مهندسی اجتماعی.pdf
2.7 MB
SOCIAL ENGINEERING
❤5👍1
Forwarded from pooriya
❤6
☄️JSRecon-Buddy - A simple browser extension to quickly find interesting security-related information on a webpage.
🔴https://github.com/TheArqsz/JSRecon-Buddy
⭐️ @Zerosec_team
🔴https://github.com/TheArqsz/JSRecon-Buddy
⭐️ @Zerosec_team
❤3
CVE2025-9061
CVE2025-9377
یه باگ خیلی خفن (Zero-Day) توی بعضی از روترهای TP-Link پیدا شده. این باگ توی بخشی به اسم CWMP / TR-069 هست؛ این پروتکل برای مدیریت از راه دوره (یعنی شرکت ISP یا خودت بتونی از راه دور روتر رو کنترل کنی).
حالا مشکل اینه که این کد اونقدر بد پیادهسازی شده که هکر میتونه با یه درخواست خاص باعث بافر اورفلو بشه. یعنی دادهها از ظرفیت حافظه بپرن بیرون و هکر کنترل سیستم رو بگیره → در نتیجه Remote Code Execution (اجرای کد دلخواه) بهدست میاد.
🔹چرا مهمه؟
این باگ فقط تئوری نیست؛ الان واقعا داره استفاده میشه. یه سری گروههای هکری اومدن از این باگ استفاده کردن، روترها رو گرفتن و واردشون شدن.
بعد هم روترها رو بردن توی یه باتنت بزرگ (مثلا باتنتهایی مثل Quad7) و ازشون برای کارای کثیف مثل password spraying روی Microsoft 365 استفاده کردن.
قشنگ تبدیل شدن به سرباز اجارهای برای هکرها.
🔹 کدوم روترها آسیبپذیرن؟
مدلهایی مثل:
Archer C7
TL-WR841N/ND
SR20 و چند مدل قدیمیتر
https://blog.byteray.co.uk/exploiting-zero-day-cve-2025-9961-in-the-tp-link-ax10-router-8745f9af9c46
CVE2025-9377
یه باگ خیلی خفن (Zero-Day) توی بعضی از روترهای TP-Link پیدا شده. این باگ توی بخشی به اسم CWMP / TR-069 هست؛ این پروتکل برای مدیریت از راه دوره (یعنی شرکت ISP یا خودت بتونی از راه دور روتر رو کنترل کنی).
حالا مشکل اینه که این کد اونقدر بد پیادهسازی شده که هکر میتونه با یه درخواست خاص باعث بافر اورفلو بشه. یعنی دادهها از ظرفیت حافظه بپرن بیرون و هکر کنترل سیستم رو بگیره → در نتیجه Remote Code Execution (اجرای کد دلخواه) بهدست میاد.
🔹چرا مهمه؟
این باگ فقط تئوری نیست؛ الان واقعا داره استفاده میشه. یه سری گروههای هکری اومدن از این باگ استفاده کردن، روترها رو گرفتن و واردشون شدن.
بعد هم روترها رو بردن توی یه باتنت بزرگ (مثلا باتنتهایی مثل Quad7) و ازشون برای کارای کثیف مثل password spraying روی Microsoft 365 استفاده کردن.
قشنگ تبدیل شدن به سرباز اجارهای برای هکرها.
🔹 کدوم روترها آسیبپذیرن؟
مدلهایی مثل:
Archer C7
TL-WR841N/ND
SR20 و چند مدل قدیمیتر
https://blog.byteray.co.uk/exploiting-zero-day-cve-2025-9961-in-the-tp-link-ax10-router-8745f9af9c46
❤4
بدافزار جدید CountLoader
باجافزاری با ۳ نسخه مختلف
این بدافزار کشف شده ارتباط قوی با گروههای باجافزاری روسی دارد. و در سه نسخه مختلف (NET، PowerShell و JScript) در حال گسترش است و اخیراً در یک کمپین فیشینگ با هدف قرار دادن شهروندان اوکراینی، با جعل هویت پلیس اوکراین، مشاهده شده است.
این بدافزار به عنوان یک Initial Access Broker (IAB) یا ابزاری در اختیار وابستههای باجافزاری عمل میکند و payloads مخربی مانند Cobalt Strike و Adaptix C2 را روی سیستم قربانی مستقر میکند. این بدافزار با گروههای باجافزاری معروفی مثل LockBit، BlackBasta و Qilin ارتباط دارد.
نحوه عملکرد و مکانیزم فنی
این Loader یک ابزار پیشرفته و چندمنظوره برای نفوذ اولیه است که با دقت بالایی طراحی شده تا شناسایی آن دشوار باشد.
۱. نسخههای مختلف و هدفگیری:
نسخه JScript/HTA: نسخه اصلی و کاملتر که با بیش از ۸۵۰ خط کد، قابلیتهای گستردهای دارد. این نسخه از طریق فایلهای .hta که توسط mshta.exe اجرا میشوند، قربانی را آلوده میکند.
نسخه .NET و PowerShell: نسخههای سادهتری هستند که هر دو از مکانیزم مشابهی برای ارتباط با سرور و دانلود payload استفاده میکنند.
۲. تکنیکهای پایداری و پنهانکاری:
برقراری ارتباط: بدافزار برای ارتباط با سرورهای فرماندهی و کنترل (C2) از الگوریتمهای رمزنگاری XOR و Base64 استفاده میکند. این ارتباط به صورت یک حلقه تکرارشونده و با تلاش برای اتصال به چندین آدرس C2 انجام میشود تا از Fail شدن ارتباط جلوگیری کند.
پایداری : با ایجاد یک Scheduled Task در سیستم قربانی، با نامی جعلی شبیه به سرویسهای گوگل (GoogleUpdaterTaskSystem135.0.7023.0) و همچنین تغییر کلید Registry Run، اطمینان حاصل میکند که با هر بار راهاندازی سیستم، دوباره اجرا شود.
استفاده از LOLBins: برای اجرای کدها و دانلود فایلها از ابزارهای قانونی ویندوز مثل certutil و bitsadmin استفاده میکند که تشخیص آن را برای سیستمهای امنیتی سختتر میکند (این تکنیک در دنیای APT بسیار رایج است).
پنهانکاری: فایلهای مخرب را در پوشه (موسیقی) سیستم قربانی ذخیره میکند، که برخلاف پوشههای رایج مثل AppData یا Temp است و احتمال بررسی آن توسط کاربران یا نرمافزارهای امنیتی کمتر است.
۳. ارتباط با باجافزارها:
تحلیلگران امنیتی با بررسی Payloadهای دانلود شده، موفق به استخراج واترمارکی از پیکربندی بدافزار Cobalt Strike شدند. این وارتمارک خاص (شناسه 1473793097) پیش از این در حملات باجافزاری Qilin مشاهده شده بود. همچنین واترمارک مرتبط دیگری نیز کشف شده که با گروههای BlackBasta و LockBit مرتبط است. این یافتهها، وجود یک اکوسیستم مشترک و همکاری بین این گروهها یا استفاده از یک IAB مشترک را تأیید میکند.
یکی از پیشرفتهترین جنبههای این حمله ، استفاده از فایلهای PDF دستکاریشده به عنوان اولین گام نفوذ است. برخلاف تصور رایج که حملات فیشینگ صرفاً از طریق لینکهای مخرب یا فایلهای اجرایی مستقیم صورت میگیرد، مهاجمان در این کمپین از یک تکنیک ظریف Social Engineering بهره بردهاند. آنها با جعل هویت پلیس ملی اوکراین، یک فایل PDF فریبنده را به قربانیان ارسال میکنند. این سند به ظاهر رسمی، حاوی یک (HTA) جاسازیشده است.
به محض اینکه قربانی روی دکمه یا لینک تعبیهشده در این PDF کلیک میکند، در پسزمینه و بدون نمایش هیچگونه اخطار امنیتی، فایل HTA توسط موتور mshta.exe ویندوز اجرا میشود. این فرآیند، در واقع CountLoader را فعال کرده و حلقه ارتباطی با سرورهای C2 را آغاز میکند. این رویکرد، مهاجمان را قادر میسازد تا بدون استفاده از آسیبپذیریهای Zero-day، از تعامل کاربر برای شروع فرآیند آلودگی بهرهبرداری کنند. این شیوه، نشاندهنده یک تاکتیک نوین در زنجیره حملات APT-style است که با ترکیب هوشمندانه مهندسی اجتماعی و تکنیکهای قانونی سیستم عامل، به هدف خود میرسد و شناسایی آن را به شدت دشوار میسازد.
ابزار mshta.exe یک ابزار قانونی ویندوز برای اجرای فایلهای HTML Application است. فایلهای HTA در واقع فایلهای HTML هستند که به جای اجرا در مرورگر، به صورت یک برنامه مستقل ویندوز اجرا میشوند. این برنامهها دسترسی کامل به APIهای سیستم عامل دارند و از محدودیتهای امنیتی مرورگرها عبور میکنند.
به دلیل همین قابلیت، مهاجمان سایبری اغلب از mshta.exe برای اجرای کدهای مخرب استفاده میکنند. آنها کدهای مخرب خود را در یک فایل HTA قرار میدهند و از این طریق، بدافزار را بدون نیاز به یک فایل اجرایی سنتی (.exe) روی سیستم قربانی اجرا میکنند. این روش به آنها کمک میکند تا از بسیاری از راهکارهای امنیتی که بر اساس شناسایی فایلهای .exe مخرب کار میکنند، عبور کنند.
⭐️ @ZeroSec_team
باجافزاری با ۳ نسخه مختلف
این بدافزار کشف شده ارتباط قوی با گروههای باجافزاری روسی دارد. و در سه نسخه مختلف (NET، PowerShell و JScript) در حال گسترش است و اخیراً در یک کمپین فیشینگ با هدف قرار دادن شهروندان اوکراینی، با جعل هویت پلیس اوکراین، مشاهده شده است.
این بدافزار به عنوان یک Initial Access Broker (IAB) یا ابزاری در اختیار وابستههای باجافزاری عمل میکند و payloads مخربی مانند Cobalt Strike و Adaptix C2 را روی سیستم قربانی مستقر میکند. این بدافزار با گروههای باجافزاری معروفی مثل LockBit، BlackBasta و Qilin ارتباط دارد.
نحوه عملکرد و مکانیزم فنی
این Loader یک ابزار پیشرفته و چندمنظوره برای نفوذ اولیه است که با دقت بالایی طراحی شده تا شناسایی آن دشوار باشد.
۱. نسخههای مختلف و هدفگیری:
نسخه JScript/HTA: نسخه اصلی و کاملتر که با بیش از ۸۵۰ خط کد، قابلیتهای گستردهای دارد. این نسخه از طریق فایلهای .hta که توسط mshta.exe اجرا میشوند، قربانی را آلوده میکند.
نسخه .NET و PowerShell: نسخههای سادهتری هستند که هر دو از مکانیزم مشابهی برای ارتباط با سرور و دانلود payload استفاده میکنند.
۲. تکنیکهای پایداری و پنهانکاری:
برقراری ارتباط: بدافزار برای ارتباط با سرورهای فرماندهی و کنترل (C2) از الگوریتمهای رمزنگاری XOR و Base64 استفاده میکند. این ارتباط به صورت یک حلقه تکرارشونده و با تلاش برای اتصال به چندین آدرس C2 انجام میشود تا از Fail شدن ارتباط جلوگیری کند.
پایداری : با ایجاد یک Scheduled Task در سیستم قربانی، با نامی جعلی شبیه به سرویسهای گوگل (GoogleUpdaterTaskSystem135.0.7023.0) و همچنین تغییر کلید Registry Run، اطمینان حاصل میکند که با هر بار راهاندازی سیستم، دوباره اجرا شود.
استفاده از LOLBins: برای اجرای کدها و دانلود فایلها از ابزارهای قانونی ویندوز مثل certutil و bitsadmin استفاده میکند که تشخیص آن را برای سیستمهای امنیتی سختتر میکند (این تکنیک در دنیای APT بسیار رایج است).
پنهانکاری: فایلهای مخرب را در پوشه (موسیقی) سیستم قربانی ذخیره میکند، که برخلاف پوشههای رایج مثل AppData یا Temp است و احتمال بررسی آن توسط کاربران یا نرمافزارهای امنیتی کمتر است.
۳. ارتباط با باجافزارها:
تحلیلگران امنیتی با بررسی Payloadهای دانلود شده، موفق به استخراج واترمارکی از پیکربندی بدافزار Cobalt Strike شدند. این وارتمارک خاص (شناسه 1473793097) پیش از این در حملات باجافزاری Qilin مشاهده شده بود. همچنین واترمارک مرتبط دیگری نیز کشف شده که با گروههای BlackBasta و LockBit مرتبط است. این یافتهها، وجود یک اکوسیستم مشترک و همکاری بین این گروهها یا استفاده از یک IAB مشترک را تأیید میکند.
یکی از پیشرفتهترین جنبههای این حمله ، استفاده از فایلهای PDF دستکاریشده به عنوان اولین گام نفوذ است. برخلاف تصور رایج که حملات فیشینگ صرفاً از طریق لینکهای مخرب یا فایلهای اجرایی مستقیم صورت میگیرد، مهاجمان در این کمپین از یک تکنیک ظریف Social Engineering بهره بردهاند. آنها با جعل هویت پلیس ملی اوکراین، یک فایل PDF فریبنده را به قربانیان ارسال میکنند. این سند به ظاهر رسمی، حاوی یک (HTA) جاسازیشده است.
به محض اینکه قربانی روی دکمه یا لینک تعبیهشده در این PDF کلیک میکند، در پسزمینه و بدون نمایش هیچگونه اخطار امنیتی، فایل HTA توسط موتور mshta.exe ویندوز اجرا میشود. این فرآیند، در واقع CountLoader را فعال کرده و حلقه ارتباطی با سرورهای C2 را آغاز میکند. این رویکرد، مهاجمان را قادر میسازد تا بدون استفاده از آسیبپذیریهای Zero-day، از تعامل کاربر برای شروع فرآیند آلودگی بهرهبرداری کنند. این شیوه، نشاندهنده یک تاکتیک نوین در زنجیره حملات APT-style است که با ترکیب هوشمندانه مهندسی اجتماعی و تکنیکهای قانونی سیستم عامل، به هدف خود میرسد و شناسایی آن را به شدت دشوار میسازد.
ابزار mshta.exe یک ابزار قانونی ویندوز برای اجرای فایلهای HTML Application است. فایلهای HTA در واقع فایلهای HTML هستند که به جای اجرا در مرورگر، به صورت یک برنامه مستقل ویندوز اجرا میشوند. این برنامهها دسترسی کامل به APIهای سیستم عامل دارند و از محدودیتهای امنیتی مرورگرها عبور میکنند.
به دلیل همین قابلیت، مهاجمان سایبری اغلب از mshta.exe برای اجرای کدهای مخرب استفاده میکنند. آنها کدهای مخرب خود را در یک فایل HTA قرار میدهند و از این طریق، بدافزار را بدون نیاز به یک فایل اجرایی سنتی (.exe) روی سیستم قربانی اجرا میکنند. این روش به آنها کمک میکند تا از بسیاری از راهکارهای امنیتی که بر اساس شناسایی فایلهای .exe مخرب کار میکنند، عبور کنند.
⭐️ @ZeroSec_team
❤3
سلام دوستان وقت تون بخیر؛
با توجه به حاشیه هایی که اخیراً در کامیونیتی شکل گرفته تصمیم گرفتم برای جلوگیری از ادامه ی حواشی و حفظ آرامش دوستان، این گروه به طور کامل حذف بشه.
هدف ما از ابتدا ایجاد یک فضای سالم برای یادگیری و به اشتراک گذاری دانش بود، اما با توجه به شرایط فعلی ادامه ی فعالیت این گروه به صلاح نیست و البته کانال به قوت خودش فعالیت را ادامه خواهد داد.
همچنین از طریق دایرکت کانال میتونید با ما در ارتباط باشید
از همراهی و حضور همه ی دوستان در این مدت سپاسگزاریم 🙏
با توجه به حاشیه هایی که اخیراً در کامیونیتی شکل گرفته تصمیم گرفتم برای جلوگیری از ادامه ی حواشی و حفظ آرامش دوستان، این گروه به طور کامل حذف بشه.
هدف ما از ابتدا ایجاد یک فضای سالم برای یادگیری و به اشتراک گذاری دانش بود، اما با توجه به شرایط فعلی ادامه ی فعالیت این گروه به صلاح نیست و البته کانال به قوت خودش فعالیت را ادامه خواهد داد.
همچنین از طریق دایرکت کانال میتونید با ما در ارتباط باشید
از همراهی و حضور همه ی دوستان در این مدت سپاسگزاریم 🙏
👍6
Forwarded from PentesterLand Academy - Public
ثبت نام منتورینگ اغاز شد
و تا یک مهر فرصت رزرو یا ثبت نام به شرایط فعلی موجود است و بعد از آن شرایط ثبت نام تغییر خواهد کرد
در منتورینگ بیشتر از اینکه به دنبال این باشیم به هر قیمی صرفا بانتی بزنیم اول دنبال زیرسازی، دانشمناسب و خودمونیش هکر شدن هستیم و بعد کار روی تارگت ها قوی و بعد کسب بانتی روی تارگت هایی که انتخاب میکنیم
برای ثبت نام:
Page instagram: PentesterLand پیام دهید
و تا یک مهر فرصت رزرو یا ثبت نام به شرایط فعلی موجود است و بعد از آن شرایط ثبت نام تغییر خواهد کرد
در منتورینگ بیشتر از اینکه به دنبال این باشیم به هر قیمی صرفا بانتی بزنیم اول دنبال زیرسازی، دانشمناسب و خودمونیش هکر شدن هستیم و بعد کار روی تارگت ها قوی و بعد کسب بانتی روی تارگت هایی که انتخاب میکنیم
برای ثبت نام:
Page instagram: PentesterLand پیام دهید
❤5🔥4👎1