بچه گربه جذاب دست به یک بدافزار جدید زد

هکرهای دولتی ایرانی ابزاری را به زرادخانه خود اضافه کرده اند که داده ها را از حساب های جیمیل، یاهو! و Microsoft Outlook استخراج می کند

گروه تحلیل تهدیدات گوگل (TAG) بدافزار را HYPERSCRAPE نامگذاری کرد. به گفته کارشناسان، این بدافزار به طور فعال در حال توسعه است و حتی علیه ده ها حساب کاربری ایرانی نیز استفاده شده است. ابزار هک اولین بار در دسامبر 2021 کشف شد. قبل از کار با HYPERSCRAPE، مهاجم باید اعتبار قربانی را دریافت کند یا جلسه کاربر قربانی را ربوده باشد.
این ابزار با دات نت نوشته شده و بر روی سیستم های ویندوز اجرا می شود. HYPERSCRAPE دارای تمام عملکردهای لازم برای جمع آوری و استخراج محتویات صندوق پستی قربانی و همچنین حذف ایمیل هایی از سرویس امنیتی Google است که به قربانی در مورد فعالیت مشکوک هشدار می دهد.
اگر ایمیل توسط قربانی خوانده نشده باشد، ابتدا ابزار باز می شود و ایمیل را به صورت فایل .eml دانلود می کند و پس از آن آن را به عنوان خوانده نشده علامت گذاری می کند.
شایان ذکر است که نسخه‌های اولیه HYPERSCRAPE این گزینه را داشتند که داده‌ها را از Google Takeout درخواست کنند، ویژگی که به کاربران اجازه می‌دهد داده‌های خود را به یک فایل بایگانی قابل دانلود صادر کنند.
مشخص است که تمام حساب های تحت تأثیر حمله HYPERSCRAPE بازیابی شده اند و صاحبان آنها از این حادثه مطلع شده اند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

آمازون بازیگران مشهور هالیوود را برای تبلیغ موضوع احراز هویت چند عاملی استخدام کرده است.

من نمی دانم که آیا خود بازیگران این گزینه را روشن کرده اند؟ و خیلی پیش میاد که اونی که تبلیغ میکنه اصلا از چیزی که تبلیغ میکنه استفاده نمیکنه 😊

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

برای فاش کردن تماس ویدیویی Deepfake، از تماس‌گیرنده بخواهید که به طرفین بپیچد

تنها در چند سال، دیپ‌فیک‌ها از توانایی قرار دادن چهره‌ها بر روی تصاویر تا تعویض کامل چهره در زمان واقعی پیشرفت کرده‌اند، که منجر به افزایش تعداد دیپ‌فیک‌های مورد استفاده در کلاهبرداری آنلاین و جرایم سایبری شده است.

🔻در ماه ژوئن، FBI نسبت به کلاهبردارانی که از فناوری دیپ فیک در طول مصاحبه از راه دور استفاده می کنند، هشدار داد.

بر اساس گفته‌های استارت‌آپ کلاهبرداری آنلاین Sensity AI، ویدیوهای Deepfake نیز برای فریب نرم‌افزار تشخیص چهره در زمان واقعی استفاده شده‌اند.

اتحادیه اروپا قوانینی را تصویب کرده است که جریمه هایی را برای شرکت هایی وضع می کند که به اندازه کافی با دیپ فیک مبارزه نمی کنند.

🔻چین همچنین قوانین دیپ فیک را تدوین کرده است که مجازات های قانونی برای سوء استفاده از فناوری را تهدید می کند و همچنین باید برای هرگونه استفاده قانونی از دیپ فیک مجوز صادر شود.

همه اینها عصر جدیدی از عدم اطمینان اینترنتی را باز می کند که همکار آنلاین شما واقعاً واقعی است.

☝🏻با این حال، تحقیقات جدید نشان می‌دهد که اکثر برنامه‌های محبوب Deepfake دارای همان نقص هستند: چرخش ۹۰ درجه‌ای سر به پهلو نشان می‌دهد که شخصی که روی صفحه نمایش می‌دهد آن چیزی نیست که به نظر می‌رسید.

بدون اینکه بتواند نقاط کنترلی کافی را ببیند، نرم افزار به سادگی نمی داند چگونه چهره جعلی خود را نمایش دهد.

محققان خاطرنشان می‌کنند: «تا زمانی که ندانیم که دیپ‌فکرها راهی برای رفع این نقص پیدا نکرده‌اند، ایده خوبی است که این سیاست را دنبال کنیم که از طرف دیگر تماس ویدیویی بخواهیم چهره‌اش را از کنار به شما نشان دهد». 😉

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

رکود بزرگ 2.0 🤔 اخراج های دسته جمعی در حال افزایش است.

شرکت فناوری چینی علی بابا 9241 کارمند خود را از آوریل تا ژوئن اخراج کرد.
بازار آمازون حدود 100000 کارگر را اخراج کرد.
🔻رهبری شبکه اجتماعی اسنپ قصد دارد به دلیل وخامت شاخص های اقتصادی اخراج های گسترده ای را انجام دهد.
شرکت آمریکایی اوراکل هفته گذشته صدها کارمند خود را اخراج کرد و قصد دارد هزاران نفر را اخراج کند.
🔻در ماه جولای، مایکروسافت قصد خود را برای اخراج چندین هزار نفر از کارکنان خود اعلام کرد.
🔻Shopify اخراج 1000 کارمند را اعلام کرد

پیش از این، اپل، گوگل، تسلا، نتفلیکس، توییتر و بسیاری از شرکت های دیگر اخراج گسترده یا توقف کامل استخدام را گزارش کرده بودند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

پدری از نوزادش برای پزشک عکس گرفت - گوگل او را به پلیس معرفی کرد.🤦🏼‍♀️

مارک، پدری از سانفرانسیسکو، پس از کشف تومور در بدن نوزادش، از طریق لینک ویدیویی با یک مشاور پرستار تماس گرفت زیرا دسترسی فیزیکی به بیمارستان ها در طول همه گیری محدود بود.

پرستار گفت عکس ها را بفرست تا دکتر بتواند آنها را نگاه کند. مارک با گرفتن گوشی هوشمند اندرویدی خود، عکس هایی گرفت و برای دکتر فرستاد. دکتر با کمک عکس ها تشخیص داد و آنتی بیوتیک تجویز کرد که سریع کمک کرد.🙏🏻

اما پس از این قسمت، مارک با مشکل بسیار بزرگتری مواجه شد که برای او بیش از یک دهه تماس، ایمیل و عکس هزینه داشت و او را موضوع تحقیقات پلیس قرار داد.

مارک، مانند بسیاری، فکر کرد که "او چیزی برای پنهان کردن ندارد" و به شرکت اعتماد کرد.🤦🏼‍♀️

▫️او قرارها را با همسرش در تقویم گوگل همگام کرد.
▫️دوربین گوشی هوشمند اندرویدی او از عکس‌ها و ویدئوها در فضای ابری گوگل بکاپ گرفت.
▫️حتی با گوگل فای برنامه تلفنی داشت.

دو روز پس از اینکه از پسرش عکس گرفت، تلفن مارک یک اعلان متناوب صادر کرد: حساب او به دلیل «محتوای مضر» غیرفعال شده است که «نقض جدی خط‌مشی Google است و ممکن است غیرقانونی باشد».

لینک "بیشتر بیاموزید" بیان کرد که شرکت او را به دلیل گرفتن عکس به "سوءاستفاده جنسی و بهره کشی از کودکان" مجرم تشخیص داد.😳

او فرمی را پر کرد و از گوگل خواست که در این مورد تجدید نظر کند و وضعیت را توضیح دهد. شرکت امتناع کرد.

🔻او نه تنها ایمیل‌ها، اطلاعات تماس دوستان و همکاران سابق و اسناد مربوط به سال‌های اولیه پسرش را از دست داد، بلکه حساب Google Fi او بسته شد، به این معنی که باید یک شماره تلفن جدید از یک شرکت مخابراتی دیگر دریافت می‌کرد.

🔻بدون دسترسی به شماره تلفن و آدرس ایمیل قدیمی‌اش، نمی‌توانست کدهای امنیتی مورد نیاز برای ورود به سایر حساب‌های آنلاین را دریافت کند و در بیشتر عمر دیجیتالی‌اش مانع از دسترسی به آن شود.

🔻مدتی بعد، مارک یک پاکت نامه از اداره پلیس سانفرانسیسکو دریافت کرد.

🔻 حاوی نامه‌ای بود که به او اطلاع می‌داد تحت بازجویی قرار دارد، و همچنین کپی‌هایی از حکم‌های جستجو صادر شده توسط Google و ISP آن. بازپرس که اطلاعات تماس او ارائه شده بود، همه چیز را در حساب گوگل مارک درخواست کرد: جستجوهای وب، تاریخچه موقعیت مکانی اش، پیام هایش و هر گونه اسناد، عکس ها و ویدئوهایی که در شرکت نگهداری می کرد.

یک هفته پس از گرفتن عکس از پسرش، جستجوی "عکس سوء استفاده از کودک" در خانه او انجام شد.

خوشبختانه، وی موفق شد بی گناهی خود را به پلیس ثابت کند، اما می توانست حتی بدتر باشد - مارک می توانست حضانت کودک را از دست بدهد.

گوگل هرگز حساب های مارک را بازیابی نکرد.🤷🏼‍♀️
===============
☝🏻این را برای کسانی بفرستید که چیزی برای پنهان کردن ندارند و به شرکت ها اعتماد دارند
منبع خبر:

https://indianexpress.com/article/technology/tech-news-technology/bc-r-google-child-pictures-abridged-art-nyt-8104178/

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

مایکروسافت: هکرهای ایرانی سیستم های ویندوز را با استفاده از BitLocker رمزگذاری می کنند

مایکروسافت می‌گوید یک گروه تهدید دولتی ایرانی که با نام DEV-0270 (با نام مستعار Nemesis Kitten) ردیابی می‌کند، از ویژگی BitLocker Windows در حملات برای رمزگذاری سیستم‌های قربانیان سوء استفاده کرده است.

تیم‌های اطلاعاتی تهدید ردموند دریافتند که این گروه به سرعت از آسیب‌پذیری‌های امنیتی جدید فاش شده سوء استفاده می‌کند و به طور گسترده از باینری‌های زنده خارج از زمین (LOLBIN) در حملات استفاده می‌کند.

این با یافته‌های مایکروسافت مبنی بر اینکه DEV-0270 از BitLocker استفاده می‌کند، یک ویژگی حفاظت از داده‌ها است که رمزگذاری کامل حجم را در دستگاه‌هایی که ویندوز 10، ویندوز 11 یا ویندوز سرور 2016 و بالاتر دارند، ارائه می‌کند.


بدافزار Bumblebee ابزار پس از بهره برداری را برای نفوذ های مخفی اضافه می کند حمله GIFShell با استفاده از تیم های مایکروسافت پوسته معکوس ایجاد می کند GIFsCISA به آژانس ها دستور می دهد تا نقص های Chrome و D-Link مورد استفاده در حملات را اصلاح کنند.

CISA به آژانس‌ها دستور می‌دهد تا نقص‌های Chrome، D-Link مورد استفاده در حملات را اصلاح کنند
اطلاعات تهدید امنیتی مایکروسافت توضیح داد: "DEV-0270 با استفاده از دستورات setup.bat برای فعال کردن رمزگذاری BitLocker، که منجر به غیر فعال شدن هاست می شود، مشاهده شده است."

برای ایستگاه های کاری، این گروه از DiskCryptor استفاده می کند، یک سیستم رمزگذاری دیسک کامل منبع باز برای ویندوز که امکان رمزگذاری کل هارد دیسک دستگاه را فراهم می کند.

زمان باج گیری (TTR) بین دسترسی اولیه و یادداشت باج در سیستم های قفل شده حدود دو روز بود، و DEV-0270 مشاهده شده است که از قربانیان خواسته است تا 8000 دلار برای کلیدهای رمزگشایی پس از حملات موفقیت آمیز بپردازند.

زنجیره حمله Nemesis Kitten
زنجیره حمله DEV-0270 (مایکروسافت)
مهتابی برای منافع شخصی

ردموند می‌گوید این یک زیرگروه از گروه جاسوسی سایبری فسفر تحت حمایت ایران (با نام مستعار Charming Kitten و APT35) است که به دلیل هدف قرار دادن و جمع‌آوری اطلاعات از قربانیان برجسته مرتبط با دولت‌ها، سازمان‌های غیردولتی و سازمان‌های دفاعی در سراسر جهان شناخته می‌شود.

DEV-0270 به نظر می رسد "برای تولید درآمد شخصی یا شرکتی خاص"، بر اساس ارزیابی اعتماد پایین مایکروسافت، به نظر می رسد.

مایکروسافت بر اساس «همپوشانی‌های زیرساخت‌های متعدد» می‌گوید که این گروه توسط یک شرکت ایرانی که با دو نام مستعار شناخته می‌شود اداره می‌شود: Secnerd (secnerd[.]ir) و Lifeweb (lifeweb[.]it).

ردموند افزود: «این سازمان‌ها همچنین با ناجی فناوری هوشمند (ناجی فناوری هوشمند) واقع در کرج، ایران مرتبط هستند.

این گروه معمولاً در هدف‌یابی خود فرصت‌طلب است: بازیگر اینترنت را اسکن می‌کند تا سرورها و دستگاه‌های آسیب‌پذیر را بیابد و سازمان‌هایی را که سرورها و دستگاه‌های آسیب‌پذیر و قابل کشف دارند، مستعد این حملات می‌کند.»

از آنجایی که بسیاری از حملات DEV-0270 از آسیب‌پذیری‌های شناخته‌شده در Exchange (ProxyLogon) یا Fortinet (CVE-2018-13379) سوء استفاده کرده‌اند، به شرکت‌ها توصیه می‌شود که سرورهای اینترنتی خود را اصلاح کنند تا تلاش‌های بهره‌برداری و حملات بعدی باج‌افزار را مسدود کنند.

فعالیت مخرب مشابه مرتبط با گروه تهدید Secureworks به‌عنوان COBALT MIRAGE (با عناصری که روی گروه فسفر APT همپوشانی دارند) توسط واحد مقابله با تهدید SecureWorks (CTU) در ماه می گزارش شد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

دانشمندان ژاپنی یک سوسک سایبورگ برای کار نجات ساخته اند

دانشمندان برای این آزمایش از یک سوسک ماداگاسکار استفاده کردند که روی آن یک ماژول کنترل بی‌سیم با باتری لیتیوم پلیمری نصب کردند.

مهندسان ژاپنی شرکت تحقیقاتی Riken Cluster برای تحقیقات پیشگام، سوسک‌ها را به وسایل الکترونیکی پوشیدنی برای کنترل از راه دور حشرات مجهز کرده‌اند. عناصر رباتیک در حرکت سوسک ها دخالت نمی کنند. شرحی از فناوری حاصل در Flexible Electronics ظاهر شد.
این حشره را می توان با استفاده از یک ماژول بی سیم که توسط پنل های خورشیدی تغذیه می شود، از راه دور کنترل کرد.
طول سوسک تنها شش سانتی متر است و ماژول با یک کوله پشتی به آن متصل می شود. شکل حشره بر روی یک نمونه خاص مدل شده و بر روی یک چاپگر سه بعدی از یک پلیمر الاستیک چاپ شده است.
همانطور که توسط محققان تصور شده است، این حشره می تواند به اجسام صعب العبور فرستاده شود و از آن برای بازرسی مناطق خطرناک و همچنین برای نظارت بر محیط استفاده شود

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی مجازاست
https://t.me/ics_cert

💢وکلای ایلان ماسک: افشاگر ضعف‌های امنیتی توییتر ۷ میلیون دلار حق سکوت دریافت کرده است

به گفته وکلای ایلان ماسک، شرکت توییتر به افشاگری که از مشکلات عملیاتی در پلتفرم این رسانه‌های اجتماعی سخن به میان آورده بود ۷ میلیون دلار حق سکوت پرداخت کرده است.

پرداخت این باج در جلسه ششم سپتامبر رسیدگی به دعوای حقوقی میان شرکت توییتر و ایلان ماسک در پی اعلام انصراف مدیر عامل شرکت تسلا از خرید شبکه اجتماعی توییر به مبلغ ۴۴ میلیارد دلار مطرح شد.

جزئیات بیشتر: https://bit.ly/3RRbd4h

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

‎بدافزار جدید لینوکس مخفیکاری غیرمعمول را با مجموعه کاملی از قابلیت ها ترکیب می کند که به طور بالقوه سرورها و اینترنت اشیا را هدف قرار می دهد.

‎ محققان AT&T Alien Labs در این هفته از نوع جدیدی از بدافزار لینوکس رونمایی کردند که به دلیل پنهان کاری و پیچیدگی آن در آلوده کردن سرورهای سنتی و دستگاه های کوچکتر اینترنت اشیا قابل توجه است.

ادامه مطلب:

https://t.me/linux_news/678

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

کارشناسان امنیت سایبری هشدار می دهند که جهان به سمت یک طوفان جنایت سایبری "کامل" پیش می رود

کارشناسان امنیت سایبری میگویند که ترکیبی از تنش‌های ژئوپلیتیک فزاینده، رکود اقتصادی در آینده و فشار برای دیجیتالی کردن فرآیندهای تجاری، یک "طوفان عالی" برای هکرها ایجاد کرده است.
مایک مدیسون، مدیر اجرایی NCC گفت: دستور کار دیجیتالی کردن در پشت همه‌گیری جهانی فرصت‌های جدیدی را برای هکرها ایجاد کرده است تا راه‌های جدیدی برای نفوذ و استفاده از شرکت‌ها باز کنند.
فشار برای دیجیتالی کردن فرآیندهای تجاری در حالی صورت می گیرد که درگیری روسیه و اوکراین و بدتر شدن روابط با چین نیز منجر به افزایش حملات سایبری از سوی گروه های هکری تحت حمایت دولت شده است.

به نوبه خود، رکود جهانی در حال پیشروی نیز تهدیدی برای ایجاد انگیزه های قوی تر برای مجرمان سایبری است، زیرا افراد باهوش رایانه به طور فزاینده ای به سمت جرم روی می آورند.
یک کارشناس امنیت سایبری گفت که از زمان حمله روسیه به اوکراین در فوریه، حملات سایبری افزایش یافته است.
او گفت که افزایش حملات سایبری همچنین نتیجه افزایش تعداد افراد ماهر سایبری است که در میان گسترش گسترده ابزارهای هک بسیار کارآمد وارد تجارت می‌شوند.
وی گفت هکرهای کره شمالی نقش ویژه ای در راه اندازی حملات سایبری علیه بازیگران اصلی در بخش مالی جهانی ایفا کرده اند.
او گفت هکرهای روسی و چینی تمایل بیشتری به تمرکز بر شرکت‌ها و شرکت‌های زیرساختی دارند که دارایی‌های کلیدی با اهمیت نظامی هستند.
مدیسون خاطرنشان کرد که غالباً بین هکرهای تحت حمایت دولت و مجرمان سایبری مستقلی که یا توسط دولت استخدام می‌شوند یا صرفاً به میل خود حملاتی را علیه دشمنان ایالت‌های خود انجام می‌دهند، تفاوت قابل توجهی وجود ندارد.
وی خاطرنشان کرد که کشورهای متخاصم مایلند از کسانی که رقبای ژئوپلیتیکی آنها را هک می کنند چشم بپوشند.
رایان کالمبر، معاون اجرایی شرکت امنیت سایبری Proofpoint، گفت که "مجرمان سایبری فرصت طلب" از نوسانات سیاسی و اقتصادی سوء استفاده می کنند، زیرا او اشاره کرد که حملات در پشت جنگ در اوکراین افزایش یافته است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

تحت تعقیب FBI ده میلیون دلار جایزه!

▫️وزارت دادگستری آمریکا با صدور کیفرخواستی علیه سه شهروند ایرانی در آمریکا، آنان را متهم به انجام حملات سایبری و سوءاستفاده از آسیب‌پذیری‌های شناخته‌شده یا افشاشده در شبکه‌های مورد استفاده عمومی و برنامه‌های نرم‌افزاری کرده است. بر اساس ادعای وزارت دادگستری، مظنونان پرونده با هدف قرار دادن صدها قربانی در آمریکا و سایر کشورها و پس از دسترسی و سرقت داده های آنان، قربانیان را تهدید به انتشار داده ها در صورت عدم پرداخت باج کردند.
▫️به گفته این نهاد آمریکایی در برخی از موارد قربانیان اقدام به پرداخت باج کردند تا داده های آنان منتشر نشود. از سوی دیگر یک مقام ارشد وزارت دادگستری در گفتگو با خبرنگاران اعلام کرد که گمان نمی رود هکرها با ایران همکاری کرده باشند. وزارت خزانه‌داری آمریکا ۱۰ فرد و دو نهاد ایرانی را به اتهام انجام حملات سایبری به فهرست تحریم‌های خود افزود.

https://lnkd.in/d2g2-4zT
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

اعلام هشدار
ESET روز سه شنبه جزئیاتی درباره گروه #جاسوسی سایبری #Worok ارائه کرد که ابزارهای خود را توسعه می دهد و از ابزارهای موجود برای به خطر انداختن اهداف خود استفاده می کند. این شرکت بر این باور است که اپراتورها به دنبال سرقت اطلاعات از قربانیان خود هستند، زیرا آنها بر روی نهادهای برجسته در #آسیا و #آفریقا تمرکز می کنند و بخش های خصوصی و دولتی را هدف قرار می دهند، اما با تاکید خاص بر نهادهای دولتی.

Thibaut Passilly، محقق ESET، در یک پست وبلاگ نوشت: "زمان فعالیت و مجموعه ابزار نشان دهنده ارتباط احتمالی با TA428 است، اما ما این ارزیابی را با اطمینان کم انجام می دهیم." مجموعه ابزارهای سفارشی آنها شامل دو لودر – یکی در C++ و دیگری در C#.NET – و یک درب پشتی PowerShell است.

پاسیلی گفت که مجموعه ابزار Worok شامل یک بارگذار C++ CLRLoad، یک درب پشتی PowerShell PowHeartBeat و یک بارکننده C# PNGLoad است که از استگانوگرافی برای استخراج بارهای مخرب مخفی از فایل‌های PNG استفاده می‌کند. بر اساس تله متری ESET، Worok از اواخر سال 2020 فعال بوده است و تا زمان نگارش این مقاله همچنان فعال است.

بر اساس این گزارش، در اواخر سال 2020، Worok دولت ها و شرکت ها را در چندین کشور، از جمله یک شرکت #ارتباطات شرق آسیا، یک #بانک آسیای مرکزی، یک شرکت صنعت #دریانوردی آسیای جنوب شرقی، یک نهاد دولتی خاورمیانه و یک شرکت خصوصی در جنوب آفریقا هدف قرار داد. به پاسیلی

با این حال، وقفه قابل توجهی در عملیات مشاهده شده از ماه می سال گذشته تا ژانویه سال جاری وجود داشت. او می افزاید: «اما فعالیت Worok در سال 2022-2022 بازگشت و یک شرکت انرژی در آسیای مرکزی و یک نهاد بخش عمومی در آسیای جنوب شرقی را هدف قرار داد.

#امنیت_سایبری #سایبری_صنعتی

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

یک آسیب پذیری در پایتون که به مدت 15 سال نادیده گرفته شده بود، اکنون دوباره در کانون توجه قرار گرفته است زیرا بیش از 350000 مخزن منبع باز را تحت تأثیر قرار می دهد و می تواند منجر به RCE شود. باگی که در سال 2007 فاش شد و با برچسب CVE-2007-4559 مشخص شد، رفع نشده است. بر اساس آن، آنها فقط اسناد را بازسازی کردند که به توسعه دهندگان در مورد خطرات احتمالی در زنجیره تامین نرم افزار هشدار می داد. این آسیب پذیری بر بسته tarfile پایتون تأثیر می گذارد و به اجرای نادرست تابع tarfile.extract() مربوط می شود. این یک مشکل پیمایش مسیر است که به مهاجم اجازه می دهد تا فایل های دلخواه را بازنویسی کند. جزئیات فنی CVE-2007-4559 از زمان گزارش اولیه در آگوست 2007، بدون هیچ داده استفاده از این اشکال، در دسترس بوده است. با این حال، در سال جاری، در طول بررسی این حادثه، CVE-2007-4559 توسط Trellix Advanced Threat Research کشف شد که وی در سیستم ردیابی باگ پایتون به آن اشاره کرد و پاسخی در مورد بستن باگ با مستندات دریافت کرد. او متوجه شد که اشکال این است که کد موجود در تابع استخراج در ماژول tarfile پایتون به طور صریح به اطلاعات موجود در شی TarInfo اعتماد دارد و مسیری را که به تابع استخراج و نام در شی TarInfo ارسال می‌شود، به هم متصل می‌کند. در نهایت، به مهاجم اجازه می دهد تا به سیستم فایل دسترسی پیدا کند. با تجزیه و تحلیل وضعیت، Trellix مجموعه‌ای از 257 مخزن را که به احتمال زیاد حاوی کد آسیب‌پذیر هستند، استخراج کرد و 175 را به صورت دستی بررسی کرد و دریافت که 61 درصد از مخازن آسیب‌پذیر هستند. سپس، با استفاده از GitHub، 588840 مخزن منحصربه‌فرد را شناسایی کردند که حاوی فایل‌های وارداتی در کد پایتون است. اما چیزی که مشکل را بدتر می‌کند این است که بیش از 350000 مخزن آسیب‌پذیر از ابزارهای یادگیری ماشین (مانند GitHub Copilot) استفاده می‌کنند و کد ناامن را بدون اطلاع توسعه‌دهنده در پروژه‌های دیگر توزیع می‌کنند. Trellix یک اکسپلویت ساده برای CVE-2007-4559 در نسخه ویندوز Spyder IDE ارسال کرده است. آنها نشان دادند که این آسیب پذیری می تواند در لینوکس نیز مورد سوء استفاده قرار گیرد. آنها توانستند سرعت نوشتن فایل را افزایش دهند و در تست خدمات مدیریت زیرساخت فناوری اطلاعات Polemarch به RCE دست یابند. Trellix علاوه بر بررسی این آسیب‌پذیری و پیامدهای آن، اصلاحاتی را برای 11000 پروژه منتشر کرده است که بعداً از طریق درخواست‌های کششی اضافه خواهند کرد. علاوه بر این، برنامه ریزی شده است که بیش از 70000 پروژه نیز در چند هفته آینده اصلاح شوند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

این بازی برای اولین بار به عنوان یک داروی رسمی شناخته شد - سازمان غذا و داروی ایالات متحده (FDA) استفاده از بازی EndeavorRX Akili Interactive را به عنوان درمانی برای اختلال نقص توجه و بیش فعالی (ADHD) برای کودکان 8 تا 12 ساله تأیید کرد. - این بازی 5 آزمایش بالینی با بیش از 600 کودک را پشت سر گذاشته است. دوره درمان با بازی نیاز به انجام بازی 25 دقیقه در روز و 5 روز در هفته به مدت یک ماه است. - با تجویز پزشک، EndeavorRx برای دانلود در دستگاه های iOS و Android به عنوان مکمل برنامه درمانی فعلی فرزند شما در دسترس است. والدین همچنین می توانند پیشرفت درمان را با برنامه EndeavorRx Insight Companion دنبال کنند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

🎯تخفیف ویژه ۹۰ درصدی
ویدیوی کامل وبینار دوره آموزشی CSCU – الزامات امنیتی کاربران
لینک ثبت نام: https://eseminar.tv/wb64647
مدت وبینار: 2 ساعت

دوستانی که امکان حضور در دوره را نداشتند، علاقمندان آشنایی با اصول پایه امنیت سایبری در هر سن می‌توانند از لینک زیر ویدیو را دریافت کنند
اگر علاقه مند به سلامت سایبری دوستان و اطرافیانتان هستید ، اگر از مخاطرات فضای سایبر‌یرای آنها نگرانید ، این دوره را به آنها هدیه دهید:
‏https://eseminar.tv/wb64647

🏆 هدیه ویژه به همراهان عزیز گروه با کد تخفیف ۹۰درصدی
‏vcoach90
🛑مدت محدود

چهار آسیب پذیری در ویژگی گسترده Ethernet VLAN Stacking کشف شد.

VLAN Stacking یکی از ویژگی‌های روترها و سوئیچ‌های مدرن است که به شرکت‌ها اجازه می‌دهد چندین شناسه VLAN را در یک اتصال VLAN واحد کپسوله کنند.

آسیب‌پذیری‌هایی در پروتکل‌های کپسوله‌سازی اترنت وجود دارد که امکان انباشته شدن هدرهای شبکه محلی مجازی (VLAN) را فراهم می‌کند. یک مهاجم احراز هویت نشده می‌تواند از ترکیبی از هدرهای VLAN و LLC/SNAP برای دور زدن ویژگی‌های فیلتر شبکه L2 مانند حفاظت IPv6 RA، بازرسی دینامیک ARP، حفاظت از کشف همسایه IPv6 و ردیابی DHCP استفاده کند. نقص‌های امنیتی مجموعه‌ای از دستگاه‌های شبکه، سوئیچ‌ها و روترها و همچنین سیستم‌عامل‌هایی را که از کنترل‌های امنیتی لایه ۲ (L2) برای فیلتر کردن ترافیک و ایزوله کردن شبکه مجازی استفاده می‌کنند، تحت تأثیر قرار می‌دهد. باگ‌ها به مهاجمان اجازه می‌دهند تا حملات انکار سرویس (DoS) یا Man-in-the-Middle (MitM) را از طریق استفاده از بسته‌های ساخته‌شده خاص انجام دهند. اشکال‌ها به‌عنوان CVE-2021-27853، CVE-2021-27854، CVE-2021-27861، و CVE-2021-27862 ردیابی می‌شوند، که هر کدام نوع متفاوتی از بای‌پس برای ویژگی بازرسی بسته‌های شبکه لایه 2 هستند.
شبکه‌های سیسکو و جونیپر قبلاً تأیید کرده‌اند که تعدادی از محصولات آن‌ها تحت تأثیر آسیب‌پذیری‌ها قرار گرفته‌اند، اما بسیاری از فروشندگان دستگاه‌های دیگر هنوز تحقیقات خود را تکمیل نکرده‌اند و بر این اساس، تهدید در معرض قرار گرفتن همچنان وجود دارد

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

محققان آلمانی DCSO CyTec در مورد بدافزار جدیدی که سرورهای مایکروسافت SQL را هدف قرار می دهد هشدار می دهند.
یک درب پشتی به نام مگی قبلا صدها کامپیوتر را در سراسر جهان آلوده کرده است. داده های تله متری نشان می دهد که مگی در کره جنوبی، هند، ویتنام، چین، روسیه، تایلند، آلمان و ایالات متحده رایج است. Maggie با پرس و جوهای SQL کنترل می شود و مجموعه ای غنی از 51 دستور را اجرا می کند. درپشتی به مدیر اجازه می دهد تا به سایر سرورهای مایکروسافت SQL وارد شود و پلی به محیط شبکه سرور ایجاد کند. تجزیه و تحلیل بدافزار نشان داد که بدافزار به عنوان یک رویه ذخیره‌شده توسعه‌یافته DLL (sqlmaggieAntiVirus_64.dll) با امضای دیجیتالی توسط DEEPSoft Co. Ltd، که به نظر می رسد در کره جنوبی مستقر است. فایل‌های رویه ذخیره‌شده توسعه‌یافته با استفاده از یک API که آرگومان‌های کاربر راه دور را می‌پذیرد و با داده‌های بدون ساختار پاسخ می‌دهد، عملکرد کوئری‌های SQL را گسترش می‌دهد. دستورات پشتیبانی شده توسط Maggie به شما امکان می دهد اطلاعات سیستم را جستجو کنید، برنامه ها را راه اندازی کنید، با فایل ها و پوشه ها تعامل داشته باشید، خدمات دسکتاپ از راه دور TermService را فعال کنید، یک سرور پراکسی SOCKS5 را راه اندازی کنید و ارسال پورت را راه اندازی کنید. به عنوان بخشی از اجرای دستورات، یک مهاجم همچنین می‌تواند برای برخی اقدامات، از جمله افزودن کاربر جدید، به آسیب‌پذیری‌های شناخته شده تکیه کند. با این حال، تحلیلگران نتوانستند اکسپلویت های استفاده شده توسط مگی را به دلیل عدم وجود یک DLL اضافی آزمایش کنند. حدس زدن رمز عبور مدیر با دستورات SqlScan و WinSockScan پس از تعیین فایل لیست رمز عبور و تعداد رشته ها انجام می شود. در صورت موفقیت آمیز بودن، یک کاربر در پشتی رمزگذاری شده به سرور اضافه می شود. این بدافزار یک ویژگی ساده تغییر مسیر TCP را ارائه می دهد که به مهاجمان راه دور اجازه می دهد به هر آدرس IP قابل دسترسی توسط سرور MS-SQL آلوده متصل شوند. این بدافزار همچنین دارای یک ویژگی پروکسی SOCKS5 برای هدایت تمام بسته های شبکه از طریق پراکسی است و در صورت نیاز آن را مخفی تر می کند. در حال حاضر، برخی از جزئیات ناشناخته باقی مانده است، از جمله رفتار مگی پس از آلوده شدن، و همچنین مشخص نیست که چگونه بدافزار حتی به سرورها نفوذ می کند و چه کسی ممکن است پشت این حملات باشد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

یکی دیگر از ابزار جاسوس اندرویدی کشف شده است که به مهاجمان اجازه می دهد به مکالمات تلفنی قربانیان گوش داده و عکس های آنها را دانلود کنند.
جاسوس افزار جدید به نام RatMilad توسط متخصصان امنیت اطلاعات از Zimperium گزارش شده است.
این نرم افزار تحت پوشش برنامه های کاربردی (مانند NumRent یا Text Me) برای تولید شماره تلفن های مجازی توزیع می شود که معمولاً هنگام ثبت تعداد زیادی حساب در شبکه های اجتماعی و سایر خدمات آنلاین استفاده می شود.
بر اساس گزارش Zimperium، گروه هکر ایرانی AppMilad پشت این گسترش است و از رسانه‌های اجتماعی و خدمات پیام‌رسانی برای فریب قربانیان ادعایی برای دانلود بدافزار در دستگاه‌هایشان استفاده می‌کند.
هنگامی که یک ابزار جعلی را اجرا می کنید، تعداد زیادی مجوز درخواست می کند که به گفته کارشناسان، باید بلافاصله به کاربران هشدار دهد. این بدافزار دسترسی به لیست مخاطبین، محتوای پیام‌های SMS، میکروفون، داده‌های کلیپ‌بورد، GPS و موارد دیگر را درخواست می‌کند. پس از اینکه یک برنامه بدون فکر "اجازه بعدی" شروع به سرقت اطلاعات مربوط به حرکات قربانی، ضبط مکالمات، اسکن فایل های رسانه ای و ارسال نتایج به مهاجمان C2 کرد.

علاوه بر این، Zimperium یک کانال تلگرامی را کشف کرد که مهاجمان از آن برای انتشار بدافزار استفاده می کردند. به گفته کارشناسان، این پیام با پیوند به یک برنامه مخرب بیش از 4700 بازدید داشته و بیش از 200 بار منتشر شده است. شاخص ها نسبتاً مشروط هستند و هنوز نمی توان درجه واقعی فراگیری RatMilad را ارزیابی کرد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

✅ کشف دو آسیب‌پذیری روز صفر در مایکروسافت اکسچنچ (Microsoft Exchange)


⭕️ دو آسیب‌پذیری با نام‌های CVE-2022-41082 و CVE-2022-41040 در مایکروسافت اکس چنچ سرور کشف شدند.

به گزارش محققان امنیتی در سازمان امنیت سایبری ویتنامی GTSC، مهاجمان از آسیب‌پذیری‌های روز صفر Microsoft Exchange برای اجرای کد از راه دور استفاده می‌کنند.

مایکروسافت اعلام کرد که دو آسیب‌پذیری روز صفر جدیدی که در حملات استفاده می‌شوند، با شناسه‌های CVE-2022-41040 و CVE-2022-41082 شناسایی می‌شوند.

از این دو آسیب‌پذیری‌ برای به‌کارگیری وب شل‌های Chinese Chopper بر روی سرورهای آسیب‌پذیر و ماندگاری، سرقت داده‌ها و همچنین حرکت جانبی به سیستم‌های دیگر در شبکه قربانیان استفاده می‌شود.

#Cybersecurity
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

محققان ThreatLabz Zscaler نمونه تازه کشف شده بدافزار جدید LilithBot را به گروه Eternity (همچنین به عنوان EternityTeam یا پروژه Eternity شناخته می شود) مرتبط کرده اند.
Eternity در حال توسعه بدافزار به عنوان یک سرویس (MaaS) با همین نام است. در ماه مه، به عنوان بخشی از تحقیقات، محققان Cyble بازار Eternity Project Tor را کشف و تجزیه و تحلیل کردند که طیف گسترده‌ای از بدافزارها را برای فروش ارائه می‌دهد، از جمله دزدان، ماینرها، باج‌افزارها و ربات‌های DDoS. همانطور که مشخص شد، اپراتورها همچنین یک کانال تلگرامی با 500 مشترک دارند که برای بحث در مورد دامنه بدافزارها و به روز رسانی ها استفاده می شد. علاوه بر این، اپراتورهای پروژه به مشتریان خود اجازه می دهند تا توابع باینری را از طریق کانال تلگرام شخصی سازی کنند.
اپراتورها ماژول Stealer را به قیمت 260 دلار به عنوان اشتراک سالانه می فروشند. این به شما امکان می دهد اطلاعات حساس زیادی را از سیستم های آلوده سرقت کنید، از جمله رمز عبور، کوکی ها، کارت های اعتباری و کیف پول های رمزنگاری شده. اطلاعات سرقت شده از طریق ربات تلگرام استخراج می شود. ماژول Eternity Miner 90 دلار قیمت دارد. مشتریان می توانند آن را با استخر Monero و ویژگی های AntiVM خود راه اندازی کنند. اپراتورهای ابدیت همچنین بدافزار کلیپر را به قیمت ۱۱۰ دلار می‌فروشند که بر روی کلیپ‌بورد کیف پول‌های ارزهای دیجیتال نظارت می‌کند و آدرس کیف پول مهاجمان را جایگزین آن‌ها می‌کند. باج افزار Eternity 490 دلار و Eternity Worm 390 دلار است. به گفته Cyble، اپراتورهای پروژه Eternity همچنین در حال توسعه کدهای مخرب DDoS Bot هستند که کد را از مخزن Github قرض می گیرد. LilithBot یک بدافزار چند منظوره پیشرفته است که توسط گروه Eternity از طریق یک کانال تلگرام اختصاصی در مدل MaaS توزیع شده است که می توان آن را از طریق Tor خریداری کرد. در عین حال، مهاجمان با افزودن ویژگی‌های جدید، از جمله حفاظت از اشکال زدایی و بررسی در برابر ماشین‌های مجازی، به طور مداوم بدافزار را بهبود می‌بخشند. LilithBot می تواند تمام اطلاعات (سابقه مرورگر، کوکی ها، تصاویر و اسکرین شات ها) را از سیستم های آلوده بدزدد و سپس خود را به عنوان یک فایل فشرده در C2 آپلود کند. گزارش محقق شامل جزئیات فنی و شاخص های سازش IOC و همچنین MITER ATT&CK است.

#Cybersecurity
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

🥲 هکرها به پایگاه های امنیتی مکزیک هک کردند و اطلاعات بهداشتی رئیس جمهور این کشور را به سرقت بردند - دولت مکزیک روز جمعه 30 سپتامبر اعتراف کرد که گروهی از هکرها پرونده هایی را از وزارت دفاع دریافت کرده اند که حاوی اطلاعات محرمانه درباره سلامت رئیس جمهور 68 ساله است. آندرس مانوئل لوپز اوبرادور - به گفته این نشریه، این هک توسط گروهی از هکرها که خود را "آرا کامایا" می نامند، انجام شده است و در اسناد منتشر شده به نظر می رسد که رئیس دولت به نقرس و کم کاری تیروئید مبتلا بوده است. - رئیس جمهور مکزیک در یک کنفرانس مطبوعاتی با بیان اینکه اطلاعات منتشر شده در رسانه های محلی در مورد هک وزارت دفاع واقعی است، اطلاعات مربوط به مشکلات سلامتی خود را تایید کرد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security