آتش‌سوزی مرکز داده کره جنوبی: حافظه دیجیتال یک ملت پاک شد.

آتش‌سوزی مرکز داده ملی در کره جنوبی ۸۵۸ ترابایت داده، اسناد ۱۹۱۰۰۰ کارمند دولتی و ده‌ها سیستم دولتی را نابود کرد.

دلیلش؟ فرار حرارتی در باتری‌های لیتیوم-یونی و... سیستمی بدون پشتیبان.
این حادثه درسی پرهزینه اما فراموش‌نشدنی به دنیای فناوری اطلاعات آموخت: «مهم نیست مرکز داده چقدر قدرتمند باشد، اگر پشتیبان ضعیف باشد، سیستم در واقع وجود ندارد.»

درس‌های فنی که باید از این فاجعه آموخت:
• 🔹 قانون پشتیبان‌گیری ۳-۲-۱ نباید نادیده گرفته شود. (۳ نسخه، ۲ رسانه مختلف، ۱ خارج از سایت)
• 🔹 آزمایش‌های تأیید و بازیابی پشتیبان باید اجباری باشد.
• 🔹 معماری DC با افزونگی جغرافیایی دیگر نباید یک تجمل باشد، بلکه باید استاندارد باشد.
• 🔹 طرح‌های DR (بازیابی پس از سانحه) باید حداقل سالی دو بار آزمایش شوند.
• 🔹 مناطق UPS و باتری باید به عنوان مناطق آتش‌سوزی جداگانه طراحی شوند.

سیستم‌های ما ممکن است امروز کار کنند، اما سوال اصلی این است: «اگر فردا آتش‌سوزی رخ دهد، آیا می‌توانیم خودمان را بازیابی کنیم؟»
✅️برای مشاوره در حوزه طراحی BCP و DRP کافیست بامن تماس بگیرید.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

هکرهای جهان برای حملات سایبری هماهنگ به دولت اسرائیل و بخش‌های حیاتی آن متحد شدند

داده‌های جدید Radware نشان می‌دهد که هفتم اکتبر، سالگرد حملات حماس به اسرائیل در سال ۲۰۲۳، به نقطه تجمعی برای هکرهای جهانی تبدیل شده و نمادگرایی سیاسی را به حملات سایبری هماهنگ تبدیل کرده است. در دو سال گذشته، هفته‌های نزدیک به این تاریخ به طور مداوم شاهد افزایش حملات به اهداف اسرائیلی بوده است. گروه‌هایی مانند Sylhet Gang بیشتر به عنوان موتورهای تبلیغاتی عمل می‌کنند تا مهاجمان مستقیم، و از تلگرام و X (که قبلاً توییتر بود) برای بسیج و تقویت فراخوان‌ها برای اقدام دیجیتال استفاده می‌کنند.

دخالت NoName057(16) ، یک گروه هکری طرفدار روسیه، نشان می‌دهد که چگونه بازیگرانی با پیشینه‌های ژئوپلیتیکی مختلف علیه دشمنان مشترک متحد می‌شوند. این ترکیب ایدئولوژی‌ها، پایداری و دامنه عملیات هکری را تقویت می‌کند. با وجود افزایش فعالیت، اکثر حملات کوتاه‌مدت بودند و اهداف با دید بالا، از جمله پورتال‌های دولتی، ارائه دهندگان خدمات درمانی، تولیدکنندگان و سایت‌های تجارت آنلاین را هدف قرار می‌دادند.

شرکت Radware در هشدار تهدید روز دوشنبه نوشت : «به دنبال درخواست‌های هکرها برای اقدام سایبری هماهنگ علیه اسرائیل، شاهد افزایش شدید فعالیت‌های ادعایی DDoS بین ۶ تا ۸ اکتبر بودیم.» «این تشدید حملات از ۶ اکتبر آغاز شد، زمانی که تعداد حملات ادعایی DDoS به ۲۶ مورد افزایش یافت که نشان‌دهنده مراحل اولیه یک کمپین هماهنگ بود. فعالیت‌ها در ۷ اکتبر به اوج خود رسید و ۵۷ حمله DDoS در یک روز ثبت شد. این رقم بیش از ۱۴ برابر بیشتر از میانگین روزانه مشاهده شده در سپتامبر ۲۰۲۵ است.»
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

یک آسیب‌پذیری میان‌افزار در مبدل‌های رسانه‌ای سری TRC-2190 شامل استفاده از یک کلید رمزنگاری کدگذاری شده است. سوءاستفاده از این آسیب‌پذیری می‌تواند به یک مهاجم از راه دور اجازه دهد تا با استفاده از یک کلید خصوصی SSH که در دسترس عموم است، حمله مردی در میان را انجام دهد.

به‌روزرسانی‌ها را از منابع معتبر نصب کنید. توصیه می‌شود به‌روزرسانی‌های نرم‌افزار فقط پس از ارزیابی تمام خطرات مرتبط نصب شوند.


اقدامات مقابله:
- استفاده از فایروال‌ها برای محدود کردن دسترسی از راه دور به دستگاه؛
- محدود کردن دسترسی از شبکه‌های خارجی (اینترنت)؛
- محدود کردن دسترسی به دستگاه با استفاده از یک طرح لیست سفید؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (شناسایی، ثبت) و پاسخ به تلاش‌هایی برای سوءاستفاده از آسیب‌پذیری‌ها؛
- استفاده از شبکه‌های خصوصی مجازی (VPN) برای دسترسی از راه دور.


استفاده از توصیه‌ها:
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-251372-security-enhancement-ssh-known-hard-coded-private-keys
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

آسیب‌پذیری نقطه دسترسی شبکه صنعتی Wi-Fi Rockwell Automation 1783-NATR مربوط به عدم احراز هویت برای عملکرد حیاتی است. بهره‌برداری از این آسیب‌پذیری می‌تواند به مهاجم از راه دور اجازه دهد با به‌دست آوردن حساب کاربری مدیر یا تغییر قوانین پیکربندی NAT باعث ایجاد اختلال در سرویس شود.

CVE-2025-7328

نصب به‌روزرسانی‌ها از منابع معتبر. با توجه به شرایط موجود و تحریم‌های اعمال شده، توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- تقسیم‌بندی شبکه برای محدود کردن دسترسی به بخش صنعتی از سایر زیرشبکه‌ها؛
- محدود کردن دسترسی از شبکه‌های خارجی (اینترنت)؛
- غیرفعال‌سازی/محدود کردن عملکرد مدیریت از راه دور برای جلوگیری از تلاش‌های بهره‌برداری از آسیب‌پذیری (مثلاً ممنوعیت استفاده از پروتکل‌های ناامن مانند HTTP یا Telnet)؛
- استفاده از رمزهای عبور قوی مطابق با سیاست رمز عبور پذیرفته شده در سازمان؛
- غیرفعال‌سازی عملکرد NAT و مسیریابی IP در صورتی که دستگاه در حالت پل (Workgroup Bridge) کار می‌کند.

استفاده از توصیه‌ها:
https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1756.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

آسیب‌پذیری رابط برنامه‌نویسی کاربردی (API) نرم‌افزار سیستم‌های شبکه Moxa سری‌های EDR-G9010، EDR-8010، EDF-G1002-BP، TN-4900، NAT-102، NAT-108، OnCell G4302-LTE4 مربوط به استفاده از داده‌های حساب کاربری کدگذاری شده سخت است. بهره‌برداری از این آسیب‌پذیری می‌تواند به مهاجم از راه دور اجازه دهد تا با استفاده از توکن‌های JSON Web Tokens (JWT) به طور کامل به دستگاه دسترسی پیدا کند.

CVE-2025-6950

نصب به‌روزرسانی‌ها از منابع معتبر. با توجه به شرایط موجود و تحریم‌های اعمال شده، توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- استفاده از فایروال‌ها برای محدود کردن دسترسی از راه دور به دستگاه؛
- محدود کردن دسترسی از شبکه‌های خارجی (اینترنت)؛
- تقسیم‌بندی شبکه برای محدود کردن دسترسی به دستگاه آسیب‌پذیر؛
- استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ برای شناسایی (کشف، ثبت) و واکنش به تلاش‌های بهره‌برداری از آسیب‌پذیری‌ها؛
- استفاده از شبکه‌های خصوصی مجازی (VPN) برای سازماندهی دسترسی از راه دور.

استفاده از توصیه‌های تولیدکننده:
https://www.moxa.com/en/support/product-support/security-advisory/mpsa-258121-cve-2025-6892,-cve-2025-6893,-cve-2025-6894,-cve-2025-6949,-cve-2025-6950-multiple-vulnerabilities-in-netwo
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

آسیب‌پذیری نرم‌افزارهای میکرو برنامه ماژول‌های ارتباطی SIMATIC CP و SIPLUS به دلیل عدم احراز هویت برای عملکرد بحرانی وجود دارد. بهره‌برداری از این آسیب‌پذیری می‌تواند به نفوذگر از راه دور اجازه دسترسی کامل به اطلاعات پیکربندی را بدهد.

CVE-2025-40771

نصب به‌روزرسانی‌ها از منابع معتبر. با توجه به شرایط موجود و تحریم‌های اعمال شده، توصیه می‌شود به‌روزرسانی‌های نرم‌افزاری تنها پس از ارزیابی تمامی ریسک‌های مرتبط نصب شوند.

اقدامات جبرانی:
- استفاده از فایروال برای محدود کردن دسترسی به دستگاه آسیب‌پذیر؛
- تقسیم‌بندی شبکه برای محدود کردن دسترسی به دستگاه آسیب‌پذیر؛
- محدود کردن دسترسی از شبکه‌های خارجی (اینترنت)؛
- استفاده از شبکه‌های خصوصی مجازی برای سازماندهی دسترسی از راه دور (VPN).

استفاده از توصیه‌های تولیدکننده:
https://cert-portal.siemens.com/productcert/html/ssa-486936.html
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

چشم‌انداز تهدیدات ENISA در سال ۲۰۲۵

آژانس اتحادیه اروپا برای امنیت سایبری (ENISA) گزارش «بررسی تهدیدات ENISA ۲۰۲۵» را منتشر کرده است. در این گزارش تقریباً ۴۹۰۰ حادثه سایبری که سازمان‌های اروپایی را از ژوئیه ۲۰۲۴ تا ژوئن ۲۰۲۵ تحت تأثیر قرار داده‌اند، تحلیل شده است.

روندهای اصلی:
۱. فیشینگ - اصلی‌ترین بردار حمله (۶۰٪): همچنان روش اصلی نفوذ اولیه باقی مانده است. با تکنیک‌هایی مانند ClickFix، فیشینگ به‌عنوان سرویس (PhaaS، مثلاً Darcula) و کویشینگ (فیشینگ با کد QR) تکامل یافته است.
۲. زنجیره‌های تأمین و روابط اعتماد. مهاجمان بیشتر به ارائه‌دهندگان خدمات ثالث (شرکت‌های فناوری اطلاعات، مخابرات) و زنجیره‌های تأمین (بسته‌های مخرب npm، افزونه‌های مرورگر) حمله می‌کنند تا اثر حملات را افزایش دهند.
۳. حملات به دستگاه‌های موبایل: تهدیدات برای دستگاه‌های اندروید افزایش یافته است، از جمله برنامه‌های جاسوسی (KoSpy، BoneSpy)، تروجان‌های بانکی (Medusa) و بهره‌برداری از آسیب‌پذیری‌ها در زیرساخت‌های مخابراتی (SS7، Diameter).
۴. همگرایی گروه‌های تهدید: مرزها بین هکتیویسم، جرایم سایبری و گروه‌های حمایت‌شده دولتی محو می‌شود.
۵. استفاده پیش‌بینی‌شده از هوش مصنوعی: هوش مصنوعی به طور فعال برای ایجاد ایمیل‌های فیشینگ قانع‌کننده‌تر (بیش از ۸۰٪ فیشینگ‌ها از هوش مصنوعی استفاده می‌کنند)، تولید جعل‌های با کیفیت (دیپ‌فیک‌ها)، توسعه نرم‌افزارهای مخرب و دور زدن کشف به کار می‌رود. همچنین حملاتی به خود هوش مصنوعی مشاهده شده است - جیلبریک‌ها، مسموم‌سازی مدل و حملات به زنجیره تأمین مدل‌های هوش مصنوعی.

بیشترین هدف‌ها:
- مدیریت دولتی - ۳۸.۲٪
- حمل و نقل - ۷.۵٪
- زیرساخت‌ها و خدمات دیجیتال - ۴.۸٪
- مالی - ۴.۵٪
- تولید - ۲.۹٪

انواع اصلی تهدیدات:
۱. جرایم سایبری - ۱۳.۴٪ از حوادث
۲. گروه‌های دولتی - ۷.۲٪
۳. هکتیویسم - ۷۹٪
۴. دستکاری اطلاعات (دخالت و دستکاری اطلاعات خارجی، FIMI) -


💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

حملات در AWS، ابزارهای جدید باج‌گیران و دیگر تحقیقات APT در هفته

🟣تحلیل فنی حملات به محیط‌های AWS که توسط گروه باج‌گیر Crimson Collective انجام شده است. شناخته‌شده‌ترین قربانی تا امروز Red Hat است.

🟣در حملات باج‌افزاری استفاده از Velociraptor مشاهده شده است — نرم‌افزاری متن‌باز برای جرم‌شناسی دیجیتال. گروه Storm-2603 که با باج‌افزارهای Warlock، LockBit و Babuk مرتبط است، از نسخه قدیمی این نرم‌افزار که آسیب‌پذیر به افزایش امتیاز است، برای نفوذ به شبکه و نصب VSCode استفاده کرده است که البته تنها به تونل‌ها نیاز داشتند.

🔴در حملاتی که با استفاده از شل China Chopper به سرویس‌های وب نفوذ می‌کنند، در مراحل بعدی نفوذ از ابزار متن‌باز چینی Nezha استفاده شده است که معمولاً برای نظارت مدیران سرور طراحی شده است.

🟢بررسی حملات جاسوسی که توسط گروه UTA0388 به سازمان‌های اروپا، آسیا و آمریکا انجام شده است. فیشینگ هدفمند احتمالاً با کمک LLM آماده شده است، زیرا ایمیل‌ها به پنج زبان ارسال شده‌اند. در عین حال، در آنها نکات عجیبی وجود دارد که مختص عوامل هوش مصنوعی است، مانند تغییر زبان پراکنده یا تلاش برای ارسال ایمیل به آدرس‌های کاملاً ناموجود. در صورت موفقیت فیشینگ، بدافزار GOVERSHELL روی قربانی نصب می‌شود.

🔵از کسب‌وکارهای کوچک و متوسط به عنوان «وثیقه» پول طلب می‌کنند و پیشنهاد می‌دهند تامین‌کننده شرکت‌های بزرگ هواپیمایی شوند. این طرح کاملاً مهندسی اجتماعی است و بدافزار استفاده نمی‌شود.

🟣بررسی بات‌نت به‌روزشده RondoDox که اکنون تقریباً از 60 آسیب‌پذیری در 50 دستگاه مختلف (عمدتاً روترها، وب‌سرورها، NAS و دوربین‌های IP) برای اهداف DDoS و استخراج استفاده می‌کند.

🟠نوع جدید و جالبی از ClickFix — صفحه وب مخرب حاوی بدافزار به شکل تصویر است و اسکریپت PowerShell آن را فعال می‌کند، ابتدا با جستجو در کش مرورگر.

🔵راستی، حملات ClickFix اکنون مستقیماً در کیت‌های فیشینگ ادغام می‌شوند.

🟢تحلیل فنی سرقت اطلاعات Shuyal که قادر به دزدیدن داده‌ها از 19 مرورگر است.

🟠نشت بزرگ اطلاعات پاسپورت کاربران Discord. مهاجمان از Zendesk بین 70 هزار (نسخه Discord) تا 5.5 میلیون (نسخه هکرها) عکس مدارک را سرقت کرده‌اند. اگر ورود به سایت‌ها با پاسپورت همچنان در جهان گسترش یابد، چنین حوادثی بیشتر خواهد شد.

🟢بر اساس برآورد Elliptic، خوشه Lazarus امسال بیش از 2 میلیارد دلار ارز دیجیتال سرقت کرده است.

🟣Docker برنامه Docker Hardened Images (DHI) خود را برای کسب‌وکارهای کوچک و متوسط به صورت اشتراکی در دسترس قرار داده است. در DHI تصاویر به‌روزرسانی شده با مجموعه‌ای محدود از سرویس‌ها و دسترسی‌ها و البته حداقل آسیب‌پذیری‌های شناخته شده وجود دارد.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

آیا واقعاً امنیت اطلاعات شما در خطر است؟
🔐 در دنیای فناوری عملیاتی ( OT )، جایی که سیستم‌های صنعتی زیرساخت‌های حیاتی را کنترل می‌کنند، #امنیت_سایبری فقط یک اولویت نیست، بلکه یک ضرورت است.
#دیتادیود (DataDiode) وارد می‌شود : یک راهکار امنیت سایبری مبتنی بر سخت‌افزار که جریان داده یک‌طرفه را اعمال می‌کند.

برخلاف فایروال‌ها یا فیلترهای نرم‌افزاری، دیودهای داده به‌طور فیزیکی از جریان داده‌ها در جهت معکوس جلوگیری می‌کنند و آنها را در برابر آسیب‌پذیری‌های نرم‌افزاری یا پیکربندی‌های نادرست مصون می‌دارند.

💡 نحوه کار:
یک دیود داده اجازه می‌دهد داده‌ها فقط از یک شبکه امن به یک شبکه با امنیت کمتر یا برعکس منتقل شوند - اما هرگز در هر دو جهت منتقل نمی‌شوند. این امر از طریق جداسازی فیزیکی مدارهای ارسال و دریافت حاصل می‌شود و ارتباط یک طرفه را تضمین می‌کند.
🏭 دلایل اهمیت آن در OT:
✅ از دارایی‌های حیاتی در برابر تهدیدات خارجی محافظت می‌کند
✅ با جلوگیری از دستکاری، یکپارچگی داده‌ها را تضمین می‌کند
✅ با محیط‌های با امنیت بالا (مانند شبکه‌های برق، تصفیه آب، نفت و گاز) مطابقت دارد
✅ با جداسازی سیستم‌های کنترل از شبکه‌های فناوری اطلاعات، سطح حمله را به حداقل می‌رساند.

در محیط‌هایی که آپتایم، ایمنی و قابلیت اطمینان غیرقابل مذاکره هستند، دیودهای داده یک لایه محافظتی در برابر خرابی ارائه می‌دهند.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

آسیب‌پذیری پردازشگر فایل‌های LNK در سیستم‌عامل‌های ویندوز به دلیل نقص‌هایی در مکانیزم بررسی داده‌های ورودی ایجاد می‌شود. بهره‌برداری از این آسیب‌پذیری می‌تواند اجازه اجرای کد دلخواه را هنگام باز کردن فایل به‌طور خاص ساخته شده بدهد.

CVE-2025-9491

اقدامات جبرانی:
- محدود کردن امکان باز کردن فایل‌های دریافت شده از منابع غیرقابل اعتماد؛
- استفاده از نرم‌افزارهای ضدویروس برای بررسی فایل‌های دریافت شده از منابع غیرقابل اعتماد؛
- استفاده از محیط نرم‌افزاری بسته برای کار با فایل‌های دریافت شده از منابع غیرقابل اعتماد؛
- استفاده از سیستم‌های SIEM برای رصد رویدادهای مرتبط با پردازش فایل‌های LNK.

منابع اطلاعات:
https://www.zerodayinitiative.com/advisories/ZDI-25-148/
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

محققان در گزارش جدید خود تحلیلی درباره حملات اخیر گروه Cloud Atlas به شرکت‌های فعال در بخش کشاورزی و صنایع دفاعی ارائه دادند.

به طور کلی، در طول سال ۲۰۲۵، Cloud Atlas فعالیت‌های خود را افزایش داده و به شرکت‌های روسی و بلاروسی حمله کرده است.

ویژگی بارز آنها تغییر دامنه‌های اینترنتی و همچنین آزمایش با نرم‌افزارهای مخرب پیوست شده به ایمیل‌های فیشینگ بود.

در اواسط اکتبر، متخصصان حمله دیگری از Cloud Atlas را ثبت کردند که هدف آن یک شرکت روسی در بخش کشاورزی بود - هکرها به طور سنتی با ارسال پیوست مخرب از آدرس ایمیل mkrutij@list[.]ru شناخته شدند.

به عنوان طعمه، برنامه‌ی همایش کشاورزی «گندم و دانه‌های روغنی ۲۰۲۵: بردار خوراکی» که در ۳۰ اکتبر ۲۰۲۵ در مسکو برگزار می‌شود، استفاده شده است و پیوست مخرب «برنامه همایش گندم و دانه‌های روغنی.doc» واقعاً شامل برنامه همایش است.

اجرای این پیوست باعث راه‌اندازی مکانیزم تحویل بار مفید می‌شود که همانند قبل باقی مانده است.

به عنوان بارگذار، همچنان فایل doc طعمه عمل می‌کند که از طریق قالب RTF فایلی را بارگذاری می‌کند که شامل اکسپلویت CVE-2017-11882 است و در این مورد از طریق لینک hxxps://kommando[.]live/us/?legal/terms/trialterms/secno بارگذاری می‌شود.

نتیجه اجرای قالب و بهره‌برداری از آسیب‌پذیری، بارگذاری دراپر us.txt از لینک hxxps://kommando[.]live/us/?secno/achro33 است که شامل بار مفید VBShower با C2 در hxxps://kommando[.]live/us/?product-kategorie/kosmetik/spezialseifen/instructible می‌باشد.

این اولین حمله به شرکت‌های بخش کشاورزی در پاییز ۲۰۲۵ نیست. در حمله مشابهی در سپتامبر، مهاجمان با استفاده از ایمیل glotovao56@yandex[.]ru ایمیل‌هایی با موضوع «فرم TCH» و پیوست مخرب «فرم TCH.doc» ارسال کردند.

اجرای آن زنجیره‌ای از بارگذاری فایل RTF به نام regioninvest_net.doc از لینک hxxps:/regioninvest[.]net?pmmc.html/tubularian و دراپر un67.hta از لینک hxxps://regioninvest[.]net/tubularian/un67 را آغاز کرد.

بار مفید در دراپر، درپشتی VBShower backdoor با C2 در hxxps://news-freebase[.]com/categoria/brother/p-touch/1280cb-p-touch-brother-2/appres است.

در تحقیق حمله اکتبر، F6 دو فایل اضافی مرتبط با دامنه kommando[.]live را شناسایی کرد که روی پلتفرم VirusTotal بارگذاری شده بودند.

نام و محتوای آنها مرتبط با خریدها و جمع‌آوری داده‌های کارکنان شرکت‌ها بود که نشان‌دهنده اهداف احتمالی حمله - شرکت‌های بخش صنایع دفاعی روسیه است.

تحلیل بیشتر زیرساخت شبکه و ویژگی‌های فایل‌ها منجر به شناسایی دامنه atelierdebondy[.]fr شد که توسط مهاجمان به عنوان سرور راه دور برای بارگذاری قالب استفاده می‌شد. در زمان تحلیل، بار مفید در دسترس نبود.

شایان ذکر است که این گروه به ندرت از دامنه‌های غیرمعمول برای خود استفاده می‌کند. چنین رفتاری تنها در نوامبر ۲۰۲۳ و اکتبر ۲۰۲۴ مشاهده شده است، زمانی که گروه از دامنه‌های e-mailing[.]online و jhsdshdkajdhgfyhsfhjshh[.]cfd در حملات به روسیه و بلاروس استفاده کرده است.

علاوه بر دامنه‌ها، Cloud Atlas با روش‌های تحویل بار مفید نیز آزمایش کرده است.

در ژوئیه ۲۰۲۵، دو فایل LNK مشابه در VirusTotal بارگذاری شدند که با نمونه‌هایی که در پایان ۲۰۲۴ بارگذاری شده بودند مطابقت داشتند. دامنه istochnik[.]org به عنوان سرور راه دور استفاده شده بود.

مهاجمان تقریباً هیچ تغییری در دستورات ایجاد نکردند، به جز افزودن رشته ms-office; در فیلد User-Agent. علاوه بر این، پاسخ سرور به عنوان پارامتر صریح تابع ارسال می‌شود تا شناسایی کاهش یابد.

در هر دو مورد، بار مفید در دسترس نبود، اما تحلیل زیرساخت نشان داد که با اطمینان بالا حمله با استفاده از فایل‌های LNK فوق توسط گروه APT Cloud Atlas انجام شده است.

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

نگران‌کننده است، با توجه به اینکه ویندوز ۱۰ هنوز حداقل روی یک سوم دستگاه‌های ویندوز نصب است.

اما در واقع یک سال پشتیبانی دیگر برای نسخه‌های شخصی از طریق برنامه به‌روزرسانی‌های امنیتی تمدید شده در دسترس است، اما فقط برای ویندوز ۱۰ نسخه 22H2 و فقط برای مهم‌ترین موارد — رفع آسیب‌پذیری‌ها.

برای سازمان‌ها برنامه ESU نیز وجود دارد که هزینه آن ۶۱ دلار برای سال اول، ۱۲۲ دلار برای سال دوم و ۲۴۴ دلار برای سال سوم خواهد بود.

با این حال، در شرایط ما مهم‌ترین نکته این است که به‌روزرسانی‌ها به طور کلی منتشر خواهند شد.
https://learn.microsoft.com/en-us/windows/whats-new/extended-security-updates
https://www.microsoft.com/en-us/windows/extended-security-updates?r=1

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

امنیت سایبری مربوط به ابزارها نیست - مربوط به استراتژی است.

بیش از ۲۵۰۰ سال پیش، سان تزو کتاب «هنر جنگ» را نوشت - راهنمایی برای استراتژی، فریب و رهبری.
با این حال، در سال ۲۰۲۵ ما هنوز طبق قوانین او زندگی می‌کنیم - حتی اگر آن را ندانیم.

امنیت سایبری جنگ مدرن بدون مرز است. میدان نبرد دیجیتال است، سربازان الگوریتم‌ها و سلاح‌ها داده‌ها هستند. اما استراتژی؟ هنوز انسانی است.

بیایید ۷ قانون سان تزو برای تفکر استراتژیک را از دریچه دفاع سایبری و تاب‌آوری دوباره تفسیر کنیم:
۱. دشمن خود را بشناسید نیمی از پیروزی در شناخت دشمن نهفته است. در دنیای ما، این به معنای درک تاکتیک‌ها، تکنیک‌ها و رویه‌های مهاجم، ردیابی اطلاعات تهدید و مطالعه رفتار دشمن در چارچوب‌هایی مانند MITER ATT&CK است. اطلاعات تهدید فقط گزارش نیست - آینده‌نگری است.
۲. خودتان را بشناسید شما نمی‌توانید از چیزی که نمی‌دانید وجود دارد دفاع کنید. قابلیت مشاهده دارایی‌ها، طبقه‌بندی ریسک و آگاهی از آسیب‌پذیری، پایه و اساس هر استراتژی دفاعی هستند. بزرگترین نقطه کور شما خارج از شبکه شما نیست - این دارایی است که فراموش کرده‌اید آن را رصد کنید.
۳. فریب «تمام جنگ‌ها مبتنی بر فریب است.» مهاجمان از اعتماد سوءاستفاده می‌کنند - فیشینگ، جعل هویت، و زندگی در خارج از کشور. اما مدافعان نیز می‌توانند فریب دهند: هانی‌پات‌ها، شبکه‌های فریب و اعتبارنامه‌های فریبنده، وقت دشمن را تلف می‌کنند و نیت او را آشکار می‌کنند. فریب، دفاع با استراتژی است.
۴. سازگاری تهدیدات سایبری روزانه تکامل می‌یابند. دفاع‌های ایستا شکست می‌خورند. SOC شما باید مانند آب عمل کند - تطبیق‌پذیر، سیال و همیشه در حال تغییر شکل حول تاکتیک‌های جدید. از کتاب‌های راهنما گرفته تا تشخیص‌های مبتنی بر هوش مصنوعی، انعطاف‌پذیری، کنترلی است که کمتر از همه دست کم گرفته شده است.
۵. زمان‌بندی صبر مزیت ایجاد می‌کند. پاسخ به حادثه فقط به سرعت مربوط نمی‌شود - بلکه به زمان‌بندی مربوط می‌شود. وقتی دشمن نقطه ضعفی را آشکار می‌کند، حمله کنید؛ قبل از تشدید اوضاع پاسخ دهید. در امنیت سایبری، زمان هم سپر شماست و هم شمشیر شما.
۶. از قدرت در برابر ضعف استفاده کنید قدرت فقط در برابر آسیب‌پذیری مؤثر است. تشخیص و دفاع را در جایی متمرکز کنید که مهاجمان بیشترین احتمال موفقیت را دارند - سیاست‌های هویت ضعیف، سیستم‌های قدیمی و فایروال‌های پیکربندی نادرست. نقاط قوت خود را تقویت نکنید؛ نقاط ضعف خود را خنثی کنید.
۷. بدون جنگیدن پیروز شوید «هنر والای جنگ، مطیع کردن دشمن بدون جنگیدن است.» این جوهره امنیت سایبری مدرن است - انعطاف‌پذیری. از طریق دفاع لایه‌ای، مدل‌سازی تهدید و معماری پیشگیرانه، بازدارندگی ایجاد کنید. بهترین استراتژی سایبری، استراتژی‌ای است که از شروع نبردها جلوگیری می‌کند.

خرد سان تزو به ما یادآوری می‌کند:
مدافعانی که هنر استراتژی را درک می‌کنند، همیشه از کسانی که فقط بر هنر فناوری تسلط دارند، بیشتر دوام می‌آورند. درس مورد علاقه شما از سان تزو که هنوز در میدان نبرد سایبری مدرن ما کاربرد دارد، چیست؟

#امنیت_سایبری #امنیت_OT #رهبری # مرکز_عملیات_عملیاتی #هوش_تهدید #استراتژی #سان_تزو
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

بمب  ساعتی دیجیتال ما
در تاریخ 2038-01-19 ساعت 03:14:08 UTC، میلیون‌ها سیستم کامپیوتری صنعتی و تعبیه‌شده حساس در سراسر جهان ناگهان شروع به رفتار غیرقابل پیش‌بینی خواهند کرد، مگر اینکه اکنون اقدام هماهنگ انجام دهیم. و بدتر از آن، با پروتکل‌های زمانی ناامن، مهاجمان نیازی به صبر کردن تا سال 2038 ندارند.


⏰ Y2K38 یک باگ نیست، بلکه یک آسیب‌پذیری بسیار گسترده است

توضیح مشکل Epochalypse برای کسانی که به اندازه کافی سن دارند تا مشکل سال ۲۰۰۰ را به یاد داشته باشند، بسیار آشناست. سرریز اعداد صحیح علامت‌دار ۳۲ بیتی که سیستم‌های *nix برای ذخیره تعداد ثانیه‌های گذشته از آغاز «عصر یونیکس» در ۱ ژانویه ۱۹۷۰ استفاده می‌کنند، در ۱۹ ژانویه ۲۰۳۸ رخ خواهد داد. تمام سیستم‌های به‌روزرسانی نشده به سال ۱۹۷۰ بازمی‌گردند که تأثیرات غیرقابل پیش‌بینی بر عملکرد آن‌ها خواهد داشت.

تفاوت کلیدی با سال ۲۰۰۰ در مقیاس است. تعداد سیستم‌هایی که باید به‌روزرسانی شوند، چندین مرتبه بیشتر از تعداد کامپیوترهای قرن بیستم است. به نظر می‌رسد زمان زیادی، بیش از ۱۲ سال، باقی مانده است. اما احتمالاً این زمان کافی نیست، به‌ویژه با توجه به اینکه هیچ گروه دولتی یا بین‌المللی متمرکزی که این مشکل را حل کند، تاکنون وجود ندارد.

پژوهشگران امنیت اطلاعات اشاره می‌کنند که برای بهره‌برداری از اثرات سرریز نیازی به انتظار تا سال ۲۰۳۸ نیست. سیستم‌هایی که زمان آن‌ها را می‌توان به‌طور مستقیم یا از طریق جایگزینی داده‌های پروتکل NTP یا جعل GPS دستکاری کرد، آسیب‌پذیر خواهند بود. نمونه‌های زنده‌ای در سیستم‌های کنترل صنعتی وجود دارد: CVE-2025-55068 (CVSS4-B 8.8) در سیستم‌های کنترل از راه دور سوخت‌گیری Dover ProGauge MagLink منجر به اختلال در خدمات می‌شود. انتظار داریم در سال‌های آینده CVEهای مشابه بسیار بیشتری ببینیم.

فکر کردن به مشکل ۲۰۳۸ به عنوان یک آسیب‌پذیری، فایده عملی دارد — می‌توان از روش‌هایی که برای اولویت‌بندی و رفع آسیب‌پذیری‌ها ایجاد شده‌اند، استفاده کرد. این بسیار مفید است، زیرا احتمالاً نمی‌توان Y2K38 را در همه جا به طور کامل رفع کرد. از ابتدا شروع می‌کنیم: فهرست‌برداری دارایی‌ها با ذکر نسخه‌های *nix و نرم‌افزار. فراموش نکنیم IoT و IIoT 🤗

مشکل مشابه ۲۰۳۶ بر اساس سرریز در برخی پیاده‌سازی‌های NTP است. Y2K36 در ۷ ژانویه ۲۰۳۶ رخ خواهد داد.

زمانی ناامن، مهاجمان نیازی به صبر کردن تا سال 2038 ندارند.

این یک داستان علمی تخیلی نیست. این یک آسیب‌پذیری فنی واقعی است که سیستم‌هایی را که روزانه به آنها متکی هستیم - از تجهیزات بیمارستانی گرفته تا شبکه‌های برق، از سیستم‌های بانکی گرفته تا شبکه‌های حمل و نقل - تحت تأثیر قرار می‌دهد. این آسیب‌پذیری در معماری بنیادی زیرساخت‌های دیجیتال ما نهفته است.

چرا باید اهمیت بدهید؟
بدون آمادگی مناسب، با اختلالات گسترده‌ای از جمله موارد زیر مواجه خواهیم شد:

تجهیزات بیمارستانی زمان مصرف دارو را نادرست نشان می‌دهند
سیستم‌های بانکی در پردازش پرداخت‌ها با مشکل مواجه هستند
نقص سیستم‌های کنترل ترافیک
ناپایداری شبکه برق باعث قطعی برق می‌شود
اختلالات سرویس اینترنت
سیستم‌های امنیتی که آلارم کاذب تولید می‌کنند
در دنیای به هم پیوسته ما، این خرابی‌های فنی می‌توانند اثرات آبشاری داشته باشند. خرابی‌های بحرانی سیستم می‌تواند جان انسان‌ها را به خطر بیندازد، اقتصاد را مختل کند و خدمات ضروری را به خطر بیندازد. و بدتر از آن، عوامل تهدید مخرب می‌توانند در بسیاری از موارد پروتکل‌های همگام‌سازی زمان را دستکاری کنند تا این آسیب‌پذیری را در زمان دلخواه خود فعال کنند. این موضوع به ویژه با توجه به توجه کم بسیاری از شبکه‌ها به امنیت پروتکل زمان شبکه (NTP) خود نگران‌کننده است.


💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

ISO/IEC 27701:2025

امنیت اطلاعات، امنیت سایبری و حفاظت از حریم خصوصی - سیستم‌های مدیریت اطلاعات حریم خصوصی - الزامات و راهنماها
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

با رشد پذیرش، استفاده و توسعه برنامه‌های کاربردی هوش مصنوعی مولد، خطرات جدیدی به وجود می‌آید که بر نحوه استراتژی و سرمایه‌گذاری سازمان‌ها تأثیر می‌گذارد. با تکامل این خطرات، راه‌حل‌ها، فناوری‌ها، چارچوب‌ها و طبقه‌بندی‌های کاهش ریسک نیز تکامل می‌یابند. برای کمک به رهبران امنیتی در اولویت‌بندی، گفتگوها در مورد حوزه‌های نوظهور فناوری و راه‌حل باید به طور مناسب با نتایج تجاری واضح و قابل درک برای راه‌حل‌های امنیتی هوش مصنوعی همسو شوند. نتایج تجاری راه‌حل‌های امنیتی هوش مصنوعی باید به درستی تعریف شود تا به رهبران امنیتی در بودجه‌بندی کمک کند. بسیاری از سازمان‌ها در حال حاضر سرمایه‌گذاری‌های زیادی در ابزارهای امنیتی مختلف، مانند سیستم‌های مدیریت آسیب‌پذیری، راه‌حل‌های مدیریت هویت و دسترسی (IAM)، امنیت نقطه پایانی، تست پویای امنیت برنامه (DAST)، پلتفرم‌های مشاهده‌پذیری و ابزارهای CI/CD (ادغام مداوم/استقرار مداوم) امن، انجام داده‌اند. با این حال، این ابزارهای امنیتی سنتی ممکن است برای پرداختن کامل به پیچیدگی‌های برنامه‌های هوش مصنوعی کافی نباشند و منجر به شکاف‌هایی در حفاظت شوند که بازیگران مخرب می‌توانند از آنها سوءاستفاده کنند. برای مثال، ابزارهای امنیتی سنتی ممکن است به اندازه کافی به امنیت داده‌های منحصر به فرد و محافظت از افشای اطلاعات حساس در زمینه برنامه‌های کاربردی LLM و Gen AI نپردازند. این شامل چالش‌های ایمن‌سازی داده‌های حساس در اعلان‌ها، خروجی‌ها و داده‌های آموزش مدل و استراتژی‌های کاهش خاص مانند رمزگذاری، ویرایش و مکانیسم‌های کنترل دسترسی می‌شود، اما محدود به آنها نیست.

راهکارهای نوظهور مانند فایروال‌های LLM، سیستم‌های تشخیص تهدید مخصوص هوش مصنوعی، پلتفرم‌های استقرار مدل امن و چارچوب‌های حاکمیت هوش مصنوعی تلاش می‌کنند تا به نیازهای امنیتی منحصر به فرد برنامه‌های کاربردی هوش مصنوعی/یادگیری ماشین رسیدگی کنند. با این حال، تکامل سریع فناوری هوش مصنوعی/یادگیری ماشین و کاربردهای آن، منجر به انفجار رویکردهای راه‌حل شده است که تنها به سردرگمی سازمان‌ها در تعیین محل تخصیص بودجه‌های امنیتی آنها افزوده است.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

گزارش بین‌المللی ایمنی هوش مصنوعی توسط متخصصانی از بیش از 30 کشور هدایت می‌شود و چگونگی پیشرفت هوش مصنوعی را بررسی می‌کند.
TLDR: پیشرفت قابلیت باید با ایمنی و حاکمیت شرکتی مطابقت داشته باشد.

آنچه در این گزارش تشریح شده است • سیستم‌های هوش مصنوعی همه منظوره اکنون با مهارتی نزدیک به انسان، مسائل پیچیده در ریاضیات، کدنویسی و علوم را استدلال می‌کنند. مدل‌ها مسائل المپیاد بین‌المللی ریاضی را در سطح مدال طلا حل کرده‌اند و بیش از 60 درصد از وظایف را در آزمون SWE به انجام رسانده‌اند. معیار تأیید شده.
• پیشرفت توسط روش‌های هوشمندتر پس از آموزش و محاسبات بیشتر در استنتاج به جای مقیاس‌بندی ساده مدل هدایت می‌شود.
• سیستم‌ها استقلال اولیه، از جمله برنامه‌ریزی، استفاده از ابزار و عملیات چند مرحله‌ای با نظارت محدود را نشان می‌دهند.
• قابلیت چندوجهی در متن، تصویر، ویدئو و صدا، برنامه‌ها را گسترش می‌دهد و در عین حال پتانسیل سوءاستفاده را افزایش می‌دهد. چرا این موضوع مهم است؟
• سیستم‌های هوش مصنوعی اکنون وظایف حساسی را انجام می‌دهند که زمانی محدود به متخصصان حوزه بود و چالش‌های حاکمیت شرکتی و پاسخگویی را ایجاد می‌کند.
• دانش در زیست‌شناسی و امنیت سایبری به طور فزاینده‌ای از طریق سیستم‌های همه منظوره در دسترس است و موانع سوءاستفاده دوگانه را کاهش می‌دهد. خطرات و شیوه‌های کلیدی
• خطر بیولوژیکی: ارزیابی‌های آزمایشگاهی و ابزارهای نوظهور نشان می‌دهد که سیستم‌های پیشرفته می‌توانند به جنبه‌های طراحی بیولوژیکی مضر یا عیب‌یابی کمک کنند. توسعه‌دهندگان سطوح ایمنی بالاتر و کاهش استقرار را برای سیستم‌های مرزی معرفی کرده‌اند.
• خطر امنیت سایبری: در آزمایش‌های کنترل‌شده، یک سیستم هوش مصنوعی ۷۷ درصد از آسیب‌پذیری‌های نرم‌افزار مصنوعی را شناسایی و ۶۱ درصد را در ۵۴ میلیون خط کد وصله کرده است و یک مرجع ملی تقریباً مطمئن است که هوش مصنوعی تا سال ۲۰۲۷ حملات سایبری را مؤثرتر خواهد کرد. همین تکنیک‌ها می‌توانند وصله‌های دفاعی را نیز تسریع کنند.
• اختلال در نیروی کار: پذیرش ناهموار است. پنجاه و یک درصد از توسعه‌دهندگان حرفه‌ای گزارش می‌دهند که روزانه از ابزارهای هوش مصنوعی استفاده می‌کنند، با این حال بسیاری همچنان بی‌اعتماد هستند و موفقیت در وظایف واقع‌بینانه محل کار اغلب زیر ۴۰ درصد باقی می‌ماند.
• همراهان هوش مصنوعی: برخی از سرویس‌ها ده‌ها میلیون کاربر فعال را گزارش می‌دهند که نگرانی‌هایی را در مورد وابستگی، توصیه‌های مضر و حریم خصوصی ایجاد می‌کند. چه کسی باید اقدام کند؟
• توسعه‌دهندگان ارزیابی ایمنی و شفافیت را در آموزش و استقرار تعبیه می‌کنند.
• دولت‌ها استانداردهای بین‌المللی را هماهنگ می‌کنند، افشای اطلاعات را اجرا می‌کنند و کاربردهای پرخطر را حسابرسی می‌کنند.
• محققان مطالعات رفتاری و تفسیرپذیری را تحت شرایط واقع‌بینانه و خصمانه گسترش می‌دهند.
• نهادهای بین‌المللی هماهنگ‌کننده نظارت بر قابلیت‌های استفاده دوگانه. موارد اقدام
• فراتر رفتن از معیارها به سمت آزمایش‌های استرس و سناریوهای سوءاستفاده در دنیای واقعی.
• ایجاد یک چارچوب مشترک سطح ایمنی هوش مصنوعی که افشا و کاهش خطرات را در حوزه‌های قضایی هماهنگ کند.
• تأمین مالی تحقیقات ارزیابی و ایمنی مستقل به گونه‌ای که پاسخگویی محدود به آزمایشگاه‌های خصوصی نباشد.
• ایجاد سیستم‌های ایمنی پیش‌فرض که انسان‌ها را مسئول اقدامات مهم نگه دارد.

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

اولین حمله سایبری در مقیاس بزرگ با استفاده از ابزارهای هوش مصنوعی و با حداقل دخالت انسان

هکرهای تحت حمایت دولت چین از ابزار Claude Code شرکت Anthropic برای جاسوسی پیشرفته از حدود سی هدف در سراسر جهان استفاده کردند و با موفقیت به چندین سازمان بزرگ نفوذ کردند.

اولین حمله سایبری بزرگ ثبت‌شده که عمدتاً با استفاده از هوش مصنوعی و با حداقل دخالت انسانی انجام شد.

این عملیات که در اواسط سپتامبر ۲۰۲۵ توسط تیم امنیتی آنتروپیک شناسایی شد، شرکت‌های پیشرو در حوزه فناوری، مؤسسات مالی، شرکت‌های تولید مواد شیمیایی و سازمان‌های دولتی را هدف قرار داده بود.

آنچه این حمله را از حملات قبلی متمایز می‌کرد، استفاده‌ی گسترده از عوامل پیشرفته‌ی هوش مصنوعی بود . این سیستم‌ها می‌توانند به تنهایی کار کنند و فقط گاهی اوقات به انسان نیاز دارند.

مهاجمان با استفاده از تکنیک‌های پیشرفته‌ی جیلبریک، کلود کد را برای انجام وظایف پیچیده‌ی نفوذ به سیستم وادار کردند .

آنها با تقسیم حمله به وظایف به ظاهر بی‌ضرر و وانمود کردن به اینکه برای یک شرکت امنیت سایبری واقعی در حال دفاع در برابر تهدیدات واقعی هستند، هوش مصنوعی را فریب دادند.

این عملیات از مراحل مشخصی عبور کرد. ابتدا، اپراتورهای انسانی اهداف را انتخاب کرده و چارچوب‌های حمله را توسعه دادند.


چرخه عمر حمله سایبری
کلود کد سپس عملیات شناسایی را انجام داد و پایگاه‌های داده با ارزش بالا و آسیب‌پذیری‌های امنیتی را در زیرساخت هدف شناسایی کرد.

این هوش مصنوعی کد بهره‌برداری خود را نوشت، اطلاعات احراز هویت را جمع‌آوری کرد ، داده‌های حساس را استخراج کرد و درهای پشتی ایجاد کرد، و در عین حال مستندات جامعی را برای عملیات‌های آینده تولید کرد.

نکته قابل توجه این است که کلود ۸۰ تا ۹۰ درصد از عملیات را تنها در ۴ تا ۶ نقطه تصمیم‌گیری حیاتی در هر حمله، با دخالت انسان انجام داد.

در اوج فعالیت، هوش مصنوعی هزاران درخواست در ثانیه را اجرا می‌کرد، سرعتی که برای هکرهای انسانی غیرممکن است. این سطح از کارایی، تغییر بزرگی در توانایی‌های حمله سایبری ایجاد کرد.

این حادثه نشان می‌دهد که توانایی‌های جدید عامل هوش مصنوعی، انجام حملات سایبری پیشرفته را برای افراد بسیار آسان‌تر کرده است.

گروه‌های تهدید کم‌تجربه‌تر و کم‌تأمین‌تر، اکنون می‌توانند عملیات‌هایی را در مقیاس سازمانی اجرا کنند که قبلاً به تخصص و تلاش گسترده انسانی نیاز داشتند.

کشف آنتروپیک یک مشکل جدی را برجسته می‌کند: همان قابلیت‌های هوش مصنوعی که این حملات را ممکن می‌سازند، برای دفاع در برابر امنیت سایبری ضروری هستند .

به تیم‌های امنیتی آنتروپیک توصیه می‌شود که دفاع با کمک هوش مصنوعی را در اتوماسیون مرکز عملیات امنیتی، تشخیص تهدید، ارزیابی آسیب‌پذیری و پاسخ به حوادث آزمایش کنند.

کارشناسان صنعت می‌گویند که پلتفرم‌های هوش مصنوعی به حفاظت‌های قوی‌تری نیاز دارند تا از سوءاستفاده‌ی بازیگران بد جلوگیری شود.

روش‌های پیشرفته تشخیص، بهبود اشتراک‌گذاری اطلاعات تهدید و کنترل‌های ایمنی قوی‌تر همچنان ضروری هستند، زیرا عاملان تهدید به طور فزاینده‌ای از این فناوری‌های قدرتمند استفاده می‌کنند.

این حادثه نقطه عطفی در چشم‌انداز امنیت سایبری است و نشان می‌دهد که سازمان‌ها باید به سرعت استراتژی‌های دفاعی خود را برای مقابله با تهدیدات هماهنگ‌شده با هوش مصنوعی تطبیق دهند.

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

اختلال سراسری در سفرهای هوایی؛ هزاران هواپیمای ایرباس به دلیل نقص نرم‌افزاری زمین‌گیر شدند
شرکت‌های هواپیمایی در سراسر جهان مجبور شده‌اند هزاران هواپیمای ایرباس «ای-۳۲۰» را به دلیل شناسایی یک مشکل نرم‌افزاری زمین‌گیر کنند؛ نقصی که احیانا با کاهش ناگهانی ارتفاع یک هواپیما حین پرواز در ماه گذشته آشکار شده.

گفته می‌شود حدود ۶ هزار فروند هواپیمای ایرباس از خانواده «ای-۳۲۰» تحت تأثیر این نقص قرار دارند که زمین‌گیر شدن آنها باعث تأخیر و لغو پروازها در انتهای هفته شده است.

ایرباس اعلام کرده است که بررسی حادثه سقوط ناگهانی ارتفاع هواپیمای جت‌بلو که پانزده مجروح به جا گذاشت، نشان داد تابش شدید خورشیدی می‌تواند داده‌های حیاتی برای عملکرد کنترل پرواز را در این مدل هواپیماها تخریب کند. این مشکل ناشی از به‌روزرسانی نرم‌افزاری در کامپیوترهای داخلی هواپیما است.

سازمان ایمنی هوانوردی اتحادیه اروپا (EASA) و اداره هوانوردی فدرال ایالات متحده (FAA) از خطوط هوایی خواسته‌اند تا این مشکل را با یک به‌روزرسانی «سریع» در اکثر هواپیماها برطرف کنند؛ اقدامی که اختلال کوتاه‌مدت در پروازه‌ها را به دنبال خواهد داشت.

نهاد ناظر بر هوانوردی بریتانیا نیز اعلام کرد که این موضوع باعث «اختلال و لغو برخی پروازها» خواهد شد. حدود ۵۰۰ هواپیمای ثبت‌شده در ایالات متحده نیز درست در زمانی که مسافران در حال بازگشت از تعطیلات شکرگزاری (شلوغ‌ترین دوره سفر در این کشور) هستند، تحت تأثیر این مشکل قرار خواهند گرفت.
شرکت «امریکن ایرلاینز» حدود ۴۸۰ هواپیما از خانواده «ای-۳۲۰» در اختیار دارد که ۲۰۹ فروند آن تحت تأثیر این نقص قرار گرفته‌اند. این شرکت اعلام کرد که به‌روز رسانی نرم‌افزار برای هر هواپیما حدود دو ساعت زمان می‌برد و انتظار می‌رود اکثریت قریب به اتفاق آن‌ها روز جمعه و تعدادی نیز روز شنبه این نقص را برطرف کنند.

امریکن ایرلاینز در همین راستا تأکید کرده است که ایمنی همچنان اولویت اصلی برا این شرکت است و تلاش می‌کند لغو پروازها محدود بماند.
شرکت «ایزی‌جت» (EasyJet) نیز به مسافران در مورد تأخیرهای احتمالی هشدار داده و اعلام کرده است: «به‌روز رسانی نرم‌افزاری در ناوگان خانواده "ای-۳۲۰" در حال انجام است و در صورت تغییر برنامه پرواز، مسافران را مطلع خواهد کرد..»

شرکت «ایر ایندیا» (Air India) در شبکه اجتماعی ایکس اعلام کرد که مهندسانش در حال کار بر روی این به‌روزرسانی هستند و تاکنون تنظیم مجدد (ریست) را در بیش از ۴۰ درصد از هواپیماهای نیازمند به این اقدام تکمیل کرده‌اند. این شرکت هیچ مورد لغو پروازی را گزارش نکرده است.

نرم‌افزار معیوب که «رایانه سکان افقی و شهپر» (ELAC) نام دارد، توسط شرکت هوافضا و دفاعی «تالس» (Thales) در فرانسه تولید شده است.

در پی حادثه ۳۰ اکتبر در پروازی از کانکون مکزیک به نیوآرک نیوجرسی، دست‌کم ۱۵ مسافر شرکت جت‌بلو مجروح و به بیمارستان منتقل شدند. این هواپیما مجبور به تغییر مسیر به سمت تمپا در فلوریدا شد.

ایرباس در کنار بوئینگ، یکی از بزرگترین تولیدکنندگان هواپیما در جهان است.
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

ضعف توابع cgi_auth() و cgi_process() در فایروال برنامه‌های وب FortiWeb به خاطر اشکال در مکانیزم پردازش مسیر نسبی پوشه است. استفاده از این ضعف می‌تواند به خطرناک‌ها اجازه دهد که با ارسال درخواست‌های HTTP یا HTTPS خاصی، از راه دور، سطح دسترسی خود را افزایش دهند

BDU:2025-14084
CVE-2025-64446

نصب به‌روزرسانی‌ها از منابع معتبر. به دلیل شرایط، به نصب به‌روزرسانی‌های نرم‌افزار تنها پس از ارزیابی تمامی ریسک‌های مرتبط پیشنهاد می‌شود.

تدابیر جایگزین:
- محدود کردن امکان استفاده از پروتکل‌های HTTP و HTTPS برای سازماندهی دسترسی از راه دور به دستگاه ضعیف;
- محدود کردن دسترسی به دستگاه ضعیف با استفاده از مکانیزم «فهرست‌های سفید»;
- محدود کردن امکان تغییر فایل‌های سیستمی;
- استفاده از سیستم‌های SIEM برای ردیابی رویدادهای مرتبط با تغییر اطلاعات ورودی استفاده شده برای دسترسی از راه دور به دستگاه ضعیف;
- استفاده از سیستم‌های تشخیص و جلوگیری از حملات برای ردیابی نشانگر تهاجمی در تلاش‌های استفاده از ضعف;
- استفاده از شبکه‌های خصوصی امن (VPN) برای سازماندهی دسترسی از راه دور.

استفاده از پیشنهادات سازنده:
https://fortiguard.fortinet.com/psirt/FG-IR-25-910
💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t

ضعف امنیت نرم افزار Kaspersky Industrial CyberSecurity برای نودهای لینوکس و Kaspersky Endpoint Security برای سیستم عامل های مک اس اچ و لینوکس با احتمال ارسال به سایت ناامن مرتبط است.
استفاده از این ضعف می تواند به خطرناک بودن تهاجمی از راه دور اجازه دهد که با استفاده از تکنیک های فیشینگ، حمله XSS بازتابی را انجام دهد

استفاده از توصیه های سازنده:
https://support.kaspersky.ru/vulnerability/list-of-advisories/12430#181125
بروزرسانی نرم افزار Kaspersky Endpoint Security (MacOS) به نسخه 12.2.0.694 با پایگاه داده های ضد ویروسی که پس از 17.11.2025 منتشر شده اند
برای Kaspersky Endpoint Security (Linux) و Kaspersky Industrial CyberSecurity برای نودهای لینوکس، رفع این ضعف به صورت خودکار انجام می شود.

💡اگر این متن دیدگاه شما را تغییر داد، به اشتراک بگذارید.
بیایید با هم استانداردها را بالا ببریم. 
🏭  کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
@pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
گروه تلگرام :
https://t.me/ICSCERT_IR
ایتا:
https://eitaa.com/joinchat/1866007784Cfd023f90b2
گروه تخصصی واتس اپ:
https://chat.whatsapp.com/BZu1yr1aeHpCDxiIXotzyW?mode=ac_t
به انجمن تخصصی AI.Sec بپیوندید:
https://chat.whatsapp.com/KRPUA6WM4f6AdS727vRBmM?mode=ems_copy_t