من بزرگترین اطلاعات اطلاعاتی را جمع آوری کردم که در کانال های تلویزیونی #اوکراین / #جنگ_سایبری روسیه نخواهید دید.

اخیراً روسیه بار دیگر تلاش کرد تا شبکه برق اوکراین را هک کند (در سال‌های 2014 و 2015 موفق شد چراغ‌های خیابان اوکراین را خاموش کند)، اما توسط لایه‌های قوی دفاع سایبری و مردم خنثی شد.

در همان زمان، آتش سوزی ها و انفجارهای "ممکن" در سراسر روسیه رخ داد که بیشتر آنها دور از مرز اوکراین بودند. اینها برای من رازی نیست.
تأسیسات صنعتی می توانند هم هدف و هم سلاح در جنگ سایبری باشند.

من نقشه ای از این آتش سوزی ها و انفجارهای صنعتی را با شما به اشتراک می گذارم که توانستم رمزگشایی کنم.

///////////////////////////////////////////
ایستگاه پلیس مسکو (21 آوریل 2022)
https://lnkd.in/dynF-Tsi

پژوهشکده وزارت دفاع (21 آوریل 2022)
https://lnkd.in/dviusmFh

عمارت فرماندار استان مسکو آندری وروبیوف (23 آوریل 2022)
https://lnkd.in/du-7JhEr

پایگاه نظامی بریانسک (25 آوریل 2022)
https://lnkd.in/d-TfTMsa

انبارهای نفت Transneft (25 آوریل 2022)
https://lnkd.in/dz8gktYz

دفتر ثبت Vorenszh (27 آوریل 2022)
https://lnkd.in/da8ztexp

پایگاه نظامی Millerovo (25 آوریل 2022)
https://lnkd.in/d8FquDps

دفتر ثبت لوخوویتسی (21 آوریل 2022)
https://lnkd.in/dynF-Tsi

موسسه تحقیقات مرکزی روسیه (25 آوریل 2022)
17 نفر در آتش سوزی هفته گذشته در یک مرکز تحقیقاتی نظامی روسیه جان باختند.

ایستگاه پلیس ایرکوتسک (27 آوریل 2022)
https://lnkd.in/dwGVgKuD

نیروگاه زغال سنگ ساخالین (30 آوریل 2022)
https://lnkd.in/dmfFFnzF

پایگاه نظامی یوسرلیسک (25 آوریل 2022)
https://lnkd.in/dvcsWE5c

#زیرساخت #سایبری #حمله_سایبری #امنیت_سایبری #جنگ_سایبری

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

نقشه حملات سایبری صنعتی به روسیه در جنگ‌ با اوکراین

#زیرساخت #سایبری #حمله_سایبری #امنیت_سایبری #جنگ_سایبری

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

هشدار جدی
چالش مرگ

خانواده دختر 10 ساله ای که در چالش جدید جان خود را از دست داد از TikTok شکایت کرد خانواده یک دختر 10 ساله آمریکایی که ظاهراً هنگام شرکت در "چالش خاموشی" TikTok خود را خفه کرد، از این پلتفرم شکایت کردند. نایلا اندرسون در دسامبر 2021 بیهوش در اتاق خوابش پیدا شد. او پنج روز را در آی سی یو گذراند و سپس تسلیم مرگ شد.

🚨پ ن: برای سلامت فرزندانمان در فضای افسار گسیخته سایبری نشر حداکثری
برچسب‌ها: #بهداشت_سایبری
#چالش_مرگ

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

🎯تخفیف ویژه ۹۰ درصدی
ویدیوی کامل وبینار دوره آموزشی CSCU – الزامات امنیتی کاربران
لینک ثبت نام: https://eseminar.tv/wb64647
مدت وبینار: 2 ساعت

دوستانی که امکان حضور در دوره را نداشتند، علاقمندان آشنایی با اصول پایه امنیت سایبری در هر سن می‌توانند از لینک زیر ویدیو را دریافت کنند
اگر علاقه مند به سلامت سایبری دوستان و اطرافیانتان هستید ، اگر از مخاطرات فضای سایبر‌یرای آنها نگرانید ، این دوره را به آنها هدیه دهید:
‏https://eseminar.tv/wb64647

🏆 هدیه ویژه به همراهان عزیز گروه با کد تخفیف ۹۰درصدی
‏vcoach90
🛑مدت محدود

محققان هشدار می دهند که خطرات استفاده از هوش مصنوعی برای رشد مواد غذایی ما قابل توجه است و نباید نادیده گرفته شود
این مقاله را میتوانید از این لینک مطالعه کنید

#امنیت_سایبری #کشاورزی #هوش_مصنوعی

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

حمله سایبری به بزرگترین میدان گازی گازپروم روسیه

حمله سایبری منجر به انفجار و آتش سوزی بزرگ شد
بیانیه گازپروم که توسط پراودا گزارش شده است:
« اداره اصلی اطلاعات واحد سایبری تهاجمی وزارت دفاع اوکراین بار دیگر حمله کرده است. این بار هدف شرکت Gazprom Dobycha Yamburg LLC بود، یک شرکت تابعه گازپروم در منطقه خودمختار Yamalo-Nenets که دومین میدان گازی بزرگ جهان با ذخایر قابل بازیافت تا 10 تریلیون متر مکعب گاز را در خود جای داده است. »
کاهش فشار در میدان Urengoyskoye با آتش سوزی در خط دوم کلکتور گاز، واقع بین واحدهای تصفیه گاز یکپارچه UKPG-7 و UKPG-8V رخ داد. تلفات جانی نداشت. OOO Gazprom dobycha Urengoy به سرعت اقداماتی را برای تعلیق عملکرد تأسیسات تولید، توزیع مجدد جریان گاز، مهار و از بین بردن آتش سوزی انجام داد. در ساعت 02:05 آتش خاموش شد. در ساعت 02:50 تاسیسات تولیدی دوباره به بهره برداری رسید. این حادثه تاثیری بر تحقق اهداف تولید گاز نداشت. دفتر مطبوعاتی این شرکت اعلام کرد که علت این حادثه توسط کمیسیون ویژه ایجاد شده تعیین خواهد شد.

هکرهای مسئول این حمله و حملات قبلی، این خبر را در اوایل صبح امروز صبح در ساعت 0230 PDT به طور انحصاری​ به همراه 32 مگابایت فایل گرفته شده از شبکه گازپروم که مربوط به این حمله است، به اشتراک گذاشتند. پس از ترجمه و مطالعه فایل ها، اطلاعات بیشتر در اختیار شما قرار خواهد گرفت. برای به روز رسانی کامل از جمله دسترسی به فایل مشترک شوید.

#امنیت_سایبری #جنگ_سایبری #حمله_سایبری

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

متن اطلاعیه منتشره از کانال گنجشک درنده، مدعی حمله سایبری به هلدینگ فولاد مبارکه:
گنجشک درنده:
امروز صنعت فولاد ایران وابسته به سپاه و بسیج، شرکت فولاد خوزستان و شركت فولاد مبارکه اصفهان و شرکت فولاد هرمزگان را تحت حمله سایبری خود «گنجشک درنده» قرار دادیم. این شرکت ها همچنان علی رغم تحریم های بین المللی علیه آنان به فعالیت خود ادامه می دهند. این حمله سایبری که با احتیاط کامل برای جلوگیری از رساندن هر آسیبی به افراد بیگناه صورت گرفته، در واکنش به تجاوزگری های جمهوری اسلامی است.

همانطوریکه می توان در این ویدیو مشاهده نمود، این حملات سایبری با احتیاط کامل برای جلوگیری از رساندن هر آسیبی به افراد بیگناه صورت گرفته است. در ضمیمه شواهدی از هک این شرکت ها توسط ما.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

اطلاعیه منتشره در توییتر گنجشک درنده
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

Codesys اعلام کرده است که بیش از ده ها آسیب پذیری را رفع کرده است.

راه حل های نرم افزار اتوماسیون صنعتی ارائه شده توسط شرکت آلمانی توسط بزرگترین سازندگان سیستم های کنترل صنعتی (ICS) در جهان استفاده می شود و آسیب پذیری های موجود در محصولات Codesys می تواند تعداد قابل توجهی از دستگاه ها را تحت تاثیر قرار دهد.

علاوه بر این، محققان شرکت چینی امنیت سایبری NSFocus مشکلاتی را در محصولات این شرکت آلمانی گزارش کردند.

در مجموع، کارشناسان 13 آسیب پذیری را در محصولات Codesys V2 پیدا کردند که یک شناسه CVE به آنها اختصاص داده شد. دو باگ توسط Codesys در اکتبر 2021 برطرف شد و 11 باگ با به‌روزرسانی‌های 23 ژوئن 2022 برطرف شد.

آسیب‌پذیری‌ها بسیار ساده هستند و می‌توان از آنها برای افشای اطلاعات حساس، قرار دادن یک PLC در حالت خطای بحرانی و اجرای کد دلخواه استفاده کرد و وقتی با سناریوهای صنعتی در این زمینه ترکیب شود، این اشکالات می‌توانند تولید صنعتی را فلج کنند و به تجهیزات آسیب برسانند.

به دو آسیب‌پذیری مربوط به حفاظت از رمز عبور نادرست، درجه‌بندی شدت «بحرانی» و به چندین آسیب‌پذیری دیگر درجه‌بندی «بالا» اختصاص داده شده است. علاوه بر این، بیش از نیمی از کاستی ها را می توان برای حملات انکار سرویس (DoS) استفاده کرد.

Codesys در بولتن های خود اذعان می کند که آسیب پذیری ها می توانند توسط یک مهاجم از راه دور مورد سوء استفاده قرار گیرند، اما در بسیاری از موارد هکر به نوعی دسترسی به سیستم هدف نیاز دارد.

در حال حاضر هیچ اکسپلویت شناخته شده ای در دسترس عموم وجود ندارد که آسیب پذیری های شناسایی شده را هدف قرار دهد.

با این حال، علاقه مندان چندان تنبل نبودند و ویدئویی منتشر کردند که نشان می داد چگونه یک مهاجم بالقوه می تواند یک DoS راه اندازی کند و سعی کند یک ABB PLC را متوقف کند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

سیستم‌های اتوماسیون ساختمان (BAS) یک هدف نسبتاً نادر برای مهاجمان پیشرفته هستند و به خطر افتادن آنها معمولاً تصادفی است.

بر اساس آن هکرها پس از هک کردن BAS، می توانند سایر بخش های زیرساخت هدف از جمله، سیستم های امنیت اطلاعات خود را به خطر بیاندازند. علاوه بر این، این سیستم های اتوماسیون می توانند منبع ارزشمندی از اطلاعات بسیار حساس باشند.

در اکتبر 2021، Kaspersky یک مهاجم چینی زبان قبلاً ناشناخته را شناسایی کرد که به سازمان های مخابراتی، تولیدی و حمل و نقل در پاکستان، افغانستان و مالزی حمله می کرد.

ظاهراً موج حملات از اوایل مارس 2021 آغاز شد، این گروه از آسیب‌پذیری CVE-2021-26855 در Microsoft Exchange برای استقرار بدافزار ShadowPad و نفوذ به سیستم‌های اتوماسیون ساختمان استفاده کرد.

این حملات دارای مجموعه منحصربفردی از TTPها بود که محققان را به این باور رساند که همان تهدید به زبان چینی در پشت آنها وجود دارد. در همان زمان، این بازیگر از کامپیوترهای مهندسی در سیستم های اتوماسیون ساختمان به عنوان نقطه ورود استفاده کرد.

در طول بررسی، محققان ابزارها و دستورات دیگری را پیدا کردند که مهاجم پس از عفونت اولیه استفاده می کرد. بنابراین، از مارس تا اکتبر 2021، درب پشتی ShadowPad در قالب فایل mscoree.dll که توسط AppLaunch.exe، یک برنامه کاملاً قانونی، راه‌اندازی شده بود، در رایانه‌های قربانیان دانلود شد.

بعداً، مهاجمان ShadowPad را با رهگیری یک DLL در یک برنامه قانونی برای مشاهده اشیاء OLE-COM (OleView) راه اندازی کردند. پس از آلودگی اولیه، مهاجمان ابتدا دستورات را به صورت دستی و سپس به طور خودکار از طریق رابط خط فرمان (cmd.exe) ارسال کردند.

بعداً، مهاجمان شروع به توزیع یک اسکریپت مخرب برای cmd.exe در شبکه‌های سازمان‌های تحت حمله کردند. اسکریپت تقریباً کاملاً یکسان بود (از نظر محتوا و ترتیب دستورات) با توالی اقدامات دستی که قبلاً کشف شده بود. نه تنها از طریق شبکه تحویل داده شد، بلکه توسط مهاجمان نیز برای اجرای روزانه به برنامه زمانبندی وظایف اضافه شد.

توجه به این نکته مهم است که این بخش از TTP است که کاملاً منحصر به فرد است و فعالیت های مشابه را به ART چینی زبان قبلاً ناشناخته نسبت می دهد.

سایر ابزارهای مورد استفاده عبارتند از: CobaltStrike، دانلود شده در ماشین های قربانی با استفاده از ابزار certutil.exe، بسته بندی های وب aspx کامپایل شده، ابزارهای procdump و Mimikatz. درب پشتی PlugX. فایل های BAT (برای سرقت اطلاعات اعتباری)؛ پوسته های وب (برای دسترسی از راه دور به سرور وب)، و همچنین Nextnet (برای اسکن گره های شبکه).

مهاجمان از دامنه های ثبت شده در NameSilo، GoDaddy.com و ENOM برای تماس با C2 استفاده کردند. بیشتر C2 ها روی سرورهای اختصاصی اجاره ای Choopa میزبانی می شدند.

در حین تجزیه و تحلیل این حملات، محققان مطابق با یک APT چینی دیگر که به نام Hafnium ردیابی شده بود، یافتند که همچنین شناخته شده است که از اکسپلویت های Exchange ProxyLogon استفاده می کند. با این حال، ابزار ارائه شده برای صحبت در مورد دخالت HAFNUM در حملات توصیف شده در گزارش کافی نیست.

محققان نتوانستند هدف نهایی بازیگر را تعیین کنند، اما ظاهراً هدف این گروه جمع آوری داده ها است. Kaspersky معتقد است که این بازیگر ممکن است علایق جغرافیایی گسترده‌تری داشته باشد و بر این اساس، فهرستی از قربانیان داشته باشد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

اگر برای به‌روزرسانی OpenSSL وقت ندارید، پس نباید عجله کنید، زیرا در نسخه جدید 3.0.4 که در 21 ژوئن 2022 منتشر شد، یک اشکال خرابی حافظه از راه دور شناسایی شد و سیستم‌های x64 با AVX-512 را تحت تأثیر قرار داد.

این آسیب‌پذیری توسط متخصص امنیتی Guido کشف شد که معتقد است با کمک یک باگ، یک مهاجم می‌تواند محتویات حافظه فرآیند را با ارسال داده‌های ساخته‌شده مخصوص در زمان برقراری اتصال TLS خراب کند.

هیچ شناسه یا درجه بحرانی CVE اختصاص داده نشده است زیرا هنوز مشخص نیست که آیا این اشکال می تواند منجر به اجرای کد و نشت حافظه پردازش شود یا خیر. در حال حاضر، خطا فقط محدود به خراب شدن است.

ماهیت آسیب‌پذیری این است که به دلیل تصحیح خطای نادرست در کد، تا 8192 بایت داده می‌تواند خارج از بافر اختصاص‌یافته بازنویسی یا خوانده شود.

محقق گوگل دیوید بنجامین تصمیم گرفت موضوع را دوباره بررسی کند، آسیب پذیری را تجزیه و تحلیل کرد و ادعا کرد که این خطا تهدیدی امنیتی نیست. با این حال، قول داده شده است که این مشکل در نسخه بعدی حل شود.

تصاویر منتشره در توییتر گنجشک درنده
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

🚨هشدار

اکسپلویت های Log4Shell هنوز برای هک سرورهای VMware استفاده می شود

عوامل تهدید، از جمله گروه‌های هک تحت حمایت دولت‌ها، همچنان سرورهای VMware Horizon و Unified Access Gateway (UAG) را با استفاده از آسیب‌پذیری اجرای کد از راه دور Log4Shell (CVE-2021-44228) هدف قرار می‌دهند.
مهاجمان می‌توانند از Log4Shell از راه دور بر روی سرورهای آسیب‌پذیری که در معرض دسترسی محلی یا اینترنتی هستند برای حرکت جانبی در شبکه‌ها تا زمانی که به سیستم‌های داخلی حاوی داده‌های حساس دسترسی پیدا کنند، سوء استفاده کنند.
پس از افشای آن در دسامبر 2021، چندین عامل تهدید شروع به اسکن و بهره‌برداری از سیستم‌های اصلاح‌نشده ، از جمله گروه‌های هک تحت حمایت دولت از چین، کره شمالی و ترکیه، و همچنین چندین واسطه دسترسی که معمولاً توسط باج‌افزارها استفاده می‌شوند، کردند.

امنیت سایبری آمریکا اعلام کرد سرورها با استفاده از سوء استفاده‌های Log4Shell برای دسترسی اولیه به شبکه‌های سازمان‌های هدف به خطر افتاده‌اند.
پس از نفوذ به شبکه‌ها، آن‌ها انواع بدافزارهای مختلف را مستقر کردند و دسترسی از راه دور مورد نیاز برای استقرار بارهای اضافی و استخراج صدها گیگابایت اطلاعات حساس را در اختیار آنها قرار دادند.
به عنوان بخشی از این بهره برداری، بازیگران مشکوک APT بدافزار لودر را در سیستم های در معرض خطر با فایل های اجرایی تعبیه شده که فرمان و کنترل از راه دور (C2) را امکان پذیر می کند، کاشته اند .
در یک نشست تایید شده، این بازیگران APT توانستند به صورت جانبی در داخل شبکه حرکت کنند، به شبکه بازیابی فاجعه دسترسی پیدا کنند، و داده های حساس را جمع آوری و استخراج کنند.

سیستم‌های VMware وصله‌نشده باید به خطر افتاده در نظر گرفته شوند

به سازمان‌هایی که هنوز سرورهای VMware خود را اصلاح نکرده‌اند، توصیه می‌شود آنها را به‌عنوان هک شده برچسب‌گذاری کنند و رویه‌های واکنش به حادثه (IR) را شروع کنند.

✅مراحل مورد نیاز برای واکنش مناسب در چنین شرایطی شامل:
جداسازی فوری سیستم‌های بالقوه آسیب‌دیده، جمع‌آوری و بررسی لاگ‌ها و موارد مربوطه، استخدام کارشناسان IR شخص ثالث (در صورت نیاز)، و گزارش حادثه به مراجع ملی امنیتی است.
به همه سازمان‌های دارای سیستم‌های آسیب‌دیده توصیه می‌شود که فوراً وصله‌ها یا راه‌حل‌های موجود را اعمال کنند

توصیه امروز پس از آن صورت می گیرد که VMware همچنین در ماه ژانویه از مشتریان خواسته است تا سرورهای VMware Horizon در معرض اینترنت را در برابر حملات Log4Shell ایمن کنند.
از ابتدای سال، سرورهای VMware Horizon توسط بازیگران تهدید چینی زبان برای استقرار باج‌افزار Night Sky ، Lazarus Korean APT برای استقرار دزدان اطلاعات و گروه هکر ایرانی TunnelVision برای استقرار درهای پشتی هدف قرار گرفته‌اند.
تا زمانی که نتوانید با به‌روزرسانی همه سرورهای VMware Horizon و UAG آسیب‌دیده به آخرین نسخه‌ها، ساخت‌های اصلاح‌شده را نصب کنید، می‌توانید سطح حمله را «با میزبانی سرویس‌های ضروری در یک منطقه غیرنظامی جداشده (DMZ)»، استقرار فایروال‌های برنامه‌های کاربردی وب (WAF) کاهش دهید.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

نگاهی به عملكرد بدافزار Chaplin، بدافزاری چند مرحله‌ای و پیشرفته

بدافزار Chaplin توسط یک فایل «پاورشل» تحت عنوان Mapping.ps1 فراخوانی می‌شود.
مرکز مدیریت راهبردی افتا دیروز ششم تیرماه 1401 خبری با موضوع شناسایی بدافزار جدید با نام Chaplin در زیرساخت‌های کشور منتشر کرد، شواهدی از فعالیت این بدافزار در زیرساخت‌های فناوری اطلاعات حوزه صنعت کشور رصد شده است که در این مطلب تشریح دقیق‌تر از عملکرد آن بهمراه فایل‌ها و اسکریپت‌های مخرب بیان می‌شود.


عملکرد بدافزار:
بدافزار Chaplin توسط یک فایل «پاورشل» تحت عنوان Mapping.ps1 فراخوانی می‌شود. این فایل پاورشل به صورت چندمرحله‌ای طراحی شده و اهم اقدامات مخرب این فایل عبارت است از:
• گزینش سیستم هدف
• ایجاد مسیر هدف
• انتقال فایل‌های مورد نیاز به مسیر هدف
• غیرفشرده‌سازی فایل‌های موردنیاز
• ایجاد، اجرا و سپس حذف سرویس
• حذف لاگ فعالیت‌ها
نکته حایز اهمیت در Mapping.ps1 آن است که این فایل، اطلاعات احراز هویت برای اجرای مراحل فوق را در سطح ممتاز داراست. پس از اینکه Chaplin واسط‌های شبکه را غیرفعال می‌کند، فایل Screen.exe کلیدهای رجیستری LSA را حذف کرده و از این طریق، درصدد ایجاد اختلال در فرآیند احراز هویت کاربران و ایجاد مشکل در فرآیند Boot سیستم برمی‌آید.

راهکارهای پیشگیری و مقابله:
1) بروزرسانی آنتی‌ویروس و پویش شبکه
2) محدودسازی مجوزهای اجرای کدهای پاورشل
3) استفاده از دیواره‌های آتش با قواعد سخت‌گیرانه
4) تنظیم رمزهای عبور براساس استاندارد‌های امنیتی
5) جمع‌آوری و پایش لاگ‌های سیستمی و رویدادهای امنیتی
6) معرفی و شناساندن شاخص فایل‌های اجرایی و سرویس‌های مخرب (IoC)

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

شناسایی آسیب پذیری ها در محصولات Yokogawa

۱-
انتقال متن شفاف اطلاعات حساس CWE-319
محصول آسیب‌دیده اطلاعات حساس را به صورت متن شفاف منتقل می‌کند، که ممکن است به مهاجمی که ترافیک شبکه روی کنترل‌کننده را شناسایی می‌کند، اجازه می‌دهد تنظیمات پیکربندی را بخواند/تغییر دهد یا کنترل‌کننده را با سیستم‌افزار دستکاری شده به‌روزرسانی کند.
CVE-2022-29519 به این آسیب پذیری اختصاص داده شده است. نمره پایه CVSS v3 4.8 محاسبه شده است. رشته برداری CVSS (AV:A/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N) است.

۲-
استفاده از اعتبارنامه های رمزگذاری شده سخت CWE-798
محصول آسیب‌دیده از اعتبارنامه‌های رمزگذاری‌شده استفاده می‌کند، که می‌تواند مهاجم را قادر ‌سازد تنظیمات پیکربندی را بخواند/تغییر دهد یا کنترل‌کننده را با سیستم‌افزار دستکاری شده به‌روزرسانی کند.
توجه داشته باشید، واحدهای واحد CPU کنترلر FCN/FCJ تحت تأثیر قرار نمی گیرند.
CVE-2022-30997 به این آسیب پذیری اختصاص داده شده است. نمره پایه CVSS v3 6.3 محاسبه شده است. رشته برداری CVSS (AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H) است.

۳-
نقض اصول طراحی ایمن CWE-657
اگر مهاجم با استفاده از CAMS برای نرم‌افزار HIS با موفقیت رایانه‌ای را در معرض خطر قرار دهد، می‌تواند از اعتبارنامه‌های دستگاه در معرض خطر برای دسترسی به داده‌های دستگاه دیگری با استفاده از CAMS برای نرم‌افزار HIS استفاده کند. این می تواند منجر به غیرفعال کردن CAMS برای عملکردهای نرم افزار HIS در هر دستگاه آسیب دیده شود.
CVE-2022-30707 به این آسیب پذیری اختصاص داده شده است. نمره پایه CVSS v3 6.4 محاسبه شده است. رشته برداری CVSS (AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:H) است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

کشف آسیب پذیری در برخی محصولات اتوماسیون صنعتی Omron
۱-
انتقال متن شفاف اطلاعات حساس CWE-319
سری Omron SYSMAC CS1/CJ1/CP1/CP2 در برابر رمز عبور استفاده شده برای محدود کردن عملیات مهندسی که به صورت متن ساده منتقل می شود آسیب پذیر است.
CVE-2022-31204 به این آسیب پذیری اختصاص داده شده است. نمره پایه CVSS v3 6.5 اختصاص داده شده است. رشته برداری CVSS (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N) است.

۲-
ذخیره سازی متن ساده رمز عبور CWE-256
CP1W-CIF41 Ethernet Option Board در برابر رمز عبور Web UI آسیب پذیر است که می تواند با استفاده از پروتکل Omron FINS از حافظه خوانده شود. مهاجمی که این رمز عبور را به دست می آورد می تواند تنظیمات شبکه گزینه برد را تغییر دهد.
CVE-2022-31205 به این آسیب پذیری اختصاص داده شده است. نمره پایه CVSS v3 6.5 اختصاص داده شده است. رشته برداری CVSS (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N) است.

۳-
تأیید ناکافی صحت داده ها CWE-345
منطقی که در PLC دانلود می‌شود از نظر رمزنگاری احراز هویت نشده است، و به مهاجم اجازه می‌دهد تا بدون استفاده از رمز عبور حفاظتی PLC، کد شی منتقل‌شده را به یک PLC محافظت‌نشده دستکاری کند. سپس یک مهاجم می‌تواند دستورات کد شی دلخواه را بر روی منطق نرم‌افزاری تعریف‌شده برای تمام نسخه‌های کنترل‌کننده‌های سری SYSMAC CS/CJ/CP اجرا کند و شرایط انکار سرویس را ایجاد کند.
CVE-2022-31207 به این آسیب پذیری اختصاص داده شده است. نمره پایه CVSS v3 5.9 اختصاص داده شده است. رشته برداری CVSS (AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:H/A:H) است.

۴-
تأیید ناکافی صحت داده ها CWE-347
منطقی که در PLC دانلود می‌شود از نظر رمزنگاری احراز هویت نشده است، و به مهاجم اجازه می‌دهد کد شی منتقل شده به PLC را دستکاری کند و کد ماشین دلخواه را روی پردازنده ماژول CPU PLC برای کنترل‌کننده‌های سری SYSMAC NJ/NX اجرا کند.
CVE-2022-31206 به این آسیب پذیری اختصاص داده شده است. نمره پایه CVSS v3 4.4 اختصاص داده شده است. رشته برداری CVSS (AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:H/A:N) است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

هشدار!!
محققان آزمایشگاه کسپرسکی بدافزار SessionManager را کشف کردند که اولین بار در اوایل سال 2022 کشف شد و یک ماژول مخرب خود کدگذاری شده برای نرم افزار وب سرور مایکروسافت خدمات اطلاعات اینترنتی (IIS) است.

به طور کلی، بهره برداری از آسیب پذیری های سرور Exchange از سه ماهه اول سال 2021 به یک اولویت برای مجرمان سایبری در حملات هدفمند تبدیل شده است.

از آن زمان، متخصصان این شرکت از نزدیک فرصت جدیدی را برای مجرمان سایبری که یک درب پشتی را در IIS به کار می‌برند، دنبال می‌کنند، که به یک روند واقعی برای کسانی تبدیل شده است که قبلاً از ProxyLogon در Microsoft Exchange سوء استفاده می‌کردند.

SessionManager هنگام جستجوی این درهای پشتی در IIS، مشابه Owowa، یک ماژول مخرب دیگر IIS که مهاجمان از اواخر سال 2020 در سرورهای Microsoft Exchange Outlook Web Access مستقر کرده اند، برای سرقت اطلاعات کاربری Exchange کشف شد.

درپشتی به مهاجمان اجازه می دهد تا دسترسی دائمی، مقاوم در برابر به روز رسانی و نسبتاً پنهانی به زیرساخت فناوری اطلاعات سازمان هدف را حفظ کنند.

پس از استقرار، ماژول مخرب IIS به اپراتورها اجازه می‌دهد تا اعتبارنامه‌ها را از حافظه سیستم استخراج کنند، اطلاعات را از شبکه‌ای از قربانیان و دستگاه‌های آلوده جمع‌آوری کنند و بارهای اضافی (مانند بارگذار بازتابی Mimikatz مبتنی بر PowerSploit، Mimikatz SSP، ProcDump و تخلیه حافظه Avast را تحویل دهند. ابزار).

قابلیت‌های SessionManager شامل موارد زیر است، اما به این موارد محدود نمی‌شود: حذف و مدیریت فایل‌های دلخواه در سرورهای در معرض خطر. اجرای از راه دور دستورات در دستگاه های دارای درب پشتی؛ اتصال به نقاط پایانی در شبکه محلی قربانی و مدیریت ترافیک شبکه.

ویژگی متمایز SessionManager نرخ کشف پایین آن است. این بدافزار حداقل از مارس 2021، درست پس از آغاز موج عظیم حملات ProxyLogon در سال گذشته، بدون شناسایی در طبیعت مورد استفاده قرار گرفته است.

همانطور که محققان خاطرنشان کردند، SessionManager برای یک سال تقریبا نامرئی بود و هنوز هم مخفیانه استفاده می شود.

آزمایشگاه کسپرسکی دریافت که اکثر نمونه‌های بدافزار شناسایی شده قبلی هنوز بر روی 34 سرور در 24 سازمان (از ژوئن 2022) در اروپا، خاورمیانه، آسیا و آفریقا مستقر هستند.

اپراتور SessionManager علاقه خاصی به سازمان‌های غیردولتی و سازمان‌های دولتی دارد، اما سازمان‌های پزشکی، شرکت‌های نفت، شرکت‌های حمل‌ونقل و غیره نیز قربانی می‌شوند.

بر اساس شباهت قربانی شناسی و استفاده از نوع رایج OwlProxy، کارشناسان آزمایشگاه کسپرسکی معتقدند که درب پشتی SessionManager IIS در این حملات Gelsemium APT به عنوان بخشی از یک کمپین جاسوسی در مقیاس بزرگ استفاده شده است.

این گروه حداقل از سال 2014 فعال بوده است. Gelsemium APT برای هدف قرار دادن دولت‌ها، تولیدکنندگان لوازم الکترونیکی و دانشگاه‌ها در شرق آسیا و خاورمیانه بدنام است و در بیشتر موارد کاملاً محرمانه باقی می‌ماند.

و جای تعجب نیست: بسیاری از سازمان های هدف هنوز در معرض خطر هستند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

امنیت سایبری در فضا
تجزیه و تحلیل تهدیدها، فن آوری های کلیدی و چالش های امنیت سایبری در صنعت فضایی
گردآوری، ترجمه و تحلیل: دکتر پدرام کیانی
خلاصه
تحولات در فن‌آوری‌ها، نگرش‌ها و سرمایه‌گذاری، محیط فضا را تغییر می‌دهد و دسترسی بیشتری را برای تعداد فزاینده‌ای از طرف‌ها به دست می‌آورد.  صورفلکی جدید و پیشنهادی، جمعیت ماهواره‌های موجود در مدار را به میزان هزاران افزایش می‌دهند و چشم‌انداز تهدید صنعت فضایی را گسترش می‌دهند.  این مقاله تهدیدها و حوادث امنیتی ماهواره‌ای گذشته را برای ارزیابی انگیزه‌ها و ویژگی‌های تهدیدات خصمانه برای ماهواره‌ها تحلیل می‌کند.  ارتباطات زمینی و فرکانس رادیویی مورد علاقه ترین اهداف بودند.  با این حال، رونق صور فلکی ماهواره‌ای در سال‌های آینده ممکن است این تمرکز را به سمت بخش فضایی که باید مورد توجه قرار گیرد، تغییر دهد.  پیشرفت‌های فناوری کلیدی و مسائل باز در صنعت ماهواره‌ای مرتبط با الزامات امنیتی و عملیاتی نیز مورد بحث قرار می‌گیرد
مقاله کامل را از اینک زیر دریافت کنید:
https://lnkd.in/ex3kyt2b

#امنیت_سایبری_فضا #امنیت_سایبری #امنیت_صنعتی #پدرام_کیانی

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

گنجشک درنده، نسبت به ارسال فایل هایی که ادعا دارد دارای طبقه بندی خیلی محرمانه هستند از سه شرکت فولادمبارکه، فولاد خورستان، فولاد هرمزگان نموده است.
صحت و سقم این ادعا بایستی مورد بررسی قرار گیرد

تصاویر منتشره در توییتر گنجشک درنده
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti