از Log Source های مهم SIEM 📊


https://t.me/Blue_Trace

🚨 کشف آسیب‌پذیری امنیتی در پروتکل پرکاربرد AI؛ نگرانی برای کاربران و توسعه‌دهندگان

یک آسیب‌پذیری امنیتی جدید در Model Context Protocol (MCP) — یکی از پروتکل‌های مورد استفاده در ابزارهای هوش مصنوعی — شناسایی شده که می‌تواند طیف گسترده‌ای از سیستم‌ها و کاربران را تحت تأثیر قرار دهد.

این خبر در تاریخ 22 تا 23 آوریل 2026 (اوایل اردیبهشت 1405) منتشر شده و به‌سرعت مورد توجه کارشناسان امنیت سایبری قرار گرفته است.

بر اساس گزارش منتشرشده، این آسیب‌پذیری از نوع اجرای کد از راه دور (Remote Code Execution - RCE) است. به این معنا که در صورت سوءاستفاده، مهاجم می‌تواند از طریق ارسال ورودی‌های مخرب، کدهای خود را روی سیستم هدف اجرا کند. علت اصلی این مشکل، پردازش ناامن داده‌های ورودی (عدم اعتبارسنجی مناسب) در این پروتکل عنوان شده است.

گزارش‌ها نشان می‌دهند این پروتکل در چندین زبان برنامه‌نویسی از جمله Python، JavaScript و Rust پیاده‌سازی شده و به‌طور گسترده در ابزارها و زیرساخت‌های مرتبط با هوش مصنوعی مورد استفاده قرار می‌گیرد. همین موضوع باعث شده دامنه تأثیر این آسیب‌پذیری قابل‌توجه باشد.

کارشناسان هشدار داده‌اند که در صورت عدم به‌روزرسانی یا اعمال اصلاحات امنیتی، این ضعف می‌تواند برای دسترسی غیرمجاز، اجرای دستورات مخرب و حتی سرقت داده‌ها مورد استفاده قرار گیرد.

https://t.me/Blue_Trace

یک Alert از کجا میاد؟
کی واقعیه ؟ کی False Positive ؟
توی این PDF همشو ساده و کاربردی توضیح دادم✅



https://t.me/Blue_Trace

MITRE ATT&CK یه نقشه راهه برای فهمیدن اینکه حمله‌ها دقیقاً چطور اتفاق میفتن.
اگر این مدل فکری رو یاد بگیری، به‌جای دیدن لاگ، رفتار مهاجم رو می‌بینی.
📌 اینو سیو کن، خیلی به کارت میاد.



https://t.me/Blue_Trace

Sysmon VS Windows Logs🔥



https://t.me/Blue_Trace

Detection Use Caseها پایه واقعی کار در SOC هستن.
اگر ندونی چی رو باید detect کنی، هیچ ابزاری به دردت نمی‌خوره.
توی این PDF به‌صورت عملی بررسی کردم:
Login Anomaly چطور کار می‌کنه
Data Exfiltration چطور شناسایی میشه
و چطور Detectionها رو واقعی و قابل استفاده طراحی کنیم.


گردآورنده: زهرا خادمی

https://t.me/Blue_Trace

🚨 افزوده شدن 8 آسیب‌پذیری در حال سوءاستفاده به لیست CISA KEV؛ هشدار برای تیم‌های SOC

سازمان امنیت سایبری و زیرساخت آمریکا (CISA) اعلام کرد که در تاریخ 20 آوریل 2026 (31 فروردین 1405)، هشت آسیب‌پذیری جدید را به فهرست Known Exploited Vulnerabilities (KEV) اضافه کرده است؛ فهرستی که تنها شامل آسیب‌پذیری‌هایی است که شواهد قطعی از سوءاستفاده آن‌ها در حملات واقعی وجود دارد.

بر اساس این گزارش، آسیب‌پذیری‌های جدید طیف متنوعی از محصولات سازمانی را تحت تأثیر قرار می‌دهند، از جمله Cisco Catalyst SD-WAN Manager، JetBrains TeamCity، PaperCut NG/MF، Zimbra Collaboration Suite و Quest KACE SMA. نوع این آسیب‌پذیری‌ها شامل مواردی مانند دور زدن احراز هویت (Authentication Bypass)، Path Traversal، افشای اطلاعات و نقص در کنترل دسترسی است.

کارشناسان امنیتی تأکید کرده‌اند که این آسیب‌پذیری‌ها در سناریوهای واقعی حمله مورد استفاده قرار گرفته‌اند و می‌توانند به‌عنوان نقطه ورود اولیه (Initial Access) یا برای حرکت در شبکه (Lateral Movement) توسط مهاجمان مورد بهره‌برداری قرار گیرند.

CISA در همین راستا اعلام کرده است که سازمان‌ها، به‌ویژه نهادهای دولتی، باید در بازه زمانی تعیین‌شده نسبت به رفع این آسیب‌پذیری‌ها اقدام کنند. این موضوع نشان‌دهنده اولویت بالای این تهدیدها در مدیریت ریسک امنیتی است.

📌 جمع‌بندی:
افزوده شدن این آسیب‌پذیری‌ها به لیست KEV نشان می‌دهد که مهاجمان همچنان از ضعف‌های شناخته‌شده در نرم‌افزارهای سازمانی برای نفوذ استفاده می‌کنند. برای تیم‌های SOC، پایش مداوم این لیست و اولویت‌بندی اصلاحات امنیتی بر اساس آن، یکی از مهم‌ترین اقدامات در کاهش سطح حمله و جلوگیری از نفوذهای موفق محسوب می‌شود.


https://t.me/Blue_Trace

📥Network Ports


https://t.me/Blue_Trace

If you see this -> It means this


https://t.me/Blue_Trace

🚨 کشف بدافزار خطرناک در Google Play؛ بیش از 2 میلیون کاربر اندروید آلوده شدند

یک کمپین بدافزاری جدید با نام NoVoice در فروشگاه رسمی Google Play شناسایی شده که توانسته بیش از 2.3 میلیون دستگاه اندرویدی را آلوده کند.

این گزارش در تاریخ 1 آوریل 2026 (12 فروردین 1405) منتشر شده و به‌سرعت به یکی از مهم‌ترین تهدیدهای امنیتی حوزه موبایل تبدیل شده است.

بر اساس بررسی محققان امنیتی، این بدافزار در قالب بیش از 50 اپلیکیشن به‌ظاهر سالم منتشر شده است؛ از جمله برنامه‌های گالری، پاک‌کننده (Cleaner) و بازی‌های ساده. این اپلیکیشن‌ها عملکرد عادی داشته و رفتار مشکوکی از خود نشان نمی‌دادند، به همین دلیل توانسته‌اند از مکانیزم‌های امنیتی Google Play عبور کنند.

🔍 جزئیات فنی حمله:
بدافزار NoVoice پس از نصب، به‌صورت مخفی در پس‌زمینه اجرا شده و اقدام به جمع‌آوری اطلاعات دستگاه می‌کند. این بدافزار در برخی موارد تلاش می‌کند با سوءاستفاده از آسیب‌پذیری‌های سیستم، سطح دسترسی خود را افزایش دهد و دستورات مخرب را اجرا کند. همچنین گزارش شده که امکان برقراری ارتباط با سرورهای مهاجم و دریافت فرمان از راه دور نیز وجود دارد.

⚠️ نکته مهم:
این بدافزار بدون ایجاد نشانه‌های واضح، دستگاه را آلوده می‌کند و از آنجا که از طریق یک مارکت رسمی منتشر شده، بسیاری از کاربران بدون آگاهی آن را نصب کرده‌اند. این موضوع نشان می‌دهد حتی منابع رسمی نیز در برخی موارد می‌توانند هدف سوءاستفاده قرار بگیرند.

📌 جمع‌بندی:
این کمپین نمونه‌ای از حملات گسترده موبایلی است که با استفاده از اپلیکیشن‌های ظاهراً بی‌خطر، کاربران زیادی را هدف قرار داده است. کارشناسان توصیه می‌کنند کاربران تنها از توسعه‌دهندگان معتبر برنامه نصب کرده، دسترسی‌های اپلیکیشن‌ها را بررسی کنند و سیستم‌عامل خود را به‌روز نگه دارند تا ریسک چنین تهدیداتی کاهش یابد.

https://t.me/Blue_Trace

🚨 شکاف امنیتی در هوش مصنوعی مایکروسافت؛ خطر نشت اطلاعات حساس سازمانی

گزارش‌های جدید امنیتی نشان می‌دهد که سه آسیب‌پذیری بحرانی در سیستم Microsoft 365 Copilot کشف شده است که می‌تواند اطلاعات محرمانه شرکت‌ها و کاربران را در معرض دسترسی غیرمجاز قرار دهد. این خبر امروز، ۹ می ۲۰۲۶ (۱۹ اردیبهشت ۱۴۰۵)، توسط منابعی همچون CybersecurityNews و SecurityWeek به تیتر اول رسانه‌های فناوری تبدیل شده است.
بر اساس این گزارش‌ها، مایکروسافت سه حفره امنیتی (CVE) را شناسایی کرده که مستقیماً بر روی هوش مصنوعی Copilot در محیط‌های کاری و مرورگر Edge تأثیر می‌گذارند:
این آسیب‌پذیری‌ها به هکرها اجازه می‌دهند بدون نیاز به نام کاربری یا رمز عبور، به داده‌های حساس نفوذ کنند.
اطلاعاتی مانند ایمیل‌های سازمانی، اسناد محرمانه و چت‌های تیمی در معرض خطر نشت قرار گرفته‌اند.
مایکروسافت اعلام کرده که فرآیند اصلاح (Patch) این حفره‌ها را آغاز کرده است، اما ابعاد دقیق سوءاستفاده‌های احتمالی هنوز در حال بررسی است.
🔍 جزئیات فنی و ابعاد تهدید:
طبق تحلیل‌های فنی، این حفره‌های امنیتی پتانسیل بالایی برای جاسوسی صنعتی دارند:
هدف قرار دادن داده‌های تجاری: از آنجایی که Copilot به تمامی فایل‌های ابری یک سازمان دسترسی دارد، هرگونه ضعف در آن به معنای باز شدن درهای گاوصندوق اطلاعاتی شرکت است.
حمله بدون نیاز به تعامل کاربر: هکرها می‌توانند از راه دور و بدون اینکه کاربر متوجه شود یا روی لینکی کلیک کند، فرآیند استخراج داده را انجام دهند.
تزریق فرمان (Command Injection): مهاجمان می‌توانند دستورات مخربی را به هوش مصنوعی القا کنند تا اطلاعات خاصی را برای آن‌ها ارسال کند.
این موضوع باعث شده تا بسیاری از کارشناسان، سال ۲۰۲۶ را «سال حملات مبتنی بر AI» نام‌گذاری کنند؛ جایی که خود ابزارهای هوش مصنوعی به مسیری برای ورود نفوذگران تبدیل می‌شوند.
⚠️ نکته مهم:
اگرچه مایکروسافت اعلام کرده که اصلاحات امنیتی را به صورت خودکار اعمال می‌کند، اما به مدیران IT توصیه شده است که سطوح دسترسی هوش مصنوعی به اسناد حساس را مجدداً بازنگری کنند. کاربران عادی نیز باید مراقب پاسخ‌های غیرعادی Copilot باشند که ممکن است نشان‌دهنده یک تلاش برای مهندسی اجتماعی باشد.
📌 جمع‌بندی:
این گزارش نشان می‌دهد که با وجود کارایی بالای دستیارهای هوش مصنوعی، امنیت آن‌ها همچنان پاشنه آشیل دنیای فناوری است. نفوذ به سیستمی که به تمام ایمیل‌ها و فایل‌های شما دسترسی دارد، می‌تواند پیامدهایی به مراتب سنگین‌تر از یک بدافزار معمولی داشته باشد.

https://t.me/Blue_Trace

وقتی تهدید از داخل سازمان می آید 🎭


گردآورنده: زهرا خادمی


https://t.me/Blue_Trace

Normal VS Suspicious Behavior ✅


https://t.me/Blue_Trace

🚨 شناسایی اولین حمله Zero-Day مبتنی بر هوش مصنوعی (AI-Assisted Zero-Day Attack)

گوگل و تیم Google Threat Intelligence Group (GTIG) اعلام کردند برای اولین بار یک حمله واقعی Zero-Day شناسایی شده که در فرآیند کشف و توسعه exploit آن از هوش مصنوعی استفاده شده است. این خبر در تاریخ 12 مه 2026 (22 اردیبهشت 1405) منتشر شد و بسیاری از کارشناسان آن را آغاز «عصر حملات AI-Assisted» می‌دانند.

بر اساس گزارش‌ها، مهاجمان با کمک مدل‌های هوش مصنوعی موفق شدند آسیب‌پذیری‌ای را شناسایی و exploit کنند که امکان دور زدن مکانیزم احراز هویت دومرحله‌ای (2FA Bypass) را فراهم می‌کرد. این حمله توسط یک گروه تهدید پیشرفته (APT) توسعه داده شده و نشان‌دهنده ورود AI به مرحله عملیاتی در حملات سایبری است.

🔍 جزئیات فنی:
طبق تحلیل منتشرشده، مهاجمان از AI برای تحلیل حجم زیادی از کدها، شناسایی الگوهای آسیب‌پذیر و تسریع فرآیند توسعه exploit استفاده کرده‌اند. برخلاف روش‌های سنتی که ممکن است هفته‌ها یا ماه‌ها زمان ببرد، استفاده از AI باعث شده فرآیند کشف آسیب‌پذیری و ساخت exploit با سرعت بسیار بیشتری انجام شود.

این حمله در دسته حملات Zero-Day قرار می‌گیرد؛ یعنی پیش از انتشار Patch یا اطلاع عمومی، مورد سوءاستفاده قرار گرفته است.

🛡 وضعیت CVE:
تا این لحظه شناسه CVE رسمی برای این آسیب‌پذیری منتشر نشده است و جزئیات فنی کامل آن نیز هنوز محرمانه باقی مانده‌اند.

⚠️ میزان اهمیت تهدید:

استفاده عملیاتی از AI در حملات واقعی سایبری

افزایش سرعت کشف و exploit آسیب‌پذیری‌ها

امکان تولید خودکار exploit توسط مهاجمان

تهدید جدی برای مکانیزم‌های سنتی دفاعی و 2FA

آغاز نسل جدید حملات AI-Assisted

📌 جمع‌بندی:
این اتفاق نشان می‌دهد هوش مصنوعی دیگر فقط یک ابزار دفاعی نیست و مهاجمان نیز به‌صورت جدی از آن استفاده می‌کنند. کارشناسان امنیتی توصیه می‌کنند سازمان‌ها علاوه بر Patch Management، از راهکارهای مبتنی بر رفتارشناسی (Behavioral Detection)، EDR/XDR و Threat Intelligence پیشرفته استفاده کنند تا بتوانند حملات نسل جدید مبتنی بر AI را شناسایی و مهار کنند.


https://t.me/Blue_Trace

SSO /Oauth Flows

https://t.me/Blue_Trace

🚨 حملات فعال علیه فایروال‌های Palo Alto با سوءاستفاده از Zero-Day بحرانی PAN-OS

شرکت Palo Alto Networks تأیید کرده که مهاجمان وابسته به دولت‌ها (Nation-State Actors) از یک آسیب‌پذیری Zero-Day بحرانی در سیستم‌عامل PAN-OS برای نفوذ به فایروال‌های سازمانی استفاده کرده‌اند. این خبر در تاریخ 6 مه 2026 (16 اردیبهشت 1405) منتشر شد و به‌سرعت در فهرست KEV سازمان CISA قرار گرفت.

🔖 شناسه آسیب‌پذیری:
CVE-2026-0300

📌 شدت آسیب‌پذیری:
CVSS 9.3 — Critical

بر اساس گزارش‌ها، این آسیب‌پذیری یک Buffer Overflow در سرویس User-ID Authentication Portal (Captive Portal) است که به مهاجم اجازه می‌دهد بدون نیاز به احراز هویت، کد دلخواه خود را با سطح دسترسی root روی فایروال اجرا کند.

🔍 جزئیات فنی:
این حمله سیستم‌های PA-Series و VM-Series را هدف قرار می‌دهد؛ مخصوصاً فایروال‌هایی که Captive Portal آن‌ها در اینترنت در دسترس است.

مهاجمان پس از exploitation موفق:

- Shellcode داخل nginx inject کرده‌اند
- ابزارهای تونل‌سازی مانند EarthWorm و ReverseSocks5 را اجرا کرده‌اند
- اقدام به Active Directory Enumeration کرده‌اند
- لاگ‌ها و شواهد نفوذ را حذف کرده‌اند

طبق گزارش Unit42، حملات از اوایل آوریل 2026 آغاز شده و مهاجمان هفته‌ها بدون شناسایی در شبکه‌ها حضور داشته‌اند.

⚠️ میزان اهمیت تهدید:

Remote Code Execution بدون احراز هویت

دسترسی کامل root روی فایروال

مناسب برای جاسوسی و حملات APT

امکان Pivot و حرکت جانبی در شبکه

حذف لاگ‌ها و دشوار شدن شناسایی حمله

🛡 نسخه‌های آسیب‌پذیر:

- PAN-OS 10.2
- PAN-OS 11.1
- PAN-OS 11.2
- PAN-OS 12.1

نسخه‌های Patch شده توسط Palo Alto منتشر شده‌اند و سازمان‌ها باید فوراً به‌روزرسانی انجام دهند.

📌 توصیه امنیتی:
کارشناسان توصیه می‌کنند:

- Captive Portal را از اینترنت جدا کنید
- Response Pages را روی Interfaceهای Public غیرفعال کنید
- IOCها و لاگ‌های مشکوک را بررسی کنید
- Patchهای رسمی Palo Alto را سریعاً نصب کنید
- از EDR/XDR و Threat Hunting استفاده شود

این حمله یکی از مهم‌ترین Zero-Dayهای سال 2026 محسوب می‌شود و نشان می‌دهد حتی تجهیزات امنیتی سازمانی نیز به هدف اصلی مهاجمان دولتی تبدیل شده‌اند.

https://t.me/Blue_Trace

🚨 خطرناک‌ترین حملات سایبری، اصلاً شبیه به حمله نیستند!

در دنیای امنیت سنتی، همه ما یاد گرفته‌ایم به دنبال رفتارهای عجیب و پر سر و صدا بگردیم؛ چیزهایی مثل ترافیک ناگهانی، ارتباط با IPهای مخرب یا فایل‌های ناشناس. اما مهاجمان مدرن هوشمندتر از این حرف‌ها هستند. آن‌ها تلاش می‌کنند تا حد ممکن رفتاری «عادی» داشته باشند و در هیاهوی فعالیت‌های روزمره سازمان گم شوند.

در این فایل متنی که آماده کرده‌ام، به سراغ پارادایم جدیدی در دنیای امنیت و شکار تهدیدها رفتیم: رفتارهایی که کاملاً قانونی و عادی به نظر می‌رسند اما می‌توانند آغازگر یک فاجعه باشند.


گردآورنده: زهرا خادمی

لینک کانال بله : https://ble.ir/blue_trace
لینک کانال تلگرام: https://t.me/Blue_Trace

Alert VS Reality


https://t.me/Blue_Trace

📡 این روزها با محدود شدن اینترنت بین‌الملل در ایران، خیلی‌ها به سراغ کانفیگ‌هایی رفتن که با اسم «استارلینک» فروخته می‌شن؛ در حالی که واقعیت اینه بیشتر این سرویس‌ها اصلاً ربطی به اینترنت ماهواره‌ای واقعی ندارن و در اصل نوعی VPN، پروکسی یا تونل دست‌ساز روی سرورهای ناشناس هستن. از دید مثبت، این کانفیگ‌ها برای خیلی از کاربران تبدیل به یک راه موقت برای دسترسی به اینترنت آزاد شدن؛ سرعت بعضی از اون‌ها قابل قبوله، محدودیت‌ها رو دور می‌زنن و در شرایطی که گزینه‌های رسمی در دسترس نیست، می‌تونن ارتباط کاربر با دنیای بیرون رو حفظ کنن. اما از طرف دیگه، بحث امنیتی اینجا خیلی جدی‌تر از چیزیه که به نظر میاد؛ وقتی شما از یک کانفیگ ناشناس استفاده می‌کنید، در واقع تمام ترافیک اینترنتی‌تون از یک واسطه عبور می‌کنه که هیچ شناختی ازش ندارید، و این یعنی اون فرد یا سرویس می‌تونه به اطلاعاتی مثل سایت‌هایی که باز می‌کنید، نوع استفاده‌تون از اپ‌ها و حتی در شرایطی داده‌های حساس دسترسی داشته باشه. اگر ارتباط به‌درستی رمزنگاری نشده باشه، ریسک لو رفتن پسوردها، پیام‌ها یا اطلاعات مهم وجود داره و حتی در سناریوهای پیشرفته‌تر، امکان حملاتی مثل Man-in-the-Middle هم هست که در اون مهاجم بین شما و اینترنت قرار می‌گیره و می‌تونه داده‌ها رو شنود یا دستکاری کنه. علاوه بر این، بعضی از این کانفیگ‌ها از طریق اپلیکیشن‌هایی ارائه می‌شن که ممکنه دسترسی‌های غیرضروری از دستگاه بگیرن یا حتی آلوده به بدافزار باشن، و از اونجایی که هیچ شفافیتی درباره محل سرور، نحوه مدیریت یا ذخیره‌سازی لاگ‌ها وجود نداره، عملاً شما کنترلی روی امنیت خودتون ندارید. در نهایت، باید این واقعیت رو در نظر گرفت که این ابزارها می‌تونن در کوتاه‌مدت کاربردی باشن، اما اگر بدون آگاهی استفاده بشن، ممکنه هزینه‌ای که بابتش می‌دید فقط پول نباشه، بلکه اطلاعات و حریم خصوصی‌تون هم در خطر قرار بگیره؛ پس استفاده از این سرویس‌ها باید با حداقل اعتماد، حداکثر احتیاط و پرهیز از انجام کارهای حساس همراه باشه.

https://ble.ir/blue_trace

📊Splunk Basics
Search , Analyze , Visualize


bale: https://ble.ir/blue_trace
telegram: https://t.me/Blue_Trace