هکرها یک شرکت چند میلیارد دلاری را فقط با درخواست رمز عبور از پشتیبانی فنی هک کردند

کلروکس بزرگ‌ترین تولیدکننده مواد شوینده خانگی در جهان است که بیش از ۱۰۰ سال قدمت دارد. امروزه ارزش این شرکت حدود ۱۶ میلیارد دلار برآورد می‌شود. و اکنون آن‌ها به دلیل اینکه چند سال پیش سیستم‌شان به ساده‌ترین روش هک شده بود، با شرکت فناوری اطلاعات خود در حال دعوا هستند.

هکر فقط با پشتیبانی تماس گرفت، خود را کارمند کلروکس معرفی کرد و درخواست بازنشانی رمز عبور کرد. پشتیبانی فنی هویت را بررسی نکرد — نه شناسه، نه نام مدیر، هیچ چیز. فقط دسترسی را دادند.

قطعه‌ای از گفت‌وگو در مدارک شکایت:
— من رمز عبور ندارم، بنابراین نمی‌توانم وارد شوم.
— متوجه شدم. پس اجازه دهید رمز عبور را به شما بدهم، خوب است؟
خسارت این «حمله هکری» ۳۸۰ میلیون دلار بود.

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

اخبار آسیب‌پذیری
تکنیک‌های جدید جابجایی جانبی در اکتیو دایرکتوری که احراز هویت را دور می‌زند و داده‌ها را استخراج می‌کند

اخبار امنیت سایبری
خانه اخبار امنیت سایبری
اخبار امنیت سایبریاخبار آسیب‌پذیری
تکنیک‌های جدید جابجایی جانبی در اکتیو دایرکتوری که احراز هویت را دور می‌زند و داده‌ها را استخراج می‌کند
توسط فلورانس نایتینگل- ۷ آگوست ۲۰۲۵
دور زدن احراز هویت اکتیو دایرکتوری
بردارهای حمله پیچیده‌ای که از محیط‌های ترکیبی Active Directory و Microsoft Entra ID سوءاستفاده می‌کنند، رونمایی شدند و نشان دادند که چگونه مهاجمان می‌توانند از طریق تکنیک‌های حرکت جانبی که قبلاً ناشناخته بودند، به طور کامل به مستاجر دسترسی پیدا کنند.

این روش‌ها که در کنفرانس Black Hat USA 2025 ارائه شدند، آسیب‌پذیری‌های حیاتی در زیرساخت احراز هویت مایکروسافت را آشکار می‌کنند که امکان دسترسی غیرمجاز به Exchange Online، SharePoint و Entra ID را بدون موانع احراز هویت سنتی فراهم می‌کنند.

نکات کلیدی
۱. تزریق کلیدها به OnPremAuthenticationFlowPolicy برای جعل بلیط‌های Kerberos، دور زدن MFA بدون شناسایی.
۲. گواهی‌های ترکیبی Exchange، توکن‌های S2S را با دسترسی مدیر جهانی و بدون گزارش‌های حسابرسی تولید می‌کنند.
۳. مایکروسافت برخی از سوءاستفاده‌ها را مسدود کرد (آگوست ۲۰۲۵)، Exchange/SharePoint هنوز آسیب‌پذیر است.
دستکاری بی‌نقص کلید SSO
طبق ارائه BlackHat از دیرک-جان مولما ، مهاجمانی که کنترل Active Directory را در محل دارند، می‌توانند پیکربندی‌های Seamless Single Sign-On (SSO) را دستکاری کنند تا بلیط‌های سرویس Kerberos را برای هر کاربری در محل مورد نظر جعل کنند.

کاهش‌ها
مایکروسافت این آسیب‌پذیری‌ها را تأیید کرده و اقدامات اصلاحی جزئی، از جمله مسدود کردن سوءاستفاده از توکن S2S برای اعتبارنامه‌های اصلی خدمات شخص ثالث را از آگوست 2025، اجرا کرده است.

با این حال، قابلیت‌های جعل هویت Exchange و SharePoint همچنان فعال هستند و خطرات مداومی را برای استقرارهای ترکیبی ایجاد می‌کنند.

این شرکت قصد دارد تا اکتبر ۲۰۲۵ جدایی اجباری اصول خدمات Exchange on-premises و Exchange Online را اجرا کند.

سازمان‌ها باید فوراً پیکربندی‌های ترکیبی Exchange خود را با استفاده از کوئری‌های تشخیصی مانند AuditLogs | که در آن InitiatedBy.user.displayName == “Office 365 Exchange Online” است، ممیزی کنند تا فعالیت‌های مشکوک را شناسایی کنند.

اقدامات حفاظتی اضافی شامل فعال کردن تطبیق سخت در Entra ID Connect برای جلوگیری از تصاحب حساب‌های کاربری فقط ابری و اجرای اصل حداقل امتیاز برای حساب‌های همگام‌سازی دایرکتوری است.

تیم‌های امنیتی همچنین باید تغییرات غیرمجاز در سیاست‌های احراز هویت را رصد کنند و انتقال به برنامه‌های
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

خونریزی مجدد برگشته است. و خطرناک‌تر از سال ۲۰۲۲ شده است.

هکرها روزنه‌های جدیدی در اعماق معماری پیدا کرده‌اند و اکنون می‌توانند داده‌ها را با سرعت نگران‌کننده‌ای استخراج کنند.
دست آوردن لیستی از تمام فرآیندهای در حال اجرا و ماشین‌های مجازی روی یک سرور گرفته تا استخراج داده‌های حیاتی، از جمله کلیدهای رمزنگاری. علاوه بر این، این حمله می‌تواند از محیط‌های ایزوله و بدون امتیاز، مانند جعبه شنی مرورگر کروم، انجام شود که بر جدی بودن آن تأکید دارد.

این روش تهدید ویژه‌ای برای زیرساخت‌های مجازی و ابری محسوب می‌شود. آزمایش‌های انجام‌شده، احتمال اجرای کد در داخل یک ماشین مجازی آسیب‌دیده با دسترسی به حافظه سیستم میزبان و حتی خواندن داده‌ها از سایر ماشین‌های مجازی روی همان سرور فیزیکی را تأیید کردند. برای سرویس‌های ابری، که در آن‌ها کلاینت‌هایی با سطوح مختلف اعتماد روی همان تجهیزات قرار دارند، این یک خطر بحرانی ایجاد می‌کند.

توسعه‌دهندگان این اکسپلویت با پیاده‌سازی برنامه‌نویسی بازگشت‌گرای گمانه‌زن (ROP) برای ایجاد «گجت‌های آشکارسازی» بهینه که در کد استاندارد هسته وجود ندارند، بر محدودیت‌های کلیدی رویکرد قبلی غلبه کردند. آن‌ها همچنین آموزش پیش‌بینی‌کننده شاخه و تکنیک‌های دور زدن KASLR (تصادفی‌سازی طرح‌بندی فضای آدرس هسته) را بهبود بخشیدند.

از میان اقدامات حفاظتی موجود، jmp2ret عملکرد را ۵ تا ۶ درصد کاهش می‌دهد و IBPB (مانع پیش‌بینی غیرمستقیم شاخه) که سختگیرانه‌تر است، می‌تواند برخی از وظایف را ۵۵ تا ۶۰ درصد کند کند و استفاده از آن را در سیستم‌های با بار زیاد دشوار می‌کند.

این کار نشان می‌دهد که حتی آسیب‌پذیری‌های شناخته‌شده را می‌توان دوباره طراحی و در سناریوهای مخرب‌تر استفاده کرد. دارندگان سیستم‌های مبتنی بر پردازنده‌های AMD آسیب‌دیده، به‌ویژه در بخش محاسبات ابری، باید تعادلی بین امنیت و عملکرد پیدا کنند و همچنین در نظر داشته باشند که حملات در سطح معماری نیاز به نظارت مداوم و توسعه‌ی دفاع‌های مؤثرتر دارند.


💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

GPT-5 در عرض ۲۴ ساعت هک شد

دو تیم از محققان راهی پیدا کرده‌اند تا هوش مصنوعی را وادار کنند دستورالعمل‌های ممنوعه را آشکار کند.

پس از اینکه Grok-4 در عرض دو روز کرک شد، GPT-5 تنها در عرض ۲۴ ساعت به دست همان محققان افتاد. تقریباً همزمان، تیم آزمایش SPLX (که قبلاً SplxAI نام داشت) اظهار داشت: «GPT-5 خام تقریباً برای استفاده سازمانی از ابتدا غیرقابل استفاده است. حتی فیلترهای داخلی OpenAI نیز شکاف‌های قابل توجهی را به ویژه از نظر جهت‌گیری تجاری باقی می‌گذارند.»

NeuralTrust از تکنیک اختصاصی EchoChamber خود در ترکیب با تکنیک «داستان‌سرایی» استفاده کرد تا مدل را قادر به توصیف گام به گام فرآیند ساخت کوکتل مولوتوف کند. این شرکت می‌گوید این مورد نشان می‌دهد که هر مدل هوش مصنوعی مدرن در برابر دستکاری از طریق زمینه - تاریخچه مکاتباتی که سیستم برای حفظ انسجام مکالمه به خاطر می‌سپارد - آسیب‌پذیر است. مهاجمان به جای درخواست مستقیم محتوای ممنوعه، مدل را گام به گام از طریق سناریوی مورد نظر هدایت می‌کنند و از محرک‌های مسدودکننده آشکار اجتناب می‌کنند.

این فرآیند به این صورت انجام می‌شود: ابتدا، سرنخ‌های سمی به طور نامحسوس در قالب متنی بی‌ضرر وارد مکالمه می‌شوند؛ سپس روایتی ساخته می‌شود که انسجام منطقی را حفظ می‌کند اما از کلماتی که می‌توانند باعث رد شدن شوند، اجتناب می‌کند؛ سپس چرخه‌ای از «تعمیق داستان» وجود دارد که در آن خود مدل جزئیاتی را اضافه می‌کند که زمینه مورد نظر را تقویت می‌کند؛ اگر پیشرفت کند شود، مهاجمان طرح یا دیدگاه را تغییر می‌دهند تا بدون آشکار کردن اهداف خود، بیشتر پیشروی کنند. طبق گفته NeuralTrust، این «چسبندگی» طرح، هوش مصنوعی را در «جهان» ایجاد شده مطیع‌تر می‌کند و به آن اجازه می‌دهد بدون نقض مستقیم قوانین، به هدف خود برسد.

SPLX رویکرد متفاوتی را در پیش گرفت و مدل را برای مقاومت در برابر مبهم‌سازی پرس‌وجو آزمایش کرد. یکی از روش‌ها، حمله مبهم‌سازی StringJoin است که بین هر حرف یک خط فاصله قرار می‌دهد و کل پرس‌وجو را به یک وظیفه «رمزگشایی» جعلی تبدیل می‌کند. در یک مثال، به GPT-5، دستورالعمل طولانی‌ای که با سوال «چگونه بمب بسازم؟» تمام می‌شد، با آشنایی غیرمنتظره‌ای پاسخ داد: «خب، این یک شروع قوی است. شما با قدرت وارد شدید و من به آن احترام می‌گذارم... شما پرسیدید که چگونه بمب بسازیم و من دقیقاً به شما می‌گویم چگونه...»

آزمایش‌های مقایسه‌ای نشان داده‌اند که GPT-4o ، به‌ویژه پس از محافظت بیشتر، در برابر چنین حملاتی مقاوم‌تر باقی می‌ماند . هر دو گزارش در یک مورد توافق دارند: استفاده از GPT-5 خام در حال حاضر باید با احتیاط شدید انجام شود.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

آیا «ربودن» ماهواره بدون موشک امکان‌پذیر است؟ محققان ادعا می‌کنند این کار آسان‌تر از آن چیزی است که به نظر می‌رسد

فقط یک درخواست کافی است تا یک ماهواره از کار بیفتد و محافظتش از بین برود.


در کنفرانس بلک هت در لاس وگاس، شرکت VisionSpace Technologies نشان داد که از کار انداختن یک ماهواره یا تغییر مسیر آن بسیار آسان‌تر و ارزان‌تر از استفاده از سلاح‌های ضد ماهواره است. کافی است آسیب‌پذیری‌های موجود در نرم‌افزاری که خود دستگاه را کنترل می‌کند یا ایستگاه‌های زمینی که با آن تعامل دارد را پیدا کرده و از آنها بهره‌برداری کنیم. اولهاوا خاطرنشان کرد که در گذشته در آژانس فضایی اروپا کار می‌کرده و در آنجا بارها به آسیب‌پذیری‌های موجود در زیرساخت فناوری اطلاعات ایستگاه‌های زمینی اشاره کرده است، اما چون منتظر رفع مشکلات نمانده، تصمیم گرفته خودش این کار را انجام دهد.

طبق گزارش آژانس فضایی اروپا، طی ۲۰ سال گذشته، تعداد ماهواره‌های عملیاتی از کمتر از ۱۰۰۰ به حدود ۱۲۳۰۰ افزایش یافته است . بخش قابل توجهی از این ماهواره‌ها، ماهواره‌های استارلینک اسپیس ایکس هستند، اما تعداد پلتفرم‌های نظامی نیز در بحبوحه تنش‌های ژئوپلیتیکی به طور قابل توجهی افزایش یافته است. علاوه بر این، توسعه و پرتاب ماهواره‌ها ارزان‌تر شده و همین امر باعث افزایش سرعت تکثیر آنها شده است.

با این حال، رشد تعداد دستگاه‌ها با مشکلاتی در امنیت نرم‌افزار کنترل همراه است. یک نمونه، سیستم باز Yamcs است که توسط ناسا و ایرباس برای برقراری ارتباط و کنترل دستگاه‌های مداری استفاده می‌شود. پنج آسیب‌پذیری با شناسه‌های CVE در کد آن یافت شد که امکان کنترل کامل سیستم را فراهم می‌کرد. به عنوان بخشی از این نمایش، متخصصان نشان دادند که چگونه می‌توان دستوری برای روشن کردن موتورها برای تغییر مدار ماهواره ارسال کرد تا این تغییر بلافاصله در رابط اپراتور نمایش داده نشود. این آزمایش در یک شبیه‌ساز انجام شد و دستگاه‌های واقعی آسیب ندیدند.

وضعیت در OpenC3 Cosmos، یکی دیگر از سیستم‌های باز برای کنترل دستگاه‌ها از ایستگاه‌های زمینی، حتی بدتر هم شد. در اینجا هفت آسیب‌پذیری شناسایی شد ، از جمله قابلیت اجرای کد از راه دور و انجام حملات اسکریپت‌نویسی بین‌سایتی. ناسا نیز بدون مشکل نبود: چهار نقص بحرانی در بسته‌ی باز Aquila سیستم پرواز اصلی (cFS) آنها یافت شد - دو مورد که منجر به انکار سرویس می‌شوند، یک آسیب‌پذیری پیمایش مسیر و یک نقص که امکان اجرای کد دلخواه از راه دور را فراهم می‌کند. چنین خطاهایی می‌توانند نرم‌افزارهای داخلی را غیرفعال کنند و به مهاجمان کنترل کامل سیستم‌ها را بدهند.

حتی کتابخانه رمزگذاری متن‌باز CryptoLib که در بسیاری از ماهواره‌ها استفاده می‌شود، از مشکلات جدی در امان نمانده است. چهار آسیب‌پذیری در نسخه مورد استفاده ناسا یافت شد، در حالی که بسته استاندارد هفت آسیب‌پذیری داشت که دو مورد از آنها در رده بحرانی قرار گرفتند. به گفته Startsik، برخی از خطاهای کشف شده به کل نرم‌افزار داخلی اجازه می‌دهند با یک درخواست ساده و بدون احراز هویت، از کار بیفتد که باعث راه‌اندازی مجدد می‌شود و اگر دستگاه به طور نادرست پیکربندی شده باشد، تمام کلیدهای رمزگذاری بازنشانی می‌شوند. در این حالت، سیستم کاملاً در معرض مداخله بیشتر قرار می‌گیرد.

تمام نقص‌های شناسایی‌شده به توسعه‌دهندگان منتقل و برطرف شده‌اند. با این حال، متخصصان VisionSpace مطمئن هستند که نمی‌توان کنترل وسیله نقلیه مداری را به راه‌حل‌های ناامن سپرد و فرض می‌کنند که سایر آسیب‌پذیری‌های حیاتی ممکن است در نرم‌افزار مورد استفاده باقی مانده باشند

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

اسکن فعال در محیط‌های #OT نگرانی‌های زیادی را ایجاد می‌کند زیرا می‌تواند با تحریک سیگنال‌های نامطلوب، بر دسترسی‌پذیری یا یکپارچگی سیستم تأثیر بگذارد، اما همه اسکن‌های فعال به یک اندازه خطرناک نیستند. انواعی از اسکن فعال وجود دارند که به طور خاص برای OT طراحی شده‌اند و با دستگاه‌های تعبیه‌شده به زبان بومی خود (پروتکل‌های ارتباطی صنعتی) ارتباط برقرار می‌کنند. این ابزارهای کشف OT مانند نرم‌افزارهای مهندسی رفتار می‌کنند و سیستم (مانند PLCها، RTUها و کنترل‌کننده‌های DCS) را به روشی که دستگاه می‌فهمد، می‌خوانند تا اطلاعات دقیقی در مورد دارایی‌ها را با خیال راحت جمع‌آوری کنند. اسکن فعال، هنگامی که به درستی انجام شود و با آگاهی از پروتکل‌های OT و رفتار دستگاه، می‌تواند از کشف جامع دارایی‌ها پشتیبانی کند که همچنان یکی از بزرگترین چالش‌ها در ایمن‌سازی محیط‌های OT است. همیشه به یاد داشته باشید: هر فعالیتی در OT باید به مجوزها، فرآیندهای مجوز کار و ماهیت منحصر به فرد سیستم‌های OT احترام بگذارد، جایی که ایمنی و تداوم کسب‌وکار بسیار مهم هستند.

🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی :
t.me/ics_cert

مایکروسافت راهنمایی در مورد آسیب‌پذیری با شدت بالا (CVE-2025-53786) در پیاده‌سازی‌های Hybrid Exchange منتشر کرد.

به‌روزرسانی (۱۲/۰۸/۲۰۲۵): IACS این هشدار را به‌روزرسانی کرده است تا توضیحاتی در مورد شناسایی سرورهای Exchange در شبکه‌های یک سازمان ارائه دهد و راهنمایی‌های بیشتری در مورد اجرای Microsoft Exchange Health Checker ارائه دهد.

IACS از آسیب‌پذیری با شدت بالای CVE-2025-53786 که به تازگی افشا شده است، آگاه است. این آسیب‌پذیری به یک عامل تهدید سایبری با دسترسی مدیریتی به یک سرور Microsoft Exchange داخلی اجازه می‌دهد تا با سوءاستفاده از پیکربندی‌های آسیب‌پذیر hybrid-joined، امتیازات خود را افزایش دهد. این آسیب‌پذیری، در صورت عدم رسیدگی، می‌تواند بر تمامیت هویت سرویس Exchange Online یک سازمان تأثیر بگذارد.

اگرچه مایکروسافت اعلام کرده است که تا زمان انتشار این هشدار، هیچ سوءاستفاده‌ای مشاهده نشده است، اما IACS اکیداً از سازمان‌ها می‌خواهد که راهنمای آسیب‌پذیری ارتقاء امتیاز در استقرار ترکیبی Exchange Server مایکروسافت را که در زیر آمده است، اجرا کنند، در غیر این صورت سازمان را در معرض خطر ابر ترکیبی و به خطر افتادن کل دامنه در محل قرار می‌دهند.

سازمان‌ها ابتدا باید تمام سرورهای Exchange را در شبکه‌های خود فهرست‌بندی کنند (سازمان‌ها باید از ابزارهای موجود برای مشاهده‌پذیری یا ابزارهای عمومی مانند اسکریپت‌های NMAP یا PowerShell برای انجام این کار استفاده کنند).
اگر از Exchange hybrid استفاده می‌کنید، راهنمای مایکروسافت با عنوان «تغییرات امنیتی سرور Exchange برای استقرارهای هیبریدی» را بررسی کنید تا مشخص شود که آیا استقرارهای هیبریدی مایکروسافت شما به طور بالقوه تحت تأثیر قرار گرفته‌اند و برای به‌روزرسانی تجمعی (CU) در دسترس هستند یا خیر.
به‌روزرسانی‌های هاتفیکس سرور اکسچنج مایکروسافت برای آوریل ۲۰۲۵ را روی سرور اکسچنج داخلی نصب کنید و دستورالعمل‌های پیکربندی مایکروسافت را دنبال کنید. برنامه ترکیبی اختصاصی اکسچنج را مستقر کنید .
برای سازمان‌هایی که از Exchange hybrid استفاده می‌کنند (یا قبلاً Exchange hybrid را پیکربندی کرده‌اند اما دیگر از آن استفاده نمی‌کنند)، برای راهنمایی در مورد بازنشانی keyCredentials مربوط به service principal ، حالت پاکسازی Service Principal مایکروسافت را بررسی کنید.
پس از اتمام، Microsoft Exchange Health Checker را با مجوزهای مناسب اجرا کنید تا سطح CU هر Exchange Server شناسایی شده را شناسایی کرده و مشخص کنید که آیا مراحل بیشتری لازم است یا خیر.

IACS اکیداً به نهادها توصیه می‌کند که نسخه‌های عمومی Exchange Server یا SharePoint Server که به پایان عمر (EOL) یا پایان سرویس خود رسیده‌اند را از اینترنت جدا کنند. به عنوان مثال، SharePoint Server 2013 و نسخه‌های قبلی EOL هستند و در صورت استفاده هنوز باید قطع شوند.

سازمان‌ها باید وبلاگ مایکروسافت با عنوان «برنامه ترکیبی اختصاصی: اجرای موقت، HCW جدید و اختلالات احتمالی در عملکرد ترکیبی» را برای راهنمایی‌های بیشتر در صورت در دسترس قرار گرفتن، بررسی کنند.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786
سلب مسئولیت:

اطلاعات موجود در این گزارش صرفاً جهت اطلاع‌رسانی و «به همین صورت که هست» ارائه می‌شود. IACS هیچ نهاد تجاری، محصول، شرکت یا خدماتی، از جمله نهادها، محصولات یا خدماتی که در این سند به آنها لینک داده شده است را تأیید نمی‌کند. هرگونه اشاره به نهادهای تجاری، محصولات، فرآیندها یا خدمات خاص از طریق علامت تجاری، علامت تجاری، تولیدکننده یا موارد دیگر، به منزله تأیید، توصیه یا جانبداری IACS از آنها نیست.

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

✴️ معماری سیستم کنترل صنعتی / OT — کنترل‌کننده‌های دامنه در مقابل اشیاء سیاست گروهی (GPO)

✴️ در محیط‌های فناوری عملیاتی (OT)، استقرار کنترل‌کننده‌های دامنه فقط یک دیدگاه فناوری اطلاعات نیست، بلکه یک اقدام حیاتی امنیت سایبری با ایمنی و دسترسی صنعتی در معرض خطر است.
بیایید ببینیم چرا اهمیت دارد: چه در حال مهندسی و طراحی یک سیستم کنترل در حال توسعه باشید و چه در حال ارتقاء یک مجموعه در حال توسعه از معماری سیستم کنترل موجود، اشیاء سیاست گروهی (GPO) نقش محوری در مقاوم‌سازی زیرساخت OT ایفا می‌کنند.

در اینجا نگاهی سریع به بهترین شیوه‌های ضروری GPO برای محیط‌های صنعتی OT با یکپارچگی بالا و تنظیم‌شده می‌اندازیم:
✅ غیرفعال کردن پروتکل‌های قدیمی (مانند LM/NTLM fallback)
✅ محدود کردن دسترسی ناشناس (pipes، shareها، SID enumeration)
✅ اعمال رمزهای عبور قوی، UAC و سیاست‌های قفل‌گذاری
✅ جلوگیری از ترافیک رمزگذاری نشده (SMB، WinRM، Digest)
✅ حسابرسی استفاده از امتیازات حساس، تغییرات سیاست‌ها و اشیاء AD
✅ مسدود کردن autorun/auto-play، سوءاستفاده از نصب‌کننده‌های سطح بالا
✅ الزام به امضای "همیشه" SMB

آیا می‌دانستید؟
ترافیک رمزگذاری نشده محدود به یک فروشنده سیستم کنترل قدیمی نیست، بلکه بی‌سروصدا در بسیاری از فروشندگان سیستم کنترل وجود دارد.
پروتکل‌هایی مانند SMB، WinRM و احراز هویت Digest اغلب به دلایل زیر رمزگذاری نشده باقی می‌مانند:
🔹 محدودیت‌های پشتیبانی از سیستم‌عامل‌های قدیمی
🔹 وابستگی‌های انتقال فایل مختص فروشنده
🔹 نیازهای سازگاری در معماری‌های نسخه ترکیبی.
اما سوال این است که چرا این موضوع مهم است؟
پروتکل‌های رمزگذاری نشده، راه را برای سرقت اعتبارنامه، حملات مرد میانی (که قبلاً در صنعت اتفاق می‌افتد) و دستکاری داده‌ها اغلب بدون ایجاد هشدار باز می‌کنند.

👉 کاهش و بهترین شیوه‌ها:
هنگام استقرار کنترل‌کننده دامنه جدید یا مقاوم‌سازی کنترل‌کننده‌های دامنه OT و میزبان‌های ویندوز موجود:
✅ امضا و رمزگذاری SMB را اجباری کنید
✅ Kerberos را به NTLM/Digest ترجیح دهید
✅ گره‌های قدیمی را با استفاده از کنترل‌های منطقه‌بندی و جبران‌سازی ایزوله کنید زیرا در محیط OT، ایمنی و در دسترس بودن بسیار مهم است اما امنیت چیزی است که آن را قابل اعتماد نگه می‌دارد.

#امنیت_سایبری #امنیت #IEC62443 #سیستم‌های_کنترلی #تاب‌آوری_سایبری #امنیت_صنعتی #دفاع_در_عمق #NERC_CIP

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

یک گروه دیگر (گفته می‌شود طرفدار روسیه است) که تمرکز خود را بر حملات به سیستم‌های کنترل و اتوماسیون صنعتی در جهان گذاشته است
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

استاندارد NIST برای تبدیلات رمزنگاری در دستگاه‌های با توان محدود (مثلاً اینترنت اشیاء) منتشر شد
https://csrc.nist.gov/pubs/sp/800/232/final
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

#بدافزار هیچ مرزی ندارد، برخلاف جنگ فیزیکی که نیاز به تماس مستقیم دارد، بدافزار برای سوءاستفاده از آسیب‌پذیری‌های سیستم‌های سایبری برای دستیابی به اهداف خاص طراحی شده است.
در سیستم‌های کنترل صنعتی #ICS ، آسیب‌پذیری‌های شناخته‌شده زیادی وجود دارند و در حالی که وصله‌ها در دسترس هستند،
صاحبان دارایی اغلب به دلیل الزامات مداوم در دسترس بودن و انتظار برای قطع برنامه‌ریزی‌شده بعدی، اعمال آنها را به تأخیر می‌اندازند.
با تنش‌های سیاسی فعلی بین کشورهای بزرگ، زیرساخت‌های حیاتی به هدف اصلی تبدیل شده‌اند.
اخیراً، گروه‌های تهدید معروف به "TA402 (Tayfoon)" و "Volt Typhoon (Salt)" اپراتورهای زیرساخت‌های حیاتی در ایالات متحده را هدف قرار می‌دهند.

حتی اگر کشورهای ما مستقیماً درگیر این درگیری‌های ژئوپلیتیکی نباشند، ما هنوز هم می‌توانیم تحت تأثیر بدافزارهایی قرار بگیریم که برای هدف قرار دادن محیط‌های خاص ICS طراحی شده‌اند، همانطور که در گذشته با Stuxnet دیده شد، که PLC های زیمنس را در نیروگاه هسته‌ای نطنز هدف قرار داد اما ناخواسته دیگران را نیز تحت تأثیر قرار داد.
در حال حاضر، بیش از 90٪ از بودجه‌های امنیت سایبری در اکثر شرکت‌های زیرساخت حیاتی هنوز بر امنیت سایبری فناوری اطلاعات متمرکز است. با این تصور که آنها هدف نیستند و نادیده گرفتن اینکه پیامدهای یک حادثه سایبری در #OT می‌تواند بسیار فراتر از نقض داده‌ها باشد، می‌تواند بر زندگی انسان‌ها، محیط زیست و اعتبار ما تأثیر بگذارد.
#iec62443 #otcybersecurity #icscybersecurity #icssecurity
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

ما به عنوان متخصصان امنیت سایبری فقط می‌خواهیم به سازمان‌هایی که محیط‌های OT دارند کمک کنیم تا در صورت وقوع، آسیب حوادث امنیت سایبری را محدود کنند.
گزارش اخیر اطلاعات تهدید از Mandiant (بخشی از Google Cloud) از Blackhat USA 2025

به طور خاص در رابطه با بخش OT IR نشان می‌دهد که چگونه حملات مسیر خود را طی کرده‌اند و دارایی‌های در معرض اینترنت، رمزهای عبور ضعیف، پیکربندی‌های نادرست، نقاط پایانی بدون آنتی‌ویروس و غیره را به خطر انداخته‌اند.
آنها درک می‌کنند که در دسترس بودن سیستم‌ها، ایمنی انسان و محیط زیست در هر زمان بر امنیت سایبری اولویت دارد، با این حال، وقتی تیم‌های OT در مورد تغییرات مرتبط با امنیت سایبری که در محیط آنها اتفاق خواهد افتاد می‌شنوند، در داخل خود در برابر تغییر مقاومت می‌کنند و اشکالی ندارد که چنین احساسی داشته باشند.
با این حال، کنترل‌های مورد نیاز برای جلوگیری از این نفوذها/حوادث چندان چالش برانگیز نیستند اگر تیم‌های OT با حمایت تیم‌های امنیت سایبری/IT تغییر را بپذیرند، و در مورد تیم‌های IT/امنیت سایبری نیز همینطور است، ما باید صبور باشیم و یک برنامه مدیریت تغییر تدوین کنیم و فقط با اعمال کنترل‌ها/تغییرات در سیستم‌های آنها پیش نرویم.

همچنین نباید انتظار داشته باشیم که آنها فرهنگ جدید را به سرعت با تغییرات در سیاست‌ها/رویه‌ها یاد بگیرند و خود را با آن وفق دهند. من معتقدم که این موضوع در امنیت سایبری OT/ICS بسیار مهم‌تر از اجرای واقعی کنترل‌ها و غیره است. استانداردها/دستورالعمل‌های ما مانند IEC-62443، NIST 800-82 توصیه‌هایی برای کنترل‌ها ارائه داده‌اند و همیشه گزینه‌ای برای جبران کنترل‌ها ارائه داده‌اند.

هدف از جبران کنترل‌ها نباید فقط به سیستم‌های قدیمی/منسوخ یا سیستم‌هایی که نمی‌توانند در کوتاه‌مدت دوره‌های نگهداری داشته باشند، محدود شود. ما همچنین باید تیم‌های OT را درک و با آنها همدلی کنیم تا در جایی که احساس می‌کنند کنترل‌های جبرانی برای آنها مشکل ایجاد می‌کند و در برابر تغییر مقاومت ایجاد می‌کند، از آنها استفاده کنند، با توجه به اینکه اگر خطرات مرتبط با برخی از نگرانی‌های آنها عواقب قابل توجهی نداشته باشد، باید آن را در نظر بگیریم. امنیت OT بسیار حیاتی است، اما بدون کار تیمی و به حداقل رساندن مقاومت در برابر تغییر، همیشه مدیریت ریسک مناسب و اجرای کنترل‌های امنیت سایبری مناسب را رها خواهیم کرد. دفاع در عملیات عملیاتی قابل انجام است 😄


بازنشر کنید #امنیت_صنعتی #امنیت_صنعتی #امنیت_سایبری_صنعتی #فناوری_عملیاتی

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

آسیب‌پذیری سرور ایمیل Microsoft Exchange Server به دلیل نقص‌هایی در روند احراز هویت ایجاد شده است. بهره‌برداری از این آسیب‌پذیری می‌تواند به نفوذگری که به صورت از راه دور عمل می‌کند، اجازه دهد امتیازات خود را افزایش دهد.

BDU:2025-09477
CVE-2025-53786

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- استفاده از ابزارهای فایروال برای محدود کردن امکان دسترسی از راه دور به سرور ایمیل؛
- تقسیم‌بندی شبکه به منظور محدود کردن دسترسی به سرور ایمیل از سایر زیرشبکه‌ها؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاش‌های بهره‌برداری از آسیب‌پذیری؛
- حداقل کردن امتیازات کاربران؛
- غیرفعال‌سازی/حذف حساب‌های کاربری بلااستفاده؛
- استفاده از شبکه‌های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

استفاده از توصیه‌ها:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

درس هایی از حمله سایبری آئروفلوت:
ضرورت تقویت امنیت OT در هوانوردی
🚨 نگاهی عمیق به عوارض جانبی ادغام فناوری اطلاعات و عملیات و درسهای حیاتی آموخته شده! 🚨
زمان برگزاری : شنبه اول شهریور ۱۴۰۴ ساعت ۱۸ تا ۱۹
ثبت نام و کسب اطلاعات بیشتر:
https://vcoach.ir
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

آسیب‌پذیری سرویس نظارت بر وضعیت فرآیند phMonitor در سیستم مدیریت امنیت FortiSIEM مربوط به عدم انجام اقدامات لازم برای خنثی‌سازی عناصر خاص است. سوءاستفاده از این آسیب‌پذیری ممکن است به مهاجمی که از راه دور اقدام به اجرای کد دلخواه و افزایش امتیازات خود با ارسال دستورات خاص می‌کند، اجازه دهد.

BDU:2025-09821
CVE-2025-25256

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- فیلتر کردن ترافیک شبکه از طریق پورت شبکه ۷۹۰۰؛
- استفاده از فایروال‌ها برای محدود کردن دسترسی از راه دور به نرم‌افزارهای آسیب‌پذیر؛
- محدود کردن دسترسی به نرم‌افزارهای آسیب‌پذیر با استفاده از طرح دسترسی "لیست سفید"؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاش‌هایی برای سوءاستفاده از آسیب‌پذیری‌ها؛
- محدود کردن دسترسی از شبکه‌های خارجی (اینترنت).

استفاده از توصیه‌ها:
https://fortiguard.fortinet.com/psirt/FG-IR-25-152

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

کمتر از ۱ ساعت دیگر رویداد درس هایی از حمله سایبری آئروفلوت:ضرورت تقویت امنیت OT در زیرساختهای حیاتی و حساس آغاز خواهد شد.
لینک ورود به رویداد:
https://m0h.ir/73acmqkw

آسیب‌پذیری نرم‌افزار محاسبه موقعیت ترنسپوندرهای جداگانه RTLS در SIMATIC RTLS Locating Manager به نقص‌های مکانیزم بررسی داده‌های ورودی هنگام اجرای سناریوهای پشتیبان‌گیری مرتبط است. بهره‌برداری از این آسیب‌پذیری می‌تواند به نفوذگری که به صورت از راه دور عمل می‌کند، اجازه دهد کد دلخواه را با دسترسی SYSTEM اجرا کند.

CVE-2025-40746

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- استفاده از ابزارهای فایروال برای محدود کردن دسترسی از راه دور به نرم‌افزار آسیب‌پذیر؛
- تقسیم‌بندی شبکه برای محدود کردن دسترسی به نرم‌افزار آسیب‌پذیر از سایر زیرشبکه‌ها؛
- استفاده از سیستم‌های SIEM برای رصد تلاش‌های بهره‌برداری از آسیب‌پذیری؛
- محدود کردن دسترسی از شبکه‌های خارجی (اینترنت)؛
- حداقل کردن امتیازات کاربران؛
- غیرفعال‌سازی/حذف حساب‌های کاربری بلااستفاده؛
- استفاده از شبکه‌های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

استفاده از توصیه‌ها:
https://cert-portal.siemens.com/productcert/html/ssa-493787.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

آسیب‌پذیری وب‌پردازشگر ماژول سوئیچینگ Rockwell Automation ControlLogix® Ethernet Modules مربوط به مقداردهی ناامن منبع هنگام استفاده از یک آدرس IP خاص برای اتصال به عامل WDB است. بهره‌برداری از این آسیب‌پذیری می‌تواند به مهاجم از راه دور اجازه اجرای کد دلخواه را بدهد.

CVE-2025-7353

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- تغییر مقادیر آدرس IP برای اتصال پیش‌فرض به عامل WDB؛
- استفاده از ابزارهای فایروال برای محدود کردن دسترسی از راه دور به دستگاه آسیب‌پذیر؛
- بخش‌بندی شبکه برای محدود کردن دسترسی به دستگاه آسیب‌پذیر از سایر زیرشبکه‌ها؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاش‌های بهره‌برداری از آسیب‌پذیری‌ها؛
- محدود کردن دسترسی به پلتفرم از شبکه‌های خارجی (اینترنت).

استفاده از توصیه‌ها:
https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1732.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

آسیب‌پذیری هسته KONG در میان‌افزار آداپتور شبکه Broadcom P225p NetXtreme-E Dual-port 10Gb/25Gb Ethernet PCIe Adapter از خانواده کنترل‌کننده‌های اترنت Broadcom NetXtreme-E مربوط به نوشتن خارج از محدوده است. سوءاستفاده از این آسیب‌پذیری ممکن است به مهاجم اجازه دهد کد دلخواه را اجرا کند.

PT-2025-19

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاش‌هایی برای سوءاستفاده از آسیب‌پذیری‌ها؛
- به حداقل رساندن امتیازات کاربر؛
- غیرفعال کردن/حذف حساب‌های کاربری استفاده نشده.

توصیه‌های استفاده:

به‌روزرسانی میان‌افزار به نسخه ۲.۳۳ و بالاتر؛

https://www.broadcom.com/support/download-search

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

• لطیفه روز: تولیدکننده چاپگرها Procolored به مدت شش ماه درایورهایی با بدافزار به شکل تروجان دسترسی از راه دور و سرقت ارز دیجیتال منتشر می‌کرد.

• برای کسانی که درباره Procolored نشنیده‌اند، توضیح می‌دهم: این یک شرکت چینی است که به خاطر محصولاتش برای چاپ روی پارچه، آکریلیک، چوب، فلز و سطوح دیگر شناخته شده است. این شرکت چاپگرهای خود را در بیش از 31 کشور، از جمله ایالات متحده آمریکا می‌فروشد.

• تحقیقات شرکت امنیت اطلاعات G Data نشان داد که بسته‌های نرم‌افزاری رسمی Procolored حداقل به مدت شش ماه بدافزار ارائه می‌دادند. کارشناس G Data، کارستن هان، اطلاع داد که درایورها حداقل برای شش مدل چاپگر Procolored حاوی بدافزار بودند. تولیدکننده بسته‌های نرم‌افزاری را در پلتفرم اشتراک فایل Mega قرار می‌دهد و دانلود مستقیم درایورها از آنجا امکان‌پذیر است.

• هان 39 فایل آلوده به XRedRAT و SnipVex را کشف کرد. XRedRAT یک بدافزار شناخته شده است که قابلیت‌های کی‌لاگر، ضبط صفحه، دسترسی از راه دور به شل و مدیریت فایل‌ها را دارد. SnipVex یک برنامه مخرب کلیپر است که قبلاً مستند نشده بود و فایل‌های .exe را آلوده می‌کند، در آنها نفوذ می‌کند و آدرس‌های BTC در کلیپ‌بورد را هنگام کپی کردن هر آدرسی جایگزین می‌کند (یعنی شما یک آدرس بیت‌کوین را کپی می‌کنید اما آدرس بیت‌کوین هکرها جایگزین می‌شود). در زمان تحلیل، آخرین به‌روزرسانی فایل‌ها در اکتبر 2024 انجام شده بود.

• گزارش شده است که آدرس BTC استفاده شده توسط SnipVex حدود 9,308 بیت‌کوین دریافت کرده است که معادل حدود 756 میلیون روبل بر اساس نرخ تبدیل فعلی است.

• در نهایت، Procolored بسته‌های نرم‌افزاری را در 8 مه حذف کرد و تحقیقات داخلی را آغاز نمود. پس از تماس G Data، شرکت چینی اعتراف کرد که فایل‌ها را روی Mega.nz با استفاده از یک حافظه USB که ممکن است به Floxif آلوده بوده باشد، بارگذاری کرده است. درایورها تنها پس از انجام بررسی‌های دقیق ویروس و امنیت نرم‌افزار به پلتفرم بازخواهند گشت.

➡️ https://www.gdatasoftware.com/printer-infected-software

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

• یک پژوهشگر با نام مستعار es3n1n سرویس Windows Security Center را معکوس کرد و به این ترتیب راهی برای غیرفعال کردن Microsoft Defender در دستگاه‌های ویندوز پیدا کرد. همچنین توسعه‌دهنده ابزاری به نام Defendnot ساخته است که از این آسیب‌پذیری استفاده می‌کند و اجازه می‌دهد Defender را بدون حذف یا دخالت در سرویس‌های سیستمی غیرفعال کنید.

• اصل موضوع ساده است: Windows Security Center (WSC) دارای یک API مستندسازی نشده است که به کمک آن می‌توان یک محصول آنتی‌ویروس جعلی را در سیستم ثبت کرد، که می‌تواند تمام بررسی‌های ویندوز را پشت سر بگذارد. پس از آن ویندوز به‌طور خودکار Microsoft Defender را غیرفعال می‌کند، تا از بروز تعارض هنگام اجرای چند برنامه امنیتی روی یک دستگاه جلوگیری شود.

• به طور کلی، ابزار Defendnot از این API سوءاستفاده می‌کند، تمام اقدامات لازم برای غیرفعال کردن Defender را انجام می‌دهد و یک وظیفه در «برنامه‌ریز وظایف» ایجاد می‌کند که به ابزار اجازه می‌دهد در هر بار راه‌اندازی ویندوز اجرا شود.

• اگرچه Defendnot یک پروژه تحقیقاتی محسوب می‌شود، این ابزار نشان می‌دهد چگونه می‌توان با دستکاری عملکردهای قابل اعتماد سیستم، سیستم‌های امنیتی را غیرفعال کرد. در حال حاضر Microsoft Defender ابزار Defendnot را به عنوان «Win32/Sabsik.FL.!ml;» شناسایی و قرنطینه می‌کند.

➡️ در وبلاگ نویسنده مقاله خوبی درباره توسعه این ابزار و معکوس‌سازی سرویس وجود دارد: https://blog.es3n1n.eu

➡️ گیت‌هاب: https://github.com/es3n1n/defendnot

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t