سلام‌

کمتر از ۱۲ ساعت تا برگزاری وبینار دوره آموزشی CSCU – الزامات امنیتی کاربران.

🕘 دوستانی که ثبت نام کرده اند، ساعت ۲۱ امشب را فراموش نکنید.

https://eseminar.tv/wb64647

آژانس های امنیتی ایالات متحده و وزارت انرژی در یک مشاوره مشترک امنیت سایبری هشدار دادند که هکرهای خاص تهدید دائمی پیشرفته (APT) توانایی دسترسی کامل به سیستم را به سیستم کنترل صنعتی چندگانه (ICS)/کنترل نظارتیو دستگاه های جمع آوری داده ها (SCADA) نشان داده اند. علاوه بر این، هکرهای APT میتوانند از ماژولها برای تعامل با دستگاههای هدفمند ICS/SCADA استفاده کنند و عملیات هکرهای سایبری با مهارت پایینتر را قادر میسازند تا از قابلیتهای هکرهای با مهارت بالاتر تقلید کنند.
ادامه مطلب را از این لینک بخوانید

#زیرساخت #سایبری #حمله_سایبری #امنیت_سایبری #جنگ_سایبری

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

محققان آسیب‌پذیری‌های 10 ساله را در آنتی‌ویروس Avast و AVG فاش کردند.

ادامه مطلب….

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

من بزرگترین اطلاعات اطلاعاتی را جمع آوری کردم که در کانال های تلویزیونی #اوکراین / #جنگ_سایبری روسیه نخواهید دید.

اخیراً روسیه بار دیگر تلاش کرد تا شبکه برق اوکراین را هک کند (در سال‌های 2014 و 2015 موفق شد چراغ‌های خیابان اوکراین را خاموش کند)، اما توسط لایه‌های قوی دفاع سایبری و مردم خنثی شد.

در همان زمان، آتش سوزی ها و انفجارهای "ممکن" در سراسر روسیه رخ داد که بیشتر آنها دور از مرز اوکراین بودند. اینها برای من رازی نیست.
تأسیسات صنعتی می توانند هم هدف و هم سلاح در جنگ سایبری باشند.

من نقشه ای از این آتش سوزی ها و انفجارهای صنعتی را با شما به اشتراک می گذارم که توانستم رمزگشایی کنم.

///////////////////////////////////////////
ایستگاه پلیس مسکو (21 آوریل 2022)
https://lnkd.in/dynF-Tsi

پژوهشکده وزارت دفاع (21 آوریل 2022)
https://lnkd.in/dviusmFh

عمارت فرماندار استان مسکو آندری وروبیوف (23 آوریل 2022)
https://lnkd.in/du-7JhEr

پایگاه نظامی بریانسک (25 آوریل 2022)
https://lnkd.in/d-TfTMsa

انبارهای نفت Transneft (25 آوریل 2022)
https://lnkd.in/dz8gktYz

دفتر ثبت Vorenszh (27 آوریل 2022)
https://lnkd.in/da8ztexp

پایگاه نظامی Millerovo (25 آوریل 2022)
https://lnkd.in/d8FquDps

دفتر ثبت لوخوویتسی (21 آوریل 2022)
https://lnkd.in/dynF-Tsi

موسسه تحقیقات مرکزی روسیه (25 آوریل 2022)
17 نفر در آتش سوزی هفته گذشته در یک مرکز تحقیقاتی نظامی روسیه جان باختند.

ایستگاه پلیس ایرکوتسک (27 آوریل 2022)
https://lnkd.in/dwGVgKuD

نیروگاه زغال سنگ ساخالین (30 آوریل 2022)
https://lnkd.in/dmfFFnzF

پایگاه نظامی یوسرلیسک (25 آوریل 2022)
https://lnkd.in/dvcsWE5c

#زیرساخت #سایبری #حمله_سایبری #امنیت_سایبری #جنگ_سایبری

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

نقشه حملات سایبری صنعتی به روسیه در جنگ‌ با اوکراین

#زیرساخت #سایبری #حمله_سایبری #امنیت_سایبری #جنگ_سایبری

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

هشدار جدی
چالش مرگ

خانواده دختر 10 ساله ای که در چالش جدید جان خود را از دست داد از TikTok شکایت کرد خانواده یک دختر 10 ساله آمریکایی که ظاهراً هنگام شرکت در "چالش خاموشی" TikTok خود را خفه کرد، از این پلتفرم شکایت کردند. نایلا اندرسون در دسامبر 2021 بیهوش در اتاق خوابش پیدا شد. او پنج روز را در آی سی یو گذراند و سپس تسلیم مرگ شد.

🚨پ ن: برای سلامت فرزندانمان در فضای افسار گسیخته سایبری نشر حداکثری
برچسب‌ها: #بهداشت_سایبری
#چالش_مرگ

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

🎯تخفیف ویژه ۹۰ درصدی
ویدیوی کامل وبینار دوره آموزشی CSCU – الزامات امنیتی کاربران
لینک ثبت نام: https://eseminar.tv/wb64647
مدت وبینار: 2 ساعت

دوستانی که امکان حضور در دوره را نداشتند، علاقمندان آشنایی با اصول پایه امنیت سایبری در هر سن می‌توانند از لینک زیر ویدیو را دریافت کنند
اگر علاقه مند به سلامت سایبری دوستان و اطرافیانتان هستید ، اگر از مخاطرات فضای سایبر‌یرای آنها نگرانید ، این دوره را به آنها هدیه دهید:
‏https://eseminar.tv/wb64647

🏆 هدیه ویژه به همراهان عزیز گروه با کد تخفیف ۹۰درصدی
‏vcoach90
🛑مدت محدود

محققان هشدار می دهند که خطرات استفاده از هوش مصنوعی برای رشد مواد غذایی ما قابل توجه است و نباید نادیده گرفته شود
این مقاله را میتوانید از این لینک مطالعه کنید

#امنیت_سایبری #کشاورزی #هوش_مصنوعی

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

حمله سایبری به بزرگترین میدان گازی گازپروم روسیه

حمله سایبری منجر به انفجار و آتش سوزی بزرگ شد
بیانیه گازپروم که توسط پراودا گزارش شده است:
« اداره اصلی اطلاعات واحد سایبری تهاجمی وزارت دفاع اوکراین بار دیگر حمله کرده است. این بار هدف شرکت Gazprom Dobycha Yamburg LLC بود، یک شرکت تابعه گازپروم در منطقه خودمختار Yamalo-Nenets که دومین میدان گازی بزرگ جهان با ذخایر قابل بازیافت تا 10 تریلیون متر مکعب گاز را در خود جای داده است. »
کاهش فشار در میدان Urengoyskoye با آتش سوزی در خط دوم کلکتور گاز، واقع بین واحدهای تصفیه گاز یکپارچه UKPG-7 و UKPG-8V رخ داد. تلفات جانی نداشت. OOO Gazprom dobycha Urengoy به سرعت اقداماتی را برای تعلیق عملکرد تأسیسات تولید، توزیع مجدد جریان گاز، مهار و از بین بردن آتش سوزی انجام داد. در ساعت 02:05 آتش خاموش شد. در ساعت 02:50 تاسیسات تولیدی دوباره به بهره برداری رسید. این حادثه تاثیری بر تحقق اهداف تولید گاز نداشت. دفتر مطبوعاتی این شرکت اعلام کرد که علت این حادثه توسط کمیسیون ویژه ایجاد شده تعیین خواهد شد.

هکرهای مسئول این حمله و حملات قبلی، این خبر را در اوایل صبح امروز صبح در ساعت 0230 PDT به طور انحصاری​ به همراه 32 مگابایت فایل گرفته شده از شبکه گازپروم که مربوط به این حمله است، به اشتراک گذاشتند. پس از ترجمه و مطالعه فایل ها، اطلاعات بیشتر در اختیار شما قرار خواهد گرفت. برای به روز رسانی کامل از جمله دسترسی به فایل مشترک شوید.

#امنیت_سایبری #جنگ_سایبری #حمله_سایبری

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

متن اطلاعیه منتشره از کانال گنجشک درنده، مدعی حمله سایبری به هلدینگ فولاد مبارکه:
گنجشک درنده:
امروز صنعت فولاد ایران وابسته به سپاه و بسیج، شرکت فولاد خوزستان و شركت فولاد مبارکه اصفهان و شرکت فولاد هرمزگان را تحت حمله سایبری خود «گنجشک درنده» قرار دادیم. این شرکت ها همچنان علی رغم تحریم های بین المللی علیه آنان به فعالیت خود ادامه می دهند. این حمله سایبری که با احتیاط کامل برای جلوگیری از رساندن هر آسیبی به افراد بیگناه صورت گرفته، در واکنش به تجاوزگری های جمهوری اسلامی است.

همانطوریکه می توان در این ویدیو مشاهده نمود، این حملات سایبری با احتیاط کامل برای جلوگیری از رساندن هر آسیبی به افراد بیگناه صورت گرفته است. در ضمیمه شواهدی از هک این شرکت ها توسط ما.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

اطلاعیه منتشره در توییتر گنجشک درنده
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

Codesys اعلام کرده است که بیش از ده ها آسیب پذیری را رفع کرده است.

راه حل های نرم افزار اتوماسیون صنعتی ارائه شده توسط شرکت آلمانی توسط بزرگترین سازندگان سیستم های کنترل صنعتی (ICS) در جهان استفاده می شود و آسیب پذیری های موجود در محصولات Codesys می تواند تعداد قابل توجهی از دستگاه ها را تحت تاثیر قرار دهد.

علاوه بر این، محققان شرکت چینی امنیت سایبری NSFocus مشکلاتی را در محصولات این شرکت آلمانی گزارش کردند.

در مجموع، کارشناسان 13 آسیب پذیری را در محصولات Codesys V2 پیدا کردند که یک شناسه CVE به آنها اختصاص داده شد. دو باگ توسط Codesys در اکتبر 2021 برطرف شد و 11 باگ با به‌روزرسانی‌های 23 ژوئن 2022 برطرف شد.

آسیب‌پذیری‌ها بسیار ساده هستند و می‌توان از آنها برای افشای اطلاعات حساس، قرار دادن یک PLC در حالت خطای بحرانی و اجرای کد دلخواه استفاده کرد و وقتی با سناریوهای صنعتی در این زمینه ترکیب شود، این اشکالات می‌توانند تولید صنعتی را فلج کنند و به تجهیزات آسیب برسانند.

به دو آسیب‌پذیری مربوط به حفاظت از رمز عبور نادرست، درجه‌بندی شدت «بحرانی» و به چندین آسیب‌پذیری دیگر درجه‌بندی «بالا» اختصاص داده شده است. علاوه بر این، بیش از نیمی از کاستی ها را می توان برای حملات انکار سرویس (DoS) استفاده کرد.

Codesys در بولتن های خود اذعان می کند که آسیب پذیری ها می توانند توسط یک مهاجم از راه دور مورد سوء استفاده قرار گیرند، اما در بسیاری از موارد هکر به نوعی دسترسی به سیستم هدف نیاز دارد.

در حال حاضر هیچ اکسپلویت شناخته شده ای در دسترس عموم وجود ندارد که آسیب پذیری های شناسایی شده را هدف قرار دهد.

با این حال، علاقه مندان چندان تنبل نبودند و ویدئویی منتشر کردند که نشان می داد چگونه یک مهاجم بالقوه می تواند یک DoS راه اندازی کند و سعی کند یک ABB PLC را متوقف کند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

سیستم‌های اتوماسیون ساختمان (BAS) یک هدف نسبتاً نادر برای مهاجمان پیشرفته هستند و به خطر افتادن آنها معمولاً تصادفی است.

بر اساس آن هکرها پس از هک کردن BAS، می توانند سایر بخش های زیرساخت هدف از جمله، سیستم های امنیت اطلاعات خود را به خطر بیاندازند. علاوه بر این، این سیستم های اتوماسیون می توانند منبع ارزشمندی از اطلاعات بسیار حساس باشند.

در اکتبر 2021، Kaspersky یک مهاجم چینی زبان قبلاً ناشناخته را شناسایی کرد که به سازمان های مخابراتی، تولیدی و حمل و نقل در پاکستان، افغانستان و مالزی حمله می کرد.

ظاهراً موج حملات از اوایل مارس 2021 آغاز شد، این گروه از آسیب‌پذیری CVE-2021-26855 در Microsoft Exchange برای استقرار بدافزار ShadowPad و نفوذ به سیستم‌های اتوماسیون ساختمان استفاده کرد.

این حملات دارای مجموعه منحصربفردی از TTPها بود که محققان را به این باور رساند که همان تهدید به زبان چینی در پشت آنها وجود دارد. در همان زمان، این بازیگر از کامپیوترهای مهندسی در سیستم های اتوماسیون ساختمان به عنوان نقطه ورود استفاده کرد.

در طول بررسی، محققان ابزارها و دستورات دیگری را پیدا کردند که مهاجم پس از عفونت اولیه استفاده می کرد. بنابراین، از مارس تا اکتبر 2021، درب پشتی ShadowPad در قالب فایل mscoree.dll که توسط AppLaunch.exe، یک برنامه کاملاً قانونی، راه‌اندازی شده بود، در رایانه‌های قربانیان دانلود شد.

بعداً، مهاجمان ShadowPad را با رهگیری یک DLL در یک برنامه قانونی برای مشاهده اشیاء OLE-COM (OleView) راه اندازی کردند. پس از آلودگی اولیه، مهاجمان ابتدا دستورات را به صورت دستی و سپس به طور خودکار از طریق رابط خط فرمان (cmd.exe) ارسال کردند.

بعداً، مهاجمان شروع به توزیع یک اسکریپت مخرب برای cmd.exe در شبکه‌های سازمان‌های تحت حمله کردند. اسکریپت تقریباً کاملاً یکسان بود (از نظر محتوا و ترتیب دستورات) با توالی اقدامات دستی که قبلاً کشف شده بود. نه تنها از طریق شبکه تحویل داده شد، بلکه توسط مهاجمان نیز برای اجرای روزانه به برنامه زمانبندی وظایف اضافه شد.

توجه به این نکته مهم است که این بخش از TTP است که کاملاً منحصر به فرد است و فعالیت های مشابه را به ART چینی زبان قبلاً ناشناخته نسبت می دهد.

سایر ابزارهای مورد استفاده عبارتند از: CobaltStrike، دانلود شده در ماشین های قربانی با استفاده از ابزار certutil.exe، بسته بندی های وب aspx کامپایل شده، ابزارهای procdump و Mimikatz. درب پشتی PlugX. فایل های BAT (برای سرقت اطلاعات اعتباری)؛ پوسته های وب (برای دسترسی از راه دور به سرور وب)، و همچنین Nextnet (برای اسکن گره های شبکه).

مهاجمان از دامنه های ثبت شده در NameSilo، GoDaddy.com و ENOM برای تماس با C2 استفاده کردند. بیشتر C2 ها روی سرورهای اختصاصی اجاره ای Choopa میزبانی می شدند.

در حین تجزیه و تحلیل این حملات، محققان مطابق با یک APT چینی دیگر که به نام Hafnium ردیابی شده بود، یافتند که همچنین شناخته شده است که از اکسپلویت های Exchange ProxyLogon استفاده می کند. با این حال، ابزار ارائه شده برای صحبت در مورد دخالت HAFNUM در حملات توصیف شده در گزارش کافی نیست.

محققان نتوانستند هدف نهایی بازیگر را تعیین کنند، اما ظاهراً هدف این گروه جمع آوری داده ها است. Kaspersky معتقد است که این بازیگر ممکن است علایق جغرافیایی گسترده‌تری داشته باشد و بر این اساس، فهرستی از قربانیان داشته باشد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

اگر برای به‌روزرسانی OpenSSL وقت ندارید، پس نباید عجله کنید، زیرا در نسخه جدید 3.0.4 که در 21 ژوئن 2022 منتشر شد، یک اشکال خرابی حافظه از راه دور شناسایی شد و سیستم‌های x64 با AVX-512 را تحت تأثیر قرار داد.

این آسیب‌پذیری توسط متخصص امنیتی Guido کشف شد که معتقد است با کمک یک باگ، یک مهاجم می‌تواند محتویات حافظه فرآیند را با ارسال داده‌های ساخته‌شده مخصوص در زمان برقراری اتصال TLS خراب کند.

هیچ شناسه یا درجه بحرانی CVE اختصاص داده نشده است زیرا هنوز مشخص نیست که آیا این اشکال می تواند منجر به اجرای کد و نشت حافظه پردازش شود یا خیر. در حال حاضر، خطا فقط محدود به خراب شدن است.

ماهیت آسیب‌پذیری این است که به دلیل تصحیح خطای نادرست در کد، تا 8192 بایت داده می‌تواند خارج از بافر اختصاص‌یافته بازنویسی یا خوانده شود.

محقق گوگل دیوید بنجامین تصمیم گرفت موضوع را دوباره بررسی کند، آسیب پذیری را تجزیه و تحلیل کرد و ادعا کرد که این خطا تهدیدی امنیتی نیست. با این حال، قول داده شده است که این مشکل در نسخه بعدی حل شود.

تصاویر منتشره در توییتر گنجشک درنده
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

🚨هشدار

اکسپلویت های Log4Shell هنوز برای هک سرورهای VMware استفاده می شود

عوامل تهدید، از جمله گروه‌های هک تحت حمایت دولت‌ها، همچنان سرورهای VMware Horizon و Unified Access Gateway (UAG) را با استفاده از آسیب‌پذیری اجرای کد از راه دور Log4Shell (CVE-2021-44228) هدف قرار می‌دهند.
مهاجمان می‌توانند از Log4Shell از راه دور بر روی سرورهای آسیب‌پذیری که در معرض دسترسی محلی یا اینترنتی هستند برای حرکت جانبی در شبکه‌ها تا زمانی که به سیستم‌های داخلی حاوی داده‌های حساس دسترسی پیدا کنند، سوء استفاده کنند.
پس از افشای آن در دسامبر 2021، چندین عامل تهدید شروع به اسکن و بهره‌برداری از سیستم‌های اصلاح‌نشده ، از جمله گروه‌های هک تحت حمایت دولت از چین، کره شمالی و ترکیه، و همچنین چندین واسطه دسترسی که معمولاً توسط باج‌افزارها استفاده می‌شوند، کردند.

امنیت سایبری آمریکا اعلام کرد سرورها با استفاده از سوء استفاده‌های Log4Shell برای دسترسی اولیه به شبکه‌های سازمان‌های هدف به خطر افتاده‌اند.
پس از نفوذ به شبکه‌ها، آن‌ها انواع بدافزارهای مختلف را مستقر کردند و دسترسی از راه دور مورد نیاز برای استقرار بارهای اضافی و استخراج صدها گیگابایت اطلاعات حساس را در اختیار آنها قرار دادند.
به عنوان بخشی از این بهره برداری، بازیگران مشکوک APT بدافزار لودر را در سیستم های در معرض خطر با فایل های اجرایی تعبیه شده که فرمان و کنترل از راه دور (C2) را امکان پذیر می کند، کاشته اند .
در یک نشست تایید شده، این بازیگران APT توانستند به صورت جانبی در داخل شبکه حرکت کنند، به شبکه بازیابی فاجعه دسترسی پیدا کنند، و داده های حساس را جمع آوری و استخراج کنند.

سیستم‌های VMware وصله‌نشده باید به خطر افتاده در نظر گرفته شوند

به سازمان‌هایی که هنوز سرورهای VMware خود را اصلاح نکرده‌اند، توصیه می‌شود آنها را به‌عنوان هک شده برچسب‌گذاری کنند و رویه‌های واکنش به حادثه (IR) را شروع کنند.

✅مراحل مورد نیاز برای واکنش مناسب در چنین شرایطی شامل:
جداسازی فوری سیستم‌های بالقوه آسیب‌دیده، جمع‌آوری و بررسی لاگ‌ها و موارد مربوطه، استخدام کارشناسان IR شخص ثالث (در صورت نیاز)، و گزارش حادثه به مراجع ملی امنیتی است.
به همه سازمان‌های دارای سیستم‌های آسیب‌دیده توصیه می‌شود که فوراً وصله‌ها یا راه‌حل‌های موجود را اعمال کنند

توصیه امروز پس از آن صورت می گیرد که VMware همچنین در ماه ژانویه از مشتریان خواسته است تا سرورهای VMware Horizon در معرض اینترنت را در برابر حملات Log4Shell ایمن کنند.
از ابتدای سال، سرورهای VMware Horizon توسط بازیگران تهدید چینی زبان برای استقرار باج‌افزار Night Sky ، Lazarus Korean APT برای استقرار دزدان اطلاعات و گروه هکر ایرانی TunnelVision برای استقرار درهای پشتی هدف قرار گرفته‌اند.
تا زمانی که نتوانید با به‌روزرسانی همه سرورهای VMware Horizon و UAG آسیب‌دیده به آخرین نسخه‌ها، ساخت‌های اصلاح‌شده را نصب کنید، می‌توانید سطح حمله را «با میزبانی سرویس‌های ضروری در یک منطقه غیرنظامی جداشده (DMZ)»، استقرار فایروال‌های برنامه‌های کاربردی وب (WAF) کاهش دهید.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

نگاهی به عملكرد بدافزار Chaplin، بدافزاری چند مرحله‌ای و پیشرفته

بدافزار Chaplin توسط یک فایل «پاورشل» تحت عنوان Mapping.ps1 فراخوانی می‌شود.
مرکز مدیریت راهبردی افتا دیروز ششم تیرماه 1401 خبری با موضوع شناسایی بدافزار جدید با نام Chaplin در زیرساخت‌های کشور منتشر کرد، شواهدی از فعالیت این بدافزار در زیرساخت‌های فناوری اطلاعات حوزه صنعت کشور رصد شده است که در این مطلب تشریح دقیق‌تر از عملکرد آن بهمراه فایل‌ها و اسکریپت‌های مخرب بیان می‌شود.


عملکرد بدافزار:
بدافزار Chaplin توسط یک فایل «پاورشل» تحت عنوان Mapping.ps1 فراخوانی می‌شود. این فایل پاورشل به صورت چندمرحله‌ای طراحی شده و اهم اقدامات مخرب این فایل عبارت است از:
• گزینش سیستم هدف
• ایجاد مسیر هدف
• انتقال فایل‌های مورد نیاز به مسیر هدف
• غیرفشرده‌سازی فایل‌های موردنیاز
• ایجاد، اجرا و سپس حذف سرویس
• حذف لاگ فعالیت‌ها
نکته حایز اهمیت در Mapping.ps1 آن است که این فایل، اطلاعات احراز هویت برای اجرای مراحل فوق را در سطح ممتاز داراست. پس از اینکه Chaplin واسط‌های شبکه را غیرفعال می‌کند، فایل Screen.exe کلیدهای رجیستری LSA را حذف کرده و از این طریق، درصدد ایجاد اختلال در فرآیند احراز هویت کاربران و ایجاد مشکل در فرآیند Boot سیستم برمی‌آید.

راهکارهای پیشگیری و مقابله:
1) بروزرسانی آنتی‌ویروس و پویش شبکه
2) محدودسازی مجوزهای اجرای کدهای پاورشل
3) استفاده از دیواره‌های آتش با قواعد سخت‌گیرانه
4) تنظیم رمزهای عبور براساس استاندارد‌های امنیتی
5) جمع‌آوری و پایش لاگ‌های سیستمی و رویدادهای امنیتی
6) معرفی و شناساندن شاخص فایل‌های اجرایی و سرویس‌های مخرب (IoC)

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

شناسایی آسیب پذیری ها در محصولات Yokogawa

۱-
انتقال متن شفاف اطلاعات حساس CWE-319
محصول آسیب‌دیده اطلاعات حساس را به صورت متن شفاف منتقل می‌کند، که ممکن است به مهاجمی که ترافیک شبکه روی کنترل‌کننده را شناسایی می‌کند، اجازه می‌دهد تنظیمات پیکربندی را بخواند/تغییر دهد یا کنترل‌کننده را با سیستم‌افزار دستکاری شده به‌روزرسانی کند.
CVE-2022-29519 به این آسیب پذیری اختصاص داده شده است. نمره پایه CVSS v3 4.8 محاسبه شده است. رشته برداری CVSS (AV:A/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N) است.

۲-
استفاده از اعتبارنامه های رمزگذاری شده سخت CWE-798
محصول آسیب‌دیده از اعتبارنامه‌های رمزگذاری‌شده استفاده می‌کند، که می‌تواند مهاجم را قادر ‌سازد تنظیمات پیکربندی را بخواند/تغییر دهد یا کنترل‌کننده را با سیستم‌افزار دستکاری شده به‌روزرسانی کند.
توجه داشته باشید، واحدهای واحد CPU کنترلر FCN/FCJ تحت تأثیر قرار نمی گیرند.
CVE-2022-30997 به این آسیب پذیری اختصاص داده شده است. نمره پایه CVSS v3 6.3 محاسبه شده است. رشته برداری CVSS (AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H) است.

۳-
نقض اصول طراحی ایمن CWE-657
اگر مهاجم با استفاده از CAMS برای نرم‌افزار HIS با موفقیت رایانه‌ای را در معرض خطر قرار دهد، می‌تواند از اعتبارنامه‌های دستگاه در معرض خطر برای دسترسی به داده‌های دستگاه دیگری با استفاده از CAMS برای نرم‌افزار HIS استفاده کند. این می تواند منجر به غیرفعال کردن CAMS برای عملکردهای نرم افزار HIS در هر دستگاه آسیب دیده شود.
CVE-2022-30707 به این آسیب پذیری اختصاص داده شده است. نمره پایه CVSS v3 6.4 محاسبه شده است. رشته برداری CVSS (AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:H) است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

کشف آسیب پذیری در برخی محصولات اتوماسیون صنعتی Omron
۱-
انتقال متن شفاف اطلاعات حساس CWE-319
سری Omron SYSMAC CS1/CJ1/CP1/CP2 در برابر رمز عبور استفاده شده برای محدود کردن عملیات مهندسی که به صورت متن ساده منتقل می شود آسیب پذیر است.
CVE-2022-31204 به این آسیب پذیری اختصاص داده شده است. نمره پایه CVSS v3 6.5 اختصاص داده شده است. رشته برداری CVSS (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N) است.

۲-
ذخیره سازی متن ساده رمز عبور CWE-256
CP1W-CIF41 Ethernet Option Board در برابر رمز عبور Web UI آسیب پذیر است که می تواند با استفاده از پروتکل Omron FINS از حافظه خوانده شود. مهاجمی که این رمز عبور را به دست می آورد می تواند تنظیمات شبکه گزینه برد را تغییر دهد.
CVE-2022-31205 به این آسیب پذیری اختصاص داده شده است. نمره پایه CVSS v3 6.5 اختصاص داده شده است. رشته برداری CVSS (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N) است.

۳-
تأیید ناکافی صحت داده ها CWE-345
منطقی که در PLC دانلود می‌شود از نظر رمزنگاری احراز هویت نشده است، و به مهاجم اجازه می‌دهد تا بدون استفاده از رمز عبور حفاظتی PLC، کد شی منتقل‌شده را به یک PLC محافظت‌نشده دستکاری کند. سپس یک مهاجم می‌تواند دستورات کد شی دلخواه را بر روی منطق نرم‌افزاری تعریف‌شده برای تمام نسخه‌های کنترل‌کننده‌های سری SYSMAC CS/CJ/CP اجرا کند و شرایط انکار سرویس را ایجاد کند.
CVE-2022-31207 به این آسیب پذیری اختصاص داده شده است. نمره پایه CVSS v3 5.9 اختصاص داده شده است. رشته برداری CVSS (AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:H/A:H) است.

۴-
تأیید ناکافی صحت داده ها CWE-347
منطقی که در PLC دانلود می‌شود از نظر رمزنگاری احراز هویت نشده است، و به مهاجم اجازه می‌دهد کد شی منتقل شده به PLC را دستکاری کند و کد ماشین دلخواه را روی پردازنده ماژول CPU PLC برای کنترل‌کننده‌های سری SYSMAC NJ/NX اجرا کند.
CVE-2022-31206 به این آسیب پذیری اختصاص داده شده است. نمره پایه CVSS v3 4.4 اختصاص داده شده است. رشته برداری CVSS (AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:H/A:N) است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti