یکی از بزرگترین ارائه دهندگان خدمات ابری و میزبانی دنیا، Leaseweb، اعلام کرده است که سیستم های حیاتی به دنبال یک نقض امنیتی اخیر بازیابی شده اند.

یک ارائه‌دهنده ابر هلندی پس از شناسایی نشانه‌هایی از فعالیت غیرعادی در بخش‌هایی از زیرساخت خود اعلام کرده است که در حال بررسی است.

Leaseweb با مشکوک شدن به وجود مشکل، برخی از سیستم‌های آسیب‌دیده را برای کاهش خطرات امنیتی آفلاین کرد.

با قضاوت بر اساس زمینه، برخی از سیستم ها تحت تأثیر قرار گرفتند و قربانیانی نیز وجود داشت، زیرا این شرکت متخصصان Digital Forensics و Incident Response (DFIR) را برای کمک به کار آورد.

قطع شدن برخی از زیرساخت‌های ابری آن منجر به از کار افتادن تعداد کمی از مشتریان ابری شد و فروشنده می‌گوید تیمش در حال کار برای بازیابی سیستم‌های حیاتی متاثر از این حادثه است.

نمایندگان Leaseweb در حال حاضر سکوت کرده اند و هیچ جزئیاتی را فاش نمی کنند و با کمال میل اظهار نظر می کنند که هیچ اطلاعات مشتری یا شرکتی فاش نشده یا از بین رفته است.

با این حال، یکی از مشتریان، ATPS Online، که نرم‌افزار حضور و غیاب را در اختیار سازمان‌ها قرار می‌دهد، گزارش داد که قربانی یک حمله سایبری احتمالی به LeaseWeb شده است.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

تغییر اعتبار بدون رمز عبور: آسیب پذیری جدید در FortiSwitch

⚠️ Fortinet آسیب پذیری حیاتی CVE-2024-48887 (CVSS 9.8) را در سوئیچ های فورتی سوئیچ رفع کرده است . این مشکل امکان تغییر رمز عبور سرپرست را بدون احراز هویت با ارسال یک درخواست ویژه به نقطه پایانی set_password فراهم می‌کرد. حمله بسیار ساده است و نیازی به تعامل کاربر ندارد.

🌐 تمام نسخه های FortiSwitch از 6.4.0 تا 7.6.0 که در هزاران شبکه شرکتی در سراسر جهان استفاده می شود، آسیب پذیر بودند. اصلاحات در حال حاضر در به روز رسانی های 6.4.15، 7.0.11، 7.2.9، 7.4.5 و 7.6.1 موجود است. یک راه حل موقت برای کسانی که نمی توانند به روز رسانی کنند، غیرفعال کردن دسترسی HTTP/HTTPS به رابط اداری است.

🔎 محصولات Fortinet از اوایل سال 2025 همچنان مورد توجه هکرها قرار دارند. پیش از این، آسیب‌پذیری‌های روز صفر کشف شده بودند که در حملات باج‌افزار و سرقت اطلاعات کاربری در مشتری FortiClient VPN استفاده می‌شد.


🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

🌊 هوش مصنوعی مولد به دریا می رسد: چگونه ارتش ایالات متحده شبکه های عصبی هوش مصنوعی را آزمایش می کند

در سال 2023، 2500 تفنگدار دریایی از پانزدهمین یگان اعزامی نیروی دریایی ایالات متحده ماه ها را در سواحل کره جنوبی، فیلیپین، هند و اندونزی آموزش دادند. در همان زمان، آزمایش دیگری روی کشتی ها در حال انجام بود: تحلیلگران گروه برای اولین بار از هوش مصنوعی مولد برای تجزیه و تحلیل داده های اطلاعاتی به طور مستقیم در طول مانورها استفاده کردند .

اعضای این واحد که مسئول مرتب‌سازی اطلاعات خارجی و اطلاع‌رسانی به مافوق خود در مورد تهدیدهای محلی احتمالی هستند، از هوش مصنوعی برای پردازش صدها هزار مطلب منبع باز (مقالات طبقه‌بندی نشده، گزارش‌ها، تصاویر و ویدئوهای جمع‌آوری‌شده از کشورهای مختلف محل کارشان) استفاده کردند تا اطلاعاتی را که قبلاً به صورت دستی پردازش می‌شد، مرتب و خلاصه کنند:

➡️ یکی از افسران اطلاعاتی اشاره به این واحد در رسانه های خارجی را زیر نظر داشت و تحلیل لحنی انجام داد.
➡️ دیگری از هوش مصنوعی برای تولید گزارش های روزانه و هفتگی استفاده کرد.

این سیستم توسط Vannevar Labs ، استارت آپی که توسط کهنه‌سربازان جامعه اطلاعاتی ایالات متحده تأسیس شده است، توسعه یافته است. در سال 2023، او یک قرارداد چشمگیر از پنتاگون دریافت کرد که بر اساس آن می تواند روی خرید نرم افزاری به ارزش 99 میلیون دلار حساب کند.

این شرکت از OpenAI، LLM مایکروسافت و مدل‌های خود برای تجزیه و تحلیل مقادیر انبوه OSINT، پردازش ترابایت داده روزانه از 180 کشور و به 80 زبان استفاده می‌کند.

▪️ شبکه های اجتماعی به عنوان منابع داده استفاده می شوند. رسانه های باز و مواد دارای دیوار پرداختی، از جمله در چین؛ گزارش از حسگرهای فیزیکی؛ اطلاعات جمع آوری شده توسط نمایندگان در سایت
▪️ این سیستم می‌تواند پیام‌ها را ترجمه کند و تونالیته را تجزیه و تحلیل کند، به دنبال نشانه‌هایی از تهدید باشد، احساسات سیاسی را ردیابی کند، و با پرسش‌های موضوعی خاص (به عنوان مثال، زنجیره‌های تامین فنتانیل یا مبارزه برای خاک‌های کمیاب در جنوب شرقی آسیا) کار کند.

تفنگداران دریایی که با هوش مصنوعی کار می کردند، خاطرنشان کردند که شبکه عصبی اشتباهات کمی مرتکب شده است، اما حتی آنها نیز جزئی بودند. در عین حال، صرفه جویی در زمان دستیار هوش مصنوعی در مقایسه با تجزیه و تحلیل دستی بسیار زیاد بود.

با این حال، استفاده از هوش مصنوعی در فناوری های نظامی اغلب مورد انتقاد قرار می گیرد. کارشناسان موسسه تحقیقاتی AI Now خاطرنشان می کنند که LLM هنوز برای تصمیم گیری های حیاتی مناسب نیست و تجزیه و تحلیل احساسات یک پیام خاص یک معیار ذهنی و غیرقابل اعتماد است، به ویژه برای استفاده نظامی. اندیشکده RAND Corporation اشاره می‌کند که هوش مصنوعی در تشخیص تبلیغات ضعیف است، به‌ویژه وقتی صحبت از اشکال پنهان یا پنهان نفوذ باشد.

🧨 اگر هوش مصنوعی خصومت را «ببیند» در جایی که وجود ندارد، می‌تواند منجر به تشدید احساسات شود و برعکس: اطلاعات حاوی تهدید را از دست بدهد.

با وجود خطرات، پنتاگون آماده ادامه همکاری با هوش مصنوعی است. آزمایشگاه‌های Vannevar، Microsoft و Palantir در حال آماده‌سازی مدل‌های جدید هستند - اکنون برای کار با داده‌های طبقه‌بندی شده. در ماه دسامبر، پنتاگون متعهد شد که 100 میلیون دلار در هوش مصنوعی مولد طی دو سال سرمایه گذاری کند.
https://www.technologyreview.com/2025/04/11/1114914/generative-ai-is-learning-to-spy-for-the-us-military
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

نسخه به روز شده یک بات نت مخرب به نام KmsdBot اکنون دستگاه های IoT با قابلیت های گسترده و سطح حمله را هدف قرار می دهد.

این نتیجه‌ای است که محققان Akamai به آن دست یافته‌اند و در نتیجه تجزیه و تحلیل خود خاطرنشان کردند که باینری اکنون شامل پشتیبانی از اسکن Telnet و معماری‌های بیشتر CPU است.

آخرین بار که از 16 ژوئیه 2023 مشاهده شد، چند ماه پس از آن فاش شد که بات نت به عنوان یک سرویس DDoS در زیرزمینی سایبری کار می کند.

در عین حال، به طور فعال پشتیبانی می شود و بنابراین کارایی بالایی را در حملات واقعی تضمین می کند.

KmsdBot اولین بار در نوامبر 2022 مورد تحقیق و مستندسازی قرار گرفت.

بدافزار مبتنی بر Golang شرکت‌های مختلف از شرکت‌های بازی و ارائه‌دهندگان میزبانی ابری گرفته تا برندهای خودروهای لوکس را هدف قرار داده است، اما از آن زمان در حملات به سایت‌های آموزشی دولت رومانی و اسپانیا استفاده شده است.

این بدافزار قابلیت اسکن طیف وسیعی از آدرس‌های IP را برای یافتن پورت‌های SSH باز و لیست‌های رمز عبور brute force دانلود شده از سروری که توسط مهاجمان کنترل می‌شود را دارد.

به‌روزرسانی‌های جدید شامل اسکن Telnet و بررسی سرویس‌های telnet قانونی است و پوشش معماری‌های CPU بیشتری را که معمولاً در دستگاه‌های IoT یافت می‌شوند، فعال می‌کند.

قابلیت های به روز شده از اواسط جولای 2023 مشاهده شده است.

مانند اسکنر SSH، اسکنر Telnet تابعی را فراخوانی می کند که یک آدرس IP تصادفی تولید می کند و سپس سعی می کند به پورت 23 در آن آدرس IP متصل شود.

با این حال، اسکنر Telnet تنها در گوش دادن به پورت متوقف نمی شود، بلکه بررسی می کند که آیا بافر دریافت کننده حاوی داده است یا خیر.

حمله Telnet با آپلود یک فایل متنی (telnet.txt) حاوی لیستی از رمزهای عبور ضعیف رایج و ترکیبات آنها برای طیف وسیعی از برنامه‌ها انجام می‌شود که عمدتاً بر این واقعیت تکیه می‌کند که بسیاری از دستگاه‌های اینترنت اشیا دارای اعتبار پیش‌فرض هستند.

یک کمپین بدافزار مداوم KmsdBot نشان می‌دهد که دستگاه‌های اینترنت اشیا به طور گسترده در اینترنت توزیع شده و آسیب‌پذیر هستند و آنها را به اهداف جذابی برای ایجاد شبکه‌ای از سیستم‌های آلوده تبدیل می‌کند.

از منظر فنی، افزودن قابلیت‌های اسکن telnet به معنای گسترش سطح حمله بات‌نت است که به آن امکان می‌دهد به طیف وسیع‌تری از دستگاه‌ها حمله کند.

علاوه بر این، با تکامل بدافزارها و افزودن پشتیبانی از معماری‌های بیشتر CPU، یک تهدید امنیتی جدی برای دستگاه‌های متصل به اینترنت ایجاد می‌کند و نیاز به اقدامات امنیتی و به‌روزرسانی‌های منظم را تقویت می‌کند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

هزینه امنیت سایبری چقدر است؟

>> اغلب ارائه دهندگان فناوری به خصوص در پروژه های بزرگ، الزامات امنیت سایبری را در طراحی خود به نفع عملیات یا تحت محدودیت های بودجه و زمان فراموش می کنند.

>> برخی از فروشندگان/ یکپارچه‌سازان امنیت سایبری را کار اضافی می‌دانند و یا اصلاً این کار را انجام نمی‌دهند یا درخواست‌های زیادی برای تغییر با هزینه اضافی درخواست می‌کنند تا حتی کارهای ساده‌ای مانند مدیریت آسیب‌پذیری و اصلاح محصولات خود را قبل از شروع زندگی پوشش دهند.

>> یکی از مهمترین توصیه ها برای خریداران این است که الزامات امنیت سایبری را به صورت قراردادی به عنوان بخشی از تحویل پروژه الزامی کنند.

>> آزمون پذیرش امنیتی باید در روز اول توافق شود.
>> تیم پروژه باید قبل از درگیر شدن در فعالیت های پروژه، سطح مشخصی از آگاهی و آموزش امنیت سایبری داشته باشد.
>> هر چه مالک فاز پروژه زودتر محصولات ایمن را انتخاب کند به دلایل بسیاری بهتر است: > مقرون به صرفه: رفع مشکلات امنیتی در مراحل اولیه بسیار ارزان تر از اصلاح پس از استقرار است.
> خطر را کاهش می دهد: قبل از شروع به کار سیستم ها، آسیب پذیری ها را شناسایی و کاهش می دهد.
> طراحی ایمن ایجاد می کند: امنیت بخشی از معماری می شود، نه یک فکر بعدی.
> انطباق را تضمین می کند: از روز اول به رعایت استانداردهای نظارتی و صنعتی کمک می کند. > اعتماد را افزایش می دهد: اعتماد ذینفعان را در قابلیت اطمینان و انعطاف پذیری سیستم افزایش می دهد.
> طبق دستورالعمل، خریداران باید هنگام انتخاب محصولات OT به دنبال عناصر امنیتی کلیدی زیر باشند:
1. مدیریت پیکربندی
2. ورود به محصول پایه
3. استانداردهای باز
4. مالکیت
5. حفاظت از داده ها
6. به طور پیش فرض ایمن است
7. ارتباطات ایمن
8. کنترل های ایمن
9. مدیریت آسیب‌پذیری
10. احراز هویت قوی
11. مدل سازی تهدید
12. ارتقاء و وصله ابزار

>> در حالی که این یک لیست بسیار محکم است، من معمولاً توصیه می‌کنم یک طرح امنیتی OT برای هر تسهیلاتی که به‌طور خاص برای مطابقت با نیازهای تجاری و زمینه آنها ساخته شده است، تعریف کنید.
👈برداشت شما چیست؟ لطفا بینش خود را به اشتراک بگذارید
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

🔴نشت جدید و بزرگ از بزرگترین ارائه دهنده تلفن همراه کشور

مهاجمی به نام TheShadowBits مدعی است که پایگاه داده همراه اول (MCI) - اصلی ترین شرکت تلفن همراه در ایران را منتشر کرده است.

بر اساس این پست، اطلاعات شامل نام کامل، شماره شناسایی، آدرس، شماره تلفن، مشخصات سیم کارت، تاریخ تولد و طرح خدمات است.
⛔️ صحت وسقم این خبر را تایید نمی‌کنیم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

آسیب پذیری مولفه Data Manager در میان افزار دستگاه های چند منظوره SENTRON 7KT PAC1260 زیمنس برای اندازه گیری پارامترهای شبکه الکتریکی مربوط به استفاده از اعتبارنامه های رمزگذاری شده است. بهره برداری از این آسیب پذیری می تواند به مهاجم راه دور اجازه دهد تا از طریق پروتکل SSH به دستگاه دسترسی غیرمجاز داشته باشد.

BDU: 2025-04081
CVE-2024-41794

اقدامات جبرانی:
- محدود کردن دسترسی از راه دور به یک دستگاه آسیب پذیر از طریق پروتکل SSH.
- تقسیم بندی شبکه برای محدود کردن دسترسی به یک دستگاه آسیب پذیر از زیرشبکه های دیگر.
- تلاش برای ردیابی برای دسترسی از راه دور به دستگاه از طریق پروتکل SSH با استفاده از اعتبارنامه های رمزگذاری شده سخت.
- استفاده از شبکه های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

استفاده از توصیه ها:
https://cert-portal.siemens.com/productcert/pdf/ssa-187636.pdf
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

همگرایی IT / OT: آیا واقعا اتفاق می افتد؟

بله... اما پیچیده است.

صنایع برای دیجیتالی کردن، خودکارسازی و ایمن سازی سریعتر از همیشه تحت فشار هستند. این IT و جهان OT را به هم نزدیک می کند - اما شکاف های فرهنگی، فناوری قدیمی و اولویت های متناقض هنوز مانع هستند.

چرا همگرا می شود:
• تحول دیجیتال نیاز به داده های یکپارچه دارد
• محاسبات ابری و لبه خطوط را محو می کند
• تهدیدات سایبری استراتژی های امنیتی یکپارچه را مجبور می کند
• انطباق با مقررات نیاز به حاکمیت بین دامنه ای دارد

چرا هنوز به طور کامل همگرا نشده است:
• OT آپتایم را ترجیح می دهد. IT چابکی را در اولویت قرار می دهد
• سیستم های قدیمی در برابر ادغام مقاومت می کنند
• عدم تطابق چرخه عمر باعث ایجاد تنش می شود
• همگرایی بیشتر = سطح حمله بزرگتر

ما در مرحله همگرایی تدریجی و ناهموار هستیم - برخی از صنایع پیشرو هستند، برخی دیگر تازه شروع به کار کرده اند.

تجربه شما چیست؟
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است. :
https://t.me/ics_cert

بدون امنیت؟! "آیا مدل #پوردو به یک یادگار تبدیل شده است - یا هنوز اساس امنیت #OT / #ICS است ؟"

با اعلام #گارتنر (2023) که مدل پوردو (منتشر شده در سال 1990) در عصر #ابر ، #IIoT و معماری‌های توزیع‌شده «منسوخ» شده است، صنعت تقسیم شده است. منتقدان می گویند که سفت و سخت، سلسله مراتبی است و برای محیط های مدرن و پویا مناسب نیست.
طرفداران استدلال می کنند که هنوز یک چارچوب شفاف و لایه ای برای بخش بندی شبکه های صنعتی و حفظ مناطق امنیتی ارائه می دهد.
چرا اهمیت دارد: امنیت OT به #بخش_بندی متکی است و مدل ساختاریافته پوردو به تعریف آن کمک می کند. اما اگر سرویس‌های ابری، دسترسی به تلفن همراه و محاسبات لبه‌ای این لایه‌ها را نادیده بگیرند، آیا مدل همچنان کمک می‌کند یا گمراه می‌کند؟
فکرکنید: آیا زمان کشتن مدل پوردو فرا رسیده است یا آن را برای عصر اعتماد صفر مدرن کنیم؟
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏pedram_kiani@
کانال:
@ics_cert
واتس آپ :
chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
@ICSCERT_IR

• یکی از پروتکل های کلیدی اینترنت، FTP (پروتکل انتقال فایل)، امروز تولد 54 سالگی خود را جشن می گیرد. Abhay Bhushan، دانشجوی MIT، اولین مشخصات را با نام RFC 114 در 16 آوریل 1971 منتشر کرد ، مدتها قبل از وجود HTTP و حتی سه سال قبل از TCP ( RFC 793 ). استاندارد ساده برای کپی کردن فایل ها، در طول سال ها، از مدل های پیچیده تر کنترل، سازگاری و امنیت پشتیبانی کرده است. پس از 54 سال، FTP منسوخ نشده است و میلیون ها سرور FTP هنوز در اینترنت در دسترس هستند.

• به هر حال، نویسنده این پروتکل تنها کسی نبود که در توسعه FTP شرکت کرد، زیرا پس از فارغ التحصیلی از دانشگاه موقعیتی را در زیراکس به دست آورد و پروتکل بدون او به توسعه خود ادامه داد و یک سری به روز رسانی در قالب RFC در دهه های 1970 و 1980 دریافت کرد . از جمله پیاده سازی که پشتیبانی از مشخصات TCP/IP را ممکن می سازد.

• اگرچه به‌روزرسانی‌های جزئی در طول زمان برای به‌روز نگه‌داشتن پروتکل و پشتیبانی از فناوری‌های جدید انجام شده است، نسخه‌ای که امروز از آن استفاده می‌کنیم در سال 1985 هنگامی که Jon Postel و Joyce C. Reynolds RFC 959 را توسعه دادند، به‌روزرسانی پروتکل‌های قبلی که زیربنای نرم‌افزار مدرن FTP است، منتشر شد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

⚡️ کارشناسان آزمایشگاه کسپرسکی، همراه با کارشناسان امنیت سایبری T-Technologies، یک درب پشتی پیچیده که قبلاً ناشناخته بود را کشف کردند که در حملات هدفمند به سازمان‌ها در فدراسیون روسیه استفاده می‌شد.

درب پشتی که راه حل های امنیتی ما آن را تشخیص می دهند HEUR:Trojan.Win32.Loader.gen ، رایانه های متصل به شبکه ViPNet را هدف قرار می دهد.

این با پنهان کردن خود به عنوان یک به روز رسانی ViPNet Client توزیع شد و هدف نهایی آن جاسوسی سایبری بود.

بدافزار جدید شامل:

🢔 چندین فایل اجرایی که یک زنجیره اجرایی را تشکیل می دهند.
🢔 یک فایل رمزگذاری شده حاوی "بارگذاری" اصلی - یک درب پشتی جهانی و قبلا ناشناخته که قادر به اجرای کد دلخواه و مجموعه ای از دستورات است.

ده ها شرکت روسی از جمله شرکت های دولتی، آموزشی، مشاوره، تولیدی، خرده فروشی و مالی قربانی این درب پشتی شدند.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

آسیب پذیری سیستم عامل Fortinet FortiOS به دلیل نقص در مکانیسم احراز هویت .

بهره برداری از این آسیب پذیری می تواند به یک مهاجم راه دور اجازه دهد تا اطلاعات پیکربندی دستگاه را افشا کند و مکانیسم های امنیتی موجود را دور بزند.

BDU: 2025-04602

اقدامات جبرانی:
- استفاده از یک لیست "سفید" از آدرس های IP برای محدود کردن دسترسی به یک دستگاه آسیب پذیر.
- تقسیم بندی شبکه برای محدود کردن دسترسی به یک دستگاه آسیب پذیر از زیرشبکه های دیگر.
- محدود کردن دسترسی از شبکه های خارجی (اینترنت).

منابع اطلاعاتی:
https://gbhackers.com/fortigate-0-day-exploit-allegedly-up-for-sale/
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

موسسات پزشکی و دارویی در سراسر جهان خود را در کانون موج جدید سایبری می یابند. مقصر یک تروجان قدرتمند به نام ResolverRAT است که از طریق نامه های ظاهراً رسمی در مورد ادعاهای قانونی منتشر می شود. هکرها فقط تقلبی را ارسال نمی کنند - آنها متون را با زبان های محلی از جمله هندی، ایتالیایی و پرتغالی تطبیق می دهند و اثر اعتماد کامل را در گیرنده ایجاد می کنند. هدف این است که کاربر را مجبور کنند که پیوست را در سریع ترین زمان ممکن باز کند و بدافزار را راه اندازی کند.
پشت راه اندازی یک طرح پیشرفته نهفته است: ResolverRAT با استفاده از تکنیک های بارگذاری جانبی DLL به سیستم نفوذ می کند و خود را به عنوان برنامه های قانونی پنهان می کند. این بدافزار به طور انحصاری در حافظه کار می کند، بدون اینکه ردپای معمولی در سیستم فایل باقی بماند. معماری کار آن شبیه یک سیستم عامل مینیاتوری است - هر فرآیند در یک رشته جداگانه اجرا می شود و داده ها در بلوک های کوچک منتقل می شوند تا مشکوک نباشند.
چیزی که به ویژه نگران کننده است این است که تروجان می تواند ابزارهای تحلیل و نظارت استاندارد را دور بزند: از فراخوانی های معمول API استفاده نمی کند، سیستم گواهی خود را پیاده سازی می کند و ماشین های آلوده را از طریق جایگزینی IP و اعتبارسنجی کانال پیشرفته کنترل می کند. در صورت خرابی، به طور خودکار اتصال را بازیابی می کند و عملیات را طوری ادامه می دهد که انگار هیچ اتفاقی نیفتاده است.
محققان گمان می کنند که ResolverRAT ممکن است زاییده فکر توسعه دهندگان بدافزارهای خطرناک دیگری مانند Rhadamanthys یا Lumma باشد. مقیاس، سطح فنی و هماهنگی نشان دهنده یک گروه حرفه ای با دسترسی به منابع و تجربه کمپین های بین المللی است. با ادامه حملات، امکانات مراقبت های بهداشتی در سراسر جهان همچنان در خطر هستند.


🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

سرویس غیرقابل شناسایی: Tycoon2FA قوانین بازی در امنیت سایبری را تغییر خواهد داد

پلتفرم هک Tycoon2FA که در تاریک نت به خوبی شناخته شده است، به سطح جدیدی از نامرئی رسیده است. سرویسی که امکان رهگیری داده‌ها را حتی با احراز هویت دو مرحله‌ای فراهم می‌کند، به‌روزرسانی بزرگی دریافت کرده است و اکنون حتی در مخفی شدن از دفاع سایبری حتی بهتر است. علیرغم مقرون به صرفه بودن آن - اشتراک ها از 120 دلار شروع می شود - این ابزار می تواند حتی به سیستم های آماده آسیب جدی وارد کند.
اکنون، مهاجمان به کاراکترهای نامرئی یونیکد تعبیه شده در جاوا اسکریپت دسترسی دارند که خواندن کد را برای سیستم های تحلیل خودکار دشوار می کند. علاوه بر این، یک CAPTCHA خانگی روی بوم HTML وجود دارد که می‌تواند هم کاربران و هم محافظت از Cloudflare را فریب دهد. و عملکرد ضد اشکال‌زدایی داخلی، اسکریپت‌های تحلیلی را که رفتار سایت‌های فیشینگ را ردیابی می‌کنند، مسدود می‌کند.
این سرویس بر اساس یک طرح مرد میانی کار می کند و به شما امکان می دهد لاگین، رمز عبور و کوکی های جلسه را استخراج کنید، حتی اگر قربانی با احراز هویت دو مرحله ای محافظت شود. به گفته محققان، تنها در ماه های اخیر بیش از 400000 دلار از کیف پول های متصل به این پلتفرم عبور کرده است. این پلت فرم به طور فعال استفاده می شود و در حال گسترش است: در حال حاضر بیش از 1100 دامنه درگیر است.
با هر به روز رسانی، Tycoon2FA بیشتر و بیشتر خطرناک می شود - نه تنها به دلیل ترفندهای فنی آن، بلکه به دلیل در دسترس بودن آن در انجمن های سایه. این بدان معناست که حتی یک مجرم سایبری مبتدی ابزاری را به دست می‌آورد که می‌تواند حفاظت از شرکت‌ها و خدمات بزرگ را دور بزند. و در حالی که برخی به دنبال راه هایی برای تشخیص آن هستند، برخی دیگر در حال حاضر از آن با پتانسیل کامل خود استفاده می کنند.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

:خاموش شدن برنامه CVE یک سناریوی فرضی اما هشدار دهنده است

MITER در مورد برداشت احتمالی بودجه برای برنامه CVE هشدار داده است. اگر بودجه تمدید نشود، ممکن است برنامه به حالت تعلیق درآید.
این می تواند به طور جدی بر امنیت سایبری جهانی تأثیر بگذارد، زیرا CVE یک ابزار کلیدی برای ردیابی و فهرست نویسی آسیب پذیری ها است.
"خاموش شدن برنامه CVE می تواند یک مشکل جدی برای امنیت سایبری جهانی باشد، اما در این مرحله فقط یک سناریوی فرضی است. علیرغم مشکلات احتمالی در ادامه تامین مالی، احتمال توقف کامل این برنامه در آینده نزدیک کم است.
اولا، ایالات متحده و سایر دولت ها و همچنین شرکت های بزرگ، علاقه مند به حمایت از سیستم امنیتی CVE، حتی اگر سیستم امنیتی CVE مهم باشد، حمایت می کنند. در واقع بازنشسته است، احتمالاً جایگزینی معرفی خواهد شد که عملکرد مشابهی را در سال آینده ارائه می دهد، بنابراین، اگرچه این امر مشکلات موقتی ایجاد می کند، اما راه حلی برای این موضوع پیدا خواهد شد.

پایگاه داده FSTEC تنها به CVE محدود نمی شود، بلکه شامل شناسه هایی از بیش از 60 سیستم دیگر است.
در زمینه نیازهای امنیت سایبری که به سرعت در حال تغییر هستند، لازم است راه حل های قابل اعتمادی برای محافظت از سیستم های اطلاعاتی داشته باشیم.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

خرابی یو پی اس گوگل: قطع شدن ابر گوگل تقصیر تامین کننده تجهیزات است
بزرگترین اختلال در Google Cloud در اواخر ماه مارس به دلیل یک سری اشکالات فنی بود که ارزش یک کتاب درسی مدیریت بحران را دارد. در یکی از مراکز داده گوگل در اوهایو، منبع تغذیه خارجی قطع شد و سپس منبع تغذیه بدون وقفه (UPS) از کار افتاد. آنها نه تنها وضعیت را نجات ندادند، بلکه برعکس از اتصال ژنراتورهای پشتیبان جلوگیری کردند. مهندسان مجبور بودند به سرعت سیستم را دور بزنند تا به صورت دستی تجهیزات را مستقیماً تغذیه کنند.


این واکنش زنجیره ای ده ها سرویس ابری، از موتور محاسباتی گوگل گرفته تا Kubernetes و BigQuery را بدون برق گذاشت. منطقه us-east5-c به معنای واقعی کلمه برای چندین ساعت در تاریکی دیجیتال فرو رفت، اگرچه مناطق در دسترس همسایه (a و b) قطعی را تجربه نکردند. کاربران از در دسترس نبودن منابع و شرکت ها از از دست دادن داده ها و اختلال در عملیات شکایت داشتند.


گوگل اذعان کرد که برخی از کارهای بازیابی بیشتر طول می کشد زیرا نیاز به مداخله دستی دارد. در این گزارش، این شرکت از مشتریان عذرخواهی کرد و قول داد که با تامین کننده UPS که تجهیزات آن اساساً طرح برق اضطراری را که کارساز بوده است، برخورد کند. گوگل، با این حال، نام سازنده را ذکر نمی کند.


قطع شدن در ارائه دهندگان اصلی ابر غیر معمول نیست. AWS، Azure و خود گوگل همگی در سال‌های اخیر از خطای انسانی گرفته تا انفجار مراکز داده آسیب دیده‌اند. در زمینه وابستگی فزاینده کسب و کار به فضای ابری، چنین حوادثی یک علامت هشدار است: هرچه «ابر» بالاتر باشد، در صورت از کار افتادن سخت‌افزار، سقوط سخت‌تر می‌شود.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

سفیر چین آمریکا را به حملات سایبری به شبکه انرژی روسیه متهم کرد
زیرساخت های حیاتی بار دیگر در خط آتش قرار گرفته اند – اما این بار، در خط مقدم نیست، در فضای مجازی است. به گفته ژانگ هانهویی، سفیر چین در روسیه، شبکه برق روسیه یکی از قربانیان حملات سایبری است که گفته می شود توسط ایالات متحده انجام شده است. این دیپلمات مدعی است که سازمان های اطلاعاتی آمریکا کدهای مخرب را مستقیماً به سیستم های انرژی این کشور وارد کرده اند.


با این حال، به گفته سفیر، این خود چین است که بیشترین فشار دیجیتال را احساس می کند. گفته می شود که ساختارهای دولتی، دانشگاه ها، موسسات تحقیقاتی و شرکت های بزرگ مورد حمله قرار گرفته اند. این دیپلمات با تاکید بر ماهیت سیستمی حملات به منابع دیجیتال مستقل، آمریکا را یک "امپراتوری هکر" توصیف کرد.


در این زمینه، پکن در حال افزایش همکاری با سایر کشورها در زمینه امنیت سایبری است. روسیه یکی از شرکای اولویت دار در این فهرست است. با قضاوت بر اساس لفاظی های دیپلمات، اتحاد بین دو کشور می تواند از حرف به اقدام دیجیتالی حرکت کند: هماهنگی و ستاد مشترک سایبری موضوع زمان است.


در همین حال، در گزارش‌های اطلاعاتی آمریکا موضع برعکس است: فعالیت روسیه در فضای اطلاعاتی به عنوان تهدیدی برای ایالات متحده تعبیر می‌شود. به نظر می رسد در قرن بیست و یکم، فضای مجازی نیز در حال تبدیل شدن به عرصه ای برای تقابل ژئوپلیتیکی است که به جای تانک، فیلمنامه و به جای تفنگ، فایروال است.

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

#هشدار

بیش از 16000 دستگاه متصل به اینترنت Fortinet توسط یک درپشتی پیوند نمادین جدید که به هکرها امکان دسترسی فقط خواندنی به فایل‌های حساس را می‌دهد در معرض خطر قرار گرفته‌اند.

این آمار ناامیدکننده توسط محققان بنیاد Shadowserver پس از آن ارائه شد که Fortinet هفته گذشته به مشتریان در مورد کشف مکانیسم جدیدی برای حفظ دسترسی از راه دور به فایل‌ها در سیستم ریشه دستگاه‌های FortiGate پچ شده که قبلاً در معرض خطر قرار گرفته بودند، هشدار داد.

طبق گفته Fortinet، کمپین مشاهده شده مربوط به سوء استفاده از آسیب پذیری های جدید نیست، بلکه نتیجه حملاتی است که بین سال های 2023 و 2024 رخ داده است، جایی که مهاجم از یک روز صفر برای به خطر انداختن دستگاه های FortiOS استفاده کرده است.

مهاجمان پس از دسترسی به دستگاه‌ها، پیوندهای نمادینی را در پوشه فایل‌های زبان به سیستم فایل ریشه دستگاه‌های دارای SSL-VPN فعال ایجاد کردند.

از آنجایی که فایل‌های زبان در دستگاه‌های FortiGate با SSL-VPN فعال در دسترس عموم هستند، مهاجم می‌تواند به این پوشه رفته و حتی پس از رفع آسیب‌پذیری‌های اولیه، دسترسی خواندن مداوم به سیستم فایل ریشه (با تنظیمات) داشته باشد.

Fortinet همچنین شروع به اطلاع‌رسانی خصوصی به مشتریان از طریق ایمیل از دستگاه‌های فورتی‌گیت کرده است که توسط FortiGuard شناسایی شده‌اند که توسط این درب پشتی symlink در معرض خطر قرار گرفته‌اند.

Fortinet یک امضای به روز شده AV/IPS منتشر کرده است که می تواند یک پیوند نمادین مخرب را از دستگاه های در معرض خطر شناسایی و حذف کند.

آخرین نسخه سیستم عامل نیز به این قابلیت مجهز شده بود. این به روز رسانی همچنین از سرویس دهی وب سرور داخلی به فایل ها و پوشه های ناشناخته جلوگیری می کند.

در نهایت، اگر مشخص شد که دستگاه به خطر افتاده است، این امکان وجود دارد که مهاجمان به آخرین فایل‌های پیکربندی، از جمله اعتبارنامه‌ها دسترسی داشته باشند.

بنابراین، تمام اعتبارنامه ها باید بازنشانی شوند و مدیران باید مراحل باقی مانده در این راهنما را دنبال کنند .
https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity

🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR

محققان Trend Micro که CVE-2025-23359 کشف کردند مقاله ای منتشر کردند.

به عنوان مثال، آنها هنگام استفاده از چندین مانت در یک کانتینر متوجه برخی مشکلات عملکردی شدند که می تواند منجر به DoS شود (همان مشکل عملکرد به طور مستقل توسط moby و NVIDIA گزارش شده است):

1. هنگامی که یک کانتینر جدید با چندین مانت پیکربندی شده با ( bind-propagation=shared ) ایجاد می شود، چندین مسیر والد/فرزند تنظیم می شود. با این حال، پس از خاتمه کانتینر، ورودی‌های مرتبط از جدول نصب لینوکس حذف نمی‌شوند.

2. این باعث می شود که جدول mount به سرعت و به طور غیرقابل کنترلی رشد کند و توصیفگرهای فایل موجود ( fd ) را خسته کند. در نهایت Docker به دلیل فرسودگی fd قادر به ایجاد کانتینرهای جدید نیست.

3. این جدول نصب بیش از حد بزرگ با جلوگیری از اتصال کاربران به هاست (مثلاً از طریق SSH ) باعث مشکلات جدی عملکرد می شود.

بر این اساس، برخی از جزئیات برای بهره برداری CVE-2025-23359 فاش شد (اما هیچ PoC ارائه نشد):

1. مهاجم با استفاده از یک پیوند نمادین volume ، دو تصویر مخرب مخرب ایجاد می کند.
2. مهاجم به طور مستقیم یا غیرمستقیم تصویر را روی پلتفرم قربانی اجرا می کند
3. این به مهاجم اجازه می دهد تا از طریق شرایط مسابقه به سیستم فایل میزبان دسترسی پیدا کند.
4. با استفاده از این دسترسی، مهاجم می تواند متعاقباً به سوکت های Container Runtime Unix دسترسی پیدا کند تا دستورات دلخواه را با امتیازات root اجرا کند، یعنی کنترل کامل از راه دور بر روی سیستم در معرض خطر را به دست آورد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽‍♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
‏https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR