H5N1 kuş gribi muhtemelen bildiğimizden daha fazla insana bulaşıyor. Hastalık Kontrol ve Önleme Merkezlerinin yeni araştırması, Michigan ve Colorado’da izlenen süt çiftçilerinin %7’sinde virüse karşı antikor testlerinin pozitif çıktığını gösteriyor.

2022’den beri H5N1’in yüksek derecede patojenik kuş gribi A suşları kuşlardan memelilere giderek daha fazla yayılmaya başladı. Bu yıl H5N1, Amerika Birleşik Devletleri’ndeki süt sığırları ve diğer besi hayvanları arasında geniş çapta yayıldı. Ayrıca var 46 doğrulanmış insan vakası Bu yıl ABD’de H5N1 vakalarının çoğunun (bir istisna dışında) sığır veya kümes hayvanlarından kaynaklandığı düşünülüyor. Bu yeni sonuçlar, yayınlandı Perşembe günü CDC’nin Haftalık Morbidite ve Ölüm Raporu, H5N1’in artık insanlar arasında yayıldığını öne sürmüyor, ancak bu tür potansiyel felaketleri önlemek için daha fazla dikkatli olunması gerektiğini belirtiyorlar.

CDC, yerel süt çiftliği işçileriyle görüşmek ve kan testleri yapmak için Michigan ve Colorado’daki (her iki eyalette de süt ineği salgınlarının görüldüğü eyalet) sağlık yetkilileriyle birlikte çalıştı. Kan testi yapılan 115 işçiden sekizinde H5N1 antikorları vardı; bu, geçmişte virüse yakalanmış olduklarının bir işaretiydi. Ancak bu işçilerden yalnızca dördü yakın zamanda hasta olduklarını hatırlıyordu.

İşin iyi tarafı, bu gizli vakalar, virüsün en azından henüz insanlara adapte olduğu anlamına gelmiyor. Enfekte işçiler yakın zamanda inek sağdıklarını veya sağımhaneyi temizlediklerini bildirdiler ve dört hasta vakanın tümü yakınlardaki ineklerde H5N1 tespit edilen çiftliklerde çalıştı. Bu, virüsün muhtemelen ineklerden bu işçilere yayıldığını gösteriyor. Diğer veriler son zamanlarda ABD’de olağandışı grip aktivitesine dair herhangi bir işaret göstermedi; bu da H5N1’in genel nüfusa yayılma olasılığını daha da azaltıyor.

Ancak bu yıl 48 eyalette süt ineklerinde H5N1 salgınları meydana geldi ve muhtemelen binlerce işçi bu enfekte ineklere maruz kaldı. Dolayısıyla bugüne kadar tespit edilen doğrulanmış insan vakaları neredeyse kesinlikle gerçek ölü sayısının önemli ölçüde eksik tahminidir.

Bu virüsler kuşlardan memelilere ne kadar yayılırsa, genel olarak memeliler arasında kolaylıkla yayılabilen türlere dönüşme olasılıkları da o kadar yüksek olur. Ve H5N1’in insanlara bulaşma şansı ne kadar artarsa, bir türün onu insanlarda hızlı yayılan, ölümcül bir salgına dönüştürecek doğru mutasyon karışımını yakalama olasılığı da o kadar artar. Dolayısıyla bu erken vakaları bulma konusunda ne kadar kötü olursak, H5N1’in büyük bir sorun haline gelmesini önlemek de o kadar zor olacak.

CDC araştırmacıları, H5N1’in süt çiftliklerinde yayılmasını izlemek ve önlemek için açıkça daha fazlasına ihtiyaç duyulduğunu söylüyor.

“Bulgular, maruz kalan işçilerin aktif olarak izlenmesi ve çok hafif semptomları olan kişiler de dahil olmak üzere HPAI A(H5) enfeksiyonlarını tespit etmek ve tedavi etmek için test yapılması ihtiyacını destekliyor” diye yazdılar. “Bu çabalar, çiftçilerin enfeksiyon riskleri ve önleme tedbirleri konusunda eğitimi ile birleştirilmelidir.”

08 Kasım 2024Ravie LakshmananKötü Amaçlı Yazılım / Sanallaştırma

Siber güvenlik araştırmacıları, tehlikeye atılan ana bilgisayarlara uzaktan erişim sağlayabilen bir arka kapı içeren bir Linux sanal örneğiyle Windows sistemlerine bulaşan yeni bir kötü amaçlı yazılım kampanyasını işaretledi.

Kod adı “ilgi çekici” kampanya CRON#TUZAKbüyük olasılıkla bir kimlik avı e-postası yoluyla ZIP arşivi biçiminde dağıtılan kötü amaçlı bir Windows kısayol (LNK) dosyasıyla başlıyor.

Securonix araştırmacıları Den Iuzvyk ve Tim Peck, “CRON#TRAP kampanyasını özellikle endişe verici kılan şey, taklit edilmiş Linux örneğinin, saldırgan tarafından kontrol edilen bir komuta ve kontrol (C2) sunucusuna otomatik olarak bağlanan bir arka kapıyla önceden yapılandırılmış olarak gelmesidir.” söz konusu bir analizde.

“Bu kurulum, saldırganın kurbanın makinesinde gizli bir varlık sürdürmesine, gizli bir ortamda daha fazla kötü amaçlı aktivite gerçekleştirmesine ve geleneksel antivirüs çözümlerinin tespitini zorlaştırmasına olanak tanıyor.”

Kimlik avı mesajları, açıldığında bulaşma sürecini tetikleyen 285 MB’lık büyük bir ZIP arşiviyle birlikte gelen bir “OneAmerica anketi” gibi görünüyor.

Henüz ilişkilendirilmemiş saldırı kampanyasının bir parçası olarak LNK dosyası, meşru, açık kaynaklı bir sanallaştırma aracı olan Quick Emulator (QEMU) aracılığıyla taklit edilen hafif, özel bir Linux ortamını çıkarmak ve başlatmak için bir kanal görevi görüyor. Sanal makine Tiny Core Linux üzerinde çalışmaktadır.

Kısayol daha sonra ZIP dosyasının yeniden çıkarılmasından ve gizli bir “start.bat” komut dosyasının yürütülmesinden sorumlu PowerShell komutlarını başlatır ve bu komut, kurbana anket bağlantısının artık olmadığı izlenimini vermek için sahte bir hata mesajı görüntüler. çalışma.

Ancak arka planda, Chisel tünelleme yardımcı programıyla önceden yüklenmiş olarak gelen PivotBox olarak adlandırılan QEMU sanal Linux ortamını kurar ve QEMU örneğinin başlatılmasının hemen ardından ana bilgisayara uzaktan erişim sağlar.

“İkili dosya, 18.208.230 adresindeki uzak Komuta ve Kontrol (C2) sunucusuna bağlanmak üzere tasarlanmış, önceden yapılandırılmış bir Chisel istemcisi gibi görünüyor[.]Araştırmacılar, “Saldırganların yaklaşımı, bu Chisel istemcisini etkili bir şekilde tam bir arka kapıya dönüştürerek uzaktan kumanda ve kontrol trafiğinin Linux ortamına girip çıkmasını sağlıyor.”

Bu gelişme, tehdit aktörlerinin kuruluşları hedef almak ve kötü niyetli faaliyetleri gizlemek için kullandığı sürekli gelişen taktiklerden biridir; bunun örneği, Avrupa ülkelerindeki elektronik imalat, mühendislik ve sanayi şirketlerini hedef aldığı gözlemlenen hedef odaklı kimlik avı kampanyasıdır. kaçamak GuLoader kötü amaçlı yazılımını dağıtın.

Cado Güvenlik araştırmacısı Tara Gould, “E-postalar genellikle sipariş sorgularını içerir ve bir arşiv dosyası eki içerir.” söz konusu. “E-postalar, sahte şirketler ve güvenliği ihlal edilmiş hesaplar da dahil olmak üzere çeşitli e-posta adreslerinden gönderiliyor. E-postalar genellikle mevcut bir e-posta dizisini ele geçiriyor veya bir siparişle ilgili bilgi talep ediyor.”

Ağırlıklı olarak Romanya, Polonya, Almanya, Kazakistan gibi ülkeleri hedef alan faaliyet, arşiv dosyası içerisinde yer alan bir toplu iş dosyasıyla başlıyor. Toplu iş dosyası, daha sonra uzak bir sunucudan başka bir PowerShell betiğini indiren, gizlenmiş bir PowerShell betiği içerir.

İkincil PowerShell betiği, belleği ayırma ve sonuçta bir sonraki aşamadaki yükü getirmek için GuLoader kabuk kodunu yürütme işlevini içerir.

Gould, “Guloader kötü amaçlı yazılımı, tespit edilmekten kaçınmak ve RAT göndermek için tekniklerini uyarlamaya devam ediyor” dedi. “Tehdit aktörleri sürekli olarak belirli ülkelerdeki belirli sektörleri hedef alıyor. Dayanıklılığı, proaktif güvenlik önlemlerine olan ihtiyacın altını çiziyor.”

06 Kasım 2024Ravie LakshmananKötü Amaçlı Yazılım / Çevrimiçi Güvenlik

Siber güvenlik araştırmacıları, bir komuta ve kontrol (C&C) çerçevesinin çağrıldığı konusunda uyarıyorlar. Şaraplar kurulum araçları, hız artırıcılar ve optimizasyon yardımcı programları gibi oyunla ilgili uygulamalar içinde dağıtılmaktadır.

Fortinet FortiGuard Labs, “Winos 4.0, kapsamlı işlevsellik, istikrarlı bir mimari ve daha fazla eylemi gerçekleştirmek için çok sayıda çevrimiçi uç nokta üzerinde etkili kontrol sunan gelişmiş bir kötü amaçlı yazılım çerçevesidir.” söz konusu The Hacker News ile paylaşılan bir raporda. “Gh0st RAT’tan yeniden oluşturuldu ve her biri farklı işlevleri yerine getiren çeşitli modüler bileşenler içeriyor.”

Winos 4.0’ı dağıtan kampanyalar Haziran ayında Trend Micro ve KnownSec 404 Ekibi tarafından belgelendi. Siber güvenlik şirketleri, faaliyet kümesini Void Arachne ve Silver Fox isimleri altında takip ediyor.

Kötü amaçlı yazılımı dağıtmak için siyah şapkalı Arama Motoru Optimizasyonu (SEO) taktiklerinden, sosyal medyadan ve Telegram gibi mesajlaşma platformlarından yararlanarak Çince konuşan kullanıcıları hedef alan saldırılar gözlemlendi.

Fortinet’in son analizi, oyunla ilgili kötü amaçlı uygulamaları çalıştıran kullanıcıların, uzak bir sunucudan sahte bir BMP dosyası (“ad59t82g) almakla başlayan çok aşamalı bir enfeksiyon sürecini tetiklediğini gösteriyor.”[.]com”) daha sonra dinamik bağlantı kitaplığına (DLL) dönüştürülür.

DLL dosyası, aynı sunucudan üç dosyayı indirerek yürütme ortamının ayarlanmasıyla ilgilenir: t3d.tmp, t4d.tmp ve t5d.tmp; bunlardan ilk ikisi daha sonra yürütülebilir bir dosya içeren bir sonraki yük kümesini elde etmek için paketten çıkarılır. (“u72kOdQ.exe”) ve “libcef.dll” dahil olmak üzere üç DLL dosyası.

Fortinet, “DLL’nin adı ‘学籍系统’, yani ‘Öğrenci Kayıt Sistemi’ anlamına geliyor ve bu da tehdit aktörünün eğitim kuruluşlarını hedef alıyor olabileceğini gösteriyor.” dedi.

Bir sonraki adımda, ikili dosya “libcef.dll”yi yüklemek için kullanılır ve daha sonra ikinci aşama kabuk kodunu t5d.tmp’den çıkarır ve çalıştırır. Kötü amaçlı yazılım, komuta ve kontrol (C2) sunucusuyla (“202.79.173) bağlantı kurmaya devam ediyor[.]TCP protokolünü kullanarak “.4” dosyasını açın ve başka bir DLL (“上线模块.dll”) alın.

Winos 4.0’ın bir parçası olan üçüncü aşama DLL, sistem bilgilerinin toplanmasından, pano içeriğinin kopyalanmasından, OKX gibi kripto para birimi cüzdan uzantılarından veri toplanmasından sorumlu olan yeni bir DLL modülü (“登录模块.dll”) olan C2 sunucusundan kodlanmış verileri indirir. Cüzdan ve MetaMask ve sunucudan gelecek diğer komutları bekleyerek arka kapı işlevselliğini kolaylaştırma.

Winos 4.0 ayrıca C2 sunucusundan ekran görüntüleri yakalamasına ve ele geçirilen sistemden hassas belgeleri yüklemesine olanak tanıyan ek eklentilerin sağlanmasına da olanak tanıyor.

Fortinet, “Winos4.0, Cobalt Strike ve Sliver’a benzer, birden fazla işlevi destekleyebilen ve güvenliği ihlal edilmiş sistemleri kolayca kontrol edebilen güçlü bir çerçevedir” dedi. “Tehdit kampanyaları, kurbanı kötü amaçlı yazılımı dikkatli bir şekilde indirmeye ve çalıştırmaya ikna etmek ve sistemin derin kontrolünü başarılı bir şekilde dağıtmak için oyunla ilgili uygulamalardan yararlanıyor.”

YouTuber Eric Parker gösteri yaptı yeni bir video Windows XP gibi klasik Windows işletim sistemlerini 2024 yılında hiçbir güvenlik önlemi olmadan (güvenlik duvarları veya yönlendiriciler dahil) internete bağlamanın ne kadar tehlikeli olduğu. YouTuber, ne kadar virüs çekeceğini görmek için tamamen güvenli olmayan bir internet bağlantısına sahip bir Windows XP sanal makinesi kurdu. Birkaç dakika içinde işletim sistemi zaten çeşitli virüslerin saldırısı altındaydı.

Herhangi bir güvenlik kullanmadan bir bilgisayarı kasıtlı olarak internete bağlamak aptalca görünebilir. Ancak 2000’li yılların başında bir bilgisayarı yönlendirici olmadan doğrudan internete bağlamak normaldi. Windows XP’nin yerleşik bir güvenlik duvarı olduğu kabul edilir ve çoğu kişi o zamanlar anti-virüs yazılımı kullanıyordu. Yine de, tamamen korumasız bir durumda (kasıtlı veya kazara) çalıştırmak, yeni işletim sistemlerinden çok daha kolaydı. Üstelik, işletim sistemi artık güvenlik güncellemelerini almadığından, Windows XP’yi 2024’te güvenli olmayan şekilde çalıştırmak daha da tehlikelidir ve bu da bilgisayar korsanlarının işletim sistemine girmesini çok kolaylaştırır.