Mr. SAM
1. سرقت گسترده اعتبارنامهها (Credential Harvesting): * توکنهای احراز هویت NPM * توکنهای GitHub و OpenVSX * اعتبارنامههای Git * هدف قرار دادن ۴۹ افزونه مختلف کیف پول رمزارز (از جمله MetaMask, Phantom, Coinbase Wallet و ...) برای تخلیه داراییها.…
Poc.js
5.8 KB
این هم یک مثال واقعی از کاراکترهای نامرئی که یک محقق به صورت چشمی نمیتونه چیزی ببینه ولی درواقع شامل دستورات هست .
هم در مرورگر و هم در node قابل اجراست .
در مرورگر یک alert به شما نشون میده و در ترمینال node دستور ls اجرا میشه .
@NullError_ir
هم در مرورگر و هم در node قابل اجراست .
در مرورگر یک alert به شما نشون میده و در ترمینال node دستور ls اجرا میشه .
@NullError_ir
اکسپلویت آسیب پذیری در ویندوز سرور
این آسیب پذیری به مهاجمان اجازه میدهد تا کد دلخواه را با امتیازات سطح سیستم از طریق شبکه اجرا کنند و بهطور بالقوه کل زیرساختهای فناوری اطلاعات را به خطر بیندازند .
ویندوز سرور ۲۰۱۲
ویندوز سرور ۲۰۱۲ R2
ویندوز سرور ۲۰۱۶
ویندوز سرور ۲۰۱۹
ویندوز سرور ۲۰۲۲
ویندوز سرور ۲۰۲۲، نسخه ۲۳H2
ویندوز سرور ۲۰۲۵
@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
Gist
CVE-2025-59287
CVE-2025-59287. GitHub Gist: instantly share code, notes, and snippets.
کشف یک کمپین باجافزاری پیچیده
باجافزار Agenda (Qilin)
این حمله نشاندهنده یک تاکتیک بسیار پیشرفته و نگرانکننده است: استقرار و اجرای مستقیم یک باینری باجافزار مبتنی بر لینوکس بر روی سیستمهای میزبان ویندوزی . این رویکرد اجرای بین-پلتفرمی (Cross-Platform Execution)، بسیاری از راهحلهای امنیتی مرسوم متمرکز بر ویندوز، از جمله پلتفرمهای EDR، را دور میزند.
نکات کلیدی و یافتههای اصلی
* گروه عامل: Agenda (شناختهشده با نام Qilin)، یک عملیات باجافزار به عنوان سرویس (RaaS).
* تکنیک اصلی: اجرای باینری لینوکس بر روی ویندوز با سوءاستفاده از ابزارهای قانونی مدیریت از راه دور (RMM) و انتقال فایل.
۔ ابزارهای قانونی مورد سوءاستفاده:
۔ WinSCP: برای انتقال امن باینری لینوکس به میزبان ویندوزی.
۔ Splashtop Remote: برای اجرای مستقیم باینری لینوکس روی ویندوز.
۔ ATERA Networks (RMM): برای نصب AnyDesk.
۔ ScreenConnect: برای اجرای دستورات شناسایی.
* تاکتیکهای فرار از دفاع: استفاده از حمله BYOVD (Bring Your Own Vulnerable Driver) برای خنثیسازی ابزارهای امنیتی (AV/EDR).
* هدف اصلی: زیرساختهای پشتیبانگیری Veeam برای سرقت سیستماتیک اعتبارنامهها و حذف گزینههای بازیابی.
* قربانیشناسی: از ژانویه ۲۰۲۵، بیش از ۷۰۰ قربانی در ۶۲ کشور، با تمرکز بر بازارهای توسعهیافته (ایالات متحده، فرانسه، کانادا، بریتانیا) و صنایع با ارزش بالا (تولید، فناوری، خدمات مالی، مراقبتهای بهداشتی).
زنجیره حمله (Attack Chain) به صورت دقیق
زنجیره حمله این گروه بسیار پیچیده و چند مرحلهای است و بر پنهانکاری از طریق ابزارهای قانونی (Living-off-the-Land) و تکنیکهای پیشرفته فرار از دفاع متمرکز است.
# ۱. دسترسی اولیه (Initial Access)
* مهاجمان از طریق یک کمپین مهندسی اجتماعی پیچیده با استفاده از صفحات جعلی CAPTCHA که بر روی زیرساخت ذخیرهسازی Cloudflare R2 میزبانی شدهاند، نفوذ اولیه را به دست میآورند.
* این صفحات، کدهای جاوا اسکریپت مبهمسازیشدهای را اجرا میکنند که منجر به دانلود Information Stealer (سارق اطلاعات) بر روی سیستم قربانی میشود.
* این بدافزار، توکنهای احراز هویت، کوکیهای مرورگر و اعتبارنامههای ذخیرهشده را برداشت میکند.
* داشتن این اعتبارنامههای معتبر به مهاجمان اجازه میدهد تا MFA (احراز هویت چندعاملی) را دور بزنند و با استفاده از نشستهای (Sessions) کاربری قانونی، در شبکه حرکت جانبی کنند.
# ۲. ارتقای سطح دسترسی (Privilege Escalation)
* پس از نفوذ، مهاجمان یک SOCKS proxy DLL (مانند
socks64.dll) را مستقر میکنند.* این DLL مستقیماً با استفاده از فرآیند قانونی ویندوز (
rundll32.exe socks64.dll,rundll) در حافظه بارگذاری میشود تا شناسایی آن دشوارتر گردد.* یک حساب کاربری ادمین پشتیبان (Backdoor) با نامی موجه مانند "Supportt" ایجاد میشود (
net user Supportt ... /add و net localgroup Administrators Supportt /add).* همچنین رمز عبور حساب Administrator قانونی سیستم نیز تغییر داده میشود تا کنترل کامل حفظ گردد.
# ۳. شناسایی و نصب RMM (Discovery & RMM Installation)
* مهاجمان به طور گسترده از ابزارهای RMM قانونی برای شناسایی شبکه سوءاستفاده میکنند:
* با استفاده از ScreenConnect ، اسکریپتهای فرمان موقتی را برای شمارش Domain Trusts (
nltest /domain_trusts ) و شناسایی ادمینهای دامنه ( net group "domain admins" /domain ) اجرا میکنند.* از ابزار NetScan برای اسکن جامع شبکه استفاده میکنند.
* آنها از ایجنت ATERA Networks برای نصب AnyDesk (نسخه ۹.۰.۵) بهره میبرند.
* استفاده همزمان از ATERA، AnyDesk و ScreenConnect به آنها قابلیتهای دسترسی از راه دور اضافی و قانونی (از دید سیستمهای مانیتورینگ) میدهد.
# ۴. دسترسی به اعتبارنامهها (Credential Access)
* این مرحله یکی از حیاتیترین بخشهای حمله است. مهاجمان به طور خاص زیرساخت پشتیبانگیری Veeam را هدف قرار میدهند.
* آنها اسکریپتهای PowerShell با پیلودهای Base64-encoded را اجرا میکنند.
* این اسکریپتها مستقیماً دیتابیسهای SQL سرور Veeam را هدف قرار میدهند (مانند
[VeeamBackup].[dbo].[Credentials]) تا اعتبارنامههای ذخیرهشده را استخراج و رمزگشایی کنند.* از این طریق، آنها به مجموعهای جامع از اعتبارنامههای حساس، از جمله ادمینهای دامنه، حسابهای سرویس (svc-sql-*** , DOMAIN\veeam-svc-*** ) و ادمینهای محلی سرورهای حیاتی (کنترلرهای دامنه، سرورهای Exchange ، پایگاههای داده) دست مییابند.
Please open Telegram to view this post
VIEW IN TELEGRAM
Mr. SAM
# ۵. فرار از دفاع (Defense Evasion)
* مهاجمان از تکنیک پیشرفته BYOVD (Bring Your Own Vulnerable Driver) برای غیرفعال کردن راهحلهای امنیتی استفاده میکنند.
* آنها ابزارهایی مانند
* این درایور که دارای امضای دیجیتال یک شرکت چینی توسعهدهنده بازی ("Thumb World (Beijing) Network Technology Co., Ltd.") است، قابلیتهایی برای خاتمه دادن اجباری به فرآیندها (مانند فرآیندهای AV و EDR) از طریق ایجاد Thread در سطح کرنل دارد.
* علاوه بر این، یک کامپوننت دیگر به نام msimg32.dll شناسایی شد که از طریق تکنیک DLL Sideloading (با استفاده از یک فایل اجرایی قانونی مانند
۔
۔
* این دو درایور پیش از این در کمپینهای باجافزار Akira برای دستیابی به دسترسی سطح کرنل و خاتمه دادن به EDR ها مشاهده شده بودند.
# ۶. حرکت جانبی و C&C
* برای حرکت جانبی به سیستمهای لینوکسی در محیط، مهاجمان کلاینتهای PuTTY SSH را با نامهای تغییریافته (مانند
* برای ارتباطات Command and Control، آنها چندین نمونه از بکدور COROXY (که یک SOCKS proxy DLL است) را در دایرکتوریهای نرمافزارهای قانونی مانند
مرحله نهایی: استقرار پیلود کراس-پلتفرم
این بخش، نوآورانهترین بخش حمله است:
1. انتقال فایل: مهاجمان از
2. اجرا: آنها از سرویس مدیریت Splashtop Remote (به طور خاص فایل
این تکنیک بسیار مؤثر است زیرا اکثر راهحلهای EDR و مکانیسمهای کنترلی ویندوز برای نظارت یا جلوگیری از اجرای یک باینری لینوکسی (که توسط یک ابزار مدیریت از راه دور قانونی فراخوانی شده) پیکربندی نشدهاند.
تحلیل واریانت لینوکس باجافزار
باینری لینوکس مورد استفاده نیز بسیار پیشرفته و قابل تنظیم است:
* اجرا با پسورد: برای اجرا حتماً به یک رمز عبور از طریق آرگومان خط فرمان نیاز دارد.
* پارامترهای گسترده: دارای آپشنهای خط فرمان جامع برای حالت دیباگ (
* هدفگیری VMware: پیکربندی باجافزار به طور خاص مسیرهای حیاتی VMware ESXi مانند
* تشخیص OS: واریانتهای قدیمیتر قابلیت تشخیص FreeBSD، VMkernel (ESXi) و توزیعهای استاندارد لینوکس را داشتند.
* هدفگیری جدید (Nutanix): نمونههای جدیدتر، قابلیت تشخیص Nutanix AHV را نیز اضافه کردهاند که نشان میدهد مهاجمان در حال گسترش هدفگیری خود به سمت پلتفرمهای زیرساخت ابر همگرا (Hyperconverged Infrastructure) فراتر از VMware هستند.
@NullError_ir
* مهاجمان از تکنیک پیشرفته BYOVD (Bring Your Own Vulnerable Driver) برای غیرفعال کردن راهحلهای امنیتی استفاده میکنند.
* آنها ابزارهایی مانند
2stX.exe و Or2.exe را مستقر میکنند که از یک درایور آسیبپذیر به نام eskle.sys بهره میبرد.* این درایور که دارای امضای دیجیتال یک شرکت چینی توسعهدهنده بازی ("Thumb World (Beijing) Network Technology Co., Ltd.") است، قابلیتهایی برای خاتمه دادن اجباری به فرآیندها (مانند فرآیندهای AV و EDR) از طریق ایجاد Thread در سطح کرنل دارد.
* علاوه بر این، یک کامپوننت دیگر به نام msimg32.dll شناسایی شد که از طریق تکنیک DLL Sideloading (با استفاده از یک فایل اجرایی قانونی مانند
FoxitPDFReader.exe ) ، دو درایور مخرب دیگر را در مسیر %TEMP% رها میکند:۔
rwdrv.sys۔
hlpdrv.sys* این دو درایور پیش از این در کمپینهای باجافزار Akira برای دستیابی به دسترسی سطح کرنل و خاتمه دادن به EDR ها مشاهده شده بودند.
# ۶. حرکت جانبی و C&C
* برای حرکت جانبی به سیستمهای لینوکسی در محیط، مهاجمان کلاینتهای PuTTY SSH را با نامهای تغییریافته (مانند
test.exe , 1.exe , 2.exe) مستقر میکنند.* برای ارتباطات Command and Control، آنها چندین نمونه از بکدور COROXY (که یک SOCKS proxy DLL است) را در دایرکتوریهای نرمافزارهای قانونی مانند
Veeam ، VMware و Adobe قرار میدهند تا ترافیک مخرب خود را در میان ارتباطات عادی شبکه پنهان کنند.مرحله نهایی: استقرار پیلود کراس-پلتفرم
این بخش، نوآورانهترین بخش حمله است:
1. انتقال فایل: مهاجمان از
WinSCP.exe (ابزار قانونی انتقال فایل) استفاده میکنند تا باینری باجافزار لینوکس (مثلاً mmh_linux_x86-64) را به دسکتاپ سیستم ویندوزی منتقل کنند.2. اجرا: آنها از سرویس مدیریت Splashtop Remote (به طور خاص فایل
SRManager.exe) سوءاستفاده میکنند تا مستقیماً فایل باینری لینوکس (mmh_linux_x86-64) را بر روی خود سیستمعامل ویندوز اجرا کنند.این تکنیک بسیار مؤثر است زیرا اکثر راهحلهای EDR و مکانیسمهای کنترلی ویندوز برای نظارت یا جلوگیری از اجرای یک باینری لینوکسی (که توسط یک ابزار مدیریت از راه دور قانونی فراخوانی شده) پیکربندی نشدهاند.
تحلیل واریانت لینوکس باجافزار
باینری لینوکس مورد استفاده نیز بسیار پیشرفته و قابل تنظیم است:
* اجرا با پسورد: برای اجرا حتماً به یک رمز عبور از طریق آرگومان خط فرمان نیاز دارد.
* پارامترهای گسترده: دارای آپشنهای خط فرمان جامع برای حالت دیباگ (
-d)، سطوح لاگ (-l)، تعیین مسیر (-p) ، پیکربندی لیست سفید و پارامترهای کنترل رمزگذاری است. همچنین شامل تأخیر زمانی (-t) برای اجرای با تأخیر و حالت "yes" (-y) برای عملیات خودکار است.* هدفگیری VMware: پیکربندی باجافزار به طور خاص مسیرهای حیاتی VMware ESXi مانند
/vmfs/ ، /dev/ و /lib64/ را هدف قرار میدهد و در عین حال دایرکتوریهای سیستمی حیاتی را مستثنی میکند.* تشخیص OS: واریانتهای قدیمیتر قابلیت تشخیص FreeBSD، VMkernel (ESXi) و توزیعهای استاندارد لینوکس را داشتند.
* هدفگیری جدید (Nutanix): نمونههای جدیدتر، قابلیت تشخیص Nutanix AHV را نیز اضافه کردهاند که نشان میدهد مهاجمان در حال گسترش هدفگیری خود به سمت پلتفرمهای زیرساخت ابر همگرا (Hyperconverged Infrastructure) فراتر از VMware هستند.
@NullError_ir
❤1
Mr. SAM
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - TwoSevenOneT/EDR-Redir: EDR-Redir : a tool used to redirect the EDR's folder to another location.
EDR-Redir : a tool used to redirect the EDR's folder to another location. - TwoSevenOneT/EDR-Redir
👍1
Please open Telegram to view this post
VIEW IN TELEGRAM
Chuong Dong
LockBit Ransomware v4.0
Malware Analysis Report - LockBit Ransomware v4.0
اکسپلویت نوشته شده با Rust برای آسیبپذیری CVE-2018-9995
شودان 🤔
"GNU rsp/1.0" geo:"xx.xxxx, xx.xxxx, 3"
@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - 0xDamian/CVE-2018-9995-rs: POC of CVE-2018-9995 written in Rust.
POC of CVE-2018-9995 written in Rust. Contribute to 0xDamian/CVE-2018-9995-rs development by creating an account on GitHub.
Free Windows software
Detect packer , compiler , protector , .NET obfuscator , PUA application
or
Binary packed data : rar , zip , iso , 7zip , zx , sqz , lz4 , img , ...
@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - ExeinfoASL/ASL: Free Windows Detector Software
Free Windows Detector Software. Contribute to ExeinfoASL/ASL development by creating an account on GitHub.
بدافزار RondoDox نسخه دوم :
استفاده از ۷۵ اکسپلویت مجزا که نشان دهنده افزایش چند صد درصدی نسبت به نسخه اول این بدافزار است . تمرکز بدافزار از DVR و روترها ، به برنامههای کاربردی سازمانی گسترش یافته است .
اطلاعات بیشتر ...
@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
Beelzebub
RondoDox v2: Evolution of RondoDox Botnet with 650% More Exploits | AI deception platform
AI deception platform: Deceive, Detect, Respond. “You can’t defend. You can’t prevent. The only thing you can do is detect and respond.” Bruce Schneier. We turn that hard truth into your tactical advantage. Our AI-based decoys, built using our open-source…
بدافزار SleepyDuck : یک تروجان (RAT) پیشرفته که به طور خاص ابزارهایی مانند Cursor و Windsurf را هدف قرار میدهد و از یک قرارداد هوشمند اتریوم برای ماندگاری و (C&C) خود استفاده میکند.
بخوانید ...
@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
Secure Annex
SleepyDuck malware invades Cursor through Open VSX
The advanced SleepyDuck IDE extension RAT uses Ethereum contracts for persistence.
❤1
یکی از جذاب ترین خبر برای باری کسانی که #باگبانتی کار میکنند یا علاقه دارند به این موضوع
مجموعهای از ایجنت های هوش مصنوعیبه اسم Strix که مثل یک هکر واقعی عمل میکنن! کد شما رو بهصورت پویا اجرا میکنن، حفرههای امنیتی رو پیدا میکنن، و حتی با نمونهی واقعی (Proof-of-Concept) اونها رو تأیید میکنه!
ادامه ...
@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
X (formerly Twitter)
POURYA (@TheRealPourya) on X
یکی از جذاب ترین خبر برای باری کسانی که #باگبانتی کار میکنند یا علاقه دارند به این موضوع
مجموعهای از ایجنت های هوش مصنوعیبه اسم Strix که مثل یک هکر واقعی عمل میکنن! کد شما رو بهصورت پویا اجرا میکنن، حفرههای امنیتی رو پیدا میکنن، و حتی با نمونهی…
مجموعهای از ایجنت های هوش مصنوعیبه اسم Strix که مثل یک هکر واقعی عمل میکنن! کد شما رو بهصورت پویا اجرا میکنن، حفرههای امنیتی رو پیدا میکنن، و حتی با نمونهی…
❤1
A dependency‑free Python3 Command & Control framework for redteam persistence, built to run on systems without installing packages. It comprises a Flask team server, an Electron operator GUI, and a single‑file Python agent that communicates over HTTP/HTTPS using configurable AES‑encrypted JSON messages. Use it to execute commands, manage files, maintain access, and create SSH reverse tunnels from compromised systems
@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - boku7/venom: Venom C2 is a dependency‑free Python3 Command & Control framework for redteam persistence
Venom C2 is a dependency‑free Python3 Command & Control framework for redteam persistence - boku7/venom
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - francescopace/espectre: 🛜 ESPectre 👻 - Motion detection system based on Wi-Fi spectre analysis (CSI), with Home Assistant…
🛜 ESPectre 👻 - Motion detection system based on Wi-Fi spectre analysis (CSI), with Home Assistant integration. - francescopace/espectre
Forwarded from 🕸 Articles
JS for Hacker-Volume 1.pdf
9.2 MB
Forwarded from 🕸 Articles
این کتاب رایگان هست و هیچ قیمتی براش نذاشتم. اما اگه دوست داشتید از من حمایت کنید، میتونید از این لینک استفاده کنید:
https://daramet.com/web_articles
همچنین میتونید با به اشتراک گذاشتن کتاب، کمک کنید که بیشتر دیده بشه.
https://daramet.com/web_articles
همچنین میتونید با به اشتراک گذاشتن کتاب، کمک کنید که بیشتر دیده بشه.
Daramet
درگاه حمایت مالی دارمت
درگاه حمایت مالی دارمت به شما کمک میکنه از مخاطب ها، دنبال کنندهها و طرفدارات با امکانات گسترده دونیت دریافت کنی.
Mr. SAM
Photo
VMProtect PE Unpacker.exe
7.9 MB
ظاهرا ابزار جدیدی ( VMPUnpacker ) در فرومهای چینی معرفی شده که قابل قبول کار میکنه ... ( در محیط آزمایشگاهی تست کنید )
@NullError_ir
Please open Telegram to view this post
VIEW IN TELEGRAM
Visual Studio 2026 is here
Keys:
Professional: NVTDK-QB8J9-M28GR-92BPC-BTHXK
Enterprise: VYGRN-WPR22-HG4X3-692BF-QGT2V
Please open Telegram to view this post
VIEW IN TELEGRAM
Microsoft News
Visual Studio 2026 is here: faster, smarter, and a hit with early adopters
Dear developers, We’re thrilled to announce that Visual Studio 2026 is now generally available! This is a moment we’ve built side by side with you. Your feedback has helped shape this release more than any before. Since the introduction of the Insiders Channel…