حمله سایبری به فرودگاه‌های اروپایی، زنگ خطری برای زیرساخت‌های حیاتی است.

حمله سایبری هماهنگ این هفته به فرودگاه‌های بزرگ اروپایی مانند بروکسل، برلین و هیترو، چیزی بیش از یک شکست فناوری اطلاعات بود.

این حمله نشان‌دهنده فروپاشی اساسی زیرساخت‌های حیاتی بود. هرج و مرج حاصل از آن، با عملیات دستی که باعث تاخیرها و لغوهای گسترده شد، آسیب‌پذیری عمیق دنیای به هم پیوسته ما را آشکار کرد.

مهاجمان با هدف قرار دادن یک ارائه دهنده فناوری مشترک، سیستم‌های اصلی ورود و خروج را فلج کردند. این نقطه شکست واحد باعث فلج عملیاتی، اختلال گسترده و فرسایش اعتماد در صنعتی حیاتی برای اقتصاد جهانی شد.

این حادثه یک روند خطرناک را برجسته می‌کند و نیاز به اقدام فوری از طریق سه الزام کلیدی دارد.
اول، پذیرش تاب‌آوری سایبری، نه فقط پیشگیری. نقض‌ها اتفاق خواهند افتاد، بنابراین سیستم‌ها باید طوری طراحی شوند که در برابر آن مقاومت کنند، سازگار شوند و به سرعت بازیابی شوند تا تداوم تضمین شود.
دوم، امنیت سایبری را به اتاق هیئت مدیره ارتقا دهند. این یک عملکرد اصلی کسب و کار است که جزئی جدایی‌ناپذیر از مدیریت ریسک و استراتژی است. سرمایه‌گذاری استراتژیک غیرقابل مذاکره است.
سوم، همکاری رادیکال را تقویت کنید. تهدیدات سیستمی نیاز به دفاع جمعی دارند و به اشتراک گذاشتن اطلاعات تهدید بین دولت‌ها و بخش خصوصی برای بقا حیاتی است.

این یک هشدار نهایی است.
ما باید از یک موضع واکنشی به یک استراتژی پیشگیرانه برای ایجاد امنیت و تاب‌آوری از طریق طراحی تغییر دهیم.
هزینه عدم اقدام بسیار بیشتر از سرمایه‌گذاری است. آیا ما واقعاً برای این دوره جدید از تهدیدات سیستمی آماده هستیم یا منتظر بحران بعدی هستیم؟
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

قطارهای مدرن صدها حسگر، کنترل‌کننده‌های تعبیه‌شده و سیستم‌های متصل به هم دارند که با سیگنالینگ، وای‌فای مسافران، فروش بلیط و شبکه‌های نگهداری تعامل دارند. این تکامل، کارایی و راحتی مسافران را بهبود بخشیده است، اما میدان نبرد سایبری جدیدی را نیز گشوده است. حملاتی که زمانی سیستم‌های فناوری اطلاعات دفتری را هدف قرار می‌دادند، اکنون سیستم‌های کنترل قطار، تشخیص‌های درون قطار و حتی پروتکل‌های ارتباطی مانند GSM-R و جانشین آن، FRMCS را هدف قرار می‌دهند. بخش راه‌آهن پیش از این شاهد هشدارهایی بوده است. در سال 2022، حمله باج‌افزاری به یک اپراتور قطار منطقه‌ای، باعث تأخیر در سرویس و کنترل دستی ترافیک شد. در سال 2024، افشای یک آسیب‌پذیری نشان داد که به‌روزرسانی‌های ناامن میان‌افزار در کنترل‌کننده‌های درون قطار می‌تواند امکان دستکاری از راه دور سیستم‌های ترمز را فراهم کند. این حوادث نشان می‌دهد که امنیت سایبری راه‌آهن دیگر فرضی نیست؛ بلکه یک خطر عملیاتی واقعی است. تاب‌آوری با معماری آغاز می‌شود. تقسیم‌بندی شبکه‌های قطار بسیار مهم است، جدا کردن وای‌فای مسافران و سیستم‌های سرگرمی از حوزه‌های کنترل ایمنی-حیاتی و جداسازی ارتباطات سیگنالینگ از نقاط ورودی خارجی. چارچوب IEC 62443 یک پایه قوی ارائه می‌دهد که مناطق و مجاری را تعریف می‌کند که دسترسی را محدود کرده و حرکت جانبی را محدود می‌کنند. EN 50159 و TS 50701 راهنمایی‌های خاص راه‌آهن را اضافه می‌کنند که پروتکل‌های انتقال امن و مدیریت امنیت چرخه عمر متناسب با سیگنالینگ و وسایل نقلیه ریلی را پوشش می‌دهد. اصول Zero Trust به طور فزاینده‌ای در عملیات راه‌آهن اعمال می‌شوند و هویت‌ها و سلامت دستگاه را قبل از اعطای دسترسی به سیستم‌های حیاتی تأیید می‌کنند. رمزگذاری قوی، بوت امن و به‌روزرسانی‌های سیستم عامل امضا شده برای محافظت از دستگاه‌های تعبیه شده در برابر دستکاری ضروری هستند. علاوه بر این، استفاده از تشخیص نفوذ متناسب با شبکه‌های فناوری عملیاتی به اپراتورها کمک می‌کند تا فعالیت‌های مخرب را به سرعت تشخیص دهند، حتی در محیط‌هایی که چرخه‌های وصله‌گذاری به دلیل محدودیت‌های صدور گواهینامه ایمنی کندتر هستند. لایه حیاتی دیگر، تضمین زنجیره تأمین است. تولیدکنندگان وسایل نقلیه ریلی به شبکه پیچیده‌ای از تأمین‌کنندگان قطعات وابسته هستند و یک زیرسیستم آسیب‌دیده می‌تواند آسیب‌پذیری‌هایی را ایجاد کند که از دفاع‌های محیطی عبور می‌کنند. ممیزی‌های امنیتی، SBOMها (لایحه مواد نرم‌افزاری) و الزامات امنیتی قراردادی برای مدیریت این ریسک در حال تبدیل شدن به استاندارد هستند. با نگاهی به آینده، ادغام FRMCS، سیستم ارتباطی سیار نسل بعدی برای راه‌آهن، هم فرصت و هم پیچیدگی را افزایش می‌دهد. در حالی که FRMCS رمزگذاری قوی‌تر و پهنای باند انعطاف‌پذیری ارائه می‌دهد، معماری مبتنی بر IP آن، قرار گرفتن در معرض حملات به سبک اینترنتی را افزایش می‌دهد. اقدامات پیشگیرانه، مانند نظارت مداوم، تیم قرمز و برنامه‌های افشای آسیب‌پذیری، کلید پیشرفت خواهند بود. اپراتورهای راه‌آهن، مدیران زیرساخت و تولیدکنندگان باید امنیت سایبری را به عنوان بخشی از ایمنی عملیاتی در نظر بگیرند. مرز بین امنیت دیجیتال و فیزیکی کمرنگ شده است.

#امنیت_راه‌آهن #تاب‌آوری_سایبری #RollingStock #OTSecurity #IEC62443 #EN50159 #TS50701 #زیرساخت‌های_حیاتی
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

صحبت در مورد امنیت سایبری OT با متخصصان دیگر معمولاً یک سوال را ایجاد می‌کند - "OT در واقع به چه معناست؟" OT چیست؟

فناوری عملیاتی (OT) سیستم‌هایی را پوشش می‌دهد که فرآیندهای صنعتی را نظارت و کنترل می‌کنند - PLCها، DCS، SCADA، SIS، HMIها و پروتکل‌هایی مانند Modbus و OPC. اینها فقط کامپیوتر نیستند؛ آنها شریان‌های حیاتی کارخانه‌ها، پالایشگاه‌ها، شبکه‌های برق و شبکه‌های حمل و نقل هستند.

تفاوت امنیت OT با فناوری اطلاعات: در فناوری اطلاعات،
تمرکز بر محافظت از داده‌ها است. در OT، اولویت‌ها تغییر می‌کنند:
• ایمنی در اولویت - حفاظت از جان و محیط زیست.
• در دسترس بودن - اجرای عملیات حیاتی.
• قابلیت اطمینان - تضمین عملکرد پایدار و قابل پیش‌بینی 24/7.

چرا این شکاف اهمیت دارد: وقتی OT به اشتباه درک شود، اغلب منجر به موارد زیر می‌شود:
• رفع مشکلات به سبک فناوری اطلاعات (وصله‌بندی/راه‌اندازی مجدد) که تولید را مختل می‌کند.
• ابزارهای امنیتی که با الزامات زمان آماده به کار تداخل دارند.
• خطراتی که در آن زمان از کار افتادگی = خطرات ایمنی.

چشم‌انداز تهدید در حال تغییر: سیستم‌های OT با شکاف هوایی به تاریخ پیوسته‌اند. با همگرایی IT/OT، IIoT و پذیرش ابر، شبکه‌های صنعتی بیشتر به هم متصل شده‌اند - و بیشتر در معرض خطر قرار دارند. حملات سایبری در اینجا فقط داده‌ها را نمی‌دزدند؛ آنها دنیای فیزیکی را مختل می‌کنند. ما قبلاً آن را دیده‌ایم:
• حملات به شبکه برق اوکراین که برق را قطع می‌کند.
• بدافزار Triton سیستم‌های ایمنی را هدف قرار می‌دهد.
• باج‌افزار Colonial Pipeline که تأمین انرژی را متوقف می‌کند.

این رویدادها خطرات را ثابت می‌کنند: قطعی برق، خطرات ایمنی و آسیب‌های زیست‌محیطی. تأمل: کار در امنیت سایبری OT هم چالش برانگیز و هم معنادار است. این امر نیاز به عمق فنی، همکاری بین تیمی، پایبندی به استانداردهایی مانند IEC 62443 و NIST 800-82 و مهمتر از همه، تغییر در طرز فکر - از محافظت از اطلاعات به محافظت از عملیات - دارد.

از نظر من، امنیت سایبری OT فقط امنیت نیست - بلکه محافظت از زیرساخت‌های حیاتی است.

به نظر شما، بزرگترین چالشی که مانع امنیت سایبری OT می‌شود چیست - فناوری، آگاهی یا فرهنگ؟

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

آسیب‌پذیری
آسیب‌پذیری RCE روز صفر سیسکو در IOS به طور فعال در سطح اینترنت مورد بهره‌برداری قرار گرفت.
توسط گورو باران- ۲۴ سپتامبر ۲۰۲۵
آسیب‌پذیری RCE روز صفر سیسکو در IOS
سیسکو یک آسیب‌پذیری روز صفر با شناسه CVE-2025-20352 را در نرم‌افزارهای پرکاربرد IOS و IOS XE خود افشا کرده و تأیید کرده است که این آسیب‌پذیری به‌طور فعال در سطح اینترنت مورد بهره‌برداری قرار گرفته است.

این نقص در زیرسیستم پروتکل مدیریت شبکه ساده (SNMP) وجود دارد و می‌تواند به یک مهاجم از راه دور اجازه دهد تا به اجرای کد از راه دور (RCE) دست یابد یا باعث ایجاد شرایط انکار سرویس (DoS) در دستگاه‌های آسیب‌پذیر شود.

این آسیب‌پذیری اولین بار در جریان بررسی یک پرونده پشتیبانی مرکز پشتیبانی فنی سیسکو (TAC) شناسایی شد.

این آسیب‌پذیری ریشه در یک وضعیت سرریز پشته (CWE-121) در زیرسیستم SNMP هر دو نرم‌افزار Cisco IOS و IOS XE دارد. یک مهاجم می‌تواند با ارسال یک بسته SNMP دستکاری‌شده از طریق شبکه IPv4 یا IPv6 به یک دستگاه آسیب‌دیده، این نقص را فعال کند.

این توصیه‌نامه که در ۲۴ سپتامبر ۲۰۲۵ منتشر شد، تأیید می‌کند که تمام نسخه‌های SNMP (نسخه ۱، نسخه ۲ و نسخه ۳) مستعد این آسیب‌پذیری هستند.

شدت این سوءاستفاده به سطح دسترسی مهاجم بستگی دارد:


یک مهاجم از راه دور با سطح دسترسی پایین اما احراز هویت شده می‌تواند باعث بارگذاری مجدد دستگاه آسیب‌دیده شود و منجر به وضعیت DoS گردد . این امر مستلزم دسترسی به یک رشته انجمن فقط خواندنی SNMPv2c یا اعتبارنامه‌های معتبر کاربر SNMPv3 است.
یک مهاجم با سطح دسترسی بالا و با اعتبارنامه‌های مدیریتی یا سطح دسترسی ۱۵ می‌تواند کد دلخواه را به عنوان rootکاربر در دستگاه‌هایی که IOS XE را اجرا می‌کنند، اجرا کند و عملاً کنترل کامل سیستم را به دست گیرد.

این آسیب‌پذیری طیف وسیعی از دستگاه‌های سیسکو را که نسخه‌های آسیب‌پذیر نرم‌افزار IOS و IOS XE را که SNMP در آن‌ها فعال است، اجرا می‌کنند، تحت تأثیر قرار می‌دهد. محصولات خاص ذکر شده شامل Meraki MS390 و سوئیچ‌های سری Cisco Catalyst 9300 هستند
هر دستگاهی که SNMP در آن فعال باشد، آسیب‌پذیر تلقی می‌شود، مگر اینکه پیکربندی‌های خاصی برای مسدود کردن ترافیک مخرب در نظر گرفته شده باشد. مدیران می‌توانند از show running-configدستوراتی برای تعیین فعال بودن SNMP در سیستم‌های خود استفاده کنند.

سیسکو به‌روزرسانی‌های نرم‌افزاری را برای رفع این آسیب‌پذیری منتشر کرده است و اکیداً توصیه می‌کند که همه مشتریان برای رفع کامل این مشکل، نرم‌افزار خود را به یک نسخه وصله‌شده ارتقا دهند. در این توصیه‌نامه که با عنوان شناسایی شده است cisco-sa-snmp-x4LPhte، تصریح شده است که هیچ راه‌حل جایگزینی در دسترس نیست.

برای سازمان‌هایی که نمی‌توانند بلافاصله به‌روزرسانی‌ها را اعمال کنند، سیسکو یک تکنیک کاهش خطر ارائه داده است. مدیران می‌توانند نمای SNMP را طوری پیکربندی کنند که شناسه‌های شیء (OID) آسیب‌دیده را حذف کند و از فعال شدن مسیر کد آسیب‌پذیر جلوگیری کند.

با این حال، سیسکو هشدار می‌دهد که این اقدام پیشگیرانه ممکن است عملکردهای مدیریت شبکه، مانند کشف دستگاه و نظارت بر موجودی سخت‌افزار را مختل کند. به عنوان یک اقدام امنیتی عمومی، سیسکو همچنین توصیه می‌کند دسترسی SNMP را فقط به کاربران مورد اعتماد محدود کنید.


💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

🔺 آسیب‌پذیری‌های جدید قابل بهره‌برداری در دستگاه‌های Cisco

در پایان سپتامبر ۲۰۲۵، شرکت Cisco بولتن‌هایی درباره چندین آسیب‌پذیری بحرانی منتشر کرد. CVE‑2025‑20333، CVE‑2025‑20362 و CVE‑2025‑20352 هم‌اکنون در حملات مورد استفاده قرار می‌گیرند و CVE‑2025‑20363 به عنوان یک آسیب‌پذیری با ریسک بالا شناخته شده است و ممکن است به زودی توسط مهاجمان بهره‌برداری شود.

محصولات Cisco Secure Firewall ASA / FTD، Cisco IOS، IOS XE، IOS XR در معرض خطر هستند.

برای آگاهی از نشانه‌های دستگاه‌های احتمالا آسیب‌پذیر و نحوه محافظت در برابر این آسیب‌پذیری‌ها — در وب‌سایت سیسکو پیگیری کنید.

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

آسیب‌پذیری سرور وب VPN در نرم‌افزارهای فریم‌ویر فایروال‌های Cisco Adaptive Security Appliance (ASA) و Cisco Firepower Threat Defense (FTD) مربوط به کپی کردن بافر بدون بررسی اندازه داده‌های ورودی است. بهره‌برداری از این آسیب‌پذیری می‌تواند به مهاجم از راه دور اجازه دهد تا با ارسال درخواست‌های HTTP به‌طور خاص ساخته شده، کد دلخواه را با دسترسی root اجرا کند.

BDU:2025-11706
CVE-2025-20333

نصب به‌روزرسانی‌ها از منابع معتبر. با توجه به شرایط موجود و تحریم‌های اعمال شده ، توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- استفاده از فرمان CLI show running-config برای بررسی پیکربندی دستگاه به منظور شناسایی نشانه‌های زیر:
برای Cisco Secure Firewall ASA:
crypto ikev2 enable client-services port ;

webvpn
mus password
mus server enable
mus ;

webvpn
enable ;

برای Cisco Secure Firewall FTD:
crypto ikev2 enable client-services port ;

webvpn
enable ;

- محدود کردن دسترسی به دستگاه آسیب‌پذیر با استفاده از طرح دسترسی «فهرست سفید»؛
- استفاده از سیستم‌های تشخیص و جلوگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاش‌های بهره‌برداری از آسیب‌پذیری؛
- محدود کردن دسترسی به دستگاه آسیب‌پذیر از شبکه‌های خارجی (اینترنت).

استفاده از توصیه‌ها:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

🔓 هوش مصنوعی کدهای PIN را در کسری از ثانیه هک می‌کند

کد PIN یک عنصر ضروری برای محافظت حتی هنگام استفاده از اثر انگشت و تشخیص چهره است. اما دقیقاً همین کد به آسیب‌پذیرترین نقطه تبدیل می‌شود. هوش مصنوعی دیگر فقط ترکیب‌ها را حدس نمی‌زند — بلکه آن‌ها را پیش‌بینی می‌کند. در تحقیقی توسط Messente، شبکه عصبی کد «5555» را در 0.37 ثانیه رمزگشایی کرد. حتی «1234» و «سال تولد» برای آن دشوار نیستند.

دلیلش در الگوهایی است که مردم برای انتخاب کدها استفاده می‌کنند. الگوریتم‌ها روانشناسی رفتاری را در نظر می‌گیرند و فقط گزینه‌ها را امتحان نمی‌کنند. ریسک،زمانی بیشترین است که همان کد PIN برای تلفن و کارت بانکی استفاده شود. در صورت گم شدن دستگاه، این دسترسی مستقیم به تمام داده‌ها و حساب‌ها است.

توصیه : کاملاً از کدهای چهار رقمی صرف‌نظر کنید. سیستم قفل اجازه وارد کردن تا 10 رقم را می‌دهد. چنین رمز عبوری حتی برای پیشرفته‌ترین الگوریتم‌های هوش مصنوعی غیرقابل نفوذ باقی می‌ماند. فعلاً.

🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
انجمن تخصصی AI.Sec:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

ابزار تست نفوذ به اسباب‌بازی محبوب مجرمان سایبری تبدیل شد

🤖 HexStrike AI — یک چارچوب تست نفوذ متن‌باز جدید — تقریباً بلافاصله پس از انتشار به دست مجرمان سایبری افتاد تقریباً بلافاصله. اکنون ساخت اکسپلویت برای آسیب‌پذیری‌های تازه مانند CVE-2025-7775 در Citrix NetScaler به جای هفته‌ها، در عرض چند دقیقه انجام می‌شود. هوش مصنوعی به طور خودکار زنجیره‌های حمله را تولید می‌کند و سیستم‌های آسیب‌پذیر را پیدا می‌کند، کاری که زمانی نیازمند تجربه زیاد و زمان طولانی بود را به یک فرایند روتین تبدیل کرده است.

⚡️ سرعت افزایش تهدید شگفت‌انگیز است: تنها ۱۲ ساعت پس از افشای یک آسیب‌پذیری بحرانی در NetScaler، مهاجمان در فروم‌های دارک‌نت با حملات آماده خود خودنمایی کردند. قبلاً برای درک معماری سیستم، دور زدن محافظت و نوشتن اکسپلویت پایدار هفته‌ها مطالعه لازم بود. اکنون HexStrike با بیش از ۱۵۰ ابزار و ده‌ها عامل هوش مصنوعی یکپارچه شده است که تمام کارهای کثیف را به تنهایی انجام می‌دهند.

🔥 ما شاهد تغییر بنیادین در چشم‌انداز تهدیدات سایبری هستیم. مانع ورود به دنیای حملات جدی فرو ریخته است — اکنون نیازی نیست که استاد مهندسی معکوس باشید تا از آسیب‌پذیری‌های zero-day در سیستم‌های سازمانی سوءاستفاده کنید. مدافعان باید رویکردهای خود را در واکنش به حوادث به طور اساسی تغییر دهند.

#هوش_مصنوعی #اکسپلویت #تست_نفوذ #خودکارسازی_حملات


💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

🔺شرکت توزیع سوخت بنزین اسرائیلی هک شد

🔹 برخی منابع محلی عبری گزارش دادند که شرکت سوخت اسرائیلی «دِلِک» (به‌عبری: דלק), با نام کامل «شرکت سوخت اسرائیل با مسئولیت محدود»، که بیشتر با نام «دِلِک» شناخته می‌شود برای ساعاتی هک شده است.

🔹 دلک یکی از چهار شرکت بزرگ سوخت در اسرائیل است.

🔹 این شرکت مالک صدها پمپ‌بنزین در سراسر فلسطین اشغالی است که در برخی از آن‌ها فروشگاه‌های زنجیره‌ای تحت برند «مانتا» (Menta) و مجتمع‌های خرده‌فروشی نیز فعالیت دارند.

🔹 شرکت «دِلِک» همچنین مالک چندین شرکت تابعه در حوزه‌های انرژی و لجستیک است که خدماتی از جمله حمل‌ونقل سوخت، سامانه‌های لجستیکی، تولید روغن‌ها و نیز خدمات سوخت‌رسانی به کشتی‌ها در بنادر اسرائیل و سایر نقاط جهان ارائه می‌دهند.


💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

آسیب‌پذیری عملکرد Oracle Concurrent Processing در سیستم اتوماسیون فعالیت‌های سازمان Oracle E-Business Suite به نقص‌های رویه احراز هویت مرتبط است. بهره‌برداری از این آسیب‌پذیری می‌تواند به مهاجم از راه دور اجازه دهد تا با ارسال درخواست HTTP به‌طور خاص ساخته شده، کد دلخواه را اجرا کند.

BDU:2025-12468
CVE-2025-61882

نصب به‌روزرسانی‌ها از منابع معتبر. با توجه به شرایط موجود و تحریم‌های اعمال شده، توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- استفاده از ابزارهای فایروال برنامه‌های وب (WAF) برای فیلتر کردن درخواست‌های HTTP؛
- محدود کردن دسترسی از شبکه‌های خارجی (اینترنت)؛
- تقسیم‌بندی شبکه برای محدود کردن دسترسی به سیستم آسیب‌پذیر؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاش‌های بهره‌برداری از آسیب‌پذیری‌ها.

استفاده از توصیه‌ها:
https://www.oracle.com/security-alerts/alert-cve-2025-61882.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

آسیب‌پذیری اجزای Zabbix Agent و Agent2 در سیستم نظارت بر زیرساخت فناوری اطلاعات Zabbix به نقص‌های مکانیزم کنترل بارگذاری فایل پیکربندی OpenSSL مربوط می‌شود. بهره‌برداری از این آسیب‌پذیری می‌تواند به نفوذگر اجازه دهد امتیازات خود را با وارد کردن فایل DLL به‌طور خاص ساخته شده افزایش دهد.

BDU:2025-12554
CVE-2025-27237

نصب به‌روزرسانی‌ها از منابع معتبر، توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- استفاده از نرم‌افزار آنتی‌ویروس برای بررسی فایل‌های دریافت شده از منابع نامعتبر؛
- استفاده از محیط نرم‌افزاری بسته برای کار با فایل‌های دریافت شده از منابع نامعتبر؛
- استفاده از سیستم‌های SIEM برای رصد رویدادهای مرتبط با تغییر فایل پیکربندی OpenSSL؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاش‌های بهره‌برداری از آسیب‌پذیری‌ها.

استفاده از توصیه‌ها:
https://support.zabbix.com/browse/ZBX-27061
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

تهدیدات سایبری در هوا

گروه NoName057(16) اعلام کرد که پنل HMI سیستم تهویه و گرمایش در کارخانه مبلمان لهستانی Meble Woźniak را هک کرده است. در همه مواردی که سیستم‌های کنترل تجهیزات هک می‌شوند، از طریق رابط کاربری مشخص نیست که این سیستم چیست، اما در این مورد محصول شرکت لهستانی JM Infotel است که در اتوماسیون گرمایش، تهویه و تهویه مطبوع تخصص دارد.

در ویدیوی منتشر شده توسط مهاجمان نشان داده شده است که چگونه آنها به مدت ۲۰ دقیقه پارامترهای دلخواه تمام تنظیمات موجود (شامل دمای تعیین شده، هیسترزیس) را تنظیم می‌کنند، حالت‌ها را از خودکار به دستی تغییر می‌دهند و در پایان رمز عبور را تغییر داده و نام گروه را به عنوان نام سیستم قرار می‌دهند. در یک لحظه در ویدیو پیامی از TightVNC Viewer درباره قطع اتصال ظاهر می‌شود — به گفته هکرها، این «اپراتور ناشی تلاش کرد دسترسی داوطلبان ما را قطع کند»، اما بی‌نتیجه بود.

شرکت امنیت اطلاعات لهستانی RIFFSEC این حمله را یک نمایش تبلیغاتی خواند و افزود که CERT ملی از این حادثه مطلع است.

🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
کانال تلگرام:
https://t.me/ics_cert

آتش‌سوزی مرکز داده کره جنوبی: حافظه دیجیتال یک ملت پاک شد.

آتش‌سوزی مرکز داده ملی در کره جنوبی ۸۵۸ ترابایت داده، اسناد ۱۹۱۰۰۰ کارمند دولتی و ده‌ها سیستم دولتی را نابود کرد.

دلیلش؟ فرار حرارتی در باتری‌های لیتیوم-یونی و... سیستمی بدون پشتیبان.
این حادثه درسی پرهزینه اما فراموش‌نشدنی به دنیای فناوری اطلاعات آموخت: «مهم نیست مرکز داده چقدر قدرتمند باشد، اگر پشتیبان ضعیف باشد، سیستم در واقع وجود ندارد.»

درس‌های فنی که باید از این فاجعه آموخت:
• 🔹 قانون پشتیبان‌گیری ۳-۲-۱ نباید نادیده گرفته شود. (۳ نسخه، ۲ رسانه مختلف، ۱ خارج از سایت)
• 🔹 آزمایش‌های تأیید و بازیابی پشتیبان باید اجباری باشد.
• 🔹 معماری DC با افزونگی جغرافیایی دیگر نباید یک تجمل باشد، بلکه باید استاندارد باشد.
• 🔹 طرح‌های DR (بازیابی پس از سانحه) باید حداقل سالی دو بار آزمایش شوند.
• 🔹 مناطق UPS و باتری باید به عنوان مناطق آتش‌سوزی جداگانه طراحی شوند.

سیستم‌های ما ممکن است امروز کار کنند، اما سوال اصلی این است: «اگر فردا آتش‌سوزی رخ دهد، آیا می‌توانیم خودمان را بازیابی کنیم؟»
✅️برای مشاوره در حوزه طراحی BCP و DRP کافیست بامن تماس بگیرید.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

هکرهای جهان برای حملات سایبری هماهنگ به دولت اسرائیل و بخش‌های حیاتی آن متحد شدند

داده‌های جدید Radware نشان می‌دهد که هفتم اکتبر، سالگرد حملات حماس به اسرائیل در سال ۲۰۲۳، به نقطه تجمعی برای هکرهای جهانی تبدیل شده و نمادگرایی سیاسی را به حملات سایبری هماهنگ تبدیل کرده است. در دو سال گذشته، هفته‌های نزدیک به این تاریخ به طور مداوم شاهد افزایش حملات به اهداف اسرائیلی بوده است. گروه‌هایی مانند Sylhet Gang بیشتر به عنوان موتورهای تبلیغاتی عمل می‌کنند تا مهاجمان مستقیم، و از تلگرام و X (که قبلاً توییتر بود) برای بسیج و تقویت فراخوان‌ها برای اقدام دیجیتال استفاده می‌کنند.

دخالت NoName057(16) ، یک گروه هکری طرفدار روسیه، نشان می‌دهد که چگونه بازیگرانی با پیشینه‌های ژئوپلیتیکی مختلف علیه دشمنان مشترک متحد می‌شوند. این ترکیب ایدئولوژی‌ها، پایداری و دامنه عملیات هکری را تقویت می‌کند. با وجود افزایش فعالیت، اکثر حملات کوتاه‌مدت بودند و اهداف با دید بالا، از جمله پورتال‌های دولتی، ارائه دهندگان خدمات درمانی، تولیدکنندگان و سایت‌های تجارت آنلاین را هدف قرار می‌دادند.

شرکت Radware در هشدار تهدید روز دوشنبه نوشت : «به دنبال درخواست‌های هکرها برای اقدام سایبری هماهنگ علیه اسرائیل، شاهد افزایش شدید فعالیت‌های ادعایی DDoS بین ۶ تا ۸ اکتبر بودیم.» «این تشدید حملات از ۶ اکتبر آغاز شد، زمانی که تعداد حملات ادعایی DDoS به ۲۶ مورد افزایش یافت که نشان‌دهنده مراحل اولیه یک کمپین هماهنگ بود. فعالیت‌ها در ۷ اکتبر به اوج خود رسید و ۵۷ حمله DDoS در یک روز ثبت شد. این رقم بیش از ۱۴ برابر بیشتر از میانگین روزانه مشاهده شده در سپتامبر ۲۰۲۵ است.»
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

یک آسیب‌پذیری میان‌افزار در مبدل‌های رسانه‌ای سری TRC-2190 شامل استفاده از یک کلید رمزنگاری کدگذاری شده است. سوءاستفاده از این آسیب‌پذیری می‌تواند به یک مهاجم از راه دور اجازه دهد تا با استفاده از یک کلید خصوصی SSH که در دسترس عموم است، حمله مردی در میان را انجام دهد.

به‌روزرسانی‌ها را از منابع معتبر نصب کنید. توصیه می‌شود به‌روزرسانی‌های نرم‌افزار فقط پس از ارزیابی تمام خطرات مرتبط نصب شوند.


اقدامات مقابله:
- استفاده از فایروال‌ها برای محدود کردن دسترسی از راه دور به دستگاه؛
- محدود کردن دسترسی از شبکه‌های خارجی (اینترنت)؛
- محدود کردن دسترسی به دستگاه با استفاده از یک طرح لیست سفید؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاش‌هایی برای سوءاستفاده از آسیب‌پذیری‌ها؛
- استفاده از شبکه‌های خصوصی مجازی (VPN) برای دسترسی از راه دور.


استفاده از توصیه‌ها:
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-251372-security-enhancement-ssh-known-hard-coded-private-keys
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

آسیب‌پذیری نقطه دسترسی شبکه صنعتی Wi-Fi Rockwell Automation 1783-NATR مربوط به عدم احراز هویت برای عملکرد حیاتی است. بهره‌برداری از این آسیب‌پذیری می‌تواند به مهاجم از راه دور اجازه دهد با به‌دست آوردن حساب کاربری مدیر یا تغییر قوانین پیکربندی NAT باعث ایجاد اختلال در سرویس شود.

CVE-2025-7328

نصب به‌روزرسانی‌ها از منابع معتبر. با توجه به شرایط موجود و تحریم‌های اعمال شده، توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- تقسیم‌بندی شبکه برای محدود کردن دسترسی به بخش صنعتی از سایر زیرشبکه‌ها؛
- محدود کردن دسترسی از شبکه‌های خارجی (اینترنت)؛
- غیرفعال‌سازی/محدود کردن عملکرد مدیریت از راه دور برای جلوگیری از تلاش‌های بهره‌برداری از آسیب‌پذیری (مثلاً ممنوعیت استفاده از پروتکل‌های ناامن مانند HTTP یا Telnet)؛
- استفاده از رمزهای عبور قوی مطابق با سیاست رمز عبور پذیرفته شده در سازمان؛
- غیرفعال‌سازی عملکرد NAT و مسیریابی IP در صورتی که دستگاه در حالت پل (Workgroup Bridge) کار می‌کند.

استفاده از توصیه‌ها:
https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1756.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

آسیب‌پذیری رابط برنامه‌نویسی کاربردی (API) نرم‌افزار سیستم‌های شبکه Moxa سری‌های EDR-G9010، EDR-8010، EDF-G1002-BP، TN-4900، NAT-102، NAT-108، OnCell G4302-LTE4 مربوط به استفاده از داده‌های حساب کاربری کدگذاری شده سخت است. بهره‌برداری از این آسیب‌پذیری می‌تواند به مهاجم از راه دور اجازه دهد تا با استفاده از توکن‌های JSON Web Tokens (JWT) به طور کامل به دستگاه دسترسی پیدا کند.

CVE-2025-6950

نصب به‌روزرسانی‌ها از منابع معتبر. با توجه به شرایط موجود و تحریم‌های اعمال شده، توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- استفاده از فایروال‌ها برای محدود کردن دسترسی از راه دور به دستگاه؛
- محدود کردن دسترسی از شبکه‌های خارجی (اینترنت)؛
- تقسیم‌بندی شبکه برای محدود کردن دسترسی به دستگاه آسیب‌پذیر؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاش‌های بهره‌برداری از آسیب‌پذیری‌ها؛
- استفاده از شبکه‌های خصوصی مجازی (VPN) برای سازماندهی دسترسی از راه دور.

استفاده از توصیه‌های تولیدکننده:
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-258121-cve-2025-6892,-cve-2025-6893,-cve-2025-6894,-cve-2025-6949,-cve-2025-6950-multiple-vulnerabilities-in-netwo
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

آسیب‌پذیری نرم‌افزارهای میکرو برنامه ماژول‌های ارتباطی SIMATIC CP و SIPLUS به دلیل عدم احراز هویت برای عملکرد بحرانی وجود دارد. بهره‌برداری از این آسیب‌پذیری می‌تواند به نفوذگر از راه دور اجازه دسترسی کامل به اطلاعات پیکربندی را بدهد.

CVE-2025-40771

نصب به‌روزرسانی‌ها از منابع معتبر. با توجه به شرایط موجود و تحریم‌های اعمال شده، توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- استفاده از فایروال برای محدود کردن دسترسی به دستگاه آسیب‌پذیر؛
- تقسیم‌بندی شبکه برای محدود کردن دسترسی به دستگاه آسیب‌پذیر؛
- محدود کردن دسترسی از شبکه‌های خارجی (اینترنت)؛
- استفاده از شبکه‌های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

استفاده از توصیه‌های تولیدکننده:
https://cert-portal.siemens.com/productcert/html/ssa-486936.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

چشم‌انداز تهدیدات ENISA در سال ۲۰۲۵

آژانس اتحادیه اروپا برای امنیت سایبری (ENISA) گزارش «بررسی تهدیدات ENISA ۲۰۲۵» را منتشر کرده است. در این گزارش تقریباً ۴۹۰۰ حادثه سایبری که سازمان‌های اروپایی را از ژوئیه ۲۰۲۴ تا ژوئن ۲۰۲۵ تحت تأثیر قرار داده‌اند، تحلیل شده است.

روندهای اصلی:
۱. فیشینگ - اصلی‌ترین بردار حمله (۶۰٪): همچنان روش اصلی نفوذ اولیه باقی مانده است. با تکنیک‌هایی مانند ClickFix، فیشینگ به‌عنوان سرویس (PhaaS، مثلاً Darcula) و کویشینگ (فیشینگ با کد QR) تکامل یافته است.
۲. زنجیره‌های تأمین و روابط اعتماد. مهاجمان بیشتر به ارائه‌دهندگان خدمات ثالث (شرکت‌های فناوری اطلاعات، مخابرات) و زنجیره‌های تأمین (بسته‌های مخرب npm، افزونه‌های مرورگر) حمله می‌کنند تا اثر حملات را افزایش دهند.
۳. حملات به دستگاه‌های موبایل: تهدیدات برای دستگاه‌های اندروید افزایش یافته است، از جمله برنامه‌های جاسوسی (KoSpy، BoneSpy)، تروجان‌های بانکی (Medusa) و بهره‌برداری از آسیب‌پذیری‌ها در زیرساخت‌های مخابراتی (SS7، Diameter).
۴. همگرایی گروه‌های تهدید: مرزها بین هکتیویسم، جرایم سایبری و گروه‌های حمایت‌شده دولتی محو می‌شود.
۵. استفاده پیش‌بینی‌شده از هوش مصنوعی: هوش مصنوعی به طور فعال برای ایجاد ایمیل‌های فیشینگ قانع‌کننده‌تر (بیش از ۸۰٪ فیشینگ‌ها از هوش مصنوعی استفاده می‌کنند)، تولید جعل‌های با کیفیت (دیپ‌فیک‌ها)، توسعه نرم‌افزارهای مخرب و دور زدن کشف به کار می‌رود. همچنین حملاتی به خود هوش مصنوعی مشاهده شده است - جیلبریک‌ها، مسموم‌سازی مدل و حملات به زنجیره تأمین مدل‌های هوش مصنوعی.

بیشترین هدف‌ها:
- مدیریت دولتی - ۳۸.۲٪
- حمل و نقل - ۷.۵٪
- زیرساخت‌ها و خدمات دیجیتال - ۴.۸٪
- مالی - ۴.۵٪
- تولید - ۲.۹٪

انواع اصلی تهدیدات:
۱. جرایم سایبری - ۱۳.۴٪ از حوادث
۲. گروه‌های دولتی - ۷.۲٪
۳. هکتیویسم - ۷۹٪
۴. دستکاری اطلاعات (دخالت و دستکاری اطلاعات خارجی، FIMI) -


💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

حملات در AWS، ابزارهای جدید باج‌گیران و دیگر تحقیقات APT در هفته

🟣تحلیل فنی حملات به محیط‌های AWS که توسط گروه باج‌گیر Crimson Collective انجام شده است. شناخته‌شده‌ترین قربانی تا امروز Red Hat است.

🟣در حملات باج‌افزاری استفاده از Velociraptor مشاهده شده است — نرم‌افزاری متن‌باز برای جرم‌شناسی دیجیتال. گروه Storm-2603 که با باج‌افزارهای Warlock، LockBit و Babuk مرتبط است، از نسخه قدیمی این نرم‌افزار که آسیب‌پذیر به افزایش امتیاز است، برای نفوذ به شبکه و نصب VSCode استفاده کرده است که البته تنها به تونل‌ها نیاز داشتند.

🔴در حملاتی که با استفاده از شل China Chopper به سرویس‌های وب نفوذ می‌کنند، در مراحل بعدی نفوذ از ابزار متن‌باز چینی Nezha استفاده شده است که معمولاً برای نظارت مدیران سرور طراحی شده است.

🟢بررسی حملات جاسوسی که توسط گروه UTA0388 به سازمان‌های اروپا، آسیا و آمریکا انجام شده است. فیشینگ هدفمند احتمالاً با کمک LLM آماده شده است، زیرا ایمیل‌ها به پنج زبان ارسال شده‌اند. در عین حال، در آنها نکات عجیبی وجود دارد که مختص عوامل هوش مصنوعی است، مانند تغییر زبان پراکنده یا تلاش برای ارسال ایمیل به آدرس‌های کاملاً ناموجود. در صورت موفقیت فیشینگ، بدافزار GOVERSHELL روی قربانی نصب می‌شود.

🔵از کسب‌وکارهای کوچک و متوسط به عنوان «وثیقه» پول طلب می‌کنند و پیشنهاد می‌دهند تامین‌کننده شرکت‌های بزرگ هواپیمایی شوند. این طرح کاملاً مهندسی اجتماعی است و بدافزار استفاده نمی‌شود.

🟣بررسی بات‌نت به‌روزشده RondoDox که اکنون تقریباً از 60 آسیب‌پذیری در 50 دستگاه مختلف (عمدتاً روترها، وب‌سرورها، NAS و دوربین‌های IP) برای اهداف DDoS و استخراج استفاده می‌کند.

🟠نوع جدید و جالبی از ClickFix — صفحه وب مخرب حاوی بدافزار به شکل تصویر است و اسکریپت PowerShell آن را فعال می‌کند، ابتدا با جستجو در کش مرورگر.

🔵راستی، حملات ClickFix اکنون مستقیماً در کیت‌های فیشینگ ادغام می‌شوند.

🟢تحلیل فنی سرقت اطلاعات Shuyal که قادر به دزدیدن داده‌ها از 19 مرورگر است.

🟠نشت بزرگ اطلاعات پاسپورت کاربران Discord. مهاجمان از Zendesk بین 70 هزار (نسخه Discord) تا 5.5 میلیون (نسخه هکرها) عکس مدارک را سرقت کرده‌اند. اگر ورود به سایت‌ها با پاسپورت همچنان در جهان گسترش یابد، چنین حوادثی بیشتر خواهد شد.

🟢بر اساس برآورد Elliptic، خوشه Lazarus امسال بیش از 2 میلیارد دلار ارز دیجیتال سرقت کرده است.

🟣Docker برنامه Docker Hardened Images (DHI) خود را برای کسب‌وکارهای کوچک و متوسط به صورت اشتراکی در دسترس قرار داده است. در DHI تصاویر به‌روزرسانی شده با مجموعه‌ای محدود از سرویس‌ها و دسترسی‌ها و البته حداقل آسیب‌پذیری‌های شناخته شده وجود دارد.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

آیا واقعاً امنیت اطلاعات شما در خطر است؟
🔐 در دنیای فناوری عملیاتی ( OT )، جایی که سیستم‌های صنعتی زیرساخت‌های حیاتی را کنترل می‌کنند، #امنیت_سایبری فقط یک اولویت نیست، بلکه یک ضرورت است.
#دیتادیود (DataDiode) وارد می‌شود : یک راهکار امنیت سایبری مبتنی بر سخت‌افزار که جریان داده یک‌طرفه را اعمال می‌کند.

برخلاف فایروال‌ها یا فیلترهای نرم‌افزاری، دیودهای داده به‌طور فیزیکی از جریان داده‌ها در جهت معکوس جلوگیری می‌کنند و آنها را در برابر آسیب‌پذیری‌های نرم‌افزاری یا پیکربندی‌های نادرست مصون می‌دارند.

💡 نحوه کار:
یک دیود داده اجازه می‌دهد داده‌ها فقط از یک شبکه امن به یک شبکه با امنیت کمتر یا برعکس منتقل شوند - اما هرگز در هر دو جهت منتقل نمی‌شوند. این امر از طریق جداسازی فیزیکی مدارهای ارسال و دریافت حاصل می‌شود و ارتباط یک طرفه را تضمین می‌کند.
🏭 دلایل اهمیت آن در OT:
✅ از دارایی‌های حیاتی در برابر تهدیدات خارجی محافظت می‌کند
✅ با جلوگیری از دستکاری، یکپارچگی داده‌ها را تضمین می‌کند
✅ با محیط‌های با امنیت بالا (مانند شبکه‌های برق، تصفیه آب، نفت و گاز) مطابقت دارد
✅ با جداسازی سیستم‌های کنترل از شبکه‌های فناوری اطلاعات، سطح حمله را به حداقل می‌رساند.

در محیط‌هایی که آپتایم، ایمنی و قابلیت اطمینان غیرقابل مذاکره هستند، دیودهای داده یک لایه محافظتی در برابر خرابی ارائه می‌دهند.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t