آسیبپذیری
آسیبپذیری RCE روز صفر سیسکو در IOS به طور فعال در سطح اینترنت مورد بهرهبرداری قرار گرفت.
توسط گورو باران- ۲۴ سپتامبر ۲۰۲۵
آسیبپذیری RCE روز صفر سیسکو در IOS
سیسکو یک آسیبپذیری روز صفر با شناسه CVE-2025-20352 را در نرمافزارهای پرکاربرد IOS و IOS XE خود افشا کرده و تأیید کرده است که این آسیبپذیری بهطور فعال در سطح اینترنت مورد بهرهبرداری قرار گرفته است.
این نقص در زیرسیستم پروتکل مدیریت شبکه ساده (SNMP) وجود دارد و میتواند به یک مهاجم از راه دور اجازه دهد تا به اجرای کد از راه دور (RCE) دست یابد یا باعث ایجاد شرایط انکار سرویس (DoS) در دستگاههای آسیبپذیر شود.
این آسیبپذیری اولین بار در جریان بررسی یک پرونده پشتیبانی مرکز پشتیبانی فنی سیسکو (TAC) شناسایی شد.
این آسیبپذیری ریشه در یک وضعیت سرریز پشته (CWE-121) در زیرسیستم SNMP هر دو نرمافزار Cisco IOS و IOS XE دارد. یک مهاجم میتواند با ارسال یک بسته SNMP دستکاریشده از طریق شبکه IPv4 یا IPv6 به یک دستگاه آسیبدیده، این نقص را فعال کند.
این توصیهنامه که در ۲۴ سپتامبر ۲۰۲۵ منتشر شد، تأیید میکند که تمام نسخههای SNMP (نسخه ۱، نسخه ۲ و نسخه ۳) مستعد این آسیبپذیری هستند.
شدت این سوءاستفاده به سطح دسترسی مهاجم بستگی دارد:
یک مهاجم از راه دور با سطح دسترسی پایین اما احراز هویت شده میتواند باعث بارگذاری مجدد دستگاه آسیبدیده شود و منجر به وضعیت DoS گردد . این امر مستلزم دسترسی به یک رشته انجمن فقط خواندنی SNMPv2c یا اعتبارنامههای معتبر کاربر SNMPv3 است.
یک مهاجم با سطح دسترسی بالا و با اعتبارنامههای مدیریتی یا سطح دسترسی ۱۵ میتواند کد دلخواه را به عنوان rootکاربر در دستگاههایی که IOS XE را اجرا میکنند، اجرا کند و عملاً کنترل کامل سیستم را به دست گیرد.
این آسیبپذیری طیف وسیعی از دستگاههای سیسکو را که نسخههای آسیبپذیر نرمافزار IOS و IOS XE را که SNMP در آنها فعال است، اجرا میکنند، تحت تأثیر قرار میدهد. محصولات خاص ذکر شده شامل Meraki MS390 و سوئیچهای سری Cisco Catalyst 9300 هستند
هر دستگاهی که SNMP در آن فعال باشد، آسیبپذیر تلقی میشود، مگر اینکه پیکربندیهای خاصی برای مسدود کردن ترافیک مخرب در نظر گرفته شده باشد. مدیران میتوانند از show running-configدستوراتی برای تعیین فعال بودن SNMP در سیستمهای خود استفاده کنند.
سیسکو بهروزرسانیهای نرمافزاری را برای رفع این آسیبپذیری منتشر کرده است و اکیداً توصیه میکند که همه مشتریان برای رفع کامل این مشکل، نرمافزار خود را به یک نسخه وصلهشده ارتقا دهند. در این توصیهنامه که با عنوان شناسایی شده است cisco-sa-snmp-x4LPhte، تصریح شده است که هیچ راهحل جایگزینی در دسترس نیست.
برای سازمانهایی که نمیتوانند بلافاصله بهروزرسانیها را اعمال کنند، سیسکو یک تکنیک کاهش خطر ارائه داده است. مدیران میتوانند نمای SNMP را طوری پیکربندی کنند که شناسههای شیء (OID) آسیبدیده را حذف کند و از فعال شدن مسیر کد آسیبپذیر جلوگیری کند.
با این حال، سیسکو هشدار میدهد که این اقدام پیشگیرانه ممکن است عملکردهای مدیریت شبکه، مانند کشف دستگاه و نظارت بر موجودی سختافزار را مختل کند. به عنوان یک اقدام امنیتی عمومی، سیسکو همچنین توصیه میکند دسترسی SNMP را فقط به کاربران مورد اعتماد محدود کنید.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
آسیبپذیری RCE روز صفر سیسکو در IOS به طور فعال در سطح اینترنت مورد بهرهبرداری قرار گرفت.
توسط گورو باران- ۲۴ سپتامبر ۲۰۲۵
آسیبپذیری RCE روز صفر سیسکو در IOS
سیسکو یک آسیبپذیری روز صفر با شناسه CVE-2025-20352 را در نرمافزارهای پرکاربرد IOS و IOS XE خود افشا کرده و تأیید کرده است که این آسیبپذیری بهطور فعال در سطح اینترنت مورد بهرهبرداری قرار گرفته است.
این نقص در زیرسیستم پروتکل مدیریت شبکه ساده (SNMP) وجود دارد و میتواند به یک مهاجم از راه دور اجازه دهد تا به اجرای کد از راه دور (RCE) دست یابد یا باعث ایجاد شرایط انکار سرویس (DoS) در دستگاههای آسیبپذیر شود.
این آسیبپذیری اولین بار در جریان بررسی یک پرونده پشتیبانی مرکز پشتیبانی فنی سیسکو (TAC) شناسایی شد.
این آسیبپذیری ریشه در یک وضعیت سرریز پشته (CWE-121) در زیرسیستم SNMP هر دو نرمافزار Cisco IOS و IOS XE دارد. یک مهاجم میتواند با ارسال یک بسته SNMP دستکاریشده از طریق شبکه IPv4 یا IPv6 به یک دستگاه آسیبدیده، این نقص را فعال کند.
این توصیهنامه که در ۲۴ سپتامبر ۲۰۲۵ منتشر شد، تأیید میکند که تمام نسخههای SNMP (نسخه ۱، نسخه ۲ و نسخه ۳) مستعد این آسیبپذیری هستند.
شدت این سوءاستفاده به سطح دسترسی مهاجم بستگی دارد:
یک مهاجم از راه دور با سطح دسترسی پایین اما احراز هویت شده میتواند باعث بارگذاری مجدد دستگاه آسیبدیده شود و منجر به وضعیت DoS گردد . این امر مستلزم دسترسی به یک رشته انجمن فقط خواندنی SNMPv2c یا اعتبارنامههای معتبر کاربر SNMPv3 است.
یک مهاجم با سطح دسترسی بالا و با اعتبارنامههای مدیریتی یا سطح دسترسی ۱۵ میتواند کد دلخواه را به عنوان rootکاربر در دستگاههایی که IOS XE را اجرا میکنند، اجرا کند و عملاً کنترل کامل سیستم را به دست گیرد.
این آسیبپذیری طیف وسیعی از دستگاههای سیسکو را که نسخههای آسیبپذیر نرمافزار IOS و IOS XE را که SNMP در آنها فعال است، اجرا میکنند، تحت تأثیر قرار میدهد. محصولات خاص ذکر شده شامل Meraki MS390 و سوئیچهای سری Cisco Catalyst 9300 هستند
هر دستگاهی که SNMP در آن فعال باشد، آسیبپذیر تلقی میشود، مگر اینکه پیکربندیهای خاصی برای مسدود کردن ترافیک مخرب در نظر گرفته شده باشد. مدیران میتوانند از show running-configدستوراتی برای تعیین فعال بودن SNMP در سیستمهای خود استفاده کنند.
سیسکو بهروزرسانیهای نرمافزاری را برای رفع این آسیبپذیری منتشر کرده است و اکیداً توصیه میکند که همه مشتریان برای رفع کامل این مشکل، نرمافزار خود را به یک نسخه وصلهشده ارتقا دهند. در این توصیهنامه که با عنوان شناسایی شده است cisco-sa-snmp-x4LPhte، تصریح شده است که هیچ راهحل جایگزینی در دسترس نیست.
برای سازمانهایی که نمیتوانند بلافاصله بهروزرسانیها را اعمال کنند، سیسکو یک تکنیک کاهش خطر ارائه داده است. مدیران میتوانند نمای SNMP را طوری پیکربندی کنند که شناسههای شیء (OID) آسیبدیده را حذف کند و از فعال شدن مسیر کد آسیبپذیر جلوگیری کند.
با این حال، سیسکو هشدار میدهد که این اقدام پیشگیرانه ممکن است عملکردهای مدیریت شبکه، مانند کشف دستگاه و نظارت بر موجودی سختافزار را مختل کند. به عنوان یک اقدام امنیتی عمومی، سیسکو همچنین توصیه میکند دسترسی SNMP را فقط به کاربران مورد اعتماد محدود کنید.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
🔺 آسیبپذیریهای جدید قابل بهرهبرداری در دستگاههای Cisco
در پایان سپتامبر ۲۰۲۵، شرکت Cisco بولتنهایی درباره چندین آسیبپذیری بحرانی منتشر کرد. CVE‑2025‑20333، CVE‑2025‑20362 و CVE‑2025‑20352 هماکنون در حملات مورد استفاده قرار میگیرند و CVE‑2025‑20363 به عنوان یک آسیبپذیری با ریسک بالا شناخته شده است و ممکن است به زودی توسط مهاجمان بهرهبرداری شود.
محصولات Cisco Secure Firewall ASA / FTD، Cisco IOS، IOS XE، IOS XR در معرض خطر هستند.
برای آگاهی از نشانههای دستگاههای احتمالا آسیبپذیر و نحوه محافظت در برابر این آسیبپذیریها — در وبسایت سیسکو پیگیری کنید.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
در پایان سپتامبر ۲۰۲۵، شرکت Cisco بولتنهایی درباره چندین آسیبپذیری بحرانی منتشر کرد. CVE‑2025‑20333، CVE‑2025‑20362 و CVE‑2025‑20352 هماکنون در حملات مورد استفاده قرار میگیرند و CVE‑2025‑20363 به عنوان یک آسیبپذیری با ریسک بالا شناخته شده است و ممکن است به زودی توسط مهاجمان بهرهبرداری شود.
محصولات Cisco Secure Firewall ASA / FTD، Cisco IOS، IOS XE، IOS XR در معرض خطر هستند.
برای آگاهی از نشانههای دستگاههای احتمالا آسیبپذیر و نحوه محافظت در برابر این آسیبپذیریها — در وبسایت سیسکو پیگیری کنید.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
آسیبپذیری سرور وب VPN در نرمافزارهای فریمویر فایروالهای Cisco Adaptive Security Appliance (ASA) و Cisco Firepower Threat Defense (FTD) مربوط به کپی کردن بافر بدون بررسی اندازه دادههای ورودی است. بهرهبرداری از این آسیبپذیری میتواند به مهاجم از راه دور اجازه دهد تا با ارسال درخواستهای HTTP بهطور خاص ساخته شده، کد دلخواه را با دسترسی root اجرا کند.
BDU:2025-11706
CVE-2025-20333
نصب بهروزرسانیها از منابع معتبر. با توجه به شرایط موجود و تحریمهای اعمال شده ، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- استفاده از فرمان CLI show running-config برای بررسی پیکربندی دستگاه به منظور شناسایی نشانههای زیر:
برای Cisco Secure Firewall ASA:
crypto ikev2 enable client-services port ;
webvpn
mus password
mus server enable
mus ;
webvpn
enable ;
برای Cisco Secure Firewall FTD:
crypto ikev2 enable client-services port ;
webvpn
enable ;
- محدود کردن دسترسی به دستگاه آسیبپذیر با استفاده از طرح دسترسی «فهرست سفید»؛
- استفاده از سیستمهای تشخیص و جلوگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیری؛
- محدود کردن دسترسی به دستگاه آسیبپذیر از شبکههای خارجی (اینترنت).
استفاده از توصیهها:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
BDU:2025-11706
CVE-2025-20333
نصب بهروزرسانیها از منابع معتبر. با توجه به شرایط موجود و تحریمهای اعمال شده ، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- استفاده از فرمان CLI show running-config برای بررسی پیکربندی دستگاه به منظور شناسایی نشانههای زیر:
برای Cisco Secure Firewall ASA:
crypto ikev2 enable client-services port ;
webvpn
mus password
mus server enable
mus ;
webvpn
enable ;
برای Cisco Secure Firewall FTD:
crypto ikev2 enable client-services port ;
webvpn
enable ;
- محدود کردن دسترسی به دستگاه آسیبپذیر با استفاده از طرح دسترسی «فهرست سفید»؛
- استفاده از سیستمهای تشخیص و جلوگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیری؛
- محدود کردن دسترسی به دستگاه آسیبپذیر از شبکههای خارجی (اینترنت).
استفاده از توصیهها:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Cisco
Cisco Security Advisory: Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software…
Update: On November 5, 2025, Cisco became aware of a new attack variant against devices running Cisco Secure ASA Software or Cisco Secure FTD Software releases that are affected by CVE-2025-20333 and CVE-2025-20362. This attack can cause unpatched devices…
🔓 هوش مصنوعی کدهای PIN را در کسری از ثانیه هک میکند
کد PIN یک عنصر ضروری برای محافظت حتی هنگام استفاده از اثر انگشت و تشخیص چهره است. اما دقیقاً همین کد به آسیبپذیرترین نقطه تبدیل میشود. هوش مصنوعی دیگر فقط ترکیبها را حدس نمیزند — بلکه آنها را پیشبینی میکند. در تحقیقی توسط Messente، شبکه عصبی کد «5555» را در 0.37 ثانیه رمزگشایی کرد. حتی «1234» و «سال تولد» برای آن دشوار نیستند.
دلیلش در الگوهایی است که مردم برای انتخاب کدها استفاده میکنند. الگوریتمها روانشناسی رفتاری را در نظر میگیرند و فقط گزینهها را امتحان نمیکنند. ریسک،زمانی بیشترین است که همان کد PIN برای تلفن و کارت بانکی استفاده شود. در صورت گم شدن دستگاه، این دسترسی مستقیم به تمام دادهها و حسابها است.
توصیه : کاملاً از کدهای چهار رقمی صرفنظر کنید. سیستم قفل اجازه وارد کردن تا 10 رقم را میدهد. چنین رمز عبوری حتی برای پیشرفتهترین الگوریتمهای هوش مصنوعی غیرقابل نفوذ باقی میماند. فعلاً.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
انجمن تخصصی AI.Sec:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
کد PIN یک عنصر ضروری برای محافظت حتی هنگام استفاده از اثر انگشت و تشخیص چهره است. اما دقیقاً همین کد به آسیبپذیرترین نقطه تبدیل میشود. هوش مصنوعی دیگر فقط ترکیبها را حدس نمیزند — بلکه آنها را پیشبینی میکند. در تحقیقی توسط Messente، شبکه عصبی کد «5555» را در 0.37 ثانیه رمزگشایی کرد. حتی «1234» و «سال تولد» برای آن دشوار نیستند.
دلیلش در الگوهایی است که مردم برای انتخاب کدها استفاده میکنند. الگوریتمها روانشناسی رفتاری را در نظر میگیرند و فقط گزینهها را امتحان نمیکنند. ریسک،زمانی بیشترین است که همان کد PIN برای تلفن و کارت بانکی استفاده شود. در صورت گم شدن دستگاه، این دسترسی مستقیم به تمام دادهها و حسابها است.
توصیه : کاملاً از کدهای چهار رقمی صرفنظر کنید. سیستم قفل اجازه وارد کردن تا 10 رقم را میدهد. چنین رمز عبوری حتی برای پیشرفتهترین الگوریتمهای هوش مصنوعی غیرقابل نفوذ باقی میماند. فعلاً.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
انجمن تخصصی AI.Sec:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
ابزار تست نفوذ به اسباببازی محبوب مجرمان سایبری تبدیل شد
🤖 HexStrike AI — یک چارچوب تست نفوذ متنباز جدید — تقریباً بلافاصله پس از انتشار به دست مجرمان سایبری افتاد تقریباً بلافاصله. اکنون ساخت اکسپلویت برای آسیبپذیریهای تازه مانند CVE-2025-7775 در Citrix NetScaler به جای هفتهها، در عرض چند دقیقه انجام میشود. هوش مصنوعی به طور خودکار زنجیرههای حمله را تولید میکند و سیستمهای آسیبپذیر را پیدا میکند، کاری که زمانی نیازمند تجربه زیاد و زمان طولانی بود را به یک فرایند روتین تبدیل کرده است.
⚡️ سرعت افزایش تهدید شگفتانگیز است: تنها ۱۲ ساعت پس از افشای یک آسیبپذیری بحرانی در NetScaler، مهاجمان در فرومهای دارکنت با حملات آماده خود خودنمایی کردند. قبلاً برای درک معماری سیستم، دور زدن محافظت و نوشتن اکسپلویت پایدار هفتهها مطالعه لازم بود. اکنون HexStrike با بیش از ۱۵۰ ابزار و دهها عامل هوش مصنوعی یکپارچه شده است که تمام کارهای کثیف را به تنهایی انجام میدهند.
🔥 ما شاهد تغییر بنیادین در چشمانداز تهدیدات سایبری هستیم. مانع ورود به دنیای حملات جدی فرو ریخته است — اکنون نیازی نیست که استاد مهندسی معکوس باشید تا از آسیبپذیریهای zero-day در سیستمهای سازمانی سوءاستفاده کنید. مدافعان باید رویکردهای خود را در واکنش به حوادث به طور اساسی تغییر دهند.
#هوش_مصنوعی #اکسپلویت #تست_نفوذ #خودکارسازی_حملات
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
🤖 HexStrike AI — یک چارچوب تست نفوذ متنباز جدید — تقریباً بلافاصله پس از انتشار به دست مجرمان سایبری افتاد تقریباً بلافاصله. اکنون ساخت اکسپلویت برای آسیبپذیریهای تازه مانند CVE-2025-7775 در Citrix NetScaler به جای هفتهها، در عرض چند دقیقه انجام میشود. هوش مصنوعی به طور خودکار زنجیرههای حمله را تولید میکند و سیستمهای آسیبپذیر را پیدا میکند، کاری که زمانی نیازمند تجربه زیاد و زمان طولانی بود را به یک فرایند روتین تبدیل کرده است.
⚡️ سرعت افزایش تهدید شگفتانگیز است: تنها ۱۲ ساعت پس از افشای یک آسیبپذیری بحرانی در NetScaler، مهاجمان در فرومهای دارکنت با حملات آماده خود خودنمایی کردند. قبلاً برای درک معماری سیستم، دور زدن محافظت و نوشتن اکسپلویت پایدار هفتهها مطالعه لازم بود. اکنون HexStrike با بیش از ۱۵۰ ابزار و دهها عامل هوش مصنوعی یکپارچه شده است که تمام کارهای کثیف را به تنهایی انجام میدهند.
🔥 ما شاهد تغییر بنیادین در چشمانداز تهدیدات سایبری هستیم. مانع ورود به دنیای حملات جدی فرو ریخته است — اکنون نیازی نیست که استاد مهندسی معکوس باشید تا از آسیبپذیریهای zero-day در سیستمهای سازمانی سوءاستفاده کنید. مدافعان باید رویکردهای خود را در واکنش به حوادث به طور اساسی تغییر دهند.
#هوش_مصنوعی #اکسپلویت #تست_نفوذ #خودکارسازی_حملات
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
🔺شرکت توزیع سوخت بنزین اسرائیلی هک شد
🔹 برخی منابع محلی عبری گزارش دادند که شرکت سوخت اسرائیلی «دِلِک» (بهعبری: דלק), با نام کامل «شرکت سوخت اسرائیل با مسئولیت محدود»، که بیشتر با نام «دِلِک» شناخته میشود برای ساعاتی هک شده است.
🔹 دلک یکی از چهار شرکت بزرگ سوخت در اسرائیل است.
🔹 این شرکت مالک صدها پمپبنزین در سراسر فلسطین اشغالی است که در برخی از آنها فروشگاههای زنجیرهای تحت برند «مانتا» (Menta) و مجتمعهای خردهفروشی نیز فعالیت دارند.
🔹 شرکت «دِلِک» همچنین مالک چندین شرکت تابعه در حوزههای انرژی و لجستیک است که خدماتی از جمله حملونقل سوخت، سامانههای لجستیکی، تولید روغنها و نیز خدمات سوخترسانی به کشتیها در بنادر اسرائیل و سایر نقاط جهان ارائه میدهند.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
🔹 برخی منابع محلی عبری گزارش دادند که شرکت سوخت اسرائیلی «دِلِک» (بهعبری: דלק), با نام کامل «شرکت سوخت اسرائیل با مسئولیت محدود»، که بیشتر با نام «دِلِک» شناخته میشود برای ساعاتی هک شده است.
🔹 دلک یکی از چهار شرکت بزرگ سوخت در اسرائیل است.
🔹 این شرکت مالک صدها پمپبنزین در سراسر فلسطین اشغالی است که در برخی از آنها فروشگاههای زنجیرهای تحت برند «مانتا» (Menta) و مجتمعهای خردهفروشی نیز فعالیت دارند.
🔹 شرکت «دِلِک» همچنین مالک چندین شرکت تابعه در حوزههای انرژی و لجستیک است که خدماتی از جمله حملونقل سوخت، سامانههای لجستیکی، تولید روغنها و نیز خدمات سوخترسانی به کشتیها در بنادر اسرائیل و سایر نقاط جهان ارائه میدهند.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
آسیبپذیری عملکرد Oracle Concurrent Processing در سیستم اتوماسیون فعالیتهای سازمان Oracle E-Business Suite به نقصهای رویه احراز هویت مرتبط است. بهرهبرداری از این آسیبپذیری میتواند به مهاجم از راه دور اجازه دهد تا با ارسال درخواست HTTP بهطور خاص ساخته شده، کد دلخواه را اجرا کند.
BDU:2025-12468
CVE-2025-61882
نصب بهروزرسانیها از منابع معتبر. با توجه به شرایط موجود و تحریمهای اعمال شده، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- استفاده از ابزارهای فایروال برنامههای وب (WAF) برای فیلتر کردن درخواستهای HTTP؛
- محدود کردن دسترسی از شبکههای خارجی (اینترنت)؛
- تقسیمبندی شبکه برای محدود کردن دسترسی به سیستم آسیبپذیر؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیریها.
استفاده از توصیهها:
https://www.oracle.com/security-alerts/alert-cve-2025-61882.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
BDU:2025-12468
CVE-2025-61882
نصب بهروزرسانیها از منابع معتبر. با توجه به شرایط موجود و تحریمهای اعمال شده، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- استفاده از ابزارهای فایروال برنامههای وب (WAF) برای فیلتر کردن درخواستهای HTTP؛
- محدود کردن دسترسی از شبکههای خارجی (اینترنت)؛
- تقسیمبندی شبکه برای محدود کردن دسترسی به سیستم آسیبپذیر؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیریها.
استفاده از توصیهها:
https://www.oracle.com/security-alerts/alert-cve-2025-61882.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
آسیبپذیری اجزای Zabbix Agent و Agent2 در سیستم نظارت بر زیرساخت فناوری اطلاعات Zabbix به نقصهای مکانیزم کنترل بارگذاری فایل پیکربندی OpenSSL مربوط میشود. بهرهبرداری از این آسیبپذیری میتواند به نفوذگر اجازه دهد امتیازات خود را با وارد کردن فایل DLL بهطور خاص ساخته شده افزایش دهد.
BDU:2025-12554
CVE-2025-27237
نصب بهروزرسانیها از منابع معتبر، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- استفاده از نرمافزار آنتیویروس برای بررسی فایلهای دریافت شده از منابع نامعتبر؛
- استفاده از محیط نرمافزاری بسته برای کار با فایلهای دریافت شده از منابع نامعتبر؛
- استفاده از سیستمهای SIEM برای رصد رویدادهای مرتبط با تغییر فایل پیکربندی OpenSSL؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیریها.
استفاده از توصیهها:
https://support.zabbix.com/browse/ZBX-27061
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
BDU:2025-12554
CVE-2025-27237
نصب بهروزرسانیها از منابع معتبر، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- استفاده از نرمافزار آنتیویروس برای بررسی فایلهای دریافت شده از منابع نامعتبر؛
- استفاده از محیط نرمافزاری بسته برای کار با فایلهای دریافت شده از منابع نامعتبر؛
- استفاده از سیستمهای SIEM برای رصد رویدادهای مرتبط با تغییر فایل پیکربندی OpenSSL؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیریها.
استفاده از توصیهها:
https://support.zabbix.com/browse/ZBX-27061
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
تهدیدات سایبری در هوا
گروه NoName057(16) اعلام کرد که پنل HMI سیستم تهویه و گرمایش در کارخانه مبلمان لهستانی Meble Woźniak را هک کرده است. در همه مواردی که سیستمهای کنترل تجهیزات هک میشوند، از طریق رابط کاربری مشخص نیست که این سیستم چیست، اما در این مورد محصول شرکت لهستانی JM Infotel است که در اتوماسیون گرمایش، تهویه و تهویه مطبوع تخصص دارد.
در ویدیوی منتشر شده توسط مهاجمان نشان داده شده است که چگونه آنها به مدت ۲۰ دقیقه پارامترهای دلخواه تمام تنظیمات موجود (شامل دمای تعیین شده، هیسترزیس) را تنظیم میکنند، حالتها را از خودکار به دستی تغییر میدهند و در پایان رمز عبور را تغییر داده و نام گروه را به عنوان نام سیستم قرار میدهند. در یک لحظه در ویدیو پیامی از TightVNC Viewer درباره قطع اتصال ظاهر میشود — به گفته هکرها، این «اپراتور ناشی تلاش کرد دسترسی داوطلبان ما را قطع کند»، اما بینتیجه بود.
شرکت امنیت اطلاعات لهستانی RIFFSEC این حمله را یک نمایش تبلیغاتی خواند و افزود که CERT ملی از این حادثه مطلع است.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
کانال تلگرام:
https://t.me/ics_cert
گروه NoName057(16) اعلام کرد که پنل HMI سیستم تهویه و گرمایش در کارخانه مبلمان لهستانی Meble Woźniak را هک کرده است. در همه مواردی که سیستمهای کنترل تجهیزات هک میشوند، از طریق رابط کاربری مشخص نیست که این سیستم چیست، اما در این مورد محصول شرکت لهستانی JM Infotel است که در اتوماسیون گرمایش، تهویه و تهویه مطبوع تخصص دارد.
در ویدیوی منتشر شده توسط مهاجمان نشان داده شده است که چگونه آنها به مدت ۲۰ دقیقه پارامترهای دلخواه تمام تنظیمات موجود (شامل دمای تعیین شده، هیسترزیس) را تنظیم میکنند، حالتها را از خودکار به دستی تغییر میدهند و در پایان رمز عبور را تغییر داده و نام گروه را به عنوان نام سیستم قرار میدهند. در یک لحظه در ویدیو پیامی از TightVNC Viewer درباره قطع اتصال ظاهر میشود — به گفته هکرها، این «اپراتور ناشی تلاش کرد دسترسی داوطلبان ما را قطع کند»، اما بینتیجه بود.
شرکت امنیت اطلاعات لهستانی RIFFSEC این حمله را یک نمایش تبلیغاتی خواند و افزود که CERT ملی از این حادثه مطلع است.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
کانال تلگرام:
https://t.me/ics_cert
❤1
آتشسوزی مرکز داده کره جنوبی: حافظه دیجیتال یک ملت پاک شد.
آتشسوزی مرکز داده ملی در کره جنوبی ۸۵۸ ترابایت داده، اسناد ۱۹۱۰۰۰ کارمند دولتی و دهها سیستم دولتی را نابود کرد.
دلیلش؟ فرار حرارتی در باتریهای لیتیوم-یونی و... سیستمی بدون پشتیبان.
این حادثه درسی پرهزینه اما فراموشنشدنی به دنیای فناوری اطلاعات آموخت: «مهم نیست مرکز داده چقدر قدرتمند باشد، اگر پشتیبان ضعیف باشد، سیستم در واقع وجود ندارد.»
درسهای فنی که باید از این فاجعه آموخت:
• 🔹 قانون پشتیبانگیری ۳-۲-۱ نباید نادیده گرفته شود. (۳ نسخه، ۲ رسانه مختلف، ۱ خارج از سایت)
• 🔹 آزمایشهای تأیید و بازیابی پشتیبان باید اجباری باشد.
• 🔹 معماری DC با افزونگی جغرافیایی دیگر نباید یک تجمل باشد، بلکه باید استاندارد باشد.
• 🔹 طرحهای DR (بازیابی پس از سانحه) باید حداقل سالی دو بار آزمایش شوند.
• 🔹 مناطق UPS و باتری باید به عنوان مناطق آتشسوزی جداگانه طراحی شوند.
سیستمهای ما ممکن است امروز کار کنند، اما سوال اصلی این است: «اگر فردا آتشسوزی رخ دهد، آیا میتوانیم خودمان را بازیابی کنیم؟»
✅️برای مشاوره در حوزه طراحی BCP و DRP کافیست بامن تماس بگیرید.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
آتشسوزی مرکز داده ملی در کره جنوبی ۸۵۸ ترابایت داده، اسناد ۱۹۱۰۰۰ کارمند دولتی و دهها سیستم دولتی را نابود کرد.
دلیلش؟ فرار حرارتی در باتریهای لیتیوم-یونی و... سیستمی بدون پشتیبان.
این حادثه درسی پرهزینه اما فراموشنشدنی به دنیای فناوری اطلاعات آموخت: «مهم نیست مرکز داده چقدر قدرتمند باشد، اگر پشتیبان ضعیف باشد، سیستم در واقع وجود ندارد.»
درسهای فنی که باید از این فاجعه آموخت:
• 🔹 قانون پشتیبانگیری ۳-۲-۱ نباید نادیده گرفته شود. (۳ نسخه، ۲ رسانه مختلف، ۱ خارج از سایت)
• 🔹 آزمایشهای تأیید و بازیابی پشتیبان باید اجباری باشد.
• 🔹 معماری DC با افزونگی جغرافیایی دیگر نباید یک تجمل باشد، بلکه باید استاندارد باشد.
• 🔹 طرحهای DR (بازیابی پس از سانحه) باید حداقل سالی دو بار آزمایش شوند.
• 🔹 مناطق UPS و باتری باید به عنوان مناطق آتشسوزی جداگانه طراحی شوند.
سیستمهای ما ممکن است امروز کار کنند، اما سوال اصلی این است: «اگر فردا آتشسوزی رخ دهد، آیا میتوانیم خودمان را بازیابی کنیم؟»
✅️برای مشاوره در حوزه طراحی BCP و DRP کافیست بامن تماس بگیرید.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
هکرهای جهان برای حملات سایبری هماهنگ به دولت اسرائیل و بخشهای حیاتی آن متحد شدند
دادههای جدید Radware نشان میدهد که هفتم اکتبر، سالگرد حملات حماس به اسرائیل در سال ۲۰۲۳، به نقطه تجمعی برای هکرهای جهانی تبدیل شده و نمادگرایی سیاسی را به حملات سایبری هماهنگ تبدیل کرده است. در دو سال گذشته، هفتههای نزدیک به این تاریخ به طور مداوم شاهد افزایش حملات به اهداف اسرائیلی بوده است. گروههایی مانند Sylhet Gang بیشتر به عنوان موتورهای تبلیغاتی عمل میکنند تا مهاجمان مستقیم، و از تلگرام و X (که قبلاً توییتر بود) برای بسیج و تقویت فراخوانها برای اقدام دیجیتال استفاده میکنند.
دخالت NoName057(16) ، یک گروه هکری طرفدار روسیه، نشان میدهد که چگونه بازیگرانی با پیشینههای ژئوپلیتیکی مختلف علیه دشمنان مشترک متحد میشوند. این ترکیب ایدئولوژیها، پایداری و دامنه عملیات هکری را تقویت میکند. با وجود افزایش فعالیت، اکثر حملات کوتاهمدت بودند و اهداف با دید بالا، از جمله پورتالهای دولتی، ارائه دهندگان خدمات درمانی، تولیدکنندگان و سایتهای تجارت آنلاین را هدف قرار میدادند.
شرکت Radware در هشدار تهدید روز دوشنبه نوشت : «به دنبال درخواستهای هکرها برای اقدام سایبری هماهنگ علیه اسرائیل، شاهد افزایش شدید فعالیتهای ادعایی DDoS بین ۶ تا ۸ اکتبر بودیم.» «این تشدید حملات از ۶ اکتبر آغاز شد، زمانی که تعداد حملات ادعایی DDoS به ۲۶ مورد افزایش یافت که نشاندهنده مراحل اولیه یک کمپین هماهنگ بود. فعالیتها در ۷ اکتبر به اوج خود رسید و ۵۷ حمله DDoS در یک روز ثبت شد. این رقم بیش از ۱۴ برابر بیشتر از میانگین روزانه مشاهده شده در سپتامبر ۲۰۲۵ است.»
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
دادههای جدید Radware نشان میدهد که هفتم اکتبر، سالگرد حملات حماس به اسرائیل در سال ۲۰۲۳، به نقطه تجمعی برای هکرهای جهانی تبدیل شده و نمادگرایی سیاسی را به حملات سایبری هماهنگ تبدیل کرده است. در دو سال گذشته، هفتههای نزدیک به این تاریخ به طور مداوم شاهد افزایش حملات به اهداف اسرائیلی بوده است. گروههایی مانند Sylhet Gang بیشتر به عنوان موتورهای تبلیغاتی عمل میکنند تا مهاجمان مستقیم، و از تلگرام و X (که قبلاً توییتر بود) برای بسیج و تقویت فراخوانها برای اقدام دیجیتال استفاده میکنند.
دخالت NoName057(16) ، یک گروه هکری طرفدار روسیه، نشان میدهد که چگونه بازیگرانی با پیشینههای ژئوپلیتیکی مختلف علیه دشمنان مشترک متحد میشوند. این ترکیب ایدئولوژیها، پایداری و دامنه عملیات هکری را تقویت میکند. با وجود افزایش فعالیت، اکثر حملات کوتاهمدت بودند و اهداف با دید بالا، از جمله پورتالهای دولتی، ارائه دهندگان خدمات درمانی، تولیدکنندگان و سایتهای تجارت آنلاین را هدف قرار میدادند.
شرکت Radware در هشدار تهدید روز دوشنبه نوشت : «به دنبال درخواستهای هکرها برای اقدام سایبری هماهنگ علیه اسرائیل، شاهد افزایش شدید فعالیتهای ادعایی DDoS بین ۶ تا ۸ اکتبر بودیم.» «این تشدید حملات از ۶ اکتبر آغاز شد، زمانی که تعداد حملات ادعایی DDoS به ۲۶ مورد افزایش یافت که نشاندهنده مراحل اولیه یک کمپین هماهنگ بود. فعالیتها در ۷ اکتبر به اوج خود رسید و ۵۷ حمله DDoS در یک روز ثبت شد. این رقم بیش از ۱۴ برابر بیشتر از میانگین روزانه مشاهده شده در سپتامبر ۲۰۲۵ است.»
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
یک آسیبپذیری میانافزار در مبدلهای رسانهای سری TRC-2190 شامل استفاده از یک کلید رمزنگاری کدگذاری شده است. سوءاستفاده از این آسیبپذیری میتواند به یک مهاجم از راه دور اجازه دهد تا با استفاده از یک کلید خصوصی SSH که در دسترس عموم است، حمله مردی در میان را انجام دهد.
بهروزرسانیها را از منابع معتبر نصب کنید. توصیه میشود بهروزرسانیهای نرمافزار فقط پس از ارزیابی تمام خطرات مرتبط نصب شوند.
اقدامات مقابله:
- استفاده از فایروالها برای محدود کردن دسترسی از راه دور به دستگاه؛
- محدود کردن دسترسی از شبکههای خارجی (اینترنت)؛
- محدود کردن دسترسی به دستگاه با استفاده از یک طرح لیست سفید؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاشهایی برای سوءاستفاده از آسیبپذیریها؛
- استفاده از شبکههای خصوصی مجازی (VPN) برای دسترسی از راه دور.
استفاده از توصیهها:
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-251372-security-enhancement-ssh-known-hard-coded-private-keys
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
بهروزرسانیها را از منابع معتبر نصب کنید. توصیه میشود بهروزرسانیهای نرمافزار فقط پس از ارزیابی تمام خطرات مرتبط نصب شوند.
اقدامات مقابله:
- استفاده از فایروالها برای محدود کردن دسترسی از راه دور به دستگاه؛
- محدود کردن دسترسی از شبکههای خارجی (اینترنت)؛
- محدود کردن دسترسی به دستگاه با استفاده از یک طرح لیست سفید؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاشهایی برای سوءاستفاده از آسیبپذیریها؛
- استفاده از شبکههای خصوصی مجازی (VPN) برای دسترسی از راه دور.
استفاده از توصیهها:
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-251372-security-enhancement-ssh-known-hard-coded-private-keys
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Moxa
Security Enhancement: SSH Known Hard Coded Private Keys
❤1
آسیبپذیری نقطه دسترسی شبکه صنعتی Wi-Fi Rockwell Automation 1783-NATR مربوط به عدم احراز هویت برای عملکرد حیاتی است. بهرهبرداری از این آسیبپذیری میتواند به مهاجم از راه دور اجازه دهد با بهدست آوردن حساب کاربری مدیر یا تغییر قوانین پیکربندی NAT باعث ایجاد اختلال در سرویس شود.
CVE-2025-7328
نصب بهروزرسانیها از منابع معتبر. با توجه به شرایط موجود و تحریمهای اعمال شده، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- تقسیمبندی شبکه برای محدود کردن دسترسی به بخش صنعتی از سایر زیرشبکهها؛
- محدود کردن دسترسی از شبکههای خارجی (اینترنت)؛
- غیرفعالسازی/محدود کردن عملکرد مدیریت از راه دور برای جلوگیری از تلاشهای بهرهبرداری از آسیبپذیری (مثلاً ممنوعیت استفاده از پروتکلهای ناامن مانند HTTP یا Telnet)؛
- استفاده از رمزهای عبور قوی مطابق با سیاست رمز عبور پذیرفته شده در سازمان؛
- غیرفعالسازی عملکرد NAT و مسیریابی IP در صورتی که دستگاه در حالت پل (Workgroup Bridge) کار میکند.
استفاده از توصیهها:
https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1756.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
CVE-2025-7328
نصب بهروزرسانیها از منابع معتبر. با توجه به شرایط موجود و تحریمهای اعمال شده، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- تقسیمبندی شبکه برای محدود کردن دسترسی به بخش صنعتی از سایر زیرشبکهها؛
- محدود کردن دسترسی از شبکههای خارجی (اینترنت)؛
- غیرفعالسازی/محدود کردن عملکرد مدیریت از راه دور برای جلوگیری از تلاشهای بهرهبرداری از آسیبپذیری (مثلاً ممنوعیت استفاده از پروتکلهای ناامن مانند HTTP یا Telnet)؛
- استفاده از رمزهای عبور قوی مطابق با سیاست رمز عبور پذیرفته شده در سازمان؛
- غیرفعالسازی عملکرد NAT و مسیریابی IP در صورتی که دستگاه در حالت پل (Workgroup Bridge) کار میکند.
استفاده از توصیهها:
https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1756.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Rockwell Automation
SD1756 | Security Advisory | Rockwell Automation | US
Comms - 1783-NATR Multiple Vulnerabilities
آسیبپذیری رابط برنامهنویسی کاربردی (API) نرمافزار سیستمهای شبکه Moxa سریهای EDR-G9010، EDR-8010، EDF-G1002-BP، TN-4900، NAT-102، NAT-108، OnCell G4302-LTE4 مربوط به استفاده از دادههای حساب کاربری کدگذاری شده سخت است. بهرهبرداری از این آسیبپذیری میتواند به مهاجم از راه دور اجازه دهد تا با استفاده از توکنهای JSON Web Tokens (JWT) به طور کامل به دستگاه دسترسی پیدا کند.
CVE-2025-6950
نصب بهروزرسانیها از منابع معتبر. با توجه به شرایط موجود و تحریمهای اعمال شده، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- استفاده از فایروالها برای محدود کردن دسترسی از راه دور به دستگاه؛
- محدود کردن دسترسی از شبکههای خارجی (اینترنت)؛
- تقسیمبندی شبکه برای محدود کردن دسترسی به دستگاه آسیبپذیر؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیریها؛
- استفاده از شبکههای خصوصی مجازی (VPN) برای سازماندهی دسترسی از راه دور.
استفاده از توصیههای تولیدکننده:
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-258121-cve-2025-6892,-cve-2025-6893,-cve-2025-6894,-cve-2025-6949,-cve-2025-6950-multiple-vulnerabilities-in-netwo
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
CVE-2025-6950
نصب بهروزرسانیها از منابع معتبر. با توجه به شرایط موجود و تحریمهای اعمال شده، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- استفاده از فایروالها برای محدود کردن دسترسی از راه دور به دستگاه؛
- محدود کردن دسترسی از شبکههای خارجی (اینترنت)؛
- تقسیمبندی شبکه برای محدود کردن دسترسی به دستگاه آسیبپذیر؛
- استفاده از سیستمهای تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاشهای بهرهبرداری از آسیبپذیریها؛
- استفاده از شبکههای خصوصی مجازی (VPN) برای سازماندهی دسترسی از راه دور.
استفاده از توصیههای تولیدکننده:
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-258121-cve-2025-6892,-cve-2025-6893,-cve-2025-6894,-cve-2025-6949,-cve-2025-6950-multiple-vulnerabilities-in-netwo
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Moxa
CVE-2025-6892, CVE-2025-6893, CVE-2025-6894, CVE-2025-6949, CVE-2025-6950: Multiple Vulnerabilities in Network Security Appliances…
آسیبپذیری نرمافزارهای میکرو برنامه ماژولهای ارتباطی SIMATIC CP و SIPLUS به دلیل عدم احراز هویت برای عملکرد بحرانی وجود دارد. بهرهبرداری از این آسیبپذیری میتواند به نفوذگر از راه دور اجازه دسترسی کامل به اطلاعات پیکربندی را بدهد.
CVE-2025-40771
نصب بهروزرسانیها از منابع معتبر. با توجه به شرایط موجود و تحریمهای اعمال شده، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- استفاده از فایروال برای محدود کردن دسترسی به دستگاه آسیبپذیر؛
- تقسیمبندی شبکه برای محدود کردن دسترسی به دستگاه آسیبپذیر؛
- محدود کردن دسترسی از شبکههای خارجی (اینترنت)؛
- استفاده از شبکههای خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).
استفاده از توصیههای تولیدکننده:
https://cert-portal.siemens.com/productcert/html/ssa-486936.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
CVE-2025-40771
نصب بهروزرسانیها از منابع معتبر. با توجه به شرایط موجود و تحریمهای اعمال شده، توصیه میشود بهروزرسانیهای نرمافزاری تنها پس از ارزیابی تمامی ریسکهای مرتبط نصب شوند.
اقدامات جبرانی:
- استفاده از فایروال برای محدود کردن دسترسی به دستگاه آسیبپذیر؛
- تقسیمبندی شبکه برای محدود کردن دسترسی به دستگاه آسیبپذیر؛
- محدود کردن دسترسی از شبکههای خارجی (اینترنت)؛
- استفاده از شبکههای خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).
استفاده از توصیههای تولیدکننده:
https://cert-portal.siemens.com/productcert/html/ssa-486936.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
چشمانداز تهدیدات ENISA در سال ۲۰۲۵
آژانس اتحادیه اروپا برای امنیت سایبری (ENISA) گزارش «بررسی تهدیدات ENISA ۲۰۲۵» را منتشر کرده است. در این گزارش تقریباً ۴۹۰۰ حادثه سایبری که سازمانهای اروپایی را از ژوئیه ۲۰۲۴ تا ژوئن ۲۰۲۵ تحت تأثیر قرار دادهاند، تحلیل شده است.
روندهای اصلی:
۱. فیشینگ - اصلیترین بردار حمله (۶۰٪): همچنان روش اصلی نفوذ اولیه باقی مانده است. با تکنیکهایی مانند ClickFix، فیشینگ بهعنوان سرویس (PhaaS، مثلاً Darcula) و کویشینگ (فیشینگ با کد QR) تکامل یافته است.
۲. زنجیرههای تأمین و روابط اعتماد. مهاجمان بیشتر به ارائهدهندگان خدمات ثالث (شرکتهای فناوری اطلاعات، مخابرات) و زنجیرههای تأمین (بستههای مخرب npm، افزونههای مرورگر) حمله میکنند تا اثر حملات را افزایش دهند.
۳. حملات به دستگاههای موبایل: تهدیدات برای دستگاههای اندروید افزایش یافته است، از جمله برنامههای جاسوسی (KoSpy، BoneSpy)، تروجانهای بانکی (Medusa) و بهرهبرداری از آسیبپذیریها در زیرساختهای مخابراتی (SS7، Diameter).
۴. همگرایی گروههای تهدید: مرزها بین هکتیویسم، جرایم سایبری و گروههای حمایتشده دولتی محو میشود.
۵. استفاده پیشبینیشده از هوش مصنوعی: هوش مصنوعی به طور فعال برای ایجاد ایمیلهای فیشینگ قانعکنندهتر (بیش از ۸۰٪ فیشینگها از هوش مصنوعی استفاده میکنند)، تولید جعلهای با کیفیت (دیپفیکها)، توسعه نرمافزارهای مخرب و دور زدن کشف به کار میرود. همچنین حملاتی به خود هوش مصنوعی مشاهده شده است - جیلبریکها، مسمومسازی مدل و حملات به زنجیره تأمین مدلهای هوش مصنوعی.
بیشترین هدفها:
- مدیریت دولتی - ۳۸.۲٪
- حمل و نقل - ۷.۵٪
- زیرساختها و خدمات دیجیتال - ۴.۸٪
- مالی - ۴.۵٪
- تولید - ۲.۹٪
انواع اصلی تهدیدات:
۱. جرایم سایبری - ۱۳.۴٪ از حوادث
۲. گروههای دولتی - ۷.۲٪
۳. هکتیویسم - ۷۹٪
۴. دستکاری اطلاعات (دخالت و دستکاری اطلاعات خارجی، FIMI) -
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
آژانس اتحادیه اروپا برای امنیت سایبری (ENISA) گزارش «بررسی تهدیدات ENISA ۲۰۲۵» را منتشر کرده است. در این گزارش تقریباً ۴۹۰۰ حادثه سایبری که سازمانهای اروپایی را از ژوئیه ۲۰۲۴ تا ژوئن ۲۰۲۵ تحت تأثیر قرار دادهاند، تحلیل شده است.
روندهای اصلی:
۱. فیشینگ - اصلیترین بردار حمله (۶۰٪): همچنان روش اصلی نفوذ اولیه باقی مانده است. با تکنیکهایی مانند ClickFix، فیشینگ بهعنوان سرویس (PhaaS، مثلاً Darcula) و کویشینگ (فیشینگ با کد QR) تکامل یافته است.
۲. زنجیرههای تأمین و روابط اعتماد. مهاجمان بیشتر به ارائهدهندگان خدمات ثالث (شرکتهای فناوری اطلاعات، مخابرات) و زنجیرههای تأمین (بستههای مخرب npm، افزونههای مرورگر) حمله میکنند تا اثر حملات را افزایش دهند.
۳. حملات به دستگاههای موبایل: تهدیدات برای دستگاههای اندروید افزایش یافته است، از جمله برنامههای جاسوسی (KoSpy، BoneSpy)، تروجانهای بانکی (Medusa) و بهرهبرداری از آسیبپذیریها در زیرساختهای مخابراتی (SS7، Diameter).
۴. همگرایی گروههای تهدید: مرزها بین هکتیویسم، جرایم سایبری و گروههای حمایتشده دولتی محو میشود.
۵. استفاده پیشبینیشده از هوش مصنوعی: هوش مصنوعی به طور فعال برای ایجاد ایمیلهای فیشینگ قانعکنندهتر (بیش از ۸۰٪ فیشینگها از هوش مصنوعی استفاده میکنند)، تولید جعلهای با کیفیت (دیپفیکها)، توسعه نرمافزارهای مخرب و دور زدن کشف به کار میرود. همچنین حملاتی به خود هوش مصنوعی مشاهده شده است - جیلبریکها، مسمومسازی مدل و حملات به زنجیره تأمین مدلهای هوش مصنوعی.
بیشترین هدفها:
- مدیریت دولتی - ۳۸.۲٪
- حمل و نقل - ۷.۵٪
- زیرساختها و خدمات دیجیتال - ۴.۸٪
- مالی - ۴.۵٪
- تولید - ۲.۹٪
انواع اصلی تهدیدات:
۱. جرایم سایبری - ۱۳.۴٪ از حوادث
۲. گروههای دولتی - ۷.۲٪
۳. هکتیویسم - ۷۹٪
۴. دستکاری اطلاعات (دخالت و دستکاری اطلاعات خارجی، FIMI) -
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
حملات در AWS، ابزارهای جدید باجگیران و دیگر تحقیقات APT در هفته
🟣تحلیل فنی حملات به محیطهای AWS که توسط گروه باجگیر Crimson Collective انجام شده است. شناختهشدهترین قربانی تا امروز Red Hat است.
🟣در حملات باجافزاری استفاده از Velociraptor مشاهده شده است — نرمافزاری متنباز برای جرمشناسی دیجیتال. گروه Storm-2603 که با باجافزارهای Warlock، LockBit و Babuk مرتبط است، از نسخه قدیمی این نرمافزار که آسیبپذیر به افزایش امتیاز است، برای نفوذ به شبکه و نصب VSCode استفاده کرده است که البته تنها به تونلها نیاز داشتند.
🔴در حملاتی که با استفاده از شل China Chopper به سرویسهای وب نفوذ میکنند، در مراحل بعدی نفوذ از ابزار متنباز چینی Nezha استفاده شده است که معمولاً برای نظارت مدیران سرور طراحی شده است.
🟢بررسی حملات جاسوسی که توسط گروه UTA0388 به سازمانهای اروپا، آسیا و آمریکا انجام شده است. فیشینگ هدفمند احتمالاً با کمک LLM آماده شده است، زیرا ایمیلها به پنج زبان ارسال شدهاند. در عین حال، در آنها نکات عجیبی وجود دارد که مختص عوامل هوش مصنوعی است، مانند تغییر زبان پراکنده یا تلاش برای ارسال ایمیل به آدرسهای کاملاً ناموجود. در صورت موفقیت فیشینگ، بدافزار GOVERSHELL روی قربانی نصب میشود.
🔵از کسبوکارهای کوچک و متوسط به عنوان «وثیقه» پول طلب میکنند و پیشنهاد میدهند تامینکننده شرکتهای بزرگ هواپیمایی شوند. این طرح کاملاً مهندسی اجتماعی است و بدافزار استفاده نمیشود.
🟣بررسی باتنت بهروزشده RondoDox که اکنون تقریباً از 60 آسیبپذیری در 50 دستگاه مختلف (عمدتاً روترها، وبسرورها، NAS و دوربینهای IP) برای اهداف DDoS و استخراج استفاده میکند.
🟠نوع جدید و جالبی از ClickFix — صفحه وب مخرب حاوی بدافزار به شکل تصویر است و اسکریپت PowerShell آن را فعال میکند، ابتدا با جستجو در کش مرورگر.
🔵راستی، حملات ClickFix اکنون مستقیماً در کیتهای فیشینگ ادغام میشوند.
🟢تحلیل فنی سرقت اطلاعات Shuyal که قادر به دزدیدن دادهها از 19 مرورگر است.
🟠نشت بزرگ اطلاعات پاسپورت کاربران Discord. مهاجمان از Zendesk بین 70 هزار (نسخه Discord) تا 5.5 میلیون (نسخه هکرها) عکس مدارک را سرقت کردهاند. اگر ورود به سایتها با پاسپورت همچنان در جهان گسترش یابد، چنین حوادثی بیشتر خواهد شد.
🟢بر اساس برآورد Elliptic، خوشه Lazarus امسال بیش از 2 میلیارد دلار ارز دیجیتال سرقت کرده است.
🟣Docker برنامه Docker Hardened Images (DHI) خود را برای کسبوکارهای کوچک و متوسط به صورت اشتراکی در دسترس قرار داده است. در DHI تصاویر بهروزرسانی شده با مجموعهای محدود از سرویسها و دسترسیها و البته حداقل آسیبپذیریهای شناخته شده وجود دارد.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
🟣تحلیل فنی حملات به محیطهای AWS که توسط گروه باجگیر Crimson Collective انجام شده است. شناختهشدهترین قربانی تا امروز Red Hat است.
🟣در حملات باجافزاری استفاده از Velociraptor مشاهده شده است — نرمافزاری متنباز برای جرمشناسی دیجیتال. گروه Storm-2603 که با باجافزارهای Warlock، LockBit و Babuk مرتبط است، از نسخه قدیمی این نرمافزار که آسیبپذیر به افزایش امتیاز است، برای نفوذ به شبکه و نصب VSCode استفاده کرده است که البته تنها به تونلها نیاز داشتند.
🔴در حملاتی که با استفاده از شل China Chopper به سرویسهای وب نفوذ میکنند، در مراحل بعدی نفوذ از ابزار متنباز چینی Nezha استفاده شده است که معمولاً برای نظارت مدیران سرور طراحی شده است.
🟢بررسی حملات جاسوسی که توسط گروه UTA0388 به سازمانهای اروپا، آسیا و آمریکا انجام شده است. فیشینگ هدفمند احتمالاً با کمک LLM آماده شده است، زیرا ایمیلها به پنج زبان ارسال شدهاند. در عین حال، در آنها نکات عجیبی وجود دارد که مختص عوامل هوش مصنوعی است، مانند تغییر زبان پراکنده یا تلاش برای ارسال ایمیل به آدرسهای کاملاً ناموجود. در صورت موفقیت فیشینگ، بدافزار GOVERSHELL روی قربانی نصب میشود.
🔵از کسبوکارهای کوچک و متوسط به عنوان «وثیقه» پول طلب میکنند و پیشنهاد میدهند تامینکننده شرکتهای بزرگ هواپیمایی شوند. این طرح کاملاً مهندسی اجتماعی است و بدافزار استفاده نمیشود.
🟣بررسی باتنت بهروزشده RondoDox که اکنون تقریباً از 60 آسیبپذیری در 50 دستگاه مختلف (عمدتاً روترها، وبسرورها، NAS و دوربینهای IP) برای اهداف DDoS و استخراج استفاده میکند.
🟠نوع جدید و جالبی از ClickFix — صفحه وب مخرب حاوی بدافزار به شکل تصویر است و اسکریپت PowerShell آن را فعال میکند، ابتدا با جستجو در کش مرورگر.
🔵راستی، حملات ClickFix اکنون مستقیماً در کیتهای فیشینگ ادغام میشوند.
🟢تحلیل فنی سرقت اطلاعات Shuyal که قادر به دزدیدن دادهها از 19 مرورگر است.
🟠نشت بزرگ اطلاعات پاسپورت کاربران Discord. مهاجمان از Zendesk بین 70 هزار (نسخه Discord) تا 5.5 میلیون (نسخه هکرها) عکس مدارک را سرقت کردهاند. اگر ورود به سایتها با پاسپورت همچنان در جهان گسترش یابد، چنین حوادثی بیشتر خواهد شد.
🟢بر اساس برآورد Elliptic، خوشه Lazarus امسال بیش از 2 میلیارد دلار ارز دیجیتال سرقت کرده است.
🟣Docker برنامه Docker Hardened Images (DHI) خود را برای کسبوکارهای کوچک و متوسط به صورت اشتراکی در دسترس قرار داده است. در DHI تصاویر بهروزرسانی شده با مجموعهای محدود از سرویسها و دسترسیها و البته حداقل آسیبپذیریهای شناخته شده وجود دارد.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
❤1
آیا واقعاً امنیت اطلاعات شما در خطر است؟
🔐 در دنیای فناوری عملیاتی ( OT )، جایی که سیستمهای صنعتی زیرساختهای حیاتی را کنترل میکنند، #امنیت_سایبری فقط یک اولویت نیست، بلکه یک ضرورت است.
#دیتادیود (DataDiode) وارد میشود : یک راهکار امنیت سایبری مبتنی بر سختافزار که جریان داده یکطرفه را اعمال میکند.
برخلاف فایروالها یا فیلترهای نرمافزاری، دیودهای داده بهطور فیزیکی از جریان دادهها در جهت معکوس جلوگیری میکنند و آنها را در برابر آسیبپذیریهای نرمافزاری یا پیکربندیهای نادرست مصون میدارند.
💡 نحوه کار:
یک دیود داده اجازه میدهد دادهها فقط از یک شبکه امن به یک شبکه با امنیت کمتر یا برعکس منتقل شوند - اما هرگز در هر دو جهت منتقل نمیشوند. این امر از طریق جداسازی فیزیکی مدارهای ارسال و دریافت حاصل میشود و ارتباط یک طرفه را تضمین میکند.
🏭 دلایل اهمیت آن در OT:
✅ از داراییهای حیاتی در برابر تهدیدات خارجی محافظت میکند
✅ با جلوگیری از دستکاری، یکپارچگی دادهها را تضمین میکند
✅ با محیطهای با امنیت بالا (مانند شبکههای برق، تصفیه آب، نفت و گاز) مطابقت دارد
✅ با جداسازی سیستمهای کنترل از شبکههای فناوری اطلاعات، سطح حمله را به حداقل میرساند.
در محیطهایی که آپتایم، ایمنی و قابلیت اطمینان غیرقابل مذاکره هستند، دیودهای داده یک لایه محافظتی در برابر خرابی ارائه میدهند.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
🔐 در دنیای فناوری عملیاتی ( OT )، جایی که سیستمهای صنعتی زیرساختهای حیاتی را کنترل میکنند، #امنیت_سایبری فقط یک اولویت نیست، بلکه یک ضرورت است.
#دیتادیود (DataDiode) وارد میشود : یک راهکار امنیت سایبری مبتنی بر سختافزار که جریان داده یکطرفه را اعمال میکند.
برخلاف فایروالها یا فیلترهای نرمافزاری، دیودهای داده بهطور فیزیکی از جریان دادهها در جهت معکوس جلوگیری میکنند و آنها را در برابر آسیبپذیریهای نرمافزاری یا پیکربندیهای نادرست مصون میدارند.
💡 نحوه کار:
یک دیود داده اجازه میدهد دادهها فقط از یک شبکه امن به یک شبکه با امنیت کمتر یا برعکس منتقل شوند - اما هرگز در هر دو جهت منتقل نمیشوند. این امر از طریق جداسازی فیزیکی مدارهای ارسال و دریافت حاصل میشود و ارتباط یک طرفه را تضمین میکند.
🏭 دلایل اهمیت آن در OT:
✅ از داراییهای حیاتی در برابر تهدیدات خارجی محافظت میکند
✅ با جلوگیری از دستکاری، یکپارچگی دادهها را تضمین میکند
✅ با محیطهای با امنیت بالا (مانند شبکههای برق، تصفیه آب، نفت و گاز) مطابقت دارد
✅ با جداسازی سیستمهای کنترل از شبکههای فناوری اطلاعات، سطح حمله را به حداقل میرساند.
در محیطهایی که آپتایم، ایمنی و قابلیت اطمینان غیرقابل مذاکره هستند، دیودهای داده یک لایه محافظتی در برابر خرابی ارائه میدهند.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
آسیبپذیری پردازشگر فایلهای LNK در سیستمعاملهای ویندوز به دلیل نقصهایی در مکانیزم بررسی دادههای ورودی ایجاد میشود. بهرهبرداری از این آسیبپذیری میتواند اجازه اجرای کد دلخواه را هنگام باز کردن فایل بهطور خاص ساخته شده بدهد.
CVE-2025-9491
اقدامات جبرانی:
- محدود کردن امکان باز کردن فایلهای دریافت شده از منابع غیرقابل اعتماد؛
- استفاده از نرمافزارهای ضدویروس برای بررسی فایلهای دریافت شده از منابع غیرقابل اعتماد؛
- استفاده از محیط نرمافزاری بسته برای کار با فایلهای دریافت شده از منابع غیرقابل اعتماد؛
- استفاده از سیستمهای SIEM برای رصد رویدادهای مرتبط با پردازش فایلهای LNK.
منابع اطلاعات:
https://www.zerodayinitiative.com/advisories/ZDI-25-148/
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
CVE-2025-9491
اقدامات جبرانی:
- محدود کردن امکان باز کردن فایلهای دریافت شده از منابع غیرقابل اعتماد؛
- استفاده از نرمافزارهای ضدویروس برای بررسی فایلهای دریافت شده از منابع غیرقابل اعتماد؛
- استفاده از محیط نرمافزاری بسته برای کار با فایلهای دریافت شده از منابع غیرقابل اعتماد؛
- استفاده از سیستمهای SIEM برای رصد رویدادهای مرتبط با پردازش فایلهای LNK.
منابع اطلاعات:
https://www.zerodayinitiative.com/advisories/ZDI-25-148/
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Zerodayinitiative
ZDI-25-148
(0Day) Microsoft Windows LNK File UI Misrepresentation Remote Code Execution Vulnerability
محققان در گزارش جدید خود تحلیلی درباره حملات اخیر گروه Cloud Atlas به شرکتهای فعال در بخش کشاورزی و صنایع دفاعی ارائه دادند.
به طور کلی، در طول سال ۲۰۲۵، Cloud Atlas فعالیتهای خود را افزایش داده و به شرکتهای روسی و بلاروسی حمله کرده است.
ویژگی بارز آنها تغییر دامنههای اینترنتی و همچنین آزمایش با نرمافزارهای مخرب پیوست شده به ایمیلهای فیشینگ بود.
در اواسط اکتبر، متخصصان حمله دیگری از Cloud Atlas را ثبت کردند که هدف آن یک شرکت روسی در بخش کشاورزی بود - هکرها به طور سنتی با ارسال پیوست مخرب از آدرس ایمیل mkrutij@list[.]ru شناخته شدند.
به عنوان طعمه، برنامهی همایش کشاورزی «گندم و دانههای روغنی ۲۰۲۵: بردار خوراکی» که در ۳۰ اکتبر ۲۰۲۵ در مسکو برگزار میشود، استفاده شده است و پیوست مخرب «برنامه همایش گندم و دانههای روغنی.doc» واقعاً شامل برنامه همایش است.
اجرای این پیوست باعث راهاندازی مکانیزم تحویل بار مفید میشود که همانند قبل باقی مانده است.
به عنوان بارگذار، همچنان فایل doc طعمه عمل میکند که از طریق قالب RTF فایلی را بارگذاری میکند که شامل اکسپلویت CVE-2017-11882 است و در این مورد از طریق لینک hxxps://kommando[.]live/us/?legal/terms/trialterms/secno بارگذاری میشود.
نتیجه اجرای قالب و بهرهبرداری از آسیبپذیری، بارگذاری دراپر us.txt از لینک hxxps://kommando[.]live/us/?secno/achro33 است که شامل بار مفید VBShower با C2 در hxxps://kommando[.]live/us/?product-kategorie/kosmetik/spezialseifen/instructible میباشد.
این اولین حمله به شرکتهای بخش کشاورزی در پاییز ۲۰۲۵ نیست. در حمله مشابهی در سپتامبر، مهاجمان با استفاده از ایمیل glotovao56@yandex[.]ru ایمیلهایی با موضوع «فرم TCH» و پیوست مخرب «فرم TCH.doc» ارسال کردند.
اجرای آن زنجیرهای از بارگذاری فایل RTF به نام regioninvest_net.doc از لینک hxxps:/regioninvest[.]net?pmmc.html/tubularian و دراپر un67.hta از لینک hxxps://regioninvest[.]net/tubularian/un67 را آغاز کرد.
بار مفید در دراپر، درپشتی VBShower backdoor با C2 در hxxps://news-freebase[.]com/categoria/brother/p-touch/1280cb-p-touch-brother-2/appres است.
در تحقیق حمله اکتبر، F6 دو فایل اضافی مرتبط با دامنه kommando[.]live را شناسایی کرد که روی پلتفرم VirusTotal بارگذاری شده بودند.
نام و محتوای آنها مرتبط با خریدها و جمعآوری دادههای کارکنان شرکتها بود که نشاندهنده اهداف احتمالی حمله - شرکتهای بخش صنایع دفاعی روسیه است.
تحلیل بیشتر زیرساخت شبکه و ویژگیهای فایلها منجر به شناسایی دامنه atelierdebondy[.]fr شد که توسط مهاجمان به عنوان سرور راه دور برای بارگذاری قالب استفاده میشد. در زمان تحلیل، بار مفید در دسترس نبود.
شایان ذکر است که این گروه به ندرت از دامنههای غیرمعمول برای خود استفاده میکند. چنین رفتاری تنها در نوامبر ۲۰۲۳ و اکتبر ۲۰۲۴ مشاهده شده است، زمانی که گروه از دامنههای e-mailing[.]online و jhsdshdkajdhgfyhsfhjshh[.]cfd در حملات به روسیه و بلاروس استفاده کرده است.
علاوه بر دامنهها، Cloud Atlas با روشهای تحویل بار مفید نیز آزمایش کرده است.
در ژوئیه ۲۰۲۵، دو فایل LNK مشابه در VirusTotal بارگذاری شدند که با نمونههایی که در پایان ۲۰۲۴ بارگذاری شده بودند مطابقت داشتند. دامنه istochnik[.]org به عنوان سرور راه دور استفاده شده بود.
مهاجمان تقریباً هیچ تغییری در دستورات ایجاد نکردند، به جز افزودن رشته ms-office; در فیلد User-Agent. علاوه بر این، پاسخ سرور به عنوان پارامتر صریح تابع ارسال میشود تا شناسایی کاهش یابد.
در هر دو مورد، بار مفید در دسترس نبود، اما تحلیل زیرساخت نشان داد که با اطمینان بالا حمله با استفاده از فایلهای LNK فوق توسط گروه APT Cloud Atlas انجام شده است.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
به طور کلی، در طول سال ۲۰۲۵، Cloud Atlas فعالیتهای خود را افزایش داده و به شرکتهای روسی و بلاروسی حمله کرده است.
ویژگی بارز آنها تغییر دامنههای اینترنتی و همچنین آزمایش با نرمافزارهای مخرب پیوست شده به ایمیلهای فیشینگ بود.
در اواسط اکتبر، متخصصان حمله دیگری از Cloud Atlas را ثبت کردند که هدف آن یک شرکت روسی در بخش کشاورزی بود - هکرها به طور سنتی با ارسال پیوست مخرب از آدرس ایمیل mkrutij@list[.]ru شناخته شدند.
به عنوان طعمه، برنامهی همایش کشاورزی «گندم و دانههای روغنی ۲۰۲۵: بردار خوراکی» که در ۳۰ اکتبر ۲۰۲۵ در مسکو برگزار میشود، استفاده شده است و پیوست مخرب «برنامه همایش گندم و دانههای روغنی.doc» واقعاً شامل برنامه همایش است.
اجرای این پیوست باعث راهاندازی مکانیزم تحویل بار مفید میشود که همانند قبل باقی مانده است.
به عنوان بارگذار، همچنان فایل doc طعمه عمل میکند که از طریق قالب RTF فایلی را بارگذاری میکند که شامل اکسپلویت CVE-2017-11882 است و در این مورد از طریق لینک hxxps://kommando[.]live/us/?legal/terms/trialterms/secno بارگذاری میشود.
نتیجه اجرای قالب و بهرهبرداری از آسیبپذیری، بارگذاری دراپر us.txt از لینک hxxps://kommando[.]live/us/?secno/achro33 است که شامل بار مفید VBShower با C2 در hxxps://kommando[.]live/us/?product-kategorie/kosmetik/spezialseifen/instructible میباشد.
این اولین حمله به شرکتهای بخش کشاورزی در پاییز ۲۰۲۵ نیست. در حمله مشابهی در سپتامبر، مهاجمان با استفاده از ایمیل glotovao56@yandex[.]ru ایمیلهایی با موضوع «فرم TCH» و پیوست مخرب «فرم TCH.doc» ارسال کردند.
اجرای آن زنجیرهای از بارگذاری فایل RTF به نام regioninvest_net.doc از لینک hxxps:/regioninvest[.]net?pmmc.html/tubularian و دراپر un67.hta از لینک hxxps://regioninvest[.]net/tubularian/un67 را آغاز کرد.
بار مفید در دراپر، درپشتی VBShower backdoor با C2 در hxxps://news-freebase[.]com/categoria/brother/p-touch/1280cb-p-touch-brother-2/appres است.
در تحقیق حمله اکتبر، F6 دو فایل اضافی مرتبط با دامنه kommando[.]live را شناسایی کرد که روی پلتفرم VirusTotal بارگذاری شده بودند.
نام و محتوای آنها مرتبط با خریدها و جمعآوری دادههای کارکنان شرکتها بود که نشاندهنده اهداف احتمالی حمله - شرکتهای بخش صنایع دفاعی روسیه است.
تحلیل بیشتر زیرساخت شبکه و ویژگیهای فایلها منجر به شناسایی دامنه atelierdebondy[.]fr شد که توسط مهاجمان به عنوان سرور راه دور برای بارگذاری قالب استفاده میشد. در زمان تحلیل، بار مفید در دسترس نبود.
شایان ذکر است که این گروه به ندرت از دامنههای غیرمعمول برای خود استفاده میکند. چنین رفتاری تنها در نوامبر ۲۰۲۳ و اکتبر ۲۰۲۴ مشاهده شده است، زمانی که گروه از دامنههای e-mailing[.]online و jhsdshdkajdhgfyhsfhjshh[.]cfd در حملات به روسیه و بلاروس استفاده کرده است.
علاوه بر دامنهها، Cloud Atlas با روشهای تحویل بار مفید نیز آزمایش کرده است.
در ژوئیه ۲۰۲۵، دو فایل LNK مشابه در VirusTotal بارگذاری شدند که با نمونههایی که در پایان ۲۰۲۴ بارگذاری شده بودند مطابقت داشتند. دامنه istochnik[.]org به عنوان سرور راه دور استفاده شده بود.
مهاجمان تقریباً هیچ تغییری در دستورات ایجاد نکردند، به جز افزودن رشته ms-office; در فیلد User-Agent. علاوه بر این، پاسخ سرور به عنوان پارامتر صریح تابع ارسال میشود تا شناسایی کاهش یابد.
در هر دو مورد، بار مفید در دسترس نبود، اما تحلیل زیرساخت نشان داد که با اطمینان بالا حمله با استفاده از فایلهای LNK فوق توسط گروه APT Cloud Atlas انجام شده است.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Telegram
IACS
کانال تخصصی امنیت اتوماسیون و کنترل صنعتی با رویکرد آگاهی رسانی،آموزش ومشاوره درحوزه مخاطرات امنیتی درزیرساختهای حساس وحیاتی بامعماری:ICS، SCADA، DCS، OT فعالیت میکند.
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
برای اخذ مشاوره خصوصی بامن تماس بگیرید:
@Pedram_kiani
www.VCOACH.ir
نگرانکننده است، با توجه به اینکه ویندوز ۱۰ هنوز حداقل روی یک سوم دستگاههای ویندوز نصب است.
اما در واقع یک سال پشتیبانی دیگر برای نسخههای شخصی از طریق برنامه بهروزرسانیهای امنیتی تمدید شده در دسترس است، اما فقط برای ویندوز ۱۰ نسخه 22H2 و فقط برای مهمترین موارد — رفع آسیبپذیریها.
برای سازمانها برنامه ESU نیز وجود دارد که هزینه آن ۶۱ دلار برای سال اول، ۱۲۲ دلار برای سال دوم و ۲۴۴ دلار برای سال سوم خواهد بود.
با این حال، در شرایط ما مهمترین نکته این است که بهروزرسانیها به طور کلی منتشر خواهند شد.
https://learn.microsoft.com/en-us/windows/whats-new/extended-security-updates
https://www.microsoft.com/en-us/windows/extended-security-updates?r=1
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
اما در واقع یک سال پشتیبانی دیگر برای نسخههای شخصی از طریق برنامه بهروزرسانیهای امنیتی تمدید شده در دسترس است، اما فقط برای ویندوز ۱۰ نسخه 22H2 و فقط برای مهمترین موارد — رفع آسیبپذیریها.
برای سازمانها برنامه ESU نیز وجود دارد که هزینه آن ۶۱ دلار برای سال اول، ۱۲۲ دلار برای سال دوم و ۲۴۴ دلار برای سال سوم خواهد بود.
با این حال، در شرایط ما مهمترین نکته این است که بهروزرسانیها به طور کلی منتشر خواهند شد.
https://learn.microsoft.com/en-us/windows/whats-new/extended-security-updates
https://www.microsoft.com/en-us/windows/extended-security-updates?r=1
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم.
🏭 کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t
Docs
Extended Security Updates (ESU) program for Windows 10
Learn about the Extended Security Updates (ESU) program for Windows 10. The ESU program gives customers the option to receive security updates for Windows 10.