• یکی از پروتکل های کلیدی اینترنت، FTP (پروتکل انتقال فایل)، امروز تولد 54 سالگی خود را جشن می گیرد. Abhay Bhushan، دانشجوی MIT، اولین مشخصات را با نام RFC 114 در 16 آوریل 1971 منتشر کرد ، مدتها قبل از وجود HTTP و حتی سه سال قبل از TCP ( RFC 793 ). استاندارد ساده برای کپی کردن فایل ها، در طول سال ها، از مدل های پیچیده تر کنترل، سازگاری و امنیت پشتیبانی کرده است. پس از 54 سال، FTP منسوخ نشده است و میلیون ها سرور FTP هنوز در اینترنت در دسترس هستند.
• به هر حال، نویسنده این پروتکل تنها کسی نبود که در توسعه FTP شرکت کرد، زیرا پس از فارغ التحصیلی از دانشگاه موقعیتی را در زیراکس به دست آورد و پروتکل بدون او به توسعه خود ادامه داد و یک سری به روز رسانی در قالب RFC در دهه های 1970 و 1980 دریافت کرد . از جمله پیاده سازی که پشتیبانی از مشخصات TCP/IP را ممکن می سازد.
• اگرچه بهروزرسانیهای جزئی در طول زمان برای بهروز نگهداشتن پروتکل و پشتیبانی از فناوریهای جدید انجام شده است، نسخهای که امروز از آن استفاده میکنیم در سال 1985 هنگامی که Jon Postel و Joyce C. Reynolds RFC 959 را توسعه دادند، بهروزرسانی پروتکلهای قبلی که زیربنای نرمافزار مدرن FTP است، منتشر شد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
• به هر حال، نویسنده این پروتکل تنها کسی نبود که در توسعه FTP شرکت کرد، زیرا پس از فارغ التحصیلی از دانشگاه موقعیتی را در زیراکس به دست آورد و پروتکل بدون او به توسعه خود ادامه داد و یک سری به روز رسانی در قالب RFC در دهه های 1970 و 1980 دریافت کرد . از جمله پیاده سازی که پشتیبانی از مشخصات TCP/IP را ممکن می سازد.
• اگرچه بهروزرسانیهای جزئی در طول زمان برای بهروز نگهداشتن پروتکل و پشتیبانی از فناوریهای جدید انجام شده است، نسخهای که امروز از آن استفاده میکنیم در سال 1985 هنگامی که Jon Postel و Joyce C. Reynolds RFC 959 را توسعه دادند، بهروزرسانی پروتکلهای قبلی که زیربنای نرمافزار مدرن FTP است، منتشر شد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
⚡️ کارشناسان آزمایشگاه کسپرسکی، همراه با کارشناسان امنیت سایبری T-Technologies، یک درب پشتی پیچیده که قبلاً ناشناخته بود را کشف کردند که در حملات هدفمند به سازمانها در فدراسیون روسیه استفاده میشد.
درب پشتی که راه حل های امنیتی ما آن را تشخیص می دهند HEUR:Trojan.Win32.Loader.gen ، رایانه های متصل به شبکه ViPNet را هدف قرار می دهد.
این با پنهان کردن خود به عنوان یک به روز رسانی ViPNet Client توزیع شد و هدف نهایی آن جاسوسی سایبری بود.
بدافزار جدید شامل:
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
درب پشتی که راه حل های امنیتی ما آن را تشخیص می دهند HEUR:Trojan.Win32.Loader.gen ، رایانه های متصل به شبکه ViPNet را هدف قرار می دهد.
این با پنهان کردن خود به عنوان یک به روز رسانی ViPNet Client توزیع شد و هدف نهایی آن جاسوسی سایبری بود.
بدافزار جدید شامل:
🢔 چندین فایل اجرایی که یک زنجیره اجرایی را تشکیل می دهند.ده ها شرکت روسی از جمله شرکت های دولتی، آموزشی، مشاوره، تولیدی، خرده فروشی و مالی قربانی این درب پشتی شدند.
🢔 یک فایل رمزگذاری شده حاوی "بارگذاری" اصلی - یک درب پشتی جهانی و قبلا ناشناخته که قادر به اجرای کد دلخواه و مجموعه ای از دستورات است.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
❤1👍1
آسیب پذیری سیستم عامل Fortinet FortiOS به دلیل نقص در مکانیسم احراز هویت .
بهره برداری از این آسیب پذیری می تواند به یک مهاجم راه دور اجازه دهد تا اطلاعات پیکربندی دستگاه را افشا کند و مکانیسم های امنیتی موجود را دور بزند.
BDU: 2025-04602
اقدامات جبرانی:
- استفاده از یک لیست "سفید" از آدرس های IP برای محدود کردن دسترسی به یک دستگاه آسیب پذیر.
- تقسیم بندی شبکه برای محدود کردن دسترسی به یک دستگاه آسیب پذیر از زیرشبکه های دیگر.
- محدود کردن دسترسی از شبکه های خارجی (اینترنت).
منابع اطلاعاتی:
https://gbhackers.com/fortigate-0-day-exploit-allegedly-up-for-sale/
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
بهره برداری از این آسیب پذیری می تواند به یک مهاجم راه دور اجازه دهد تا اطلاعات پیکربندی دستگاه را افشا کند و مکانیسم های امنیتی موجود را دور بزند.
BDU: 2025-04602
اقدامات جبرانی:
- استفاده از یک لیست "سفید" از آدرس های IP برای محدود کردن دسترسی به یک دستگاه آسیب پذیر.
- تقسیم بندی شبکه برای محدود کردن دسترسی به یک دستگاه آسیب پذیر از زیرشبکه های دیگر.
- محدود کردن دسترسی از شبکه های خارجی (اینترنت).
منابع اطلاعاتی:
https://gbhackers.com/fortigate-0-day-exploit-allegedly-up-for-sale/
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
GBHackers Security | #1 Globally Trusted Cyber Security News Platform
FortiGate 0-Day Exploit Allegedly Up for Sale on Dark Web
A chilling new development in the cybersecurity landscape has emerged, as a threat actor has reportedly advertised an alleged zero-day exploit.
👍1
موسسات پزشکی و دارویی در سراسر جهان خود را در کانون موج جدید سایبری می یابند. مقصر یک تروجان قدرتمند به نام ResolverRAT است که از طریق نامه های ظاهراً رسمی در مورد ادعاهای قانونی منتشر می شود. هکرها فقط تقلبی را ارسال نمی کنند - آنها متون را با زبان های محلی از جمله هندی، ایتالیایی و پرتغالی تطبیق می دهند و اثر اعتماد کامل را در گیرنده ایجاد می کنند. هدف این است که کاربر را مجبور کنند که پیوست را در سریع ترین زمان ممکن باز کند و بدافزار را راه اندازی کند.
پشت راه اندازی یک طرح پیشرفته نهفته است: ResolverRAT با استفاده از تکنیک های بارگذاری جانبی DLL به سیستم نفوذ می کند و خود را به عنوان برنامه های قانونی پنهان می کند. این بدافزار به طور انحصاری در حافظه کار می کند، بدون اینکه ردپای معمولی در سیستم فایل باقی بماند. معماری کار آن شبیه یک سیستم عامل مینیاتوری است - هر فرآیند در یک رشته جداگانه اجرا می شود و داده ها در بلوک های کوچک منتقل می شوند تا مشکوک نباشند.
چیزی که به ویژه نگران کننده است این است که تروجان می تواند ابزارهای تحلیل و نظارت استاندارد را دور بزند: از فراخوانی های معمول API استفاده نمی کند، سیستم گواهی خود را پیاده سازی می کند و ماشین های آلوده را از طریق جایگزینی IP و اعتبارسنجی کانال پیشرفته کنترل می کند. در صورت خرابی، به طور خودکار اتصال را بازیابی می کند و عملیات را طوری ادامه می دهد که انگار هیچ اتفاقی نیفتاده است.
محققان گمان می کنند که ResolverRAT ممکن است زاییده فکر توسعه دهندگان بدافزارهای خطرناک دیگری مانند Rhadamanthys یا Lumma باشد. مقیاس، سطح فنی و هماهنگی نشان دهنده یک گروه حرفه ای با دسترسی به منابع و تجربه کمپین های بین المللی است. با ادامه حملات، امکانات مراقبت های بهداشتی در سراسر جهان همچنان در خطر هستند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
پشت راه اندازی یک طرح پیشرفته نهفته است: ResolverRAT با استفاده از تکنیک های بارگذاری جانبی DLL به سیستم نفوذ می کند و خود را به عنوان برنامه های قانونی پنهان می کند. این بدافزار به طور انحصاری در حافظه کار می کند، بدون اینکه ردپای معمولی در سیستم فایل باقی بماند. معماری کار آن شبیه یک سیستم عامل مینیاتوری است - هر فرآیند در یک رشته جداگانه اجرا می شود و داده ها در بلوک های کوچک منتقل می شوند تا مشکوک نباشند.
چیزی که به ویژه نگران کننده است این است که تروجان می تواند ابزارهای تحلیل و نظارت استاندارد را دور بزند: از فراخوانی های معمول API استفاده نمی کند، سیستم گواهی خود را پیاده سازی می کند و ماشین های آلوده را از طریق جایگزینی IP و اعتبارسنجی کانال پیشرفته کنترل می کند. در صورت خرابی، به طور خودکار اتصال را بازیابی می کند و عملیات را طوری ادامه می دهد که انگار هیچ اتفاقی نیفتاده است.
محققان گمان می کنند که ResolverRAT ممکن است زاییده فکر توسعه دهندگان بدافزارهای خطرناک دیگری مانند Rhadamanthys یا Lumma باشد. مقیاس، سطح فنی و هماهنگی نشان دهنده یک گروه حرفه ای با دسترسی به منابع و تجربه کمپین های بین المللی است. با ادامه حملات، امکانات مراقبت های بهداشتی در سراسر جهان همچنان در خطر هستند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
سرویس غیرقابل شناسایی: Tycoon2FA قوانین بازی در امنیت سایبری را تغییر خواهد داد
پلتفرم هک Tycoon2FA که در تاریک نت به خوبی شناخته شده است، به سطح جدیدی از نامرئی رسیده است. سرویسی که امکان رهگیری دادهها را حتی با احراز هویت دو مرحلهای فراهم میکند، بهروزرسانی بزرگی دریافت کرده است و اکنون حتی در مخفی شدن از دفاع سایبری حتی بهتر است. علیرغم مقرون به صرفه بودن آن - اشتراک ها از 120 دلار شروع می شود - این ابزار می تواند حتی به سیستم های آماده آسیب جدی وارد کند.
اکنون، مهاجمان به کاراکترهای نامرئی یونیکد تعبیه شده در جاوا اسکریپت دسترسی دارند که خواندن کد را برای سیستم های تحلیل خودکار دشوار می کند. علاوه بر این، یک CAPTCHA خانگی روی بوم HTML وجود دارد که میتواند هم کاربران و هم محافظت از Cloudflare را فریب دهد. و عملکرد ضد اشکالزدایی داخلی، اسکریپتهای تحلیلی را که رفتار سایتهای فیشینگ را ردیابی میکنند، مسدود میکند.
این سرویس بر اساس یک طرح مرد میانی کار می کند و به شما امکان می دهد لاگین، رمز عبور و کوکی های جلسه را استخراج کنید، حتی اگر قربانی با احراز هویت دو مرحله ای محافظت شود. به گفته محققان، تنها در ماه های اخیر بیش از 400000 دلار از کیف پول های متصل به این پلتفرم عبور کرده است. این پلت فرم به طور فعال استفاده می شود و در حال گسترش است: در حال حاضر بیش از 1100 دامنه درگیر است.
با هر به روز رسانی، Tycoon2FA بیشتر و بیشتر خطرناک می شود - نه تنها به دلیل ترفندهای فنی آن، بلکه به دلیل در دسترس بودن آن در انجمن های سایه. این بدان معناست که حتی یک مجرم سایبری مبتدی ابزاری را به دست میآورد که میتواند حفاظت از شرکتها و خدمات بزرگ را دور بزند. و در حالی که برخی به دنبال راه هایی برای تشخیص آن هستند، برخی دیگر در حال حاضر از آن با پتانسیل کامل خود استفاده می کنند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
پلتفرم هک Tycoon2FA که در تاریک نت به خوبی شناخته شده است، به سطح جدیدی از نامرئی رسیده است. سرویسی که امکان رهگیری دادهها را حتی با احراز هویت دو مرحلهای فراهم میکند، بهروزرسانی بزرگی دریافت کرده است و اکنون حتی در مخفی شدن از دفاع سایبری حتی بهتر است. علیرغم مقرون به صرفه بودن آن - اشتراک ها از 120 دلار شروع می شود - این ابزار می تواند حتی به سیستم های آماده آسیب جدی وارد کند.
اکنون، مهاجمان به کاراکترهای نامرئی یونیکد تعبیه شده در جاوا اسکریپت دسترسی دارند که خواندن کد را برای سیستم های تحلیل خودکار دشوار می کند. علاوه بر این، یک CAPTCHA خانگی روی بوم HTML وجود دارد که میتواند هم کاربران و هم محافظت از Cloudflare را فریب دهد. و عملکرد ضد اشکالزدایی داخلی، اسکریپتهای تحلیلی را که رفتار سایتهای فیشینگ را ردیابی میکنند، مسدود میکند.
این سرویس بر اساس یک طرح مرد میانی کار می کند و به شما امکان می دهد لاگین، رمز عبور و کوکی های جلسه را استخراج کنید، حتی اگر قربانی با احراز هویت دو مرحله ای محافظت شود. به گفته محققان، تنها در ماه های اخیر بیش از 400000 دلار از کیف پول های متصل به این پلتفرم عبور کرده است. این پلت فرم به طور فعال استفاده می شود و در حال گسترش است: در حال حاضر بیش از 1100 دامنه درگیر است.
با هر به روز رسانی، Tycoon2FA بیشتر و بیشتر خطرناک می شود - نه تنها به دلیل ترفندهای فنی آن، بلکه به دلیل در دسترس بودن آن در انجمن های سایه. این بدان معناست که حتی یک مجرم سایبری مبتدی ابزاری را به دست میآورد که میتواند حفاظت از شرکتها و خدمات بزرگ را دور بزند. و در حالی که برخی به دنبال راه هایی برای تشخیص آن هستند، برخی دیگر در حال حاضر از آن با پتانسیل کامل خود استفاده می کنند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
:خاموش شدن برنامه CVE یک سناریوی فرضی اما هشدار دهنده است
MITER در مورد برداشت احتمالی بودجه برای برنامه CVE هشدار داده است. اگر بودجه تمدید نشود، ممکن است برنامه به حالت تعلیق درآید.
این می تواند به طور جدی بر امنیت سایبری جهانی تأثیر بگذارد، زیرا CVE یک ابزار کلیدی برای ردیابی و فهرست نویسی آسیب پذیری ها است.
"خاموش شدن برنامه CVE می تواند یک مشکل جدی برای امنیت سایبری جهانی باشد، اما در این مرحله فقط یک سناریوی فرضی است. علیرغم مشکلات احتمالی در ادامه تامین مالی، احتمال توقف کامل این برنامه در آینده نزدیک کم است.
اولا، ایالات متحده و سایر دولت ها و همچنین شرکت های بزرگ، علاقه مند به حمایت از سیستم امنیتی CVE، حتی اگر سیستم امنیتی CVE مهم باشد، حمایت می کنند. در واقع بازنشسته است، احتمالاً جایگزینی معرفی خواهد شد که عملکرد مشابهی را در سال آینده ارائه می دهد، بنابراین، اگرچه این امر مشکلات موقتی ایجاد می کند، اما راه حلی برای این موضوع پیدا خواهد شد.
پایگاه داده FSTEC تنها به CVE محدود نمی شود، بلکه شامل شناسه هایی از بیش از 60 سیستم دیگر است.
در زمینه نیازهای امنیت سایبری که به سرعت در حال تغییر هستند، لازم است راه حل های قابل اعتمادی برای محافظت از سیستم های اطلاعاتی داشته باشیم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
MITER در مورد برداشت احتمالی بودجه برای برنامه CVE هشدار داده است. اگر بودجه تمدید نشود، ممکن است برنامه به حالت تعلیق درآید.
این می تواند به طور جدی بر امنیت سایبری جهانی تأثیر بگذارد، زیرا CVE یک ابزار کلیدی برای ردیابی و فهرست نویسی آسیب پذیری ها است.
"خاموش شدن برنامه CVE می تواند یک مشکل جدی برای امنیت سایبری جهانی باشد، اما در این مرحله فقط یک سناریوی فرضی است. علیرغم مشکلات احتمالی در ادامه تامین مالی، احتمال توقف کامل این برنامه در آینده نزدیک کم است.
اولا، ایالات متحده و سایر دولت ها و همچنین شرکت های بزرگ، علاقه مند به حمایت از سیستم امنیتی CVE، حتی اگر سیستم امنیتی CVE مهم باشد، حمایت می کنند. در واقع بازنشسته است، احتمالاً جایگزینی معرفی خواهد شد که عملکرد مشابهی را در سال آینده ارائه می دهد، بنابراین، اگرچه این امر مشکلات موقتی ایجاد می کند، اما راه حلی برای این موضوع پیدا خواهد شد.
پایگاه داده FSTEC تنها به CVE محدود نمی شود، بلکه شامل شناسه هایی از بیش از 60 سیستم دیگر است.
در زمینه نیازهای امنیت سایبری که به سرعت در حال تغییر هستند، لازم است راه حل های قابل اعتمادی برای محافظت از سیستم های اطلاعاتی داشته باشیم.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
خرابی یو پی اس گوگل: قطع شدن ابر گوگل تقصیر تامین کننده تجهیزات است
بزرگترین اختلال در Google Cloud در اواخر ماه مارس به دلیل یک سری اشکالات فنی بود که ارزش یک کتاب درسی مدیریت بحران را دارد. در یکی از مراکز داده گوگل در اوهایو، منبع تغذیه خارجی قطع شد و سپس منبع تغذیه بدون وقفه (UPS) از کار افتاد. آنها نه تنها وضعیت را نجات ندادند، بلکه برعکس از اتصال ژنراتورهای پشتیبان جلوگیری کردند. مهندسان مجبور بودند به سرعت سیستم را دور بزنند تا به صورت دستی تجهیزات را مستقیماً تغذیه کنند.
این واکنش زنجیره ای ده ها سرویس ابری، از موتور محاسباتی گوگل گرفته تا Kubernetes و BigQuery را بدون برق گذاشت. منطقه us-east5-c به معنای واقعی کلمه برای چندین ساعت در تاریکی دیجیتال فرو رفت، اگرچه مناطق در دسترس همسایه (a و b) قطعی را تجربه نکردند. کاربران از در دسترس نبودن منابع و شرکت ها از از دست دادن داده ها و اختلال در عملیات شکایت داشتند.
گوگل اذعان کرد که برخی از کارهای بازیابی بیشتر طول می کشد زیرا نیاز به مداخله دستی دارد. در این گزارش، این شرکت از مشتریان عذرخواهی کرد و قول داد که با تامین کننده UPS که تجهیزات آن اساساً طرح برق اضطراری را که کارساز بوده است، برخورد کند. گوگل، با این حال، نام سازنده را ذکر نمی کند.
قطع شدن در ارائه دهندگان اصلی ابر غیر معمول نیست. AWS، Azure و خود گوگل همگی در سالهای اخیر از خطای انسانی گرفته تا انفجار مراکز داده آسیب دیدهاند. در زمینه وابستگی فزاینده کسب و کار به فضای ابری، چنین حوادثی یک علامت هشدار است: هرچه «ابر» بالاتر باشد، در صورت از کار افتادن سختافزار، سقوط سختتر میشود.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
بزرگترین اختلال در Google Cloud در اواخر ماه مارس به دلیل یک سری اشکالات فنی بود که ارزش یک کتاب درسی مدیریت بحران را دارد. در یکی از مراکز داده گوگل در اوهایو، منبع تغذیه خارجی قطع شد و سپس منبع تغذیه بدون وقفه (UPS) از کار افتاد. آنها نه تنها وضعیت را نجات ندادند، بلکه برعکس از اتصال ژنراتورهای پشتیبان جلوگیری کردند. مهندسان مجبور بودند به سرعت سیستم را دور بزنند تا به صورت دستی تجهیزات را مستقیماً تغذیه کنند.
این واکنش زنجیره ای ده ها سرویس ابری، از موتور محاسباتی گوگل گرفته تا Kubernetes و BigQuery را بدون برق گذاشت. منطقه us-east5-c به معنای واقعی کلمه برای چندین ساعت در تاریکی دیجیتال فرو رفت، اگرچه مناطق در دسترس همسایه (a و b) قطعی را تجربه نکردند. کاربران از در دسترس نبودن منابع و شرکت ها از از دست دادن داده ها و اختلال در عملیات شکایت داشتند.
گوگل اذعان کرد که برخی از کارهای بازیابی بیشتر طول می کشد زیرا نیاز به مداخله دستی دارد. در این گزارش، این شرکت از مشتریان عذرخواهی کرد و قول داد که با تامین کننده UPS که تجهیزات آن اساساً طرح برق اضطراری را که کارساز بوده است، برخورد کند. گوگل، با این حال، نام سازنده را ذکر نمی کند.
قطع شدن در ارائه دهندگان اصلی ابر غیر معمول نیست. AWS، Azure و خود گوگل همگی در سالهای اخیر از خطای انسانی گرفته تا انفجار مراکز داده آسیب دیدهاند. در زمینه وابستگی فزاینده کسب و کار به فضای ابری، چنین حوادثی یک علامت هشدار است: هرچه «ابر» بالاتر باشد، در صورت از کار افتادن سختافزار، سقوط سختتر میشود.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
👍2
سفیر چین آمریکا را به حملات سایبری به شبکه انرژی روسیه متهم کرد
زیرساخت های حیاتی بار دیگر در خط آتش قرار گرفته اند – اما این بار، در خط مقدم نیست، در فضای مجازی است. به گفته ژانگ هانهویی، سفیر چین در روسیه، شبکه برق روسیه یکی از قربانیان حملات سایبری است که گفته می شود توسط ایالات متحده انجام شده است. این دیپلمات مدعی است که سازمان های اطلاعاتی آمریکا کدهای مخرب را مستقیماً به سیستم های انرژی این کشور وارد کرده اند.
با این حال، به گفته سفیر، این خود چین است که بیشترین فشار دیجیتال را احساس می کند. گفته می شود که ساختارهای دولتی، دانشگاه ها، موسسات تحقیقاتی و شرکت های بزرگ مورد حمله قرار گرفته اند. این دیپلمات با تاکید بر ماهیت سیستمی حملات به منابع دیجیتال مستقل، آمریکا را یک "امپراتوری هکر" توصیف کرد.
در این زمینه، پکن در حال افزایش همکاری با سایر کشورها در زمینه امنیت سایبری است. روسیه یکی از شرکای اولویت دار در این فهرست است. با قضاوت بر اساس لفاظی های دیپلمات، اتحاد بین دو کشور می تواند از حرف به اقدام دیجیتالی حرکت کند: هماهنگی و ستاد مشترک سایبری موضوع زمان است.
در همین حال، در گزارشهای اطلاعاتی آمریکا موضع برعکس است: فعالیت روسیه در فضای اطلاعاتی به عنوان تهدیدی برای ایالات متحده تعبیر میشود. به نظر می رسد در قرن بیست و یکم، فضای مجازی نیز در حال تبدیل شدن به عرصه ای برای تقابل ژئوپلیتیکی است که به جای تانک، فیلمنامه و به جای تفنگ، فایروال است.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
زیرساخت های حیاتی بار دیگر در خط آتش قرار گرفته اند – اما این بار، در خط مقدم نیست، در فضای مجازی است. به گفته ژانگ هانهویی، سفیر چین در روسیه، شبکه برق روسیه یکی از قربانیان حملات سایبری است که گفته می شود توسط ایالات متحده انجام شده است. این دیپلمات مدعی است که سازمان های اطلاعاتی آمریکا کدهای مخرب را مستقیماً به سیستم های انرژی این کشور وارد کرده اند.
با این حال، به گفته سفیر، این خود چین است که بیشترین فشار دیجیتال را احساس می کند. گفته می شود که ساختارهای دولتی، دانشگاه ها، موسسات تحقیقاتی و شرکت های بزرگ مورد حمله قرار گرفته اند. این دیپلمات با تاکید بر ماهیت سیستمی حملات به منابع دیجیتال مستقل، آمریکا را یک "امپراتوری هکر" توصیف کرد.
در این زمینه، پکن در حال افزایش همکاری با سایر کشورها در زمینه امنیت سایبری است. روسیه یکی از شرکای اولویت دار در این فهرست است. با قضاوت بر اساس لفاظی های دیپلمات، اتحاد بین دو کشور می تواند از حرف به اقدام دیجیتالی حرکت کند: هماهنگی و ستاد مشترک سایبری موضوع زمان است.
در همین حال، در گزارشهای اطلاعاتی آمریکا موضع برعکس است: فعالیت روسیه در فضای اطلاعاتی به عنوان تهدیدی برای ایالات متحده تعبیر میشود. به نظر می رسد در قرن بیست و یکم، فضای مجازی نیز در حال تبدیل شدن به عرصه ای برای تقابل ژئوپلیتیکی است که به جای تانک، فیلمنامه و به جای تفنگ، فایروال است.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
#هشدار
بیش از 16000 دستگاه متصل به اینترنت Fortinet توسط یک درپشتی پیوند نمادین جدید که به هکرها امکان دسترسی فقط خواندنی به فایلهای حساس را میدهد در معرض خطر قرار گرفتهاند.
این آمار ناامیدکننده توسط محققان بنیاد Shadowserver پس از آن ارائه شد که Fortinet هفته گذشته به مشتریان در مورد کشف مکانیسم جدیدی برای حفظ دسترسی از راه دور به فایلها در سیستم ریشه دستگاههای FortiGate پچ شده که قبلاً در معرض خطر قرار گرفته بودند، هشدار داد.
طبق گفته Fortinet، کمپین مشاهده شده مربوط به سوء استفاده از آسیب پذیری های جدید نیست، بلکه نتیجه حملاتی است که بین سال های 2023 و 2024 رخ داده است، جایی که مهاجم از یک روز صفر برای به خطر انداختن دستگاه های FortiOS استفاده کرده است.
مهاجمان پس از دسترسی به دستگاهها، پیوندهای نمادینی را در پوشه فایلهای زبان به سیستم فایل ریشه دستگاههای دارای SSL-VPN فعال ایجاد کردند.
از آنجایی که فایلهای زبان در دستگاههای FortiGate با SSL-VPN فعال در دسترس عموم هستند، مهاجم میتواند به این پوشه رفته و حتی پس از رفع آسیبپذیریهای اولیه، دسترسی خواندن مداوم به سیستم فایل ریشه (با تنظیمات) داشته باشد.
Fortinet همچنین شروع به اطلاعرسانی خصوصی به مشتریان از طریق ایمیل از دستگاههای فورتیگیت کرده است که توسط FortiGuard شناسایی شدهاند که توسط این درب پشتی symlink در معرض خطر قرار گرفتهاند.
Fortinet یک امضای به روز شده AV/IPS منتشر کرده است که می تواند یک پیوند نمادین مخرب را از دستگاه های در معرض خطر شناسایی و حذف کند.
آخرین نسخه سیستم عامل نیز به این قابلیت مجهز شده بود. این به روز رسانی همچنین از سرویس دهی وب سرور داخلی به فایل ها و پوشه های ناشناخته جلوگیری می کند.
در نهایت، اگر مشخص شد که دستگاه به خطر افتاده است، این امکان وجود دارد که مهاجمان به آخرین فایلهای پیکربندی، از جمله اعتبارنامهها دسترسی داشته باشند.
بنابراین، تمام اعتبارنامه ها باید بازنشانی شوند و مدیران باید مراحل باقی مانده در این راهنما را دنبال کنند .
https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
بیش از 16000 دستگاه متصل به اینترنت Fortinet توسط یک درپشتی پیوند نمادین جدید که به هکرها امکان دسترسی فقط خواندنی به فایلهای حساس را میدهد در معرض خطر قرار گرفتهاند.
این آمار ناامیدکننده توسط محققان بنیاد Shadowserver پس از آن ارائه شد که Fortinet هفته گذشته به مشتریان در مورد کشف مکانیسم جدیدی برای حفظ دسترسی از راه دور به فایلها در سیستم ریشه دستگاههای FortiGate پچ شده که قبلاً در معرض خطر قرار گرفته بودند، هشدار داد.
طبق گفته Fortinet، کمپین مشاهده شده مربوط به سوء استفاده از آسیب پذیری های جدید نیست، بلکه نتیجه حملاتی است که بین سال های 2023 و 2024 رخ داده است، جایی که مهاجم از یک روز صفر برای به خطر انداختن دستگاه های FortiOS استفاده کرده است.
مهاجمان پس از دسترسی به دستگاهها، پیوندهای نمادینی را در پوشه فایلهای زبان به سیستم فایل ریشه دستگاههای دارای SSL-VPN فعال ایجاد کردند.
از آنجایی که فایلهای زبان در دستگاههای FortiGate با SSL-VPN فعال در دسترس عموم هستند، مهاجم میتواند به این پوشه رفته و حتی پس از رفع آسیبپذیریهای اولیه، دسترسی خواندن مداوم به سیستم فایل ریشه (با تنظیمات) داشته باشد.
Fortinet همچنین شروع به اطلاعرسانی خصوصی به مشتریان از طریق ایمیل از دستگاههای فورتیگیت کرده است که توسط FortiGuard شناسایی شدهاند که توسط این درب پشتی symlink در معرض خطر قرار گرفتهاند.
Fortinet یک امضای به روز شده AV/IPS منتشر کرده است که می تواند یک پیوند نمادین مخرب را از دستگاه های در معرض خطر شناسایی و حذف کند.
آخرین نسخه سیستم عامل نیز به این قابلیت مجهز شده بود. این به روز رسانی همچنین از سرویس دهی وب سرور داخلی به فایل ها و پوشه های ناشناخته جلوگیری می کند.
در نهایت، اگر مشخص شد که دستگاه به خطر افتاده است، این امکان وجود دارد که مهاجمان به آخرین فایلهای پیکربندی، از جمله اعتبارنامهها دسترسی داشته باشند.
بنابراین، تمام اعتبارنامه ها باید بازنشانی شوند و مدیران باید مراحل باقی مانده در این راهنما را دنبال کنند .
https://www.fortinet.com/blog/psirt-blogs/analysis-of-threat-actor-activity
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Fortinet Blog
Analysis of Threat Actor Activity
Fortinet diligently balances our commitment to the security of our customers and our culture of responsible transparency and commits to sharing information with that goal in mind. While efforts by …
👍1
محققان Trend Micro که CVE-2025-23359 کشف کردند مقاله ای منتشر کردند.
به عنوان مثال، آنها هنگام استفاده از چندین مانت در یک کانتینر متوجه برخی مشکلات عملکردی شدند که می تواند منجر به DoS شود (همان مشکل عملکرد به طور مستقل توسط moby و NVIDIA گزارش شده است):
1. هنگامی که یک کانتینر جدید با چندین مانت پیکربندی شده با ( bind-propagation=shared ) ایجاد می شود، چندین مسیر والد/فرزند تنظیم می شود. با این حال، پس از خاتمه کانتینر، ورودیهای مرتبط از جدول نصب لینوکس حذف نمیشوند.
2. این باعث می شود که جدول mount به سرعت و به طور غیرقابل کنترلی رشد کند و توصیفگرهای فایل موجود ( fd ) را خسته کند. در نهایت Docker به دلیل فرسودگی fd قادر به ایجاد کانتینرهای جدید نیست.
3. این جدول نصب بیش از حد بزرگ با جلوگیری از اتصال کاربران به هاست (مثلاً از طریق SSH ) باعث مشکلات جدی عملکرد می شود.
بر این اساس، برخی از جزئیات برای بهره برداری CVE-2025-23359 فاش شد (اما هیچ PoC ارائه نشد):
1. مهاجم با استفاده از یک پیوند نمادین volume ، دو تصویر مخرب مخرب ایجاد می کند.
2. مهاجم به طور مستقیم یا غیرمستقیم تصویر را روی پلتفرم قربانی اجرا می کند
3. این به مهاجم اجازه می دهد تا از طریق شرایط مسابقه به سیستم فایل میزبان دسترسی پیدا کند.
4. با استفاده از این دسترسی، مهاجم می تواند متعاقباً به سوکت های Container Runtime Unix دسترسی پیدا کند تا دستورات دلخواه را با امتیازات root اجرا کند، یعنی کنترل کامل از راه دور بر روی سیستم در معرض خطر را به دست آورد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
به عنوان مثال، آنها هنگام استفاده از چندین مانت در یک کانتینر متوجه برخی مشکلات عملکردی شدند که می تواند منجر به DoS شود (همان مشکل عملکرد به طور مستقل توسط moby و NVIDIA گزارش شده است):
1. هنگامی که یک کانتینر جدید با چندین مانت پیکربندی شده با ( bind-propagation=shared ) ایجاد می شود، چندین مسیر والد/فرزند تنظیم می شود. با این حال، پس از خاتمه کانتینر، ورودیهای مرتبط از جدول نصب لینوکس حذف نمیشوند.
2. این باعث می شود که جدول mount به سرعت و به طور غیرقابل کنترلی رشد کند و توصیفگرهای فایل موجود ( fd ) را خسته کند. در نهایت Docker به دلیل فرسودگی fd قادر به ایجاد کانتینرهای جدید نیست.
3. این جدول نصب بیش از حد بزرگ با جلوگیری از اتصال کاربران به هاست (مثلاً از طریق SSH ) باعث مشکلات جدی عملکرد می شود.
بر این اساس، برخی از جزئیات برای بهره برداری CVE-2025-23359 فاش شد (اما هیچ PoC ارائه نشد):
1. مهاجم با استفاده از یک پیوند نمادین volume ، دو تصویر مخرب مخرب ایجاد می کند.
2. مهاجم به طور مستقیم یا غیرمستقیم تصویر را روی پلتفرم قربانی اجرا می کند
3. این به مهاجم اجازه می دهد تا از طریق شرایط مسابقه به سیستم فایل میزبان دسترسی پیدا کند.
4. با استفاده از این دسترسی، مهاجم می تواند متعاقباً به سوکت های Container Runtime Unix دسترسی پیدا کند تا دستورات دلخواه را با امتیازات root اجرا کند، یعنی کنترل کامل از راه دور بر روی سیستم در معرض خطر را به دست آورد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
حمله ارواح عربی به شبکه های برق بریتانیا…
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
WinZip ویروس های پنهان شده به عنوان فایل های قانونی را باز می کند
🔍 محققان یک آسیبپذیری حیاتی 0day را در WinZip کشف کردهاند که به شما امکان میدهد از حفاظت Mark-of-the-Web عبور کنید. این برنامه هنگام باز کردن فایلها از آرشیو، برچسب خاصی را ذخیره نمیکند، به همین دلیل است که ویندوز هنگام اجرای فایلهای مشکوک هشداری را نشان نمیدهد.
🧱 حتی اسناد مخرب دارای ماکرو می توانند بدون هشدار اجرا شوند. این سیستم آنها را ایمن می داند زیرا "به نظر می رسد" از خارج از اینترنت دریافت شده اند.
📨 سناریوی حمله ساده است: مهاجم آرشیوهای ZIP را از طریق فیشینگ یا وب سایت های جعلی ارسال می کند. اگر کاربر فایل را با استفاده از WinZip استخراج کند، محافظت از ویندوز کار نمی کند و کد مخرب بی صدا فعال می شود.
در حال حاضر هیچ اصلاحی منتشر نشده است. نسخه های WinZip تا و از جمله 29.0 آسیب پذیر هستند. به کاربران توصیه میشود فایلهای بستهبندی نشده را بهصورت دستی مجدداً با یک آنتیویروس بررسی کنند یا بایگانی را به یک بایگانی امنتر تغییر دهند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
🔍 محققان یک آسیبپذیری حیاتی 0day را در WinZip کشف کردهاند که به شما امکان میدهد از حفاظت Mark-of-the-Web عبور کنید. این برنامه هنگام باز کردن فایلها از آرشیو، برچسب خاصی را ذخیره نمیکند، به همین دلیل است که ویندوز هنگام اجرای فایلهای مشکوک هشداری را نشان نمیدهد.
🧱 حتی اسناد مخرب دارای ماکرو می توانند بدون هشدار اجرا شوند. این سیستم آنها را ایمن می داند زیرا "به نظر می رسد" از خارج از اینترنت دریافت شده اند.
📨 سناریوی حمله ساده است: مهاجم آرشیوهای ZIP را از طریق فیشینگ یا وب سایت های جعلی ارسال می کند. اگر کاربر فایل را با استفاده از WinZip استخراج کند، محافظت از ویندوز کار نمی کند و کد مخرب بی صدا فعال می شود.
در حال حاضر هیچ اصلاحی منتشر نشده است. نسخه های WinZip تا و از جمله 29.0 آسیب پذیر هستند. به کاربران توصیه میشود فایلهای بستهبندی نشده را بهصورت دستی مجدداً با یک آنتیویروس بررسی کنند یا بایگانی را به یک بایگانی امنتر تغییر دهند.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
یک آسیبپذیری در کنترلکننده URL نرمافزار کنفرانس وب Cisco Webex App وجود دارد که به شما امکان میدهد فایل را از یک منبع نامعتبر دانلود کنید. بهره برداری از این آسیب پذیری می تواند به مهاجم از راه دور اجازه دهد تا دستورات دلخواه را زمانی که کاربر بر روی یک پیوند ساخته شده ویژه کلیک می کند، اجرا کند.
BDU: 2025-04707
CVE-2025-20236
نصب به روز رسانی از منابع قابل اعتماد، توصیه می شود که به روز رسانی های نرم افزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- محدود کردن توانایی کاربران برای دنبال کردن پیوندهای دریافت شده از منابع نامعتبر؛
- استفاده از ابزارهای محیط نرم افزار ایزوله برای باز کردن لینک های دریافت شده از منابع نامعتبر.
- استفاده از نرم افزار آنتی ویروس برای بررسی لینک های دریافت شده از منابع نامعتبر.
- استفاده از سیستم های تشخیص نفوذ و پیشگیری برای شناسایی (شناسایی، ثبت) و پاسخ به تلاش ها برای سوء استفاده از یک آسیب پذیری.
استفاده از توصیه ها:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-app-client-rce-ufyMMYLC
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
BDU: 2025-04707
CVE-2025-20236
نصب به روز رسانی از منابع قابل اعتماد، توصیه می شود که به روز رسانی های نرم افزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.
اقدامات جبرانی:
- محدود کردن توانایی کاربران برای دنبال کردن پیوندهای دریافت شده از منابع نامعتبر؛
- استفاده از ابزارهای محیط نرم افزار ایزوله برای باز کردن لینک های دریافت شده از منابع نامعتبر.
- استفاده از نرم افزار آنتی ویروس برای بررسی لینک های دریافت شده از منابع نامعتبر.
- استفاده از سیستم های تشخیص نفوذ و پیشگیری برای شناسایی (شناسایی، ثبت) و پاسخ به تلاش ها برای سوء استفاده از یک آسیب پذیری.
استفاده از توصیه ها:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-app-client-rce-ufyMMYLC
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Cisco
Cisco Security Advisory: Cisco Webex App Client-Side Remote Code Execution Vulnerability
A vulnerability in the custom URL parser of Cisco Webex App could allow an unauthenticated, remote attacker to persuade a user to download arbitrary files, which could allow the attacker to execute arbitrary commands on the host of the targeted user.
This…
This…
This media is not supported in your browser
VIEW IN TELEGRAM
☝🏻ژاپنی ها صاعقه را با پهپاد می گیرند⚡️
شرکت تلگراف و تلفن نیپون سیستم پهپادی را معرفی کرده است که می تواند از شهرها و زیرساخت ها در برابر آسیب صاعقه محافظت کند که سالانه 1.4 میلیارد دلار برای ژاپن هزینه دارد .
پهپادهای مجهز به قفسهای مخصوص حفاظت در برابر صاعقه، قادر به رهگیری صاعقه و منحرف کردن آن از ساختمانها هستند . 🌩
در طول آزمایش، این پهپاد ، متصل به کابل زمین ، تا 300 متر بالا رفت و با موفقیت صاعقه دریافت کرد و به لطف محافظت خود به پرواز ادامه داد .
او در آینده قصد دارد پهپادها را بهبود بخشد ، دقت پیشبینی رعد و برق را افزایش دهد و حتی امکان ذخیره انرژی از رعد و برق تغییر مسیر داده شده را بررسی کند . 🔋
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
شرکت تلگراف و تلفن نیپون سیستم پهپادی را معرفی کرده است که می تواند از شهرها و زیرساخت ها در برابر آسیب صاعقه محافظت کند که سالانه 1.4 میلیارد دلار برای ژاپن هزینه دارد .
پهپادهای مجهز به قفسهای مخصوص حفاظت در برابر صاعقه، قادر به رهگیری صاعقه و منحرف کردن آن از ساختمانها هستند . 🌩
در طول آزمایش، این پهپاد ، متصل به کابل زمین ، تا 300 متر بالا رفت و با موفقیت صاعقه دریافت کرد و به لطف محافظت خود به پرواز ادامه داد .
او در آینده قصد دارد پهپادها را بهبود بخشد ، دقت پیشبینی رعد و برق را افزایش دهد و حتی امکان ذخیره انرژی از رعد و برق تغییر مسیر داده شده را بررسی کند . 🔋
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
😍 تحقیق "چگونه استراتژی های CISO تغییر کرده اند": در مورد CISO و برای CISO
تیم تحلیلی Infosystems Jet یک مطالعه مشاوره ای بزرگ را با عنوان "دوره تاب آوری سایبری: چگونه استراتژی های CISO تغییر کرده اند" آماده کرد. سال گذشته این مطالعه برای اولین بار منتشر شد، اکنون ما آن را به یک رویداد سالانه تبدیل کرده ایم. این گزارش بر اساس نتایج نظرسنجی از مدیران امنیت اطلاعات (مصاحبه و پرسشنامه های حضوری) و همچنین داده های تاریخی انباشته شده در مورد نتایج پروژه های امنیت اطلاعات تهیه شده است. مجموع تجمعی برای دو سال بیش از 160 پاسخ دهنده است، پاسخ دهندگان اصلی مطالعه (75٪) شرکت های بزرگ با کارکنان 500 تا 2000 نفر هستند.
این مطالعه حوزه های کلیدی مورد علاقه مدیران امنیت اطلاعات را پوشش می دهد:
🔹 مدیریت استراتژیک (تعیین و تنظیم اهداف، تشکیل و حفاظت از بودجه امنیت اطلاعات)
🔹 مدیریت موثر، استفاده از خدمات و اتوماسیون
🔹 سازماندهی خدمات امنیت اطلاعات، جستجو و توسعه پرسنل
🔹 مدیریت ریسک امنیت اطلاعات
🔹 حفظ انعطاف پذیری سایبری و تضمین تداوم کسب و کار
🔹 ارزیابی و گزارش سطح امنیت اطلاعات
🔹 فرهنگ سایبری
برخی از ارقام و نتایج جالب از این گزارش:
🔹 برنامه ریزی پنج ساله در امنیت اطلاعات عملاً در حال از بین رفتن است: شرکت ها به طور فزاینده ای برنامه ریزی برای دوره های زمانی کوتاه (دو ساله) را انتخاب می کنند و 4٪ از شرکت ها به برنامه ریزی تا یک سال روی آورده اند.
🔹 مدیران IS همچنان به انتخاب روش "محتاطانه" برنامه ریزی استراتژیک ادامه می دهند و به استراتژی بهبود تدریجی ترجیح می دهند. تعداد شرکت هایی که به دنبال تغییرات اساسی ("استراتژی های نوآوری") هستند از 23٪ به 5٪ کاهش یافت.
🔹 شرکت ها هنوز مدل قدیمی «قلعه و خندق» و مدل «دفاع طبقه ای» را ترجیح می دهند. شرکتها بهطور فزایندهای در حال طراحی معماریهای ترکیبی (انتقالی) هستند و روشهای ZT و انعطافپذیری سایبری را به لایههای ثابت دفاع اضافه میکنند.
🔹 14٪ از شرکت ها یک رویکرد خدمات را اجرا کرده اند، 11٪ در حال اجرای شیوه های فردی هستند: تعریف خدمات اولیه و اختیاری، توسعه یک سیستم قیمت گذاری، انتخاب ابزار مدیریت خدمات، توسعه یک پایه روش شناختی برای یک مدل خدمات.
🔹 از پایان سال 2023، روندی به سمت توزیع مجدد جزئی بودجه از عملکرد "پیشگیری" (پیشگیری) به "تشخیص سریع تهدید" (تشخیص و پاسخ) وجود داشته است. اقدامات "پیشگیری" همچنان شاهد سهم بالایی از بودجه بندی است زیرا شرکت ها همچنان به راه حل های داخلی مانند امنیت شبکه مهاجرت می کنند.
🔹 تعداد شرکتهایی که کارگر امنیت اطلاعات ندارند در مقایسه با سال 2023 به میزان قابل توجهی کاهش یافته است - تنها 6 درصد در مقابل 13 درصد در سال 2024.
🔹 از اواسط سال 2024، افزایش تقاضا برای حالت های امنیتی اطلاعات با دید هلیکوپتر ("ممیزی سریع") با استفاده از مدل های ارزیابی سطح بلوغ (CMMI و موارد مشابه) وجود داشته است.
این مطالعه برای مدیران امنیت اطلاعات و فناوری اطلاعات و همچنین مشاوران و کارشناسان امنیت اطلاعات مفید خواهد بود.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
تیم تحلیلی Infosystems Jet یک مطالعه مشاوره ای بزرگ را با عنوان "دوره تاب آوری سایبری: چگونه استراتژی های CISO تغییر کرده اند" آماده کرد. سال گذشته این مطالعه برای اولین بار منتشر شد، اکنون ما آن را به یک رویداد سالانه تبدیل کرده ایم. این گزارش بر اساس نتایج نظرسنجی از مدیران امنیت اطلاعات (مصاحبه و پرسشنامه های حضوری) و همچنین داده های تاریخی انباشته شده در مورد نتایج پروژه های امنیت اطلاعات تهیه شده است. مجموع تجمعی برای دو سال بیش از 160 پاسخ دهنده است، پاسخ دهندگان اصلی مطالعه (75٪) شرکت های بزرگ با کارکنان 500 تا 2000 نفر هستند.
این مطالعه حوزه های کلیدی مورد علاقه مدیران امنیت اطلاعات را پوشش می دهد:
🔹 مدیریت استراتژیک (تعیین و تنظیم اهداف، تشکیل و حفاظت از بودجه امنیت اطلاعات)
🔹 مدیریت موثر، استفاده از خدمات و اتوماسیون
🔹 سازماندهی خدمات امنیت اطلاعات، جستجو و توسعه پرسنل
🔹 مدیریت ریسک امنیت اطلاعات
🔹 حفظ انعطاف پذیری سایبری و تضمین تداوم کسب و کار
🔹 ارزیابی و گزارش سطح امنیت اطلاعات
🔹 فرهنگ سایبری
برخی از ارقام و نتایج جالب از این گزارش:
🔹 برنامه ریزی پنج ساله در امنیت اطلاعات عملاً در حال از بین رفتن است: شرکت ها به طور فزاینده ای برنامه ریزی برای دوره های زمانی کوتاه (دو ساله) را انتخاب می کنند و 4٪ از شرکت ها به برنامه ریزی تا یک سال روی آورده اند.
🔹 مدیران IS همچنان به انتخاب روش "محتاطانه" برنامه ریزی استراتژیک ادامه می دهند و به استراتژی بهبود تدریجی ترجیح می دهند. تعداد شرکت هایی که به دنبال تغییرات اساسی ("استراتژی های نوآوری") هستند از 23٪ به 5٪ کاهش یافت.
🔹 شرکت ها هنوز مدل قدیمی «قلعه و خندق» و مدل «دفاع طبقه ای» را ترجیح می دهند. شرکتها بهطور فزایندهای در حال طراحی معماریهای ترکیبی (انتقالی) هستند و روشهای ZT و انعطافپذیری سایبری را به لایههای ثابت دفاع اضافه میکنند.
🔹 14٪ از شرکت ها یک رویکرد خدمات را اجرا کرده اند، 11٪ در حال اجرای شیوه های فردی هستند: تعریف خدمات اولیه و اختیاری، توسعه یک سیستم قیمت گذاری، انتخاب ابزار مدیریت خدمات، توسعه یک پایه روش شناختی برای یک مدل خدمات.
🔹 از پایان سال 2023، روندی به سمت توزیع مجدد جزئی بودجه از عملکرد "پیشگیری" (پیشگیری) به "تشخیص سریع تهدید" (تشخیص و پاسخ) وجود داشته است. اقدامات "پیشگیری" همچنان شاهد سهم بالایی از بودجه بندی است زیرا شرکت ها همچنان به راه حل های داخلی مانند امنیت شبکه مهاجرت می کنند.
🔹 تعداد شرکتهایی که کارگر امنیت اطلاعات ندارند در مقایسه با سال 2023 به میزان قابل توجهی کاهش یافته است - تنها 6 درصد در مقابل 13 درصد در سال 2024.
🔹 از اواسط سال 2024، افزایش تقاضا برای حالت های امنیتی اطلاعات با دید هلیکوپتر ("ممیزی سریع") با استفاده از مدل های ارزیابی سطح بلوغ (CMMI و موارد مشابه) وجود داشته است.
این مطالعه برای مدیران امنیت اطلاعات و فناوری اطلاعات و همچنین مشاوران و کارشناسان امنیت اطلاعات مفید خواهد بود.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
ایالات متحده از قوانین داوطلبانه برای نرم افزارهای جاسوسی تجاری حمایت می کند
در اوایل آوریل، دومین کنفرانس فرآیند پال مال، یک ابتکار غربی برای تنظیم استفاده از نرم افزارهای جاسوسی تجاری، در پاریس برگزار شد . این ابتکار یک سال پیش در لندن با بریتانیا و فرانسه به عنوان محرک های اصلی آن راه اندازی شد .
کلمه جاسوسافزار در همه جا استفاده میشود، اما بهاندازه کافی بوروکراتیک به نظر نمیرسد، بنابراین فرآیند Pall Mall از اصطلاح مناسبتری استفاده میکند - قابلیتهای نفوذ سایبری تجاری (CCIC).
شرکت کنندگان در نشست پاریس بر روی یک آئین نامه عمل برای کشورها برای مقابله با گسترش و استفاده غیرمسئولانه از قابلیت های نفوذ سایبری تجاری به توافق رسیدند. این یک راهنمای داوطلبانه و غیر الزام آور برای جلوگیری از سوء استفاده و استفاده غیراخلاقی از نرم افزارهای جاسوسی است که توسط شرکت های خصوصی به جای دولت ها توسعه یافته است. کل فرآیند و کد بهترین شیوه ها اساساً پاسخی از سوی جامعه غربی به رسوایی های سال های اخیر در مورد سوء استفاده در زمینه جاسوسی سایبری و بالاتر از همه هک های استفاده از پگاسوس است.
کد بهترین شیوه ها بر 4 اصل استوار است:
- مسئولیت پذیری: هک با استفاده از نرم افزارهای جاسوسی تجاری باید مطابق با قوانین ملی و بین المللی انجام شود.
- دقت: چنین قوانینی در سطوح مختلف برای کاهش امکان استفاده خودسرانه از نرم افزارهای جاسوسی مورد نیاز است، از شکل گیری سیاست رسمی دولتی تا آموزش پرسنلی که چنین عملیاتی را انجام خواهند داد.
- نظارت: دولت ها باید رویه هایی را برای کنترل استفاده از چنین برنامه هایی ایجاد کنند.
- شفافیت: مجموعه کاملی از اقدامات برای اطمینان از شفافیت، از جمله تلاش برای مطالعه بازار نرم افزارهای جاسوسی (این شامل تحقیقات تشویقی توسط روزنامه نگاران، دانشمندان و سازمان های جامعه مدنی است)، و ایجاد یک مکانیسم شفافیت برای تعامل بین دولت ها و این بازار.
نیت خیر شرکت کنندگان قابل ستایش است، اما مشکلات معمولاً با اجرای چنین توافقاتی آغاز می شود. علاوه بر این، طبق معمول، ما در مورد اعمال داوطلبانه و اختیاری صحبت می کنیم.
دخالت ایالات متحده در این ابتکار یک فتنه باقی ماند. دولت بایدن از اولین نشست پال مال حمایت کرد. اما تیم ترامپ نسبت به تعهدات بین المللی تردید بیشتری دارد. در ابتدا، کد بهترین شیوه ها توسط 23 کشور پشتیبانی می شد، اما پس از چند روز، ایالات متحده رسما به آن پیوست.
دایره حامیان پال مال حتی در میان کشورهای غربی هم چندان گسترده نیست. به عنوان مثال، اسپانیا، کانادا، لتونی، لیتوانی، نروژ و دیگران در میان شرکت کنندگان نیستند، اما مولداوی و کوزوو تا حدی به رسمیت شناخته شده هستند. تنها دو شرکت کننده از مناطق دیگر وجود دارد: غنا و ژاپن.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
در اوایل آوریل، دومین کنفرانس فرآیند پال مال، یک ابتکار غربی برای تنظیم استفاده از نرم افزارهای جاسوسی تجاری، در پاریس برگزار شد . این ابتکار یک سال پیش در لندن با بریتانیا و فرانسه به عنوان محرک های اصلی آن راه اندازی شد .
کلمه جاسوسافزار در همه جا استفاده میشود، اما بهاندازه کافی بوروکراتیک به نظر نمیرسد، بنابراین فرآیند Pall Mall از اصطلاح مناسبتری استفاده میکند - قابلیتهای نفوذ سایبری تجاری (CCIC).
شرکت کنندگان در نشست پاریس بر روی یک آئین نامه عمل برای کشورها برای مقابله با گسترش و استفاده غیرمسئولانه از قابلیت های نفوذ سایبری تجاری به توافق رسیدند. این یک راهنمای داوطلبانه و غیر الزام آور برای جلوگیری از سوء استفاده و استفاده غیراخلاقی از نرم افزارهای جاسوسی است که توسط شرکت های خصوصی به جای دولت ها توسعه یافته است. کل فرآیند و کد بهترین شیوه ها اساساً پاسخی از سوی جامعه غربی به رسوایی های سال های اخیر در مورد سوء استفاده در زمینه جاسوسی سایبری و بالاتر از همه هک های استفاده از پگاسوس است.
کد بهترین شیوه ها بر 4 اصل استوار است:
- مسئولیت پذیری: هک با استفاده از نرم افزارهای جاسوسی تجاری باید مطابق با قوانین ملی و بین المللی انجام شود.
- دقت: چنین قوانینی در سطوح مختلف برای کاهش امکان استفاده خودسرانه از نرم افزارهای جاسوسی مورد نیاز است، از شکل گیری سیاست رسمی دولتی تا آموزش پرسنلی که چنین عملیاتی را انجام خواهند داد.
- نظارت: دولت ها باید رویه هایی را برای کنترل استفاده از چنین برنامه هایی ایجاد کنند.
- شفافیت: مجموعه کاملی از اقدامات برای اطمینان از شفافیت، از جمله تلاش برای مطالعه بازار نرم افزارهای جاسوسی (این شامل تحقیقات تشویقی توسط روزنامه نگاران، دانشمندان و سازمان های جامعه مدنی است)، و ایجاد یک مکانیسم شفافیت برای تعامل بین دولت ها و این بازار.
نیت خیر شرکت کنندگان قابل ستایش است، اما مشکلات معمولاً با اجرای چنین توافقاتی آغاز می شود. علاوه بر این، طبق معمول، ما در مورد اعمال داوطلبانه و اختیاری صحبت می کنیم.
دخالت ایالات متحده در این ابتکار یک فتنه باقی ماند. دولت بایدن از اولین نشست پال مال حمایت کرد. اما تیم ترامپ نسبت به تعهدات بین المللی تردید بیشتری دارد. در ابتدا، کد بهترین شیوه ها توسط 23 کشور پشتیبانی می شد، اما پس از چند روز، ایالات متحده رسما به آن پیوست.
دایره حامیان پال مال حتی در میان کشورهای غربی هم چندان گسترده نیست. به عنوان مثال، اسپانیا، کانادا، لتونی، لیتوانی، نروژ و دیگران در میان شرکت کنندگان نیستند، اما مولداوی و کوزوو تا حدی به رسمیت شناخته شده هستند. تنها دو شرکت کننده از مناطق دیگر وجود دارد: غنا و ژاپن.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
👾 ماندگارترین بدافزار
• در سال 2008 ، کرمی به نام Conficker در سراسر جهان گسترش یافت. با سوء استفاده از یک آسیب پذیری حیاتی در سیستم عامل، رایانه هایی را که دارای ویندوز XP هستند، هدف قرار داد.
• کل موضوع این بود که حتی قبل از شروع گسترش کرم، مایکروسافت به روز رسانی امنیتی MS08-067 را منتشر کرد که آسیب پذیری سیستم عامل را بسته و از آلوده شدن سیستم به بدافزار جلوگیری کرد. در نتیجه آن دسته از کاربرانی که این آپدیت را نصب نکرده بودند دچار حمله کرم شدند.
• تخمین تعداد کل دستگاه های آلوده به Conficker دشوار است. تنها در ژانویه 2009، بر اساس برآوردهای مختلف، تعداد آنها از 9 تا 15 میلیون متغیر بود. این کرم همچنین از ویژگی بارگذاری خودکار استفاده کرده و سیستم های تمیز شده را مجدداً آلوده کرد.
• به علاوه، این کرم به معنای واقعی کلمه همه جا حاضر بود. این بدافزار حتی در یک نیروگاه هستهای در آلمان نیز یافت شد و این کرم در حداقل 18 دستگاه ذخیرهسازی موبایل، عمدتاً USB و رایانههای اداری، که جدا از سیستمهای اصلی نیروگاه استفاده میشدند، یافت شد. همچنین خبری منتشر شد مبنی بر اینکه دوربین هایی که پلیس در ایالات متحده روی لباس خود می پوشد نیز به کرم آلوده است. علاوه بر این، کرم از تولید این دستگاهها به آنجا میرسد و در صورت اتصال دوربین به رایانه شخصی، در سراسر شبکه پخش میشود.
• با دور شدن افراد از سیستم عامل قدیمی، تعداد دستگاه های آلوده کاهش یافت. با این حال، در سال 2019 (10 سال پس از اولین قسمت!)، یک مقاله نیویورک تایمز نشان داد که حدود 500000 دستگاه هنوز آلوده هستند و در سال 2021 (12 سال پس از اولین آلودگی)، کارشناسان BitDefender بدافزار را در 150000 دستگاه پیدا کردند .
• نیروی دریایی فرانسه (Intrama) مجبور شد پروازهای خود را در چندین پایگاه هوایی خود به دلیل وجود این کرم متوقف کند. قطع شبکه ناشی از این کرم برای شورای شهر منچستر 1.5 میلیون پوند هزینه داشت. McAfee خسارت جهانی Conficker را 9.1 میلیارد دلار تخمین زد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
• در سال 2008 ، کرمی به نام Conficker در سراسر جهان گسترش یافت. با سوء استفاده از یک آسیب پذیری حیاتی در سیستم عامل، رایانه هایی را که دارای ویندوز XP هستند، هدف قرار داد.
• کل موضوع این بود که حتی قبل از شروع گسترش کرم، مایکروسافت به روز رسانی امنیتی MS08-067 را منتشر کرد که آسیب پذیری سیستم عامل را بسته و از آلوده شدن سیستم به بدافزار جلوگیری کرد. در نتیجه آن دسته از کاربرانی که این آپدیت را نصب نکرده بودند دچار حمله کرم شدند.
• تخمین تعداد کل دستگاه های آلوده به Conficker دشوار است. تنها در ژانویه 2009، بر اساس برآوردهای مختلف، تعداد آنها از 9 تا 15 میلیون متغیر بود. این کرم همچنین از ویژگی بارگذاری خودکار استفاده کرده و سیستم های تمیز شده را مجدداً آلوده کرد.
• به علاوه، این کرم به معنای واقعی کلمه همه جا حاضر بود. این بدافزار حتی در یک نیروگاه هستهای در آلمان نیز یافت شد و این کرم در حداقل 18 دستگاه ذخیرهسازی موبایل، عمدتاً USB و رایانههای اداری، که جدا از سیستمهای اصلی نیروگاه استفاده میشدند، یافت شد. همچنین خبری منتشر شد مبنی بر اینکه دوربین هایی که پلیس در ایالات متحده روی لباس خود می پوشد نیز به کرم آلوده است. علاوه بر این، کرم از تولید این دستگاهها به آنجا میرسد و در صورت اتصال دوربین به رایانه شخصی، در سراسر شبکه پخش میشود.
• با دور شدن افراد از سیستم عامل قدیمی، تعداد دستگاه های آلوده کاهش یافت. با این حال، در سال 2019 (10 سال پس از اولین قسمت!)، یک مقاله نیویورک تایمز نشان داد که حدود 500000 دستگاه هنوز آلوده هستند و در سال 2021 (12 سال پس از اولین آلودگی)، کارشناسان BitDefender بدافزار را در 150000 دستگاه پیدا کردند .
• نیروی دریایی فرانسه (Intrama) مجبور شد پروازهای خود را در چندین پایگاه هوایی خود به دلیل وجود این کرم متوقف کند. قطع شبکه ناشی از این کرم برای شورای شهر منچستر 1.5 میلیون پوند هزینه داشت. McAfee خسارت جهانی Conficker را 9.1 میلیارد دلار تخمین زد.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
یک آسیب پذیری در تابع MetadataUploader ابزار Visual Composer پلت فرم یکپارچه نرم افزار SAP NetWeaver به توانایی آپلود فایل های اجرایی بدون محدودیت مربوط می شود. بهره برداری از این آسیب پذیری می تواند به یک مهاجم راه دور اجازه دهد تا با ارسال یک درخواست POST ساخته شده خاص، کد دلخواه را اجرا کند.
BDU: 2025-04927
CVE-2025-31324
اقدامات جبرانی:
- غیرفعال کردن ابزار ویژوال کامپوزر.
- استفاده از یک فایروال لایه کاربردی (WAF) برای فیلتر کردن ترافیک شبکه.
- از نرم افزار آنتی ویروس برای بررسی فایل های مخرب در دایرکتوری "j2ee/cluster/apps/sapcom/irj/servlet_jsp/irj/root/" استفاده کنید.
- استفاده از سیستم های SIEM برای ردیابی تلاش ها برای سوء استفاده از آسیب پذیری ها.
- محدود کردن دسترسی به دستگاه از شبکه های خارجی (اینترنت).
منابع اطلاعاتی:
https://reliaquest.com/blog/threat-spotlight-reliaquest-uncovers-vulnerability-behind-sap-netweaver-compromise/
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
BDU: 2025-04927
CVE-2025-31324
اقدامات جبرانی:
- غیرفعال کردن ابزار ویژوال کامپوزر.
- استفاده از یک فایروال لایه کاربردی (WAF) برای فیلتر کردن ترافیک شبکه.
- از نرم افزار آنتی ویروس برای بررسی فایل های مخرب در دایرکتوری "j2ee/cluster/apps/sapcom/irj/servlet_jsp/irj/root/" استفاده کنید.
- استفاده از سیستم های SIEM برای ردیابی تلاش ها برای سوء استفاده از آسیب پذیری ها.
- محدود کردن دسترسی به دستگاه از شبکه های خارجی (اینترنت).
منابع اطلاعاتی:
https://reliaquest.com/blog/threat-spotlight-reliaquest-uncovers-vulnerability-behind-sap-netweaver-compromise/
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
ReliaQuest
ReliaQuest Uncovers New Critical Vulnerability in SAP NetWeaver
ReliaQuest has uncovered a new vulnerability in SAP NetWeaver, CVE-2025-31324, involving unauthorized file uploads and malicious execution.
IACS
#هشدار بیش از 16000 دستگاه متصل به اینترنت Fortinet توسط یک درپشتی پیوند نمادین جدید که به هکرها امکان دسترسی فقط خواندنی به فایلهای حساس را میدهد در معرض خطر قرار گرفتهاند. این آمار ناامیدکننده توسط محققان بنیاد Shadowserver پس از آن ارائه شد که Fortinet…
فورتینت هشدار می دهد که مهاجمان دسترسی به FortiGate را پس از وصله از طریق SSL-VPN Symlink Exploit حفظ میکنند.
فورتینت فاش کرده است که عوامل تهدید راهی برای حفظ دسترسی فقط خواندنی به دستگاههای آسیبپذیر فورتیگیت حتی پس از اصلاح وصلهبندی بردار دسترسی اولیه مورد استفاده برای نفوذ به دستگاهها، پیدا کردهاند.
گمان میرود که مهاجمان از نقصهای امنیتی شناخته شده و اصلاحشده، از جمله، اما نه محدود به، CVE-2022-42475 ، CVE-2023-27997 و CVE-2024-21762 استفاده کردهاند .
شرکت امنیت شبکه در مشاوره ای که روز پنجشنبه منتشر شد گفت : «یک عامل تهدید از یک آسیب پذیری شناخته شده برای پیاده سازی دسترسی فقط خواندنی به دستگاه های آسیب پذیر فورتی گیت استفاده کرد. "این از طریق ایجاد یک پیوند نمادین که سیستم فایل کاربر و سیستم فایل ریشه را در پوشه ای که برای ارائه فایل های زبان برای SSL-VPN استفاده می شود، به هم متصل می کند."
امنیت سایبری
فورتی نت گفت که تغییرات در سیستم فایل کاربر انجام شد و موفق شد از شناسایی فرار کند و باعث شد که پیوند نمادین (معروف به symlink) حتی پس از بسته شدن حفرههای امنیتی مسئول دسترسی اولیه باقی بماند.
این به نوبه خود، عاملان تهدید را قادر میسازد تا دسترسی فقط خواندنی به فایلهای موجود در سیستم فایل دستگاه، از جمله تنظیمات، را حفظ کنند. با این حال، مشتریانی که هرگز SSL-VPN را فعال نکرده اند تحت تأثیر این مشکل قرار نمی گیرند.
مشخص نیست چه کسی پشت این فعالیت است، اما فورتی نت گفت تحقیقاتش نشان می دهد که هدف آن منطقه یا صنعت خاصی نبوده است. همچنین گفت که مستقیماً به مشتریانی که تحت تأثیر این موضوع قرار گرفتهاند اطلاع داده است.
به عنوان کاهش بیشتر برای جلوگیری از تکرار چنین مشکلاتی، یک سری به روز رسانی نرم افزار برای FortiOS ارائه شده است -
FortiOS 7.4، 7.2، 7.0 و 6.4 - سیملینک به عنوان مخرب علامت گذاری شد تا به طور خودکار توسط موتور آنتی ویروس حذف شود.
FortiOS 7.6.2، 7.4.7، 7.2.11، 7.0.17، و 6.4.16 - پیوند نمادین حذف شد و رابط کاربری SSL-VPN برای جلوگیری از ارائه چنین پیوندهای نمادین مخرب اصلاح شده است.
به مشتریان توصیه میشود نمونههای خود را به نسخههای 7.6.2، 7.4.7، 7.2.11، 7.0.17 یا 6.4.16 FortiOS بهروزرسانی کنند، پیکربندیهای دستگاه را بررسی کنند، و همه پیکربندیها را بهعنوان در معرض خطر قرار دهند و مراحل بازیابی مناسب را انجام دهند .
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) توصیهای از خود صادر کرده و از کاربران میخواهد اعتبارنامههای افشا شده را بازنشانی کنند و تا زمانی که وصلهها اعمال شوند، عملکرد SSL-VPN را غیرفعال کنند. تیم واکنش اضطراری رایانه ای فرانسه (CERT-FR)، در بولتن مشابهی، گفت که از مصالحه هایی که به اوایل سال 2023 بازمی گردد، آگاه است.
بنجامین هریس، مدیرعامل watchTowr در بیانیهای گفت که این حادثه به دو دلیل مهم باعث نگرانی است.
هریس گفت: «اول، در طبیعت استثمار بسیار سریعتر از آن چیزی است که سازمان ها می توانند اصلاح کنند. مهمتر از آن، مهاجمان به وضوح و عمیقاً از این واقعیت آگاه هستند.»
دوم و وحشتناکتر، بارها دیدهایم که مهاجمان پس از بهرهبرداری سریع، قابلیتها و درهای پشتی را به کار میگیرند که برای زنده ماندن از فرآیندهای وصلهسازی، ارتقا و بازنشانی کارخانهای طراحی شدهاند که سازمانها برای کاهش این موقعیتها برای حفظ پایداری و دسترسی به سازمانهای در معرض خطر تکیه کردهاند.»
هریس همچنین گفت که استقرار دربهای پشتی در سراسر پایگاه مشتری WatchTowr شناسایی شدهاند، و آنها "تأثیری را در سازمانهایی مشاهده میکنند که بسیاری به وضوح آن را زیرساخت حیاتی مینامند."
بنیاد Shadowserver فاش کرده است که 16620 دستگاه Fortinet در معرض اینترنت شناسایی شدهاند که با درپشتی پیوند نمادین که به عوامل تهدید دسترسی فقط خواندنی به فایلهای حساس در دستگاههایی که قبلاً نقض شده اما کاملاً وصله شدهاند، میدهد شناسایی شدهاند.
از 15 آوریل 2025، 7886 مورد آسیب دیده در آسیا واقع شده است، پس از آن اروپا (3766)، آمریکای شمالی (3217)، آمریکای جنوبی (1054)، آفریقا (399) و اقیانوسیه (298).
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
فورتینت فاش کرده است که عوامل تهدید راهی برای حفظ دسترسی فقط خواندنی به دستگاههای آسیبپذیر فورتیگیت حتی پس از اصلاح وصلهبندی بردار دسترسی اولیه مورد استفاده برای نفوذ به دستگاهها، پیدا کردهاند.
گمان میرود که مهاجمان از نقصهای امنیتی شناخته شده و اصلاحشده، از جمله، اما نه محدود به، CVE-2022-42475 ، CVE-2023-27997 و CVE-2024-21762 استفاده کردهاند .
شرکت امنیت شبکه در مشاوره ای که روز پنجشنبه منتشر شد گفت : «یک عامل تهدید از یک آسیب پذیری شناخته شده برای پیاده سازی دسترسی فقط خواندنی به دستگاه های آسیب پذیر فورتی گیت استفاده کرد. "این از طریق ایجاد یک پیوند نمادین که سیستم فایل کاربر و سیستم فایل ریشه را در پوشه ای که برای ارائه فایل های زبان برای SSL-VPN استفاده می شود، به هم متصل می کند."
امنیت سایبری
فورتی نت گفت که تغییرات در سیستم فایل کاربر انجام شد و موفق شد از شناسایی فرار کند و باعث شد که پیوند نمادین (معروف به symlink) حتی پس از بسته شدن حفرههای امنیتی مسئول دسترسی اولیه باقی بماند.
این به نوبه خود، عاملان تهدید را قادر میسازد تا دسترسی فقط خواندنی به فایلهای موجود در سیستم فایل دستگاه، از جمله تنظیمات، را حفظ کنند. با این حال، مشتریانی که هرگز SSL-VPN را فعال نکرده اند تحت تأثیر این مشکل قرار نمی گیرند.
مشخص نیست چه کسی پشت این فعالیت است، اما فورتی نت گفت تحقیقاتش نشان می دهد که هدف آن منطقه یا صنعت خاصی نبوده است. همچنین گفت که مستقیماً به مشتریانی که تحت تأثیر این موضوع قرار گرفتهاند اطلاع داده است.
به عنوان کاهش بیشتر برای جلوگیری از تکرار چنین مشکلاتی، یک سری به روز رسانی نرم افزار برای FortiOS ارائه شده است -
FortiOS 7.4، 7.2، 7.0 و 6.4 - سیملینک به عنوان مخرب علامت گذاری شد تا به طور خودکار توسط موتور آنتی ویروس حذف شود.
FortiOS 7.6.2، 7.4.7، 7.2.11، 7.0.17، و 6.4.16 - پیوند نمادین حذف شد و رابط کاربری SSL-VPN برای جلوگیری از ارائه چنین پیوندهای نمادین مخرب اصلاح شده است.
به مشتریان توصیه میشود نمونههای خود را به نسخههای 7.6.2، 7.4.7، 7.2.11، 7.0.17 یا 6.4.16 FortiOS بهروزرسانی کنند، پیکربندیهای دستگاه را بررسی کنند، و همه پیکربندیها را بهعنوان در معرض خطر قرار دهند و مراحل بازیابی مناسب را انجام دهند .
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) توصیهای از خود صادر کرده و از کاربران میخواهد اعتبارنامههای افشا شده را بازنشانی کنند و تا زمانی که وصلهها اعمال شوند، عملکرد SSL-VPN را غیرفعال کنند. تیم واکنش اضطراری رایانه ای فرانسه (CERT-FR)، در بولتن مشابهی، گفت که از مصالحه هایی که به اوایل سال 2023 بازمی گردد، آگاه است.
بنجامین هریس، مدیرعامل watchTowr در بیانیهای گفت که این حادثه به دو دلیل مهم باعث نگرانی است.
هریس گفت: «اول، در طبیعت استثمار بسیار سریعتر از آن چیزی است که سازمان ها می توانند اصلاح کنند. مهمتر از آن، مهاجمان به وضوح و عمیقاً از این واقعیت آگاه هستند.»
دوم و وحشتناکتر، بارها دیدهایم که مهاجمان پس از بهرهبرداری سریع، قابلیتها و درهای پشتی را به کار میگیرند که برای زنده ماندن از فرآیندهای وصلهسازی، ارتقا و بازنشانی کارخانهای طراحی شدهاند که سازمانها برای کاهش این موقعیتها برای حفظ پایداری و دسترسی به سازمانهای در معرض خطر تکیه کردهاند.»
هریس همچنین گفت که استقرار دربهای پشتی در سراسر پایگاه مشتری WatchTowr شناسایی شدهاند، و آنها "تأثیری را در سازمانهایی مشاهده میکنند که بسیاری به وضوح آن را زیرساخت حیاتی مینامند."
بنیاد Shadowserver فاش کرده است که 16620 دستگاه Fortinet در معرض اینترنت شناسایی شدهاند که با درپشتی پیوند نمادین که به عوامل تهدید دسترسی فقط خواندنی به فایلهای حساس در دستگاههایی که قبلاً نقض شده اما کاملاً وصله شدهاند، میدهد شناسایی شدهاند.
از 15 آوریل 2025، 7886 مورد آسیب دیده در آسیا واقع شده است، پس از آن اروپا (3766)، آمریکای شمالی (3217)، آمریکای جنوبی (1054)، آفریقا (399) و اقیانوسیه (298).
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
هدف بدافزار جدید خطرناک تسلا: کاربران
آنچه باید بدانید
حتی میتواند ایمیلهای خصوصی و پیامهای چت را بخواند و برای افراد و مشاغل بسیار خطرناک است.
تسلا اخیراً بارها خبرساز شده است، اما این مشکل جدید به ایلان ماسک یا خودروهای او مرتبط نیست. در عوض، مجرمان سایبری را درگیر می کند که با استفاده از نرم افزار خطرناکی به نام عامل تسلا، سعی در سرقت اطلاعات خصوصی افراد دارند.
در اینجا توضیح واضحی در مورد نحوه عملکرد حمله و آنچه برای ایمن ماندن نیاز دارید آورده شده است.
مهاجمان از ترفندهای هوشمندانه برای انتشار بدافزار استفاده می کنند
محققان واحد 42، تیم امنیتی Palo Alto Networks، یک تهدید آنلاین جدید را گزارش کرده اند. این بار، هکرها ایمیل های جعلی را برای افراد ارسال می کنند و وانمود می کنند که اسناد مهمی مانند فاکتورها یا رسید پرداخت ضمیمه شده است.
هنگامی که شخصی فایل را باز می کند، بی سر و صدا یک اسکریپت مخفی را راه اندازی می کند. سپس این اسکریپت برنامه دومی به نام PowerShell را دانلود می کند که به صورت بی صدا از پوشه موقت رایانه اجرا می شود و تشخیص آن را برای نرم افزار آنتی ویروس بسیار سخت تر می کند.
هنگامی که اسکریپت فعال است، حمله می تواند یکی از دو مسیر مختلف را دنبال کند: یا یک فایل .NET راه اندازی می کند یا یک قطره چکان AutoIt. بسته به اینکه از کدام یک استفاده می شود، انواع مختلفی از برنامه های مضر روی دستگاه قربانی نصب می شود. اگرچه هر مرحله از حمله ساده است، اما در صورت ترکیب، تشخیص و توقف کل فرآیند را دشوارتر می کند.
عامل تسلا چیست؟
یکی از تهدیدهای اصلی این کمپین، عامل تسلا است. عامل تسلا نوعی بدافزار است که به عنوان تروجان دسترسی از راه دور (RAT) شناخته می شود. این به هکرها اجازه می دهد تا به طور مخفیانه به اطلاعات مهم یک دستگاه آلوده دسترسی پیدا کرده و آنها را سرقت کنند. هنگامی که داخل می شود، می تواند جمع شود:
1. نام کاربری و رمز عبور
2. اطلاعات تماس و ارتباط را ایمیل کنید
3. داده های مالی
4. اطلاعات ذخیره شده از مرورگرهای وب
5. اسکرین شات از کامپیوتر کاربر
6. اطلاعات از برنامه های ایمیل
7. سوابق همه چیز تایپ شده (فشار کلید)
حتی میتواند ایمیلهای خصوصی و پیامهای چت را بخواند و برای افراد و مشاغل بسیار خطرناک است.
کمپین حمله مشابه با استفاده از بدافزارهای دیگری مانند Remcos RAT و XLoader نیز مشاهده شد، اما عامل تسلا به دلیل تواناییهای قوی سرقت اطلاعات، بخش عمدهای از عملیات بود.
مراقب ایمیل های ناشناس باشید
از آنجایی که حمله با یک ایمیل ساده شروع می شود، مهم است که محتاط باشید. از باز کردن پیوستهایی که انتظارش را ندارید خودداری کنید، بهخصوص اگر ایمیل از شما میخواهد پرداخت یا فاکتوری را که نمیشناسید بررسی کنید.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
آنچه باید بدانید
حتی میتواند ایمیلهای خصوصی و پیامهای چت را بخواند و برای افراد و مشاغل بسیار خطرناک است.
تسلا اخیراً بارها خبرساز شده است، اما این مشکل جدید به ایلان ماسک یا خودروهای او مرتبط نیست. در عوض، مجرمان سایبری را درگیر می کند که با استفاده از نرم افزار خطرناکی به نام عامل تسلا، سعی در سرقت اطلاعات خصوصی افراد دارند.
در اینجا توضیح واضحی در مورد نحوه عملکرد حمله و آنچه برای ایمن ماندن نیاز دارید آورده شده است.
مهاجمان از ترفندهای هوشمندانه برای انتشار بدافزار استفاده می کنند
محققان واحد 42، تیم امنیتی Palo Alto Networks، یک تهدید آنلاین جدید را گزارش کرده اند. این بار، هکرها ایمیل های جعلی را برای افراد ارسال می کنند و وانمود می کنند که اسناد مهمی مانند فاکتورها یا رسید پرداخت ضمیمه شده است.
هنگامی که شخصی فایل را باز می کند، بی سر و صدا یک اسکریپت مخفی را راه اندازی می کند. سپس این اسکریپت برنامه دومی به نام PowerShell را دانلود می کند که به صورت بی صدا از پوشه موقت رایانه اجرا می شود و تشخیص آن را برای نرم افزار آنتی ویروس بسیار سخت تر می کند.
هنگامی که اسکریپت فعال است، حمله می تواند یکی از دو مسیر مختلف را دنبال کند: یا یک فایل .NET راه اندازی می کند یا یک قطره چکان AutoIt. بسته به اینکه از کدام یک استفاده می شود، انواع مختلفی از برنامه های مضر روی دستگاه قربانی نصب می شود. اگرچه هر مرحله از حمله ساده است، اما در صورت ترکیب، تشخیص و توقف کل فرآیند را دشوارتر می کند.
عامل تسلا چیست؟
یکی از تهدیدهای اصلی این کمپین، عامل تسلا است. عامل تسلا نوعی بدافزار است که به عنوان تروجان دسترسی از راه دور (RAT) شناخته می شود. این به هکرها اجازه می دهد تا به طور مخفیانه به اطلاعات مهم یک دستگاه آلوده دسترسی پیدا کرده و آنها را سرقت کنند. هنگامی که داخل می شود، می تواند جمع شود:
1. نام کاربری و رمز عبور
2. اطلاعات تماس و ارتباط را ایمیل کنید
3. داده های مالی
4. اطلاعات ذخیره شده از مرورگرهای وب
5. اسکرین شات از کامپیوتر کاربر
6. اطلاعات از برنامه های ایمیل
7. سوابق همه چیز تایپ شده (فشار کلید)
حتی میتواند ایمیلهای خصوصی و پیامهای چت را بخواند و برای افراد و مشاغل بسیار خطرناک است.
کمپین حمله مشابه با استفاده از بدافزارهای دیگری مانند Remcos RAT و XLoader نیز مشاهده شد، اما عامل تسلا به دلیل تواناییهای قوی سرقت اطلاعات، بخش عمدهای از عملیات بود.
مراقب ایمیل های ناشناس باشید
از آنجایی که حمله با یک ایمیل ساده شروع می شود، مهم است که محتاط باشید. از باز کردن پیوستهایی که انتظارش را ندارید خودداری کنید، بهخصوص اگر ایمیل از شما میخواهد پرداخت یا فاکتوری را که نمیشناسید بررسی کنید.
🏭 وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
👮🏽♀️هرگونه انتشار و ذکر مطالب بدون ذکر دقیق منبع و آدرس لینک آن ممنوع است.
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه واتس آپ :
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33
گروه تلگرام:
https://t.me/ICSCERT_IR
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
👍1