هکرهای کره شمالی APT37 از موتور jScript9 اینترنت اکسپلورر Zero-Day سوء استفاده کردند

هکرهای مرتبط با کره شمالی از یک آسیب پذیری اشتباه نوع روز صفر در موتور JScript9 اینترنت اکسپلورر سوء استفاده کرده اند. Google Project Zero این آسیب‌پذیری را شناسایی کرد که بر روی ویندوز 7 اما 11 و ویندوز سرور 2008 تا 2022 قبل از وصله‌هایی که مایکروسافت در نوامبر منتشر کرد تأثیر می‌گذارد. APT از این آسیب پذیری برای گسترش بدافزارهای تعبیه شده در اسناد سوء استفاده کرده است.
یادداشت ویراستار

ممکن است در این مرحله اینترنت اکسپلورر را "میراث" در نظر بگیرید. اما همچنان ممکن است برای ارائه محتوا در اسناد آفیس استفاده شود.

کره شمالی، در حالی که یک کشور نسبتاً کم بودجه است، هنوز این تیم مبتکر از افراد را دارد که راه های جالبی برای سوء استفاده از ویندوز پیدا می کنند. توانایی های فنی آنها را دست کم نگیرید. آنها هنوز هم می توانند موثر باشند. چه کسی فکر می کرد IE11 هنوز موتور رندر اصلی HTML در آفیس در سال 2022 باشد؟ انگار که گفتم IE6 برای رندر HTML در Adobe Reader استفاده می شود. این نسبتاً تکان دهنده است، اما شاید تعجب آور نباشد.

بیشتر بخوانید در:
- googleprojectzero.github.io : CVE-2022-41128: تایپ سردرگمی در موتور JScript9 اینترنت اکسپلورر
- www.zdnet.com : هکرها همچنان در حال یافتن و استفاده از نقص های اینترنت اکسپلورر هستند
- arstechnica.com : هکرهای کره شمالی بار دیگر از بیت های باقی مانده اینترنت اکسپلورر سوء استفاده می کنند
- www.theregister.com : کره شمالی با استفاده از تراژدی هالووین سئول برای سوء استفاده از اینترنت اکسپلورر روز صفر به پایین ترین سطح خود رسید.
- www.darkreading.com : APT37 از Internet Explorer Zero-Day برای انتشار بدافزار استفاده می کند
- www.govinfosecurity.com : هکرهای کره شمالی به روزهای صفر اینترنت اکسپلورر نگاه می کنند
- duo.com : کره شمالی APT37 از اینترنت اکسپلورر روز صفر استفاده کرد

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

سیسکو آسیب‌پذیری را فاش می‌کند که میان‌افزار IP Phone 7800 و سری 8800 را تحت تأثیر قرار می‌دهد.

سیسکو یک آسیب‌پذیری را در ویژگی پردازش پروتکل کشف سیسکو در میان‌افزار سیسکو IP Phone 7800 و سری 8800 افشا کرده است. مشکل در اعتبار سنجی ورودی ناکافی بسته های پروتکل کشف سیسکو دریافت شده است و می تواند برای دستیابی به اجرای کد از راه دور یا شرایط انکار سرویس مورد سوء استفاده قرار گیرد. سیسکو قصد دارد به‌روزرسانی‌هایی را برای رفع این آسیب‌پذیری منتشر کند. یک راه حل پیشنهادی غیرفعال کردن پروتکل کشف سیسکو در دستگاه های سری IP Phone 7800 و 8800 است.
یادداشت ویراستار

تا الان هیچ پچی منتشر نشده. فقط در صورتی می توانید CDP را غیرفعال کنید که LLDP را فعال کرده باشید.
این آسیب پذیری برای گوشی های سیسکو بسیار جدی به نظر می رسد. CDP پروتکلی است که به خوبی مورد استفاده قرار می گیرد و نیازی به احراز هویت ندارد و عموماً به صورت رایگان در شبکه ارسال می شود. اگر یک بسته CDP می تواند منجر به اجرای کد از راه دور شود، اکنون این دستگاه ها را وصله کنید. من نمی توانم به اندازه کافی روی این موضوع تاکید کنم، اکنون وصله کنید. من هنوز دستگاه‌های شبکه بسیار آسیب‌پذیر را بدون وصله در شبکه می‌بینم، حتی زمانی که سوءاستفاده از آن‌ها بی‌اهمیت است، و این آسیب‌پذیری بیش از ده سال است که شناخته شده است. من نمی توانم تاکید کنم که یک بسته CDP که می تواند باعث RCE شود وحشتناک است. هنگامی که شخصی در یکی از این دستگاه‌ها قرار می‌گیرد، می‌تواند به سرعت به بخش‌های دیگر شبکه بپیوندد. اگر در حال حاضر نمی توانید وصله کنید، لطفاً مطمئن شوید که این دستگاه ها در شبکه خود هستند و این شبکه ها از شبکه های داده جدا شده اند.

بیشتر بخوانید در:
- tools.cisco.com : Cisco IP Phone سری 7800 و 8800 Cisco Discovery Protocol Stack Overflow Avulnership
- www.bleepingcomputer.com : سیسکو باگ تلفن IP با شدت بالا را با کد بهره برداری فاش می کند
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کمیسر حریم خصوصی نیوزیلند می‌گوید که در حال بررسی حمله باج‌افزار فناوری اطلاعات مرکوری هستند.

کمیسر حریم خصوصی نیوزلند بیانیه‌ای درباره حمله باج‌افزار اخیر علیه Mercury IT منتشر کرده است که "گستره وسیعی از خدمات فناوری اطلاعات را به مشتریان" در سراسر کشور ارائه می‌کند. این حادثه بر سیستم‌های چندین سازمان دولتی در سراسر نیوزیلند تأثیر گذاشت.
بیشتر بخوانید در:
- www.privacy.org.nz : کمیسر حریم خصوصی اقدامی را در مورد حمله باج افزار در نظر می گیرد
- www.infosecurity-magazine.com : کمیسر حریم خصوصی NZ در مورد حمله باج افزار IT Mercury تحقیق می کند
- www.theregister.com : تعطیلات اقیانوس آرام جنوبی ممکن است توسط باج افزار نابود شود
- www.govinfosecurity.com : حمله باج افزار در نیوزلند اثرات آبشاری دارد

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

غول مجازی سازی VMware روز سه شنبه به روز رسانی های اضطراری را برای رفع سه مشکل امنیتی منتشر کرد.

یکی از آنها شامل خطای خروج از ماشین مجازی است که در مسابقه هک GeekPwn 2022 به میزبانی آزمایشگاه امنیتی Tencent Keen چین نشان داده شد.

آسیب‌پذیری فرار VM که با نام CVE-2022-31705 مستند شده است، توسط محقق Ant Security Yuhao Jiang بر روی سیستم‌هایی که محصولات VMware Fusion، ESXi و Workstation کاملاً اصلاح‌شده را اجرا می‌کنند، مورد سوء استفاده قرار گرفت.

VMware این باگ را یک آسیب‌پذیری نوشتن خارج از پشته در کنترلر USB 2.0 (EHCI) توصیف کرد. این اکسپلویت برنده جایزه برتر (https://twitter.com/danis_jiang/status/1592051275088424961) در Geekpwn شد.

با توجه به بولتن (https://www.vmware.com/security/advisories/VMSA-2022-0033.html)، VMWare به آن امتیاز CVSS 9.3 داد و هشدار داد که مهاجمی با امتیازات اداری محلی روی VM می تواند از آن سوء استفاده کند. این مسئله برای اجرای کد.

در ESXi، اکسپلویت در یک جعبه شنی VMX قرار دارد، در حالی که در Workstation و Fusion می تواند منجر به RCE در ماشینی شود که Workstation یا Fusion در آن نصب شده است.

این شرکت اصلاحاتی را منتشر کرده است که شامل چند باگ تزریق فرمان و پیمایش دایرکتوری می شود که بر VMware vRealize Network Insight (vRNI) تأثیر می گذارد.

آسیب‌پذیری در vRNI REST API نیز (https://www.vmware.com/security/advisories/VMSA-2022-0031.html) توسط VMware به عنوان Critical با حداکثر امتیاز پایه CVSSv3 9.8 رتبه‌بندی شده است، زیرا مهاجمی با دسترسی شبکه به vRNI REST API، می تواند دستورات را بدون احراز هویت اجرا کند.
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

ایلان ماسک: Neuralink تا شش ماه دیگر کار کاشت تراشه در مغز افراد را آغاز خواهد کرد

- ایلان ماسک گفت که شرکت او Neuralink آزمایش‌های بالینی تراشه‌های عصبی بی‌سیم را که قرار است در بدن انسان کاشته شوند، روی انسان‌ها در شش ماه آینده آغاز خواهد کرد.

- حوزه اصلی کاربرد Neuralink ترمیم عملکردهای آسیب دیده مغز است. علاوه بر این، این سیستم دارای پتانسیل توانمندسازی انسانی است.

- Neuralink یک فناوری بسیار تهاجمی برای اتصال یک فرد به رایانه ارائه می دهد - برای این عمل، باز کردن جمجمه و ادغام مینی الکترودها در بافت مغز ضروری است. این شرکت در تلاش است تا اطمینان حاصل کند که وسایل الکترونیکی قابل کاشت برای مدت طولانی باعث پس زدن نشوند.

به گفته ایلان ماسک، Neuralink می تواند بینایی را حتی در افراد نابینا از بدو تولد بازیابی کند. این شرکت همچنین معتقد است که دستگاه Neuralink می تواند عملکرد کامل را به یک نخاع قطع شده بازگرداند.
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

حمله Man-in-the-Disk و نحوه دفاع در برابر آن

اگر از یک دستگاه اندرویدی استفاده می کنید، پس باید از حمله Man-in-the-Disk (MitD) و خطرات ناشی از آن آگاه باشید. به طور خلاصه، به شما این امکان را می دهد که کنترل برنامه های قانونی (مثلاً محصولات Google، Yandex یا مرورگر شیائومی) را در دست بگیرید و از آنها برای تزریق برنامه های مخرب استفاده کنید. اما بیایید عمیق تر کاوش کنیم و دریابیم که حمله MitD چیست، چگونه کار می کند و چگونه در برابر آن دفاع کنیم!

حمله MitD چیست؟

Man-in-the-Disk نوعی حمله سایبری به دستگاه های اندرویدی دارای سیستم عامل اندروید است که در آن یک برنامه مخرب نصب شده توسط کاربر بر روی تلفن هوشمند یا تبلت شروع به آلوده کردن برنامه ها یا فایل های موجود در حافظه خارجی می کند. به محض اینکه قربانی برنامه مخرب را راه اندازی می کند و به آن اجازه دسترسی به حافظه خارجی را می دهد، کد مخرب راه اندازی می شود و به آن اجازه می دهد داده ها را در آن بخواند و بنویسد. این به مهاجم اجازه می‌دهد تا فایل‌ها را اصلاح یا حذف کند، کدهای مخرب را به برنامه‌های کاربردی قانونی تزریق کند یا برنامه‌ها را بدون اطلاع کاربر نصب کند.
آشنایی با اصول اولیه: Sandboxing در اندروید

سندباکس ها ستون فقرات امنیت اندروید هستند. ایده آن جدا کردن هر برنامه نصب شده و فایل های آن از سایر برنامه های نصب شده است. این کار به این صورت است: شما یک برنامه را روی دستگاه خود نصب می کنید، پس از آن فایل های آن در یک "sandbox" جداگانه قرار می گیرند که سایر برنامه ها به آن دسترسی ندارند.

ایده این است که حتی اگر یک برنامه مخرب به دستگاه اندرویدی شما وارد شود، نمی‌تواند داده‌هایی را که برنامه‌های قانونی ذخیره می‌کنند ( ورود به برنامه بانکی و رمز عبور یا مکالمات پیام‌رسان) تغییر داده و به سرقت ببرد. به این ترتیب، حتی اگر دستگاه شما بدافزار داشته باشد، داده های مهم شما ایمن می مانند.

اما هکرها در حالت آماده باش هستند و دائماً در تلاش برای " فرار از جعبه شن" هستند که گاهی اوقات موفق می شوند.
حمله Man-in-the-Disk چگونه کار می کند؟

همه چیز کاملا ساده است. اندروید علاوه بر قسمت‌هایی در سندباکس که برنامه‌ها و فایل‌های آن‌ها در آن‌ها ذخیره می‌شوند، یک فضای ذخیره‌سازی مشترک به نام External Storage دارد. برای دسترسی به آن، برنامه باید از شما اجازه بگیرد. و اگر آن را ارائه کنید، برنامه قابلیت خواندن و نوشتن داده ها را در حافظه خارجی دریافت می کند. اما هیچ چیز مشکوکی در این مورد وجود ندارد - اکنون تقریباً هر برنامه ای چنین مجوزی را درخواست می کند. علاوه بر این، بسیاری از برنامه ها از حافظه خارجی برای تبادل فایل ها با یکدیگر، برای انتقال فایل ها بین گوشی هوشمند و رایانه یا ذخیره موقت داده های دانلود شده از اینترنت استفاده می کنند.

به عنوان مثال، هنگامی که یک برنامه را به روز می کنید، افزونه های آن ابتدا در حافظه خارجی دانلود می شوند و سپس به منطقه ای جدا شده منتقل می شوند که فقط آن برنامه به آن دسترسی دارد. اینجاست که حمله MitD وارد می شود. از روشی که اندروید با حافظه خارجی کار می کند، بهره می برد. برخلاف سندباکس، هر برنامه‌ای که اجازه خواندن/نوشتن در حافظه خارجی را داشته باشد، می‌تواند فایل‌های موجود در آن را تغییر دهد. بنابراین، حتی اگر فایل های برخی از برنامه های خوب فقط به طور موقت در حافظه خارجی ذخیره شوند، یک برنامه مخرب می تواند با تزریق کد مخرب آنها را تغییر دهد.

به نظر می رسد که وقتی یک برنامه قانونی را به روز می کنید، ممکن است حتی مشکوک نباشید که به طور تصادفی بدافزار را به دستگاه خود آورده اید. و هنگامی که می خواهید یک برنامه آلوده را اجرا کنید، کد مخرب اجرا می شود و هکر کنترل دستگاه شما را به دست می گیرد.
💊چگونه از خود در برابر حمله MitD محافظت کنیم؟

هیچ چیز پیچیده ای در اینجا وجود ندارد:

دسترسی خواندن/نوشتن به حافظه خارجی را به هیچ برنامه ای که به آن نیاز ندارد ندهید.

همیشه برنامه ها را از منابع قابل اعتماد نصب کنید، سعی کنید از دانلود و نصب برنامه ها از وب سایت های شخص ثالث و فروشگاه های برنامه خودداری کنید.

سیستم عامل و برنامه های خود را به طور منظم به روز کنید تا حفاظت کلی دستگاه را بهبود بخشید.

برنامه های غیر ضروری را نصب نکنید؛

برنامه هایی را که استفاده نمی کنید حذف کنید.

یک راه حل آنتی ویروس قابل اعتماد روی دستگاه خود نصب کنید.


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

درایورهای ویندوز امضا شده توسط مایکروسافت به طور مخرب استفاده می شوند

در ماه اکتبر، محققان SentinelOne، Mandiant و Sophos به مایکروسافت اطلاع دادند که "درایورهای تایید شده توسط برنامه توسعه سخت افزار ویندوز مایکروسافت به طور مخرب در فعالیت های پس از بهره برداری استفاده می شوند." مایکروسافت چندین گواهی توسعه دهنده را باطل کرده و حساب های توسعه دهنده مرتبط را به حالت تعلیق درآورده است.
پی نوشتها:
مایکروسافت خاطرنشان می کند که تحقیقات آنها "…نشان داد که چندین حساب توسعه دهنده برای مرکز شریک مایکروسافت درگیر ارسال درایورهای مخرب برای به دست آوردن امضای مایکروسافت بودند." مایلم بشنوم که مایکروسافت برای بهبود گواهینامه نرم افزار Microsoft "Partners" چه خواهد کرد، همانطور که دیدیم اپل و گوگل باید فرآیندهای توسعه دهندگان را برای دریافت برنامه ها از طریق مکانیسم های فروشگاه برنامه خود بهبود بخشند.

به نظر می‌رسد این درایورها پس از به خطر انداختن سیستمی برای فعالیت‌های پس از بهره‌برداری استفاده شده‌اند، که به احتمال زیاد به کمپین باج‌افزار کوبا (که هیچ ارتباط شناخته‌شده‌ای با جمهوری کوبا ندارد) مرتبط است. اعمال به‌روزرسانی‌های این ماه و لغو گواهی‌های مرتبط با این توسعه‌دهندگان توسط مایکروسافت، که باید از اجرای درایورها جلوگیری کند، دو مرحله مورد نیاز برای جلوگیری از این حملات است. همچنان باید از احراز هویت قوی، پشتیبان گیری آفلاین، بخش بندی و به روز نگه داشتن موارد استفاده کنید. بولتن CISA را برای IOCها، TTPها و کاهش‌های اضافه شده بخوانید.

در چند سال گذشته افزایش قابل توجهی در حملات زنجیره تامین گزارش شده است. در این حالت درایورهای امضا شده مخرب می توانند افزایش امتیاز و توانایی حرکت در سراسر شبکه قربانی را فعال کنند. اگرچه کاربر برای اصلاح نواقص در برنامه راننده امضا شده خود به MSFT وابسته است، اما همچنان می تواند با محدود کردن توانایی مهاجم برای دسترسی اولیه به شبکه خود، از خود محافظت کند. کاربران باید پیکربندی و فرآیندهای مدیریت پچ خود را مجدداً مشاهده کنند.

بیشتر بخوانید در:
- msrc.microsoft.com : راهنمایی در مورد استفاده مخرب درایورهای امضا شده مایکروسافت
- news.sophos.com : بدافزار راننده امضا شده در زنجیره اعتماد نرم افزار به سمت بالا حرکت می کند
- www.sentinelone.com : Driving Through Defences | حملات هدفمند درایورهای مخرب مایکروسافت را تحت تأثیر قرار می دهند
- www.wired.com : باج افزار باج افزار از گواهینامه های مایکروسافت برای امضای بدافزار سوء استفاده کرد
- www.theregister.com : درایورهای ویندوز مخرب امضا شده توسط مایکروسافت که در حملات سایبری استفاده می شوند
- www.darkreading.com : درایورهای مخرب امضا شده توسط مایکروسافت، باج‌افزارهای EDR-Killers را وارد می‌کنند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

پایگاه داده InfraGard برای فروش در انجمن جرایم سایبری پیدا شد
پایگاه داده کاربران InfraGard FBI برای فروش در یک انجمن جرایم سایبری ارائه شده است. پایگاه داده حاوی اطلاعات تماس 80000 عضو بخش دولتی و خصوصی InfraGard است که در زمینه امنیت فیزیکی و سایبری در سازمان هایی که زیرساخت های حیاتی کشور را تشکیل می دهند، سمت دارند.

دو کمبود باعث شد که این دسترسی اعطا شود. اول، هویت مجری جعل هویت به اندازه کافی تأیید نشده بود، دوم، گزینه‌های MFA برای اجازه دادن به عامل دومی که هکر کنترل می‌کرد، مورد استفاده قرار گرفت. (در این مورد ایمیل کنید.) هر دوی این فرآیندها با سطح ریسک قابل قبولی اجرا شدند. اطلاعات هویتی درست بود و احتمالاً از طریق سرویس‌های آنلاین تأیید شده است، مانند برنامه‌های وام، و داشتن چندین گزینه MFA سناریوهای قفل کردن حساب را کاهش می‌دهد. هنگام اتخاذ این تصمیمات، خطرات/تهدیدهای حمله به احتمال زیاد بسیار متفاوت بودند. هنگامی که خدمات مهندسی مشابه این را انجام می دهید، تهدیدات و روندها را زیر نظر داشته باشید، تصمیمات خود را مجدداً بررسی کنید و کنترل ها را با تغییر محیط تهدید به روز کنید.

این واقعیت که داده های افراد برای فروش در یک انجمن جرایم سایبری است، جنبه نگران کننده این داستان نیست، زیرا همه داده های ما دائما خرید و فروش می شوند. نگرانی این است که مجرمان اکنون جزئیات افرادی را دارند که در یک شبکه مورد اعتماد دخیل هستند و می توانند از آن برای کلاهبرداری یا سوء استفاده از روابط اعتماد ذاتی افراد در آن شبکه سوء استفاده کنند. بنابراین یادآوری به کارکنان، به ویژه کارکنان ارشد، همیشه مفید است که همیشه مراقب ارتباطاتی که از دیگران دریافت می کنند باشند.

بسیاری از اعضای جمعیت مورد اعتماد اکثر اعضا بودند. هدف اصلی انجمن ایجاد سطح اعتماد است. این اعتماد با این نشریه کاهش می یابد. علاوه بر این، ارتباط نام، ایمیل و شرکت حساس است و ممکن است برای فریب دادن سایر اعضای شرکت در حملات مهندسی اجتماعی استفاده شود. در حالی که من در آن پایگاه داده هستم، با هیچ شرکتی مرتبط نیستم. سایت واکنش گرا نیست، بنابراین نمی توانم نمایه خود را بررسی کنم، اما فکر نمی کنم اطلاعاتی در آن وجود داشته باشد که در لینکدین موجود نباشد.

بیشتر بخوانید در:
- krebsonsecurity.com : شبکه اشتراک گذاری اطلاعات تایید شده FBI 'InfraGard' هک شد


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

NSA می گوید هکرهایی که با دولت چین ارتباط دارند از آسیب پذیری Citrix سوء استفاده می کنند

طبق مشاوره آژانس امنیت ملی ایالات متحده (NSA)، گروه هک APT5 در حال سوء استفاده از آسیب‌پذیری کنترل احراز هویت در کنترلر تحویل برنامه Citrix و محصولات دروازه است. مشاوره NSA "راهنمایی هایی را برای ارائه اقداماتی که سازمان ها می توانند برای جستجوی مصنوعات احتمالی این نوع فعالیت ها انجام دهند" ارائه می دهد. Citrix برای رفع این آسیب‌پذیری به‌روزرسانی منتشر کرده است.

بیشتر بخوانید در:
- www.citrix.com : به‌روزرسانی امنیتی حیاتی اکنون برای Citrix ADC، Citrix Gateway در دسترس است
- support.citrix.com : Citrix ADC و Citrix Gateway Security Bulletin برای CVE-2022-27518
- media.defense.gov : APT5: Citrix ADC Threat Hunting Guidance (PDF)
- www.scmagazine.com : هکرهای چینی در حال سوء استفاده از اشکال در Citrix ADC، محصولات Gateway، NSA هشدار داد
- www.theregister.com : Citrix نقص حیاتی ADC را اصلاح می کند که NSA می گوید قبلاً از سوی چین مورد حمله قرار گرفته است.
- www.cyberscoop.com : NSA می گوید هکرهای چینی به طور فعال به نقص در دستگاه شبکه پرکاربرد حمله می کنند

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

بدون شرح!!

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

هشدار جدی به کاربران LastPass: اطلاعات و داده های ذخیره رمز عبور شما اکنون در دست هکرها است

- مدیر رمز عبور LastPass به مشتریان هشدار داد که حمله سایبری به سیستم های آن در ماه اوت منجر به کپی کردن فایل های رمزگذاری شده حاوی رمز عبور توسط مهاجمان شد.

طبق گفته این شرکت، مهاجمان همچنین داده‌ها را از «خزانه مشتری» کپی کرده‌اند، فایلی که LastPass از آن برای نوشتن رمز عبور به مشتریان استفاده می‌کند.

- این بدان معنی است که مهاجمان رمز عبور کاربر دارند. اما آنها با "رمزگذاری 256 بیتی AES رمزگذاری شده اند و فقط با یک کلید رمزگذاری منحصر به فرد مشتق شده از رمز عبور اصلی هر کاربر قابل رمزگشایی هستند."


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

با کد تخفیف زیر میتوانید ویدئوی آموزشی آشنایی با الزامات ویرایش جدید ISO 27001:2022 را دریافت کنید
از شب یلدا تا ۹ دی-
­
کد تخفیف: yalda
مدرس دوره:
دکتر پدرام کیانی
لینک ثبت نام
https://eseminar.tv/wb85584

هم اکنون وصله کنید: حفره امنیتی جدی هسته لینوکس کشف شد
برای اطلاعات بیشتر:
https://t.me/linux_news/684

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

آزمایشگاه کسپرسکی گزارش می دهد که هکرهای کره شمالی BlueNoroff، بخشی از Lazarus، در حال به روز رسانی زرادخانه و روش های تحویل خود برای موج جدیدی از حملات هستند که بانک ها و شرکت های سرمایه گذاری خطرپذیر را هدف قرار می دهند.

BlueNoroff انگیزه‌های مالی روشنی دارد و در حملات سایبری متعددی که بانک‌ها، سازمان‌های ارز دیجیتال و سایر موسسات مالی را هدف قرار می‌دهند، دیده شده است.

پس از چندین ماه سکوت، این گروه حملات خود را با استفاده از بدافزار جدید، به روز رسانی روش های تحویل برای شامل انواع فایل های جدید، و همچنین راه هایی برای دور زدن حفاظت مایکروسافت Mark-of-the-Web (MotW) از سر گرفته است.

هکرها فایل‌های iso و vhd حاوی اسناد آفیس جعلی را توزیع می‌کنند و به آن‌ها اجازه می‌دهند از MotW که ویندوز معمولاً هنگام تلاش کاربر برای باز کردن یک سند دانلود شده از اینترنت نمایش می‌دهد، اجتناب کنند.

بر اساس فیشینگ، BlueNoroff سازمان‌های هدف را برای رهگیری نقل و انتقالات ارزهای دیجیتال و سرقت حساب‌های دارایی آلوده می‌کند.

به عنوان بخشی از کمپین جدید، BlueNoroff از حدود 70 دامنه به تقلید از موسسات مالی معروف استفاده کرد، با توجه به بخش ژاپنی. علاوه بر این، اهداف سازمان‌هایی را در امارات متحده عربی، ایالات متحده و ویتنام تحت پوشش قرار دادند. دامنه ها برای حملات فیشینگ که کارکنان استارت آپ را هدف قرار می دهند، استفاده شده است.

به گفته محققان Kaspersky، این گروه همچنین روش‌های جدیدی را برای بار نهایی اتخاذ کرده است، از جمله استفاده از اسکریپت‌های Visual Basic Script و Windows Batch و همچنین یک لودر جدید برای دریافت payload مرحله بعدی.

در ماه سپتامبر، یک قربانی در امارات متحده عربی توسط یک سند آفیس مخرب مورد حمله قرار گرفت که برای اتصال به یک سرور راه دور و دانلود فایل ieinstal.exe طراحی شده بود که می‌توانست از حفاظت‌های کنترل دسترسی کاربر (UAC) عبور کند.

پس از آلوده شدن، مهاجم از درب پشتی برای نصب بدافزار اضافی با امتیازات بالا استفاده کرد.

در حمله دیگری، این گروه از یک بوت لودر استفاده کرد که سیستم را برای راه حل های آنتی ویروس Avast، Avira، Bitdefender، Kaspersky، Microsoft، Sophos و Trend Micro اسکن کرد تا آنها را غیرفعال کند.

علاوه بر این، BlueNoroff از باینری‌های LOLBins و اسکریپت‌های مختلف برای نمایش سند فریبنده و استخراج مرحله بعدی استفاده کرد. همچنین یک لودر جدید از نوع اجرایی ویندوز وجود داشت که یک فایل رمز عبور جعلی ایجاد کرد و بارگذاری بارگذاری کرد.

اخیرا، این گروه تجارت مرتبط با ارزهای دیجیتال را نیز هدف قرار داده است. به گفته محققان، تغییرات در تاکتیک ها و ابزارها نشان می دهد که احتمال کاهش تعداد حملات BlueNoroff در آینده نزدیک وجود ندارد.

سازمان‌ها توصیه می‌شوند اقداماتی را برای آموزش کارکنان برای شناسایی حملات فیشینگ، انجام ممیزی‌های شبکه و حمایت گسترده از امنیت و حفاظت از نقطه پایانی انجام دهند.


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

🔻 آمریکا تحریم‌های اینترنتی را برای کاربران ایرانی لغو کرد

▫️ وزارت خزانه‌‌داری آمریکا با انتشار بیانیه‌ای، معافیت‌های اینترنتی کاربران ایرانی از تحریم‌های ایالات متحده را تشريح كرد.
▫️ تغییراتی کلیدی در مجوزهای دولتی پیشین، موسوم به مجوز‌ عمومی شماره یک ایران (General License D-1) که با هدف کمک به کاربران ایرانی در گردش اطلاعات اعمال شده است.
▫️با مجوز‌های تازه، نه تنها دسترسی کاربران ایرانی به شبکه‌های اجتماعی، ابزارهای ارتباطی، نرم‌افزارهای تماس ویدئویی، خدمات ابری، نقشه‌های آنلاین و مبتنی وب،‌ بازی‌های کامپیوتری، پلتفرم‌های آموزشی، ابزارهای ترجمه و احراز هویت، آنتی ویروس‌ها، تلفن‌های هوشمند و سیستم عامل آنها، تلفن‌های ماهواره‌ای، گجت‌های دیجیتال، سیم‌کارت، روتر، مودم، کامپیوترهای شخصی فراهم شد، بلکه ارائه خدمات شرکت‌های بزرگ ، تاثیرگذاری مانند گوگل، متا، اپل و دیگر شرکت‌های مشابه به ایرانیان نیز قانونی خواهد بود.

اختصاصی: GhostSec مسئولیت حمله اخیر ICS روسیه را بر عهده گرفته است

GhostSec مسئولیت حمله سایبری اخیر در یک نیروگاه برق روسیه را بر عهده گرفته است که با انفجاری مهیب بخش‌هایی از روسیه را در بر گرفت. حمله به نیروگاه برق آبی Gysinoozerskaya در 20 ژوئیه به دلیل فوران شدید آتش سوزی انجام شد که منجر به تعطیلی اضطراری شد.
GhostSec مسئولیت کامل حمله به سیستم کنترل صنعتی فدراسیون روسیه را بر عهده گرفته است. این حمله پاسخی به تجاوز مستمر روسیه به خاک اوکراین است. گزارش شده است که گروه تهدید طرفدار روسیه پیش از حمله به اوکراین چندین دستگاه اوکراینی را با حمله DDoS خود به خطر انداخته است. GhostSec از جمله گروه Anonymous در بیانیه‌ای رسمی اعلام کرد که به جنگ سایبری علیه روسیه تا زمانی که از خاک اوکراین عقب نشینی نکنند، ادامه خواهند داد.

GhostSec گفت که آنها در پاسخ به تجاوز مستمر روسیه به اوکراین، انفجار در نیروگاه روسیه را با موفقیت اجرا کردند. رهبر Ghostsec به نام سباستین دانته الکساندر این پیروزی را به مردم اوکراین جنگ زده تقدیم کرد و اعضای تیم خود را برای این دستاورد به حساب آورد.
وی می‌گوید: «با بیانیه‌ای در مورد حمله، می‌خواهیم بگوییم که این حمله با دقت انجام شد تا به 0 تلفات منجر شود و در عین حال آنچه را که ما می‌خواستیم برای نیروگاه ایجاد کرد. ”
او همچنین افزود که آنها ابزاری به نام KillBus را برای استفاده در حمله ای که دستگاه های Modbus را هدف قرار می دهد، کدگذاری کردند. KillBus با استخراج اطلاعات برای بازنویسی داده ها و استفاده از آن به عنوان یک دستگاه برده، به طور موثر سیستم کنترل صنعتی را به خطر انداخته است.
GhostSec همچنین بیان کرده است که این حملات یادآور این است که روسیه همچنان به خاک اوکراین حمله می کند و تا زمانی که ارتش روسیه را از اوکراین عقب نشینی نکنند، ادامه خواهد داشت
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

هشدار!!

گزارش ‎Bitdefender درباره یک جاسوس‌افزار ایرانی (20speed vpn) که در پوشش وی‌پی‌ان، اطلاعات خصوصی افراد شامل عکس‌ها، اسناد و گذرواژه‌ها را سرقت می‌کند.

به هیچ عنوان از این فیلترشکن استفاده نکنید !
#Report

https://www.bitdefender.com/blog/labs/eyespy-iranian-spyware-delivered-in-vpn-installers/

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

کشف آسیب پذیری در لینوکس Sudo
اطلاعات بیشتر و راهکارهای رفع آسیب پذیری:
https://t.me/linux_news/687

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

تحول دیجیتال در یک جعبه

امیدوارم دیدن این تیتر شما را خیلی هیجان زده نکرده باشد زیرا "تحول دیجیتال در یک جعبه" واقعی نیست.

در سال 2016، McKinsey & Company مطالعه‌ای را به اشتراک گذاشت که نشان می‌داد 𝟕𝟎٪ از تحولات دیجیتال شکست می‌خورد.

• در سال 2020، گروه مشاوره بوستون (BCG) دریافت که 𝟕𝟎٪ از پروژه‌های تحول دیجیتال از اهداف خود کوتاهی می‌کنند، حتی اگر رهبری همسو باشد.
• در سال 2021، یک مطالعه گروه اورست نشان داد که 𝟔𝟖٪ شرکت‌ها نتوانسته‌اند هیچ ارزش تجاری را از فرآیند تحول دیجیتال خود ارائه کنند.
• در سال 2021 یک مطالعه Couchbase نشان داد که 𝟖𝟐٪ از شرکت ها از پیگیری پروژه های تحول دیجیتال منع شدند و 𝟖𝟎٪ پروژه ها شکست خوردند، دچار تاخیر شدند یا کاهش یافتند.

بنابراین، پس از یافتن 4 مطالعه توسط 4 شرکت مختلف در طول 5 سال، همه اساساً یک چیز را می‌گویند. چی بهمون میده؟؟؟

متاسفانه پاسخ ساده ای برای آن وجود ندارد

اما یک موضوع مشترک در این مطالعات نشان می‌دهد که این نتایج به دلیل نقص اطلاعات نیست، بلکه به دلیل شکست در اجرا است. تحول دیجیتال واقعاً موفق مستلزم طراحی مجدد کلی از نحوه عملکرد کسب و کار شما، ایجاد درآمد، نزدیک شدن به مشکلات و حتی تعامل با کارمندان و مشتریان است. علاوه بر این، این "تحول" منجر به این می شود که کارکنان به اندازه خود شرکت نیاز به تغییر داشته باشند.

پیشنهاد من:
رهبران و مدیران یک ابتکار تحول دیجیتال، باید درک کنند و کاملاً بپذیرند که موفقیت مستلزم تغییر در رفتار و نگرش افراد درگیر است، نه فقط جایگزینی در فناوری و فرآیندها. فناوری توانمندساز تحول است، نه هدف تحول.

تحول دیجیتال باید به عنوان یک ابتکار استراتژیک در نظر گرفته شود، نه مجموعه ای از "کارها"ی تاکتیکی. این بدان معناست که نمی‌توان آن را به سادگی به دیگران اختصاص داد تا آن را تکمیل کنند – این به یک طرز فکر «همه‌جانبه» در سطح شرکت نیاز دارد که بر یک مأموریت مشترک متمرکز باشد. این بخشی از بازی طولانی است، نه یک دستاورد سالانه یا سه ماهه.

««««««««««»»»»»»»
𝙔𝙤𝙪 𝙘𝙖𝙣 𝙖𝙡𝙬𝙖𝙮𝙨 𝙘𝙤𝙣𝙩𝙖𝙘𝙩 𝙢𝙚 𝙞𝙛 𝙮𝙤𝙪 𝙣𝙚𝙚𝙙 𝙩𝙤 𝙠𝙣𝙤𝙬 𝙝𝙤𝙬 𝙗𝙚 𝙨𝙪𝙘𝙘𝙚𝙨𝙨𝙛𝙪𝙡 𝙮𝙤𝙪𝙧 𝘿𝙞𝙜𝙞𝙩𝙖𝙡 𝙟𝙤𝙪𝙧𝙣𝙚𝙮.

‎ #تحول_دیجیتال
انتشار بلامانع فقط باذکر منبع
https://t.me/digi_transformation

سیسکو رفع آسیب پذیری شدید SQL را در Unified Communications Manager (CM) و Unified Communications Manager Session Management Edition (CM SME) اعلام کرده است.

Cisco Unified CM و Unified CM SME که به عنوان پلتفرم‌های مدیریت تماس و جلسه سازمانی طراحی شده‌اند، قابلیت همکاری را برای برنامه‌هایی مانند Webex، Jabber و غیره فراهم می‌کنند و در دسترس بودن و امنیت کلی آنها را تضمین می‌کنند.

CVE-2023-20010 با امتیاز CVSS 8.1 به دلیل تأیید نادرست ورودی کاربر در رابط وب مدیریت پلت فرم است.

این اشکال به یک مهاجم از راه دور تأیید شده اجازه می دهد تا یک حمله تزریق SQL را بر روی سیستم آسیب دیده انجام دهد.

یک مهاجم می تواند با ورود به برنامه به عنوان یک کاربر با امتیازات پایین و ارسال پرس و جوهای SQL تولید شده به سیستم آسیب دیده از این آسیب پذیری سوء استفاده کند.

یک اکسپلویت موفق می تواند به مهاجم اجازه دهد تا هر داده ای را در پایگاه داده زیربنایی بخواند یا تغییر دهد یا امتیازات خود را افزایش دهد.

این اشکال Cisco Unified CM و Unified CM SME نسخه های 11.5(1)، 12.5(1) و 14 را تحت تاثیر قرار می دهد و در 12.5(1)SU7 رفع شد.

این پچ همچنین در 14SU3 قرار خواهد گرفت که برای انتشار در مارس 2023 برنامه ریزی شده است.

سیسکو همچنین به مشتریان در مورد آسیب پذیری بای پس فیلترینگ URL با شدت متوسط در نرم افزار AsyncOS Email Security Appliance (ESA) هشدار داد.

یک مهاجم از راه دور احراز هویت نشده می تواند از طریق URL ها از خطا سوء استفاده کند.

این هفته، سیسکو همچنین اعلام کرد سه باگ متوسط را در سری Expressway و TelePresence Video Communication Server (VCS) رفع کرده است.

با تأثیرگذاری بر APIها و رابط‌های مدیریت وب این محصولات، آسیب‌پذیری‌ها می‌توانند توسط یک مهاجم از راه دور تأیید شده برای نوشتن فایل‌ها یا دسترسی به داده‌های حساس در دستگاه آسیب‌دیده استفاده شوند.

همه نسخه‌های سری Expressway و TelePresence VCS قبل از 14.0.7 تحت تأثیر قرار گرفته‌اند.

سیسکو بیان می کند که از هیچ یک از این آسیب پذیری ها که در زندگی واقعی مورد سوء استفاده قرار می گیرند آگاه نیست.

اطلاعات بیشتر در مورد معایب را می توان در توصیه های امنیتی یافت.


👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

شرکت VMware وصله‌هایی را برای رفع آسیب‌پذیری‌های vRealize Log Insight منتشر کرده است که می‌تواند به مهاجمان امکان اجرای کد از راه دور در دستگاه‌های وصله‌نشده را بدهد.

vRealize Log Insight (VMware Aria Operations for Logs) ابزاری برای تجزیه و تحلیل و مدیریت لاگ های زیرساخت و برنامه ها در محیط های VMware است.

اولین CVE-2022-31703 حیاتی به عنوان یک آسیب‌پذیری پیمایش دایرکتوری توصیف می‌شود که مهاجمان می‌توانند از آن برای تزریق فایل‌ها به سیستم‌عامل دستگاه برای RCE استفاده کنند.

دومین CVE-2022-31704 یک آسیب پذیری کنترل دسترسی است که همچنین می تواند برای اجرای کد از راه دور روی دستگاه های آسیب پذیر با تزریق فایل های مخرب مورد سوء استفاده قرار گیرد.

هر دو آسیب پذیری دارای امتیاز CVSS 9.8/10 هستند و می توانند توسط مهاجمان احراز هویت نشده در حملات کم پیچیدگی که نیازی به مداخله کاربر ندارند مورد سوء استفاده قرار گیرند.

VMware همچنین یک آسیب‌پذیری deserialization (CVE-2022-31710) را که می‌توانست برای راه‌اندازی یک وضعیت DoS مورد استفاده قرار گیرد، و همچنین یک باگ افشای اطلاعات (CVE-2022-31711) را که می‌توان برای دسترسی به اطلاعات حساس جلسه یا برنامه استفاده کرد، برطرف کرد.

با انتشار VMware vRealize Log Insight 8.10.2 اشکالات برطرف شده است. با این حال، هیچ یک از اشکالات به عنوان مورد سوء استفاده در طبیعت برچسب گذاری نشدند.

علاوه بر این، VMware دستورالعمل های دقیقی را برای ارتقاء به آخرین نسخه vRealize Log Insight (اینجا) ارائه کرد و یک اصلاح موقت را به اشتراک گذاشت.

برای استفاده از آن، در هر گره vRealize Log Insight در خوشه خود، یک اسکریپت را به عنوان ریشه از طریق SSH اجرا کنید (در اینجا توسط VMware ارائه شده است)، و سپس با ثبت هر گره و پیام نصب آن، تأیید کنید که اسکریپت بای پس موفق بوده است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security