آسيب‌پذيري CVE-۲۰۱۷-۱۴۴۹۱ در Siemens SCALANCE
هشدار در خصوص آسيب‌پذيري CVE-۲۰۱۷-۱۴۴۹۱ در Siemens SCALANCE W۱۷۵۰D, M۸۰۰, S۶۱۵, and RUGGEDCOM RM۱۲۲۴ كه به مهاجم امكان حمله DoS را مي‌دهد. توصيه مي‌شود نسبت به بروزرساني اقدام شود.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
ادرس ایمیل:
admin@ics-cert.ir
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
وبسایت:
https://ics-cert.ir

⚠️ محققان کسپرسکی جزییات روت‌کیتی مبتنی بر Unified Extensible Firmware Interface – به اختصار UEFI – را منتشر کردند که در جریان بررسی حملات اجرا شده در سال میلادی گذشته بر ضد دو سازمان موفق به کشف آن شده‌اند.

این نوع بدافزارها با رخنه در ماژول حافظه Serial Peripheral Interface – به اختصار SPI – نه تنها در صورت تغییر سیستم عامل ماندگار می‌ماند که حتی جایگزینی دیسک سخت نیز تأثیری در حضور این بدافزار نخواهد داشت.

این بوت‌کیت UEFI که محققان کسپرسکی آن را MosaicRegressor نامگذاری کرده‌اند یک بستر مبتنی بر ماژول (Modular) و چندمرحله‌ای است که به گفته این شرکت توسط هکرهای چینی‌زبان در عملیات‌های جاسوسی و سرقت داده‌ها مورد استفاده قرار گرفته بوده است.

در MosaicRegressor مهاجمان با تزریق چندین ماژول مخرب اقدام به دستکاری ثابت‌افزار UEFI و بهره‌گیری از آن برای توزیع بدافزار بر روی دستگاه‌های مقصد می‌کردند.

این بوت کیت مجهز به چند دریافت‌کننده (Downloader) و اجراکننده (Loader) واسطی است که امکان دریافت و اجرای کدهای مخرب بر روی دستگاه قربانی را برای مهاجمان فراهم می‌کنند. بستر چند ماژولی MosaicRegressor ضمن دشوار کردن تحلیل، مهاجمان را قادر به استفاده از امکانات مختلف بسته به شرایط بر روی ماشین‌های مقصد می‌کند.

محققان کسپرسکی نیز در بررسی‌های خود به تعداد محدودی از این کدها دست یافته‌اند. یکی از این کدها توسط نسخه‌ای از بوت‌کیت با نام BitsRegEx برای سرقت، آرشیو کردن و استخراج اطلاعات در پوشه موسوم به Recent Documents مورد استفاده قرار گرفته است. این روت‌کیت UEFI نسخه‌ای سفارشی از بوت‌کیت VectorEDK متعلق به شرکت ایتالیایی Hacking Team است که در سال 2015 افشا شده بود.

در فاصله سال‌های ۲۰۱۷ تا ۲۰۱۹، نمونه‌هایی از MosaicRegressor بر روی کامپیوترهای چندین سازمان غیرانتفاعی و نهاد دیپلماتیک در آفریقا، آسیا و اروپا فعال بوده.

محققان کسپرسکی معتقدند که همگی قربانیان به نحوی با کره شمالی در ارتباط بوده‌اند.

کسپرسکی اعلام کرده که موفق به پیدا کردن روش اصلی آلودگی که منجر به رونویسی فرم ور UEFI می‌شده نگردیده است. یکی از احتمالات مطرح شده از سوی کسپرسکی دسترسی فیزیکی مهاجمان به ماشین‌های هدف و بالا آوردن آن از طریق یک حافظه USB Flash برای تزریق کد آلوده بوده است.

احتمال مطرح شده دیگر نصب از راه دور بوت‌کیت با بهره‌جویی (BIOS) از آسیب‌پذیری‌های BIOS است.

دو سال قبل نیز شرکت ESET جزییات بوت‌کیت دیگری با نام LoJax را به‌صورت عمومی منتشر کرده بود. گروه روسی‌زبان APT28 بوت‌کیت LoJax را در کنار نرم‌افزار معتبر ضدسرقت LoJack در قالب ماژول‌های UEFI اصلاح شده به اهداف خود تزریق می‌کردند.

پیش از آن و در سال 2016 هم سایت افشاگر WikiLeaks اقدام به انتشار اسنادی سری کرد که در آنها ابزارهای مورد استفاده در عملیات‌های سایبری سازمان اطلاعات مرکزی آمریکا تشریح شده بودند. برخی از این اسناد نشان می‌داد که این سازمان با بهره‌جویی از آسیب‌پذیری‌هایی روز صفر، کد مخرب را مستقیماً به ثابت‌افزار دستگاه‌ها از جمله UEFI تزریق می‌کرده است. در پی درز اسناد مذکور در آن سال، شرکت مک‌آفی راهکاری را برای پویش UEFI دستگاه به‌منظور بررسی وجود کد مخرب بر روی آن منتشر کرد.

مشروح گزارش کسپرسکی در خصوص MosaicRegressor در لینک زیر قابل دریافت و مطالعه است:

https://securelist.com/mosaicregressor/98849/

🦁«کتاس»
‏http://t.me/ict_security

سلام به کاربران ویندوز، یک وصله جدید و مهم در دسترس است. لطفا برای به روز رسانی سیستم عامل خود در اسرع وقت اطمینان حاصل کنید
لینک پچ:.

You can find more info here: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

🦁«کتاس»
‏http://t.me/ict_security

هشدار در خصوص آسیب پذیری CVE-2020-5135 در SonicWall''s SonicOS که منجر به حمله DoS می شود. توصیه می شود نسبت به بروزرسانی اقدام شود. مرکز مدیریت راهبردی افتا

🦁«کتاس»
‏http://t.me/ict_security

هشدار در خصوص چندین آسیب پذیری ازجمله CVE-2020-1682 در Junos OS که منجر به حمله DoS می شود. توصیه می شود نسبت به بروزرسانی اقدام شود. مرکز مدیریت راهبردی افتا

🦁«کتاس»
‏http://t.me/ict_security

هشدار در خصوص آسیب پذیری CVE-2020-13943 در Apache Tomcat که به مهاجم امکان دسترسی به اطلاعات حساس را می دهد. توصیه می شود نسبت به بروزرسانی اقدام شود. مرکز مدیریت راهبردی افتا

🦁«کتاس»
‏http://t.me/ict_security

🔻هشدار پلیس درباره ارسال کلیپ‌های چالش «مومو» برای دانش آموزان

رجبی، رئیس مرکز تشخیص و پیشگیری از جرایم سایبری پلیس فتا ناجا:
🔹در روز‌های اخیر شاهد مطرح شدن چالش «مومو» در سطح برخی استان‌های کشور به خصوص استان‌های جنوبی بوده ایم و برخی کاربران که بیشتر آن‌ها دانش آموز بوده اند پیام‌هایی حاوی محتوا و تصاویر مومو دریافت کرده اند.
🔹رسیدگی به ارسال پیام‌ها و کلیپ‌های موسوم به «مومو» به صورت ویژه در دستور کار پلیس فتا قرار گرفته و بزودی افراد داخلی که هدفشان اذیت و آزار دانش آموزان بوده است، گرفتار قانون می‌شوند.
🔹والدین در صورت برخورد فرزندشان با محتوای «مومو» با آن‌ها صحبت کرده و نگرانی آن‌ها را کاهش دهند.

⚠️"مومو" چالش خطرناک آنلاینی بسیار شبیه به بازی نهنگ آبی است که ابتدا از فیسبوک شروع شد و بعدتر از طریق واتس آپ گسترش پیدا کرد. هدف از این بازی ترسناک، قربانی کردن کودکان و نوجوانان بوده است. «مومو» کودکان و نوجوانان را تهدید می‌کند در صورتی که از دستورات او پیروی نکنند در شب به رویشان ظاهر شده و آن‌ها را نفرین می‌کند.

🔻راهکار چیست؟

🔸تنها راهکار اینه که تحت هیچ عنوان بهش پیام ندین! چون ذخیره هر شماره ای در واتساپ، منجر به ذخیره شماره شما نیز برای طرف مقابل میشه، بنابراین با اولین پیامی که به مومو ارسال کنید، در واقع شماره خودتون رو به اون دادین و میتونه از طریق همین شماره اقدام به ایجاد مزاحمت برای شما بکنه.

🔸حتی پس از دیلیت اکانت و ایجاد یک حساب جدید، چون از همون شماره استفاده میکنید، مومو بازهم شما رو پیدا میکنه. حتی گزارشاتی از تماس مومو با افراد نیز دریافت شده که با وجود پاک کردن واتساپ، مومو از طریق شماره تلفن ذخیره شده با اون‌ها تماس گرفته و تهدیدهاش رو مجددا از سر میگیره!

🔺 اگه درگیر چالش مومو شدین، بهترین راهکار پاک کردن حساب واتساپ و استفاده از یک شماره جدید هستش.

#بهداشت_سایبری
🦁«کتاس»
‏http://t.me/ict_security

♦️۱۰ نفر در ارتباط با چالش مومو در اصفهان شناسایی شدند

رییس پلیس فتای اصفهان:
🔹در پی دریافت گزارش‌هایی از تماس با برخی شهروندان با عنوان "مومو" ، ۱۰ نفر در استان اصفهان شناسایی شدند که پس از بررسی‌ها مشخص شد هدف آنها شوخی و تفنن بوده است و در مرحله نخست به آنها تذکر و اخطار داده شد.

🦁«کتاس»
‏http://t.me/ict_security

مروری بر متداول‌ترین پیوست‌های ایمیل ناقل بدافزار
شناخت پیوست‌های مخربی که به‌طور گسترده توسط مهاجمان در ایمیل‌های فیشینگ ناقل بدافزار مورد استفاده قرار می‌گیرند نقشی مؤثر در ایمن ماندن از گزند این نوع تهدیدات دارد.
راه‌اندازی کارزارهای هرزنامه‌ای (Spam Campaign) در ظاهر صورتحساب دعوتنامه، اطلاعات پرداخت، اطلاعات مرسوله، نمابرهای الکترونیکی، پیام‌های صوتی و مواردی از این قبیل از روش‌های رایج توزیع بدافزار توسط گردانندگان تهدید است. در اکثر مواقع ایمیل‌های ارسالی دارای پیوست‌هایی از نوع سند Word یا صفحه گسترده Excel یا لینک‌هایی هستند که کلیک بر روی آنها منجر به دریافت این نوع فایل‌ها می‌شود. با باز شدن فایل و فعال شدن ماکرو (Macros)، بدافزار بر روی دستگاه دریافت و نصب می‌شود.

https://www.afta.gov.ir/portal/home/?news/235046/237266/242059/

🦁«کتاس»
‏http://t.me/ict_security

کمی تفکر .....

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
ادرس ایمیل:
admin@ics-cert.ir
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
وبسایت:
https://ics-cert.ir

فرصتی عالی برای هکرها
🦁«کتاس»
‏http://t.me/ict_security

هشدار!! RAT جدید ویندوز از طریق کانال تلگرام قابل کنترل است
این RAT جدید با افزایش بدافزارها با ویژگی های کنترل شده توسط تلگرام ، روند افزایشی در جرایم اینترنتی زیرزمینی را نشان می دهد.

محققان امنیتی یک تروجان دسترسی از راه دور (RAT) جدید را در انجمن های هک زیرزمینی روسی زبان کشف کردند.

این بدافزار که T-RAT نامیده می شود تنها با قیمت 45 دلار در دسترس است و نقطه اصلی فروش آن توانایی کنترل سیستم های آلوده از طریق کانال تلگرام و نه پنل مدیریتی تحت وب است.

این نویسنده ادعا می کند این به خریداران امکان دسترسی سریعتر و آسانتر از هر مکان به رایانه های آلوده را می دهد ، به بازیگران تهدید اجازه می دهد تا به محض آلوده شدن قربانی ، قبل از کشف حضور RAT ، ویژگی های سرقت اطلاعات را فعال کنند.


برای این منظور ، کانال تلگرامی RAT از 98 دستور پشتیبانی می کند که وقتی در داخل پنجره اصلی چت تایپ شود ، به صاحب RAT اجازه می دهد رمزهای عبور مرورگر و کوکی ها را بازیابی کند ، در سیستم فایل قربانی گشت و گذار کند و اطلاعات حساس را جستجو کند ، یک keylogger مستقر کند ، از طریق میکروفون صدا را ضبط کند ، از دسک تاپ قربانی عکس بگیرید ، از طریق وب کم عکس بگیرید و مطالب کلیپ بورد را بازیابی کنید.

علاوه بر این ، دارندگان T-RAT همچنین می توانند مکانیزم هواپیماربای کلیپ بورد را جایگزین رشته هایی کنند که به نظر می رسد رمز ارزها و آدرس های ارز دیجیتال است و به مهاجم اجازه می دهد معاملات را برای راه حل های پرداخت مانند Qiwi ، WMR ، WMZ ، WME ، WMX ، پول Yandex ربوده ، Payeer ، CC ، BTC ، BTCG ، Ripple ، Dogecoin و Tron.

علاوه بر این ، RAT می تواند دستورات ترمینال (CMD و PowerShell) را نیز اجرا کند ، دسترسی به وب سایت های خاص (مانند آنتی ویروس و سایت های پشتیبانی فنی) را مسدود کند ، فرایندها را از بین ببرد (نرم افزار امنیتی و رفع اشکال) و حتی نوار وظیفه و مدیر وظیفه را غیرفعال کند.


سیستم های کنترل و کنترل ثانویه از طریق RDP یا VNC در دسترس هستند ، اما ویژگی Telegram همان ویژگی تبلیغاتی برای خریداران است که دلیل اصلی آن سهولت نصب و استفاده از آن است.


محبوب شدن تلگرام به عنوان یک کانال C&C بدافزار

اگرچه بسیاری از RAT ها در تبلیغات خود غالباً پنهان هستند ، اما قابلیت های T-RAT در تحلیلی توسط كارستن هان ، محقق امنیتی G DATA ، تأیید شد.

هان در گفتگو با ما گفت T-RAT آخرین مورد از خانواده های بدافزار اخیر است که دارای قابلیت کنترل توسط تلگرام هستند.

استفاده از تلگرام به عنوان سیستم فرمان و کنترل در سال های اخیر روند رو به رشدی داشته است و T-RAT حتی اولین RAT نیست که چنین مدلی را اجرا می کند.

موارد قبلی شامل RATAttack (بارگذاری و حذف از GitHub در سال 2017 ، ویندوز هدفمند) ، HeroRAT (اندروید را هدف قرار می دهد) ، TeleRAT (علیه ایرانیان استفاده می شود ، اندروید را هدف قرار می دهد) ، IRRAT (اندروید را هدف قرار می دهد) ) ، RAT از طریق تلگرام (موجود در GitHub ، ویندوز را هدف قرار می دهد) و Telegram-RAT (موجود در GitHub ، ویندوز را هدف قرار می دهد).

بردار توزیع ناشناخته باقی مانده است

در حال حاضر ، تهدید T-RAT نسبتاً کم است. معمولاً چند ماه طول می کشد تا بازیگران تهدید به فشار جدید بدافزار تجاری اعتماد کنند. با این حال ، هان معتقد است که موش صحرایی RAT در حال حاضر موارد زیر را بدست آورده است.


هان به ما گفت: "بارگذاری منظم نمونه های T-RAT جدید در VirusTotal انجام می شود." "من تصور می کنم که در حال توزیع است اما هیچ مدرک دیگری در مورد آن ندارم."

اما T-RAT تنها RAT جدیدی نیست که این روزها برای فروش ارائه می شود. طبق گزارش Recorded Future ، RAT جدید دیگری نیز در انجمن های هکری به نام Mandaryna تبلیغ شده است.

✅توصیه: حذف سریع تلگرام دسکتاپ از روی کامپیوترهای سازمان

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
ادرس ایمیل:
admin@ics-cert.ir
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
وبسایت:
https://ics-cert.ir

ادوارد اسنودن از روسیه اقامت دائم دریافت کرد.
پیمانکار سابق امنیت ملی در سال 2013 پس از افشای اسناد مربوط به عملیات نظارتی دولت آمریکا ،از آمریکا فرار کرد.وکیل وی روز پنجشنبه گفت ،ادوارد اسنودن ، پیمانکار امنیتی سابق آمریکا ، اقامت دائم در روسیه را دریافت کرده است.
اسنودن ، پیمانکار سابق آژانس امنیت ملی ، پس از درز اسناد طبقه بندی شده با جزئیات برنامه های نظارت دولت ، از سال 2013 در روسیه زندگی می کند تا از پیگرد قانونی در ایالات متحده فرار کند.
آناتولی کوچرنا ، وکیل روسی وی به خبرگزاری اینترفاکس گفت که این درخواست در ماه آوریل ارسال شده است ، اما به دلیل همه گیر شدن ویروس کرونا و محدودیت قفل ، زمان بیشتری برای بررسی آن به مقامات مهاجرت نیاز داشته است.
وی گفت: اسنودن به دليل تغييرات در قوانين مهاجرت روسيه كه در سال 2019 انجام شد ، توانست حقوق اقامت دائم را بدست آورد.

اسنودن که در روسیه از وضعیت مطلوبی برخوردار نبوده و گهگاهی از سیاست های دولت روسیه در شبکه های اجتماعی انتقاد می کند ، سال گذشته گفته بود در صورت تضمین دادرسی عادلانه ، مایل است به ایالات متحده بازگردد.

🦁«کتاس»
‏http://t.me/ict_security

خبر تایید نشده و دردست بررسی:

🔰 کشف آسیب پذیری از سه دانشگاه علوم پزشکی شهید بهشتی ، ایران ، تهران منجر به نشت اطلاعات بیش از 30 هزار دانشجو شد!

⚠️ این آسیب پذیری منجر به لو رفتن اطلاعاتی مانند نام ، نام خانوادگی ، نام پدر ، تاریخ تولد ، شماره شناسنامه ، محل صدور شناسنامه ، شماره کارت بانکی ، تلفن منزل و ... شد.

🦁«کتاس»
‏http://t.me/ict_security

چین اولین ماهواره مجهز به فناوی 6G را برای طی مراحل آزمایشی با موفقیت به مدار زمین فرستاد

🦁«کتاس»
‏http://t.me/ict_security

قابل توجه صاحبان اپل آیفون
قابلیت های امنیتی ورژن ۱۴. سیستم عامل آیفون
🦁«کتاس»
‏http://t.me/ict_security

💢خبرنگار هلندی به نشست ویدئویی و محرمانه وزرای دفاع اتحادیه اروپا نفوذ کرد

یک خبرنگار هلندی روز جمعه موفق شد تا به نشست مجازی و محرمانه وزرای دفاع کشورهای عضو اتحادیه اروپا نفوذ کند.

دانیل ورلان، خبرنگار شبکه «آر تی ال نیوز» (RTL Nieuws) پس از آنکه آنک بایلولد، وزیر دفاع هلند به اشتباه کدهای شناسه و رمز ورود به تماس ویدئویی وزرای دفاع کشورهای عضو اتحادیه اروپا در حساب توئیترش منتشر کرد توانست وارد این نشست شود.
🦁«کتاس»
‏http://t.me/ict_security

ایمنی یا امنیت (Safety vs. security)- یا هر دو؟


پدرام کیانی
وقتی صحبت از امنیت OT (فناوری عملیاتی) در همه جنبه های آن باشد ، متخصصین امنیتی از دنیای OT و متخصصان امنیت IT به سرعت می توانند در یک وضعیت اختلاف نظر شدید قرار بگیرند. بسته به زبانی که صحبت می کنند ، حتی ممکن است به نظر برسد که آنها یک زبان مشترکنداشته باشند. ایمنی در مقابل امنیت به عنوان مثال به زبان آلمانی “Sicherheit vs. Sicherheit” خواهد بود.
ادامه مطلب....

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
ادرس ایمیل:
admin@ics-cert.ir
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
وبسایت:
https://ics-cert.ir

حمله سایبری جدیدی که می تواند دانشمندان DNA را مجبور به ایجاد ویروس ها و سموم خطرناک کند
شکل جدیدی از حمله سایبری ایجاد شده است که پیامدهای بالقوه آزارهای دیجیتالی در آینده را در بخش تحقیقات بیولوژیکی برجسته می کند.
دانشگاهیان از دانشگاه بن گوریون در Negev توضیح دادند که چگونه زیست شناسان و دانشمندان "ناآگاه" می توانند قربانی حملات سایبری شوند که برای انتقال جنگ بیولوژیکی به سطح دیگری طراحی شده است.
ادامه مطلب....
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
ادرس ایمیل:
admin@ics-cert.ir
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
وبسایت:
https://ics-cert.ir

تبعات احتمالی نفوذ به FIREEYE برای سازمان‌ها و شرکت‌های کشور

شرکت FireEye مورد نفوذ قرار گرفته و ابزارهای این شرکت اکنون در دست مهاجمان است. بنابراین ضروریست سازمان‌ها و شرکت‌های دولتی و خصوصی کشور در آمادگی کامل باشند. مدیران شبکه، سیستم‌های خود را بررسی کنند و اطمینان حاصل کنند که تاکنون مورد حمله واقع نشده باشند. همچنین باید براساس قوانین ارائه شده توسط این شرکت سیستم‌های تشخیص نفوذ خود را قدرتمند ساخته و به صورت مداوم پیگیر خبرهای این شرکت باشند تا در صورت هر گونه اعلام هشدار یا راهکار جدیدی سیستم‌های خود را بهبود ببخشند. برای مطالعه بیشتر در خصوص این خبر و اطلاع از لیست #آسیب‌پذیری ‌‌هایی که رفع آن‌ها برای مقابله با اثرات جانبی این حملات مفید است، اینجا کلیک کنید.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
ادرس ایمیل:
admin@ics-cert.ir
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
وبسایت:
https://ics-cert.ir