🪱 کرم موریس اولین ویروس در تاریخ است که به طور خودکار در سراسر شبکه پخش می شود.
https://t.me/ics_cert/1087

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

🪱 کرم موریس اولین ویروس در تاریخ است که به طور خودکار در سراسر شبکه پخش می شود.

• موریس فارغ التحصیل سال 1988 از هاروارد و رابرت تاپن، دانشجوی کارشناسی ارشد در دانشگاه کرنل، نیویورک بود. او که پسر یک رمزنگار حرفه ای برای NSA ایالات متحده بود، تصمیم گرفت یک کرم خود تکثیر شونده روی ARPAnet بنویسد.

— ARPANET (شبکه آژانس پروژه های تحقیقاتی پیشرفته) در سال 1969 به ابتکار آژانس پروژه های تحقیقاتی پیشرفته وزارت دفاع ایالات متحده (دارپا، آژانس پروژه های تحقیقاتی پیشرفته دفاعی) ایجاد شد و نمونه اولیه اینترنت بود.

• Morris Worm اولین نرم افزار مخرب در تاریخ فناوری رایانه بود که از مکانیسم های انتشار خودکار در شبکه استفاده می کرد. برای این کار از آسیب پذیری های متعدد در سرویس های شبکه و همچنین ضعف هایی در سیستم های کامپیوتری به دلیل عدم توجه کافی به مسائل امنیتی در آن زمان استفاده شد.

• به گفته موریس، این کرم برای اهداف تحقیقاتی ایجاد شده است. کد او حاوی هیچ "بارگذاری" نبود. با این حال، به دلیل اشتباهات در الگوریتم های عملیاتی، گسترش کرم باعث به اصطلاح "انکار سرویس" شد، زمانی که رایانه ها مشغول اجرای نسخه های متعدد کرم بودند و پاسخ به دستورات اپراتور را متوقف کردند.

• این یک الگوریتم نادرست پیاده سازی شده برای بررسی اینکه آیا سیستم قبلاً آلوده شده بود یا خیر بود که بر خلاف قصد نویسنده آن به گسترش گسترده کرم در شبکه منجر شد. در عمل رایانه های شخصی چندین بار آلوده شدند که اولاً منجر به تخلیه سریع منابع شد و ثانیاً به گسترش بهمن مانند کرم در شبکه کمک کرد. بر اساس برخی برآوردها، کرم موریس حدود 6200 کامپیوتر را آلوده کرده است.

• کرم موریس عملاً کار کامپیوترهای روی شبکه ARPANET را تا پنج روز فلج کرد. برآورد زمان خرابی حداقل 8 میلیون ساعت و بیش از 1 میلیون ساعت زمان صرف شده برای بازگرداندن عملکرد سیستم ها است.

• مجموع زیان به لحاظ پولی 98 میلیون دلار برآورد شد که شامل زیان مستقیم و غیرمستقیم بود. خسارات مستقیم شامل (32 میلیون دلار): خاموش کردن، آزمایش و راه اندازی مجدد 42700 دستگاه. شناسایی کرم، حذف، تمیز کردن حافظه و ترمیم 6200 دستگاه. تجزیه و تحلیل کد کرم، جداسازی قطعات و مستندسازی؛ تعمیر سیستم های یونیکس و تست. خسارات غیرمستقیم شامل (66 میلیون دلار): از دست دادن زمان رایانه در نتیجه عدم دسترسی به شبکه. از دست دادن دسترسی کاربر به شبکه

• خود سازنده با درک مقیاس نتایج اقدام خود، داوطلبانه تسلیم مقامات شد و در مورد همه چیز گفت. جلسه رسیدگی به پرونده او در 22 ژانویه 1990 به پایان رسید. موریس ابتدا با پنج سال زندان و جریمه 25000 دلاری روبرو شد. در واقع، این حکم بسیار ملایم بود. دادگاه 400 ساعت خدمات اجتماعی، 10000 دلار جریمه، یک دوره آزمایشی سه ساله و پرداخت هزینه های مربوط به نظارت بر فرد محکوم را صادر کرد.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

World IACS SECURITY PROFESSIONALS

A worldwide IACS group for Professionals to connect, learn, and grow in the field of Operational Technology (OT) - Industrial Automation and Control System (IACS), SCADA, and Substation Automation System (SAS) Security. We share together industry experiences and knowledge and practical experiences to help us stay ahead of the latest trends and challenges.
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
Telegram:
https://t.me/ics_cert
Dr. Pedram Kiani

یک آسیب‌پذیری در رابط وب میان‌افزار دستگاه‌های شبکه Moxa EDF-G1002-BP، EDR-810، EDR-8010، EDR-G9004، EDR-G9010، NAT-102، TN-4900 و OnCell G4302-LTE4 به دلیل خنثی‌سازی عناصر خرابی خاص دستگاه‌های شبکه است. بهره برداری از این آسیب پذیری می تواند به مهاجم از راه دور اجازه دهد تا دستورات دلخواه را از طریق تنظیمات NTP اجرا کند و کنترل کامل دستگاه را به دست آورد.

BDU: 2025-03709
CVE-2025-0415

نصب به روز رسانی از منابع قابل اعتماد ، توصیه می شود به روز رسانی نرم افزار را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- استفاده از ابزارهای فایروال سطح برنامه وب (WAF)؛
- تقسیم‌بندی شبکه برای محدود کردن دسترسی به رابط مدیریت وب یک دستگاه آسیب‌پذیر از زیرشبکه‌های دیگر؛
- محدودیت دسترسی از شبکه های خارجی (اینترنت)؛
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

استفاده از توصیه ها:
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-259491-cve-2025-0415-command-injection-leading-to-denial-of-service-(dos)
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

گروه Z-PENTEST ALLIANCE اعلام کرد که به سیستم کنترل فرآیند خودکار کارخانه سرامیک ایتالیایی PAGNOTTA TERMOMECCANICA SNC دسترسی پیدا کرده است.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

محققان جزئیات پنج آسیب‌پذیری با شدت بالا را به اشتراک گذاشته‌اند که بر محصولات Iconics و Mitsubishi Electric نظارتی و جمع‌آوری داده‌ها (SCADA) تأثیر می‌گذارند.

راه حل های تحت تأثیر عبارتند از Genesis64 و MC Works64. همین آسیب‌پذیری‌ها بر روی Iconics و Mitsubishi Electric نیز تأثیر می‌گذارند، زیرا اولی بخشی از دومی است.

آسیب پذیری های SCADA یافت شده عبارتند از: ربودن DLL (CVE-2024-1182)، مجوزهای پیش فرض نادرست (CVE-2024-7587)، عنصر مسیر جستجوی کنترل نشده (CVE-2024-8299 و CVE-2024-9852)، و کد مرده (CVE-2024-8320).

همه این آسیب‌پذیری‌ها برای بهره‌برداری نیاز به احراز هویت دارند، اما به مهاجمانی که قبلاً به سیستم‌های سازمان هدف دسترسی پیدا کرده‌اند اجازه می‌دهند کد دلخواه را اجرا کنند، امتیازات را افزایش دهند و فایل‌های حیاتی را دستکاری کنند.

در یک حمله واقعی که سیستم‌های صنعتی را هدف قرار می‌دهد، یک مهاجم می‌تواند از آسیب‌پذیری‌های SCADA برای ایجاد خرابی سیستم سوء استفاده کند و در برخی موارد کنترل کامل سیستم را به دست آورد.

روی هم رفته، این آسیب‌پذیری‌ها خطری جدی برای محرمانگی، یکپارچگی و در دسترس بودن سیستم‌ها ایجاد می‌کنند.

آسیب‌پذیری‌ها می‌تواند برای مهاجمان ارزشمند باشد، زیرا محصولات Iconics و Mitsubishi Electric صدها هزار بار در سراسر جهان از جمله در بخش عمومی، دفاع، تامین آب، تولید و انرژی نصب شده‌اند.

این آسیب‌پذیری‌ها در اوایل سال 2024 توسط شرکت Iconics Suite و Mitsubishi Electric MC Works نسخه‌های 10.97.2 و 10.97.3 برای ویندوز کشف شد. اصلاحات و اقدامات کاهشی در سال گذشته منتشر شد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

هکرهای Z-PENTEST ALLIANCE می نویسند:

ما فرض می کنیم که این ویدئو نیروگاه حرارتی و برق ترکیبی در Busto Arsizio را نشان می دهد. دسترسی کامل به سیستم گرمایش دیگ، کنترل آبرسانی و دمای آن به دست آمده است. ما نتوانستیم در برابر تغییر نام دیگ ها به صلاحدید خود مقاومت کنیم 😉
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

آسیب پذیری مولفه Data Manager در میان افزار دستگاه های چند منظوره SENTRON 7KT PAC1260 زیمنس برای اندازه گیری پارامترهای شبکه الکتریکی مربوط به استفاده از اعتبارنامه های رمزگذاری شده است. بهره برداری از این آسیب پذیری می تواند به مهاجم راه دور اجازه دهد تا از طریق پروتکل SSH به دستگاه دسترسی غیرمجاز داشته باشد.

BDU: 2025-04081
CVE-2024-41794

اقدامات جبرانی:
- محدود کردن دسترسی از راه دور به یک دستگاه آسیب پذیر از طریق پروتکل SSH.
- تقسیم بندی شبکه برای محدود کردن دسترسی به یک دستگاه آسیب پذیر از زیرشبکه های دیگر.
- تلاش برای ردیابی برای دسترسی از راه دور به دستگاه از طریق پروتکل SSH با استفاده از اعتبارنامه های رمزگذاری شده سخت.
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

استفاده از توصیه ها:
https://cert-portal.siemens.com/productcert/pdf/ssa-187636.pdf
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

روند به سمت انرژی هسته ای برای مراکز داده ادامه دارد: گوگل راکتورهای کوچک مدولار (SMR) با ظرفیت کل 500 مگاوات را به استارتاپ Kairos Power سفارش داده است. در مقایسه با ایستگاه های مقیاس بزرگ، تغییرات مدولار طراحی ذاتا ایمن تر و ساخت سریع تر را ارائه می دهند. ارزش این معامله اعلام نشده است.

SMR ها حداکثر ظرفیت 300 مگاوات دارند و می توانند 7.2 میلیون کیلووات ساعت در روز تولید کنند . در مقام مقایسه، نیروگاه های هسته ای بزرگ ظرفیت خروجی بیش از 1000 مگاوات دارند و می توانند 24 میلیون کیلووات ساعت در روز تولید کنند.

استارت آپ هفت ساله Kairos وعده می دهد که اولین راکتور تجاری خود را تا سال 2030 و با راکتورهای اضافی تا سال 2035 راه اندازی کند. این شرکت رآکتورهای خود را می سازد که به جای آب توسط نمک فلوراید مذاب خنک می شوند. کایروس همچنین از سوخت هسته ای پیشرفته ای به نام TRISO استفاده می کند که از هسته های اورانیوم، کربن و اکسیژن در لایه های محافظ کربن و سرامیک تشکیل شده است. این شرکت ادعا می کند که هر یک از کپسول های توپ گلف می تواند به اندازه چهار تن زغال سنگ انرژی تولید کند.

در دسامبر، Kairos Power از کمیسیون تنظیم مقررات هسته ای ایالات متحده برای ساخت یک راکتور نمایشی 50 مگاواتی در تنسی مجوز دریافت کرد. این راکتور در سال 2027 به بهره برداری می رسد. خود وزارتخانه 300 میلیون دلار در این راکتور سرمایه گذاری خواهد کرد.

این اولین تاییدیه نوع جدیدی از راکتور ایالات متحده در نیم قرن گذشته است. در طول 20 سال گذشته، ایالات متحده تنها سه راکتور را راه اندازی کرده است.

اکنون رآکتورهای هسته ای، از جمله، با پول فناوری های بزرگ ساخته می شوند. علاوه بر گوگل، مایکروسافت ماه گذشته توافقی برای راه اندازی مجدد نیروگاه هسته ای Three Mile Island در سال 2028 امضا کرد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

در یک کمپین جدید با استفاده از بدافزار HiatusRAT ، مهاجمان به یک سرور متعلق به وزارت دفاع ایالات متحده حمله کردند.

به گفته آزمایشگاه لوتوس سیاه لومن ، این حمله ماهیت شناسایی داشت، زیرا حملات قبلی سازمان‌هایی را در آمریکای لاتین و اروپا هدف قرار داده بود و برای به خطر انداختن روترهای DrayTek Vigor VPN شرکت‌ها استفاده می‌شد.

علاوه بر این، کارشناسان خاطرنشان کردند که با هدف قرار گرفتن سیستم تدارکات نظامی ایالات متحده و همچنین برخی سازمان های مستقر در تایوان، تلاش های اطلاعاتی کمپین به طور ناگهانی بین اواسط ژوئن تا اوت تغییر کرد.

نمونه‌های HiatusRAT برای معماری‌های مختلف دوباره کامپایل شدند و روی VPS‌های جدید مستقر شدند، با یکی از این گره‌ها در عملیات انتقال داده با پیشنهاد قرارداد نظامی ایالات متحده و سرور پیشنهاد استفاده می‌شود.

مهاجمان احتمالاً اطلاعات در دسترس عموم در مورد نیازهای نظامی را هدف قرار می دهند یا صرفاً سعی می کنند اطلاعاتی در مورد سازمان های دخیل در پایگاه صنعتی دفاعی ایالات متحده برای قراردادهای نظامی فعلی و آینده پیدا کنند.

این کمپین به دنبال یک سری حملات قبلی است که در آن بیش از صد شرکت، عمدتاً در اروپا، آمریکای شمالی و جنوبی، به HiatusRAT آلوده شدند تا یک شبکه پراکسی مخفی ایجاد کنند.

این بدافزار در درجه اول برای نصب بارهای اضافی بر روی دستگاه های آلوده و تبدیل سیستم های در معرض خطر به پراکسی های SOCKS5 برای برقراری ارتباط با سرور فرمان و کنترل استفاده می شود.

به طور کلی، لومن تاکید کرد، این تغییر در اولویت‌های جمع‌آوری اطلاعات و هدف‌گیری در راستای منافع استراتژیک چین است.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

به گفته VulnCheck، بیش از 3000 سرور با استفاده از یک اکسپلویت جدید برای وصله‌شده CVE-2023-32315 در معرض خطر حملات قرار دارند.

Openfire که توسط Ignite Realtime ارائه می شود، یک سرور همکاری بلادرنگ بین پلتفرمی است که به زبان جاوا نوشته شده و با استفاده از پروتکل XMPP و از طریق یک رابط وب مدیریت می شود.

یک آسیب‌پذیری با شدت بالا در Openfire Administration Console مربوط به پیمایش مسیر از طریق محیط پیکربندی کشف شده است.

این اجازه می دهد تا مهاجمان احراز هویت نشده به صفحات محدود شده در کنسول مدیریت دسترسی داشته باشند.

این مشکل به دلیل عدم محافظت Openfire در برابر کدگذاری URL غیر استاندارد خاص برای کاراکترهای UTF-16 است که توسط وب سرور پشتیبانی نمی شود - پشتیبانی بدون به روز رسانی حفاظت اضافه شد.

همه نسخه‌های Openfire تحت تأثیر قرار می‌گیرند، از نسخه 3.10.0 که در آوریل 2015 منتشر شد و با نسخه‌های 4.7.5 و 4.6.8 که در می 2023 برای رفع این آسیب‌پذیری منتشر شد ، پایان می‌یابد.

این آسیب پذیری بیش از دو ماه در حملات مخرب مورد سوء استفاده قرار گرفت.

مشاهده شد که مهاجمان حساب‌های کاربری کنسول مدیریت جدیدی را برای نصب افزونه‌ای با پوسته وب راه دور ایجاد می‌کنند که به آنها اجازه می‌دهد دستورات دلخواه را اجرا کنند و به هر داده‌ای روی سرور دسترسی داشته باشند.

اکسپلویت های موجود تا به امروز که CVE-2023-32315 را هدف قرار می دهند، همگی یک طرح را اجرا می کنند.

با این حال، VulnCheck یک نوع جدید از اکسپلویت را کشف کرد که نیازی به ایجاد حساب مدیر ندارد.

علاوه بر این، محققان بیش از 6300 سرور Openfire را در اینترنت شناسایی کردند که حدود 50 درصد از سرورها از نسخه‌های آسیب‌پذیر استفاده می‌کردند.

از آنجایی که نقص امنیتی به مهاجمی که احراز هویت نشده اجازه دسترسی به نقطه پایانی مدیریت پلاگین را می دهد، مهاجم می تواند افزونه را مستقیما دانلود کرده و سپس به پوسته وب دسترسی داشته باشد، همچنین بدون احراز هویت.

این رویکرد هیچ اثری از ورود به سیستم در گزارش های ممیزی امنیتی باقی نمی گذارد و از ثبت اعلان های مربوط به افزونه بارگذاری شده جلوگیری می کند.

در حالی که فعالیت های مخرب ممکن است در openfire.log قابل مشاهده باشد، مهاجم می تواند از پیمایش مسیر برای حذف گزارش از طریق پوسته وب استفاده کند و خود افزونه را به عنوان تنها نشانگر سازش باقی بگذارد.

همانطور که محققان خاطرنشان می کنند، این آسیب پذیری قبلاً مورد سوء استفاده قرار گرفته است، احتمالاً حتی توسط یک بات نت معروف، و با توجه به سیستم های آسیب پذیر فراوان موجود در شبکه، فرض می شود که بهره برداری در آینده ادامه خواهد داشت.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

تیم تحقیقاتی Cybernews حادثه‌ای را کشف کرده است که مربوط به کشف یک نمونه باز از Kibana است که حاوی اطلاعات حساس در مورد Belcan، کارکنان آن و زیرساخت‌های داخلی از جمله دسترسی فوق‌العاده مدیر است.

این اشتباه می توانست به یک حمله بزرگ به زنجیره تامین منجر شود. از این گذشته، Belcan یک پیمانکار دفاعی و هوافضا حیاتی است که راه حل هایی در زمینه طراحی، زنجیره تامین نرم افزار، ساخت و مهندسی دیجیتال ارائه می دهد.

این شرکت 950 میلیون دلاری یک شریک استراتژیک با بیش از 40 آژانس فدرال ایالات متحده است.

Kibana یک داشبورد تجسم برای جستجوی داده ها و سیستم تجزیه و تحلیل ElasticSearch است. این سیستم ها به کسب و کارها کمک می کنند تا حجم زیادی از داده ها را پردازش کنند.

این نشت با یک پنتست امکان پذیر شد که نتایج آن به همراه اطلاعات کاربری مدیر با استفاده از bcrypt هش شده بود.

داده‌ها نشان می‌دهند که منبع نشت احتمالاً ابزاری بوده که توسط Belcan برای اسکن و نظارت بر زیرساخت‌ها برای آسیب‌پذیری‌ها استفاده می‌شود.

این شامل: ایمیل، نام‌های کاربری، نقش‌های مدیر و گذرواژه‌ها، آدرس‌های شبکه داخلی، نام میزبان و آدرس‌های IP زیرساخت داخلی، آسیب‌پذیری‌ها و اقدامات انجام شده برای از بین بردن آنها بود.

روی هم رفته، اطلاعات موجود می‌تواند به مهاجمان اجازه دهد تا سیستم‌های آسیب‌پذیری را که اصلاح نشده‌اند شناسایی کرده و دسترسی به اعتبارنامه‌های ممتاز را برای آنها فراهم کند، و حمله احتمالی به سازمان را بسیار آسان‌تر و سریع‌تر کند.

نقض Belcan خطر قابل توجهی را برای طیف گسترده‌تری از سازمان‌های مشتریان، از جمله هوافضا، دفاع و نهادهای دولتی ایالات متحده، که به طور بالقوه توسط APT یا گروه‌های دارای انگیزه مالی هدف قرار می‌گیرند، ایجاد می‌کند.

علاوه بر این، محققان همچنین متوجه ارجاعاتی در داده های فاش شده شدند که نشان می داد برخی از آسیب پذیری ها کشف شده اند اما توسط شرکت به موقع اصلاح نشده اند.

سایبرنیوز آسیب پذیری های کشف شده را به بلکان اطلاع داد و پس از آن این شرکت اقداماتی را برای رفع مشکلات انجام داد که فاش نکرد.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

Symantec Threat Hunters یک روش حمله زنجیره تامین نرم افزار جدید را کشف کرده است که سازمان هایی را که عمدتاً در هنگ کنگ و سایر بخش های آسیا قرار دارند را هدف قرار می دهد.

مجموعه حملات سایبری و روش آن Carderbee نام گرفت که در آن مجرمان سایبری از نسخه تروجانیزه شده نرم افزار EsafeNet Cobra DocGuard Client قانونی برای تزریق درب پشتی محبوب PlugX به شبکه های قربانیان استفاده کردند.

علاوه بر این، مهاجمان از بدافزار امضا شده با گواهی قانونی مایکروسافت استفاده کردند.

این تاکتیک قبلاً توسط ESET مشاهده شده بود که هک یک شرکت قمار ناشناخته در هنگ کنگ را در سپتامبر 2022 گزارش کرد.

در آن زمان، گمان می رفت که گروه تهدید چینی ماوس خوش شانس پشت این حمله بوده است.

با این حال، آخرین کمپینی که سیمانتک قبلاً در آوریل 2023 کشف کرده است، به ما اجازه نمی دهد که با اطمینان آن را به بازیگر فوق الذکر مرتبط کنیم، زیرا استفاده از PlugX توسط گروه های مختلف هکر چینی، انتساب را دشوار می کند.

به گفته کارشناسان، حدود 100 کامپیوتر در آخرین حملات آلوده شده اند، اگرچه اپلیکیشن Cobra DocGuard Client روی حدود 2000 نقطه پایانی نصب شده است که نشان دهنده ماهیت هدفمند تاثیر مهاجمان و تمرکز بر اهداف با ارزش بالاتر است.

در یکی از این موارد، مهاجمان از این آسیب‌پذیری برای استقرار یک دانلودکننده با گواهی دیجیتالی از مایکروسافت استفاده کردند که سپس برای استخراج و نصب PlugX از یک سرور راه دور استفاده شد.

مشخص نیست که Carderbee در کجا قرار دارد، اهداف نهایی آن چیست، یا اینکه آیا ارتباطی با Lucky Mouse دارد یا خیر. بیشتر جزئیات درباره این گروه ناشناخته مانده است.

با این حال، تنها چیزی که تا کنون نشان دهنده ارتباط با چین است، استفاده از PlugX توسط مهاجمان است.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

یکی از بزرگترین ارائه دهندگان خدمات ابری و میزبانی دنیا، Leaseweb، اعلام کرده است که سیستم های حیاتی به دنبال یک نقض امنیتی اخیر بازیابی شده اند.

یک ارائه‌دهنده ابر هلندی پس از شناسایی نشانه‌هایی از فعالیت غیرعادی در بخش‌هایی از زیرساخت خود اعلام کرده است که در حال بررسی است.

Leaseweb با مشکوک شدن به وجود مشکل، برخی از سیستم‌های آسیب‌دیده را برای کاهش خطرات امنیتی آفلاین کرد.

با قضاوت بر اساس زمینه، برخی از سیستم ها تحت تأثیر قرار گرفتند و قربانیانی نیز وجود داشت، زیرا این شرکت متخصصان Digital Forensics و Incident Response (DFIR) را برای کمک به کار آورد.

قطع شدن برخی از زیرساخت‌های ابری آن منجر به از کار افتادن تعداد کمی از مشتریان ابری شد و فروشنده می‌گوید تیمش در حال کار برای بازیابی سیستم‌های حیاتی متاثر از این حادثه است.

نمایندگان Leaseweb در حال حاضر سکوت کرده اند و هیچ جزئیاتی را فاش نمی کنند و با کمال میل اظهار نظر می کنند که هیچ اطلاعات مشتری یا شرکتی فاش نشده یا از بین رفته است.

با این حال، یکی از مشتریان، ATPS Online، که نرم‌افزار حضور و غیاب را در اختیار سازمان‌ها قرار می‌دهد، گزارش داد که قربانی یک حمله سایبری احتمالی به LeaseWeb شده است.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

تغییر اعتبار بدون رمز عبور: آسیب پذیری جدید در FortiSwitch

⚠️ Fortinet آسیب پذیری حیاتی CVE-2024-48887 (CVSS 9.8) را در سوئیچ های فورتی سوئیچ رفع کرده است . این مشکل امکان تغییر رمز عبور سرپرست را بدون احراز هویت با ارسال یک درخواست ویژه به نقطه پایانی set_password فراهم می‌کرد. حمله بسیار ساده است و نیازی به تعامل کاربر ندارد.

🌐 تمام نسخه های FortiSwitch از 6.4.0 تا 7.6.0 که در هزاران شبکه شرکتی در سراسر جهان استفاده می شود، آسیب پذیر بودند. اصلاحات در حال حاضر در به روز رسانی های 6.4.15، 7.0.11، 7.2.9، 7.4.5 و 7.6.1 موجود است. یک راه حل موقت برای کسانی که نمی توانند به روز رسانی کنند، غیرفعال کردن دسترسی HTTP/HTTPS به رابط اداری است.

🔎 محصولات Fortinet از اوایل سال 2025 همچنان مورد توجه هکرها قرار دارند. پیش از این، آسیب‌پذیری‌های روز صفر کشف شده بودند که در حملات باج‌افزار و سرقت اطلاعات کاربری در مشتری FortiClient VPN استفاده می‌شد.


🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

🌊 هوش مصنوعی مولد به دریا می رسد: چگونه ارتش ایالات متحده شبکه های عصبی هوش مصنوعی را آزمایش می کند

در سال 2023، 2500 تفنگدار دریایی از پانزدهمین یگان اعزامی نیروی دریایی ایالات متحده ماه ها را در سواحل کره جنوبی، فیلیپین، هند و اندونزی آموزش دادند. در همان زمان، آزمایش دیگری روی کشتی ها در حال انجام بود: تحلیلگران گروه برای اولین بار از هوش مصنوعی مولد برای تجزیه و تحلیل داده های اطلاعاتی به طور مستقیم در طول مانورها استفاده کردند .

اعضای این واحد که مسئول مرتب‌سازی اطلاعات خارجی و اطلاع‌رسانی به مافوق خود در مورد تهدیدهای محلی احتمالی هستند، از هوش مصنوعی برای پردازش صدها هزار مطلب منبع باز (مقالات طبقه‌بندی نشده، گزارش‌ها، تصاویر و ویدئوهای جمع‌آوری‌شده از کشورهای مختلف محل کارشان) استفاده کردند تا اطلاعاتی را که قبلاً به صورت دستی پردازش می‌شد، مرتب و خلاصه کنند:

➡️ یکی از افسران اطلاعاتی اشاره به این واحد در رسانه های خارجی را زیر نظر داشت و تحلیل لحنی انجام داد.
➡️ دیگری از هوش مصنوعی برای تولید گزارش های روزانه و هفتگی استفاده کرد.

این سیستم توسط Vannevar Labs ، استارت آپی که توسط کهنه‌سربازان جامعه اطلاعاتی ایالات متحده تأسیس شده است، توسعه یافته است. در سال 2023، او یک قرارداد چشمگیر از پنتاگون دریافت کرد که بر اساس آن می تواند روی خرید نرم افزاری به ارزش 99 میلیون دلار حساب کند.

این شرکت از OpenAI، LLM مایکروسافت و مدل‌های خود برای تجزیه و تحلیل مقادیر انبوه OSINT، پردازش ترابایت داده روزانه از 180 کشور و به 80 زبان استفاده می‌کند.

▪️ شبکه های اجتماعی به عنوان منابع داده استفاده می شوند. رسانه های باز و مواد دارای دیوار پرداختی، از جمله در چین؛ گزارش از حسگرهای فیزیکی؛ اطلاعات جمع آوری شده توسط نمایندگان در سایت
▪️ این سیستم می‌تواند پیام‌ها را ترجمه کند و تونالیته را تجزیه و تحلیل کند، به دنبال نشانه‌هایی از تهدید باشد، احساسات سیاسی را ردیابی کند، و با پرسش‌های موضوعی خاص (به عنوان مثال، زنجیره‌های تامین فنتانیل یا مبارزه برای خاک‌های کمیاب در جنوب شرقی آسیا) کار کند.

تفنگداران دریایی که با هوش مصنوعی کار می کردند، خاطرنشان کردند که شبکه عصبی اشتباهات کمی مرتکب شده است، اما حتی آنها نیز جزئی بودند. در عین حال، صرفه جویی در زمان دستیار هوش مصنوعی در مقایسه با تجزیه و تحلیل دستی بسیار زیاد بود.

با این حال، استفاده از هوش مصنوعی در فناوری های نظامی اغلب مورد انتقاد قرار می گیرد. کارشناسان موسسه تحقیقاتی AI Now خاطرنشان می کنند که LLM هنوز برای تصمیم گیری های حیاتی مناسب نیست و تجزیه و تحلیل احساسات یک پیام خاص یک معیار ذهنی و غیرقابل اعتماد است، به ویژه برای استفاده نظامی. اندیشکده RAND Corporation اشاره می‌کند که هوش مصنوعی در تشخیص تبلیغات ضعیف است، به‌ویژه وقتی صحبت از اشکال پنهان یا پنهان نفوذ باشد.

🧨 اگر هوش مصنوعی خصومت را «ببیند» در جایی که وجود ندارد، می‌تواند منجر به تشدید احساسات شود و برعکس: اطلاعات حاوی تهدید را از دست بدهد.

با وجود خطرات، پنتاگون آماده ادامه همکاری با هوش مصنوعی است. آزمایشگاه‌های Vannevar، Microsoft و Palantir در حال آماده‌سازی مدل‌های جدید هستند - اکنون برای کار با داده‌های طبقه‌بندی شده. در ماه دسامبر، پنتاگون متعهد شد که 100 میلیون دلار در هوش مصنوعی مولد طی دو سال سرمایه گذاری کند.
https://www.technologyreview.com/2025/04/11/1114914/generative-ai-is-learning-to-spy-for-the-us-military
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

نسخه به روز شده یک بات نت مخرب به نام KmsdBot اکنون دستگاه های IoT با قابلیت های گسترده و سطح حمله را هدف قرار می دهد.

این نتیجه‌ای است که محققان Akamai به آن دست یافته‌اند و در نتیجه تجزیه و تحلیل خود خاطرنشان کردند که باینری اکنون شامل پشتیبانی از اسکن Telnet و معماری‌های بیشتر CPU است.

آخرین بار که از 16 ژوئیه 2023 مشاهده شد، چند ماه پس از آن فاش شد که بات نت به عنوان یک سرویس DDoS در زیرزمینی سایبری کار می کند.

در عین حال، به طور فعال پشتیبانی می شود و بنابراین کارایی بالایی را در حملات واقعی تضمین می کند.

KmsdBot اولین بار در نوامبر 2022 مورد تحقیق و مستندسازی قرار گرفت.

بدافزار مبتنی بر Golang شرکت‌های مختلف از شرکت‌های بازی و ارائه‌دهندگان میزبانی ابری گرفته تا برندهای خودروهای لوکس را هدف قرار داده است، اما از آن زمان در حملات به سایت‌های آموزشی دولت رومانی و اسپانیا استفاده شده است.

این بدافزار قابلیت اسکن طیف وسیعی از آدرس‌های IP را برای یافتن پورت‌های SSH باز و لیست‌های رمز عبور brute force دانلود شده از سروری که توسط مهاجمان کنترل می‌شود را دارد.

به‌روزرسانی‌های جدید شامل اسکن Telnet و بررسی سرویس‌های telnet قانونی است و پوشش معماری‌های CPU بیشتری را که معمولاً در دستگاه‌های IoT یافت می‌شوند، فعال می‌کند.

قابلیت های به روز شده از اواسط جولای 2023 مشاهده شده است.

مانند اسکنر SSH، اسکنر Telnet تابعی را فراخوانی می کند که یک آدرس IP تصادفی تولید می کند و سپس سعی می کند به پورت 23 در آن آدرس IP متصل شود.

با این حال، اسکنر Telnet تنها در گوش دادن به پورت متوقف نمی شود، بلکه بررسی می کند که آیا بافر دریافت کننده حاوی داده است یا خیر.

حمله Telnet با آپلود یک فایل متنی (telnet.txt) حاوی لیستی از رمزهای عبور ضعیف رایج و ترکیبات آنها برای طیف وسیعی از برنامه‌ها انجام می‌شود که عمدتاً بر این واقعیت تکیه می‌کند که بسیاری از دستگاه‌های اینترنت اشیا دارای اعتبار پیش‌فرض هستند.

یک کمپین بدافزار مداوم KmsdBot نشان می‌دهد که دستگاه‌های اینترنت اشیا به طور گسترده در اینترنت توزیع شده و آسیب‌پذیر هستند و آنها را به اهداف جذابی برای ایجاد شبکه‌ای از سیستم‌های آلوده تبدیل می‌کند.

از منظر فنی، افزودن قابلیت‌های اسکن telnet به معنای گسترش سطح حمله بات‌نت است که به آن امکان می‌دهد به طیف وسیع‌تری از دستگاه‌ها حمله کند.

علاوه بر این، با تکامل بدافزارها و افزودن پشتیبانی از معماری‌های بیشتر CPU، یک تهدید امنیتی جدی برای دستگاه‌های متصل به اینترنت ایجاد می‌کند و نیاز به اقدامات امنیتی و به‌روزرسانی‌های منظم را تقویت می‌کند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR