🛡BlueTrace
Photo
📌 Modern Cyber Attacks Are No Longer About Breaking In — They’re About Logging In
در سالهای اخیر (۲۰۲۴–۲۰۲۵)، یکی از مهمترین و رایجترین نوع حملات سایبری، حملات مبتنی بر هویت یا Identity-Based Attacks هست. بر خلاف گذشته که تمرکز حملهها روی exploit و malware بود، امروز مهاجمها سعی نمیکنن سیستم رو هک کنن؛ بلکه سعی میکنن مثل یک کاربر واقعی واردش بشن.
این حملات معمولاً با phishing یا ابزارهای سرقت اطلاعات شروع میشن. مهاجمها با فریب کاربر، نام کاربری و رمز عبور یا حتی session cookie رو بهدست میارن. در مرحله بعد، با استفاده از تکنیکهایی مثل Adversary-in-the-Middle (AiTM) یا خسته کردن کاربر با درخواستهای مکرر (MFA fatigue)، احراز هویت چندمرحلهای (MFA) رو دور میزنن. وقتی به حساب دسترسی پیدا کردن، بدون نیاز به هیچ بدافزاری، وارد سیستم یا سرویسهای ابری مثل Microsoft 365 یا Azure میشن و فعالیتشون رو شروع میکنن.
چیزی که این نوع حمله رو خطرناک میکنه اینه که رفتار مهاجم کاملاً شبیه یک کاربر عادیه. لاگین واقعی انجام میده، از ابزارهای معمول استفاده میکنه و به همین دلیل شناسایی اون برای تیمهای امنیتی سختتر میشه. در خیلی از موارد، هیچ فایل مخربی روی سیستم دیده نمیشه و همه چیز “نرمال” به نظر میاد.
با این حال، نشانههایی وجود داره که میتونه این نوع حملات رو مشخص کنه. مثلاً لاگین از موقعیت جغرافیایی غیرعادی، اتفاقی مثل impossible travel، تغییر ناگهانی سطح دسترسی، یا ایجاد ruleهای مشکوک در ایمیل. اینها همون جاهایی هستن که تیم SOC باید دقت بیشتری داشته باشه.
برای مقابله با این نوع حملات، تمرکز باید از صرفاً محافظت از سیستمها به سمت محافظت از هویتها تغییر کنه. استفاده از MFA قوی (مثل FIDO2 یا hardware key)، مانیتورینگ دقیق رفتار لاگینها، محدود کردن سطح دسترسیها (least privilege) و مهمتر از همه، correlation بین لاگهای مختلف در SIEM نقش کلیدی دارن. آموزش کاربران هم همچنان یکی از مهمترین خط دفاعیهاست.
https://t.me/Blue_Trace
در سالهای اخیر (۲۰۲۴–۲۰۲۵)، یکی از مهمترین و رایجترین نوع حملات سایبری، حملات مبتنی بر هویت یا Identity-Based Attacks هست. بر خلاف گذشته که تمرکز حملهها روی exploit و malware بود، امروز مهاجمها سعی نمیکنن سیستم رو هک کنن؛ بلکه سعی میکنن مثل یک کاربر واقعی واردش بشن.
این حملات معمولاً با phishing یا ابزارهای سرقت اطلاعات شروع میشن. مهاجمها با فریب کاربر، نام کاربری و رمز عبور یا حتی session cookie رو بهدست میارن. در مرحله بعد، با استفاده از تکنیکهایی مثل Adversary-in-the-Middle (AiTM) یا خسته کردن کاربر با درخواستهای مکرر (MFA fatigue)، احراز هویت چندمرحلهای (MFA) رو دور میزنن. وقتی به حساب دسترسی پیدا کردن، بدون نیاز به هیچ بدافزاری، وارد سیستم یا سرویسهای ابری مثل Microsoft 365 یا Azure میشن و فعالیتشون رو شروع میکنن.
چیزی که این نوع حمله رو خطرناک میکنه اینه که رفتار مهاجم کاملاً شبیه یک کاربر عادیه. لاگین واقعی انجام میده، از ابزارهای معمول استفاده میکنه و به همین دلیل شناسایی اون برای تیمهای امنیتی سختتر میشه. در خیلی از موارد، هیچ فایل مخربی روی سیستم دیده نمیشه و همه چیز “نرمال” به نظر میاد.
با این حال، نشانههایی وجود داره که میتونه این نوع حملات رو مشخص کنه. مثلاً لاگین از موقعیت جغرافیایی غیرعادی، اتفاقی مثل impossible travel، تغییر ناگهانی سطح دسترسی، یا ایجاد ruleهای مشکوک در ایمیل. اینها همون جاهایی هستن که تیم SOC باید دقت بیشتری داشته باشه.
برای مقابله با این نوع حملات، تمرکز باید از صرفاً محافظت از سیستمها به سمت محافظت از هویتها تغییر کنه. استفاده از MFA قوی (مثل FIDO2 یا hardware key)، مانیتورینگ دقیق رفتار لاگینها، محدود کردن سطح دسترسیها (least privilege) و مهمتر از همه، correlation بین لاگهای مختلف در SIEM نقش کلیدی دارن. آموزش کاربران هم همچنان یکی از مهمترین خط دفاعیهاست.
https://t.me/Blue_Trace
❤2
🚨 کشف آسیبپذیری Zero-Day در Microsoft Defender؛ هشدار برای بهروزرسانی فوری
یک آسیبپذیری امنیتی از نوع Zero-Day در ابزار Microsoft Defender با شناسه رسمی CVE-2026-33825 شناسایی شده که طبق گزارشها، در برخی حملات واقعی مورد سوءاستفاده قرار گرفته است.
این خبر در تاریخ 24 آوریل 2026 (4 اردیبهشت 1405) منتشر شده و توجه بسیاری از کارشناسان امنیتی را به خود جلب کرده است.
بر اساس اطلاعات منتشرشده، این آسیبپذیری از نوع افزایش سطح دسترسی (Privilege Escalation) است. به این معنا که مهاجم پس از دستیابی اولیه به سیستم (از طریق روشهایی مانند فیشینگ یا بدافزار)، میتواند با سوءاستفاده از این باگ، سطح دسترسی خود را افزایش داده و به سطحهای بالاتر مانند دسترسی سیستمی (SYSTEM) برسد.
گزارشها نشان میدهند این ضعف امنیتی در برخی سناریوهای واقعی مورد استفاده قرار گرفته و به همین دلیل در فهرست آسیبپذیریهای در حال سوءاستفاده (Known Exploited Vulnerabilities) قرار گرفته است.
سازمان امنیت سایبری و زیرساخت آمریکا (CISA) در این رابطه توصیه کرده است که سازمانها و کاربران در اسرع وقت بهروزرسانیهای امنیتی مربوطه را اعمال کنند تا از سوءاستفاده احتمالی جلوگیری شود.
https://t.me/Blue_Trace
یک آسیبپذیری امنیتی از نوع Zero-Day در ابزار Microsoft Defender با شناسه رسمی CVE-2026-33825 شناسایی شده که طبق گزارشها، در برخی حملات واقعی مورد سوءاستفاده قرار گرفته است.
این خبر در تاریخ 24 آوریل 2026 (4 اردیبهشت 1405) منتشر شده و توجه بسیاری از کارشناسان امنیتی را به خود جلب کرده است.
بر اساس اطلاعات منتشرشده، این آسیبپذیری از نوع افزایش سطح دسترسی (Privilege Escalation) است. به این معنا که مهاجم پس از دستیابی اولیه به سیستم (از طریق روشهایی مانند فیشینگ یا بدافزار)، میتواند با سوءاستفاده از این باگ، سطح دسترسی خود را افزایش داده و به سطحهای بالاتر مانند دسترسی سیستمی (SYSTEM) برسد.
گزارشها نشان میدهند این ضعف امنیتی در برخی سناریوهای واقعی مورد استفاده قرار گرفته و به همین دلیل در فهرست آسیبپذیریهای در حال سوءاستفاده (Known Exploited Vulnerabilities) قرار گرفته است.
سازمان امنیت سایبری و زیرساخت آمریکا (CISA) در این رابطه توصیه کرده است که سازمانها و کاربران در اسرع وقت بهروزرسانیهای امنیتی مربوطه را اعمال کنند تا از سوءاستفاده احتمالی جلوگیری شود.
https://t.me/Blue_Trace
Telegram
🛡BlueTrace
🔍Detect • Analyze • Defend
SOC | Blue Team | Threat Hunting
Turning logs into insights
SOC | Blue Team | Threat Hunting
Turning logs into insights
❤2
🚨 کشف آسیبپذیری امنیتی در پروتکل پرکاربرد AI؛ نگرانی برای کاربران و توسعهدهندگان
یک آسیبپذیری امنیتی جدید در Model Context Protocol (MCP) — یکی از پروتکلهای مورد استفاده در ابزارهای هوش مصنوعی — شناسایی شده که میتواند طیف گستردهای از سیستمها و کاربران را تحت تأثیر قرار دهد.
این خبر در تاریخ 22 تا 23 آوریل 2026 (اوایل اردیبهشت 1405) منتشر شده و بهسرعت مورد توجه کارشناسان امنیت سایبری قرار گرفته است.
بر اساس گزارش منتشرشده، این آسیبپذیری از نوع اجرای کد از راه دور (Remote Code Execution - RCE) است. به این معنا که در صورت سوءاستفاده، مهاجم میتواند از طریق ارسال ورودیهای مخرب، کدهای خود را روی سیستم هدف اجرا کند. علت اصلی این مشکل، پردازش ناامن دادههای ورودی (عدم اعتبارسنجی مناسب) در این پروتکل عنوان شده است.
گزارشها نشان میدهند این پروتکل در چندین زبان برنامهنویسی از جمله Python، JavaScript و Rust پیادهسازی شده و بهطور گسترده در ابزارها و زیرساختهای مرتبط با هوش مصنوعی مورد استفاده قرار میگیرد. همین موضوع باعث شده دامنه تأثیر این آسیبپذیری قابلتوجه باشد.
کارشناسان هشدار دادهاند که در صورت عدم بهروزرسانی یا اعمال اصلاحات امنیتی، این ضعف میتواند برای دسترسی غیرمجاز، اجرای دستورات مخرب و حتی سرقت دادهها مورد استفاده قرار گیرد.
https://t.me/Blue_Trace
یک آسیبپذیری امنیتی جدید در Model Context Protocol (MCP) — یکی از پروتکلهای مورد استفاده در ابزارهای هوش مصنوعی — شناسایی شده که میتواند طیف گستردهای از سیستمها و کاربران را تحت تأثیر قرار دهد.
این خبر در تاریخ 22 تا 23 آوریل 2026 (اوایل اردیبهشت 1405) منتشر شده و بهسرعت مورد توجه کارشناسان امنیت سایبری قرار گرفته است.
بر اساس گزارش منتشرشده، این آسیبپذیری از نوع اجرای کد از راه دور (Remote Code Execution - RCE) است. به این معنا که در صورت سوءاستفاده، مهاجم میتواند از طریق ارسال ورودیهای مخرب، کدهای خود را روی سیستم هدف اجرا کند. علت اصلی این مشکل، پردازش ناامن دادههای ورودی (عدم اعتبارسنجی مناسب) در این پروتکل عنوان شده است.
گزارشها نشان میدهند این پروتکل در چندین زبان برنامهنویسی از جمله Python، JavaScript و Rust پیادهسازی شده و بهطور گسترده در ابزارها و زیرساختهای مرتبط با هوش مصنوعی مورد استفاده قرار میگیرد. همین موضوع باعث شده دامنه تأثیر این آسیبپذیری قابلتوجه باشد.
کارشناسان هشدار دادهاند که در صورت عدم بهروزرسانی یا اعمال اصلاحات امنیتی، این ضعف میتواند برای دسترسی غیرمجاز، اجرای دستورات مخرب و حتی سرقت دادهها مورد استفاده قرار گیرد.
https://t.me/Blue_Trace
Telegram
🛡BlueTrace
🔍Detect • Analyze • Defend
SOC | Blue Team | Threat Hunting
Turning logs into insights
SOC | Blue Team | Threat Hunting
Turning logs into insights
Alert در SOC.pdf
229.6 KB
یک Alert از کجا میاد؟
کی واقعیه ؟ کی False Positive ؟
توی این PDF همشو ساده و کاربردی توضیح دادم✅
https://t.me/Blue_Trace
کی واقعیه ؟ کی False Positive ؟
توی این PDF همشو ساده و کاربردی توضیح دادم✅
https://t.me/Blue_Trace
MITRE ATT&CK یه نقشه راهه برای فهمیدن اینکه حملهها دقیقاً چطور اتفاق میفتن.
اگر این مدل فکری رو یاد بگیری، بهجای دیدن لاگ، رفتار مهاجم رو میبینی.
📌 اینو سیو کن، خیلی به کارت میاد.
https://t.me/Blue_Trace
اگر این مدل فکری رو یاد بگیری، بهجای دیدن لاگ، رفتار مهاجم رو میبینی.
📌 اینو سیو کن، خیلی به کارت میاد.
https://t.me/Blue_Trace
Detection Use Cases در SOC.pdf
227.6 KB
Detection Use Caseها پایه واقعی کار در SOC هستن.
اگر ندونی چی رو باید detect کنی، هیچ ابزاری به دردت نمیخوره.
توی این PDF بهصورت عملی بررسی کردم:
Login Anomaly چطور کار میکنه
Data Exfiltration چطور شناسایی میشه
و چطور Detectionها رو واقعی و قابل استفاده طراحی کنیم.
گردآورنده: زهرا خادمی
https://t.me/Blue_Trace
اگر ندونی چی رو باید detect کنی، هیچ ابزاری به دردت نمیخوره.
توی این PDF بهصورت عملی بررسی کردم:
Login Anomaly چطور کار میکنه
Data Exfiltration چطور شناسایی میشه
و چطور Detectionها رو واقعی و قابل استفاده طراحی کنیم.
گردآورنده: زهرا خادمی
https://t.me/Blue_Trace
🚨 افزوده شدن 8 آسیبپذیری در حال سوءاستفاده به لیست CISA KEV؛ هشدار برای تیمهای SOC
سازمان امنیت سایبری و زیرساخت آمریکا (CISA) اعلام کرد که در تاریخ 20 آوریل 2026 (31 فروردین 1405)، هشت آسیبپذیری جدید را به فهرست Known Exploited Vulnerabilities (KEV) اضافه کرده است؛ فهرستی که تنها شامل آسیبپذیریهایی است که شواهد قطعی از سوءاستفاده آنها در حملات واقعی وجود دارد.
بر اساس این گزارش، آسیبپذیریهای جدید طیف متنوعی از محصولات سازمانی را تحت تأثیر قرار میدهند، از جمله Cisco Catalyst SD-WAN Manager، JetBrains TeamCity، PaperCut NG/MF، Zimbra Collaboration Suite و Quest KACE SMA. نوع این آسیبپذیریها شامل مواردی مانند دور زدن احراز هویت (Authentication Bypass)، Path Traversal، افشای اطلاعات و نقص در کنترل دسترسی است.
کارشناسان امنیتی تأکید کردهاند که این آسیبپذیریها در سناریوهای واقعی حمله مورد استفاده قرار گرفتهاند و میتوانند بهعنوان نقطه ورود اولیه (Initial Access) یا برای حرکت در شبکه (Lateral Movement) توسط مهاجمان مورد بهرهبرداری قرار گیرند.
CISA در همین راستا اعلام کرده است که سازمانها، بهویژه نهادهای دولتی، باید در بازه زمانی تعیینشده نسبت به رفع این آسیبپذیریها اقدام کنند. این موضوع نشاندهنده اولویت بالای این تهدیدها در مدیریت ریسک امنیتی است.
📌 جمعبندی:
افزوده شدن این آسیبپذیریها به لیست KEV نشان میدهد که مهاجمان همچنان از ضعفهای شناختهشده در نرمافزارهای سازمانی برای نفوذ استفاده میکنند. برای تیمهای SOC، پایش مداوم این لیست و اولویتبندی اصلاحات امنیتی بر اساس آن، یکی از مهمترین اقدامات در کاهش سطح حمله و جلوگیری از نفوذهای موفق محسوب میشود.
https://t.me/Blue_Trace
سازمان امنیت سایبری و زیرساخت آمریکا (CISA) اعلام کرد که در تاریخ 20 آوریل 2026 (31 فروردین 1405)، هشت آسیبپذیری جدید را به فهرست Known Exploited Vulnerabilities (KEV) اضافه کرده است؛ فهرستی که تنها شامل آسیبپذیریهایی است که شواهد قطعی از سوءاستفاده آنها در حملات واقعی وجود دارد.
بر اساس این گزارش، آسیبپذیریهای جدید طیف متنوعی از محصولات سازمانی را تحت تأثیر قرار میدهند، از جمله Cisco Catalyst SD-WAN Manager، JetBrains TeamCity، PaperCut NG/MF، Zimbra Collaboration Suite و Quest KACE SMA. نوع این آسیبپذیریها شامل مواردی مانند دور زدن احراز هویت (Authentication Bypass)، Path Traversal، افشای اطلاعات و نقص در کنترل دسترسی است.
کارشناسان امنیتی تأکید کردهاند که این آسیبپذیریها در سناریوهای واقعی حمله مورد استفاده قرار گرفتهاند و میتوانند بهعنوان نقطه ورود اولیه (Initial Access) یا برای حرکت در شبکه (Lateral Movement) توسط مهاجمان مورد بهرهبرداری قرار گیرند.
CISA در همین راستا اعلام کرده است که سازمانها، بهویژه نهادهای دولتی، باید در بازه زمانی تعیینشده نسبت به رفع این آسیبپذیریها اقدام کنند. این موضوع نشاندهنده اولویت بالای این تهدیدها در مدیریت ریسک امنیتی است.
📌 جمعبندی:
افزوده شدن این آسیبپذیریها به لیست KEV نشان میدهد که مهاجمان همچنان از ضعفهای شناختهشده در نرمافزارهای سازمانی برای نفوذ استفاده میکنند. برای تیمهای SOC، پایش مداوم این لیست و اولویتبندی اصلاحات امنیتی بر اساس آن، یکی از مهمترین اقدامات در کاهش سطح حمله و جلوگیری از نفوذهای موفق محسوب میشود.
https://t.me/Blue_Trace
Telegram
🛡BlueTrace
🔍Detect • Analyze • Defend
SOC | Blue Team | Threat Hunting
Turning logs into insights
SOC | Blue Team | Threat Hunting
Turning logs into insights
🚨 کشف بدافزار خطرناک در Google Play؛ بیش از 2 میلیون کاربر اندروید آلوده شدند
یک کمپین بدافزاری جدید با نام NoVoice در فروشگاه رسمی Google Play شناسایی شده که توانسته بیش از 2.3 میلیون دستگاه اندرویدی را آلوده کند.
این گزارش در تاریخ 1 آوریل 2026 (12 فروردین 1405) منتشر شده و بهسرعت به یکی از مهمترین تهدیدهای امنیتی حوزه موبایل تبدیل شده است.
بر اساس بررسی محققان امنیتی، این بدافزار در قالب بیش از 50 اپلیکیشن بهظاهر سالم منتشر شده است؛ از جمله برنامههای گالری، پاککننده (Cleaner) و بازیهای ساده. این اپلیکیشنها عملکرد عادی داشته و رفتار مشکوکی از خود نشان نمیدادند، به همین دلیل توانستهاند از مکانیزمهای امنیتی Google Play عبور کنند.
🔍 جزئیات فنی حمله:
بدافزار NoVoice پس از نصب، بهصورت مخفی در پسزمینه اجرا شده و اقدام به جمعآوری اطلاعات دستگاه میکند. این بدافزار در برخی موارد تلاش میکند با سوءاستفاده از آسیبپذیریهای سیستم، سطح دسترسی خود را افزایش دهد و دستورات مخرب را اجرا کند. همچنین گزارش شده که امکان برقراری ارتباط با سرورهای مهاجم و دریافت فرمان از راه دور نیز وجود دارد.
⚠️ نکته مهم:
این بدافزار بدون ایجاد نشانههای واضح، دستگاه را آلوده میکند و از آنجا که از طریق یک مارکت رسمی منتشر شده، بسیاری از کاربران بدون آگاهی آن را نصب کردهاند. این موضوع نشان میدهد حتی منابع رسمی نیز در برخی موارد میتوانند هدف سوءاستفاده قرار بگیرند.
📌 جمعبندی:
این کمپین نمونهای از حملات گسترده موبایلی است که با استفاده از اپلیکیشنهای ظاهراً بیخطر، کاربران زیادی را هدف قرار داده است. کارشناسان توصیه میکنند کاربران تنها از توسعهدهندگان معتبر برنامه نصب کرده، دسترسیهای اپلیکیشنها را بررسی کنند و سیستمعامل خود را بهروز نگه دارند تا ریسک چنین تهدیداتی کاهش یابد.
https://t.me/Blue_Trace
یک کمپین بدافزاری جدید با نام NoVoice در فروشگاه رسمی Google Play شناسایی شده که توانسته بیش از 2.3 میلیون دستگاه اندرویدی را آلوده کند.
این گزارش در تاریخ 1 آوریل 2026 (12 فروردین 1405) منتشر شده و بهسرعت به یکی از مهمترین تهدیدهای امنیتی حوزه موبایل تبدیل شده است.
بر اساس بررسی محققان امنیتی، این بدافزار در قالب بیش از 50 اپلیکیشن بهظاهر سالم منتشر شده است؛ از جمله برنامههای گالری، پاککننده (Cleaner) و بازیهای ساده. این اپلیکیشنها عملکرد عادی داشته و رفتار مشکوکی از خود نشان نمیدادند، به همین دلیل توانستهاند از مکانیزمهای امنیتی Google Play عبور کنند.
🔍 جزئیات فنی حمله:
بدافزار NoVoice پس از نصب، بهصورت مخفی در پسزمینه اجرا شده و اقدام به جمعآوری اطلاعات دستگاه میکند. این بدافزار در برخی موارد تلاش میکند با سوءاستفاده از آسیبپذیریهای سیستم، سطح دسترسی خود را افزایش دهد و دستورات مخرب را اجرا کند. همچنین گزارش شده که امکان برقراری ارتباط با سرورهای مهاجم و دریافت فرمان از راه دور نیز وجود دارد.
⚠️ نکته مهم:
این بدافزار بدون ایجاد نشانههای واضح، دستگاه را آلوده میکند و از آنجا که از طریق یک مارکت رسمی منتشر شده، بسیاری از کاربران بدون آگاهی آن را نصب کردهاند. این موضوع نشان میدهد حتی منابع رسمی نیز در برخی موارد میتوانند هدف سوءاستفاده قرار بگیرند.
📌 جمعبندی:
این کمپین نمونهای از حملات گسترده موبایلی است که با استفاده از اپلیکیشنهای ظاهراً بیخطر، کاربران زیادی را هدف قرار داده است. کارشناسان توصیه میکنند کاربران تنها از توسعهدهندگان معتبر برنامه نصب کرده، دسترسیهای اپلیکیشنها را بررسی کنند و سیستمعامل خود را بهروز نگه دارند تا ریسک چنین تهدیداتی کاهش یابد.
https://t.me/Blue_Trace
Telegram
🛡BlueTrace
🔍Detect • Analyze • Defend
SOC | Blue Team | Threat Hunting
Turning logs into insights
SOC | Blue Team | Threat Hunting
Turning logs into insights
🚨 شکاف امنیتی در هوش مصنوعی مایکروسافت؛ خطر نشت اطلاعات حساس سازمانی
گزارشهای جدید امنیتی نشان میدهد که سه آسیبپذیری بحرانی در سیستم Microsoft 365 Copilot کشف شده است که میتواند اطلاعات محرمانه شرکتها و کاربران را در معرض دسترسی غیرمجاز قرار دهد. این خبر امروز، ۹ می ۲۰۲۶ (۱۹ اردیبهشت ۱۴۰۵)، توسط منابعی همچون CybersecurityNews و SecurityWeek به تیتر اول رسانههای فناوری تبدیل شده است.
بر اساس این گزارشها، مایکروسافت سه حفره امنیتی (CVE) را شناسایی کرده که مستقیماً بر روی هوش مصنوعی Copilot در محیطهای کاری و مرورگر Edge تأثیر میگذارند:
این آسیبپذیریها به هکرها اجازه میدهند بدون نیاز به نام کاربری یا رمز عبور، به دادههای حساس نفوذ کنند.
اطلاعاتی مانند ایمیلهای سازمانی، اسناد محرمانه و چتهای تیمی در معرض خطر نشت قرار گرفتهاند.
مایکروسافت اعلام کرده که فرآیند اصلاح (Patch) این حفرهها را آغاز کرده است، اما ابعاد دقیق سوءاستفادههای احتمالی هنوز در حال بررسی است.
🔍 جزئیات فنی و ابعاد تهدید:
طبق تحلیلهای فنی، این حفرههای امنیتی پتانسیل بالایی برای جاسوسی صنعتی دارند:
هدف قرار دادن دادههای تجاری: از آنجایی که Copilot به تمامی فایلهای ابری یک سازمان دسترسی دارد، هرگونه ضعف در آن به معنای باز شدن درهای گاوصندوق اطلاعاتی شرکت است.
حمله بدون نیاز به تعامل کاربر: هکرها میتوانند از راه دور و بدون اینکه کاربر متوجه شود یا روی لینکی کلیک کند، فرآیند استخراج داده را انجام دهند.
تزریق فرمان (Command Injection): مهاجمان میتوانند دستورات مخربی را به هوش مصنوعی القا کنند تا اطلاعات خاصی را برای آنها ارسال کند.
این موضوع باعث شده تا بسیاری از کارشناسان، سال ۲۰۲۶ را «سال حملات مبتنی بر AI» نامگذاری کنند؛ جایی که خود ابزارهای هوش مصنوعی به مسیری برای ورود نفوذگران تبدیل میشوند.
⚠️ نکته مهم:
اگرچه مایکروسافت اعلام کرده که اصلاحات امنیتی را به صورت خودکار اعمال میکند، اما به مدیران IT توصیه شده است که سطوح دسترسی هوش مصنوعی به اسناد حساس را مجدداً بازنگری کنند. کاربران عادی نیز باید مراقب پاسخهای غیرعادی Copilot باشند که ممکن است نشاندهنده یک تلاش برای مهندسی اجتماعی باشد.
📌 جمعبندی:
این گزارش نشان میدهد که با وجود کارایی بالای دستیارهای هوش مصنوعی، امنیت آنها همچنان پاشنه آشیل دنیای فناوری است. نفوذ به سیستمی که به تمام ایمیلها و فایلهای شما دسترسی دارد، میتواند پیامدهایی به مراتب سنگینتر از یک بدافزار معمولی داشته باشد.
https://t.me/Blue_Trace
گزارشهای جدید امنیتی نشان میدهد که سه آسیبپذیری بحرانی در سیستم Microsoft 365 Copilot کشف شده است که میتواند اطلاعات محرمانه شرکتها و کاربران را در معرض دسترسی غیرمجاز قرار دهد. این خبر امروز، ۹ می ۲۰۲۶ (۱۹ اردیبهشت ۱۴۰۵)، توسط منابعی همچون CybersecurityNews و SecurityWeek به تیتر اول رسانههای فناوری تبدیل شده است.
بر اساس این گزارشها، مایکروسافت سه حفره امنیتی (CVE) را شناسایی کرده که مستقیماً بر روی هوش مصنوعی Copilot در محیطهای کاری و مرورگر Edge تأثیر میگذارند:
این آسیبپذیریها به هکرها اجازه میدهند بدون نیاز به نام کاربری یا رمز عبور، به دادههای حساس نفوذ کنند.
اطلاعاتی مانند ایمیلهای سازمانی، اسناد محرمانه و چتهای تیمی در معرض خطر نشت قرار گرفتهاند.
مایکروسافت اعلام کرده که فرآیند اصلاح (Patch) این حفرهها را آغاز کرده است، اما ابعاد دقیق سوءاستفادههای احتمالی هنوز در حال بررسی است.
🔍 جزئیات فنی و ابعاد تهدید:
طبق تحلیلهای فنی، این حفرههای امنیتی پتانسیل بالایی برای جاسوسی صنعتی دارند:
هدف قرار دادن دادههای تجاری: از آنجایی که Copilot به تمامی فایلهای ابری یک سازمان دسترسی دارد، هرگونه ضعف در آن به معنای باز شدن درهای گاوصندوق اطلاعاتی شرکت است.
حمله بدون نیاز به تعامل کاربر: هکرها میتوانند از راه دور و بدون اینکه کاربر متوجه شود یا روی لینکی کلیک کند، فرآیند استخراج داده را انجام دهند.
تزریق فرمان (Command Injection): مهاجمان میتوانند دستورات مخربی را به هوش مصنوعی القا کنند تا اطلاعات خاصی را برای آنها ارسال کند.
این موضوع باعث شده تا بسیاری از کارشناسان، سال ۲۰۲۶ را «سال حملات مبتنی بر AI» نامگذاری کنند؛ جایی که خود ابزارهای هوش مصنوعی به مسیری برای ورود نفوذگران تبدیل میشوند.
⚠️ نکته مهم:
اگرچه مایکروسافت اعلام کرده که اصلاحات امنیتی را به صورت خودکار اعمال میکند، اما به مدیران IT توصیه شده است که سطوح دسترسی هوش مصنوعی به اسناد حساس را مجدداً بازنگری کنند. کاربران عادی نیز باید مراقب پاسخهای غیرعادی Copilot باشند که ممکن است نشاندهنده یک تلاش برای مهندسی اجتماعی باشد.
📌 جمعبندی:
این گزارش نشان میدهد که با وجود کارایی بالای دستیارهای هوش مصنوعی، امنیت آنها همچنان پاشنه آشیل دنیای فناوری است. نفوذ به سیستمی که به تمام ایمیلها و فایلهای شما دسترسی دارد، میتواند پیامدهایی به مراتب سنگینتر از یک بدافزار معمولی داشته باشد.
https://t.me/Blue_Trace
Telegram
🛡BlueTrace
🔍Detect • Analyze • Defend
SOC | Blue Team | Threat Hunting
Turning logs into insights
SOC | Blue Team | Threat Hunting
Turning logs into insights
🚨 شناسایی اولین حمله Zero-Day مبتنی بر هوش مصنوعی (AI-Assisted Zero-Day Attack)
گوگل و تیم Google Threat Intelligence Group (GTIG) اعلام کردند برای اولین بار یک حمله واقعی Zero-Day شناسایی شده که در فرآیند کشف و توسعه exploit آن از هوش مصنوعی استفاده شده است. این خبر در تاریخ 12 مه 2026 (22 اردیبهشت 1405) منتشر شد و بسیاری از کارشناسان آن را آغاز «عصر حملات AI-Assisted» میدانند.
بر اساس گزارشها، مهاجمان با کمک مدلهای هوش مصنوعی موفق شدند آسیبپذیریای را شناسایی و exploit کنند که امکان دور زدن مکانیزم احراز هویت دومرحلهای (2FA Bypass) را فراهم میکرد. این حمله توسط یک گروه تهدید پیشرفته (APT) توسعه داده شده و نشاندهنده ورود AI به مرحله عملیاتی در حملات سایبری است.
🔍 جزئیات فنی:
طبق تحلیل منتشرشده، مهاجمان از AI برای تحلیل حجم زیادی از کدها، شناسایی الگوهای آسیبپذیر و تسریع فرآیند توسعه exploit استفاده کردهاند. برخلاف روشهای سنتی که ممکن است هفتهها یا ماهها زمان ببرد، استفاده از AI باعث شده فرآیند کشف آسیبپذیری و ساخت exploit با سرعت بسیار بیشتری انجام شود.
این حمله در دسته حملات Zero-Day قرار میگیرد؛ یعنی پیش از انتشار Patch یا اطلاع عمومی، مورد سوءاستفاده قرار گرفته است.
🛡 وضعیت CVE:
تا این لحظه شناسه CVE رسمی برای این آسیبپذیری منتشر نشده است و جزئیات فنی کامل آن نیز هنوز محرمانه باقی ماندهاند.
⚠️ میزان اهمیت تهدید:
استفاده عملیاتی از AI در حملات واقعی سایبری
افزایش سرعت کشف و exploit آسیبپذیریها
امکان تولید خودکار exploit توسط مهاجمان
تهدید جدی برای مکانیزمهای سنتی دفاعی و 2FA
آغاز نسل جدید حملات AI-Assisted
📌 جمعبندی:
این اتفاق نشان میدهد هوش مصنوعی دیگر فقط یک ابزار دفاعی نیست و مهاجمان نیز بهصورت جدی از آن استفاده میکنند. کارشناسان امنیتی توصیه میکنند سازمانها علاوه بر Patch Management، از راهکارهای مبتنی بر رفتارشناسی (Behavioral Detection)، EDR/XDR و Threat Intelligence پیشرفته استفاده کنند تا بتوانند حملات نسل جدید مبتنی بر AI را شناسایی و مهار کنند.
https://t.me/Blue_Trace
گوگل و تیم Google Threat Intelligence Group (GTIG) اعلام کردند برای اولین بار یک حمله واقعی Zero-Day شناسایی شده که در فرآیند کشف و توسعه exploit آن از هوش مصنوعی استفاده شده است. این خبر در تاریخ 12 مه 2026 (22 اردیبهشت 1405) منتشر شد و بسیاری از کارشناسان آن را آغاز «عصر حملات AI-Assisted» میدانند.
بر اساس گزارشها، مهاجمان با کمک مدلهای هوش مصنوعی موفق شدند آسیبپذیریای را شناسایی و exploit کنند که امکان دور زدن مکانیزم احراز هویت دومرحلهای (2FA Bypass) را فراهم میکرد. این حمله توسط یک گروه تهدید پیشرفته (APT) توسعه داده شده و نشاندهنده ورود AI به مرحله عملیاتی در حملات سایبری است.
🔍 جزئیات فنی:
طبق تحلیل منتشرشده، مهاجمان از AI برای تحلیل حجم زیادی از کدها، شناسایی الگوهای آسیبپذیر و تسریع فرآیند توسعه exploit استفاده کردهاند. برخلاف روشهای سنتی که ممکن است هفتهها یا ماهها زمان ببرد، استفاده از AI باعث شده فرآیند کشف آسیبپذیری و ساخت exploit با سرعت بسیار بیشتری انجام شود.
این حمله در دسته حملات Zero-Day قرار میگیرد؛ یعنی پیش از انتشار Patch یا اطلاع عمومی، مورد سوءاستفاده قرار گرفته است.
🛡 وضعیت CVE:
تا این لحظه شناسه CVE رسمی برای این آسیبپذیری منتشر نشده است و جزئیات فنی کامل آن نیز هنوز محرمانه باقی ماندهاند.
⚠️ میزان اهمیت تهدید:
استفاده عملیاتی از AI در حملات واقعی سایبری
افزایش سرعت کشف و exploit آسیبپذیریها
امکان تولید خودکار exploit توسط مهاجمان
تهدید جدی برای مکانیزمهای سنتی دفاعی و 2FA
آغاز نسل جدید حملات AI-Assisted
📌 جمعبندی:
این اتفاق نشان میدهد هوش مصنوعی دیگر فقط یک ابزار دفاعی نیست و مهاجمان نیز بهصورت جدی از آن استفاده میکنند. کارشناسان امنیتی توصیه میکنند سازمانها علاوه بر Patch Management، از راهکارهای مبتنی بر رفتارشناسی (Behavioral Detection)، EDR/XDR و Threat Intelligence پیشرفته استفاده کنند تا بتوانند حملات نسل جدید مبتنی بر AI را شناسایی و مهار کنند.
https://t.me/Blue_Trace
Telegram
🛡BlueTrace
🔍Detect • Analyze • Defend
SOC | Blue Team | Threat Hunting
Turning logs into insights
SOC | Blue Team | Threat Hunting
Turning logs into insights
🚨 حملات فعال علیه فایروالهای Palo Alto با سوءاستفاده از Zero-Day بحرانی PAN-OS
شرکت Palo Alto Networks تأیید کرده که مهاجمان وابسته به دولتها (Nation-State Actors) از یک آسیبپذیری Zero-Day بحرانی در سیستمعامل PAN-OS برای نفوذ به فایروالهای سازمانی استفاده کردهاند. این خبر در تاریخ 6 مه 2026 (16 اردیبهشت 1405) منتشر شد و بهسرعت در فهرست KEV سازمان CISA قرار گرفت.
🔖 شناسه آسیبپذیری:
CVE-2026-0300
📌 شدت آسیبپذیری:
CVSS 9.3 — Critical
بر اساس گزارشها، این آسیبپذیری یک Buffer Overflow در سرویس User-ID Authentication Portal (Captive Portal) است که به مهاجم اجازه میدهد بدون نیاز به احراز هویت، کد دلخواه خود را با سطح دسترسی root روی فایروال اجرا کند.
🔍 جزئیات فنی:
این حمله سیستمهای PA-Series و VM-Series را هدف قرار میدهد؛ مخصوصاً فایروالهایی که Captive Portal آنها در اینترنت در دسترس است.
مهاجمان پس از exploitation موفق:
- Shellcode داخل nginx inject کردهاند
- ابزارهای تونلسازی مانند EarthWorm و ReverseSocks5 را اجرا کردهاند
- اقدام به Active Directory Enumeration کردهاند
- لاگها و شواهد نفوذ را حذف کردهاند
طبق گزارش Unit42، حملات از اوایل آوریل 2026 آغاز شده و مهاجمان هفتهها بدون شناسایی در شبکهها حضور داشتهاند.
⚠️ میزان اهمیت تهدید:
Remote Code Execution بدون احراز هویت
دسترسی کامل root روی فایروال
مناسب برای جاسوسی و حملات APT
امکان Pivot و حرکت جانبی در شبکه
حذف لاگها و دشوار شدن شناسایی حمله
🛡 نسخههای آسیبپذیر:
- PAN-OS 10.2
- PAN-OS 11.1
- PAN-OS 11.2
- PAN-OS 12.1
نسخههای Patch شده توسط Palo Alto منتشر شدهاند و سازمانها باید فوراً بهروزرسانی انجام دهند.
📌 توصیه امنیتی:
کارشناسان توصیه میکنند:
- Captive Portal را از اینترنت جدا کنید
- Response Pages را روی Interfaceهای Public غیرفعال کنید
- IOCها و لاگهای مشکوک را بررسی کنید
- Patchهای رسمی Palo Alto را سریعاً نصب کنید
- از EDR/XDR و Threat Hunting استفاده شود
این حمله یکی از مهمترین Zero-Dayهای سال 2026 محسوب میشود و نشان میدهد حتی تجهیزات امنیتی سازمانی نیز به هدف اصلی مهاجمان دولتی تبدیل شدهاند.
https://t.me/Blue_Trace
شرکت Palo Alto Networks تأیید کرده که مهاجمان وابسته به دولتها (Nation-State Actors) از یک آسیبپذیری Zero-Day بحرانی در سیستمعامل PAN-OS برای نفوذ به فایروالهای سازمانی استفاده کردهاند. این خبر در تاریخ 6 مه 2026 (16 اردیبهشت 1405) منتشر شد و بهسرعت در فهرست KEV سازمان CISA قرار گرفت.
🔖 شناسه آسیبپذیری:
CVE-2026-0300
📌 شدت آسیبپذیری:
CVSS 9.3 — Critical
بر اساس گزارشها، این آسیبپذیری یک Buffer Overflow در سرویس User-ID Authentication Portal (Captive Portal) است که به مهاجم اجازه میدهد بدون نیاز به احراز هویت، کد دلخواه خود را با سطح دسترسی root روی فایروال اجرا کند.
🔍 جزئیات فنی:
این حمله سیستمهای PA-Series و VM-Series را هدف قرار میدهد؛ مخصوصاً فایروالهایی که Captive Portal آنها در اینترنت در دسترس است.
مهاجمان پس از exploitation موفق:
- Shellcode داخل nginx inject کردهاند
- ابزارهای تونلسازی مانند EarthWorm و ReverseSocks5 را اجرا کردهاند
- اقدام به Active Directory Enumeration کردهاند
- لاگها و شواهد نفوذ را حذف کردهاند
طبق گزارش Unit42، حملات از اوایل آوریل 2026 آغاز شده و مهاجمان هفتهها بدون شناسایی در شبکهها حضور داشتهاند.
⚠️ میزان اهمیت تهدید:
Remote Code Execution بدون احراز هویت
دسترسی کامل root روی فایروال
مناسب برای جاسوسی و حملات APT
امکان Pivot و حرکت جانبی در شبکه
حذف لاگها و دشوار شدن شناسایی حمله
🛡 نسخههای آسیبپذیر:
- PAN-OS 10.2
- PAN-OS 11.1
- PAN-OS 11.2
- PAN-OS 12.1
نسخههای Patch شده توسط Palo Alto منتشر شدهاند و سازمانها باید فوراً بهروزرسانی انجام دهند.
📌 توصیه امنیتی:
کارشناسان توصیه میکنند:
- Captive Portal را از اینترنت جدا کنید
- Response Pages را روی Interfaceهای Public غیرفعال کنید
- IOCها و لاگهای مشکوک را بررسی کنید
- Patchهای رسمی Palo Alto را سریعاً نصب کنید
- از EDR/XDR و Threat Hunting استفاده شود
این حمله یکی از مهمترین Zero-Dayهای سال 2026 محسوب میشود و نشان میدهد حتی تجهیزات امنیتی سازمانی نیز به هدف اصلی مهاجمان دولتی تبدیل شدهاند.
https://t.me/Blue_Trace
Telegram
🛡BlueTrace
🔍Detect • Analyze • Defend
SOC | Blue Team | Threat Hunting
Turning logs into insights
SOC | Blue Team | Threat Hunting
Turning logs into insights
رفتارهایی که عادی به نظر می رسد.pdf
3.9 MB
🚨 خطرناکترین حملات سایبری، اصلاً شبیه به حمله نیستند!
در دنیای امنیت سنتی، همه ما یاد گرفتهایم به دنبال رفتارهای عجیب و پر سر و صدا بگردیم؛ چیزهایی مثل ترافیک ناگهانی، ارتباط با IPهای مخرب یا فایلهای ناشناس. اما مهاجمان مدرن هوشمندتر از این حرفها هستند. آنها تلاش میکنند تا حد ممکن رفتاری «عادی» داشته باشند و در هیاهوی فعالیتهای روزمره سازمان گم شوند.
در این فایل متنی که آماده کردهام، به سراغ پارادایم جدیدی در دنیای امنیت و شکار تهدیدها رفتیم: رفتارهایی که کاملاً قانونی و عادی به نظر میرسند اما میتوانند آغازگر یک فاجعه باشند.
گردآورنده: زهرا خادمی
لینک کانال بله : https://ble.ir/blue_trace
لینک کانال تلگرام: https://t.me/Blue_Trace
در دنیای امنیت سنتی، همه ما یاد گرفتهایم به دنبال رفتارهای عجیب و پر سر و صدا بگردیم؛ چیزهایی مثل ترافیک ناگهانی، ارتباط با IPهای مخرب یا فایلهای ناشناس. اما مهاجمان مدرن هوشمندتر از این حرفها هستند. آنها تلاش میکنند تا حد ممکن رفتاری «عادی» داشته باشند و در هیاهوی فعالیتهای روزمره سازمان گم شوند.
در این فایل متنی که آماده کردهام، به سراغ پارادایم جدیدی در دنیای امنیت و شکار تهدیدها رفتیم: رفتارهایی که کاملاً قانونی و عادی به نظر میرسند اما میتوانند آغازگر یک فاجعه باشند.
گردآورنده: زهرا خادمی
لینک کانال بله : https://ble.ir/blue_trace
لینک کانال تلگرام: https://t.me/Blue_Trace