرامج الضارة المتقدمة التي باعتها شركة مقرها إسرائيل تسمى Candiru.
كتب الباحث في Avast Jan Vojtěšek: "في لبنان ، يبدو أن المهاجمين اخترقوا موقعًا إلكترونيًا يستخدمه موظفو وكالة أنباء". "لا يمكننا أن نقول على وجه اليقين ما الذي ربما كان المهاجمون يبحثون عنه ، ولكن غالبًا ما يكون السبب وراء ملاحقة المهاجمين للصحفيين هو التجسس عليهم وعلى القصص التي يعملون عليها بشكل مباشر ، أو الوصول إلى مصادرهم. وجمع معلومات تدينهم و البيانات الحساسة التي شاركوها مع الصحافة. "
قال Vojtěšek إن Candiru ظل بعيدًا عن الأنظار بعد الكشف الذي تم الكشف عنه في يوليو الماضي بواسطة Microsoft و CitizenLab. وقال الباحث إن الشركة خرجت من الظل في مارس بمجموعة محدثة من الأدوات. موقع ثقب الري ، الذي لم تحدده Avast ، حرص ليس فقط على اختيار زوار معينين للإصابة ، ولكن أيضًا لمنع اكتشاف ثغرات يوم الصفر من قبل الباحثين أو المتسللين.
كتب فويتشيك:
ومن المثير للاهتمام ، أن موقع الويب المخترق يحتوي على عناصر من هجمات XSS المستمرة ، مع صفحات تحتوي على استدعاءات لوظيفة تنبيه جافا سكريبت بالإضافة إلى كلمات رئيسية مثل "اختبار". نشك في أن هذه هي الطريقة التي اختبر بها المهاجمون ثغرة XSS ، قبل استغلالها أخيرًا بشكل حقيقي عن طريق حقن جزء من التعليمات البرمجية التي تقوم بتحميل JavaScript ضار من مجال يسيطر عليه المهاجمون. كانت هذه الشفرة المحقونة مسؤولة بعد ذلك عن توجيه الضحايا المقصودين (والضحايا المقصودين فقط) إلى خادم الاستغلال ، من خلال عدة نطاقات أخرى يتحكم فيها المهاجم.
تكبير / إدخال شفرة ضارة في موقع الويب المخترق ، وتحميل المزيد من JavaScript من styleblock [.] com
أفاست
بمجرد وصول الضحية إلى خادم الاستغلال ، تجمع Candiru المزيد من المعلومات ...
يقول باحثون أمنيون إن أحد موردي برامج الهجوم الإلكتروني السري استغل مؤخرًا ثغرة أمنية غير معروفة سابقًا في Chrome وثغرتين أخريين من ثغرات يوم الصفر في حملات أصابت الصحفيين وأهدافًا أخرى سراً ببرامج تجسس معقدة.
CVE-2022-2294 ، نظرًا لتعقب الثغرة الأمنية ، ينبع من عيوب تلف الذاكرة في Web Real-Time Communications ، وهو مشروع مفتوح المصدر يوفر واجهات برمجة JavaScript لتمكين إمكانات الاتصالات الصوتية والنصية والصوتية. وقت الفيديو بين متصفحات الويب والأجهزة. قامت Google بإصلاح الخلل في 4 يوليو بعد أن أبلغ باحثون من شركة الأمان Avast الشركة بشكل خاص أنه يتم استغلالها في هجمات حفرة المياه ، والتي تصيب مواقع الويب المستهدفة ببرامج ضارة على أمل إصابة المستخدمين المتكررين. قامت Microsoft و Apple منذ ذلك الحين بتصحيح نفس الخلل في WebRTC في متصفحي Edge و Safari على التوالي.
قالت Avast يوم الخميس إنها اكتشفت عدة حملات هجومية ، كل منها تقدم الثغرة بطريقتها الخاصة لمستخدمي Chrome في لبنان وتركيا واليمن وفلسطين. كانت ثقوب الري انتقائية للغاية في اختيار الزوار الذين يصابون بالعدوى. بمجرد أن نجحت مواقع حفر المياه في استغلال الثغرة الأمنية ، استخدمت وصولها لتثبيت DevilsTongue ، وهو الاسم الذي أعطته Microsoft العام الماضي للبرامج الضارة المتقدمة التي باعتها شركة مقرها إسرائيل تسمى Candiru.
كتب الباحث في Avast Jan Vojtěšek: "في لبنان ، يبدو أن المهاجمين اخترقوا موقعًا إلكترونيًا يستخدمه موظفو وكالة أنباء". "لا يمكننا أن نقول على وجه اليقين ما الذي ربما كان المهاجمون يبحثون عنه ، ولكن غالبًا ما يكون السبب وراء ملاحقة المهاجمين للصحفيين هو التجسس عليهم وعلى القصص التي يعملون عليها بشكل مباشر ، أو الوصول إلى مصادرهم. وجمع معلومات تدينهم و البيانات الحساسة التي شاركوها مع الصحافة. "
قال Vojtěšek إن Candiru ظل بعيدًا عن الأنظار بعد الكشف الذي تم الكشف عنه في يوليو الماضي بواسطة Microsoft و CitizenLab. وقال الباحث إن الشركة خرجت من الظل في مارس بمجموعة محدثة من الأدوات. موقع ثقب الري ، الذي لم تحدده Avast ، حرص ليس فقط على اختيار زوار معينين للإصابة ، ولكن أيضًا لمنع اكتشاف ثغرات يوم الصفر من قبل الباحثين أو المتسللين.
كتب فويتشيك:
ومن المثير للاهتمام ، أن موقع الويب المخترق يحتوي على عناصر من هجمات XSS المستمرة ، مع صفحات تحتوي على استدعاءات لوظيفة تنبيه جافا سكريبت بالإضافة إلى كلمات رئيسية مثل "اختبار". نشك في أن هذه هي الطريقة التي اختبر بها المهاجمون ثغرة XSS ، قبل استغلالها أخيرًا بشكل حقيقي عن طريق حقن جزء من التعليمات البرمجية التي تقوم بتحميل JavaScript ضار من مجال يسيطر عليه المهاجمون. كانت هذه الشفرة المحقونة مسؤولة بعد ذلك عن توجيه الضحايا المقصودين (والضحايا المقصودين فقط) إلى خادم الاستغلال ، من خلال عدة نطاقات أخرى يتحكم فيها المهاجم.
تكبير / إدخال شفرة ضارة في موقع الويب المخترق ، وتحميل المزيد من JavaScript من styleblock [.] com
أفاست
بمجرد وصول الضحية إلى خادم الاستغلال ، تجمع Candiru المزيد من المعلومات ...
Zoom
صور جيتي
![شفرة ضارة تم إدخالها في موقع ويب تم اختراقه ، وتحميل المزيد من جافا سكريبت من Stylishblock [.] com](https: // cdn .arstechnica.net / wp -content / uploads / 2022/07 / inserted-code-640x57.png )
تكبير / إدخال شفرة ضارة في موقع الويب المخترق ، وتحميل المزيد من JavaScript من styleblock [.] com
أفاست
