Forwarded from IACS (پدرام کیانی)
ساده انگاری و کم توجهی، عامل اصلی بروز حملات سایبری هفته گذشته
کارشناسان مرکز مدیریت راهبردی افتا اعلام کردند: عملکرد ضعیف برخی دستگاههای دارای زیرساختهای حیاتی در اجرای الزامات امنیتی ابلاغ شده و کم توجهی به هشدارهای افتا، آنها را در برابر حملات سایبری، کمدفاع و یا سیستم امنیت سایبری آنان را سست میکند و دو حمله اخیر نیز از این قاعده مستثنی نبوده است.
کارشناسان افتا میگویند: این بی توجهیها موجب شده است تا برخی سازمانها، اینترنت و اینترانت را همچنان با هم و در یک سیستم استفاده کنند، بر دسترسیهای از راه دور خود کنترل مناسبی نداشته باشند و آسیب پذیریهای اعلام شده را به موقع بروزرسانی نکنند.
نتایج بررسیهای کارشناسان امنیت سایبری افتا نشان میدهد که:
1- مهاجمان توانستهاند به برخی از مدیریت سیستمها، دسترسی یافته و موجب اختلال در عملکرد عادی آنها شوند.
2- نفوذ به سامانههای وزارت راه و شهرسازی و شرکت راهآهن، حداقل یک ماه قبل از مشخص شدن حمله سایبری، رخ داده است و مهاجمان از هفته دوم تیرماه برنامه حمله سایبری و ابزارهای خود را کاملا آماده کرده بودند و اطلاعات خارج شده از اعلامیه حمله سایبری، گواه آن است که هکران آن را، حدود ۷ روز قبل از حادثه سایبری آماده کردهاند.
3- مهاجمان سایبری در هر دو حمله سایبری، تنظیمات لود شدن سیستمها و کلمات عبور کاربران را یا حذف و یا تغییر داده بودند، سیستم قربانی را قفل، برای خود دسترسی مدیرسیستم (Admin) ایجاد و حالت بازیابی را در برخی سیستمها غیرفعال کرده بودند.
4- بدلیل زمان بر بودن تخریب دیتاها، مهاجمان به تخریب برخی از ساختارهای دیتا بسنده کردهاند.
5- مهاجم یا مهاجمان سایبری در صورتیکه در حمله سایبری خود، کنترل سیستم را بدست گیرند، همه زیرساختهای IP را تخریب میکنند و بیشترین ضربه را وارد میکنند که خوشبختانه در حملات اخیر بدلایل مختلف از جمله منفک بودن سرور اصلی این اتفاق نیفتاده است و سرورهای فرعی خسارت دیده، سریع جایگزین شدند.
6- رعایت نکردن مسائل امنیتی در دورکاریها، سیستمهای ناقص، سهلانگاری پرسنل فاوا در نگهداری رمزهای عبور تجهیزات، بروز نکردن ضدویروسها، سرمایهگذاری ناکافی برای افزایش امنیت سایبری و پیکربندی نامناسب از دیگر دلایل بروز این دو حادثه سایبری بوده است.
7- مهاجم یا مهاجمان سایبری از آسیبپذیریهای خطرناکی که در سیستمهای عامل ویندوز کشف و از طریق مرکز افتا به دستگاههای دارای زیر ساخت حیاتی کشور برای ترمیم آنها در کوتاهترین زمان، اطلاع رسانی دقیق شده بود، در برخی فرآیند نفوذ، بهرهبرداری کردهاند.
8- تغییر امتیازات و دسترسیهای موجود در سیستم و ارتباط با سرور از راه دور از دیگر اقدامات مهاجمان سایبری به سیستمهای وزارت راه و شهرسازی و شرکت راهآهن بوده است.
مرکز مدیریت راهبردی افتا برای جلوگیری از بروز حملات سایبری مشابه این دو حادثه اخیر، از همه سازمانهای زیرساختی میخواهد:
1- در اولین فرصت و با اولویتی خاص تمهیدات امنیتی را بروی Firmware، پورتهای مدیریتی سرورها و تجهیزات ILO و IPMI سیستمهای خود اعمال کنند.
2- لزوم اجرای دقیق مدیریت مخاطرات سایبری و همچنین رصد مستمر آسیب پذیرهای و وصله فوری آنها و جمعآوری و پایش لاگ و رویدادهای امنیتی مربوط به سامانهها و تجهیزات از دیگر وظایف کارشناسان، متخصصان و مدیران IT سازمانهای دارای زیر ساخت برشمرده شده است.
3- بروزرسانی مستمر آنتیویروس سرور و کلاینتها، محدودسازی دسترسی خدمات پرکاربرد بدون نیاز به ارتباطات بینالمللی، جداسازی شبکههای سامانههای زیرساختی از سایر شبکههای غیرقابل اعتماد مانند اینترنت، از دیگر اقدامات پیشگیرانه برای مقابله با حملات سایبری برشمرده شده است.
4- تغییر مستمر و دقیق گذرواژه همه حسابهای کاربری دارای سطح دسترسی بالا در سامانهها و تجهیزات شبکه، بازبینی دسترسی سطح ادمینهای شبکه، غیرفعال سازی پورتهای بلااستفاده و سرویسهای غیرضروری، مسدودسازی دسترسی از راه دور برای مدیریت تجهیزات و سامانههای حیاتی را از اقدامهای پیشگیرانه برای نفوذ به سیستمهای سازمانی برمیشمارند.
5- کارشناسان، متخصصان و مدیران IT سازمانهای دارای زیر ساخت موظفند، از دیتاهای سازمان خود، بطور منظم نسخههای پشتیبان تهیه و آنها را در محلی امن و مجزا نگهداری کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
کارشناسان مرکز مدیریت راهبردی افتا اعلام کردند: عملکرد ضعیف برخی دستگاههای دارای زیرساختهای حیاتی در اجرای الزامات امنیتی ابلاغ شده و کم توجهی به هشدارهای افتا، آنها را در برابر حملات سایبری، کمدفاع و یا سیستم امنیت سایبری آنان را سست میکند و دو حمله اخیر نیز از این قاعده مستثنی نبوده است.
کارشناسان افتا میگویند: این بی توجهیها موجب شده است تا برخی سازمانها، اینترنت و اینترانت را همچنان با هم و در یک سیستم استفاده کنند، بر دسترسیهای از راه دور خود کنترل مناسبی نداشته باشند و آسیب پذیریهای اعلام شده را به موقع بروزرسانی نکنند.
نتایج بررسیهای کارشناسان امنیت سایبری افتا نشان میدهد که:
1- مهاجمان توانستهاند به برخی از مدیریت سیستمها، دسترسی یافته و موجب اختلال در عملکرد عادی آنها شوند.
2- نفوذ به سامانههای وزارت راه و شهرسازی و شرکت راهآهن، حداقل یک ماه قبل از مشخص شدن حمله سایبری، رخ داده است و مهاجمان از هفته دوم تیرماه برنامه حمله سایبری و ابزارهای خود را کاملا آماده کرده بودند و اطلاعات خارج شده از اعلامیه حمله سایبری، گواه آن است که هکران آن را، حدود ۷ روز قبل از حادثه سایبری آماده کردهاند.
3- مهاجمان سایبری در هر دو حمله سایبری، تنظیمات لود شدن سیستمها و کلمات عبور کاربران را یا حذف و یا تغییر داده بودند، سیستم قربانی را قفل، برای خود دسترسی مدیرسیستم (Admin) ایجاد و حالت بازیابی را در برخی سیستمها غیرفعال کرده بودند.
4- بدلیل زمان بر بودن تخریب دیتاها، مهاجمان به تخریب برخی از ساختارهای دیتا بسنده کردهاند.
5- مهاجم یا مهاجمان سایبری در صورتیکه در حمله سایبری خود، کنترل سیستم را بدست گیرند، همه زیرساختهای IP را تخریب میکنند و بیشترین ضربه را وارد میکنند که خوشبختانه در حملات اخیر بدلایل مختلف از جمله منفک بودن سرور اصلی این اتفاق نیفتاده است و سرورهای فرعی خسارت دیده، سریع جایگزین شدند.
6- رعایت نکردن مسائل امنیتی در دورکاریها، سیستمهای ناقص، سهلانگاری پرسنل فاوا در نگهداری رمزهای عبور تجهیزات، بروز نکردن ضدویروسها، سرمایهگذاری ناکافی برای افزایش امنیت سایبری و پیکربندی نامناسب از دیگر دلایل بروز این دو حادثه سایبری بوده است.
7- مهاجم یا مهاجمان سایبری از آسیبپذیریهای خطرناکی که در سیستمهای عامل ویندوز کشف و از طریق مرکز افتا به دستگاههای دارای زیر ساخت حیاتی کشور برای ترمیم آنها در کوتاهترین زمان، اطلاع رسانی دقیق شده بود، در برخی فرآیند نفوذ، بهرهبرداری کردهاند.
8- تغییر امتیازات و دسترسیهای موجود در سیستم و ارتباط با سرور از راه دور از دیگر اقدامات مهاجمان سایبری به سیستمهای وزارت راه و شهرسازی و شرکت راهآهن بوده است.
مرکز مدیریت راهبردی افتا برای جلوگیری از بروز حملات سایبری مشابه این دو حادثه اخیر، از همه سازمانهای زیرساختی میخواهد:
1- در اولین فرصت و با اولویتی خاص تمهیدات امنیتی را بروی Firmware، پورتهای مدیریتی سرورها و تجهیزات ILO و IPMI سیستمهای خود اعمال کنند.
2- لزوم اجرای دقیق مدیریت مخاطرات سایبری و همچنین رصد مستمر آسیب پذیرهای و وصله فوری آنها و جمعآوری و پایش لاگ و رویدادهای امنیتی مربوط به سامانهها و تجهیزات از دیگر وظایف کارشناسان، متخصصان و مدیران IT سازمانهای دارای زیر ساخت برشمرده شده است.
3- بروزرسانی مستمر آنتیویروس سرور و کلاینتها، محدودسازی دسترسی خدمات پرکاربرد بدون نیاز به ارتباطات بینالمللی، جداسازی شبکههای سامانههای زیرساختی از سایر شبکههای غیرقابل اعتماد مانند اینترنت، از دیگر اقدامات پیشگیرانه برای مقابله با حملات سایبری برشمرده شده است.
4- تغییر مستمر و دقیق گذرواژه همه حسابهای کاربری دارای سطح دسترسی بالا در سامانهها و تجهیزات شبکه، بازبینی دسترسی سطح ادمینهای شبکه، غیرفعال سازی پورتهای بلااستفاده و سرویسهای غیرضروری، مسدودسازی دسترسی از راه دور برای مدیریت تجهیزات و سامانههای حیاتی را از اقدامهای پیشگیرانه برای نفوذ به سیستمهای سازمانی برمیشمارند.
5- کارشناسان، متخصصان و مدیران IT سازمانهای دارای زیر ساخت موظفند، از دیتاهای سازمان خود، بطور منظم نسخههای پشتیبان تهیه و آنها را در محلی امن و مجزا نگهداری کنند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
Telegram
Pedram Kiani
You can contact @pedram_kiani right away.
تصاحب دامین سرور با سوءاستفاده از آسیبپذیری PrintNightmare
مایکروسافت، PrintNightmare را بهعنوان یک آسیبپذیری روز – صفر تأیید کرد که قبل از بهروزرسانیهای امنیتی ژوئن ۲۰۲۱ ، بر کلیه نسخههای ویندوز تأثیر گذاشته است.
به گزارش مرکز مدیریت راهبردی افتا، جزئیات فنی و PoC، که به بیرون درز کرده مربوط به یک آسیبپذیری برطرف نشده در ویندوز است که اجازه اجرای کد از راه دور را میدهد .
علیرغم نیاز به احراز هویت، شدت این باگ بسیار حیاتی است. زیرا مهاجمان میتواننداز این باگ جهت تصاحب یک دامین سرور ویندوز استفاده کنند تا به راحتی بدافزار را در شبکه یک شرکت مستقر کنند.
این مسئله Windows Print Spooler را تحت تأثیر قرار میدهد و به دلیل لیست طولانی اشکالاتی که در طول سالها بر روی این مؤلفه تأثیرگذار بوده است، محققان آن را PrintNightmare نامگذاری کردهاند.
چندین محقق، اکسپلویت PoC درز کرده را روی سیستم عامل کاملاً وصله شده Windows Server ۲۰۱۹ آزمایش کردهاند و قادر به بهره برداری و اجرای کد با دسترسی SYSTEM بودهاند. به نظر میرسد که وصله مایکروسافت برای CVE-۲۰۲۱-۱۶۷۵ در ۸ ژوئن ناقص بوده است و بهرهبرداری PrintNightmare RCE روی سیستمهای بهروز کار میکند.
قابل ذکر است که PrintNightmare در همه نسخههای ویندوز وجود دارد و شماره شناسایی جدید CVE-۲۰۲۱-۳۴۵۲۷ به آن اختصاص دارد.
مایکروسافت به مشتریان Microsoft ۳۶۵ Defender خود هشدار داد که مهاجمان به طور فعال از این آسیبپذیری استفاده می کنند.
ازآنجاکه وصله مربوط هنوز در دسترس نیست، به مدیران اکیداً توصیه میشود که سرویسWindows Print Spooler را در سیستمهای دامین کنترلر متوقف و غیرفعال کنند، چرا که نیاز به احراز هویت برای یک مهاجم، بازدارنده نیست.
شرکت مایکروسافت با انتشار توصیه نامه ای راهکارهای موقتی برای مقاوم سازی این آسیب پذیری ارایه کرده که توضیحات بیشتر در این لینک در دسترس است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
مایکروسافت، PrintNightmare را بهعنوان یک آسیبپذیری روز – صفر تأیید کرد که قبل از بهروزرسانیهای امنیتی ژوئن ۲۰۲۱ ، بر کلیه نسخههای ویندوز تأثیر گذاشته است.
به گزارش مرکز مدیریت راهبردی افتا، جزئیات فنی و PoC، که به بیرون درز کرده مربوط به یک آسیبپذیری برطرف نشده در ویندوز است که اجازه اجرای کد از راه دور را میدهد .
علیرغم نیاز به احراز هویت، شدت این باگ بسیار حیاتی است. زیرا مهاجمان میتواننداز این باگ جهت تصاحب یک دامین سرور ویندوز استفاده کنند تا به راحتی بدافزار را در شبکه یک شرکت مستقر کنند.
این مسئله Windows Print Spooler را تحت تأثیر قرار میدهد و به دلیل لیست طولانی اشکالاتی که در طول سالها بر روی این مؤلفه تأثیرگذار بوده است، محققان آن را PrintNightmare نامگذاری کردهاند.
چندین محقق، اکسپلویت PoC درز کرده را روی سیستم عامل کاملاً وصله شده Windows Server ۲۰۱۹ آزمایش کردهاند و قادر به بهره برداری و اجرای کد با دسترسی SYSTEM بودهاند. به نظر میرسد که وصله مایکروسافت برای CVE-۲۰۲۱-۱۶۷۵ در ۸ ژوئن ناقص بوده است و بهرهبرداری PrintNightmare RCE روی سیستمهای بهروز کار میکند.
قابل ذکر است که PrintNightmare در همه نسخههای ویندوز وجود دارد و شماره شناسایی جدید CVE-۲۰۲۱-۳۴۵۲۷ به آن اختصاص دارد.
مایکروسافت به مشتریان Microsoft ۳۶۵ Defender خود هشدار داد که مهاجمان به طور فعال از این آسیبپذیری استفاده می کنند.
ازآنجاکه وصله مربوط هنوز در دسترس نیست، به مدیران اکیداً توصیه میشود که سرویسWindows Print Spooler را در سیستمهای دامین کنترلر متوقف و غیرفعال کنند، چرا که نیاز به احراز هویت برای یک مهاجم، بازدارنده نیست.
شرکت مایکروسافت با انتشار توصیه نامه ای راهکارهای موقتی برای مقاوم سازی این آسیب پذیری ارایه کرده که توضیحات بیشتر در این لینک در دسترس است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
www.afta.gov.ir
پورتال-مرکز مدیریت راهبردی افتای ریاست جمهوری -افتا/راهکارهای موقت مایکروسافت برای آسیبپذیری روز - صفر PrintNightmare
پورتال--/
سازمانهای ایرانی، هدف نوعی بدافزار با دامهایی به زبان فارسی
دامنه وسیعی از مهاجمان از این بدافزار برای سرقت اطلاعات هویتی و اطلاعات بالقوه حساس از روشهایی همچون تصویربرداری از دسکتاپ، ثبت کلیدهای فشرده شده و استخراج محتوای کلیپ برد، بهره گرفتهاند.
سازمانهای ایرانی در هفتههای اخیر هدف بدافزار Agent Tesla قرار گرفتهاند که در جریان آن ایمیلهای جعلی با ظاهر و محتوای قابلباور به کاربران ارسال شده است.
بهگزارش روابط عمومی مرکز مدیریت راهبردی افتا، نکته قابلتوجه در خصوص ایمیلهای فیشینگ بدافزار Agent Tesla ، فارسی بودن محتوا و عنوان آنهاست که این خود احتمال به دام افتادن کاربران ایرانی را، افزایش داده است.
در مواردی گردانندگان این بدافزار برخی اجزای مخرب را بر روی سایتهای معتبر قرار میدهند تا ارتباط با آن سایتها، از سوی ابزارهای امنیتی و مسئولان امنیت مشکوک تلقی نشود.
دامنه وسیعی از مهاجمان از این بدافزار برای سرقت اطلاعات هویتی و اطلاعات بالقوه حساس از روشهایی همچون تصویربرداری از دسکتاپ، ثبت کلیدهای فشرده شده و استخراج محتوای کلیپ برد، بهره گرفتهاند.
اصلیترین روش انتشار Agent Tesla، ایمیلهای Spam است که فایل حاوی این بدافزار را در پیوست خود به همراه دارند.
نکته مهم این بدافزار آن است که خریداران Agent Tesla قادر به سفارشیسازی بدافزار، توزیع و بهرهبرداری از آن به روش خود خواهند بود.
در نسخههای اخیر Agent Tesla از روشهای مختلفی برای دشوار کردن افشای عملکرد بدافزار در سندباکسها و در جریان تحلیلهای ایستا بهره گرفته شده است.
بدافزار Agent Tesla میتواند در بستر برخی از پروتکلها با سرور فرماندهی و کنترل خود ارتباط برقرار کند و دادههای به سرقت رفته کاربران را این سرور ارسال کند .
در نسخه جدید، هنگام اجرای بدافزار، هر نمونه دیگر از این بدافزار در صورت فعال بودن متوقف خواهد شد و این سازوکار زمینه را برای ارتقای نسخه فعلی به نسخه جدید فراهم میکند.
پروتکل پرطرفداربرای بدافزار ، SMTP است. چون برای مهاجمان امنتر بوده و بهرهگیری از آن به زیرساخت کمتری نیاز دارد.
یکی از اصلیترین اقدامات مخرب Agent Tesla سرقت اطلاعات هویتی است. تعداد برنامههای هدف قرار گرفته شده توسط این بدافزار در هر نسخه جدید آن افزایش مییابد.
از جمله برنامههایی که Agent Tesla برای دستیابی به اطلاعات هویتی آنها تلاش میکند، مرورگرها، نرمافزارهای مدیریت ایمیل و سایر نرمافزارها است.
برطبق اعلام شرکت Sophos ، بدافزار Agent Tesla از مجموع ایمیلهای حامل بدافزار در دسامبر ۲۰۲۰ سهمی ۲۰ درصدی را به خود اختصاص داده است.
کارشناسان مرکز مدیریت راهبردی افتا برای مقابله با تهدیدات بدافزار Agent Tesla به تمامی متخصصان، کارشناسان و مدیران IT دستگاهها و سازمانهای دارای زیرساخت حیاتی تاکید میکنند که از ضدویروس قدرتمند و بهروز استفاده کنند.
آموزش و راهنمایی کاربران سازمان بهصرف نظر کردن از فایلهای مشکوک و باز نکردن آنها میتواند نقشی مؤثر در پیشگیری از اجرا شدن فایلهای ارسالی بدافزار داشته باشد.
مسدود کردن ایمیلهای دارای پیوست ماکرو در gateway شبکه، نصب همواره patch های امنیتی بر روی تمامی دستگاهها و استفاده نکردن از هرگونه سیستمعامل ازردهخارج شده از دیگر توصیه های امنیتی مرکز افتا است.
کارشناسان مرکز مدیریت راهبردی افتا از همه متولیان IT دستگاهها و سازمانهای دارای زیرساخت حیاتی خواسته اند تا با محدود کردن سطح دسترسی کاربران، موجب شوند تا حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به بدافزار Agent Tesla آلوده نمیشود.
اطلاعات فنی و امنیتی در باره بدافزار Agent Tesla، روشهای نفوذ به سیستم های سازمانها، قابلیتهای نسخههای جدید و مشخصات پروتکلهای مورد سوء استفاده این بدافزار در پایگاه اینترنتی مرکز افتا به آدرس:
https://www.afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۴۰۳۴/ منتشر شده است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
دامنه وسیعی از مهاجمان از این بدافزار برای سرقت اطلاعات هویتی و اطلاعات بالقوه حساس از روشهایی همچون تصویربرداری از دسکتاپ، ثبت کلیدهای فشرده شده و استخراج محتوای کلیپ برد، بهره گرفتهاند.
سازمانهای ایرانی در هفتههای اخیر هدف بدافزار Agent Tesla قرار گرفتهاند که در جریان آن ایمیلهای جعلی با ظاهر و محتوای قابلباور به کاربران ارسال شده است.
بهگزارش روابط عمومی مرکز مدیریت راهبردی افتا، نکته قابلتوجه در خصوص ایمیلهای فیشینگ بدافزار Agent Tesla ، فارسی بودن محتوا و عنوان آنهاست که این خود احتمال به دام افتادن کاربران ایرانی را، افزایش داده است.
در مواردی گردانندگان این بدافزار برخی اجزای مخرب را بر روی سایتهای معتبر قرار میدهند تا ارتباط با آن سایتها، از سوی ابزارهای امنیتی و مسئولان امنیت مشکوک تلقی نشود.
دامنه وسیعی از مهاجمان از این بدافزار برای سرقت اطلاعات هویتی و اطلاعات بالقوه حساس از روشهایی همچون تصویربرداری از دسکتاپ، ثبت کلیدهای فشرده شده و استخراج محتوای کلیپ برد، بهره گرفتهاند.
اصلیترین روش انتشار Agent Tesla، ایمیلهای Spam است که فایل حاوی این بدافزار را در پیوست خود به همراه دارند.
نکته مهم این بدافزار آن است که خریداران Agent Tesla قادر به سفارشیسازی بدافزار، توزیع و بهرهبرداری از آن به روش خود خواهند بود.
در نسخههای اخیر Agent Tesla از روشهای مختلفی برای دشوار کردن افشای عملکرد بدافزار در سندباکسها و در جریان تحلیلهای ایستا بهره گرفته شده است.
بدافزار Agent Tesla میتواند در بستر برخی از پروتکلها با سرور فرماندهی و کنترل خود ارتباط برقرار کند و دادههای به سرقت رفته کاربران را این سرور ارسال کند .
در نسخه جدید، هنگام اجرای بدافزار، هر نمونه دیگر از این بدافزار در صورت فعال بودن متوقف خواهد شد و این سازوکار زمینه را برای ارتقای نسخه فعلی به نسخه جدید فراهم میکند.
پروتکل پرطرفداربرای بدافزار ، SMTP است. چون برای مهاجمان امنتر بوده و بهرهگیری از آن به زیرساخت کمتری نیاز دارد.
یکی از اصلیترین اقدامات مخرب Agent Tesla سرقت اطلاعات هویتی است. تعداد برنامههای هدف قرار گرفته شده توسط این بدافزار در هر نسخه جدید آن افزایش مییابد.
از جمله برنامههایی که Agent Tesla برای دستیابی به اطلاعات هویتی آنها تلاش میکند، مرورگرها، نرمافزارهای مدیریت ایمیل و سایر نرمافزارها است.
برطبق اعلام شرکت Sophos ، بدافزار Agent Tesla از مجموع ایمیلهای حامل بدافزار در دسامبر ۲۰۲۰ سهمی ۲۰ درصدی را به خود اختصاص داده است.
کارشناسان مرکز مدیریت راهبردی افتا برای مقابله با تهدیدات بدافزار Agent Tesla به تمامی متخصصان، کارشناسان و مدیران IT دستگاهها و سازمانهای دارای زیرساخت حیاتی تاکید میکنند که از ضدویروس قدرتمند و بهروز استفاده کنند.
آموزش و راهنمایی کاربران سازمان بهصرف نظر کردن از فایلهای مشکوک و باز نکردن آنها میتواند نقشی مؤثر در پیشگیری از اجرا شدن فایلهای ارسالی بدافزار داشته باشد.
مسدود کردن ایمیلهای دارای پیوست ماکرو در gateway شبکه، نصب همواره patch های امنیتی بر روی تمامی دستگاهها و استفاده نکردن از هرگونه سیستمعامل ازردهخارج شده از دیگر توصیه های امنیتی مرکز افتا است.
کارشناسان مرکز مدیریت راهبردی افتا از همه متولیان IT دستگاهها و سازمانهای دارای زیرساخت حیاتی خواسته اند تا با محدود کردن سطح دسترسی کاربران، موجب شوند تا حتی در صورت اجرا شدن فایل مخرب توسط کاربر، دستگاه به بدافزار Agent Tesla آلوده نمیشود.
اطلاعات فنی و امنیتی در باره بدافزار Agent Tesla، روشهای نفوذ به سیستم های سازمانها، قابلیتهای نسخههای جدید و مشخصات پروتکلهای مورد سوء استفاده این بدافزار در پایگاه اینترنتی مرکز افتا به آدرس:
https://www.afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۴۰۳۴/ منتشر شده است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
www.afta.gov.ir
پورتال-مرکز مدیریت راهبردی افتای ریاست جمهوری -افتا
پورتال--
ترمیم آسیبپذیری روز- صفر توسط SolarWinds
شرکت سولارویندز (SolarWinds, LLC) با اعلام وجود یک آسیبپذیری امنیتی در Serv-U از مشتریان خود خواسته تا دراسرعوقت، نسبت به نصب بهروزرسانی مربوطه اقدام کنند.
به گزارش مرکز مدیریت راهبردی افتا، این آسیبپذیری که به آن شناسه CVE-۲۰۲۱-۳۵۲۱۱ تخصیصدادهشده ضعفی از نوع "اجرای کد از راه دور" (Remote Code Execution) گزارش شده است. Serv-U Managed File Transfer و Serv-U Secure FTP از CVE-۲۰۲۱-۳۵۲۱۱ تأثیر میپذیرند.
به گفته سولارویندز در صورت غیرفعال بودن SSH بر روی سرور، سوءاستفاده از این آسیبپذیری روز - صفر ممکن نخواهد بود.
سولارویندز جمعه، ۱۸ تیر، CVE-۲۰۲۱-۳۵۲۱۱ را مطابق با جدول زیر در نسخ جدید خود ترمیم کرد:
سولارویندز در توصیهنامه زیر به روشهایی که از طریق آنها میتوان به هک شدن سازمان به دلیل وجود آسیبپذیری CVE-۲۰۲۱-۳۵۲۱۱ نیز پی برد پرداخته است:
https://www.solarwinds.com/trust-center/security-advisories/cve-۲۰۲۱-۳۵۲۱۱
در توصیهنامه این شرکت با استناد به اطلاعات ارائه شده از سوی مایکروسافت (Microsoft, Corp)، سوءاستفاده از CVE-۲۰۲۱-۳۵۲۱۱ توسط حداقل یک گروه از مهاجمان تأیید شده است. مایکروسافت تعداد این حملات را محدود و هدفمند اعلام کرده است.
این اولینبار نیست که ضعف امنیتی در محصولات سولارویندز مورد سوءاستفاده مهاجمان قرار گرفته است. در آذر ۱۳۹۹، مهاجمان پس از هک شرکت سولارویندز و آلودهسازی یکی از فایلهای نرمافزار Orion، آن را به یک درب پشتی (Backdoor) تبدیل کردند و در عمل موجب شدند که شبکه مشتریان این نرمافزار در هر نقطه از جهان به تسخیر آنها در بیاید. بررسیهای بعدی نشان داد که مهاجمان با بهکارگیری این تکنیک "زنجیره تأمین" (Supply Chain Attack) موفق به هک بسیاری از سازمانها و شرکتهای مطرح در کشورهای مختلف شده بودند.
منابع:
https://www.solarwinds.com/trust-center/security-advisories/cve-۲۰۲۱-۳۵۲۱۱
https://www.bleepingcomputer.com/news/security/solarwinds-patches-critical-serv-u-vulnerability-exploited-in-the-wild
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
شرکت سولارویندز (SolarWinds, LLC) با اعلام وجود یک آسیبپذیری امنیتی در Serv-U از مشتریان خود خواسته تا دراسرعوقت، نسبت به نصب بهروزرسانی مربوطه اقدام کنند.
به گزارش مرکز مدیریت راهبردی افتا، این آسیبپذیری که به آن شناسه CVE-۲۰۲۱-۳۵۲۱۱ تخصیصدادهشده ضعفی از نوع "اجرای کد از راه دور" (Remote Code Execution) گزارش شده است. Serv-U Managed File Transfer و Serv-U Secure FTP از CVE-۲۰۲۱-۳۵۲۱۱ تأثیر میپذیرند.
به گفته سولارویندز در صورت غیرفعال بودن SSH بر روی سرور، سوءاستفاده از این آسیبپذیری روز - صفر ممکن نخواهد بود.
سولارویندز جمعه، ۱۸ تیر، CVE-۲۰۲۱-۳۵۲۱۱ را مطابق با جدول زیر در نسخ جدید خود ترمیم کرد:
سولارویندز در توصیهنامه زیر به روشهایی که از طریق آنها میتوان به هک شدن سازمان به دلیل وجود آسیبپذیری CVE-۲۰۲۱-۳۵۲۱۱ نیز پی برد پرداخته است:
https://www.solarwinds.com/trust-center/security-advisories/cve-۲۰۲۱-۳۵۲۱۱
در توصیهنامه این شرکت با استناد به اطلاعات ارائه شده از سوی مایکروسافت (Microsoft, Corp)، سوءاستفاده از CVE-۲۰۲۱-۳۵۲۱۱ توسط حداقل یک گروه از مهاجمان تأیید شده است. مایکروسافت تعداد این حملات را محدود و هدفمند اعلام کرده است.
این اولینبار نیست که ضعف امنیتی در محصولات سولارویندز مورد سوءاستفاده مهاجمان قرار گرفته است. در آذر ۱۳۹۹، مهاجمان پس از هک شرکت سولارویندز و آلودهسازی یکی از فایلهای نرمافزار Orion، آن را به یک درب پشتی (Backdoor) تبدیل کردند و در عمل موجب شدند که شبکه مشتریان این نرمافزار در هر نقطه از جهان به تسخیر آنها در بیاید. بررسیهای بعدی نشان داد که مهاجمان با بهکارگیری این تکنیک "زنجیره تأمین" (Supply Chain Attack) موفق به هک بسیاری از سازمانها و شرکتهای مطرح در کشورهای مختلف شده بودند.
منابع:
https://www.solarwinds.com/trust-center/security-advisories/cve-۲۰۲۱-۳۵۲۱۱
https://www.bleepingcomputer.com/news/security/solarwinds-patches-critical-serv-u-vulnerability-exploited-in-the-wild
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
BleepingComputer
SolarWinds patches critical Serv-U vulnerability exploited in the wild
SolarWinds is urging customers to patch a Serv-U remote code execution vulnerability exploited in the wild by "a single threat actor" in attacks targeting a limited number of customers.
مورد حمله باج افزار قرار گرفتید؟ این ابزارهای رمزگشایی را امتحان کنید
باج افزار یا Ransomware یک مشکل حاد برای کاربران امروزی اینترنت است و مانند آتش سوزی گسترش می یابد.
من دوستان ، آشنایان و اقوامی دارم که اطلاعات آنها رمزگذاری شده است. اکنون آنها به توصیه های من برای پشتیبان گیری منظم از اطلاعات خود توجه می کنند ، اما آرزو می کنند قبل از ظهور باج افزار به آنها گوش داده بودند.
در حالی که تنها راه برای حفظ داده های خود پس از چنین حمله ای ، بازیابی آنها از نسخه پشتیبان است ، چندین رمزگشایی وجود دارد که می توانید برای بازگرداندن پرونده های خود و جلوگیری از پرداخت باج از آنها استفاده کنید.
با این حال ، به خاطر داشته باشید که برخی از این ابزارهای رمزگشایی می توانند خیلی زود منسوخ شوند ، زیرا مجرمان اینترنتی به سرعت در حال بهبود باج افزار هستند و آسیب پذیری هایی را که اجازه رمزگشایی داده ها را دارند ، برطرف می کنند.
فقط چند نوع باج افزار قابل رمزگشایی است ، اما ارزش امتحان آن را دارد. در اینجا لیستی از رمزگشاهای موجود وجود دارد:
https://www.nomoreransom.org/decryption-tools.html
https://www.barkly.com/ransomware-recovery-decryption-tools-search
http://www.thewindowsclub.com/list-ransomware-decryptor-tools
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
باج افزار یا Ransomware یک مشکل حاد برای کاربران امروزی اینترنت است و مانند آتش سوزی گسترش می یابد.
من دوستان ، آشنایان و اقوامی دارم که اطلاعات آنها رمزگذاری شده است. اکنون آنها به توصیه های من برای پشتیبان گیری منظم از اطلاعات خود توجه می کنند ، اما آرزو می کنند قبل از ظهور باج افزار به آنها گوش داده بودند.
در حالی که تنها راه برای حفظ داده های خود پس از چنین حمله ای ، بازیابی آنها از نسخه پشتیبان است ، چندین رمزگشایی وجود دارد که می توانید برای بازگرداندن پرونده های خود و جلوگیری از پرداخت باج از آنها استفاده کنید.
با این حال ، به خاطر داشته باشید که برخی از این ابزارهای رمزگشایی می توانند خیلی زود منسوخ شوند ، زیرا مجرمان اینترنتی به سرعت در حال بهبود باج افزار هستند و آسیب پذیری هایی را که اجازه رمزگشایی داده ها را دارند ، برطرف می کنند.
فقط چند نوع باج افزار قابل رمزگشایی است ، اما ارزش امتحان آن را دارد. در اینجا لیستی از رمزگشاهای موجود وجود دارد:
https://www.nomoreransom.org/decryption-tools.html
https://www.barkly.com/ransomware-recovery-decryption-tools-search
http://www.thewindowsclub.com/list-ransomware-decryptor-tools
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
The Windows Club
List of free Ransomware Decryption Tools to unlock files
This exhaustive list of Ransomware decrypt & removal tools will help you unlock files encrypted or locked by ransomware on your Windows computer.
آسیب پذیری در Cloudflare CDN تقریباً 13٪ از سایتهای موجود در اینترنت را در معرض خطر هک قرار می دهد
این مسئله ، شبکه تحویل محتوا را که برای تسریع در تحویل کتابخانه های JavaScript طراحی شده ، تحت تأثیر قرار می دهد.
شرکت Cloudflare ، که خدمات CDN را ارائه می دهد ، یک آسیب پذیری خطرناک را برطرف کرده است که احتمالا حدود 12.7٪ از همه سایتهای اینترنت را به خطر بیندازد.
طبق گفته یک محقق امنیت اطلاعات معروف به RyotaK ، این مشکل که CDNJS را تحت تأثیر قرار می دهد ، یک شبکه تحویل محتوا است که برای تسریع در تحویل کتابخانه های جاوا اسکریپت طراحی شده است و خود آسیب پذیری در امکان جایگزینی کتابخانه های جاوا اسکریپت ارائه شده توسط سایت ها و اجرای کد دلخواه در سرورهای CDN است. .
محقق هنگام تجزیه و تحلیل cdnjs.com متوجه شد که کاربران می توانند کتابخانه هایی را درخواست کنند که هنوز در CDNJS نیستند. علاوه بر این ، مشخص شد که cdnjs / bot-ansible و cdnjs / tools حاوی اسکریپت هایی هستند که به صورت خودکار به روز می شوند تا اطمینان حاصل شود که به روزرسانی کتابخانه به طور خودکار بارگیری می شود.
همچنین CDNJS بسته ها را از Git یا مخزن NPM بارگیری می کند و به هر سایتی اجازه می دهد تا از شبکه تحویل محتوا Cloudflare برای تسریع در بارگزاری کتابخانه JavaScript استفاده کند. همزمان ، برای باز کردن بسته های NPM در بایگانی های tgz ، از ماژول بایگانی / tar در زبان Go استفاده می شود که لیستی از فایلها را بدون عادی سازی مسیر تولید می کند.
به عنوان بخشی از آزمایش ، RyotaK کتابخانه آزمایشی به نام hey-sven را در CDNJS منتشر کرد و نسخه های جدید hey-sven را به مخزن NPM اضافه کرد. در یکی از نسخه ها ، محقق اسکریپت های مخفی Bash را در بایگانی ZIP / TGZ تزریق کرده است که از آسیب پذیری عبور دایرکتوری (Path Traversal) سو explo استفاده می کنند.
علاوه بر این ، EA توانست GITHUB_REPO_API_KEY (یک کلید API که مجوز نوشتن را می دهد) و WORKERS_KV_API_TOKEN (می تواند برای اصلاح کتابخانه ها در حافظه نهان Cloudflare Workers استفاده شود) را به اسکریپت های صادر شده توسط CDN (cdnjs.cloudflare.com) تزریق کند.
این محقق توضیح داد: "با ترکیب این مجوزها ، می توان قسمت اصلی CDNJS ، مانند داده های مبدا CDNJS ، حافظه پنهان KV و حتی وب سایت CDNJS را اصلاح کرد."
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
این مسئله ، شبکه تحویل محتوا را که برای تسریع در تحویل کتابخانه های JavaScript طراحی شده ، تحت تأثیر قرار می دهد.
شرکت Cloudflare ، که خدمات CDN را ارائه می دهد ، یک آسیب پذیری خطرناک را برطرف کرده است که احتمالا حدود 12.7٪ از همه سایتهای اینترنت را به خطر بیندازد.
طبق گفته یک محقق امنیت اطلاعات معروف به RyotaK ، این مشکل که CDNJS را تحت تأثیر قرار می دهد ، یک شبکه تحویل محتوا است که برای تسریع در تحویل کتابخانه های جاوا اسکریپت طراحی شده است و خود آسیب پذیری در امکان جایگزینی کتابخانه های جاوا اسکریپت ارائه شده توسط سایت ها و اجرای کد دلخواه در سرورهای CDN است. .
محقق هنگام تجزیه و تحلیل cdnjs.com متوجه شد که کاربران می توانند کتابخانه هایی را درخواست کنند که هنوز در CDNJS نیستند. علاوه بر این ، مشخص شد که cdnjs / bot-ansible و cdnjs / tools حاوی اسکریپت هایی هستند که به صورت خودکار به روز می شوند تا اطمینان حاصل شود که به روزرسانی کتابخانه به طور خودکار بارگیری می شود.
همچنین CDNJS بسته ها را از Git یا مخزن NPM بارگیری می کند و به هر سایتی اجازه می دهد تا از شبکه تحویل محتوا Cloudflare برای تسریع در بارگزاری کتابخانه JavaScript استفاده کند. همزمان ، برای باز کردن بسته های NPM در بایگانی های tgz ، از ماژول بایگانی / tar در زبان Go استفاده می شود که لیستی از فایلها را بدون عادی سازی مسیر تولید می کند.
به عنوان بخشی از آزمایش ، RyotaK کتابخانه آزمایشی به نام hey-sven را در CDNJS منتشر کرد و نسخه های جدید hey-sven را به مخزن NPM اضافه کرد. در یکی از نسخه ها ، محقق اسکریپت های مخفی Bash را در بایگانی ZIP / TGZ تزریق کرده است که از آسیب پذیری عبور دایرکتوری (Path Traversal) سو explo استفاده می کنند.
علاوه بر این ، EA توانست GITHUB_REPO_API_KEY (یک کلید API که مجوز نوشتن را می دهد) و WORKERS_KV_API_TOKEN (می تواند برای اصلاح کتابخانه ها در حافظه نهان Cloudflare Workers استفاده شود) را به اسکریپت های صادر شده توسط CDN (cdnjs.cloudflare.com) تزریق کند.
این محقق توضیح داد: "با ترکیب این مجوزها ، می توان قسمت اصلی CDNJS ، مانند داده های مبدا CDNJS ، حافظه پنهان KV و حتی وب سایت CDNJS را اصلاح کرد."
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
رئیس سازمان جاسوسی انگلیس باج افزار را بزرگترین تهدید آنلاین نامید
دنیای دیجیتال پر از خطرات و مشکلات است ، اما یکی از آنها خطرناک ترین تهدید است. به گفته لیندی کامرون ، رئیس مرکز ملی امنیت سایبری انگلستان ، مراقب این امر باشید اخاذی رایانه ای ...
وظیفه مرکز ملی محافظت از انگلستان در برابر تهدیدات سایبری از جمله حملات بزرگ خارجی است. با این حال ، وی در طی سخنرانی اخیر خود اظهار داشت که باج افزار سریعترین تهدید را ایجاد می کند و بالاترین تخریب را دارد:
"برای اکثریت قریب به اتفاق شهروندان و مشاغل انگلستان ، و همچنین اکثریت قریب به اتفاق زیرساخت های ملی و ارائه دهندگان خدمات دولتی ، مجرمان اینترنتی تهدید اصلی نیستند و نه ایالات [خارجی]."
▪️خطرناک و موثر
جنگ های سایبری زیرساخت های مهم ملی مانند حمل و نقل یا شبکه های برق را هدف قرار می دهد که در صورت ایجاد اختلال ، می تواند باعث ایجاد هرج و مرج در کشور مورد حمله شود. مجرمان اینترنتی انگیزه مالی دارند و به طور فزاینده ای از باج افزار برای حمله به مشاغل و افراد برای اخاذی پول استفاده می کنند.
باج افزار ها یا Ransomware سلاحی برای مجرمان اینترنتی است زیرا گسترش آن آسان است و بسیار کارآمد عمل می کند . با مسدود کردن دسترسی به داده های حساس ، هکرها می دانند که شرکت ها و اشخاص آسیب دیده را با گزینه های دشواری روبرو کنند - اینکه آیا باج را پرداخت می کنند یا خطر از دست دادن پرونده های خود را برای همیشه دارند.
اکنون مجرمان سایبری با دقت حملات خود را برای بیشترین تأثیر هدف قرار می دهند. شرکتهای بزرگ همچنان محبوب ترین اهداف هستند زیرا آنها قادر به پرداخت باج هستند میلیون ها دلار آمریکا ... با این حال ، مشاغل کوچک و افراد نیز در معرض خطر قابل توجهی قرار دارند - هکرها به سادگی خواستار باج کمتر و مقرون به صرفه تری هستند که احتمال پرداخت آنها بیشتر است.
🔸بحران بین المللی
اگرچه لیندی کامرون مستقیماً اشاره ای نکرد ، اما اصرار داشت که دولت های ملی باید نقشی فعال در کمک به مبارزه با جرایم سایبری ایفا کنند. به نظر وی ، بسیاری از حملات باج افزار از آنجا آغاز می شود جمهوری های شوروی سابق از جمله روسیه ... اگرچه رسماً از فعالیت های جنایتکارانه علیه دولت های خارجی دلسرد شده است ، اما او معتقد است که مقامات کشورهای اتحاد جماهیر شوروی سابق اغلب این مشکل را نادیده می گیرند. "مجرمان در خلا وجود ندارند. آنها اغلب توسط دولت ها حمایت می شوند ، و بنابراین بدون مصونیت عمل می كنند. "
کامرون همچنین از دولت انگلیس خواست تا تلاش های بیشتری برای تقویت امنیت اطلاعات انجام دهد. وی یک رویکرد بسیج در سطح دولت را پیشنهاد کرد که برای افزایش انعطاف پذیری سایبری و اتخاذ موضع دیپلماتیک مورد نیاز برای ایجاد روابط با کشورهایی که به گفته وی پناهندگان مجرمان سایبری هستند ، مورد نیاز است. به دنبال این درخواست "قاطع ترین اقدام عدالت کیفری برای کسانی که کیفرخواست آنهاست" بود.
در جایی که دولت ها و مرکز ملی امنیت سایبری متعهد به محافظت از کشور به عنوان یک کل هستند ، افراد همچنین می توانند برای دفاع از خود در برابر مجرمان سایبری گام بردارند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
دنیای دیجیتال پر از خطرات و مشکلات است ، اما یکی از آنها خطرناک ترین تهدید است. به گفته لیندی کامرون ، رئیس مرکز ملی امنیت سایبری انگلستان ، مراقب این امر باشید اخاذی رایانه ای ...
وظیفه مرکز ملی محافظت از انگلستان در برابر تهدیدات سایبری از جمله حملات بزرگ خارجی است. با این حال ، وی در طی سخنرانی اخیر خود اظهار داشت که باج افزار سریعترین تهدید را ایجاد می کند و بالاترین تخریب را دارد:
"برای اکثریت قریب به اتفاق شهروندان و مشاغل انگلستان ، و همچنین اکثریت قریب به اتفاق زیرساخت های ملی و ارائه دهندگان خدمات دولتی ، مجرمان اینترنتی تهدید اصلی نیستند و نه ایالات [خارجی]."
▪️خطرناک و موثر
جنگ های سایبری زیرساخت های مهم ملی مانند حمل و نقل یا شبکه های برق را هدف قرار می دهد که در صورت ایجاد اختلال ، می تواند باعث ایجاد هرج و مرج در کشور مورد حمله شود. مجرمان اینترنتی انگیزه مالی دارند و به طور فزاینده ای از باج افزار برای حمله به مشاغل و افراد برای اخاذی پول استفاده می کنند.
باج افزار ها یا Ransomware سلاحی برای مجرمان اینترنتی است زیرا گسترش آن آسان است و بسیار کارآمد عمل می کند . با مسدود کردن دسترسی به داده های حساس ، هکرها می دانند که شرکت ها و اشخاص آسیب دیده را با گزینه های دشواری روبرو کنند - اینکه آیا باج را پرداخت می کنند یا خطر از دست دادن پرونده های خود را برای همیشه دارند.
اکنون مجرمان سایبری با دقت حملات خود را برای بیشترین تأثیر هدف قرار می دهند. شرکتهای بزرگ همچنان محبوب ترین اهداف هستند زیرا آنها قادر به پرداخت باج هستند میلیون ها دلار آمریکا ... با این حال ، مشاغل کوچک و افراد نیز در معرض خطر قابل توجهی قرار دارند - هکرها به سادگی خواستار باج کمتر و مقرون به صرفه تری هستند که احتمال پرداخت آنها بیشتر است.
🔸بحران بین المللی
اگرچه لیندی کامرون مستقیماً اشاره ای نکرد ، اما اصرار داشت که دولت های ملی باید نقشی فعال در کمک به مبارزه با جرایم سایبری ایفا کنند. به نظر وی ، بسیاری از حملات باج افزار از آنجا آغاز می شود جمهوری های شوروی سابق از جمله روسیه ... اگرچه رسماً از فعالیت های جنایتکارانه علیه دولت های خارجی دلسرد شده است ، اما او معتقد است که مقامات کشورهای اتحاد جماهیر شوروی سابق اغلب این مشکل را نادیده می گیرند. "مجرمان در خلا وجود ندارند. آنها اغلب توسط دولت ها حمایت می شوند ، و بنابراین بدون مصونیت عمل می كنند. "
کامرون همچنین از دولت انگلیس خواست تا تلاش های بیشتری برای تقویت امنیت اطلاعات انجام دهد. وی یک رویکرد بسیج در سطح دولت را پیشنهاد کرد که برای افزایش انعطاف پذیری سایبری و اتخاذ موضع دیپلماتیک مورد نیاز برای ایجاد روابط با کشورهایی که به گفته وی پناهندگان مجرمان سایبری هستند ، مورد نیاز است. به دنبال این درخواست "قاطع ترین اقدام عدالت کیفری برای کسانی که کیفرخواست آنهاست" بود.
در جایی که دولت ها و مرکز ملی امنیت سایبری متعهد به محافظت از کشور به عنوان یک کل هستند ، افراد همچنین می توانند برای دفاع از خود در برابر مجرمان سایبری گام بردارند.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
انالله و اناالیه راجعون
مطلع شدم که استاد عزیزمان، جناب آقای دکتر مسعود اخوان فرد، از چهرههای بارز حقوق ارتباطات و فناوری اطلاعات که سالهای مدیدی است این بخش از وجود ایشان به عنوان عضو صاحبنظر در کمیسیون تنظیم مقررات ارتباطات بهره میبرد، بر اثر ابتلا به بیماری کرونا، به رحمت ایزدی پیوستند.
دکتر اخوان فرد با سابقه اجرایی معاونت سازمان انرژی اتمی و همچنین سابقه درخشان علمی و مدیریتی در دانشگاه آزاد اسلامی، منشا خدمات موثری به کشور بودند.
ضایعه فقدان این استاد عزیز را به خانوادهی محترم وی و همچنین خانواده بزرگ ارتباطات و فناوری اطلاعات کشور، تسلیت عرض میکنم.
روحش شاد.
مطلع شدم که استاد عزیزمان، جناب آقای دکتر مسعود اخوان فرد، از چهرههای بارز حقوق ارتباطات و فناوری اطلاعات که سالهای مدیدی است این بخش از وجود ایشان به عنوان عضو صاحبنظر در کمیسیون تنظیم مقررات ارتباطات بهره میبرد، بر اثر ابتلا به بیماری کرونا، به رحمت ایزدی پیوستند.
دکتر اخوان فرد با سابقه اجرایی معاونت سازمان انرژی اتمی و همچنین سابقه درخشان علمی و مدیریتی در دانشگاه آزاد اسلامی، منشا خدمات موثری به کشور بودند.
ضایعه فقدان این استاد عزیز را به خانوادهی محترم وی و همچنین خانواده بزرگ ارتباطات و فناوری اطلاعات کشور، تسلیت عرض میکنم.
روحش شاد.
🔻کلابهاوس هک شد: اطلاعات ٣.٨ میلیارد کاربر به بیرون درز کرد
▫️محققان امنیتی اعلام کردند که اطلاعات کامل کاربران شبکه اجتماعی کلابهاوس به سرقت رفته و در دارکنت به فروش می رسد.
▫️ در این انتشار دیتاها، احتمال داده میشود که حتی اگر شخصی هنوز یک حساب کلاب هاوس ایجاد نکرده باشد، حداقل شماره تلفن او ممکن است به خطر بیفتد.
▫️ طبق گفته برخی از محققان امنیتی در توئیتر، کل دادههای کلاب هاوس هک شده و شماره تلفن کاربران نیز برای فروش در دارکنت منتشر شده است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
▫️محققان امنیتی اعلام کردند که اطلاعات کامل کاربران شبکه اجتماعی کلابهاوس به سرقت رفته و در دارکنت به فروش می رسد.
▫️ در این انتشار دیتاها، احتمال داده میشود که حتی اگر شخصی هنوز یک حساب کلاب هاوس ایجاد نکرده باشد، حداقل شماره تلفن او ممکن است به خطر بیفتد.
▫️ طبق گفته برخی از محققان امنیتی در توئیتر، کل دادههای کلاب هاوس هک شده و شماره تلفن کاربران نیز برای فروش در دارکنت منتشر شده است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
نوعی حمله جدید به نام PetitPotam کشف شده است که به کمک آن میتوان یک دامین ویندوز را تسخیر کرد. علت این نقص، وجود یک آسیبپذیری در پروتکلی به نام EFSRPC است.
🔻مایکروسافت توصیههایی برای جلوگیری از این حمله ارائه داده است، از جمله اینکه در صورت امکان، احراز هویت NTLM را در دامین ویندوز غیرفعال کنید.
🔻با این وجود هنوز مایکروسافت برای آسیبپذیری موجود در پروتکل EFSRPC وصلهای ارائه نداده است.
✅ توصیهنامه مایکروسافت:
https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
🔻مایکروسافت توصیههایی برای جلوگیری از این حمله ارائه داده است، از جمله اینکه در صورت امکان، احراز هویت NTLM را در دامین ویندوز غیرفعال کنید.
🔻با این وجود هنوز مایکروسافت برای آسیبپذیری موجود در پروتکل EFSRPC وصلهای ارائه نداده است.
✅ توصیهنامه مایکروسافت:
https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
قدرت بالای سایبری ایران لرزه انداز در دل دشمنان
یک سند پنج گزارشی که احتمال حمله سایبری علیه اهداف در کشورهای غربی را بررسی می کند، گفته می شود در ایران تهیه شده است، در اختیار اسکای نیوز قرار گرفته است.
به گفته اسکای نیوز این اسناد توصیف می کند که چگونه می توان از یک حمله سایبری برای غرق شدن یک کشتی باری یا منفجر کردن پمپ سوخت در یک پمپ بنزین استفاده کرد.
همچنین این اسناد شامل اطلاعات مربوط به دستگاه های ارتباطی ماهواره ای مورد استفاده در صنعت حمل و نقل جهانی و همچنین سیستم های رایانه ای است که روشنایی، گرمایش و تهویه را در خانه های هوشمند در سراسر جهان کنترل می کنند.
همانطور که کانال اسکای نیوز گزارش می دهد، این اسناد نشان دهنده علاقه خاصی به مطالعه شرکت ها و فعالیت در کشورهای غربی، از جمله انگلیس، فرانسه و ایالات متحده است.
بن والاس رئیس وزارت دفاع انگلیس گفت: اسناد ایرانی از آسیب پذیری انگلیس و متحدانش در برابر حملات سایبری صحبت می کند.
والاس به اسکای نیوز گفت: اگر کاری انجام ندهیم، زیرساخت های حیاتی ملی ما، شیوه زندگی ما با تهدید روبرو خواهند شد.
منیع اصلی گزارش:
https://news.sky.com/story/irans-secret-cyber-files-on-how-cargo-ships-and-petrol-stations-could-be-attacked-12364871
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
یک سند پنج گزارشی که احتمال حمله سایبری علیه اهداف در کشورهای غربی را بررسی می کند، گفته می شود در ایران تهیه شده است، در اختیار اسکای نیوز قرار گرفته است.
به گفته اسکای نیوز این اسناد توصیف می کند که چگونه می توان از یک حمله سایبری برای غرق شدن یک کشتی باری یا منفجر کردن پمپ سوخت در یک پمپ بنزین استفاده کرد.
همچنین این اسناد شامل اطلاعات مربوط به دستگاه های ارتباطی ماهواره ای مورد استفاده در صنعت حمل و نقل جهانی و همچنین سیستم های رایانه ای است که روشنایی، گرمایش و تهویه را در خانه های هوشمند در سراسر جهان کنترل می کنند.
همانطور که کانال اسکای نیوز گزارش می دهد، این اسناد نشان دهنده علاقه خاصی به مطالعه شرکت ها و فعالیت در کشورهای غربی، از جمله انگلیس، فرانسه و ایالات متحده است.
بن والاس رئیس وزارت دفاع انگلیس گفت: اسناد ایرانی از آسیب پذیری انگلیس و متحدانش در برابر حملات سایبری صحبت می کند.
والاس به اسکای نیوز گفت: اگر کاری انجام ندهیم، زیرساخت های حیاتی ملی ما، شیوه زندگی ما با تهدید روبرو خواهند شد.
منیع اصلی گزارش:
https://news.sky.com/story/irans-secret-cyber-files-on-how-cargo-ships-and-petrol-stations-could-be-attacked-12364871
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
Sky News
Iran's secret cyber files on how cargo ships and petrol stations could be attacked
Forwarded from IACS (پدرام کیانی)
صفحه اختصاصی مربی جعلی هکرها با نام Marcella Flores
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی
ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
⚠️ کشف آسیبپذیری بحرانی در Microsoft Hyper-V❗️
🔷 این آسیبپذیری با شناسه CVE-2021-28476 و شدت 9.9 از 10، امکان اجرای کد دلخواه را برای مهاجم فراهم آورده و میتواند منجر به حمله DoS شود.
🔶 مهاجم با ارسال یک پکت ساختگی از یک ماشین مجازی guest به هاست Hyper-V، میتواند از این آسیبپذیری بهرهبرداری نماید.
❌ این آسیبپذیری windows 10 و windows sever 2012 تا 2019 را تحت تأثیر قرار میدهد.
✅ جهت رفع این آسیبپذیری توصیه میشود بهروزرسانیهای منتشر شده در لینک زیر هر چه سریعتر اعمال گردند.
🌐 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28476
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
🔷 این آسیبپذیری با شناسه CVE-2021-28476 و شدت 9.9 از 10، امکان اجرای کد دلخواه را برای مهاجم فراهم آورده و میتواند منجر به حمله DoS شود.
🔶 مهاجم با ارسال یک پکت ساختگی از یک ماشین مجازی guest به هاست Hyper-V، میتواند از این آسیبپذیری بهرهبرداری نماید.
❌ این آسیبپذیری windows 10 و windows sever 2012 تا 2019 را تحت تأثیر قرار میدهد.
✅ جهت رفع این آسیبپذیری توصیه میشود بهروزرسانیهای منتشر شده در لینک زیر هر چه سریعتر اعمال گردند.
🌐 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28476
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
🛡 10 بدافزار مخرب در ماه ژوئن 2021
در ماه ژوئن 2021، طبق بررسی مرکز MS-ISAC شاهد بازگشت BitCoin Miner ،Mirai و Ursnif به لیست 10 بدافزار مخرب بودهایم.
این 10 بدافزار مخرب 62٪ از کل فعالیت کل بدافزارها را در ماه ژوئن 2021 تشکیل میدهند که نسبت به ماه می 2021 کاهش 13٪ دارد.
لیست این 10 بدافزار مخرب به صورت زیر است:
1. Shlayer
2. CoinMiner
3. Mirai
4. NanoCore
5. Quasar
6. ZeuS
7. Gh0st
8. BitCoin Miner
9. Ursnif
10. CryptoWall
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
در ماه ژوئن 2021، طبق بررسی مرکز MS-ISAC شاهد بازگشت BitCoin Miner ،Mirai و Ursnif به لیست 10 بدافزار مخرب بودهایم.
این 10 بدافزار مخرب 62٪ از کل فعالیت کل بدافزارها را در ماه ژوئن 2021 تشکیل میدهند که نسبت به ماه می 2021 کاهش 13٪ دارد.
لیست این 10 بدافزار مخرب به صورت زیر است:
1. Shlayer
2. CoinMiner
3. Mirai
4. NanoCore
5. Quasar
6. ZeuS
7. Gh0st
8. BitCoin Miner
9. Ursnif
10. CryptoWall
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
✅ ۲۷ دفتر دادستانی در آمریکا هک شدهاند
🔹وزارت دادگستری آمریکا اعلام کرد در حمله سایبری اخیر علیه نهادها و وزارتخانههای مختلف این کشور، ایمیلهای مربوط به بیست و هفت دفتر دادستانی در پانزده ایالت هک شدهاند.
🔹این وزارتخانه اعلام کرد از هفتم ما می تا بیست و هفتم دسامبر سال گذشته میلادی (اردیبهشت تا دی ماه سال ۱۳۹۹) دادههایی شامل «تمامی ایمیلهای ارسالشده، دریافت شده و ذخیره شده و فایلهای پیوست آنها» در دسترس هکرها قرار گرفته است./فارس
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
🔹وزارت دادگستری آمریکا اعلام کرد در حمله سایبری اخیر علیه نهادها و وزارتخانههای مختلف این کشور، ایمیلهای مربوط به بیست و هفت دفتر دادستانی در پانزده ایالت هک شدهاند.
🔹این وزارتخانه اعلام کرد از هفتم ما می تا بیست و هفتم دسامبر سال گذشته میلادی (اردیبهشت تا دی ماه سال ۱۳۹۹) دادههایی شامل «تمامی ایمیلهای ارسالشده، دریافت شده و ذخیره شده و فایلهای پیوست آنها» در دسترس هکرها قرار گرفته است./فارس
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
✅ #اختصاصی/ استقرار واحدهای سایبری اسرائیل در امارات برای ایجاد اختلال در خطوط هوایی و کشتیرانی
🔻یک مقام امنیتی به «نورنیوز» گفت:
🔹حدود یکماه است که واحدهای سایبری موساد با انتقال تجهیزات پیشرفته به یک امیرنشین امارات، برنامه جامعی برای ایجاد اختلال در شبکههای ارتباطی و سامانههای ناوبری دریایی و هوایی در منطقه خلیجفارس و دریای عمان آغاز کردهاند.
🔹ایجاد اختلاف میان کشورهای حوزه خلیج فارس و وارد کردن آنها به درگیری ناخواسته، اصلیترین هدف اسرائیل در این خصوص بوده است.
🔹انتقال کانون بحران از سرزمینهای اشغالی به خلیجفارس و دریای عمان و کاهش فشارهای سیاسی و امنیتی به حکام این رژیم، هدف دیگر این بحرانسازی است.
🔹درصورت لزوم اطلاعات دقیقتری از محل استقرار، تجهیزات فنی و برنامههای این تیم که در هماهنگی کامل با دستگاه اطلاعاتی امارات فعالیت میکند، اعلام خواهد شد.
🔸گفتنی است بعد از ظهر دیروز سهشنبه، چهار کشتی نفتکش به نامهای «کوئین ایماثا»، «گلدن بریلینت»، «جگ پوجا» و «ابس» به صورت همزمان اعلام کردند که هدایت شناورها از فرمان آنها خارج شده است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
🔻یک مقام امنیتی به «نورنیوز» گفت:
🔹حدود یکماه است که واحدهای سایبری موساد با انتقال تجهیزات پیشرفته به یک امیرنشین امارات، برنامه جامعی برای ایجاد اختلال در شبکههای ارتباطی و سامانههای ناوبری دریایی و هوایی در منطقه خلیجفارس و دریای عمان آغاز کردهاند.
🔹ایجاد اختلاف میان کشورهای حوزه خلیج فارس و وارد کردن آنها به درگیری ناخواسته، اصلیترین هدف اسرائیل در این خصوص بوده است.
🔹انتقال کانون بحران از سرزمینهای اشغالی به خلیجفارس و دریای عمان و کاهش فشارهای سیاسی و امنیتی به حکام این رژیم، هدف دیگر این بحرانسازی است.
🔹درصورت لزوم اطلاعات دقیقتری از محل استقرار، تجهیزات فنی و برنامههای این تیم که در هماهنگی کامل با دستگاه اطلاعاتی امارات فعالیت میکند، اعلام خواهد شد.
🔸گفتنی است بعد از ظهر دیروز سهشنبه، چهار کشتی نفتکش به نامهای «کوئین ایماثا»، «گلدن بریلینت»، «جگ پوجا» و «ابس» به صورت همزمان اعلام کردند که هدایت شناورها از فرمان آنها خارج شده است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
هکرهای APT31 برای اولین بار به شرکت های روسی حمله کردند
آثار حملات گروه هکر APT31 ، که تعدادی از کارشناسان با سرویس های اطلاعاتی چین ارتباط دارند ، در روسیه کشف شد
نمایندگان شرکت Positive Technologies گزارش دادند که گروه هکر APT31 که به دلیل حملات خود به ساختارهای دولتی کشورهای مختلف شناخته می شود ، برای اولین بار به شرکت های روسی حمله کرد. تعدادی از متخصصان گروه APT31 را که با نام های طوفان پاندا و زیرکونیوم نیز ظاهر می شود ، با خدمات ویژه چینی مرتبط می دانند.
به گفته کارشناسان کتاس ، از بهار سال 2021 ، APT31 شروع به گسترش جغرافیای حملات و استفاده از روش جدیدی برای هک و آلوده سازی ابزارها کرده است.
به گفته این کانال ، هکرها ایمیل های فیشینگ حاوی پیوندی به یک دامنه جعلی-inst.rsnet-devel [.] com ارسال می کنند. این به طور کامل دامنه برخی از سازمان های دولتی را تقلید می کند. هنگامی که پیوند باز می شود ، یک dropper (تروجان دسترسی از راه دور) وارد رایانه کاربر می شود ، که یک کتابخانه مخرب روی دستگاه آلوده ایجاد می کند و یک برنامه ویژه را نصب می کند. سپس برنامه یکی از عملکردهای کتابخانه مخرب بارگیری شده را راه اندازی می کند و مهاجم کنترل کامپیوتر را در دست می گیرد.
ترفند دیگر هکرها این بود که در برخی حملات dropper با یک امضای دیجیتالی معتبر امضا شد و بسیاری از ابزارهای امنیتی آن را به عنوان برنامه ای از سازنده معتبر تلقی کردند. کارشناسان فناوری های مثبت معتقدند که به احتمال زیاد امضا به سرقت رفته است و نشان می دهد که گروه به خوبی آماده شده است.
شایان ذکر است که فعالیت APT31 از سال 2010 ثبت شده است. هکرها عمدتا به بخش عمومی حمله می کنند و اطلاعات محرمانه را جمع آوری می کنند. به گفته مایکروسافت ، از مارس تا سپتامبر 2020 ، حدود 1 هزار حمله این گروه به کاربران مربوط به انتخابات ریاست جمهوری در ایالات متحده و نامزدهای این پست ثبت شد. حملات هکر APT31 در نروژ ، فنلاند ، آلمان ، مغولستان ، کانادا و بلاروس نیز گزارش شده است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
آثار حملات گروه هکر APT31 ، که تعدادی از کارشناسان با سرویس های اطلاعاتی چین ارتباط دارند ، در روسیه کشف شد
نمایندگان شرکت Positive Technologies گزارش دادند که گروه هکر APT31 که به دلیل حملات خود به ساختارهای دولتی کشورهای مختلف شناخته می شود ، برای اولین بار به شرکت های روسی حمله کرد. تعدادی از متخصصان گروه APT31 را که با نام های طوفان پاندا و زیرکونیوم نیز ظاهر می شود ، با خدمات ویژه چینی مرتبط می دانند.
به گفته کارشناسان کتاس ، از بهار سال 2021 ، APT31 شروع به گسترش جغرافیای حملات و استفاده از روش جدیدی برای هک و آلوده سازی ابزارها کرده است.
به گفته این کانال ، هکرها ایمیل های فیشینگ حاوی پیوندی به یک دامنه جعلی-inst.rsnet-devel [.] com ارسال می کنند. این به طور کامل دامنه برخی از سازمان های دولتی را تقلید می کند. هنگامی که پیوند باز می شود ، یک dropper (تروجان دسترسی از راه دور) وارد رایانه کاربر می شود ، که یک کتابخانه مخرب روی دستگاه آلوده ایجاد می کند و یک برنامه ویژه را نصب می کند. سپس برنامه یکی از عملکردهای کتابخانه مخرب بارگیری شده را راه اندازی می کند و مهاجم کنترل کامپیوتر را در دست می گیرد.
ترفند دیگر هکرها این بود که در برخی حملات dropper با یک امضای دیجیتالی معتبر امضا شد و بسیاری از ابزارهای امنیتی آن را به عنوان برنامه ای از سازنده معتبر تلقی کردند. کارشناسان فناوری های مثبت معتقدند که به احتمال زیاد امضا به سرقت رفته است و نشان می دهد که گروه به خوبی آماده شده است.
شایان ذکر است که فعالیت APT31 از سال 2010 ثبت شده است. هکرها عمدتا به بخش عمومی حمله می کنند و اطلاعات محرمانه را جمع آوری می کنند. به گفته مایکروسافت ، از مارس تا سپتامبر 2020 ، حدود 1 هزار حمله این گروه به کاربران مربوط به انتخابات ریاست جمهوری در ایالات متحده و نامزدهای این پست ثبت شد. حملات هکر APT31 در نروژ ، فنلاند ، آلمان ، مغولستان ، کانادا و بلاروس نیز گزارش شده است.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
پروژه OpenSky (opensky-network.org) امکان ردیابی هواپیماها را در زمان واقعی فراهم می کند. و اگر حتی ساده ترین رادیو SDR را دارید که به شما امکان می دهد فرکانس هوا را بگیرید ، خود شما می توانید به جامعه عظیمی از ناظران هوانوردی بپیوندید.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
⚠️ هشدار مایکروسافت در خصوص آسیبپذیری روزصفر وصلهنشدهی دیگری در Windows Print Spooler❗️
🔷 این آسیبپذیری با شناسه CVE-2021-36958 و شدت بالا (7.3 از 10) در Windows Print Spooler وجود دارد و به یک مهاجم محلی امکان دستیابی به سطح دسترسی SYSTEM در سیستم آسیبپذیر را میدهد.
🔶 مهاجم با دستیابی به این سطح دسترسی میتواند کد دلخواه خود را با دسترسی SYSTEM اجرا نماید، برنامه نصب کند، دادهها را مشاهده، حذف و تغییر دهد یا اینکه حساب کاربری جدیدی با دسترسی کامل ایجاد کند.
✅ اقدامات کاهشی:
▪️توقف و غیرفعالسازی سرویس Print Spooler.
▪️مسدود کردن ترافیک خروجی SMB در فایروال، جهت جلوگیری از اتصال به پرینترهای مخرب اشتراکگذاریشده.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
🔷 این آسیبپذیری با شناسه CVE-2021-36958 و شدت بالا (7.3 از 10) در Windows Print Spooler وجود دارد و به یک مهاجم محلی امکان دستیابی به سطح دسترسی SYSTEM در سیستم آسیبپذیر را میدهد.
🔶 مهاجم با دستیابی به این سطح دسترسی میتواند کد دلخواه خود را با دسترسی SYSTEM اجرا نماید، برنامه نصب کند، دادهها را مشاهده، حذف و تغییر دهد یا اینکه حساب کاربری جدیدی با دسترسی کامل ایجاد کند.
✅ اقدامات کاهشی:
▪️توقف و غیرفعالسازی سرویس Print Spooler.
▪️مسدود کردن ترافیک خروجی SMB در فایروال، جهت جلوگیری از اتصال به پرینترهای مخرب اشتراکگذاریشده.
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
Telegram
کانال تخصصی امنیت سایبری «کتاس»
تماس با ادمين📧:
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
ict.sec@outlook.com
این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است
🔻 طرح کنگره امریکا: ارائه اینترنت آزاد و بدون فیلتر برای کوبا
▫️ کنگره امریکا طرحی را در دست دارد که براساس آن از دولت این کشور خواسته شده اینترنت آزاد و بدون فیلتر را مستقیم در دسترس مردم کوبا قرار دهد تا فیلتر و موانع دولت کوبا علیه اینترنت دور زده شود. به گزارش خبرگزاری فرانسه با انتشار این خبر نوشت که این اقدام با مخالفت شدید دولت کوبا روبه رو شد و وزیر خارجه کوبا آن را "تجاوز" توصیف کرد. دولت کوبا نظارت سختگیرانه ای بر اینترنت در این کشور دارد و محدودیت های زیادی را برای دسترسی مردم به سایت ها و برنامه های مختلف ایجاد می کند / عصرایران
▫️ کنگره امریکا طرحی را در دست دارد که براساس آن از دولت این کشور خواسته شده اینترنت آزاد و بدون فیلتر را مستقیم در دسترس مردم کوبا قرار دهد تا فیلتر و موانع دولت کوبا علیه اینترنت دور زده شود. به گزارش خبرگزاری فرانسه با انتشار این خبر نوشت که این اقدام با مخالفت شدید دولت کوبا روبه رو شد و وزیر خارجه کوبا آن را "تجاوز" توصیف کرد. دولت کوبا نظارت سختگیرانه ای بر اینترنت در این کشور دارد و محدودیت های زیادی را برای دسترسی مردم به سایت ها و برنامه های مختلف ایجاد می کند / عصرایران
✅ روش بررسی و غیرفعالسازی سرویس Print Spooler 👆
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security
👮♀️👮♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security