استاندارد NIST برای تبدیلات رمزنگاری در دستگاه‌های با توان محدود (مثلاً اینترنت اشیاء) منتشر شد
https://csrc.nist.gov/pubs/sp/800/232/final
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

#بدافزار هیچ مرزی ندارد، برخلاف جنگ فیزیکی که نیاز به تماس مستقیم دارد، بدافزار برای سوءاستفاده از آسیب‌پذیری‌های سیستم‌های سایبری برای دستیابی به اهداف خاص طراحی شده است.
در سیستم‌های کنترل صنعتی #ICS ، آسیب‌پذیری‌های شناخته‌شده زیادی وجود دارند و در حالی که وصله‌ها در دسترس هستند،
صاحبان دارایی اغلب به دلیل الزامات مداوم در دسترس بودن و انتظار برای قطع برنامه‌ریزی‌شده بعدی، اعمال آنها را به تأخیر می‌اندازند.
با تنش‌های سیاسی فعلی بین کشورهای بزرگ، زیرساخت‌های حیاتی به هدف اصلی تبدیل شده‌اند.
اخیراً، گروه‌های تهدید معروف به "TA402 (Tayfoon)" و "Volt Typhoon (Salt)" اپراتورهای زیرساخت‌های حیاتی در ایالات متحده را هدف قرار می‌دهند.

حتی اگر کشورهای ما مستقیماً درگیر این درگیری‌های ژئوپلیتیکی نباشند، ما هنوز هم می‌توانیم تحت تأثیر بدافزارهایی قرار بگیریم که برای هدف قرار دادن محیط‌های خاص ICS طراحی شده‌اند، همانطور که در گذشته با Stuxnet دیده شد، که PLC های زیمنس را در نیروگاه هسته‌ای نطنز هدف قرار داد اما ناخواسته دیگران را نیز تحت تأثیر قرار داد.
در حال حاضر، بیش از 90٪ از بودجه‌های امنیت سایبری در اکثر شرکت‌های زیرساخت حیاتی هنوز بر امنیت سایبری فناوری اطلاعات متمرکز است. با این تصور که آنها هدف نیستند و نادیده گرفتن اینکه پیامدهای یک حادثه سایبری در #OT می‌تواند بسیار فراتر از نقض داده‌ها باشد، می‌تواند بر زندگی انسان‌ها، محیط زیست و اعتبار ما تأثیر بگذارد.
#iec62443 #otcybersecurity #icscybersecurity #icssecurity
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

ما به عنوان متخصصان امنیت سایبری فقط می‌خواهیم به سازمان‌هایی که محیط‌های OT دارند کمک کنیم تا در صورت وقوع، آسیب حوادث امنیت سایبری را محدود کنند.
گزارش اخیر اطلاعات تهدید از Mandiant (بخشی از Google Cloud) از Blackhat USA 2025

به طور خاص در رابطه با بخش OT IR نشان می‌دهد که چگونه حملات مسیر خود را طی کرده‌اند و دارایی‌های در معرض اینترنت، رمزهای عبور ضعیف، پیکربندی‌های نادرست، نقاط پایانی بدون آنتی‌ویروس و غیره را به خطر انداخته‌اند.
آنها درک می‌کنند که در دسترس بودن سیستم‌ها، ایمنی انسان و محیط زیست در هر زمان بر امنیت سایبری اولویت دارد، با این حال، وقتی تیم‌های OT در مورد تغییرات مرتبط با امنیت سایبری که در محیط آنها اتفاق خواهد افتاد می‌شنوند، در داخل خود در برابر تغییر مقاومت می‌کنند و اشکالی ندارد که چنین احساسی داشته باشند.
با این حال، کنترل‌های مورد نیاز برای جلوگیری از این نفوذها/حوادث چندان چالش برانگیز نیستند اگر تیم‌های OT با حمایت تیم‌های امنیت سایبری/IT تغییر را بپذیرند، و در مورد تیم‌های IT/امنیت سایبری نیز همینطور است، ما باید صبور باشیم و یک برنامه مدیریت تغییر تدوین کنیم و فقط با اعمال کنترل‌ها/تغییرات در سیستم‌های آنها پیش نرویم.

همچنین نباید انتظار داشته باشیم که آنها فرهنگ جدید را به سرعت با تغییرات در سیاست‌ها/رویه‌ها یاد بگیرند و خود را با آن وفق دهند. من معتقدم که این موضوع در امنیت سایبری OT/ICS بسیار مهم‌تر از اجرای واقعی کنترل‌ها و غیره است. استانداردها/دستورالعمل‌های ما مانند IEC-62443، NIST 800-82 توصیه‌هایی برای کنترل‌ها ارائه داده‌اند و همیشه گزینه‌ای برای جبران کنترل‌ها ارائه داده‌اند.

هدف از جبران کنترل‌ها نباید فقط به سیستم‌های قدیمی/منسوخ یا سیستم‌هایی که نمی‌توانند در کوتاه‌مدت دوره‌های نگهداری داشته باشند، محدود شود. ما همچنین باید تیم‌های OT را درک و با آنها همدلی کنیم تا در جایی که احساس می‌کنند کنترل‌های جبرانی برای آنها مشکل ایجاد می‌کند و در برابر تغییر مقاومت ایجاد می‌کند، از آنها استفاده کنند، با توجه به اینکه اگر خطرات مرتبط با برخی از نگرانی‌های آنها عواقب قابل توجهی نداشته باشد، باید آن را در نظر بگیریم. امنیت OT بسیار حیاتی است، اما بدون کار تیمی و به حداقل رساندن مقاومت در برابر تغییر، همیشه مدیریت ریسک مناسب و اجرای کنترل‌های امنیت سایبری مناسب را رها خواهیم کرد. دفاع در عملیات عملیاتی قابل انجام است 😄


بازنشر کنید #امنیت_صنعتی #امنیت_صنعتی #امنیت_سایبری_صنعتی #فناوری_عملیاتی

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

آسیب‌پذیری سرور ایمیل Microsoft Exchange Server به دلیل نقص‌هایی در روند احراز هویت ایجاد شده است. بهره‌برداری از این آسیب‌پذیری می‌تواند به نفوذگری که به صورت از راه دور عمل می‌کند، اجازه دهد امتیازات خود را افزایش دهد.

BDU:2025-09477
CVE-2025-53786

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- استفاده از ابزارهای فایروال برای محدود کردن امکان دسترسی از راه دور به سرور ایمیل؛
- تقسیم‌بندی شبکه به منظور محدود کردن دسترسی به سرور ایمیل از سایر زیرشبکه‌ها؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاش‌های بهره‌برداری از آسیب‌پذیری؛
- حداقل کردن امتیازات کاربران؛
- غیرفعال‌سازی/حذف حساب‌های کاربری بلااستفاده؛
- استفاده از شبکه‌های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

استفاده از توصیه‌ها:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2

درس هایی از حمله سایبری آئروفلوت:
ضرورت تقویت امنیت OT در هوانوردی
🚨 نگاهی عمیق به عوارض جانبی ادغام فناوری اطلاعات و عملیات و درسهای حیاتی آموخته شده! 🚨
زمان برگزاری : شنبه اول شهریور ۱۴۰۴ ساعت ۱۸ تا ۱۹
ثبت نام و کسب اطلاعات بیشتر:
https://vcoach.ir
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

آسیب‌پذیری سرویس نظارت بر وضعیت فرآیند phMonitor در سیستم مدیریت امنیت FortiSIEM مربوط به عدم انجام اقدامات لازم برای خنثی‌سازی عناصر خاص است. سوءاستفاده از این آسیب‌پذیری ممکن است به مهاجمی که از راه دور اقدام به اجرای کد دلخواه و افزایش امتیازات خود با ارسال دستورات خاص می‌کند، اجازه دهد.

BDU:2025-09821
CVE-2025-25256

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- فیلتر کردن ترافیک شبکه از طریق پورت شبکه ۷۹۰۰؛
- استفاده از فایروال‌ها برای محدود کردن دسترسی از راه دور به نرم‌افزارهای آسیب‌پذیر؛
- محدود کردن دسترسی به نرم‌افزارهای آسیب‌پذیر با استفاده از طرح دسترسی "لیست سفید"؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاش‌هایی برای سوءاستفاده از آسیب‌پذیری‌ها؛
- محدود کردن دسترسی از شبکه‌های خارجی (اینترنت).

استفاده از توصیه‌ها:
https://fortiguard.fortinet.com/psirt/FG-IR-25-152

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

کمتر از ۱ ساعت دیگر رویداد درس هایی از حمله سایبری آئروفلوت:ضرورت تقویت امنیت OT در زیرساختهای حیاتی و حساس آغاز خواهد شد.
لینک ورود به رویداد:
https://m0h.ir/73acmqkw

آسیب‌پذیری نرم‌افزار محاسبه موقعیت ترنسپوندرهای جداگانه RTLS در SIMATIC RTLS Locating Manager به نقص‌های مکانیزم بررسی داده‌های ورودی هنگام اجرای سناریوهای پشتیبان‌گیری مرتبط است. بهره‌برداری از این آسیب‌پذیری می‌تواند به نفوذگری که به صورت از راه دور عمل می‌کند، اجازه دهد کد دلخواه را با دسترسی SYSTEM اجرا کند.

CVE-2025-40746

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- استفاده از ابزارهای فایروال برای محدود کردن دسترسی از راه دور به نرم‌افزار آسیب‌پذیر؛
- تقسیم‌بندی شبکه برای محدود کردن دسترسی به نرم‌افزار آسیب‌پذیر از سایر زیرشبکه‌ها؛
- استفاده از سیستم‌های SIEM برای رصد تلاش‌های بهره‌برداری از آسیب‌پذیری؛
- محدود کردن دسترسی از شبکه‌های خارجی (اینترنت)؛
- حداقل کردن امتیازات کاربران؛
- غیرفعال‌سازی/حذف حساب‌های کاربری بلااستفاده؛
- استفاده از شبکه‌های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

استفاده از توصیه‌ها:
https://cert-portal.siemens.com/productcert/html/ssa-493787.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

آسیب‌پذیری وب‌پردازشگر ماژول سوئیچینگ Rockwell Automation ControlLogix® Ethernet Modules مربوط به مقداردهی ناامن منبع هنگام استفاده از یک آدرس IP خاص برای اتصال به عامل WDB است. بهره‌برداری از این آسیب‌پذیری می‌تواند به مهاجم از راه دور اجازه اجرای کد دلخواه را بدهد.

CVE-2025-7353

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- تغییر مقادیر آدرس IP برای اتصال پیش‌فرض به عامل WDB؛
- استفاده از ابزارهای فایروال برای محدود کردن دسترسی از راه دور به دستگاه آسیب‌پذیر؛
- بخش‌بندی شبکه برای محدود کردن دسترسی به دستگاه آسیب‌پذیر از سایر زیرشبکه‌ها؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاش‌های بهره‌برداری از آسیب‌پذیری‌ها؛
- محدود کردن دسترسی به پلتفرم از شبکه‌های خارجی (اینترنت).

استفاده از توصیه‌ها:
https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1732.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

آسیب‌پذیری هسته KONG در میان‌افزار آداپتور شبکه Broadcom P225p NetXtreme-E Dual-port 10Gb/25Gb Ethernet PCIe Adapter از خانواده کنترل‌کننده‌های اترنت Broadcom NetXtreme-E مربوط به نوشتن خارج از محدوده است. سوءاستفاده از این آسیب‌پذیری ممکن است به مهاجم اجازه دهد کد دلخواه را اجرا کند.

PT-2025-19

نصب به‌روزرسانی‌ها از منابع معتبر. توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری را تنها پس از ارزیابی تمام خطرات مرتبط نصب کنید.

اقدامات جبرانی:
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاش‌هایی برای سوءاستفاده از آسیب‌پذیری‌ها؛
- به حداقل رساندن امتیازات کاربر؛
- غیرفعال کردن/حذف حساب‌های کاربری استفاده نشده.

توصیه‌های استفاده:

به‌روزرسانی میان‌افزار به نسخه ۲.۳۳ و بالاتر؛

https://www.broadcom.com/support/download-search

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

• لطیفه روز: تولیدکننده چاپگرها Procolored به مدت شش ماه درایورهایی با بدافزار به شکل تروجان دسترسی از راه دور و سرقت ارز دیجیتال منتشر می‌کرد.

• برای کسانی که درباره Procolored نشنیده‌اند، توضیح می‌دهم: این یک شرکت چینی است که به خاطر محصولاتش برای چاپ روی پارچه، آکریلیک، چوب، فلز و سطوح دیگر شناخته شده است. این شرکت چاپگرهای خود را در بیش از 31 کشور، از جمله ایالات متحده آمریکا می‌فروشد.

• تحقیقات شرکت امنیت اطلاعات G Data نشان داد که بسته‌های نرم‌افزاری رسمی Procolored حداقل به مدت شش ماه بدافزار ارائه می‌دادند. کارشناس G Data، کارستن هان، اطلاع داد که درایورها حداقل برای شش مدل چاپگر Procolored حاوی بدافزار بودند. تولیدکننده بسته‌های نرم‌افزاری را در پلتفرم اشتراک فایل Mega قرار می‌دهد و دانلود مستقیم درایورها از آنجا امکان‌پذیر است.

• هان 39 فایل آلوده به XRedRAT و SnipVex را کشف کرد. XRedRAT یک بدافزار شناخته شده است که قابلیت‌های کی‌لاگر، ضبط صفحه، دسترسی از راه دور به شل و مدیریت فایل‌ها را دارد. SnipVex یک برنامه مخرب کلیپر است که قبلاً مستند نشده بود و فایل‌های .exe را آلوده می‌کند، در آنها نفوذ می‌کند و آدرس‌های BTC در کلیپ‌بورد را هنگام کپی کردن هر آدرسی جایگزین می‌کند (یعنی شما یک آدرس بیت‌کوین را کپی می‌کنید اما آدرس بیت‌کوین هکرها جایگزین می‌شود). در زمان تحلیل، آخرین به‌روزرسانی فایل‌ها در اکتبر 2024 انجام شده بود.

• گزارش شده است که آدرس BTC استفاده شده توسط SnipVex حدود 9,308 بیت‌کوین دریافت کرده است که معادل حدود 756 میلیون روبل بر اساس نرخ تبدیل فعلی است.

• در نهایت، Procolored بسته‌های نرم‌افزاری را در 8 مه حذف کرد و تحقیقات داخلی را آغاز نمود. پس از تماس G Data، شرکت چینی اعتراف کرد که فایل‌ها را روی Mega.nz با استفاده از یک حافظه USB که ممکن است به Floxif آلوده بوده باشد، بارگذاری کرده است. درایورها تنها پس از انجام بررسی‌های دقیق ویروس و امنیت نرم‌افزار به پلتفرم بازخواهند گشت.

➡️ https://www.gdatasoftware.com/printer-infected-software

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

• یک پژوهشگر با نام مستعار es3n1n سرویس Windows Security Center را معکوس کرد و به این ترتیب راهی برای غیرفعال کردن Microsoft Defender در دستگاه‌های ویندوز پیدا کرد. همچنین توسعه‌دهنده ابزاری به نام Defendnot ساخته است که از این آسیب‌پذیری استفاده می‌کند و اجازه می‌دهد Defender را بدون حذف یا دخالت در سرویس‌های سیستمی غیرفعال کنید.

• اصل موضوع ساده است: Windows Security Center (WSC) دارای یک API مستندسازی نشده است که به کمک آن می‌توان یک محصول آنتی‌ویروس جعلی را در سیستم ثبت کرد، که می‌تواند تمام بررسی‌های ویندوز را پشت سر بگذارد. پس از آن ویندوز به‌طور خودکار Microsoft Defender را غیرفعال می‌کند، تا از بروز تعارض هنگام اجرای چند برنامه امنیتی روی یک دستگاه جلوگیری شود.

• به طور کلی، ابزار Defendnot از این API سوءاستفاده می‌کند، تمام اقدامات لازم برای غیرفعال کردن Defender را انجام می‌دهد و یک وظیفه در «برنامه‌ریز وظایف» ایجاد می‌کند که به ابزار اجازه می‌دهد در هر بار راه‌اندازی ویندوز اجرا شود.

• اگرچه Defendnot یک پروژه تحقیقاتی محسوب می‌شود، این ابزار نشان می‌دهد چگونه می‌توان با دستکاری عملکردهای قابل اعتماد سیستم، سیستم‌های امنیتی را غیرفعال کرد. در حال حاضر Microsoft Defender ابزار Defendnot را به عنوان «Win32/Sabsik.FL.!ml;» شناسایی و قرنطینه می‌کند.

➡️ در وبلاگ نویسنده مقاله خوبی درباره توسعه این ابزار و معکوس‌سازی سرویس وجود دارد: https://blog.es3n1n.eu

➡️ گیت‌هاب: https://github.com/es3n1n/defendnot

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

🪙 استخراج‌کنندگان و آلودگی کانتینرها از طریق APIهای باز Docker.

• حملات به کانتینرها به اندازه سیستم‌های دیگر رایج نیست، اما این موضوع آن‌ها را کمتر خطرناک نمی‌کند. در این مقاله یک طرح جالب شرح داده شده است که در آن محیط کانتینریزه شده با ترکیبی از استخراج‌کننده شناخته‌شده قبلی و نرم‌افزار مخرب جدید به خطر افتاده است، که امکان ایجاد کانتینرهای آلوده جدید و آلوده کردن کانتینرهای موجود را فراهم کرده است. هر دو مؤلفه مخرب بدون استفاده از سرور فرماندهی منتشر می‌شوند، که هر شبکه‌ای با زیرساخت کانتینریزه شده و API باز و ناامن Docker را در معرض خطر قرار می‌دهد.

• به گفته تحلیل Shodan، در آوریل ۲۰۲۵ در سراسر جهان ۵۲۰ API Docker که روی پورت ۲۳۷۵ منتشر شده بودند، برای دسترسی از اینترنت باز بودند. این اطلاعات نمایی از پتانسیل مخرب این تهدید را به ما می‌دهد و بر ضرورت نظارت دقیق بر کانتینرها و حفاظت مطمئن آن‌ها تأکید می‌کند.

➡️ https://securelist.ru/dero-docker-api

#امنیت_اطلاعات #Docker

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

14 میلیون دانلود کتابخانه SHA JavaScript کاربران را در معرض حملات دستکاری هش قرار می دهد
یک آسیب پذیری امنیتی حیاتی در بسته sha.js npm که به طور گسترده مورد استفاده قرار می گیرد کشف شده است که میلیون ها برنامه را در معرض حملات پیچیده دستکاری هش قرار می دهد که می تواند عملیات رمزنگاری را به خطر بیندازد و دسترسی غیرمجاز به سیستم های حساس را امکان پذیر کند.

این آسیب پذیری که CVE-2025-9288 نامگذاری شده است، بر تمام نسخه های تا 2.4.11 کتابخانه تأثیر می گذارد که بیش از 14 میلیون دانلود در سراسر اکوسیستم جاوا اسکریپت جمع آوری کرده است.

جزئیات آسیب پذیری و بردارهای حمله
این نقص امنیتی ناشی از از دست دادن اعتبار سنجی نوع ورودی در مکانیسم محاسبه هش کتابخانه sha.js است که به مهاجمان اجازه می دهد تا حالت های هش را از طریق ورودی های با قابلیت رشته سازی JSON که به دقت ساخته شده اند، دستکاری کنند.

جزئیات CVE
شناسه CVE CVE-2025-9288
شدت بحرانی
امتیاز CVSS v4 CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:N/VI:H/VA:H/SC:H/SI:H/SA:N
بسته آسیب دیده sha.js (npm)
نسخه های آسیب دیده ≤2.4.11

محقق امنیتی ChALkeR کشف کرد که بازیگران مخرب می توانند از این ضعف برای عقب بردن حالت های هش، تبدیل هش های برچسب گذاری شده به انواع بدون برچسب و ایجاد برخوردهای هش که کنترل های امنیتی را دور می زند، سوء استفاده کنند.

این آسیب پذیری در سه سناریوی حمله اولیه آشکار می شود. ابتدا، مهاجمان می توانند با استفاده از اشیایی با ویژگی های طول منفی، حالت هش را به عقب برگردانند و به طور موثر حالت رمزنگاری را به مقادیر قبلی برگردانند.

دوم، این نقص حملات اشتباه محاسبه ارزش را امکان پذیر می کند که در آن اشیاء ساخته شده به طور خاص می توانند خروجی های هش یکسان را برای داده های ورودی مختلف تولید کنند و سناریوهای برخورد خطرناک ایجاد کنند.

سوم، این آسیب پذیری با ارائه مقادیر طول نادرست که باعث می شود کتابخانه به طور نامحدود آویزان شود، امکان حملات انکار سرویس را فراهم می کند.

به این آسیب پذیری یک امتیاز پایه حیاتی CVSS v4 اختصاص داده شده است که نشان دهنده تأثیر بالقوه شدید آن بر سیستم های آسیب پذیر و بعدی است.

بردار حمله از طریق اتصالات شبکه با الزامات پیچیدگی بالا اما بدون تعامل کاربر عمل می کند، که آن را به ویژه برای سناریوهای بهره برداری خودکار خطرناک می کند.

نگهدارنده های sha.js آسیب پذیری را در نسخه 2.4.12 برطرف کرده اند که شامل اعتبارسنجی جامع نوع ورودی برای جلوگیری از بردارهای حمله شناسایی شده است.

سازمان هایی که از کتابخانه آسیب دیده استفاده می کنند باید فورا به نسخه وصله شده به روز شوند و ارزیابی های امنیتی کاملی از سیستم هایی که ممکن است در معرض تلاش های دستکاری هش مخرب قرار گرفته باشند، انجام دهند.

این کشف بر اهمیت حیاتی اعتبارسنجی ورودی قوی در کتابخانه های رمزنگاری تأکید می کند و خطرات امنیتی آبشاری را برجسته می کند که می تواند از نظارت های به ظاهر جزئی پیاده سازی در اجزای منبع باز که به طور گسترده پذیرفته شده اند، پدیدار شود.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

سیستم های هوش مصنوعی قادر به ایجاد اکسپلویت های کاری برای CVE ها تنها در 10 تا 15 دقیقه هستند
محققان امنیت سایبری یک سیستم هوش مصنوعی ایجاد کرده اند که قادر است به طور خودکار اکسپلویت های کاری را برای آسیب پذیری ها و مواجهه های رایج منتشر شده (CVE) تنها در 10 تا 15 دقیقه با قیمت تقریبا 1 دلار به ازای هر اکسپلویت ایجاد کند و اساسا جدول زمانی پاسخ امنیتی سنتی را که مدافعان به آن تکیه می کنند، به چالش بکشد.

این سیستم موفقیت آمیز از یک خط لوله پیچیده چند مرحله ای استفاده می کند که توصیه های CVE و وصله های کد را تجزیه و تحلیل می کند، هم برنامه های آزمایشی آسیب پذیر و هم کد اکسپلویت را ایجاد می کند، سپس با آزمایش در برابر نسخه های آسیب پذیر در مقابل نسخه های وصله شده برای حذف موارد مثبت کاذب، سوء استفاده ها را تأیید می کند.

این رویکرد در مقایسه با تجزیه و تحلیل دستی انسانی، که معمولا ساعت ها، روزها یا حتی هفته ها زمان مهلت کاهش را در اختیار مدافعان قرار می دهد، به طور چشمگیری توسعه بهره برداری را تسریع می کند.

با بیش از 130 CVE که روزانه منتشر می شود، پیامدهای آن خیره کننده است. تیم های امنیتی سنتی در طول تاریخ از یک دوره بافر بین افشای آسیب پذیری و بهره برداری فعال برخوردار بوده اند و زمان را برای استقرار وصله و اقدامات دفاعی فراهم می کنند.

این رویکرد مبتنی بر هوش مصنوعی می تواند این پنجره بحرانی را به طور کامل از بین ببرد.

پیاده سازی فنی و متدولوژی
محققان سیستم خود را حول سه مرحله اصلی ساختار دادند. ابتدا، هوش مصنوعی توصیه های CVE و داده های مخزن را برای درک مکانیک بهره برداری تجزیه و تحلیل می کند و از قابلیت های پردازش زبان طبیعی مدل های زبان بزرگ برای تفسیر متن و کد مشاوره به طور همزمان استفاده می کند.

این سیستم هر دو رجیستری NIST و GitHub Security Advisory (GHSA) را برای جمع آوری جزئیات آسیب پذیری جامع از جمله مخازن آسیب پذیر، اطلاعات نسخه و توضیحات قابل خواندن توسط انسان پرس و جو می کند.

دوم، این سیستم از غنی سازی زمینه از طریق تحریک هدایت شده استفاده می کند و هوش مصنوعی را از طریق تجزیه و تحلیل گام به گام برای توسعه استراتژی های بهره برداری دقیق هدایت می کند. این شامل تکنیک های ساخت محموله و نقشه برداری جریان آسیب پذیری است.

حلقه ارزیابی نهایی هم کد اکسپلویت و هم برنامه های آزمایشی آسیب پذیر را ایجاد می کند و هر دو مؤلفه را تا زمانی که بهره برداری موفقیت آمیز حاصل شود، اصلاح می کند.

مهمتر از همه، سیستم اکسپلویت ها را در برابر نسخه های آسیب پذیر و وصله شده آزمایش می کند تا از مثبت کاذب جلوگیری کند.

در ابتدا، این تیم با محدودیت هایی با سرویس های هوش مصنوعی تجاری مانند OpenAI و Anthropic مواجه شد که گاردریل های آنها از تولید اکسپلویت جلوگیری می کرد.

آنها با استفاده از مدل های میزبان محلی مانند qwen3:8b قبل از انتقال به گزینه های قدرتمندتر، با موفقیت این محدودیت ها را دور زدند.

محققان پادمان های حیاتی از جمله محیط های اجرای کانتینری با استفاده از خنجر برای آزمایش ایمن و مکانیسم های ذخیره سازی را برای بهینه سازی عملکرد و کاهش هزینه ها در طول تکرارهای توسعه اجرا کردند.

این پیشرفت نشان دهنده یک تغییر پارادایم در پویایی امنیت سایبری است.

اتوماسیون تولید اکسپلویت در مقیاس می تواند چشم انداز تهدید را به طور اساسی تغییر دهد و سازمان ها را مجبور کند تا چرخه های استقرار وصله را تسریع کنند و در استراتژی های مدیریت آسیب پذیری تجدید نظر کنند.

این تحقیق تولید موفقیت آمیز اکسپلویت را در چندین زبان برنامه نویسی و انواع آسیب پذیری، از جمله بای پس رمزنگاری و حملات آلودگی نمونه اولیه نشان می دهد که تطبیق پذیری سیستم را در محیط های فنی مختلف ثابت می کند.

همانطور که قابلیت های هوش مصنوعی به پیشرفت خود ادامه می دهند، متخصصان امنیت سایبری باید برای عصری آماده شوند که در آن فرض سنتی دوره های مهلت پس از افشای اطلاعات ممکن است دیگر اعمال نشود.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

اف بی آی درخصوص هکرهای دولتی روسیه هشدار داد که دستگاه های شبکه زیرساخت های حیاتی را هدف قرار می دهند
اداره تحقیقات فدرال (اف بی آی) هشدار شدیدی به دولت، بخش خصوصی و شرکای بین المللی در مورد تهدیدات سایبری مداوم از سوی بازیگران وابسته به مرکز ۱۶ سرویس امنیت فدرال روسیه (FSB) صادر کرده است.

این واحد که در محافل امنیت سایبری با نام هایی مانند "Berserk Bear" و "Dragonfly" شناخته شده است، به طور فعال از آسیب پذیری های زیرساخت شبکه بهره برداری می کند، به ویژه با تمرکز بر پروتکل مدیریت شبکه ساده (SNMP) و نقص های اصلاح نشده در دستگاه های پایان عمر سیسکو.

یک آسیب پذیری کلیدی که برجسته شده است، CVE-2018-0171 است که بر عملکرد Cisco Smart Install (SMI) تأثیر می گذارد و امکان دسترسی غیرمجاز و دستکاری پیکربندی های دستگاه را فراهم می کند.

در طول سال گذشته، تحقیقات اف بی آی این بازیگران را کشف کرده است که فایل های پیکربندی را از هزاران دستگاه شبکه مرتبط با نهادهای آمریکایی در بخش های زیرساختی حیاتی از جمله انرژی، حمل و نقل و آب و برق جمع آوری می کنند.

بهره برداری از آسیب پذیری های قدیمی
در چندین مورد، مزاحمان این پیکربندی ها را تغییر دادند تا دسترسی غیرمجاز مداوم را تسهیل کنند و به آنها اجازه دادند شناسایی دقیق را در شبکه های قربانی انجام دهند.

این شناسایی علاقه خاصی به پروتکل ها و برنامه های کاربردی یکپارچه برای سیستم های کنترل صنعتی (ICS) نشان داده است، مانند آنهایی که در محیط های فناوری عملیاتی (OT) استفاده می شوند، و به طور بالقوه زمینه را برای فعالیت های مخرب تر مانند استخراج داده ها یا خرابکاری فراهم می کند.

عملیات مرکز FSB 16 به بیش از یک دهه پیش باز می گردد، با یک الگوی ثابت برای هدف قرار دادن دستگاه های شبکه جهانی که از پروتکل های قدیمی و رمزگذاری نشده از جمله نسخه های 1 و 2 SNMP و همچنین SMI پشتیبانی می کنند.

این بازیگران قابلیت های پیچیده ای از جمله استقرار ایمپلنت های بدافزار سفارشی را نشان داده اند.

یک مثال قابل توجه بدافزار "SYNful Knock" است که در سال 2015 به طور عمومی فاش شد، که مستقیما در سیستم عامل روتر سیسکو تعبیه شده بود تا ماندگاری طولانی مدت را حفظ کند و ارتباطات فرمان و کنترل را فعال کند.

چنین تاکتیک هایی از ضعف های ذاتی سخت افزار و نرم افزار قدیمی سوء استفاده می کنند، جایی که وضعیت پایان عمر اغلب به معنای عدم به روز رسانی امنیتی است و دستگاه ها را در معرض اجرای کد از راه دور و دستکاری پیکربندی قرار می دهد.

تلاش های شناسایی اف بی آی نشان می دهد که این عملیات سایبری منزوی نیستند، بلکه بخشی از یک کارزار گسترده تر با هدف شناسایی و تشدید بالقوه تشدید نیروها علیه زیرساخت های حیاتی هستند که با تاکتیک های شناخته شده تحت حمایت دولت روسیه که مخفی کاری و موقعیت استراتژیک را در شبکه های متخاصم در اولویت قرار می دهند، همسو است.

زمینه تاریخی
این فعالیت در گروه های تهدید مرتبط خوشه بندی می شود، به طوری که سیسکو تالوس اخیرا در 20 آگوست 2025 در یک وبلاگی آن را به عنوان "تندرای استاتیک" شناسایی کرده است که جزئیات تجزیه و تحلیل پزشکی قانونی آنها از تکنیک های نفوذ را شرح می دهد.

اف بی آی تاکید می کند که راهنمایی های قبلی بسیار مرتبط است، از جمله هشدار فنی 2018 در مورد بازیگران تحت حمایت دولت روسیه که دستگاه های زیرساخت شبکه را هدف قرار می دهند و مشاوره مشترک 6 مه 2025 که کاهش اولیه برای کاهش تهدیدات سایبری برای فناوری عملیاتی را تشریح می کند.

این منابع از وصله فوری آسیب پذیری های شناخته شده مانند CVE-2018-0171، غیرفعال کردن پروتکل های قدیمی غیر ضروری و اجرای تقسیم بندی شبکه برای جداسازی محیط های ICS از شبکه های فناوری اطلاعات گسترده تر حمایت می کنند.


💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

بر اساس این گزارش، از سازمان ها خواسته می شود تا شاخص های سازش، مانند ترافیک غیرمنتظره SNMP یا تغییرات پیکربندی غیرمجاز، را نظارت کنند و دستگاه های پایان عمر خود را به مدل های پشتیبانی شده با استانداردهای رمزگذاری مدرن ارتقا دهند.

در صورت مشکوک به سازش توسط بازیگران مرتبط با FSB، FBI توصیه می کند که به دفاتر محلی محلی یا از طریق مرکز شکایات جرایم اینترنتی (IC3) گزارش دهید.

قبل از ارسال، قربانیان باید روترها و تجهیزات شبکه را برای ناهنجاری ها، از جمله ایمپلنت های بدافزار یا پیکربندی های تغییر یافته، به طور کامل ارزیابی کنند و این جزئیات فنی را در گزارش ها برای کمک به تحقیقات بگنجانند.
این موضع پیشگیرانه برای مختل کردن تلاش های شناسایی بازیگران و محافظت از زیرساخت های حیاتی در برابر تهدیدات فزاینده بسیار مهم است.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

🤖 کد هوش مصنوعی امن‌تر نمی‌شود

سیستم‌های هوش مصنوعی طی دو سال گذشته به طور قابل توجهی بهبود یافته‌اند: اکنون آنها کد غیرفعالی تولید می‌کنند که در کمتر از 10٪ موارد اصلاً کامپایل نمی‌شود. این پیشرفت کیهانی است - در سال 2023، این نسبت برعکس بود، تنها 20٪ عملیاتی بودند. اینجاست که خبر خوب به پایان می‌رسد. با قضاوت بر اساس آزمایش‌های جدید Veracode، وضعیت نوشتن کد امن پیشرفت کرده است... در هیچ کجای این مدت. این آزمایش شامل 100 مدل زبانی از تولیدکنندگان مختلف و نسخه‌های مختلف بود که 5 مشکل عملی را حل کردند.

45٪ از کد، یعنی تقریباً هر نمونه دوم، حاوی یک آسیب‌پذیری از 10 مورد برتر OWASP است. و این رقم بسته به تاریخ آموزش و اندازه مدل به سختی تغییر می‌کند. فقط زبان‌های برنامه‌نویسی گسترش قابل توجهی را ایجاد می‌کنند. تلاش‌های LLM برای نوشتن در جاوا فاجعه‌بارترین هستند - 72٪ از کد حاوی آسیب‌پذیری است. امن‌ترین کد در پایتون است که در آن آسیب‌پذیری‌ها "فقط" در 38٪ از کد ظاهر می‌شوند.

این احتمال وجود دارد که در واقع کد آسیب‌پذیرتری وجود داشته باشد، زیرا محققان تنها چهار نوع آسیب‌پذیری را کنترل کرده‌اند: تزریق SQL (CWE-89)، XSS (CWE-80)، الگوریتم‌های رمزنگاری ناامن (CWE-327) و فرار نادرست داده‌ها هنگام نوشتن لاگ‌ها (CWE-117). جالب اینجاست که برای وظایفی که CWE-327 و CWE-89 می‌توانستند در آنها رخ دهند، مدل‌ها عموماً خوب عمل کردند و در طول دو سال پیشرفتی مشاهده می‌شود (30٪ کد آسیب‌پذیر وجود داشت، اکنون 20٪ و 15٪)، برای پاکسازی لاگ همه چیز به طور مداوم بد است (90٪ کد آسیب‌پذیر)، برای XSS بد بود، وحشتناک شده است - قبلاً 75٪ کد آسیب‌پذیر وجود داشت و اکنون 87٪ وجود دارد.

حتی اگر سازمانی دستیاران هوش مصنوعی را برای توسعه‌دهندگان خود ممنوع کند، مشکل کد هوش مصنوعی نشت‌دار همچنان در مؤلفه‌ها و وابستگی‌های شخص ثالث، راه‌حل‌های متن‌باز، کد نوشته شده در پیمانکاران و غیره در انتظار آن است. با توجه به اظهارات جسورانه مایکروسافت و دیگر شرکت‌های بزرگ فناوری، موجی از این موارد خیلی زود ما را فرا خواهد گرفت. 😱

شاید نسل جدیدی از LLM ها در حال حاضر در مراکز داده جدید گوگل و آنتروپیک در حال آموزش هستند که کد امن‌تری می‌نویسند، نمی‌دانیم. در عین حال، ما باید به اسکن آسیب‌پذیری چند سطحی و محافظت جامع از فرآیند توسعه و CI/CD تکیه کنیم.

#AI
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

🔥 مایکروسافت ۱۰۷ آسیب‌پذیری را برطرف کرد که یکی از آنها قبل از رفع شدن افشا شده بود و دوازده آسیب‌پذیری دیگر بحرانی ارزیابی شده‌اند.

۴۴ آسیب‌پذیری منجر به افزایش امتیاز، ۳۵ مورد به RCE، ۱۸ مورد به افشای اطلاعات، ۴ مورد به DoS و ۹ مورد به جعل هویت می‌شوند.

آسیب‌پذیری CVE-2025-53779 (CVSS 7.2) که منجر به افزایش امتیاز از طریق سرویس Kerberos می‌شود، از ماه مه شناخته شده است - این حمله BadSuccessor است که از تابع dMSA در ویندوز سرور ۲۰۲۵ سوءاستفاده می‌کند. در ماه مه، ردموند قول داد که این نقص را برطرف کند و سرانجام یک به‌روزرسانی منتشر کرد.

آسیب‌پذیری‌های بحرانی این ماه بسیار ترسناک به نظر می‌رسند.

CVE-2025-50165 و CVE-2025-53766 (هر دو با CVSS 9.8) کدهای RCE در زیرسیستم گرافیکی ویندوز و GDI+ هستند. به عبارت ساده، از نظر تئوری، آلوده شدن به کد مخرب هنگام مشاهده صفحات وب مخرب و حتی بنرهای تبلیغاتی مخرب امکان‌پذیر است.

در ماه اوت، RCE های بیشتری در آفیس و ورد مشاهده شد که از طریق پنل پیش‌نمایش بررسی شدند. CVE-2025-53731، -53733، -53740 و -53784 (CVSS 8.4) توسط محققان مختلف ارسال شدند که منجر به این فکر غم‌انگیز می‌شود که مقاوم‌سازی آفیس به هیچ وجه تمام نشده است.

برای دسر، یک نقص در NTLM، CVE-2025-53778، وجود دارد که به یک مهاجم احراز هویت شده با امتیازات پایین اجازه می‌دهد تا از راه دور آنها را به SYSTEM ارتقا دهد. مایکروسافت از احتمال سوءاستفاده در آینده خبر می‌دهد. 😏

به‌روزرسانی، خانم‌ها و آقایان.

#مایکروسافت
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

🟦 تحقیقات جالب APT و اخبار امنیت اطلاعات این هفته

🟢 یک تروجان GodRAT جدید در حملات به سازمان‌های مالی شناسایی شد. این بدافزار جدید ریشه در کد شناخته‌شده Gh0st RAT دارد و به‌طورکلی به بدافزار AwesomePuppet که با گروه Winnti/APT41 مرتبط است، نزدیک است.

🟢 از نشت داده‌های خوشه تهدید Kimsuky، امکان استخراج داده‌ها در سرویس WgetCloud وجود داشت که مهاجمان از آن برای پنهان کردن عملیات خود استفاده می‌کنند.

🟢 در حملات APT Goffee/Paper Werewolf به سازمان‌های جهانی، یک روت‌کیت جدید لینوکس مبتنی بر Reptile مشاهده شد. آنها همچنین از Ziroday اخیر در Winrar استفاده کردند.

🔵به‌طورکلی، هدف قرار دادن دسکتاپ‌های لینوکس در حال افزایش است - اخیراً فایل‌های مخرب .desktop در حملات APT36/Transparent Tribe به سازمان‌های آسیایی مشاهده شده‌اند.

🟣APT Muddy Water حملات خود را در سراسر جهان افزایش داده و مدیران ارشد مالی سازمان‌ها را هدف قرار داده است.


🟣تحلیل سناریوهای فعلی حملات ClickFix از مایکروسافت.


🔵مروری بر چشم‌انداز تهدید برای خودروهای مدرن از Kaspersky ICS CERT. نویسندگان، تعادل پیچیدگی، کارایی و سودآوری را که برای مدت طولانی حملات به خودروها را بی‌سود می‌کرد، تجزیه و تحلیل می‌کنند. اما عوامل زیادی به آرامی در حال تغییر این تعادل هستند و احتمال حملات را در آینده افزایش می‌دهند.


🟣یکی دیگر از TDSهای مهم در سایت‌های هک شده وردپرس: Help TDS. عمدتاً برای هدایت به سایت‌های پشتیبانی فنی جعلی استفاده می‌شود.


🔴تکامل فیشینگ با هدف قرار دادن صاحبان کیف پول‌های سخت‌افزاری لجر. مهاجمان به بهانه به‌روزرسانی میان‌افزار، یک عبارت بازیابی را فریب می‌دهند و عمداً این طعمه را برای سازمان‌ها ارسال می‌کنند. با توجه به استفاده گسترده‌تر از ارزهای دیجیتال در تجارت نسبت به قبل، این تهدید برای سازمان‌هایی که در تجارت بین‌المللی فعالیت می‌کنند، مرتبط است.

🟠یک حمله جالب به LLM در اسکنرهای ایمیل: پیام‌های مخفی در یک کمپین فیشینگ که برای بارگذاری بیش از حد مدل زبان با افکار طراحی شده بود، پیدا شد و احتمال دور زدن محافظت را افزایش داد.


🟡تحلیل دیگری از کمپین‌های کریپتوماینینگ که سرورهای Redis را هک می‌کنند، این بار توسط TA Nastratus.


⚪️مدیران رمز عبور متعددی در برابر حمله ClickJacking آسیب‌پذیر هستند که به شما امکان می‌دهد رمزهای عبور تکمیل شده خودکار را استخراج کنید. با این حال، برای اینکه این اتفاق بیفتد، خود سایت باید در برابر XSS آسیب‌پذیر باشد یا DNS آن در برابر ربودن زیر دامنه آسیب‌پذیر باشد.


🟢خبر خوب برای آخرین خبر: پلیس آفریقا بیش از ۱۲۰۰ مهاجم را در ۱۸ کشور دستگیر کرد، آنها در حملات BEC و باج‌افزار دست داشتند. اطلاعات مربوط به عملیات Serengeti 2.0 توسط ۸ شرکت امنیت اطلاعات، از جمله آزمایشگاه کسپرسکی، ارائه شده است.


💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t

ببینید:
مخاطرات هوش مصنوعی

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t