یک آسیب پذیری در پایتون که به مدت 15 سال نادیده گرفته شده بود، اکنون دوباره در کانون توجه قرار گرفته است زیرا بیش از 350000 مخزن منبع باز را تحت تأثیر قرار می دهد و می تواند منجر به RCE شود. باگی که در سال 2007 فاش شد و با برچسب CVE-2007-4559 مشخص شد، رفع نشده است. بر اساس آن، آنها فقط اسناد را بازسازی کردند که به توسعه دهندگان در مورد خطرات احتمالی در زنجیره تامین نرم افزار هشدار می داد. این آسیب پذیری بر بسته tarfile پایتون تأثیر می گذارد و به اجرای نادرست تابع tarfile.extract() مربوط می شود. این یک مشکل پیمایش مسیر است که به مهاجم اجازه می دهد تا فایل های دلخواه را بازنویسی کند. جزئیات فنی CVE-2007-4559 از زمان گزارش اولیه در آگوست 2007، بدون هیچ داده استفاده از این اشکال، در دسترس بوده است. با این حال، در سال جاری، در طول بررسی این حادثه، CVE-2007-4559 توسط Trellix Advanced Threat Research کشف شد که وی در سیستم ردیابی باگ پایتون به آن اشاره کرد و پاسخی در مورد بستن باگ با مستندات دریافت کرد. او متوجه شد که اشکال این است که کد موجود در تابع استخراج در ماژول tarfile پایتون به طور صریح به اطلاعات موجود در شی TarInfo اعتماد دارد و مسیری را که به تابع استخراج و نام در شی TarInfo ارسال می‌شود، به هم متصل می‌کند. در نهایت، به مهاجم اجازه می دهد تا به سیستم فایل دسترسی پیدا کند. با تجزیه و تحلیل وضعیت، Trellix مجموعه‌ای از 257 مخزن را که به احتمال زیاد حاوی کد آسیب‌پذیر هستند، استخراج کرد و 175 را به صورت دستی بررسی کرد و دریافت که 61 درصد از مخازن آسیب‌پذیر هستند. سپس، با استفاده از GitHub، 588840 مخزن منحصربه‌فرد را شناسایی کردند که حاوی فایل‌های وارداتی در کد پایتون است. اما چیزی که مشکل را بدتر می‌کند این است که بیش از 350000 مخزن آسیب‌پذیر از ابزارهای یادگیری ماشین (مانند GitHub Copilot) استفاده می‌کنند و کد ناامن را بدون اطلاع توسعه‌دهنده در پروژه‌های دیگر توزیع می‌کنند. Trellix یک اکسپلویت ساده برای CVE-2007-4559 در نسخه ویندوز Spyder IDE ارسال کرده است. آنها نشان دادند که این آسیب پذیری می تواند در لینوکس نیز مورد سوء استفاده قرار گیرد. آنها توانستند سرعت نوشتن فایل را افزایش دهند و در تست خدمات مدیریت زیرساخت فناوری اطلاعات Polemarch به RCE دست یابند. Trellix علاوه بر بررسی این آسیب‌پذیری و پیامدهای آن، اصلاحاتی را برای 11000 پروژه منتشر کرده است که بعداً از طریق درخواست‌های کششی اضافه خواهند کرد. علاوه بر این، برنامه ریزی شده است که بیش از 70000 پروژه نیز در چند هفته آینده اصلاح شوند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

این بازی برای اولین بار به عنوان یک داروی رسمی شناخته شد - سازمان غذا و داروی ایالات متحده (FDA) استفاده از بازی EndeavorRX Akili Interactive را به عنوان درمانی برای اختلال نقص توجه و بیش فعالی (ADHD) برای کودکان 8 تا 12 ساله تأیید کرد. - این بازی 5 آزمایش بالینی با بیش از 600 کودک را پشت سر گذاشته است. دوره درمان با بازی نیاز به انجام بازی 25 دقیقه در روز و 5 روز در هفته به مدت یک ماه است. - با تجویز پزشک، EndeavorRx برای دانلود در دستگاه های iOS و Android به عنوان مکمل برنامه درمانی فعلی فرزند شما در دسترس است. والدین همچنین می توانند پیشرفت درمان را با برنامه EndeavorRx Insight Companion دنبال کنند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

🎯تخفیف ویژه ۹۰ درصدی
ویدیوی کامل وبینار دوره آموزشی CSCU – الزامات امنیتی کاربران
لینک ثبت نام: https://eseminar.tv/wb64647
مدت وبینار: 2 ساعت

دوستانی که امکان حضور در دوره را نداشتند، علاقمندان آشنایی با اصول پایه امنیت سایبری در هر سن می‌توانند از لینک زیر ویدیو را دریافت کنند
اگر علاقه مند به سلامت سایبری دوستان و اطرافیانتان هستید ، اگر از مخاطرات فضای سایبر‌یرای آنها نگرانید ، این دوره را به آنها هدیه دهید:
‏https://eseminar.tv/wb64647

🏆 هدیه ویژه به همراهان عزیز گروه با کد تخفیف ۹۰درصدی
‏vcoach90
🛑مدت محدود

چهار آسیب پذیری در ویژگی گسترده Ethernet VLAN Stacking کشف شد.

VLAN Stacking یکی از ویژگی‌های روترها و سوئیچ‌های مدرن است که به شرکت‌ها اجازه می‌دهد چندین شناسه VLAN را در یک اتصال VLAN واحد کپسوله کنند.

آسیب‌پذیری‌هایی در پروتکل‌های کپسوله‌سازی اترنت وجود دارد که امکان انباشته شدن هدرهای شبکه محلی مجازی (VLAN) را فراهم می‌کند. یک مهاجم احراز هویت نشده می‌تواند از ترکیبی از هدرهای VLAN و LLC/SNAP برای دور زدن ویژگی‌های فیلتر شبکه L2 مانند حفاظت IPv6 RA، بازرسی دینامیک ARP، حفاظت از کشف همسایه IPv6 و ردیابی DHCP استفاده کند. نقص‌های امنیتی مجموعه‌ای از دستگاه‌های شبکه، سوئیچ‌ها و روترها و همچنین سیستم‌عامل‌هایی را که از کنترل‌های امنیتی لایه ۲ (L2) برای فیلتر کردن ترافیک و ایزوله کردن شبکه مجازی استفاده می‌کنند، تحت تأثیر قرار می‌دهد. باگ‌ها به مهاجمان اجازه می‌دهند تا حملات انکار سرویس (DoS) یا Man-in-the-Middle (MitM) را از طریق استفاده از بسته‌های ساخته‌شده خاص انجام دهند. اشکال‌ها به‌عنوان CVE-2021-27853، CVE-2021-27854، CVE-2021-27861، و CVE-2021-27862 ردیابی می‌شوند، که هر کدام نوع متفاوتی از بای‌پس برای ویژگی بازرسی بسته‌های شبکه لایه 2 هستند.
شبکه‌های سیسکو و جونیپر قبلاً تأیید کرده‌اند که تعدادی از محصولات آن‌ها تحت تأثیر آسیب‌پذیری‌ها قرار گرفته‌اند، اما بسیاری از فروشندگان دستگاه‌های دیگر هنوز تحقیقات خود را تکمیل نکرده‌اند و بر این اساس، تهدید در معرض قرار گرفتن همچنان وجود دارد

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

محققان آلمانی DCSO CyTec در مورد بدافزار جدیدی که سرورهای مایکروسافت SQL را هدف قرار می دهد هشدار می دهند.
یک درب پشتی به نام مگی قبلا صدها کامپیوتر را در سراسر جهان آلوده کرده است. داده های تله متری نشان می دهد که مگی در کره جنوبی، هند، ویتنام، چین، روسیه، تایلند، آلمان و ایالات متحده رایج است. Maggie با پرس و جوهای SQL کنترل می شود و مجموعه ای غنی از 51 دستور را اجرا می کند. درپشتی به مدیر اجازه می دهد تا به سایر سرورهای مایکروسافت SQL وارد شود و پلی به محیط شبکه سرور ایجاد کند. تجزیه و تحلیل بدافزار نشان داد که بدافزار به عنوان یک رویه ذخیره‌شده توسعه‌یافته DLL (sqlmaggieAntiVirus_64.dll) با امضای دیجیتالی توسط DEEPSoft Co. Ltd، که به نظر می رسد در کره جنوبی مستقر است. فایل‌های رویه ذخیره‌شده توسعه‌یافته با استفاده از یک API که آرگومان‌های کاربر راه دور را می‌پذیرد و با داده‌های بدون ساختار پاسخ می‌دهد، عملکرد کوئری‌های SQL را گسترش می‌دهد. دستورات پشتیبانی شده توسط Maggie به شما امکان می دهد اطلاعات سیستم را جستجو کنید، برنامه ها را راه اندازی کنید، با فایل ها و پوشه ها تعامل داشته باشید، خدمات دسکتاپ از راه دور TermService را فعال کنید، یک سرور پراکسی SOCKS5 را راه اندازی کنید و ارسال پورت را راه اندازی کنید. به عنوان بخشی از اجرای دستورات، یک مهاجم همچنین می‌تواند برای برخی اقدامات، از جمله افزودن کاربر جدید، به آسیب‌پذیری‌های شناخته شده تکیه کند. با این حال، تحلیلگران نتوانستند اکسپلویت های استفاده شده توسط مگی را به دلیل عدم وجود یک DLL اضافی آزمایش کنند. حدس زدن رمز عبور مدیر با دستورات SqlScan و WinSockScan پس از تعیین فایل لیست رمز عبور و تعداد رشته ها انجام می شود. در صورت موفقیت آمیز بودن، یک کاربر در پشتی رمزگذاری شده به سرور اضافه می شود. این بدافزار یک ویژگی ساده تغییر مسیر TCP را ارائه می دهد که به مهاجمان راه دور اجازه می دهد به هر آدرس IP قابل دسترسی توسط سرور MS-SQL آلوده متصل شوند. این بدافزار همچنین دارای یک ویژگی پروکسی SOCKS5 برای هدایت تمام بسته های شبکه از طریق پراکسی است و در صورت نیاز آن را مخفی تر می کند. در حال حاضر، برخی از جزئیات ناشناخته باقی مانده است، از جمله رفتار مگی پس از آلوده شدن، و همچنین مشخص نیست که چگونه بدافزار حتی به سرورها نفوذ می کند و چه کسی ممکن است پشت این حملات باشد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

یکی دیگر از ابزار جاسوس اندرویدی کشف شده است که به مهاجمان اجازه می دهد به مکالمات تلفنی قربانیان گوش داده و عکس های آنها را دانلود کنند.
جاسوس افزار جدید به نام RatMilad توسط متخصصان امنیت اطلاعات از Zimperium گزارش شده است.
این نرم افزار تحت پوشش برنامه های کاربردی (مانند NumRent یا Text Me) برای تولید شماره تلفن های مجازی توزیع می شود که معمولاً هنگام ثبت تعداد زیادی حساب در شبکه های اجتماعی و سایر خدمات آنلاین استفاده می شود.
بر اساس گزارش Zimperium، گروه هکر ایرانی AppMilad پشت این گسترش است و از رسانه‌های اجتماعی و خدمات پیام‌رسانی برای فریب قربانیان ادعایی برای دانلود بدافزار در دستگاه‌هایشان استفاده می‌کند.
هنگامی که یک ابزار جعلی را اجرا می کنید، تعداد زیادی مجوز درخواست می کند که به گفته کارشناسان، باید بلافاصله به کاربران هشدار دهد. این بدافزار دسترسی به لیست مخاطبین، محتوای پیام‌های SMS، میکروفون، داده‌های کلیپ‌بورد، GPS و موارد دیگر را درخواست می‌کند. پس از اینکه یک برنامه بدون فکر "اجازه بعدی" شروع به سرقت اطلاعات مربوط به حرکات قربانی، ضبط مکالمات، اسکن فایل های رسانه ای و ارسال نتایج به مهاجمان C2 کرد.

علاوه بر این، Zimperium یک کانال تلگرامی را کشف کرد که مهاجمان از آن برای انتشار بدافزار استفاده می کردند. به گفته کارشناسان، این پیام با پیوند به یک برنامه مخرب بیش از 4700 بازدید داشته و بیش از 200 بار منتشر شده است. شاخص ها نسبتاً مشروط هستند و هنوز نمی توان درجه واقعی فراگیری RatMilad را ارزیابی کرد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

✅ کشف دو آسیب‌پذیری روز صفر در مایکروسافت اکسچنچ (Microsoft Exchange)


⭕️ دو آسیب‌پذیری با نام‌های CVE-2022-41082 و CVE-2022-41040 در مایکروسافت اکس چنچ سرور کشف شدند.

به گزارش محققان امنیتی در سازمان امنیت سایبری ویتنامی GTSC، مهاجمان از آسیب‌پذیری‌های روز صفر Microsoft Exchange برای اجرای کد از راه دور استفاده می‌کنند.

مایکروسافت اعلام کرد که دو آسیب‌پذیری روز صفر جدیدی که در حملات استفاده می‌شوند، با شناسه‌های CVE-2022-41040 و CVE-2022-41082 شناسایی می‌شوند.

از این دو آسیب‌پذیری‌ برای به‌کارگیری وب شل‌های Chinese Chopper بر روی سرورهای آسیب‌پذیر و ماندگاری، سرقت داده‌ها و همچنین حرکت جانبی به سیستم‌های دیگر در شبکه قربانیان استفاده می‌شود.

#Cybersecurity
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

محققان ThreatLabz Zscaler نمونه تازه کشف شده بدافزار جدید LilithBot را به گروه Eternity (همچنین به عنوان EternityTeam یا پروژه Eternity شناخته می شود) مرتبط کرده اند.
Eternity در حال توسعه بدافزار به عنوان یک سرویس (MaaS) با همین نام است. در ماه مه، به عنوان بخشی از تحقیقات، محققان Cyble بازار Eternity Project Tor را کشف و تجزیه و تحلیل کردند که طیف گسترده‌ای از بدافزارها را برای فروش ارائه می‌دهد، از جمله دزدان، ماینرها، باج‌افزارها و ربات‌های DDoS. همانطور که مشخص شد، اپراتورها همچنین یک کانال تلگرامی با 500 مشترک دارند که برای بحث در مورد دامنه بدافزارها و به روز رسانی ها استفاده می شد. علاوه بر این، اپراتورهای پروژه به مشتریان خود اجازه می دهند تا توابع باینری را از طریق کانال تلگرام شخصی سازی کنند.
اپراتورها ماژول Stealer را به قیمت 260 دلار به عنوان اشتراک سالانه می فروشند. این به شما امکان می دهد اطلاعات حساس زیادی را از سیستم های آلوده سرقت کنید، از جمله رمز عبور، کوکی ها، کارت های اعتباری و کیف پول های رمزنگاری شده. اطلاعات سرقت شده از طریق ربات تلگرام استخراج می شود. ماژول Eternity Miner 90 دلار قیمت دارد. مشتریان می توانند آن را با استخر Monero و ویژگی های AntiVM خود راه اندازی کنند. اپراتورهای ابدیت همچنین بدافزار کلیپر را به قیمت ۱۱۰ دلار می‌فروشند که بر روی کلیپ‌بورد کیف پول‌های ارزهای دیجیتال نظارت می‌کند و آدرس کیف پول مهاجمان را جایگزین آن‌ها می‌کند. باج افزار Eternity 490 دلار و Eternity Worm 390 دلار است. به گفته Cyble، اپراتورهای پروژه Eternity همچنین در حال توسعه کدهای مخرب DDoS Bot هستند که کد را از مخزن Github قرض می گیرد. LilithBot یک بدافزار چند منظوره پیشرفته است که توسط گروه Eternity از طریق یک کانال تلگرام اختصاصی در مدل MaaS توزیع شده است که می توان آن را از طریق Tor خریداری کرد. در عین حال، مهاجمان با افزودن ویژگی‌های جدید، از جمله حفاظت از اشکال زدایی و بررسی در برابر ماشین‌های مجازی، به طور مداوم بدافزار را بهبود می‌بخشند. LilithBot می تواند تمام اطلاعات (سابقه مرورگر، کوکی ها، تصاویر و اسکرین شات ها) را از سیستم های آلوده بدزدد و سپس خود را به عنوان یک فایل فشرده در C2 آپلود کند. گزارش محقق شامل جزئیات فنی و شاخص های سازش IOC و همچنین MITER ATT&CK است.

#Cybersecurity
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

🥲 هکرها به پایگاه های امنیتی مکزیک هک کردند و اطلاعات بهداشتی رئیس جمهور این کشور را به سرقت بردند - دولت مکزیک روز جمعه 30 سپتامبر اعتراف کرد که گروهی از هکرها پرونده هایی را از وزارت دفاع دریافت کرده اند که حاوی اطلاعات محرمانه درباره سلامت رئیس جمهور 68 ساله است. آندرس مانوئل لوپز اوبرادور - به گفته این نشریه، این هک توسط گروهی از هکرها که خود را "آرا کامایا" می نامند، انجام شده است و در اسناد منتشر شده به نظر می رسد که رئیس دولت به نقرس و کم کاری تیروئید مبتلا بوده است. - رئیس جمهور مکزیک در یک کنفرانس مطبوعاتی با بیان اینکه اطلاعات منتشر شده در رسانه های محلی در مورد هک وزارت دفاع واقعی است، اطلاعات مربوط به مشکلات سلامتی خود را تایید کرد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

استفاده از 0-day در ویندوز به مهاجمان اجازه می دهد تا از فایل های آفلاین مخرب امضا شده با Authenticode و اصلاح شده برای دور زدن هشدارهای امنیتی Mark-of-the-Web استفاده کنند.

قابلیت های جدید در حال حاضر در حملات باج افزار استفاده می شود. ویندوز دارای یک ویژگی امنیتی به نام Mark-of-the-Web (MoTW) است که یک فایل را به عنوان دانلود شده از اینترنت مشخص می کند. MoTW به عنوان یک جریان داده جایگزین ویژه به نام Zone.Identifier به فایل آپلود شده یا پیوست ایمیل اضافه می شود که شامل منطقه امنیتی URL، ارجاع دهنده و URL فایل است.
اخیراً، تیم اطلاعاتی تهدید HP دریافته است که مهاجمان با استفاده از فایل‌های جاوا اسکریپت توزیع شده به عنوان پیوست یا دانلود که می‌توانند خارج از مرورگر وب اجرا شوند، دستگاه‌های باج‌افزار Magniber را آلوده می‌کنند.
مگنیبر از امضای دیجیتالی با استفاده از بلوک امضای کدگذاری شده مبتنی بر خطی 64 استفاده کرد. با این حال، پس از تجزیه و تحلیل توسط Will Dormann از ANALYGENCE، مشخص شد که مهاجمان این فایل ها را با کلید اشتباه امضا کرده اند. در این حالت، فایل اجرایی امضا شده را می توان با استفاده از ویرایشگر هگز تغییر داد تا برخی از بایت ها را در قسمت امضای فایل تغییر داده و در نتیجه امضا را خراب کند. با این امضا، علیرغم اینکه فایل JS از اینترنت دانلود شده و پرچم MoTW را دریافت کرده است، مایکروسافت اخطار امنیتی نمایش نمی دهد و اسکریپت نصب Magniber به صورت خودکار اجرا می شود. Dormann استفاده از این امضای مخدوش را در فایل‌های جاوا اسکریپت آزمایش کرد و توانست فایل‌های جاوا اسکریپت اثبات مفهومی را تولید کند که هشدار MoTW را نیز دور می‌زند. درست است، به نظر او، این خطا برای اولین بار با انتشار ویندوز 10 ظاهر شد، زیرا یک دستگاه ویندوز 8.1 کاملاً اصلاح شده هشدار امنیتی MoTW را همانطور که انتظار می رفت نمایش می دهد. این مشکل به ویژگی جدید SmartScreen در Win10 مربوط می‌شود، و غیرفعال کردن آن باعث می‌شود که وقتی نکات MotW هنوز با امضاهای Authenticode ارتباطی نداشته باشد، ویندوز را به رفتار منسوخ برمی‌گرداند. دورمن PoC را با مایکروسافت به اشتراک گذاشت. توسعه دهنده گفت که آنها از مشکل کشف شده آگاه هستند - در حال بررسی است. به هر حال، 0-day یک نگرانی جدی است، زیرا مهاجمان در حال حاضر به طور فعال از آن در حملات باج افزار استفاده می کنند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

سیسکو به مشتریان خود در مورد دو آسیب پذیری در موتور خدمات هویت، از جمله یک مشکل با شدت بالا، هشدار داده است.

Davide Virruso، محقق Yoroi، کشف کرده است که رابط مدیریت وب Identity Services Engine در برابر آسیب‌پذیری دسترسی به فایل آسیب‌پذیر است.
این مشکل به عنوان CVE-2022-20822 پیگیری می شود.
یک مهاجم می تواند با ارسال یک درخواست HTTP دستکاری شده حاوی توالی کاراکترهای خاص به سیستم آسیب دیده از این آسیب پذیری سوء استفاده کند.
یک اکسپلویت موفق می تواند به یک مهاجم از راه دور احراز هویت شده اجازه دهد تا فایل ها را در دستگاه های آسیب دیده بخواند و حذف کند. سیسکو روی به‌روزرسانی‌های نرم‌افزاری کار می‌کند که باید حفره امنیتی را برطرف کند - انتظار می‌رود وصله‌ها در نوامبر 2022 و ژانویه 2023 در دسترس قرار گیرند، با این حال ممکن است در صورت درخواست، اصلاحات داغ در دسترس باشد. Virruso همچنین یک آسیب‌پذیری بین سایتی اسکریپت (XSS) را در API موتور خدمات هویتی خدمات خارجی RESTful Services (ERS) کشف کرد. این آسیب‌پذیری می‌تواند برای اجرای کد اسکریپت دلخواه با مجبور کردن کاربر احراز هویت شده برای کلیک کردن روی یک پیوند ساخته‌شده خاص مورد سوء استفاده قرار گیرد. در یک نسخه رفع شده است و ممکن است در صورت درخواست برای نسخه‌های دیگر، رفع‌های داغ در دسترس باشد. سیسکو در بولتن‌های مربوط به این آسیب‌پذیری‌ها اشاره کرد که از حملات مخرب آگاه نبود، اما اعلام کرد که PoC پس از انتشار اصلاحات نرم‌افزاری در دسترس خواهد بود.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

محققان Zscaler ThreatLabz بدافزار جدید WarHawk را کشف کرده‌اند که توسط گروه تهدید SideWinder در کمپین‌هایی که زیرساخت‌های حیاتی پاکستان را هدف قرار می‌دهند، استفاده می‌شود.

SideWinder که با نام‌های Rattlesnake، T-APT4، APT-C-17 و Razor Tiger نیز شناخته می‌شود و حداقل از سال 2012 فعال بوده است. این گروه با تعدادی از حملات به سازمان ها در سراسر آسیا و همچنین حملات به تأسیسات نظامی پاکستان اعتبار دارد.
اولین نمونه بدافزار در سپتامبر 2022، پس از اینکه متخصصان فایل ISO "32-Advisory-No-32.iso" حاوی WarHawk را دریافت کردند و در وب سایت رسمی سازمان تنظیم مقررات ملی برق پاکستان پست شد، ثبت شد.

درب پشتی شامل ماژول های مختلفی از جمله TTP های جدید است: KernelCallBackTable Injection و توانایی بررسی منطقه زمانی پاکستان. علاوه بر این، KernelCallBackTable قبلاً به طور فعال توسط APT FinFisher و Lazarus استفاده می شد. WarHawk از چهار ماژول تشکیل شده است: Download & Execute، Command Execution، File Manager InfoExfil و UploadFromC2. از طریق Download & Execute، به backdoor دستور داده می‌شود که Cobalt Strike را به‌عنوان محموله نهایی دانلود کند.
در این حملات، هکرها از فایل های ISO، کامل با یک فایل LNK، و یک فایل پی دی اف فریبنده استفاده می کنند که یک کپی از "توصیه ها" (با درب پشتی) در مورد امنیت سایبری صادر شده توسط کابینه پاکستان را نمایش می دهد.
اگرچه ART همچنین مظنون به داشتن ارتباط با ایالت هند است، گزارش ماه می توسط آزمایشگاه کسپرسکی به ناپدید شدن ویژگی‌های شناسایی اشاره کرد که قبلاً برای نسبت دادن دسته‌ای از تهدیدات به یک کشور خاص استفاده می‌شدند. محققان متوجه افزایش فعالیت SideWinder شده‌اند: تنها از آوریل 2020، هکرها بیش از 1000 حمله انجام داده‌اند. در عین حال، نه تنها فرکانس آنها قابل توجه است، بلکه زرادخانه قابل توجهی از اجزای مورد استفاده نیز وجود دارد. به عنوان مثال، در ژوئن 2022، یک مهاجم از یک اسکریپت AntiBot استفاده کرد که برای فیلتر کردن قربانیان طراحی شده بود و محیط مرورگر مشتری، به ویژه آدرس IP را بررسی کرد تا مطمئن شود هدف در پاکستان است.
در میان چیزهای دیگر، WarHawk به عنوان برنامه‌های کاربردی قانونی مانند ASUS Update Setup و Realtek HD Audio Manager ظاهر می‌شود تا هرچه بیشتر قربانیان را فریب دهد. به گفته Zscaler، پیوندهای کمپین اخیر به APT SideWinder در درجه اول به دلیل استفاده مجدد از زیرساخت است که توسط کارشناسان در حملات جاسوسی قبلی علیه پاکستان مشاهده شده است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

محققان Trend Micro در کنفرانس امنیت سایبری ICS 2022 در SecurityWeek 2022 در آتلانتا مطالعه ای را با نتایج ناامیدکننده امنیت ماشین ابزار CNC ارائه کردند.

همانطور که می دانید دستگاه های CNC برای حل طیف وسیعی از وظایف با کارایی و دقت بالایی استفاده می شوند. اینها عبارتند از آسیاب، ماشین تراش، برش پلاسما، ماشین های EDM، برش واترجت و پرس های مهر زنی.

اتوماسیون ها پیچیده تر می شوند و به کاربران این امکان را می دهند که آنها را از راه دور مدیریت کنند و با نصب افزونه ها عملکرد خود را گسترش دهند. در عین حال، افزایش قابلیت تولید تجهیزات، آنها را در برابر حملات سایبری آسیب پذیرتر می کند.

محققان Trend Micro راه حل های CNC از Haas، Okuma، Heidenhain و Fanuc را که در تولید در سراسر جهان استفاده می شود، تجزیه و تحلیل کردند. همانطور که مشخص شد، ماشین ها در برابر حدود ده ها نوع حمله آسیب پذیر هستند.

محققان نشان دادند که چگونه یک مهاجم می تواند به عملیات آسیب برساند یا مختل کند، یک ماشین را ربوده یا دارایی معنوی ارزشمند را به سرقت ببرد. با این حال، هر یک از این سناریوها پیامدهای مالی بالقوه قابل توجهی برای سازمان دارند.

به عنوان مثال، یک هکر می تواند یک ماشین یا محصول را با تغییر هندسه دستگاه یا نرم افزار کنترل کننده مختل کند و در نتیجه محصول معیوب شود.

هکرها همچنین می توانند با ایجاد هشدارهایی که عملکرد دستگاه را مسدود می کند، در فرآیند تولید دخالت کنند، که معمولاً در صورت خرابی نرم افزار یا سخت افزار رخ می دهد.

یک مهاجم با دسترسی به یک ماشین CNC و سیستم‌های مرتبط می‌تواند حملات باج‌افزاری را انجام دهد که فایل‌ها را رمزگذاری کرده و از دسترسی اپراتورها به رابط کاربری جلوگیری می‌کند.

همچنین خطر سرقت داده های مهندسی نیز وجود دارد. یک مهاجم می‌تواند برنامه‌ای را که روی یک ماشین هدف اجرا می‌شود بدزدد و سپس به راحتی آن را مهندسی معکوس کند تا کد را استخراج کند.

علاوه بر این، کنترل‌کننده‌های CNC می‌توانند اطلاعات ارزشمند مربوط به تولید را ذخیره کنند، که می‌تواند برای مهاجمانی که در جاسوسی شرکت‌ها تخصص دارند نیز مفید باشد.

به گفته محققان Trend Micro، با استفاده از سیستم‌های تشخیص نفوذ و پیشگیری از نفوذ صنعتی، بخش‌بندی شبکه‌ها، پیکربندی صحیح ماشین‌های CNC و اطمینان از به‌روزرسانی مداوم آنها، می‌توان از چنین حملاتی جلوگیری کرد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

محققان Trend Micro در کنفرانس امنیت سایبری ICS 2022 در SecurityWeek 2022 در آتلانتا مطالعه ای را با نتایج ناامیدکننده امنیت ماشین ابزار CNC ارائه کردند.

همانطور که می دانید دستگاه های CNC برای حل طیف وسیعی از وظایف با کارایی و دقت بالایی استفاده می شوند. اینها عبارتند از آسیاب، ماشین تراش، برش پلاسما، ماشین های EDM، برش واترجت و پرس های مهر زنی.

اتوماسیون ها پیچیده تر می شوند و به کاربران این امکان را می دهند که آنها را از راه دور مدیریت کنند و با نصب افزونه ها عملکرد خود را گسترش دهند. در عین حال، افزایش قابلیت تولید تجهیزات، آنها را در برابر حملات سایبری آسیب پذیرتر می کند.

محققان Trend Micro راه حل های CNC از Haas، Okuma، Heidenhain و Fanuc را که در تولید در سراسر جهان استفاده می شود، تجزیه و تحلیل کردند. همانطور که مشخص شد، ماشین ها در برابر حدود ده ها نوع حمله آسیب پذیر هستند.

محققان نشان دادند که چگونه یک مهاجم می تواند به عملیات آسیب برساند یا مختل کند، یک ماشین را ربوده یا دارایی معنوی ارزشمند را به سرقت ببرد. با این حال، هر یک از این سناریوها پیامدهای مالی بالقوه قابل توجهی برای سازمان دارند.

به عنوان مثال، یک هکر می تواند یک ماشین یا محصول را با تغییر هندسه دستگاه یا نرم افزار کنترل کننده مختل کند و در نتیجه محصول معیوب شود.

هکرها همچنین می توانند با ایجاد هشدارهایی که عملکرد دستگاه را مسدود می کند، در فرآیند تولید دخالت کنند، که معمولاً در صورت خرابی نرم افزار یا سخت افزار رخ می دهد.

یک مهاجم با دسترسی به یک ماشین CNC و سیستم‌های مرتبط می‌تواند حملات باج‌افزاری را انجام دهد که فایل‌ها را رمزگذاری کرده و از دسترسی اپراتورها به رابط کاربری جلوگیری می‌کند.

همچنین خطر سرقت داده های مهندسی نیز وجود دارد. یک مهاجم می‌تواند برنامه‌ای را که روی یک ماشین هدف اجرا می‌شود بدزدد و سپس به راحتی آن را مهندسی معکوس کند تا کد را استخراج کند.

علاوه بر این، کنترل‌کننده‌های CNC می‌توانند اطلاعات ارزشمند مربوط به تولید را ذخیره کنند، که می‌تواند برای مهاجمانی که در جاسوسی شرکت‌ها تخصص دارند نیز مفید باشد.

به گفته محققان Trend Micro، با استفاده از سیستم‌های تشخیص نفوذ و پیشگیری از نفوذ صنعتی، بخش‌بندی شبکه‌ها، پیکربندی صحیح ماشین‌های CNC و اطمینان از به‌روزرسانی مداوم آنها، می‌توان از چنین حملاتی جلوگیری کرد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

یک آسیب پذیری 22 ساله در کتابخانه پایگاه داده SQLite با سطح شدت بالا کشف شده است.
این اشکال به‌عنوان CVE-2022-35737 (امتیاز CVSS: 7.5) ردیابی می‌شود و یک مشکل سرریز محدوده‌های آرایه است. این اشکال بر نسخه های SQLite از 1.0.12 تا 3.39.1 تأثیر می گذارد.
این باگ از زمان دات‌کام‌ها تا اکتبر ۲۰۰۰ وجود داشته است. به گفته متخصصین، یک مهاجم می تواند در اجرای کد دلخواه روی یک سیستم آسیب پذیر مشکل ایجاد کند و باعث ایجاد DOS شود. کارشناسان توضیح دادند که CVE-2022-35737 در سیستم های 64 بیتی قابل استفاده است و امکان استفاده از آن به نحوه کامپایل شدن برنامه بستگی دارد.
اگر اجرای کد دلخواه در همه سناریوها اتفاق نیفتد، آنگاه انکار سرویس بهره برداری همیشه اعلام می شود.
برای سوء استفاده از خطا، مهاجمان فقط باید ورودی‌های رشته‌ای بزرگ را به پیاده‌سازی‌های SQLite توابع printf ارسال کنند، جایی که رشته قالب حاوی انواع جایگزینی %Q، %q یا %w است.
این آسیب‌پذیری به روشی مربوط می‌شود که تابع sqlite3_str_vappendf که توسط printf فراخوانی می‌شود، قالب‌بندی رشته را مدیریت می‌کند.
همچنین، اگر رشته قالب حاوی کاراکتر ویژه "!" برای فعال کردن اسکن کاراکترهای یونیکد، می توانید باعث اجرای کد دلخواه یا ایجاد شرایط DoS شوید. این احتمالاً در آن زمان دور اشتباه نبود، زیرا سیستم ها عمدتاً در معماری 32 بیتی بودند. با این حال، این باگ با انتشار نسخه 3.39.2 در 21 جولای برطرف شد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

🔴 انتشار به‌روزرسانی فوری برای رفع آسيب‌پذيری‌ روزصفر با شدت بالا در مرورگر گوگل کروم❗️

🔹 این آسیب‌پذیری با شناسه CVE-2022-3723 که به طور فعال مورد سوءاستفاده قرار گرفته است، در موتور جاوااسکریپت V8 وجود دارد.

✅ به کاربران توصیه می‌شود مرورگر کروم خود را در سیستم‌عامل‌های لینوکس و مکینتاش به نسخه‌ی 107.0.5304.87 و در ویندوز به نسخه‌ی 107.0.5304.87/.88 ارتقاء دهند.

☑️ به کاربران مرورگرهای مبتنی بر کروم مانند Microsoft Edge، Brave ،Opera و Vivaldi نیز توصیه می‌شود به محض در دسترس قرار گرفتن وصله‌های امنیتی، آن‌ها را اعمال نمایند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

نسخه جدید OpenSSL که به طور گسترده در infosec اعلام شده است، شامل اصلاحاتی برای دو آسیب پذیری با شدت بالا است. CVE-2022-3602 و CVE-2022-3786 OpenSSL نسخه 3.0.0 و بالاتر را تحت تأثیر قرار می دهند و در OpenSSL 3.0.7 ثابت شدند. اولین CVE-2022-3602 به عنوان یک سرریز بافر دلخواه پشته ای 4 بایتی توصیف شده است که می تواند باعث خرابی یا منجر به 2022-3602 شود، در حالی که CVE-2022-3786 دیگر می تواند توسط مهاجمان از طریق آدرس های ایمیل مخرب برای راه اندازی حالت و ایجاد حالت استفاده شود. CVE-20 از طریق سرریز بافر. نماینده پروژه از هیچ گونه اکسپلویت واقعی که می تواند منجر به اجرای کد از راه دور شود آگاه نیست و هیچ مدرکی دال بر سوء استفاده از این مشکلات در طبیعت ندارند. مطابق با خط مشی Open SSL، سازمان ها و مدیران فناوری اطلاعات از 25 اکتبر هشدار داده اند که محیط های خود را برای نمونه های آسیب پذیر جستجو کرده و پس از انتشار OpenSSL 3.0.7 وصله ها را اعمال کنند. OpenSSL همچنین اقدامات کاهشی را با الزام مدیرانی که با سرورهای TLS کار می‌کنند برای غیرفعال کردن احراز هویت کلاینت‌های TLS تا زمانی که وصله‌ها اعمال شوند، ارائه کرد. اگرچه هشدار اولیه برای CVE-2022-3602 بحرانی ارزیابی شد، اما از آن زمان به High تنزل داده شده است و فقط بر موارد OpenSSL 3.0 و بالاتر تأثیر می گذارد. همچنین، علیرغم اینکه برخی از کارشناسان قبلاً باگ ها را با وضعیت مشابه برابر دانسته اند. CVE-2022 - از بین بیش از 1793000 هاست آنلاین منحصربفرد یافت شده توسط Hermit، تنها 7000 دارای نسخه های آسیب پذیر هستند. شودان 16000 نمونه OpenSSL عمومی را تخمین زده است. پس از تجزیه و تحلیل استقرار در محیط‌های ابری اصلی (مانند AWS، GCP، Azure، OCI و Alibaba Cloud)، محققان Wiz.io تنها 1.5 درصد از نمونه‌های OpenSSL آسیب‌پذیر را پیدا کردند. خط آخر: هیاهوی زیادی در مورد هیچ چیز.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

مافیای چین 100000 آسیایی را گروگان گرفته و آنها را مجبور به کلاهبرداری سایبری می کند

قربانیان نجات یافته گفتند در چه شرایطی بودند و چه کردند.


سندیکای جنایی چین 100000 نفر را از سراسر آسیا به کامبوج با وعده مشاغل با درآمد خوب جذب کرده اند. به محض ورود قربانیان، گذرنامه‌های آنها مصادره می‌شود و آنها مجبور می‌شوند در شرایط خیلی سخت در حین انجام کمپین‌های مجرمانه سایبری کار کنند.
به گزارش لس آنجلس تایمز، کامبوج که اقتصاد آن به شدت تحت تاثیر این همه گیری قرار گرفته است، به مافیای چین اجازه داد تا کمپین های جرایم سایبری در مقیاس بزرگ را با استفاده از نیروی کار بدون عواقب سازماندهی کند. این امر به این دلیل است که کشور از این فعالیت درآمد خوبی دریافت می کند. کمپین های جنایی شامل کلاهبرداری های تلفنی، شرط بندی های ورزشی جعلی، کلاهبرداری های سرمایه گذاری و سایر اشکال جرایم سایبری است.
در حالی که دولت کامبوج اعتراف می کند که بیش از 100000 کارگر در این کمپین ها شرکت ندارند، اما این را رد می کند که قربانیان بر خلاف میل آنها بازداشت شده اند. با این حال، برخی از قربانیانی که از دست مجرمان سایبری نجات یافتند، از ضرب و شتم و شکنجه به دلیل عدم اجرای طرح و همچنین فروش به باندهای دیگر صحبت کردند.
ساکنان مالزی در 6 اکتبر در فرودگاه بین المللی کوالالامپور از دست قاچاقچیان در کامبوج نجات یافتند
جیکوب سیمز، مدیر منطقه ای ماموریت بین المللی عدالت کامبوج، که بسیاری از قربانیان را نجات داد، گفت که گروگان ها مجبور به انجام فشارهای سخت، برق گرفتگی، محرومیت از غذا، حبس در یک اتاق تاریک و غیره شدند. و کسانی که به اهداف و برنامه های خود دست می یابند، با آزادی بیشتر، غذا، پول و کنترل بر سایر قربانیان پاداش می گیرند.
در چند ماه گذشته، توجه بین‌المللی به این معاملات تشدید شده است و ایالات متحده اخیراً رتبه کامبوج را به پایین‌ترین سطح در شاخص قاچاق انسان کاهش داده است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

مجرمان سایبری اجازه نمی دهند به ستاره ها نگاه کنند: تلسکوپ رادیویی ALMA غیرفعال است

این رصدخانه در پی یک حمله سایبری در 29 اکتبر برای مدت نامعلومی تعطیل شده است.

بر اساس پست توییتری این رصدخانه، آرایه [آنتن] موج میلی متری بزرگ آتاکاما یا ALMA در 29 اکتبر مورد حمله سایبری قرار گرفت. این حمله سیستم های کامپیوتری رصدخانه را مختل کرد و وب سایت عمومی رصدخانه و آنتن های تلسکوپ رادیویی را از کار انداخت.
این رصدخانه در توییتی افزود: با توجه به ماهیت این حادثه، هنوز نمی توان تاریخ بازگشت به فعالیت های عادی را اعلام کرد.
ALMA یک تلسکوپ با طراحی جدید انقلابی است. این شامل 66 آنتن با دقت بالا است که برای دریافت تابش با طول موج 0.32 تا 3.6 میلی متر طراحی شده است. آرایه اصلی آن دارای 50 آنتن است که هر کدام 12 متر قطر دارند و به عنوان یک تلسکوپ تداخل سنج عمل می کنند. آرایه فشرده اختیاری شامل چهار آنتن 12 متری و دوازده متری 7 متری است. همه 66 آنتن ALMA را می توان در پیکربندی های مختلف ترکیب کرد و حداکثر فاصله بین آنتن ها از 150 متر تا 16 کیلومتر متغیر است. بنابراین، ALMA دارای یک متغیر قدرتمند "zoom" است. این تلسکوپ قادر است جهان را در طول موج‌های میلی‌متری و زیر میلی‌متری با حساسیت و وضوح بی‌سابقه، با وضوح تصویر ده برابر بهتر از وضوح ارائه شده توسط تلسکوپ فضایی هابل، کاوش کند. به گزارش رصدخانه،
از زمان کشف در سال 2013، ALMA از ALMA برای کشف بسیاری از سیارات تشکیل شده از غبار ستاره، مشاهده شراره های خورشیدی قوی در ستارگان مجاور، و به دست آوردن بینش های جدید در مورد ماهیت انفجارهای پرتو گاما استفاده کرده است. ALMA همچنین توسط اخترشناسانی که یک "نقطه داغ" را کشف کرده اند که در اطراف کمان A، یک سیاهچاله بسیار پرجرم واقع در مرکز کهکشان در حال حرکت است، استفاده شده است

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

وبینار آشنایی با الزامات ویرایش جدید ISO 27001:2022
توضیحات وبینار
تشریح دقیق تغییرات صورت گرفته در سری جدید استانداردهای سیستم مدیریت امنیت اطلاعات، با مراحل طراحی و پیاده سازی عملی نسخه جدید استاندارد نیز آشنا خواهیم شد. همچنین چگونگی گذار از سری قبلی استاندارد به سری جدید نیز از دیگر موضوعاتی است که به صورت کامل توضیح داده خواهد شد. در پایان نیز به سوالات احتمالی فراگیران پاسخ داده می شود.
 سرفصل‌های وبینار:
بررسی تغییرات صورت گرفته در سری جدید استاندارد ISMS
چگونگی گذار از نسخه 2013 به  ISO 27001: 2022
 مخاطبین:
کلیه متخصصین حوزه امنیت سایبری
کلیه علاقه مندان به حوزه ISMS
اگر سازمان شما گواهینامه ISO 27001:2013 را اخذ نموده و به دنبال مهاجرت به ورژن جدید هستید

🎯هدیه:
یک نسخه ترجمه استاندارد و دستورالعمل مهاجرت به ویرایش جدید

🗓 زمان برگزاری:
پنج شنبه ۲۶ آبان ۱۴۰۱ از ساعت ۲۰ لغایت ۲۱
مدرس دوره:
پدرام کیانی
لینک ثبت نام
https://eseminar.tv/wb85584

🎉🎊🎉🎊مژده:
از فرصت پیش آمده استفاده کنید
۱۵٪ تخفیف ویژه برای اعضای کانال
با کد تخفیف
vcoach

وبینار آشنایی با الزامات ویرایش جدید ISO 27001:2022

🗓 زمان برگزاری:
پنج شنبه ۲۶ آبان ۱۴۰۱ از ساعت ۲۰ لغایت ۲۱
مدرس دوره:
پدرام کیانی
لینک ثبت نام
https://eseminar.tv/wb85584