MITRE ATT&CK یه نقشه راهه برای فهمیدن اینکه حملهها دقیقاً چطور اتفاق میفتن.
اگر این مدل فکری رو یاد بگیری، بهجای دیدن لاگ، رفتار مهاجم رو میبینی.
📌 اینو سیو کن، خیلی به کارت میاد.
https://t.me/Blue_Trace
اگر این مدل فکری رو یاد بگیری، بهجای دیدن لاگ، رفتار مهاجم رو میبینی.
📌 اینو سیو کن، خیلی به کارت میاد.
https://t.me/Blue_Trace
Detection Use Cases در SOC.pdf
227.6 KB
Detection Use Caseها پایه واقعی کار در SOC هستن.
اگر ندونی چی رو باید detect کنی، هیچ ابزاری به دردت نمیخوره.
توی این PDF بهصورت عملی بررسی کردم:
Login Anomaly چطور کار میکنه
Data Exfiltration چطور شناسایی میشه
و چطور Detectionها رو واقعی و قابل استفاده طراحی کنیم.
گردآورنده: زهرا خادمی
https://t.me/Blue_Trace
اگر ندونی چی رو باید detect کنی، هیچ ابزاری به دردت نمیخوره.
توی این PDF بهصورت عملی بررسی کردم:
Login Anomaly چطور کار میکنه
Data Exfiltration چطور شناسایی میشه
و چطور Detectionها رو واقعی و قابل استفاده طراحی کنیم.
گردآورنده: زهرا خادمی
https://t.me/Blue_Trace
🚨 افزوده شدن 8 آسیبپذیری در حال سوءاستفاده به لیست CISA KEV؛ هشدار برای تیمهای SOC
سازمان امنیت سایبری و زیرساخت آمریکا (CISA) اعلام کرد که در تاریخ 20 آوریل 2026 (31 فروردین 1405)، هشت آسیبپذیری جدید را به فهرست Known Exploited Vulnerabilities (KEV) اضافه کرده است؛ فهرستی که تنها شامل آسیبپذیریهایی است که شواهد قطعی از سوءاستفاده آنها در حملات واقعی وجود دارد.
بر اساس این گزارش، آسیبپذیریهای جدید طیف متنوعی از محصولات سازمانی را تحت تأثیر قرار میدهند، از جمله Cisco Catalyst SD-WAN Manager، JetBrains TeamCity، PaperCut NG/MF، Zimbra Collaboration Suite و Quest KACE SMA. نوع این آسیبپذیریها شامل مواردی مانند دور زدن احراز هویت (Authentication Bypass)، Path Traversal، افشای اطلاعات و نقص در کنترل دسترسی است.
کارشناسان امنیتی تأکید کردهاند که این آسیبپذیریها در سناریوهای واقعی حمله مورد استفاده قرار گرفتهاند و میتوانند بهعنوان نقطه ورود اولیه (Initial Access) یا برای حرکت در شبکه (Lateral Movement) توسط مهاجمان مورد بهرهبرداری قرار گیرند.
CISA در همین راستا اعلام کرده است که سازمانها، بهویژه نهادهای دولتی، باید در بازه زمانی تعیینشده نسبت به رفع این آسیبپذیریها اقدام کنند. این موضوع نشاندهنده اولویت بالای این تهدیدها در مدیریت ریسک امنیتی است.
📌 جمعبندی:
افزوده شدن این آسیبپذیریها به لیست KEV نشان میدهد که مهاجمان همچنان از ضعفهای شناختهشده در نرمافزارهای سازمانی برای نفوذ استفاده میکنند. برای تیمهای SOC، پایش مداوم این لیست و اولویتبندی اصلاحات امنیتی بر اساس آن، یکی از مهمترین اقدامات در کاهش سطح حمله و جلوگیری از نفوذهای موفق محسوب میشود.
https://t.me/Blue_Trace
سازمان امنیت سایبری و زیرساخت آمریکا (CISA) اعلام کرد که در تاریخ 20 آوریل 2026 (31 فروردین 1405)، هشت آسیبپذیری جدید را به فهرست Known Exploited Vulnerabilities (KEV) اضافه کرده است؛ فهرستی که تنها شامل آسیبپذیریهایی است که شواهد قطعی از سوءاستفاده آنها در حملات واقعی وجود دارد.
بر اساس این گزارش، آسیبپذیریهای جدید طیف متنوعی از محصولات سازمانی را تحت تأثیر قرار میدهند، از جمله Cisco Catalyst SD-WAN Manager، JetBrains TeamCity، PaperCut NG/MF، Zimbra Collaboration Suite و Quest KACE SMA. نوع این آسیبپذیریها شامل مواردی مانند دور زدن احراز هویت (Authentication Bypass)، Path Traversal، افشای اطلاعات و نقص در کنترل دسترسی است.
کارشناسان امنیتی تأکید کردهاند که این آسیبپذیریها در سناریوهای واقعی حمله مورد استفاده قرار گرفتهاند و میتوانند بهعنوان نقطه ورود اولیه (Initial Access) یا برای حرکت در شبکه (Lateral Movement) توسط مهاجمان مورد بهرهبرداری قرار گیرند.
CISA در همین راستا اعلام کرده است که سازمانها، بهویژه نهادهای دولتی، باید در بازه زمانی تعیینشده نسبت به رفع این آسیبپذیریها اقدام کنند. این موضوع نشاندهنده اولویت بالای این تهدیدها در مدیریت ریسک امنیتی است.
📌 جمعبندی:
افزوده شدن این آسیبپذیریها به لیست KEV نشان میدهد که مهاجمان همچنان از ضعفهای شناختهشده در نرمافزارهای سازمانی برای نفوذ استفاده میکنند. برای تیمهای SOC، پایش مداوم این لیست و اولویتبندی اصلاحات امنیتی بر اساس آن، یکی از مهمترین اقدامات در کاهش سطح حمله و جلوگیری از نفوذهای موفق محسوب میشود.
https://t.me/Blue_Trace
Telegram
🛡BlueTrace
🔍Detect • Analyze • Defend
SOC | Blue Team | Threat Hunting
Turning logs into insights
SOC | Blue Team | Threat Hunting
Turning logs into insights
🚨 کشف بدافزار خطرناک در Google Play؛ بیش از 2 میلیون کاربر اندروید آلوده شدند
یک کمپین بدافزاری جدید با نام NoVoice در فروشگاه رسمی Google Play شناسایی شده که توانسته بیش از 2.3 میلیون دستگاه اندرویدی را آلوده کند.
این گزارش در تاریخ 1 آوریل 2026 (12 فروردین 1405) منتشر شده و بهسرعت به یکی از مهمترین تهدیدهای امنیتی حوزه موبایل تبدیل شده است.
بر اساس بررسی محققان امنیتی، این بدافزار در قالب بیش از 50 اپلیکیشن بهظاهر سالم منتشر شده است؛ از جمله برنامههای گالری، پاککننده (Cleaner) و بازیهای ساده. این اپلیکیشنها عملکرد عادی داشته و رفتار مشکوکی از خود نشان نمیدادند، به همین دلیل توانستهاند از مکانیزمهای امنیتی Google Play عبور کنند.
🔍 جزئیات فنی حمله:
بدافزار NoVoice پس از نصب، بهصورت مخفی در پسزمینه اجرا شده و اقدام به جمعآوری اطلاعات دستگاه میکند. این بدافزار در برخی موارد تلاش میکند با سوءاستفاده از آسیبپذیریهای سیستم، سطح دسترسی خود را افزایش دهد و دستورات مخرب را اجرا کند. همچنین گزارش شده که امکان برقراری ارتباط با سرورهای مهاجم و دریافت فرمان از راه دور نیز وجود دارد.
⚠️ نکته مهم:
این بدافزار بدون ایجاد نشانههای واضح، دستگاه را آلوده میکند و از آنجا که از طریق یک مارکت رسمی منتشر شده، بسیاری از کاربران بدون آگاهی آن را نصب کردهاند. این موضوع نشان میدهد حتی منابع رسمی نیز در برخی موارد میتوانند هدف سوءاستفاده قرار بگیرند.
📌 جمعبندی:
این کمپین نمونهای از حملات گسترده موبایلی است که با استفاده از اپلیکیشنهای ظاهراً بیخطر، کاربران زیادی را هدف قرار داده است. کارشناسان توصیه میکنند کاربران تنها از توسعهدهندگان معتبر برنامه نصب کرده، دسترسیهای اپلیکیشنها را بررسی کنند و سیستمعامل خود را بهروز نگه دارند تا ریسک چنین تهدیداتی کاهش یابد.
https://t.me/Blue_Trace
یک کمپین بدافزاری جدید با نام NoVoice در فروشگاه رسمی Google Play شناسایی شده که توانسته بیش از 2.3 میلیون دستگاه اندرویدی را آلوده کند.
این گزارش در تاریخ 1 آوریل 2026 (12 فروردین 1405) منتشر شده و بهسرعت به یکی از مهمترین تهدیدهای امنیتی حوزه موبایل تبدیل شده است.
بر اساس بررسی محققان امنیتی، این بدافزار در قالب بیش از 50 اپلیکیشن بهظاهر سالم منتشر شده است؛ از جمله برنامههای گالری، پاککننده (Cleaner) و بازیهای ساده. این اپلیکیشنها عملکرد عادی داشته و رفتار مشکوکی از خود نشان نمیدادند، به همین دلیل توانستهاند از مکانیزمهای امنیتی Google Play عبور کنند.
🔍 جزئیات فنی حمله:
بدافزار NoVoice پس از نصب، بهصورت مخفی در پسزمینه اجرا شده و اقدام به جمعآوری اطلاعات دستگاه میکند. این بدافزار در برخی موارد تلاش میکند با سوءاستفاده از آسیبپذیریهای سیستم، سطح دسترسی خود را افزایش دهد و دستورات مخرب را اجرا کند. همچنین گزارش شده که امکان برقراری ارتباط با سرورهای مهاجم و دریافت فرمان از راه دور نیز وجود دارد.
⚠️ نکته مهم:
این بدافزار بدون ایجاد نشانههای واضح، دستگاه را آلوده میکند و از آنجا که از طریق یک مارکت رسمی منتشر شده، بسیاری از کاربران بدون آگاهی آن را نصب کردهاند. این موضوع نشان میدهد حتی منابع رسمی نیز در برخی موارد میتوانند هدف سوءاستفاده قرار بگیرند.
📌 جمعبندی:
این کمپین نمونهای از حملات گسترده موبایلی است که با استفاده از اپلیکیشنهای ظاهراً بیخطر، کاربران زیادی را هدف قرار داده است. کارشناسان توصیه میکنند کاربران تنها از توسعهدهندگان معتبر برنامه نصب کرده، دسترسیهای اپلیکیشنها را بررسی کنند و سیستمعامل خود را بهروز نگه دارند تا ریسک چنین تهدیداتی کاهش یابد.
https://t.me/Blue_Trace
Telegram
🛡BlueTrace
🔍Detect • Analyze • Defend
SOC | Blue Team | Threat Hunting
Turning logs into insights
SOC | Blue Team | Threat Hunting
Turning logs into insights
🚨 شکاف امنیتی در هوش مصنوعی مایکروسافت؛ خطر نشت اطلاعات حساس سازمانی
گزارشهای جدید امنیتی نشان میدهد که سه آسیبپذیری بحرانی در سیستم Microsoft 365 Copilot کشف شده است که میتواند اطلاعات محرمانه شرکتها و کاربران را در معرض دسترسی غیرمجاز قرار دهد. این خبر امروز، ۹ می ۲۰۲۶ (۱۹ اردیبهشت ۱۴۰۵)، توسط منابعی همچون CybersecurityNews و SecurityWeek به تیتر اول رسانههای فناوری تبدیل شده است.
بر اساس این گزارشها، مایکروسافت سه حفره امنیتی (CVE) را شناسایی کرده که مستقیماً بر روی هوش مصنوعی Copilot در محیطهای کاری و مرورگر Edge تأثیر میگذارند:
این آسیبپذیریها به هکرها اجازه میدهند بدون نیاز به نام کاربری یا رمز عبور، به دادههای حساس نفوذ کنند.
اطلاعاتی مانند ایمیلهای سازمانی، اسناد محرمانه و چتهای تیمی در معرض خطر نشت قرار گرفتهاند.
مایکروسافت اعلام کرده که فرآیند اصلاح (Patch) این حفرهها را آغاز کرده است، اما ابعاد دقیق سوءاستفادههای احتمالی هنوز در حال بررسی است.
🔍 جزئیات فنی و ابعاد تهدید:
طبق تحلیلهای فنی، این حفرههای امنیتی پتانسیل بالایی برای جاسوسی صنعتی دارند:
هدف قرار دادن دادههای تجاری: از آنجایی که Copilot به تمامی فایلهای ابری یک سازمان دسترسی دارد، هرگونه ضعف در آن به معنای باز شدن درهای گاوصندوق اطلاعاتی شرکت است.
حمله بدون نیاز به تعامل کاربر: هکرها میتوانند از راه دور و بدون اینکه کاربر متوجه شود یا روی لینکی کلیک کند، فرآیند استخراج داده را انجام دهند.
تزریق فرمان (Command Injection): مهاجمان میتوانند دستورات مخربی را به هوش مصنوعی القا کنند تا اطلاعات خاصی را برای آنها ارسال کند.
این موضوع باعث شده تا بسیاری از کارشناسان، سال ۲۰۲۶ را «سال حملات مبتنی بر AI» نامگذاری کنند؛ جایی که خود ابزارهای هوش مصنوعی به مسیری برای ورود نفوذگران تبدیل میشوند.
⚠️ نکته مهم:
اگرچه مایکروسافت اعلام کرده که اصلاحات امنیتی را به صورت خودکار اعمال میکند، اما به مدیران IT توصیه شده است که سطوح دسترسی هوش مصنوعی به اسناد حساس را مجدداً بازنگری کنند. کاربران عادی نیز باید مراقب پاسخهای غیرعادی Copilot باشند که ممکن است نشاندهنده یک تلاش برای مهندسی اجتماعی باشد.
📌 جمعبندی:
این گزارش نشان میدهد که با وجود کارایی بالای دستیارهای هوش مصنوعی، امنیت آنها همچنان پاشنه آشیل دنیای فناوری است. نفوذ به سیستمی که به تمام ایمیلها و فایلهای شما دسترسی دارد، میتواند پیامدهایی به مراتب سنگینتر از یک بدافزار معمولی داشته باشد.
https://t.me/Blue_Trace
گزارشهای جدید امنیتی نشان میدهد که سه آسیبپذیری بحرانی در سیستم Microsoft 365 Copilot کشف شده است که میتواند اطلاعات محرمانه شرکتها و کاربران را در معرض دسترسی غیرمجاز قرار دهد. این خبر امروز، ۹ می ۲۰۲۶ (۱۹ اردیبهشت ۱۴۰۵)، توسط منابعی همچون CybersecurityNews و SecurityWeek به تیتر اول رسانههای فناوری تبدیل شده است.
بر اساس این گزارشها، مایکروسافت سه حفره امنیتی (CVE) را شناسایی کرده که مستقیماً بر روی هوش مصنوعی Copilot در محیطهای کاری و مرورگر Edge تأثیر میگذارند:
این آسیبپذیریها به هکرها اجازه میدهند بدون نیاز به نام کاربری یا رمز عبور، به دادههای حساس نفوذ کنند.
اطلاعاتی مانند ایمیلهای سازمانی، اسناد محرمانه و چتهای تیمی در معرض خطر نشت قرار گرفتهاند.
مایکروسافت اعلام کرده که فرآیند اصلاح (Patch) این حفرهها را آغاز کرده است، اما ابعاد دقیق سوءاستفادههای احتمالی هنوز در حال بررسی است.
🔍 جزئیات فنی و ابعاد تهدید:
طبق تحلیلهای فنی، این حفرههای امنیتی پتانسیل بالایی برای جاسوسی صنعتی دارند:
هدف قرار دادن دادههای تجاری: از آنجایی که Copilot به تمامی فایلهای ابری یک سازمان دسترسی دارد، هرگونه ضعف در آن به معنای باز شدن درهای گاوصندوق اطلاعاتی شرکت است.
حمله بدون نیاز به تعامل کاربر: هکرها میتوانند از راه دور و بدون اینکه کاربر متوجه شود یا روی لینکی کلیک کند، فرآیند استخراج داده را انجام دهند.
تزریق فرمان (Command Injection): مهاجمان میتوانند دستورات مخربی را به هوش مصنوعی القا کنند تا اطلاعات خاصی را برای آنها ارسال کند.
این موضوع باعث شده تا بسیاری از کارشناسان، سال ۲۰۲۶ را «سال حملات مبتنی بر AI» نامگذاری کنند؛ جایی که خود ابزارهای هوش مصنوعی به مسیری برای ورود نفوذگران تبدیل میشوند.
⚠️ نکته مهم:
اگرچه مایکروسافت اعلام کرده که اصلاحات امنیتی را به صورت خودکار اعمال میکند، اما به مدیران IT توصیه شده است که سطوح دسترسی هوش مصنوعی به اسناد حساس را مجدداً بازنگری کنند. کاربران عادی نیز باید مراقب پاسخهای غیرعادی Copilot باشند که ممکن است نشاندهنده یک تلاش برای مهندسی اجتماعی باشد.
📌 جمعبندی:
این گزارش نشان میدهد که با وجود کارایی بالای دستیارهای هوش مصنوعی، امنیت آنها همچنان پاشنه آشیل دنیای فناوری است. نفوذ به سیستمی که به تمام ایمیلها و فایلهای شما دسترسی دارد، میتواند پیامدهایی به مراتب سنگینتر از یک بدافزار معمولی داشته باشد.
https://t.me/Blue_Trace
Telegram
🛡BlueTrace
🔍Detect • Analyze • Defend
SOC | Blue Team | Threat Hunting
Turning logs into insights
SOC | Blue Team | Threat Hunting
Turning logs into insights
🚨 شناسایی اولین حمله Zero-Day مبتنی بر هوش مصنوعی (AI-Assisted Zero-Day Attack)
گوگل و تیم Google Threat Intelligence Group (GTIG) اعلام کردند برای اولین بار یک حمله واقعی Zero-Day شناسایی شده که در فرآیند کشف و توسعه exploit آن از هوش مصنوعی استفاده شده است. این خبر در تاریخ 12 مه 2026 (22 اردیبهشت 1405) منتشر شد و بسیاری از کارشناسان آن را آغاز «عصر حملات AI-Assisted» میدانند.
بر اساس گزارشها، مهاجمان با کمک مدلهای هوش مصنوعی موفق شدند آسیبپذیریای را شناسایی و exploit کنند که امکان دور زدن مکانیزم احراز هویت دومرحلهای (2FA Bypass) را فراهم میکرد. این حمله توسط یک گروه تهدید پیشرفته (APT) توسعه داده شده و نشاندهنده ورود AI به مرحله عملیاتی در حملات سایبری است.
🔍 جزئیات فنی:
طبق تحلیل منتشرشده، مهاجمان از AI برای تحلیل حجم زیادی از کدها، شناسایی الگوهای آسیبپذیر و تسریع فرآیند توسعه exploit استفاده کردهاند. برخلاف روشهای سنتی که ممکن است هفتهها یا ماهها زمان ببرد، استفاده از AI باعث شده فرآیند کشف آسیبپذیری و ساخت exploit با سرعت بسیار بیشتری انجام شود.
این حمله در دسته حملات Zero-Day قرار میگیرد؛ یعنی پیش از انتشار Patch یا اطلاع عمومی، مورد سوءاستفاده قرار گرفته است.
🛡 وضعیت CVE:
تا این لحظه شناسه CVE رسمی برای این آسیبپذیری منتشر نشده است و جزئیات فنی کامل آن نیز هنوز محرمانه باقی ماندهاند.
⚠️ میزان اهمیت تهدید:
استفاده عملیاتی از AI در حملات واقعی سایبری
افزایش سرعت کشف و exploit آسیبپذیریها
امکان تولید خودکار exploit توسط مهاجمان
تهدید جدی برای مکانیزمهای سنتی دفاعی و 2FA
آغاز نسل جدید حملات AI-Assisted
📌 جمعبندی:
این اتفاق نشان میدهد هوش مصنوعی دیگر فقط یک ابزار دفاعی نیست و مهاجمان نیز بهصورت جدی از آن استفاده میکنند. کارشناسان امنیتی توصیه میکنند سازمانها علاوه بر Patch Management، از راهکارهای مبتنی بر رفتارشناسی (Behavioral Detection)، EDR/XDR و Threat Intelligence پیشرفته استفاده کنند تا بتوانند حملات نسل جدید مبتنی بر AI را شناسایی و مهار کنند.
https://t.me/Blue_Trace
گوگل و تیم Google Threat Intelligence Group (GTIG) اعلام کردند برای اولین بار یک حمله واقعی Zero-Day شناسایی شده که در فرآیند کشف و توسعه exploit آن از هوش مصنوعی استفاده شده است. این خبر در تاریخ 12 مه 2026 (22 اردیبهشت 1405) منتشر شد و بسیاری از کارشناسان آن را آغاز «عصر حملات AI-Assisted» میدانند.
بر اساس گزارشها، مهاجمان با کمک مدلهای هوش مصنوعی موفق شدند آسیبپذیریای را شناسایی و exploit کنند که امکان دور زدن مکانیزم احراز هویت دومرحلهای (2FA Bypass) را فراهم میکرد. این حمله توسط یک گروه تهدید پیشرفته (APT) توسعه داده شده و نشاندهنده ورود AI به مرحله عملیاتی در حملات سایبری است.
🔍 جزئیات فنی:
طبق تحلیل منتشرشده، مهاجمان از AI برای تحلیل حجم زیادی از کدها، شناسایی الگوهای آسیبپذیر و تسریع فرآیند توسعه exploit استفاده کردهاند. برخلاف روشهای سنتی که ممکن است هفتهها یا ماهها زمان ببرد، استفاده از AI باعث شده فرآیند کشف آسیبپذیری و ساخت exploit با سرعت بسیار بیشتری انجام شود.
این حمله در دسته حملات Zero-Day قرار میگیرد؛ یعنی پیش از انتشار Patch یا اطلاع عمومی، مورد سوءاستفاده قرار گرفته است.
🛡 وضعیت CVE:
تا این لحظه شناسه CVE رسمی برای این آسیبپذیری منتشر نشده است و جزئیات فنی کامل آن نیز هنوز محرمانه باقی ماندهاند.
⚠️ میزان اهمیت تهدید:
استفاده عملیاتی از AI در حملات واقعی سایبری
افزایش سرعت کشف و exploit آسیبپذیریها
امکان تولید خودکار exploit توسط مهاجمان
تهدید جدی برای مکانیزمهای سنتی دفاعی و 2FA
آغاز نسل جدید حملات AI-Assisted
📌 جمعبندی:
این اتفاق نشان میدهد هوش مصنوعی دیگر فقط یک ابزار دفاعی نیست و مهاجمان نیز بهصورت جدی از آن استفاده میکنند. کارشناسان امنیتی توصیه میکنند سازمانها علاوه بر Patch Management، از راهکارهای مبتنی بر رفتارشناسی (Behavioral Detection)، EDR/XDR و Threat Intelligence پیشرفته استفاده کنند تا بتوانند حملات نسل جدید مبتنی بر AI را شناسایی و مهار کنند.
https://t.me/Blue_Trace
Telegram
🛡BlueTrace
🔍Detect • Analyze • Defend
SOC | Blue Team | Threat Hunting
Turning logs into insights
SOC | Blue Team | Threat Hunting
Turning logs into insights
🚨 حملات فعال علیه فایروالهای Palo Alto با سوءاستفاده از Zero-Day بحرانی PAN-OS
شرکت Palo Alto Networks تأیید کرده که مهاجمان وابسته به دولتها (Nation-State Actors) از یک آسیبپذیری Zero-Day بحرانی در سیستمعامل PAN-OS برای نفوذ به فایروالهای سازمانی استفاده کردهاند. این خبر در تاریخ 6 مه 2026 (16 اردیبهشت 1405) منتشر شد و بهسرعت در فهرست KEV سازمان CISA قرار گرفت.
🔖 شناسه آسیبپذیری:
CVE-2026-0300
📌 شدت آسیبپذیری:
CVSS 9.3 — Critical
بر اساس گزارشها، این آسیبپذیری یک Buffer Overflow در سرویس User-ID Authentication Portal (Captive Portal) است که به مهاجم اجازه میدهد بدون نیاز به احراز هویت، کد دلخواه خود را با سطح دسترسی root روی فایروال اجرا کند.
🔍 جزئیات فنی:
این حمله سیستمهای PA-Series و VM-Series را هدف قرار میدهد؛ مخصوصاً فایروالهایی که Captive Portal آنها در اینترنت در دسترس است.
مهاجمان پس از exploitation موفق:
- Shellcode داخل nginx inject کردهاند
- ابزارهای تونلسازی مانند EarthWorm و ReverseSocks5 را اجرا کردهاند
- اقدام به Active Directory Enumeration کردهاند
- لاگها و شواهد نفوذ را حذف کردهاند
طبق گزارش Unit42، حملات از اوایل آوریل 2026 آغاز شده و مهاجمان هفتهها بدون شناسایی در شبکهها حضور داشتهاند.
⚠️ میزان اهمیت تهدید:
Remote Code Execution بدون احراز هویت
دسترسی کامل root روی فایروال
مناسب برای جاسوسی و حملات APT
امکان Pivot و حرکت جانبی در شبکه
حذف لاگها و دشوار شدن شناسایی حمله
🛡 نسخههای آسیبپذیر:
- PAN-OS 10.2
- PAN-OS 11.1
- PAN-OS 11.2
- PAN-OS 12.1
نسخههای Patch شده توسط Palo Alto منتشر شدهاند و سازمانها باید فوراً بهروزرسانی انجام دهند.
📌 توصیه امنیتی:
کارشناسان توصیه میکنند:
- Captive Portal را از اینترنت جدا کنید
- Response Pages را روی Interfaceهای Public غیرفعال کنید
- IOCها و لاگهای مشکوک را بررسی کنید
- Patchهای رسمی Palo Alto را سریعاً نصب کنید
- از EDR/XDR و Threat Hunting استفاده شود
این حمله یکی از مهمترین Zero-Dayهای سال 2026 محسوب میشود و نشان میدهد حتی تجهیزات امنیتی سازمانی نیز به هدف اصلی مهاجمان دولتی تبدیل شدهاند.
https://t.me/Blue_Trace
شرکت Palo Alto Networks تأیید کرده که مهاجمان وابسته به دولتها (Nation-State Actors) از یک آسیبپذیری Zero-Day بحرانی در سیستمعامل PAN-OS برای نفوذ به فایروالهای سازمانی استفاده کردهاند. این خبر در تاریخ 6 مه 2026 (16 اردیبهشت 1405) منتشر شد و بهسرعت در فهرست KEV سازمان CISA قرار گرفت.
🔖 شناسه آسیبپذیری:
CVE-2026-0300
📌 شدت آسیبپذیری:
CVSS 9.3 — Critical
بر اساس گزارشها، این آسیبپذیری یک Buffer Overflow در سرویس User-ID Authentication Portal (Captive Portal) است که به مهاجم اجازه میدهد بدون نیاز به احراز هویت، کد دلخواه خود را با سطح دسترسی root روی فایروال اجرا کند.
🔍 جزئیات فنی:
این حمله سیستمهای PA-Series و VM-Series را هدف قرار میدهد؛ مخصوصاً فایروالهایی که Captive Portal آنها در اینترنت در دسترس است.
مهاجمان پس از exploitation موفق:
- Shellcode داخل nginx inject کردهاند
- ابزارهای تونلسازی مانند EarthWorm و ReverseSocks5 را اجرا کردهاند
- اقدام به Active Directory Enumeration کردهاند
- لاگها و شواهد نفوذ را حذف کردهاند
طبق گزارش Unit42، حملات از اوایل آوریل 2026 آغاز شده و مهاجمان هفتهها بدون شناسایی در شبکهها حضور داشتهاند.
⚠️ میزان اهمیت تهدید:
Remote Code Execution بدون احراز هویت
دسترسی کامل root روی فایروال
مناسب برای جاسوسی و حملات APT
امکان Pivot و حرکت جانبی در شبکه
حذف لاگها و دشوار شدن شناسایی حمله
🛡 نسخههای آسیبپذیر:
- PAN-OS 10.2
- PAN-OS 11.1
- PAN-OS 11.2
- PAN-OS 12.1
نسخههای Patch شده توسط Palo Alto منتشر شدهاند و سازمانها باید فوراً بهروزرسانی انجام دهند.
📌 توصیه امنیتی:
کارشناسان توصیه میکنند:
- Captive Portal را از اینترنت جدا کنید
- Response Pages را روی Interfaceهای Public غیرفعال کنید
- IOCها و لاگهای مشکوک را بررسی کنید
- Patchهای رسمی Palo Alto را سریعاً نصب کنید
- از EDR/XDR و Threat Hunting استفاده شود
این حمله یکی از مهمترین Zero-Dayهای سال 2026 محسوب میشود و نشان میدهد حتی تجهیزات امنیتی سازمانی نیز به هدف اصلی مهاجمان دولتی تبدیل شدهاند.
https://t.me/Blue_Trace
Telegram
🛡BlueTrace
🔍Detect • Analyze • Defend
SOC | Blue Team | Threat Hunting
Turning logs into insights
SOC | Blue Team | Threat Hunting
Turning logs into insights
رفتارهایی که عادی به نظر می رسد.pdf
3.9 MB
🚨 خطرناکترین حملات سایبری، اصلاً شبیه به حمله نیستند!
در دنیای امنیت سنتی، همه ما یاد گرفتهایم به دنبال رفتارهای عجیب و پر سر و صدا بگردیم؛ چیزهایی مثل ترافیک ناگهانی، ارتباط با IPهای مخرب یا فایلهای ناشناس. اما مهاجمان مدرن هوشمندتر از این حرفها هستند. آنها تلاش میکنند تا حد ممکن رفتاری «عادی» داشته باشند و در هیاهوی فعالیتهای روزمره سازمان گم شوند.
در این فایل متنی که آماده کردهام، به سراغ پارادایم جدیدی در دنیای امنیت و شکار تهدیدها رفتیم: رفتارهایی که کاملاً قانونی و عادی به نظر میرسند اما میتوانند آغازگر یک فاجعه باشند.
گردآورنده: زهرا خادمی
لینک کانال بله : https://ble.ir/blue_trace
لینک کانال تلگرام: https://t.me/Blue_Trace
در دنیای امنیت سنتی، همه ما یاد گرفتهایم به دنبال رفتارهای عجیب و پر سر و صدا بگردیم؛ چیزهایی مثل ترافیک ناگهانی، ارتباط با IPهای مخرب یا فایلهای ناشناس. اما مهاجمان مدرن هوشمندتر از این حرفها هستند. آنها تلاش میکنند تا حد ممکن رفتاری «عادی» داشته باشند و در هیاهوی فعالیتهای روزمره سازمان گم شوند.
در این فایل متنی که آماده کردهام، به سراغ پارادایم جدیدی در دنیای امنیت و شکار تهدیدها رفتیم: رفتارهایی که کاملاً قانونی و عادی به نظر میرسند اما میتوانند آغازگر یک فاجعه باشند.
گردآورنده: زهرا خادمی
لینک کانال بله : https://ble.ir/blue_trace
لینک کانال تلگرام: https://t.me/Blue_Trace
📡 این روزها با محدود شدن اینترنت بینالملل در ایران، خیلیها به سراغ کانفیگهایی رفتن که با اسم «استارلینک» فروخته میشن؛ در حالی که واقعیت اینه بیشتر این سرویسها اصلاً ربطی به اینترنت ماهوارهای واقعی ندارن و در اصل نوعی VPN، پروکسی یا تونل دستساز روی سرورهای ناشناس هستن. از دید مثبت، این کانفیگها برای خیلی از کاربران تبدیل به یک راه موقت برای دسترسی به اینترنت آزاد شدن؛ سرعت بعضی از اونها قابل قبوله، محدودیتها رو دور میزنن و در شرایطی که گزینههای رسمی در دسترس نیست، میتونن ارتباط کاربر با دنیای بیرون رو حفظ کنن. اما از طرف دیگه، بحث امنیتی اینجا خیلی جدیتر از چیزیه که به نظر میاد؛ وقتی شما از یک کانفیگ ناشناس استفاده میکنید، در واقع تمام ترافیک اینترنتیتون از یک واسطه عبور میکنه که هیچ شناختی ازش ندارید، و این یعنی اون فرد یا سرویس میتونه به اطلاعاتی مثل سایتهایی که باز میکنید، نوع استفادهتون از اپها و حتی در شرایطی دادههای حساس دسترسی داشته باشه. اگر ارتباط بهدرستی رمزنگاری نشده باشه، ریسک لو رفتن پسوردها، پیامها یا اطلاعات مهم وجود داره و حتی در سناریوهای پیشرفتهتر، امکان حملاتی مثل Man-in-the-Middle هم هست که در اون مهاجم بین شما و اینترنت قرار میگیره و میتونه دادهها رو شنود یا دستکاری کنه. علاوه بر این، بعضی از این کانفیگها از طریق اپلیکیشنهایی ارائه میشن که ممکنه دسترسیهای غیرضروری از دستگاه بگیرن یا حتی آلوده به بدافزار باشن، و از اونجایی که هیچ شفافیتی درباره محل سرور، نحوه مدیریت یا ذخیرهسازی لاگها وجود نداره، عملاً شما کنترلی روی امنیت خودتون ندارید. در نهایت، باید این واقعیت رو در نظر گرفت که این ابزارها میتونن در کوتاهمدت کاربردی باشن، اما اگر بدون آگاهی استفاده بشن، ممکنه هزینهای که بابتش میدید فقط پول نباشه، بلکه اطلاعات و حریم خصوصیتون هم در خطر قرار بگیره؛ پس استفاده از این سرویسها باید با حداقل اعتماد، حداکثر احتیاط و پرهیز از انجام کارهای حساس همراه باشه.
https://ble.ir/blue_trace
https://ble.ir/blue_trace
ble.ir
بله | کانال 🛡BlueTrace
🔍Detect • Analyze • Defend
SOC | Blue Team | Threat Hunting
Turning logs into insights
@Zahra_khademi1
SOC | Blue Team | Threat Hunting
Turning logs into insights
@Zahra_khademi1
📊Splunk Basics
Search , Analyze , Visualize
bale: https://ble.ir/blue_trace
telegram: https://t.me/Blue_Trace
Search , Analyze , Visualize
bale: https://ble.ir/blue_trace
telegram: https://t.me/Blue_Trace