محققان آزمایشگاه کسپرسکی از حملات گروه مجرمان سایبری Mythic Likho خبر میدهند .
این کمپین ده ها شرکت از صنایع مختلف، از تامین کنندگان تجهیزات مخابراتی گرفته تا شرکت های صنعتی را پوشش می دهد.
هدف ادعایی مهاجمان جاسوسی سایبری است.
به گفته محققان، Likho بعدی برای شرکت های روسی یا یک گروه جدید است یا گروهی که به طور قابل توجهی TTP های خود را بهبود بخشیده است، که در ژوئیه 2024 در حملات هدفمند با نسخه خصوصی عامل Loki برای چارچوب Mythic مورد توجه قرار گرفت.
حمله Mythic Likho با یک کلاهبرداری متقاعد کننده با نیزه فیشینگ آغاز می شود. علاوه بر این، متون قربانیان مختلف به طور قابل توجهی متفاوت است.
پیوست حاوی یک بایگانی با چندین مؤلفه، از جمله یک سند طعمه ایمن (رزومه) و یک زنجیره آلودگی در حال تغییر است.
در نتیجه آلودگی، عامل Merlin بر روی میزبان مستقر می شود - یک ابزار متن باز پس از بهره برداری سازگار با چارچوب Mythic.
بدافزار در Go نوشته شده است و می تواند برای ویندوز، لینوکس و macOS کامپایل شود. مرلین می تواند از طریق HTTP/1.1، HTTP/2 و HTTP/3 (ترکیبی از HTTP/2 با پروتکل QUIC) با سرور ارتباط برقرار کند. ارتباط با C2 با استفاده از الگوریتم AES رمزگذاری شده است.
پس از برقراری تماس، درپشتی داده های سیستم را به سرور ارسال می کند: آدرس IP، نسخه سیستم عامل، نام میزبان و نام کاربری، معماری پردازنده، و اطلاعات مربوط به فرآیندی که مرلین در آن اجرا می شود.
محققان علاوه بر سازگاری با چارچوب Mythic، ارتباطی بین حملات این دو درب پشتی پیدا کردند.
بنابراین، یکی از نمونههای مرلین با مرکز فرماندهی mail.gkrzn[.]ru نمونهای از Loki نسخه جدید 2.0 را با مرکز فرمان pop3.gkrzn[.]ru در سیستم قربانی دانلود کرد.
نسخه دوم Loki مانند نسخه اول داده های مختلفی در مورد سیستم و اسمبلی آن به سرور منتقل می کند، اما اکنون این مجموعه کمی گسترش یافته است.
علاوه بر این، شاید برای پیچیدهتر کردن شناسایی خانواده، نویسندگان تصمیم گرفتند روش ارسال دادهها به سرور فرمان را تغییر دهند. اگر در نسخه اول داده ها از طریق درخواست POST منتقل می شد، در نسخه جدید از روش GET برای این کار استفاده می شود.
در زمان تحقیق، هنوز اطلاعات کافی در مورد فعالیت های مخرب مرلین و لوکی و اهداف نهایی آن برای نسبت دادن کمپین به هر گروه شناخته شده وجود ندارد. به همین دلیل LC تصمیم گرفت نامی جداگانه برای مهاجمان بگذارد - Mythic Likho.
ویژگی بارز آن استفاده از چارچوب Mythic و عوامل سفارشی برای آن است. در عین حال، مهاجمان سعی میکنند از قالبها دوری کنند، متن حروف فیشینگ را به جای زنجیره عفونت بعدی تغییر میدهند و در نتیجه موفقیت حملات خود را افزایش میدهند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
این کمپین ده ها شرکت از صنایع مختلف، از تامین کنندگان تجهیزات مخابراتی گرفته تا شرکت های صنعتی را پوشش می دهد.
هدف ادعایی مهاجمان جاسوسی سایبری است.
به گفته محققان، Likho بعدی برای شرکت های روسی یا یک گروه جدید است یا گروهی که به طور قابل توجهی TTP های خود را بهبود بخشیده است، که در ژوئیه 2024 در حملات هدفمند با نسخه خصوصی عامل Loki برای چارچوب Mythic مورد توجه قرار گرفت.
حمله Mythic Likho با یک کلاهبرداری متقاعد کننده با نیزه فیشینگ آغاز می شود. علاوه بر این، متون قربانیان مختلف به طور قابل توجهی متفاوت است.
پیوست حاوی یک بایگانی با چندین مؤلفه، از جمله یک سند طعمه ایمن (رزومه) و یک زنجیره آلودگی در حال تغییر است.
در نتیجه آلودگی، عامل Merlin بر روی میزبان مستقر می شود - یک ابزار متن باز پس از بهره برداری سازگار با چارچوب Mythic.
بدافزار در Go نوشته شده است و می تواند برای ویندوز، لینوکس و macOS کامپایل شود. مرلین می تواند از طریق HTTP/1.1، HTTP/2 و HTTP/3 (ترکیبی از HTTP/2 با پروتکل QUIC) با سرور ارتباط برقرار کند. ارتباط با C2 با استفاده از الگوریتم AES رمزگذاری شده است.
پس از برقراری تماس، درپشتی داده های سیستم را به سرور ارسال می کند: آدرس IP، نسخه سیستم عامل، نام میزبان و نام کاربری، معماری پردازنده، و اطلاعات مربوط به فرآیندی که مرلین در آن اجرا می شود.
محققان علاوه بر سازگاری با چارچوب Mythic، ارتباطی بین حملات این دو درب پشتی پیدا کردند.
بنابراین، یکی از نمونههای مرلین با مرکز فرماندهی mail.gkrzn[.]ru نمونهای از Loki نسخه جدید 2.0 را با مرکز فرمان pop3.gkrzn[.]ru در سیستم قربانی دانلود کرد.
نسخه دوم Loki مانند نسخه اول داده های مختلفی در مورد سیستم و اسمبلی آن به سرور منتقل می کند، اما اکنون این مجموعه کمی گسترش یافته است.
علاوه بر این، شاید برای پیچیدهتر کردن شناسایی خانواده، نویسندگان تصمیم گرفتند روش ارسال دادهها به سرور فرمان را تغییر دهند. اگر در نسخه اول داده ها از طریق درخواست POST منتقل می شد، در نسخه جدید از روش GET برای این کار استفاده می شود.
در زمان تحقیق، هنوز اطلاعات کافی در مورد فعالیت های مخرب مرلین و لوکی و اهداف نهایی آن برای نسبت دادن کمپین به هر گروه شناخته شده وجود ندارد. به همین دلیل LC تصمیم گرفت نامی جداگانه برای مهاجمان بگذارد - Mythic Likho.
ویژگی بارز آن استفاده از چارچوب Mythic و عوامل سفارشی برای آن است. در عین حال، مهاجمان سعی میکنند از قالبها دوری کنند، متن حروف فیشینگ را به جای زنجیره عفونت بعدی تغییر میدهند و در نتیجه موفقیت حملات خود را افزایش میدهند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
❤1
This media is not supported in your browser
VIEW IN TELEGRAM
محققان رباتهای هوش مصنوعی را با دادن دستورالعملهای مخرب هک کردند
دانشمندان دانشگاه پنسیلوانیا آسیب پذیری های جدیدی را در ربات های هوش مصنوعی ( که توسط LLM کنترل می شود ) شناسایی کرده اند که فرار از زندان را آسان می کند .
☝🏻تیم الگوریتم RoboPAIR را توسعه داده است که امکان حمله به یک LLM با دیگری را فراهم میکند و فیلترهای محافظ را دور میزند - شبیه به رباتهای چت هوش مصنوعی جیلبریک .
آنها با موفقیت این فناوری را بر روی روبات های Nvidia و Unitree Robotics آزمایش کردند و به موفقیت 100% دست یافتند .
☝🏻چنین هکهایی میتوانند دستگاههای بیاحتیاطی را به دستگاههایی خطرناک تبدیل کنند که قادر به اجرای دستورات مخرب هستند .
در این گزارش نمونههایی از سگهای روبات هک شده که میتوانند بمبها را به مخربترین مکانها حمل کنند یا خودروهای بدون راننده که عمداً به عابران پیاده برخورد میکنند، ذکر میکند.💀
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
t.me/ics_cert
گروه :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
دانشمندان دانشگاه پنسیلوانیا آسیب پذیری های جدیدی را در ربات های هوش مصنوعی ( که توسط LLM کنترل می شود ) شناسایی کرده اند که فرار از زندان را آسان می کند .
☝🏻تیم الگوریتم RoboPAIR را توسعه داده است که امکان حمله به یک LLM با دیگری را فراهم میکند و فیلترهای محافظ را دور میزند - شبیه به رباتهای چت هوش مصنوعی جیلبریک .
آنها با موفقیت این فناوری را بر روی روبات های Nvidia و Unitree Robotics آزمایش کردند و به موفقیت 100% دست یافتند .
☝🏻چنین هکهایی میتوانند دستگاههای بیاحتیاطی را به دستگاههایی خطرناک تبدیل کنند که قادر به اجرای دستورات مخرب هستند .
در این گزارش نمونههایی از سگهای روبات هک شده که میتوانند بمبها را به مخربترین مکانها حمل کنند یا خودروهای بدون راننده که عمداً به عابران پیاده برخورد میکنند، ذکر میکند.💀
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
t.me/ics_cert
گروه :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
This media is not supported in your browser
VIEW IN TELEGRAM
☝🏻اخیرا Runway ML Gen-3 Alpha معرفی شده است ، یک ویژگی طراحی شده برای گسترش ویدئو فراتر از فریم اصلی خود با استفاده از هوش مصنوعی .
این سیستم زمینه صحنه را تحلیل می کند و یک ادامه منطقی ایجاد می کند و از سبک ها و ژانرهای مختلف پشتیبانی می کند . 🤖
کاربر توانایی انتخاب درجه گسترش ویدیو را دارد و این فناوری برای ویدیوهای حداکثر 4 ثانیه کار می کند .
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
این سیستم زمینه صحنه را تحلیل می کند و یک ادامه منطقی ایجاد می کند و از سبک ها و ژانرهای مختلف پشتیبانی می کند . 🤖
کاربر توانایی انتخاب درجه گسترش ویدیو را دارد و این فناوری برای ویدیوهای حداکثر 4 ثانیه کار می کند .
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
This media is not supported in your browser
VIEW IN TELEGRAM
☝🏻 کلاهبرداران تایلندی بیش از یک میلیون پیامک فیشینگ از یک ون ارسال کردند
🔻پلیس تایلند یک شهروند چینی 35 ساله را که از ون برای ارسال پیامک های فیشینگ انبوه استفاده می کرد، دستگیر کرد .
🔻دستگاه نصب شده در ون قادر بود بیش از 100000 پیام در ساعت ارسال کند و به ساکنان بانکوک هشدار داد که ظاهراً پاداش آنها منقضی شده است و آنها را به یک سایت فیشینگ هدایت می کند تا اطلاعات کارت بانکی آنها را بدزدند .
🔻 کلاهبرداران با استفاده از رهگیرهای IMSI برای ارسال پیام از آسیبپذیریها در شبکههای تلفن همراه سوء استفاده کردند .
پلیس همچنین در جستجوی دیگر شرکت کنندگان در این طرح است . 🤔
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
🔻پلیس تایلند یک شهروند چینی 35 ساله را که از ون برای ارسال پیامک های فیشینگ انبوه استفاده می کرد، دستگیر کرد .
🔻دستگاه نصب شده در ون قادر بود بیش از 100000 پیام در ساعت ارسال کند و به ساکنان بانکوک هشدار داد که ظاهراً پاداش آنها منقضی شده است و آنها را به یک سایت فیشینگ هدایت می کند تا اطلاعات کارت بانکی آنها را بدزدند .
🔻 کلاهبرداران با استفاده از رهگیرهای IMSI برای ارسال پیام از آسیبپذیریها در شبکههای تلفن همراه سوء استفاده کردند .
پلیس همچنین در جستجوی دیگر شرکت کنندگان در این طرح است . 🤔
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
🕵♂️ قطعی اینترنت و برق: چگونه تایلند باندهای سایبری را تحت فشار قرار می دهد
👀 220000 نفر در بردگی دیجیتالی
به گفته سازمان ملل، ده ها هزار نفر در آسیای جنوب شرقی مجبور به کلاهبرداری هستند . حوزه های اصلی کلاهبرداری های سرمایه گذاری، کلاهبرداری ارزهای دیجیتال و قمار غیرقانونی است.
👮♂️ حملات نظامی و فشار بین المللی
عملیات در میانمار پس از درخواست چین و تایلند برای تشدید مبارزه با گروه های جنایتکار انجام شد. در میان آزاد شدگان اتباع چین، هند و کشورهای شرق آفریقا بودند.
❌ تایلند زیرساخت های جنایتکاران را مسدود می کند
مقامات برق، اینترنت و سوخت را در مناطقی که شبکه های تقلبی مستقر بودند، قطع کردند. این امر منجر به تعطیلی برخی از عملیات ها و فرار تبهکاران شد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
👀 220000 نفر در بردگی دیجیتالی
به گفته سازمان ملل، ده ها هزار نفر در آسیای جنوب شرقی مجبور به کلاهبرداری هستند . حوزه های اصلی کلاهبرداری های سرمایه گذاری، کلاهبرداری ارزهای دیجیتال و قمار غیرقانونی است.
👮♂️ حملات نظامی و فشار بین المللی
عملیات در میانمار پس از درخواست چین و تایلند برای تشدید مبارزه با گروه های جنایتکار انجام شد. در میان آزاد شدگان اتباع چین، هند و کشورهای شرق آفریقا بودند.
❌ تایلند زیرساخت های جنایتکاران را مسدود می کند
مقامات برق، اینترنت و سوخت را در مناطقی که شبکه های تقلبی مستقر بودند، قطع کردند. این امر منجر به تعطیلی برخی از عملیات ها و فرار تبهکاران شد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
🕵♂️ بدافزار پایتون خود را به عنوان یک BSOD پنهان می کند
🖥 صفحه نمایش آبی جعلی مرگ
اسکریپت مخرب پایتون یک پنجره تمام صفحه ایجاد می کند که به صورت BSOD طراحی شده است تا قربانی را گمراه کند. کاربری که چنین صفحهای را میبیند ممکن است فکر کند که سیستم واقعاً خراب است و به سادگی رایانه را راهاندازی مجدد کند، بدون اینکه مشکوک به آلودگی باشد.
🛡 آنتی ویروس ها ناتوان هستند
از 59 موتور آنتی ویروس در VirusTotal، تنها 4 موتور قادر به شناسایی این اسکریپت بودند. این تأیید می کند که بدافزار همچنان به یافتن حفره ها در مکانیسم های دفاعی ادامه می دهد.
🐍 پایتون و تیکینتر در عمل
این بدافزار از کتابخانه Tkinter استفاده می کند که معمولاً برای ایجاد برنامه های پنجره ای استفاده می شود. اما به جای نرم افزار قانونی، مهاجمان یک BSOD جعلی تولید می کنند که نمی توان آن را به سادگی با استفاده از دکمه های کنترل پنجره بسته کرد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
🖥 صفحه نمایش آبی جعلی مرگ
اسکریپت مخرب پایتون یک پنجره تمام صفحه ایجاد می کند که به صورت BSOD طراحی شده است تا قربانی را گمراه کند. کاربری که چنین صفحهای را میبیند ممکن است فکر کند که سیستم واقعاً خراب است و به سادگی رایانه را راهاندازی مجدد کند، بدون اینکه مشکوک به آلودگی باشد.
🛡 آنتی ویروس ها ناتوان هستند
از 59 موتور آنتی ویروس در VirusTotal، تنها 4 موتور قادر به شناسایی این اسکریپت بودند. این تأیید می کند که بدافزار همچنان به یافتن حفره ها در مکانیسم های دفاعی ادامه می دهد.
🐍 پایتون و تیکینتر در عمل
این بدافزار از کتابخانه Tkinter استفاده می کند که معمولاً برای ایجاد برنامه های پنجره ای استفاده می شود. اما به جای نرم افزار قانونی، مهاجمان یک BSOD جعلی تولید می کنند که نمی توان آن را به سادگی با استفاده از دکمه های کنترل پنجره بسته کرد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
🕵♂️ هوش مصنوعی در مقابل فناوری اطلاعات: بازار کار در بن بست است
😨 اخراج دسته جمعی همچنان ادامه دارد
شرکت ها حتی متخصصان برتر و کارمندان با تجربه را اخراج می کنند . در Meta*، حتی والدین جوانی که در مرخصی زایمان بودند، اخراج شدند تا «سهمیه» اخراج را رعایت کنند.
🤖 هوش مصنوعی کار را بر عهده می گیرد
الگوریتمها جایگزین توسعهدهندگان میشوند و بازار به دنبال کدنویس نیست، بلکه «استادان هوش مصنوعی» را میخواهد - متخصصانی که میتوانند به جای نوشتن کد، شبکههای عصبی را مدیریت کنند.
📉 بازار سقوط کرد و جای خالی از بین رفت
در سال 2025، بیکاری در فناوری اطلاعات به 2.9٪ افزایش یافته است، تعداد مشاغل خالی در بخش فناوری تا 75٪ کاهش یافته است، و کارفرمایان به سادگی نمیخواهند همان حقوق را پرداخت کنند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
😨 اخراج دسته جمعی همچنان ادامه دارد
شرکت ها حتی متخصصان برتر و کارمندان با تجربه را اخراج می کنند . در Meta*، حتی والدین جوانی که در مرخصی زایمان بودند، اخراج شدند تا «سهمیه» اخراج را رعایت کنند.
🤖 هوش مصنوعی کار را بر عهده می گیرد
الگوریتمها جایگزین توسعهدهندگان میشوند و بازار به دنبال کدنویس نیست، بلکه «استادان هوش مصنوعی» را میخواهد - متخصصانی که میتوانند به جای نوشتن کد، شبکههای عصبی را مدیریت کنند.
📉 بازار سقوط کرد و جای خالی از بین رفت
در سال 2025، بیکاری در فناوری اطلاعات به 2.9٪ افزایش یافته است، تعداد مشاغل خالی در بخش فناوری تا 75٪ کاهش یافته است، و کارفرمایان به سادگی نمیخواهند همان حقوق را پرداخت کنند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
👍1
بدافزار جدیدی به نام FinalDraft از ایمیلهای پیشنویس Outlook برای انتقال دستورات و کنترل در حملات به وزارتخانه در یکی از کشورهای آمریکای جنوبی استفاده میکند .
محققان آزمایشگاه امنیتی Elastic توانستند تهدید را شناسایی کنند و مجموعه کاملی از ابزارها را فاش کنند که علاوه بر درب پشتی FinalDraft شامل یک بارگذار بدافزار ویژه، PathLoader و چندین ابزار پس از بهره برداری است.
در عین حال، محرمانه بودن ارتباطات از طریق سوء استفاده از Outlook به دست می آید، که به مهاجمان اجازه می دهد تا سرقت داده، پروکسی، تزریق فرآیند و حرکت جانبی را انجام دهند، در حالی که کمترین رد ممکن را از خود به جای می گذارند.
زنجیره آلودگی با به خطر انداختن سیستم قربانی توسط مهاجم با استفاده از PathLoader آغاز می شود، یک فایل اجرایی کوچک که کد پوسته حاوی بدافزار FinalDraft استخراج شده از زیرساخت مهاجم را اجرا می کند.
PathLoader با انجام هش کردن API و استفاده از رمزگذاری رشته، در برابر تجزیه و تحلیل استاتیک محافظت می کند.
FinalDraft برای استخراج داده ها و اجرای فرآیند استفاده می شود.
هنگامی که پیکربندی بارگیری شد و شناسه جلسه ایجاد شد، بدافزار از طریق Microsoft Graph API ارتباط برقرار می کند و دستورات را از طریق پیش نویس های ایمیل Outlook ارسال و دریافت می کند.
FinalDraft توکن مایکروسافت OAuth را با استفاده از توکن refresh تعبیه شده در پیکربندی آن بازیابی می کند و آن را برای دسترسی دائمی در رجیستری ویندوز ذخیره می کند.
استفاده از پیش نویس های Outlook به جای ارسال ایمیل به شما این امکان را می دهد که با ادغام با ترافیک معمولی Microsoft 365 خود از شناسایی جلوگیری کنید.
دستورات مهاجم در پیش نویس ها پنهان می شوند (r_<session-id>)، و پاسخ ها در پیش نویس های جدید ذخیره می شوند (p_<session-id>). پس از اجرا، پیشنویسهای فرمان حذف میشوند و تحلیل فارنزبک را دشوارتر میکنند و احتمال تشخیص را کمتر میکنند.
FinalDraft در مجموع از 37 فرمان پشتیبانی میکند، از جمله: سرقت داده، تزریق فرآیند (اجرای بار در فرآیندهای قانونی مانند mspaint.exe)، حملات Pass-the-Hash، پروکسی، دستکاری فایل، و اجرای PowerShell (بدون اجرای powershell.exe).
Elastic Security Labs همچنین نسخه لینوکس FinalDraft را کشف کرد که می تواند Outlook را از طریق REST API و Graph API و همچنین HTTP/HTTPS، UDP و ICMP، TCP و مبادلات C2 مبتنی بر DNS استفاده کند.
محققان این کمپین را که REF7707 نامیده میشود، در گزارشی جداگانه تجزیه و تحلیل کردند که در آن مجموعهای از نقصهای opsec که در نهایت منجر به در معرض قرار گرفتن مهاجم شد، مشخص میشود.
REF7707 با هدف جاسوسی سایبری و ساختارهای وزارت خارجه در یکی از کشورهای آمریکای جنوبی اجرا میشود، اما تجزیه و تحلیل زیرساختها پیوندهایی با قربانیان در جنوب شرقی آسیا را نشان میدهد که نشاندهنده یک کمپین بزرگتر است.
این تحقیقات همچنین یک بارکننده بدافزار غیرمستند دیگری را کشف کرد که در حملات مورد استفاده قرار گرفته بود، به نام GuidLoader، که قادر به رمزگشایی و اجرای محمولهها در حافظه است.
تجزیه و تحلیل بیشتر نشان داد که مهاجم بارها سازمان های بزرگ را از طریق نقاط پایانی اپراتورهای مخابراتی در جنوب شرقی آسیا هدف قرار داده است.
علاوه بر این، یک سیستم ذخیرهسازی داده در دسترس عموم در یکی از دانشگاههای آسیای جنوب شرقی برای میزبانی بدافزار مورد استفاده قرار گرفت، که نشاندهنده یک مصالحه قبلی یا جای پایی در زنجیره تامین است.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
محققان آزمایشگاه امنیتی Elastic توانستند تهدید را شناسایی کنند و مجموعه کاملی از ابزارها را فاش کنند که علاوه بر درب پشتی FinalDraft شامل یک بارگذار بدافزار ویژه، PathLoader و چندین ابزار پس از بهره برداری است.
در عین حال، محرمانه بودن ارتباطات از طریق سوء استفاده از Outlook به دست می آید، که به مهاجمان اجازه می دهد تا سرقت داده، پروکسی، تزریق فرآیند و حرکت جانبی را انجام دهند، در حالی که کمترین رد ممکن را از خود به جای می گذارند.
زنجیره آلودگی با به خطر انداختن سیستم قربانی توسط مهاجم با استفاده از PathLoader آغاز می شود، یک فایل اجرایی کوچک که کد پوسته حاوی بدافزار FinalDraft استخراج شده از زیرساخت مهاجم را اجرا می کند.
PathLoader با انجام هش کردن API و استفاده از رمزگذاری رشته، در برابر تجزیه و تحلیل استاتیک محافظت می کند.
FinalDraft برای استخراج داده ها و اجرای فرآیند استفاده می شود.
هنگامی که پیکربندی بارگیری شد و شناسه جلسه ایجاد شد، بدافزار از طریق Microsoft Graph API ارتباط برقرار می کند و دستورات را از طریق پیش نویس های ایمیل Outlook ارسال و دریافت می کند.
FinalDraft توکن مایکروسافت OAuth را با استفاده از توکن refresh تعبیه شده در پیکربندی آن بازیابی می کند و آن را برای دسترسی دائمی در رجیستری ویندوز ذخیره می کند.
استفاده از پیش نویس های Outlook به جای ارسال ایمیل به شما این امکان را می دهد که با ادغام با ترافیک معمولی Microsoft 365 خود از شناسایی جلوگیری کنید.
دستورات مهاجم در پیش نویس ها پنهان می شوند (r_<session-id>)، و پاسخ ها در پیش نویس های جدید ذخیره می شوند (p_<session-id>). پس از اجرا، پیشنویسهای فرمان حذف میشوند و تحلیل فارنزبک را دشوارتر میکنند و احتمال تشخیص را کمتر میکنند.
FinalDraft در مجموع از 37 فرمان پشتیبانی میکند، از جمله: سرقت داده، تزریق فرآیند (اجرای بار در فرآیندهای قانونی مانند mspaint.exe)، حملات Pass-the-Hash، پروکسی، دستکاری فایل، و اجرای PowerShell (بدون اجرای powershell.exe).
Elastic Security Labs همچنین نسخه لینوکس FinalDraft را کشف کرد که می تواند Outlook را از طریق REST API و Graph API و همچنین HTTP/HTTPS، UDP و ICMP، TCP و مبادلات C2 مبتنی بر DNS استفاده کند.
محققان این کمپین را که REF7707 نامیده میشود، در گزارشی جداگانه تجزیه و تحلیل کردند که در آن مجموعهای از نقصهای opsec که در نهایت منجر به در معرض قرار گرفتن مهاجم شد، مشخص میشود.
REF7707 با هدف جاسوسی سایبری و ساختارهای وزارت خارجه در یکی از کشورهای آمریکای جنوبی اجرا میشود، اما تجزیه و تحلیل زیرساختها پیوندهایی با قربانیان در جنوب شرقی آسیا را نشان میدهد که نشاندهنده یک کمپین بزرگتر است.
این تحقیقات همچنین یک بارکننده بدافزار غیرمستند دیگری را کشف کرد که در حملات مورد استفاده قرار گرفته بود، به نام GuidLoader، که قادر به رمزگشایی و اجرای محمولهها در حافظه است.
تجزیه و تحلیل بیشتر نشان داد که مهاجم بارها سازمان های بزرگ را از طریق نقاط پایانی اپراتورهای مخابراتی در جنوب شرقی آسیا هدف قرار داده است.
علاوه بر این، یک سیستم ذخیرهسازی داده در دسترس عموم در یکی از دانشگاههای آسیای جنوب شرقی برای میزبانی بدافزار مورد استفاده قرار گرفت، که نشاندهنده یک مصالحه قبلی یا جای پایی در زنجیره تامین است.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
مایکروسافت بهروزرسانیهای امنیتی را برای رفع دو آسیبپذیری حیاتی بر Bing و Power Pages منتشر کرده است که یکی از آنها به طور فعال توسط مهاجمان مورد سوء استفاده قرار گرفته است.
این مشکلات بهعنوان CVE-2025-21355 (CVSS: 8.6، آسیبپذیری Microsoft Bing RCE) و CVE-2025-24989 (CVSS: 8.2، آسیبپذیری Microsoft Power Pages EoP) ردیابی میشوند.
در بولتن CVE-2025-21355، شرکت اشاره می کند که عدم احراز هویت برای یک ویژگی حیاتی در مایکروسافت بینگ می تواند به مهاجم غیرمجاز اجازه دهد تا کد را از طریق شبکه اجرا کند. هیچ اقدامی از طرف مشتری لازم نیست.
در همان زمان، همانطور که توسط یکی از کارمندان این شرکت گزارش شده است، مایکروسافت CVE-2025-24989 ثابت در Power Pages به طور فعال در حملات مورد استفاده قرار گرفت.
Microsoft Power Pages یک پلت فرم با کد پایین و SaaS برای ایجاد، میزبانی و مدیریت وب سایت های تجاری است.
این آسیبپذیری بهعنوان یک مسئله کنترل دسترسی حیاتی توصیف میشود که میتواند به مهاجم اجازه دهد تا امتیازات خود را در شبکه افزایش دهد و به طور بالقوه کنترلهای ورود کاربر را دور بزند.
این آسیبپذیری قبلاً در سرویس رفع شده است و به همه مشتریان آسیبدیده اطلاع داده شده است. آنها نیازی به وصله ندارند، اما برخی از کاربران ممکن است بخواهند نمونه های آنها را برای نشانه هایی از سازش بررسی کنند.
مایکروسافت در حال حاضر هیچ اطلاعاتی در مورد حملات با استفاده از CVE-2025-24989 فاش نمی کند. اما خواهیم دید.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
این مشکلات بهعنوان CVE-2025-21355 (CVSS: 8.6، آسیبپذیری Microsoft Bing RCE) و CVE-2025-24989 (CVSS: 8.2، آسیبپذیری Microsoft Power Pages EoP) ردیابی میشوند.
در بولتن CVE-2025-21355، شرکت اشاره می کند که عدم احراز هویت برای یک ویژگی حیاتی در مایکروسافت بینگ می تواند به مهاجم غیرمجاز اجازه دهد تا کد را از طریق شبکه اجرا کند. هیچ اقدامی از طرف مشتری لازم نیست.
در همان زمان، همانطور که توسط یکی از کارمندان این شرکت گزارش شده است، مایکروسافت CVE-2025-24989 ثابت در Power Pages به طور فعال در حملات مورد استفاده قرار گرفت.
Microsoft Power Pages یک پلت فرم با کد پایین و SaaS برای ایجاد، میزبانی و مدیریت وب سایت های تجاری است.
این آسیبپذیری بهعنوان یک مسئله کنترل دسترسی حیاتی توصیف میشود که میتواند به مهاجم اجازه دهد تا امتیازات خود را در شبکه افزایش دهد و به طور بالقوه کنترلهای ورود کاربر را دور بزند.
این آسیبپذیری قبلاً در سرویس رفع شده است و به همه مشتریان آسیبدیده اطلاع داده شده است. آنها نیازی به وصله ندارند، اما برخی از کاربران ممکن است بخواهند نمونه های آنها را برای نشانه هایی از سازش بررسی کنند.
مایکروسافت در حال حاضر هیچ اطلاعاتی در مورد حملات با استفاده از CVE-2025-24989 فاش نمی کند. اما خواهیم دید.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
👽 یونیکد نامرئی در حملات واقعی
اگرچه وجود کاراکترهای نامرئی متعدد در یونیکد مخفی نیست، استفاده عملی از آنها در امنیت اطلاعات اخیراً قابل توجه است. پیش از این، مهاجمان عمدتاً از هموگلیفها در یونیکد برای ایجاد URLهای فیشینگ یا فریب فیلترهای محتوایی سوء استفاده میکردند، اما یک حادثه اخیر فیشینگ نیزه نشان داد که افراد شرور اکنون به استفاده از متن مخفی دست یافتهاند. در حمله توصیف شده، بار مخرب جاوا اسکریپت در یک سری کاراکترهای کنترلی یونیکد پنهان شده بود، که هر یک نمایشگر را بین کاراکترهای نیمه عرض و تمام عرض الفبای کره ای هانگول تغییر می دهد. این کاراکترها عرض صفر دارند و روی نمایش کاراکترهای لاتین معمولی تاثیری ندارند. هنگام مشاهده دستی کد HTML مخرب، payload به هیچ وجه قابل توجه نیست و فقط با کمک یک ویرایشگر هگز یا ابزار دیگر می توانید متوجه این مشکل شوید.
نقطه ضعف این روش این است که هر کاراکتر نامرئی تنها یک بیت از اطلاعات را رمزگذاری می کند، بنابراین اسکریپت مخرب اندازه HTML را تا حد زیادی افزایش می دهد. جالب توجه است که این حمله توسط محققان امنیت اطلاعات تنها در ماه اکتبر به عنوان یک PoC توصیف شد و تقریباً بلافاصله در زرادخانه مهاجمان مورد توجه قرار گرفت.
با توجه به این سرعت، می توانیم فرض کنیم که تکنیک پیشرفته قاچاق ایموجی که در فوریه توضیح داده شد، به زودی در حملات واقعی نیز یافت می شود. از 256 کاراکتر نامرئی یونیکد به نام انتخابگرهای تنوع استفاده می کند. آنها قرار است اصلاحاتی از یک کاراکتر قابل مشاهده قبلی را توصیف کنند، اما برای بسیاری از کاراکترهای یونیکد، مانند ایموجی، تغییرات توصیف نشده است. بنابراین، انتخابگر "چسب شده" روی ایموجی به هیچ وجه نمایش شکلک را تغییر نمی دهد و خود قابل مشاهده نیست. در همان زمان، میتوانید تعداد نامحدودی انتخابگر را به یک نماد قابل مشاهده متصل کنید و حتی یک متن کامل را در آنجا پنهان کنید (این شکلک را در رمزگشا آزمایش کنید.) و در اینجا تورم اندازه فایل دیگر چندان آشکار نخواهد بود، زیرا دقیقاً با تعداد کاراکترهای پنهان رشد می کند.
این روشهای پنهاننگاری، علیرغم سادگیشان، نیازمند بررسی در طیف وسیعی از فرآیندهای امنیت اطلاعات هستند - از تنظیمات DLP گرفته تا فیلترهای هرزنامه و وب.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
اگرچه وجود کاراکترهای نامرئی متعدد در یونیکد مخفی نیست، استفاده عملی از آنها در امنیت اطلاعات اخیراً قابل توجه است. پیش از این، مهاجمان عمدتاً از هموگلیفها در یونیکد برای ایجاد URLهای فیشینگ یا فریب فیلترهای محتوایی سوء استفاده میکردند، اما یک حادثه اخیر فیشینگ نیزه نشان داد که افراد شرور اکنون به استفاده از متن مخفی دست یافتهاند. در حمله توصیف شده، بار مخرب جاوا اسکریپت در یک سری کاراکترهای کنترلی یونیکد پنهان شده بود، که هر یک نمایشگر را بین کاراکترهای نیمه عرض و تمام عرض الفبای کره ای هانگول تغییر می دهد. این کاراکترها عرض صفر دارند و روی نمایش کاراکترهای لاتین معمولی تاثیری ندارند. هنگام مشاهده دستی کد HTML مخرب، payload به هیچ وجه قابل توجه نیست و فقط با کمک یک ویرایشگر هگز یا ابزار دیگر می توانید متوجه این مشکل شوید.
نقطه ضعف این روش این است که هر کاراکتر نامرئی تنها یک بیت از اطلاعات را رمزگذاری می کند، بنابراین اسکریپت مخرب اندازه HTML را تا حد زیادی افزایش می دهد. جالب توجه است که این حمله توسط محققان امنیت اطلاعات تنها در ماه اکتبر به عنوان یک PoC توصیف شد و تقریباً بلافاصله در زرادخانه مهاجمان مورد توجه قرار گرفت.
با توجه به این سرعت، می توانیم فرض کنیم که تکنیک پیشرفته قاچاق ایموجی که در فوریه توضیح داده شد، به زودی در حملات واقعی نیز یافت می شود. از 256 کاراکتر نامرئی یونیکد به نام انتخابگرهای تنوع استفاده می کند. آنها قرار است اصلاحاتی از یک کاراکتر قابل مشاهده قبلی را توصیف کنند، اما برای بسیاری از کاراکترهای یونیکد، مانند ایموجی، تغییرات توصیف نشده است. بنابراین، انتخابگر "چسب شده" روی ایموجی به هیچ وجه نمایش شکلک را تغییر نمی دهد و خود قابل مشاهده نیست. در همان زمان، میتوانید تعداد نامحدودی انتخابگر را به یک نماد قابل مشاهده متصل کنید و حتی یک متن کامل را در آنجا پنهان کنید (این شکلک را در رمزگشا آزمایش کنید.) و در اینجا تورم اندازه فایل دیگر چندان آشکار نخواهد بود، زیرا دقیقاً با تعداد کاراکترهای پنهان رشد می کند.
این روشهای پنهاننگاری، علیرغم سادگیشان، نیازمند بررسی در طیف وسیعی از فرآیندهای امنیت اطلاعات هستند - از تنظیمات DLP گرفته تا فیلترهای هرزنامه و وب.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
محققان آزمایشگاه کسپرسکی جزئیات کمپین جدید SalmonSlalom را که سازمانهای صنعتی در منطقه آسیا-اقیانوسیه را از طریق فیشینگ و FatalRAT هدف قرار میدهد، فاش کردند .
هدف گذاری ویژه ای به آژانس های دولتی و تأسیسات صنعتی، به ویژه در زمینه های تولید، ساخت و ساز، فناوری اطلاعات، مخابرات، مراقبت های بهداشتی، انرژی، و همچنین لجستیک و حمل و نقل در تایوان، مالزی، چین، ژاپن، تایلند، کره جنوبی، سنگاپور، فیلیپین، ویتنام و هنگ کنگ داده شد.
فریب های استفاده شده در ایمیل ها نشان می دهد که کمپین فیشینگ کاربران چینی زبان را هدف قرار می دهد.
مهاجمان از یک ساختار پیچیده تحویل محموله چند مرحلهای برای فرار از شناسایی و همچنین از سرویس CDN چینی قانونی myqcloud و Youdao Cloud Notes به عنوان بخشی از زیرساخت حمله استفاده کردند.
نقطه شروع آخرین زنجیره حمله، یک ایمیل فیشینگ حاوی یک آرشیو ZIP با نام فایل به زبان چینی است که پس از باز شدن، یک دانلود کننده مرحله اول راه اندازی می شود که درخواستی را برای بازیابی FatalRAT DLL و فایل پیکربندی کننده به Youdao Cloud Notes ارسال می کند.
به نوبه خود، ماژول پیکربندی کننده محتویات یادداشت دیگری را از note.youdao[.]com دانلود می کند، به اطلاعات پیکربندی دسترسی پیدا می کند و برای جلوگیری از مشکوک، یک فایل فریب را باز می کند.
از سوی دیگر، DLL یک لودر مرحله دوم است که وظیفه دانلود و نصب بارگذاری FatalRAT را از سرور ("myqcloud[.]com") از پیکربندی بر عهده دارد، در حالی که یک پیغام خطای جعلی نشان می دهد که هنگام راه اندازی برنامه مشکلی را نشان می دهد.
یکی از ویژگی های متمایز کلیدی این کمپین، استفاده از تکنیک های بارگذاری جانبی DLL برای سرعت بخشیدن به توالی آلودگی چند مرحله ای و دانلود بدافزار FatalRAT است.
FatalRAT 17 بررسی انجام می دهد تا ببیند آیا نشانه ای وجود دارد که بدافزار در یک ماشین مجازی یا محیط sandbox در حال اجرا است یا خیر.
سپس تمام rundll32.exe را خاتمه می دهد و اطلاعات مربوط به سیستم و راه حل های امنیتی مختلف نصب شده روی آن را قبل از دریافت دستورالعمل های بیشتر از C2 جمع آوری می کند.
FatalRAT یک تروجان چند منظوره است که می تواند ضربات کلید را ثبت کند، حافظه را دستکاری کند، داده ها را در مرورگرها مشاهده کند، نرم افزارهای اضافی مانند AnyDesk و UltraViewer را دانلود کند، عملیات فایل را انجام دهد، سرور پروکسی را اجرا کند و فرآیندها را خاتمه دهد.
عملکرد FatalRAT به مهاجم فرصت های تقریبا نامحدودی برای توسعه حمله می دهد: توزیع در شبکه، نصب ابزارهای مدیریت از راه دور، دستکاری دستگاه ها، سرقت اطلاعات محرمانه.
در حین بررسی کد مخرب، محققان متوجه شباهتهایی با جریانهای کاری مشاهدهشده در کمپینهای قبلی شدند که توسط بازیگران تهدید با استفاده از Gh0st RAT، SimayRAT، Zegost و FatalRAT تنظیم شده بود.
در حال حاضر مشخص نیست چه کسی پشت حملات FatalRAT است. با این حال، در این کمپین، این بازیگر تکامل قابل توجهی را از نظر TTP هایی که به طور خاص برای اهداف چینی زبان طراحی شده اند، نشان داد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
هدف گذاری ویژه ای به آژانس های دولتی و تأسیسات صنعتی، به ویژه در زمینه های تولید، ساخت و ساز، فناوری اطلاعات، مخابرات، مراقبت های بهداشتی، انرژی، و همچنین لجستیک و حمل و نقل در تایوان، مالزی، چین، ژاپن، تایلند، کره جنوبی، سنگاپور، فیلیپین، ویتنام و هنگ کنگ داده شد.
فریب های استفاده شده در ایمیل ها نشان می دهد که کمپین فیشینگ کاربران چینی زبان را هدف قرار می دهد.
مهاجمان از یک ساختار پیچیده تحویل محموله چند مرحلهای برای فرار از شناسایی و همچنین از سرویس CDN چینی قانونی myqcloud و Youdao Cloud Notes به عنوان بخشی از زیرساخت حمله استفاده کردند.
نقطه شروع آخرین زنجیره حمله، یک ایمیل فیشینگ حاوی یک آرشیو ZIP با نام فایل به زبان چینی است که پس از باز شدن، یک دانلود کننده مرحله اول راه اندازی می شود که درخواستی را برای بازیابی FatalRAT DLL و فایل پیکربندی کننده به Youdao Cloud Notes ارسال می کند.
به نوبه خود، ماژول پیکربندی کننده محتویات یادداشت دیگری را از note.youdao[.]com دانلود می کند، به اطلاعات پیکربندی دسترسی پیدا می کند و برای جلوگیری از مشکوک، یک فایل فریب را باز می کند.
از سوی دیگر، DLL یک لودر مرحله دوم است که وظیفه دانلود و نصب بارگذاری FatalRAT را از سرور ("myqcloud[.]com") از پیکربندی بر عهده دارد، در حالی که یک پیغام خطای جعلی نشان می دهد که هنگام راه اندازی برنامه مشکلی را نشان می دهد.
یکی از ویژگی های متمایز کلیدی این کمپین، استفاده از تکنیک های بارگذاری جانبی DLL برای سرعت بخشیدن به توالی آلودگی چند مرحله ای و دانلود بدافزار FatalRAT است.
FatalRAT 17 بررسی انجام می دهد تا ببیند آیا نشانه ای وجود دارد که بدافزار در یک ماشین مجازی یا محیط sandbox در حال اجرا است یا خیر.
سپس تمام rundll32.exe را خاتمه می دهد و اطلاعات مربوط به سیستم و راه حل های امنیتی مختلف نصب شده روی آن را قبل از دریافت دستورالعمل های بیشتر از C2 جمع آوری می کند.
FatalRAT یک تروجان چند منظوره است که می تواند ضربات کلید را ثبت کند، حافظه را دستکاری کند، داده ها را در مرورگرها مشاهده کند، نرم افزارهای اضافی مانند AnyDesk و UltraViewer را دانلود کند، عملیات فایل را انجام دهد، سرور پروکسی را اجرا کند و فرآیندها را خاتمه دهد.
عملکرد FatalRAT به مهاجم فرصت های تقریبا نامحدودی برای توسعه حمله می دهد: توزیع در شبکه، نصب ابزارهای مدیریت از راه دور، دستکاری دستگاه ها، سرقت اطلاعات محرمانه.
در حین بررسی کد مخرب، محققان متوجه شباهتهایی با جریانهای کاری مشاهدهشده در کمپینهای قبلی شدند که توسط بازیگران تهدید با استفاده از Gh0st RAT، SimayRAT، Zegost و FatalRAT تنظیم شده بود.
در حال حاضر مشخص نیست چه کسی پشت حملات FatalRAT است. با این حال، در این کمپین، این بازیگر تکامل قابل توجهی را از نظر TTP هایی که به طور خاص برای اهداف چینی زبان طراحی شده اند، نشان داد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
یک آسیبپذیری در سیستم کنترل فرآیند ABB ASPECT-Enterprise و میانافزار کنترلکنندههای سری ABB MATRIX و NEXUS مربوط به استفاده از اعتبارنامههای رمزگذاریشده سخت است. بهره برداری از این آسیب پذیری می تواند به یک مهاجم راه دور اجازه دهد تا کد دلخواه را با استفاده از اعتبارنامه های پیش فرض اجرا کند.
BDU: 2025-01311
CVE-2024-51547
نصب به روز رسانی از منابع قابل اعتماد، توصیه می شود که به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- استفاده از فایروال برای محدود کردن امکان دسترسی از راه دور به نرم افزار. - استفاده از یک لیست "سفید" از آدرس های IP برای محدود کردن دسترسی از راه دور به نرم افزارهای آسیب پذیر.
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).
از توصیه های سازنده استفاده کنید:
https://search.abb.com/library/Download.aspx?DocumentID=9AKK108470A6775&LanguageCode=en&DocumentPartId=pdf%20-%20Public%20Advisory&Action=Launch
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
BDU: 2025-01311
CVE-2024-51547
نصب به روز رسانی از منابع قابل اعتماد، توصیه می شود که به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- استفاده از فایروال برای محدود کردن امکان دسترسی از راه دور به نرم افزار. - استفاده از یک لیست "سفید" از آدرس های IP برای محدود کردن دسترسی از راه دور به نرم افزارهای آسیب پذیر.
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).
از توصیه های سازنده استفاده کنید:
https://search.abb.com/library/Download.aspx?DocumentID=9AKK108470A6775&LanguageCode=en&DocumentPartId=pdf%20-%20Public%20Advisory&Action=Launch
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
🏭 چه کسی کنترل کننده ها را کنترل می کند؟ در اواسط فوریه، FSTEC در مورد کشف یک خطای بحرانی در دو سری از کنترلرهای ABB - MATRIX و NEXUS هشدار داد. آنها حاوی اعتبارنامه های پیش فرض هستند که مهاجمان می توانند از آنها برای به دست آوردن کنترل بر دستگاه ها استفاده کنند. این آسیب پذیری نمره شدت CVSS 9.8 از 10 را دریافت کرده و تا نسخه 3.08.03 وجود دارد. این خطا قبلاً توسط سازنده برطرف شده است، اما پشتیبانی فنی برای محصولات این شرکت در روسیه و بلاروس از تابستان 2022 متوقف شده است.
سری کنترلرهای MATRIX و NEXUS بخشی از راه حل صنعتی ABB ASPECT-Enterprise است که برای مدیریت انرژی ساختمان ها و سازه های بزرگ طراحی شده است. آنها توانایی کنترل از راه دور تامین انرژی تاسیساتی را که راه حل در آن مستقر است را فراهم می کنند. کنترل چنین سیستمهایی با استفاده از رمزهای عبور پیشفرض که قابل تغییر نیستند، میتواند به مهاجمان اجازه دهد برق ساختمانها را قطع کنند و سایر تجهیزات را غیرفعال کنند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
سری کنترلرهای MATRIX و NEXUS بخشی از راه حل صنعتی ABB ASPECT-Enterprise است که برای مدیریت انرژی ساختمان ها و سازه های بزرگ طراحی شده است. آنها توانایی کنترل از راه دور تامین انرژی تاسیساتی را که راه حل در آن مستقر است را فراهم می کنند. کنترل چنین سیستمهایی با استفاده از رمزهای عبور پیشفرض که قابل تغییر نیستند، میتواند به مهاجمان اجازه دهد برق ساختمانها را قطع کنند و سایر تجهیزات را غیرفعال کنند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
رابط وب پلت فرم مدیریت mySCADA myPRO Manager در برابر عدم احراز هویت برای یک عملکرد مهم آسیب پذیر است. بهره برداری از این آسیب پذیری می تواند به مهاجم راه دور اجازه دهد تا دسترسی غیرمجاز به نرم افزار داشته باشد.
BDU: 2025-01636
CVE-2025-24865
نصب به روز رسانی از منابع قابل اعتماد ، توصیه می شود که به روز رسانی های نرم افزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- استفاده از فایروال برای محدود کردن دسترسی از راه دور به نرم افزارهای آسیب پذیر.
- استفاده از یک لیست "سفید" از آدرس های IP برای محدود کردن دسترسی به رابط وب نرم افزار آسیب پذیر.
- محدود کردن دسترسی به نرم افزارهای آسیب پذیر از شبکه های خارجی (اینترنت).
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).
از توصیه های سازنده استفاده کنید:
به روز رسانی نرم افزار به نسخه 1.4 و بالاتر
https://www.myscada.org/downloads/mySCADAPROManager/
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
BDU: 2025-01636
CVE-2025-24865
نصب به روز رسانی از منابع قابل اعتماد ، توصیه می شود که به روز رسانی های نرم افزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- استفاده از فایروال برای محدود کردن دسترسی از راه دور به نرم افزارهای آسیب پذیر.
- استفاده از یک لیست "سفید" از آدرس های IP برای محدود کردن دسترسی به رابط وب نرم افزار آسیب پذیر.
- محدود کردن دسترسی به نرم افزارهای آسیب پذیر از شبکه های خارجی (اینترنت).
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).
از توصیه های سازنده استفاده کنید:
به روز رسانی نرم افزار به نسخه 1.4 و بالاتر
https://www.myscada.org/downloads/mySCADAPROManager/
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
آسیب پذیری در عملکرد نظارت بر سلامت سیستم عامل Cisco NX-OS سوئیچ های Cisco Nexus 3000 و Nexus 9000 به نقص در کنترل دسترسی مربوط می شود. سوء استفاده از این آسیبپذیری میتواند به یک مهاجم راه دور اجازه دهد تا با ارسال فریمهای اترنت ساختهشده خاص، باعث انکار سرویس شود.
BDU: 2025-02111
CVE-2025-20111
نصب به روز رسانی از منابع قابل اعتماد, توصیه می شود که به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- استفاده از دستورات پیکربندی برای سرکوب راهاندازی مجدد در صورت شکست تست تشخیصی (برای نسخههای نرمافزار Cisco NX-OS که شامل Field Notice FN72433 نمیشوند، توصیه نمیشود):
nxos# پیکربندی
nxos(config)# اپلت مدیر رویداد l2acl_override لغو __L2ACLRedirect
nxos(config-applet)# action 1 syslog priority emergencies msg l2aclFailed;
- استفاده از سیستم های SIEM برای ردیابی رویدادهای مربوط به راه اندازی مجدد دستگاه.
- استفاده از فایروال ها برای محدود کردن احتمال تلاش برای سوء استفاده از آسیب پذیری.
از توصیه های سازنده استفاده کنید:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-n3kn9k-healthdos-eOqSWK4g
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
BDU: 2025-02111
CVE-2025-20111
نصب به روز رسانی از منابع قابل اعتماد, توصیه می شود که به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- استفاده از دستورات پیکربندی برای سرکوب راهاندازی مجدد در صورت شکست تست تشخیصی (برای نسخههای نرمافزار Cisco NX-OS که شامل Field Notice FN72433 نمیشوند، توصیه نمیشود):
nxos# پیکربندی
nxos(config)# اپلت مدیر رویداد l2acl_override لغو __L2ACLRedirect
nxos(config-applet)# action 1 syslog priority emergencies msg l2aclFailed;
- استفاده از سیستم های SIEM برای ردیابی رویدادهای مربوط به راه اندازی مجدد دستگاه.
- استفاده از فایروال ها برای محدود کردن احتمال تلاش برای سوء استفاده از آسیب پذیری.
از توصیه های سازنده استفاده کنید:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-n3kn9k-healthdos-eOqSWK4g
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Cisco
Cisco Security Advisory: Cisco Nexus 3000 and 9000 Series Switches Health Monitoring Diagnostics Denial of Service Vulnerability
A vulnerability in the health monitoring diagnostics of Cisco Nexus 3000 Series Switches and Cisco Nexus 9000 Series Switches in standalone NX-OS mode could allow an unauthenticated, adjacent attacker to cause the device to reload unexpectedly, resulting…
👍1
Dragos یک گزارش OT/ICS منتشر کرده است که بینشی از تهدیدات فعال و روندهای کلیدی مشاهده شده در سال گذشته ارائه می دهد.
در مجموع، این شرکت فعالیت 23 گروه تهدید را که در سالهای اخیر با حملات به ICS مرتبط بودهاند، ردیابی میکند و 9 نفر از آنها در سال 2024 فعال بودند.
دو گروه از آنها گروه هایی هستند که به تازگی مورد توجه قرار گرفته اند. یکی از آنها بوکسیت نام دارد و مربوط به ایران است.
بوکسیت که به عنوان CyberAv3ngers فعالیت می کند، سازمان هایی را در ایالات متحده، اروپا، استرالیا و خاورمیانه، از جمله بخش هایی مانند انرژی، آب، غذا و نوشیدنی و تولید مواد شیمیایی هدف قرار داده است.
اخیراً، هکرها با استفاده از یک بدافزار سفارشی به نام IOCONTROL برای حمله به دستگاههای IoT و OT در ایالات متحده و اسرائیل شناسایی شدند.
دومین مورد اضافه شده به لیست دراگوس Graphite نام دارد و در درجه اول سازمان های مرتبط با درگیری نظامی در اوکراین را هدف قرار می دهد.
از 9 گروهی که در کمپین های OT 2024 شرکت کردند، چهار گروه دارای قابلیت ICS Cyber Kill Chain Stage 2 هستند که نشان دهنده توانایی آنها در توسعه و اجرای حملات قابل توجهی بر روی سیستم های کنترل صنعتی است.
علاوه بر بوکسیت، گروههای دیگری با قابلیتهای Stage 2 عبارتند از: Chernovite (گروه پشت حمله - Pipedream/Incontroller)، Voltzite (معروف به Volt Typhoon) و Electrum (با نام مستعار Sandworm که AcidPour را توسعه داد).
محققان همچنین به حملات باج افزار به سازمان های صنعتی اشاره می کنند که در سال گذشته به شدت افزایش یافته است.
دراگوس 80 گروه را که سازمانهای صنعتی را هدف قرار میدهند، در مقایسه با 50 گروه در سال 2023 و افزایش کلی فعالیت باجافزاری 87 درصدی نسبت به سال قبل پیدا کرد.
در حالی که من هیچ باجافزاری خاص برای APCS مشاهده نکردهام، چنین تهدیداتی همچنان باعث اختلال و نشت دادههای محرمانه شده است که میتواند برای فعالیتهای مخرب بیشتر مورد استفاده قرار گیرد.
در سال 2024، دو بدافزار جدید برای APCS کشف شد: Fuxnet ، بدافزار مخربی که توسط اوکراین علیه زیرساختهای روسیه استفاده میشود، و FrostyGoop که ساکنان یکی از شهرهای اوکراین را بدون گرما رها کرد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
در مجموع، این شرکت فعالیت 23 گروه تهدید را که در سالهای اخیر با حملات به ICS مرتبط بودهاند، ردیابی میکند و 9 نفر از آنها در سال 2024 فعال بودند.
دو گروه از آنها گروه هایی هستند که به تازگی مورد توجه قرار گرفته اند. یکی از آنها بوکسیت نام دارد و مربوط به ایران است.
بوکسیت که به عنوان CyberAv3ngers فعالیت می کند، سازمان هایی را در ایالات متحده، اروپا، استرالیا و خاورمیانه، از جمله بخش هایی مانند انرژی، آب، غذا و نوشیدنی و تولید مواد شیمیایی هدف قرار داده است.
اخیراً، هکرها با استفاده از یک بدافزار سفارشی به نام IOCONTROL برای حمله به دستگاههای IoT و OT در ایالات متحده و اسرائیل شناسایی شدند.
دومین مورد اضافه شده به لیست دراگوس Graphite نام دارد و در درجه اول سازمان های مرتبط با درگیری نظامی در اوکراین را هدف قرار می دهد.
از 9 گروهی که در کمپین های OT 2024 شرکت کردند، چهار گروه دارای قابلیت ICS Cyber Kill Chain Stage 2 هستند که نشان دهنده توانایی آنها در توسعه و اجرای حملات قابل توجهی بر روی سیستم های کنترل صنعتی است.
علاوه بر بوکسیت، گروههای دیگری با قابلیتهای Stage 2 عبارتند از: Chernovite (گروه پشت حمله - Pipedream/Incontroller)، Voltzite (معروف به Volt Typhoon) و Electrum (با نام مستعار Sandworm که AcidPour را توسعه داد).
محققان همچنین به حملات باج افزار به سازمان های صنعتی اشاره می کنند که در سال گذشته به شدت افزایش یافته است.
دراگوس 80 گروه را که سازمانهای صنعتی را هدف قرار میدهند، در مقایسه با 50 گروه در سال 2023 و افزایش کلی فعالیت باجافزاری 87 درصدی نسبت به سال قبل پیدا کرد.
در حالی که من هیچ باجافزاری خاص برای APCS مشاهده نکردهام، چنین تهدیداتی همچنان باعث اختلال و نشت دادههای محرمانه شده است که میتواند برای فعالیتهای مخرب بیشتر مورد استفاده قرار گیرد.
در سال 2024، دو بدافزار جدید برای APCS کشف شد: Fuxnet ، بدافزار مخربی که توسط اوکراین علیه زیرساختهای روسیه استفاده میشود، و FrostyGoop که ساکنان یکی از شهرهای اوکراین را بدون گرما رها کرد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
آسیب پذیری هایپروایزرهای VMware ESXi و VMware Workstation به خطاهای همگام سازی هنگام استفاده از یک منبع مشترک مربوط می شود.
بهره برداری از این آسیب پذیری می تواند به مهاجم اجازه دهد تا کد دلخواه را اجرا کند.
BDU: 2025-02354
CVE-2025-22224
نصب به روز رسانی از منابع قابل اعتماد، توصیه می شود که به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- استفاده از ابزارهای تشخیص نفوذ و پیشگیری (IDS/IPS) برای ردیابی تلاشها برای بهرهبرداری از آسیبپذیری؛
- استفاده از ابزارهای کنترل یکپارچگی برای ردیابی تغییرات در پیکربندی سیستم.
- نظارت بر گزارش های امنیتی برای تشخیص رفتار غیرعادی ماشین های مجازی.
- به حداقل رساندن امتیازات کاربر؛
- غیرفعال کردن/حذف حساب های کاربری استفاده نشده
از توصیه های سازنده استفاده کنید:
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
بهره برداری از این آسیب پذیری می تواند به مهاجم اجازه دهد تا کد دلخواه را اجرا کند.
BDU: 2025-02354
CVE-2025-22224
نصب به روز رسانی از منابع قابل اعتماد، توصیه می شود که به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- استفاده از ابزارهای تشخیص نفوذ و پیشگیری (IDS/IPS) برای ردیابی تلاشها برای بهرهبرداری از آسیبپذیری؛
- استفاده از ابزارهای کنترل یکپارچگی برای ردیابی تغییرات در پیکربندی سیستم.
- نظارت بر گزارش های امنیتی برای تشخیص رفتار غیرعادی ماشین های مجازی.
- به حداقل رساندن امتیازات کاربر؛
- غیرفعال کردن/حذف حساب های کاربری استفاده نشده
از توصیه های سازنده استفاده کنید:
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
🕵♂️ استرالیا محصولات آزمایشگاه کسپرسکی را در بخش عمومی ممنوع کرد
❌ استرالیا رسما استفاده از نرم افزار Kaspersky Lab را در تمامی سیستم های دولتی ممنوع کرده است . در 21 فوریه، وزارت کشور دستورالعملی صادر کرد که به موجب آن دستور حذف کامل محصولات این شرکت از شبکه های دولتی تا اول آوریل صادر شد.
⚠️ استفانی فاستر، وزیر کشور استرالیا گفت که نرم افزار آزمایشگاه کسپرسکی برای سازمان های دولتی استرالیا "خطر غیرقابل قبولی" دارد. تهدیدهای اصلی شناسایی شده شامل دخالت احتمالی خارجی، جاسوسی سایبری و خرابکاری در تأسیسات زیرساختی حیاتی است.
🚁 تصمیم استرالیا شش ماه پس از اقدامات مشابه توسط ایالات متحده اتخاذ شد که در ژوئن 2024 فروش محصولات کسپرسکی را ممنوع کرد. همزمان، دولت استرالیا 149 شخص و نهاد روسی را تحریم کرد و عرضه پهپادهای تجاری روسیه را ممنوع کرد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
❌ استرالیا رسما استفاده از نرم افزار Kaspersky Lab را در تمامی سیستم های دولتی ممنوع کرده است . در 21 فوریه، وزارت کشور دستورالعملی صادر کرد که به موجب آن دستور حذف کامل محصولات این شرکت از شبکه های دولتی تا اول آوریل صادر شد.
⚠️ استفانی فاستر، وزیر کشور استرالیا گفت که نرم افزار آزمایشگاه کسپرسکی برای سازمان های دولتی استرالیا "خطر غیرقابل قبولی" دارد. تهدیدهای اصلی شناسایی شده شامل دخالت احتمالی خارجی، جاسوسی سایبری و خرابکاری در تأسیسات زیرساختی حیاتی است.
🚁 تصمیم استرالیا شش ماه پس از اقدامات مشابه توسط ایالات متحده اتخاذ شد که در ژوئن 2024 فروش محصولات کسپرسکی را ممنوع کرد. همزمان، دولت استرالیا 149 شخص و نهاد روسی را تحریم کرد و عرضه پهپادهای تجاری روسیه را ممنوع کرد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
🕵♂️ GLONASS سیستم کنترل پهپاد را راه اندازی کرد
🔒 JSC Glonass یک سیستم شناسایی پهپاد را بر اساس ERA-Glonass GIS پیاده سازی کرده است . این فناوری امکان رهگیری کنترل پهپادهای سرکش را در نزدیکی تأسیسات حفاظت شده و وادار کردن آنها به فرود فراهم می کند.
🧪 تولیدکنندگان هواپیماهای بدون سرنشین Aeromax، Turing Flying Machines، Drone Solutions، Robotics Innovation و دیگران در این پروژه مشارکت دارند. در ماه مارس تا آوریل، سناریوهای عملیاتی در شرایط میدانی در فرودگاه های Mikheevo و Oreshkovo در منطقه Kaluga آزمایش خواهند شد.
🛡 این سیستم جدید اولین سیستمی است که در روسیه از روش های رمزنگاری برای ایجاد خطوط ارتباطی امن با هواپیماهای بدون سرنشین استفاده می کند. ERA-GLONASS GIS داده های پرواز را در زمان واقعی به مراکز کنترل منطقه ای و مقامات نظارتی فدرال ارسال می کند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
🔒 JSC Glonass یک سیستم شناسایی پهپاد را بر اساس ERA-Glonass GIS پیاده سازی کرده است . این فناوری امکان رهگیری کنترل پهپادهای سرکش را در نزدیکی تأسیسات حفاظت شده و وادار کردن آنها به فرود فراهم می کند.
🧪 تولیدکنندگان هواپیماهای بدون سرنشین Aeromax، Turing Flying Machines، Drone Solutions، Robotics Innovation و دیگران در این پروژه مشارکت دارند. در ماه مارس تا آوریل، سناریوهای عملیاتی در شرایط میدانی در فرودگاه های Mikheevo و Oreshkovo در منطقه Kaluga آزمایش خواهند شد.
🛡 این سیستم جدید اولین سیستمی است که در روسیه از روش های رمزنگاری برای ایجاد خطوط ارتباطی امن با هواپیماهای بدون سرنشین استفاده می کند. ERA-GLONASS GIS داده های پرواز را در زمان واقعی به مراکز کنترل منطقه ای و مقامات نظارتی فدرال ارسال می کند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
👎 Avast اطلاعات کاربر را مخفیانه فروخت
این شرکت ادعا میکرد که از حریم خصوصی محافظت میکند، اما در واقع اطلاعات دقیقی در مورد فعالیت وب با بیش از 100 شرکت از طریق شرکت تابعه خود Jumpshot به اشتراک میگذاشت.
💲 16.5 میلیون دلار غرامت
کمیسیون تجارت فدرال ایالات متحده (FTC) Avast را به پرداخت خسارت به کاربران آسیب دیده دستور داده است. 3.6 میلیون نفر که از سال 2014 تا 2020 آنتی ویروس را خریداری کرده اند، اطلاعیه هایی در مورد بازپرداخت احتمالی دریافت کرده اند.
🛡 FTC Avast را از فروش داده های کاربر منع می کند
این شرکت اکنون از فروش یا صدور مجوز اطلاعات در مورد وب سایت های بازدید شده برای تبلیغات منع شده است. او همچنین از گمراه کردن مشتریان در مورد محافظت از حریم خصوصی آنها منع شده است.
#Avast #FTC
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
این شرکت ادعا میکرد که از حریم خصوصی محافظت میکند، اما در واقع اطلاعات دقیقی در مورد فعالیت وب با بیش از 100 شرکت از طریق شرکت تابعه خود Jumpshot به اشتراک میگذاشت.
💲 16.5 میلیون دلار غرامت
کمیسیون تجارت فدرال ایالات متحده (FTC) Avast را به پرداخت خسارت به کاربران آسیب دیده دستور داده است. 3.6 میلیون نفر که از سال 2014 تا 2020 آنتی ویروس را خریداری کرده اند، اطلاعیه هایی در مورد بازپرداخت احتمالی دریافت کرده اند.
🛡 FTC Avast را از فروش داده های کاربر منع می کند
این شرکت اکنون از فروش یا صدور مجوز اطلاعات در مورد وب سایت های بازدید شده برای تبلیغات منع شده است. او همچنین از گمراه کردن مشتریان در مورد محافظت از حریم خصوصی آنها منع شده است.
#Avast #FTC
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
👍1
تیمی از دانشمندان RUB و MPI-SP نوع جدیدی از فناوری پارازیت به نام سطوح هوشمند قابل تنظیم مجدد (RIS) را توسعه داده اند .
RIS سطوح کنترلشده با نرمافزار هستند که از تحقیقات فراماده پدید آمدهاند و میتوان از آنها برای کنترل هوشمند انتشار امواج رادیویی استفاده کرد.
با این قابلیتهای منحصربهفرد، فناوری RIS نوید بزرگی برای تکمیل شبکههای بیسیم 6G آینده دارد.
فناوری جدید RIS به مهاجمان اجازه میدهد تا کنترل مکانی دقیقی بر ناحیهای که سیگنال در آن گیر کرده است، اعمال کنند، بنابراین به پارازیت انتخابی دست مییابند.
محققان بر این باورند که فناوری جدید نوار تمرکز دقیق سیگنال های پارازیت را کاهش می دهد.
یک حمله RIS می تواند به چند دستگاه محدود شود، در حالی که سایر سیستم های مجاور تحت تأثیر قرار نخواهند گرفت.
نمونه اولیه دستگاه مورد استفاده در این مطالعه توسط تیمی از دانشمندان دانشگاه TH Köln و Ruhr بوخوم ساخته شده است.
محققان موفق شدند یک DoS کامل یک دستگاه Wi-Fi را ایجاد کنند، در حالی که دستگاه دومی که در فاصله 5 میلی متری قرار داشت، بدون تأثیر باقی ماند و اتصال بی سیم را با سرعت داده 25 مگابیت در ثانیه حفظ کرد.
توسعه بالقوه قابلیت های پارازیت با استفاده از فناوری RIS تا حد زیادی قبل از این مطالعه ناشناخته بود.
با این حال، دستیابی به چنین وضوح هدف گیری فضایی بالایی با استفاده از ابزارهای نسبتاً ارزان و ساده بدون فناوری RIS امکان پذیر نبود.
علاوه بر خود روش، محققان همچنین اقدامات متقابل بالقوه ای را برای جلوگیری از حملات پارازیت بی سیم حوزه فضایی مبتنی بر RIS پیشنهاد می کنند.
منبع برای مطالعه بیشتر:
https://dx.doi.org/10.48550/arxiv.2402.13773
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
RIS سطوح کنترلشده با نرمافزار هستند که از تحقیقات فراماده پدید آمدهاند و میتوان از آنها برای کنترل هوشمند انتشار امواج رادیویی استفاده کرد.
با این قابلیتهای منحصربهفرد، فناوری RIS نوید بزرگی برای تکمیل شبکههای بیسیم 6G آینده دارد.
فناوری جدید RIS به مهاجمان اجازه میدهد تا کنترل مکانی دقیقی بر ناحیهای که سیگنال در آن گیر کرده است، اعمال کنند، بنابراین به پارازیت انتخابی دست مییابند.
محققان بر این باورند که فناوری جدید نوار تمرکز دقیق سیگنال های پارازیت را کاهش می دهد.
یک حمله RIS می تواند به چند دستگاه محدود شود، در حالی که سایر سیستم های مجاور تحت تأثیر قرار نخواهند گرفت.
نمونه اولیه دستگاه مورد استفاده در این مطالعه توسط تیمی از دانشمندان دانشگاه TH Köln و Ruhr بوخوم ساخته شده است.
محققان موفق شدند یک DoS کامل یک دستگاه Wi-Fi را ایجاد کنند، در حالی که دستگاه دومی که در فاصله 5 میلی متری قرار داشت، بدون تأثیر باقی ماند و اتصال بی سیم را با سرعت داده 25 مگابیت در ثانیه حفظ کرد.
توسعه بالقوه قابلیت های پارازیت با استفاده از فناوری RIS تا حد زیادی قبل از این مطالعه ناشناخته بود.
با این حال، دستیابی به چنین وضوح هدف گیری فضایی بالایی با استفاده از ابزارهای نسبتاً ارزان و ساده بدون فناوری RIS امکان پذیر نبود.
علاوه بر خود روش، محققان همچنین اقدامات متقابل بالقوه ای را برای جلوگیری از حملات پارازیت بی سیم حوزه فضایی مبتنی بر RIS پیشنهاد می کنند.
منبع برای مطالعه بیشتر:
https://dx.doi.org/10.48550/arxiv.2402.13773
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
arXiv.org
Spatial-Domain Wireless Jamming with Reconfigurable Intelligent Surfaces
Wireless communication infrastructure is a cornerstone of modern digital society, yet it remains vulnerable to the persistent threat of wireless jamming. Attackers can easily create radio...