گروه هکری حنظله اطلاعات ۳۵۰۰۰۰ پلیس رژیم کودک کش اسرائیل را هک و منتشر کرد
از اینجا میتوانید اطلاعات را دانلود کنید
https://handala-hack.to/israel-police-hacked/
 👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🦁«کتاس»
‏http://t.me/ict_security

یک آسیب‌پذیری در سیستم کنترل فرآیند ABB ASPECT-Enterprise و سیستم‌افزار در کنترل‌کننده‌های ABB MATRIX و NEXUS به دلیل استفاده از اعتبارنامه‌های هاردکد است.
بهره برداری از این آسیب پذیری می تواند به یک مهاجم راه دور اجازه دهد تا کد دلخواه را با استفاده از اعتبارنامه های پیش فرض اجرا کند.

BDU: 2025-01311
CVE-2024-51547

نصب به روز رسانی از منابع قابل اعتماد توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- استفاده از ابزارهای فایروال برای محدود کردن امکان دسترسی از راه دور به نرم افزار. - استفاده از لیست سفید آدرس های IP برای محدود کردن دسترسی از راه دور به نرم افزارهای آسیب پذیر.
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

استفاده از توصیه های سازنده:
https://search.abb.com/library/Download.aspx?DocumentID=9AKK108470A6775&LanguageCode=en&DocumentPartId=pdf%20-%20Public%20Advisory&Action=Launch
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

☢️💀 یک آسیب پذیری با شدت بالا، CVE-2025-21391، در Windows Storage شناسایی شده است.

این نقص به مهاجمان اجازه می‌دهد تا فایل‌های هدفمند روی یک سیستم را حذف کنند که به طور بالقوه منجر به اختلال در سرویس می‌شود. این آسیب‌پذیری به‌ویژه حیاتی است، زیرا بر یک مؤلفه اصلی ویندوز تأثیر می‌گذارد و در صورت اصلاح نشدن، احتمال بهره‌برداری بیشتر می‌شود.
🙋♂️ چرا مهم است: سوء استفاده از این آسیب‌پذیری می‌تواند منجر به موارد زیر شود:
😈 حذف فایل‌های مهم سیستم، که منجر به قطع سرویس می‌شود.
😈 افزایش احتمالی امتیازات، به مهاجمان امکان دسترسی غیرمجاز را می دهد.
😈 اختلال در خدمات ضروری، بر ثبات و قابلیت اطمینان سیستم تاثیر می گذارد.

👷♀️ اقدامات توصیه شده:
✅ به روز رسانی ویندوز: آخرین به روز رسانی های امنیتی ارائه شده توسط مایکروسافت را برای اصلاح این آسیب پذیری اعمال کنید.
✅ سیستم‌های نظارت: به‌طور منظم گزارش‌های سیستم را بررسی کنید و فعالیت‌های غیرعادی را که ممکن است نشان‌دهنده تلاش برای بهره‌برداری باشد، نظارت کنید.
✅ تنظیمات امنیتی را مرور کنید: اطمینان حاصل کنید که تنظیمات امنیتی با بهترین روش‌ها هماهنگ هستند تا خطرات را به حداقل برسانید.


اگر برای ایمن سازی سیستم های خود یا درک بیشتر این مراحل به کمک نیاز دارید، به ما اطلاع دهید 🤙💬
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

🤓 اخبار جالب در مورد امنیت سایبری و حریم خصوصی شخصی

🚀 مروری بر محبوب ترین طرح های ربودن واتس اپ و تلگرام (و البته راه های محافظت در برابر آنها).

🌐 یک محقق آزمایش جالبی را روی خود انجام داد - او در عمل تأیید کرد که بسیاری از داده های مربوط به کاربران، از جمله موقعیت جغرافیایی، از طریق تبلیغات در برنامه های تلفن همراه نشت می کند، حتی اگر فرد گزینه "مرا ردیابی نکن" را انتخاب کند. علاوه بر این، از طریق پایگاه های داده ویژه، شناسه های تبلیغاتی را می توان به آدرس ها و نام های واقعی مرتبط کرد.

😞 خبر بد برای طرفداران هوش مصنوعی: یک مطالعه (!) مایکروسافت نشان می‌دهد که مهارت‌های تفکر انتقادی در میان افرادی که به‌جای فکر کردن برای خود فعالانه از هوش مصنوعی در وظایف کاری خود استفاده می‌کنند، کاهش یافته است.

🍏 از اپل در بریتانیا خواسته شده است تا دسترسی به داده های رمزگذاری شده کاربران را فراهم کند . کاربران از سراسر جهان، نه فقط انگلیسی. در کوپرتینو آنها مقاومت می کنند و نمی خواهند درهای پشتی ایجاد کنند.

💻 مایکروسافت در Edge محافظت در برابر وب سایت های ترسناک (scareware) را معرفی می کند که از شما می خواهند فوراً ویروس های ترسناک را از رایانه خود حذف کنید، چهل خطای مهم را برطرف کنید و غیره. آنها می گویند که این فناوری بر اساس تجزیه و تحلیل هوش مصنوعی سایت ها کار می کند، اما از چه چیزی تشکیل شده است ناشناخته است.

👀 Samsung Galaxy S25 جدید از فناوری C2PA پشتیبانی می کند که منشاء تصاویر و ویدیوها را تأیید می کند. این خبر با لحنی زردرنگ می‌گوید «محتوای هوش مصنوعی را شناسایی کنید»، اما این اصلاً دقیق نیست. تصاویر برچسب گذاری شده با C2PA را می توان به منبع آنها ردیابی کرد، اما هیچ چیزی در مورد تصاویر و ویدیوها بدون برچسب نمی توان گفت. قبلاً در مورد این فناوری نوشتیم .

📱 گوگل پلی ایده اعطای نشان به برنامه ها را برای توجه بیشتر آنها به مسائل حریم خصوصی و اعتماد مطرح کرده است. با قضاوت بر اساس اعلامیه، تا کنون توسط دو اپلیکیشن VPN و یک مرورگر دریافت شده است.

🔵 سیگنال همگام سازی دستگاه به روز شده را راه اندازی کرده است.

🖌 در حالی که ایلان ماسک در حال تخریب ساختارهای دولتی آمریکا است، شکایت هایی علیه او و DOGE در دادگاه ها انباشته شده است - شانس دولت جدید به ویژه در مواردی که دسترسی به داده های شخصی آمریکایی ها را شامل می شود بسیار بد است.

🤖 طرفداران DeepSeek، آماده باشید - حفاظت از داده ها در برنامه بسیار ضعیف است، پیش بینی اینکه چت های شما کجا نشت می کند دشوار است.

یک آسیب‌پذیری در YouTube باعث می‌شود آدرس‌های ایمیل صاحبان کانال فاش شود . به نظر می رسد اکنون بسته شده است، اما بهتر است روی ناشناس ماندن در YouTube حساب نکنید.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

محققان آزمایشگاه کسپرسکی از حملات گروه مجرمان سایبری Mythic Likho خبر می‌دهند .

این کمپین ده ها شرکت از صنایع مختلف، از تامین کنندگان تجهیزات مخابراتی گرفته تا شرکت های صنعتی را پوشش می دهد.

هدف ادعایی مهاجمان جاسوسی سایبری است.

به گفته محققان، Likho بعدی برای شرکت های روسی یا یک گروه جدید است یا گروهی که به طور قابل توجهی TTP های خود را بهبود بخشیده است، که در ژوئیه 2024 در حملات هدفمند با نسخه خصوصی عامل Loki برای چارچوب Mythic مورد توجه قرار گرفت.

حمله Mythic Likho با یک کلاهبرداری متقاعد کننده با نیزه فیشینگ آغاز می شود. علاوه بر این، متون قربانیان مختلف به طور قابل توجهی متفاوت است.

پیوست حاوی یک بایگانی با چندین مؤلفه، از جمله یک سند طعمه ایمن (رزومه) و یک زنجیره آلودگی در حال تغییر است.

در نتیجه آلودگی، عامل Merlin بر روی میزبان مستقر می شود - یک ابزار متن باز پس از بهره برداری سازگار با چارچوب Mythic.

بدافزار در Go نوشته شده است و می تواند برای ویندوز، لینوکس و macOS کامپایل شود. مرلین می تواند از طریق HTTP/1.1، HTTP/2 و HTTP/3 (ترکیبی از HTTP/2 با پروتکل QUIC) با سرور ارتباط برقرار کند. ارتباط با C2 با استفاده از الگوریتم AES رمزگذاری شده است.

پس از برقراری تماس، درپشتی داده های سیستم را به سرور ارسال می کند: آدرس IP، نسخه سیستم عامل، نام میزبان و نام کاربری، معماری پردازنده، و اطلاعات مربوط به فرآیندی که مرلین در آن اجرا می شود.

محققان علاوه بر سازگاری با چارچوب Mythic، ارتباطی بین حملات این دو درب پشتی پیدا کردند.

بنابراین، یکی از نمونه‌های مرلین با مرکز فرماندهی mail.gkrzn[.]ru نمونه‌ای از Loki نسخه جدید 2.0 را با مرکز فرمان pop3.gkrzn[.]ru در سیستم قربانی دانلود کرد.

نسخه دوم Loki مانند نسخه اول داده های مختلفی در مورد سیستم و اسمبلی آن به سرور منتقل می کند، اما اکنون این مجموعه کمی گسترش یافته است.

علاوه بر این، شاید برای پیچیده‌تر کردن شناسایی خانواده، نویسندگان تصمیم گرفتند روش ارسال داده‌ها به سرور فرمان را تغییر دهند. اگر در نسخه اول داده ها از طریق درخواست POST منتقل می شد، در نسخه جدید از روش GET برای این کار استفاده می شود.

در زمان تحقیق، هنوز اطلاعات کافی در مورد فعالیت های مخرب مرلین و لوکی و اهداف نهایی آن برای نسبت دادن کمپین به هر گروه شناخته شده وجود ندارد. به همین دلیل LC تصمیم گرفت نامی جداگانه برای مهاجمان بگذارد - Mythic Likho.

ویژگی بارز آن استفاده از چارچوب Mythic و عوامل سفارشی برای آن است. در عین حال، مهاجمان سعی می‌کنند از قالب‌ها دوری کنند، متن حروف فیشینگ را به جای زنجیره عفونت بعدی تغییر می‌دهند و در نتیجه موفقیت حملات خود را افزایش می‌دهند.


🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

محققان ربات‌های هوش مصنوعی را با دادن دستورالعمل‌های مخرب هک کردند

دانشمندان دانشگاه پنسیلوانیا آسیب پذیری های جدیدی را در ربات های هوش مصنوعی ( که توسط LLM کنترل می شود ) شناسایی کرده اند که فرار از زندان را آسان می کند .

☝🏻تیم الگوریتم RoboPAIR را توسعه داده است که امکان حمله به یک LLM با دیگری را فراهم می‌کند و فیلترهای محافظ را دور می‌زند - شبیه به ربات‌های چت هوش مصنوعی جیلبریک .

آنها با موفقیت این فناوری را بر روی روبات های Nvidia و Unitree Robotics آزمایش کردند و به موفقیت 100% دست یافتند .

☝🏻چنین هک‌هایی می‌توانند دستگاه‌های بی‌احتیاطی را به دستگاه‌هایی خطرناک تبدیل کنند که قادر به اجرای دستورات مخرب هستند .

در این گزارش نمونه‌هایی از سگ‌های روبات هک شده که می‌توانند بمب‌ها را به مخرب‌ترین مکان‌ها حمل کنند یا خودروهای بدون راننده که عمداً به عابران پیاده برخورد می‌کنند، ذکر می‌کند.💀
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
t.me/ics_cert
گروه :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

☝🏻اخیرا Runway ML Gen-3 Alpha  معرفی شده است ، یک ویژگی طراحی شده برای گسترش ویدئو فراتر از فریم اصلی خود با استفاده از هوش مصنوعی .

این سیستم زمینه صحنه را تحلیل می کند و یک ادامه منطقی ایجاد می کند و از سبک ها و ژانرهای مختلف پشتیبانی می کند . 🤖

کاربر توانایی انتخاب درجه گسترش ویدیو را دارد و این فناوری برای ویدیوهای حداکثر 4 ثانیه کار می کند .
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

☝🏻 کلاهبرداران تایلندی بیش از یک میلیون پیامک فیشینگ از یک ون ارسال کردند

🔻پلیس تایلند یک شهروند چینی 35 ساله را که از ون برای ارسال پیامک های فیشینگ انبوه استفاده می کرد، دستگیر کرد .

🔻دستگاه نصب شده در ون قادر بود بیش از 100000 پیام در ساعت ارسال کند و به ساکنان بانکوک هشدار داد که ظاهراً پاداش آنها منقضی شده است و آنها را به یک سایت فیشینگ هدایت می کند تا اطلاعات کارت بانکی آنها را بدزدند .

🔻 کلاهبرداران با استفاده از رهگیرهای IMSI برای ارسال پیام از آسیب‌پذیری‌ها در شبکه‌های تلفن همراه سوء استفاده کردند .

پلیس همچنین در جستجوی دیگر شرکت کنندگان در این طرح است . 🤔
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

🕵‍♂️ قطعی اینترنت و برق: چگونه تایلند باندهای سایبری را تحت فشار قرار می دهد

👀 220000 نفر در بردگی دیجیتالی
به گفته سازمان ملل، ده ها هزار نفر در آسیای جنوب شرقی مجبور به کلاهبرداری هستند . حوزه های اصلی کلاهبرداری های سرمایه گذاری، کلاهبرداری ارزهای دیجیتال و قمار غیرقانونی است.

👮‍♂️ حملات نظامی و فشار بین المللی
عملیات در میانمار پس از درخواست چین و تایلند برای تشدید مبارزه با گروه های جنایتکار انجام شد. در میان آزاد شدگان اتباع چین، هند و کشورهای شرق آفریقا بودند.

❌ تایلند زیرساخت های جنایتکاران را مسدود می کند
مقامات برق، اینترنت و سوخت را در مناطقی که شبکه های تقلبی مستقر بودند، قطع کردند. این امر منجر به تعطیلی برخی از عملیات ها و فرار تبهکاران شد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

🕵‍♂️ بدافزار پایتون خود را به عنوان یک BSOD پنهان می کند

🖥 صفحه نمایش آبی جعلی مرگ
اسکریپت مخرب پایتون یک پنجره تمام صفحه ایجاد می کند که به صورت BSOD طراحی شده است تا قربانی را گمراه کند. کاربری که چنین صفحه‌ای را می‌بیند ممکن است فکر کند که سیستم واقعاً خراب است و به سادگی رایانه را راه‌اندازی مجدد کند، بدون اینکه مشکوک به آلودگی باشد.

🛡 آنتی ویروس ها ناتوان هستند
از 59 موتور آنتی ویروس در VirusTotal، تنها 4 موتور قادر به شناسایی این اسکریپت بودند. این تأیید می کند که بدافزار همچنان به یافتن حفره ها در مکانیسم های دفاعی ادامه می دهد.

🐍 پایتون و تیکینتر در عمل
این بدافزار از کتابخانه Tkinter استفاده می کند که معمولاً برای ایجاد برنامه های پنجره ای استفاده می شود. اما به جای نرم افزار قانونی، مهاجمان یک BSOD جعلی تولید می کنند که نمی توان آن را به سادگی با استفاده از دکمه های کنترل پنجره بسته کرد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

🕵‍♂️ هوش مصنوعی در مقابل فناوری اطلاعات: بازار کار در بن بست است

😨 اخراج دسته جمعی همچنان ادامه دارد
شرکت ها حتی متخصصان برتر و کارمندان با تجربه را اخراج می کنند . در Meta*، حتی والدین جوانی که در مرخصی زایمان بودند، اخراج شدند تا «سهمیه» اخراج را رعایت کنند.

🤖 هوش مصنوعی کار را بر عهده می گیرد
الگوریتم‌ها جایگزین توسعه‌دهندگان می‌شوند و بازار به دنبال کدنویس نیست، بلکه «استادان هوش مصنوعی» را می‌خواهد - متخصصانی که می‌توانند به جای نوشتن کد، شبکه‌های عصبی را مدیریت کنند.

📉 بازار سقوط کرد و جای خالی از بین رفت
در سال 2025، بیکاری در فناوری اطلاعات به 2.9٪ افزایش یافته است، تعداد مشاغل خالی در بخش فناوری تا 75٪ کاهش یافته است، و کارفرمایان به سادگی نمی‌خواهند همان حقوق را پرداخت کنند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

بدافزار جدیدی به نام FinalDraft از ایمیل‌های پیش‌نویس Outlook برای انتقال دستورات و کنترل در حملات به وزارتخانه در یکی از کشورهای آمریکای جنوبی استفاده می‌کند .

محققان آزمایشگاه امنیتی Elastic توانستند تهدید را شناسایی کنند و مجموعه کاملی از ابزارها را فاش کنند که علاوه بر درب پشتی FinalDraft شامل یک بارگذار بدافزار ویژه، PathLoader و چندین ابزار پس از بهره برداری است.

در عین حال، محرمانه بودن ارتباطات از طریق سوء استفاده از Outlook به دست می آید، که به مهاجمان اجازه می دهد تا سرقت داده، پروکسی، تزریق فرآیند و حرکت جانبی را انجام دهند، در حالی که کمترین رد ممکن را از خود به جای می گذارند.

زنجیره آلودگی با به خطر انداختن سیستم قربانی توسط مهاجم با استفاده از PathLoader آغاز می شود، یک فایل اجرایی کوچک که کد پوسته حاوی بدافزار FinalDraft استخراج شده از زیرساخت مهاجم را اجرا می کند.

PathLoader با انجام هش کردن API و استفاده از رمزگذاری رشته، در برابر تجزیه و تحلیل استاتیک محافظت می کند.

FinalDraft برای استخراج داده ها و اجرای فرآیند استفاده می شود.

هنگامی که پیکربندی بارگیری شد و شناسه جلسه ایجاد شد، بدافزار از طریق Microsoft Graph API ارتباط برقرار می کند و دستورات را از طریق پیش نویس های ایمیل Outlook ارسال و دریافت می کند.

FinalDraft توکن مایکروسافت OAuth را با استفاده از توکن refresh تعبیه شده در پیکربندی آن بازیابی می کند و آن را برای دسترسی دائمی در رجیستری ویندوز ذخیره می کند.

استفاده از پیش نویس های Outlook به جای ارسال ایمیل به شما این امکان را می دهد که با ادغام با ترافیک معمولی Microsoft 365 خود از شناسایی جلوگیری کنید.

دستورات مهاجم در پیش نویس ها پنهان می شوند (r_<session-id>)، و پاسخ ها در پیش نویس های جدید ذخیره می شوند (p_<session-id>). پس از اجرا، پیش‌نویس‌های فرمان حذف می‌شوند و تحلیل فارنزبک را دشوارتر می‌کنند و احتمال تشخیص را کمتر می‌کنند.

FinalDraft در مجموع از 37 فرمان پشتیبانی می‌کند، از جمله: سرقت داده، تزریق فرآیند (اجرای بار در فرآیندهای قانونی مانند mspaint.exe)، حملات Pass-the-Hash، پروکسی، دستکاری فایل، و اجرای PowerShell (بدون اجرای powershell.exe).

Elastic Security Labs همچنین نسخه لینوکس FinalDraft را کشف کرد که می تواند Outlook را از طریق REST API و Graph API و همچنین HTTP/HTTPS، UDP و ICMP، TCP و مبادلات C2 مبتنی بر DNS استفاده کند.

محققان این کمپین را که REF7707 نامیده می‌شود، در گزارشی جداگانه تجزیه و تحلیل کردند که در آن مجموعه‌ای از نقص‌های opsec که در نهایت منجر به در معرض قرار گرفتن مهاجم شد، مشخص می‌شود.

REF7707 با هدف جاسوسی سایبری و ساختارهای وزارت خارجه در یکی از کشورهای آمریکای جنوبی اجرا می‌شود، اما تجزیه و تحلیل زیرساخت‌ها پیوندهایی با قربانیان در جنوب شرقی آسیا را نشان می‌دهد که نشان‌دهنده یک کمپین بزرگ‌تر است.

این تحقیقات همچنین یک بارکننده بدافزار غیرمستند دیگری را کشف کرد که در حملات مورد استفاده قرار گرفته بود، به نام GuidLoader، که قادر به رمزگشایی و اجرای محموله‌ها در حافظه است.

تجزیه و تحلیل بیشتر نشان داد که مهاجم بارها سازمان های بزرگ را از طریق نقاط پایانی اپراتورهای مخابراتی در جنوب شرقی آسیا هدف قرار داده است.

علاوه بر این، یک سیستم ذخیره‌سازی داده در دسترس عموم در یکی از دانشگاه‌های آسیای جنوب شرقی برای میزبانی بدافزار مورد استفاده قرار گرفت، که نشان‌دهنده یک مصالحه قبلی یا جای پایی در زنجیره تامین است.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

مایکروسافت به‌روزرسانی‌های امنیتی را برای رفع دو آسیب‌پذیری حیاتی بر Bing و Power Pages منتشر کرده است که یکی از آنها به طور فعال توسط مهاجمان مورد سوء استفاده قرار گرفته است.

این مشکلات به‌عنوان CVE-2025-21355 (CVSS: 8.6، آسیب‌پذیری Microsoft Bing RCE) و CVE-2025-24989 (CVSS: 8.2، آسیب‌پذیری Microsoft Power Pages EoP) ردیابی می‌شوند.

در بولتن CVE-2025-21355، شرکت اشاره می کند که عدم احراز هویت برای یک ویژگی حیاتی در مایکروسافت بینگ می تواند به مهاجم غیرمجاز اجازه دهد تا کد را از طریق شبکه اجرا کند. هیچ اقدامی از طرف مشتری لازم نیست.

در همان زمان، همانطور که توسط یکی از کارمندان این شرکت گزارش شده است، مایکروسافت CVE-2025-24989 ثابت در Power Pages به طور فعال در حملات مورد استفاده قرار گرفت.

Microsoft Power Pages یک پلت فرم با کد پایین و SaaS برای ایجاد، میزبانی و مدیریت وب سایت های تجاری است.

این آسیب‌پذیری به‌عنوان یک مسئله کنترل دسترسی حیاتی توصیف می‌شود که می‌تواند به مهاجم اجازه دهد تا امتیازات خود را در شبکه افزایش دهد و به طور بالقوه کنترل‌های ورود کاربر را دور بزند.

این آسیب‌پذیری قبلاً در سرویس رفع شده است و به همه مشتریان آسیب‌دیده اطلاع داده شده است. آنها نیازی به وصله ندارند، اما برخی از کاربران ممکن است بخواهند نمونه های آنها را برای نشانه هایی از سازش بررسی کنند.

مایکروسافت در حال حاضر هیچ اطلاعاتی در مورد حملات با استفاده از CVE-2025-24989 فاش نمی کند. اما خواهیم دید.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

👽 یونیکد نامرئی در حملات واقعی

اگرچه وجود کاراکترهای نامرئی متعدد در یونیکد مخفی نیست، استفاده عملی از آنها در امنیت اطلاعات اخیراً قابل توجه است. پیش از این، مهاجمان عمدتاً از هموگلیف‌ها در یونیکد برای ایجاد URLهای فیشینگ یا فریب فیلترهای محتوایی سوء استفاده می‌کردند، اما یک حادثه اخیر فیشینگ نیزه نشان داد که افراد شرور اکنون به استفاده از متن مخفی دست یافته‌اند. در حمله توصیف شده، بار مخرب جاوا اسکریپت در یک سری کاراکترهای کنترلی یونیکد پنهان شده بود، که هر یک نمایشگر را بین کاراکترهای نیمه عرض و تمام عرض الفبای کره ای هانگول تغییر می دهد. این کاراکترها عرض صفر دارند و روی نمایش کاراکترهای لاتین معمولی تاثیری ندارند. هنگام مشاهده دستی کد HTML مخرب، payload به هیچ وجه قابل توجه نیست و فقط با کمک یک ویرایشگر هگز یا ابزار دیگر می توانید متوجه این مشکل شوید.

نقطه ضعف این روش این است که هر کاراکتر نامرئی تنها یک بیت از اطلاعات را رمزگذاری می کند، بنابراین اسکریپت مخرب اندازه HTML را تا حد زیادی افزایش می دهد. جالب توجه است که این حمله توسط محققان امنیت اطلاعات تنها در ماه اکتبر به عنوان یک PoC توصیف شد و تقریباً بلافاصله در زرادخانه مهاجمان مورد توجه قرار گرفت.

با توجه به این سرعت، می توانیم فرض کنیم که تکنیک پیشرفته قاچاق ایموجی که در فوریه توضیح داده شد، به زودی در حملات واقعی نیز یافت می شود. از 256 کاراکتر نامرئی یونیکد به نام انتخابگرهای تنوع استفاده می کند. آنها قرار است اصلاحاتی از یک کاراکتر قابل مشاهده قبلی را توصیف کنند، اما برای بسیاری از کاراکترهای یونیکد، مانند ایموجی، تغییرات توصیف نشده است. بنابراین، انتخابگر "چسب شده" روی ایموجی به هیچ وجه نمایش شکلک را تغییر نمی دهد و خود قابل مشاهده نیست. در همان زمان، می‌توانید تعداد نامحدودی انتخابگر را به یک نماد قابل مشاهده متصل کنید و حتی یک متن کامل را در آنجا پنهان کنید (این شکلک را در رمزگشا آزمایش کنید.) و در اینجا تورم اندازه فایل دیگر چندان آشکار نخواهد بود، زیرا دقیقاً با تعداد کاراکترهای پنهان رشد می کند.

این روش‌های پنهان‌نگاری، علی‌رغم سادگی‌شان، نیازمند بررسی در طیف وسیعی از فرآیندهای امنیت اطلاعات هستند - از تنظیمات DLP گرفته تا فیلترهای هرزنامه و وب.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

محققان آزمایشگاه کسپرسکی جزئیات کمپین جدید SalmonSlalom را که سازمان‌های صنعتی در منطقه آسیا-اقیانوسیه را از طریق فیشینگ و FatalRAT هدف قرار می‌دهد، فاش کردند .

هدف گذاری ویژه ای به آژانس های دولتی و تأسیسات صنعتی، به ویژه در زمینه های تولید، ساخت و ساز، فناوری اطلاعات، مخابرات، مراقبت های بهداشتی، انرژی، و همچنین لجستیک و حمل و نقل در تایوان، مالزی، چین، ژاپن، تایلند، کره جنوبی، سنگاپور، فیلیپین، ویتنام و هنگ کنگ داده شد.

فریب های استفاده شده در ایمیل ها نشان می دهد که کمپین فیشینگ کاربران چینی زبان را هدف قرار می دهد.

مهاجمان از یک ساختار پیچیده تحویل محموله چند مرحله‌ای برای فرار از شناسایی و همچنین از سرویس CDN چینی قانونی myqcloud و Youdao Cloud Notes به عنوان بخشی از زیرساخت حمله استفاده کردند.

نقطه شروع آخرین زنجیره حمله، یک ایمیل فیشینگ حاوی یک آرشیو ZIP با نام فایل به زبان چینی است که پس از باز شدن، یک دانلود کننده مرحله اول راه اندازی می شود که درخواستی را برای بازیابی FatalRAT DLL و فایل پیکربندی کننده به Youdao Cloud Notes ارسال می کند.

به نوبه خود، ماژول پیکربندی کننده محتویات یادداشت دیگری را از note.youdao[.]com دانلود می کند، به اطلاعات پیکربندی دسترسی پیدا می کند و برای جلوگیری از مشکوک، یک فایل فریب را باز می کند.

از سوی دیگر، DLL یک لودر مرحله دوم است که وظیفه دانلود و نصب بارگذاری FatalRAT را از سرور ("myqcloud[.]com") از پیکربندی بر عهده دارد، در حالی که یک پیغام خطای جعلی نشان می دهد که هنگام راه اندازی برنامه مشکلی را نشان می دهد.

یکی از ویژگی های متمایز کلیدی این کمپین، استفاده از تکنیک های بارگذاری جانبی DLL برای سرعت بخشیدن به توالی آلودگی چند مرحله ای و دانلود بدافزار FatalRAT است.

FatalRAT 17 بررسی انجام می دهد تا ببیند آیا نشانه ای وجود دارد که بدافزار در یک ماشین مجازی یا محیط sandbox در حال اجرا است یا خیر.

سپس تمام rundll32.exe را خاتمه می دهد و اطلاعات مربوط به سیستم و راه حل های امنیتی مختلف نصب شده روی آن را قبل از دریافت دستورالعمل های بیشتر از C2 جمع آوری می کند.

FatalRAT یک تروجان چند منظوره است که می تواند ضربات کلید را ثبت کند، حافظه را دستکاری کند، داده ها را در مرورگرها مشاهده کند، نرم افزارهای اضافی مانند AnyDesk و UltraViewer را دانلود کند، عملیات فایل را انجام دهد، سرور پروکسی را اجرا کند و فرآیندها را خاتمه دهد.

عملکرد FatalRAT به مهاجم فرصت های تقریبا نامحدودی برای توسعه حمله می دهد: توزیع در شبکه، نصب ابزارهای مدیریت از راه دور، دستکاری دستگاه ها، سرقت اطلاعات محرمانه.

در حین بررسی کد مخرب، محققان متوجه شباهت‌هایی با جریان‌های کاری مشاهده‌شده در کمپین‌های قبلی شدند که توسط بازیگران تهدید با استفاده از Gh0st RAT، SimayRAT، Zegost و FatalRAT تنظیم شده بود.

در حال حاضر مشخص نیست چه کسی پشت حملات FatalRAT است. با این حال، در این کمپین، این بازیگر تکامل قابل توجهی را از نظر TTP هایی که به طور خاص برای اهداف چینی زبان طراحی شده اند، نشان داد.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

یک آسیب‌پذیری در سیستم کنترل فرآیند ABB ASPECT-Enterprise و میان‌افزار کنترل‌کننده‌های سری ABB MATRIX و NEXUS مربوط به استفاده از اعتبارنامه‌های رمزگذاری‌شده سخت است. بهره برداری از این آسیب پذیری می تواند به یک مهاجم راه دور اجازه دهد تا کد دلخواه را با استفاده از اعتبارنامه های پیش فرض اجرا کند.

BDU: 2025-01311
CVE-2024-51547

نصب به روز رسانی از منابع قابل اعتماد، توصیه می شود که به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- استفاده از فایروال برای محدود کردن امکان دسترسی از راه دور به نرم افزار. - استفاده از یک لیست "سفید" از آدرس های IP برای محدود کردن دسترسی از راه دور به نرم افزارهای آسیب پذیر.
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

از توصیه های سازنده استفاده کنید:
https://search.abb.com/library/Download.aspx?DocumentID=9AKK108470A6775&LanguageCode=en&DocumentPartId=pdf%20-%20Public%20Advisory&Action=Launch
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

🏭 چه کسی کنترل کننده ها را کنترل می کند؟ در اواسط فوریه، FSTEC در مورد کشف یک خطای بحرانی در دو سری از کنترلرهای ABB - MATRIX و NEXUS هشدار داد. آنها حاوی اعتبارنامه های پیش فرض هستند که مهاجمان می توانند از آنها برای به دست آوردن کنترل بر دستگاه ها استفاده کنند. این آسیب پذیری نمره شدت CVSS 9.8 از 10 را دریافت کرده و تا نسخه 3.08.03 وجود دارد. این خطا قبلاً توسط سازنده برطرف شده است، اما پشتیبانی فنی برای محصولات این شرکت در روسیه و بلاروس از تابستان 2022 متوقف شده است.

سری کنترلرهای MATRIX و NEXUS بخشی از راه حل صنعتی ABB ASPECT-Enterprise است که برای مدیریت انرژی ساختمان ها و سازه های بزرگ طراحی شده است. آنها توانایی کنترل از راه دور تامین انرژی تاسیساتی را که راه حل در آن مستقر است را فراهم می کنند. کنترل چنین سیستم‌هایی با استفاده از رمزهای عبور پیش‌فرض که قابل تغییر نیستند، می‌تواند به مهاجمان اجازه دهد برق ساختمان‌ها را قطع کنند و سایر تجهیزات را غیرفعال کنند.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

رابط وب پلت فرم مدیریت mySCADA myPRO Manager در برابر عدم احراز هویت برای یک عملکرد مهم آسیب پذیر است. بهره برداری از این آسیب پذیری می تواند به مهاجم راه دور اجازه دهد تا دسترسی غیرمجاز به نرم افزار داشته باشد.

BDU: 2025-01636
CVE-2025-24865

نصب به روز رسانی از منابع قابل اعتماد ، توصیه می شود که به روز رسانی های نرم افزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- استفاده از فایروال برای محدود کردن دسترسی از راه دور به نرم افزارهای آسیب پذیر.
- استفاده از یک لیست "سفید" از آدرس های IP برای محدود کردن دسترسی به رابط وب نرم افزار آسیب پذیر.
- محدود کردن دسترسی به نرم افزارهای آسیب پذیر از شبکه های خارجی (اینترنت).
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

از توصیه های سازنده استفاده کنید:
به روز رسانی نرم افزار به نسخه 1.4 و بالاتر
https://www.myscada.org/downloads/mySCADAPROManager/
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33