☄️JSRecon-Buddy - A simple browser extension to quickly find interesting security-related information on a webpage.
🔴https://github.com/TheArqsz/JSRecon-Buddy
⭐️ @Zerosec_team
🔴https://github.com/TheArqsz/JSRecon-Buddy
⭐️ @Zerosec_team
❤3
CVE2025-9061
CVE2025-9377
یه باگ خیلی خفن (Zero-Day) توی بعضی از روترهای TP-Link پیدا شده. این باگ توی بخشی به اسم CWMP / TR-069 هست؛ این پروتکل برای مدیریت از راه دوره (یعنی شرکت ISP یا خودت بتونی از راه دور روتر رو کنترل کنی).
حالا مشکل اینه که این کد اونقدر بد پیادهسازی شده که هکر میتونه با یه درخواست خاص باعث بافر اورفلو بشه. یعنی دادهها از ظرفیت حافظه بپرن بیرون و هکر کنترل سیستم رو بگیره → در نتیجه Remote Code Execution (اجرای کد دلخواه) بهدست میاد.
🔹چرا مهمه؟
این باگ فقط تئوری نیست؛ الان واقعا داره استفاده میشه. یه سری گروههای هکری اومدن از این باگ استفاده کردن، روترها رو گرفتن و واردشون شدن.
بعد هم روترها رو بردن توی یه باتنت بزرگ (مثلا باتنتهایی مثل Quad7) و ازشون برای کارای کثیف مثل password spraying روی Microsoft 365 استفاده کردن.
قشنگ تبدیل شدن به سرباز اجارهای برای هکرها.
🔹 کدوم روترها آسیبپذیرن؟
مدلهایی مثل:
Archer C7
TL-WR841N/ND
SR20 و چند مدل قدیمیتر
https://blog.byteray.co.uk/exploiting-zero-day-cve-2025-9961-in-the-tp-link-ax10-router-8745f9af9c46
CVE2025-9377
یه باگ خیلی خفن (Zero-Day) توی بعضی از روترهای TP-Link پیدا شده. این باگ توی بخشی به اسم CWMP / TR-069 هست؛ این پروتکل برای مدیریت از راه دوره (یعنی شرکت ISP یا خودت بتونی از راه دور روتر رو کنترل کنی).
حالا مشکل اینه که این کد اونقدر بد پیادهسازی شده که هکر میتونه با یه درخواست خاص باعث بافر اورفلو بشه. یعنی دادهها از ظرفیت حافظه بپرن بیرون و هکر کنترل سیستم رو بگیره → در نتیجه Remote Code Execution (اجرای کد دلخواه) بهدست میاد.
🔹چرا مهمه؟
این باگ فقط تئوری نیست؛ الان واقعا داره استفاده میشه. یه سری گروههای هکری اومدن از این باگ استفاده کردن، روترها رو گرفتن و واردشون شدن.
بعد هم روترها رو بردن توی یه باتنت بزرگ (مثلا باتنتهایی مثل Quad7) و ازشون برای کارای کثیف مثل password spraying روی Microsoft 365 استفاده کردن.
قشنگ تبدیل شدن به سرباز اجارهای برای هکرها.
🔹 کدوم روترها آسیبپذیرن؟
مدلهایی مثل:
Archer C7
TL-WR841N/ND
SR20 و چند مدل قدیمیتر
https://blog.byteray.co.uk/exploiting-zero-day-cve-2025-9961-in-the-tp-link-ax10-router-8745f9af9c46
❤4
بدافزار جدید CountLoader
باجافزاری با ۳ نسخه مختلف
این بدافزار کشف شده ارتباط قوی با گروههای باجافزاری روسی دارد. و در سه نسخه مختلف (NET، PowerShell و JScript) در حال گسترش است و اخیراً در یک کمپین فیشینگ با هدف قرار دادن شهروندان اوکراینی، با جعل هویت پلیس اوکراین، مشاهده شده است.
این بدافزار به عنوان یک Initial Access Broker (IAB) یا ابزاری در اختیار وابستههای باجافزاری عمل میکند و payloads مخربی مانند Cobalt Strike و Adaptix C2 را روی سیستم قربانی مستقر میکند. این بدافزار با گروههای باجافزاری معروفی مثل LockBit، BlackBasta و Qilin ارتباط دارد.
نحوه عملکرد و مکانیزم فنی
این Loader یک ابزار پیشرفته و چندمنظوره برای نفوذ اولیه است که با دقت بالایی طراحی شده تا شناسایی آن دشوار باشد.
۱. نسخههای مختلف و هدفگیری:
نسخه JScript/HTA: نسخه اصلی و کاملتر که با بیش از ۸۵۰ خط کد، قابلیتهای گستردهای دارد. این نسخه از طریق فایلهای .hta که توسط mshta.exe اجرا میشوند، قربانی را آلوده میکند.
نسخه .NET و PowerShell: نسخههای سادهتری هستند که هر دو از مکانیزم مشابهی برای ارتباط با سرور و دانلود payload استفاده میکنند.
۲. تکنیکهای پایداری و پنهانکاری:
برقراری ارتباط: بدافزار برای ارتباط با سرورهای فرماندهی و کنترل (C2) از الگوریتمهای رمزنگاری XOR و Base64 استفاده میکند. این ارتباط به صورت یک حلقه تکرارشونده و با تلاش برای اتصال به چندین آدرس C2 انجام میشود تا از Fail شدن ارتباط جلوگیری کند.
پایداری : با ایجاد یک Scheduled Task در سیستم قربانی، با نامی جعلی شبیه به سرویسهای گوگل (GoogleUpdaterTaskSystem135.0.7023.0) و همچنین تغییر کلید Registry Run، اطمینان حاصل میکند که با هر بار راهاندازی سیستم، دوباره اجرا شود.
استفاده از LOLBins: برای اجرای کدها و دانلود فایلها از ابزارهای قانونی ویندوز مثل certutil و bitsadmin استفاده میکند که تشخیص آن را برای سیستمهای امنیتی سختتر میکند (این تکنیک در دنیای APT بسیار رایج است).
پنهانکاری: فایلهای مخرب را در پوشه (موسیقی) سیستم قربانی ذخیره میکند، که برخلاف پوشههای رایج مثل AppData یا Temp است و احتمال بررسی آن توسط کاربران یا نرمافزارهای امنیتی کمتر است.
۳. ارتباط با باجافزارها:
تحلیلگران امنیتی با بررسی Payloadهای دانلود شده، موفق به استخراج واترمارکی از پیکربندی بدافزار Cobalt Strike شدند. این وارتمارک خاص (شناسه 1473793097) پیش از این در حملات باجافزاری Qilin مشاهده شده بود. همچنین واترمارک مرتبط دیگری نیز کشف شده که با گروههای BlackBasta و LockBit مرتبط است. این یافتهها، وجود یک اکوسیستم مشترک و همکاری بین این گروهها یا استفاده از یک IAB مشترک را تأیید میکند.
یکی از پیشرفتهترین جنبههای این حمله ، استفاده از فایلهای PDF دستکاریشده به عنوان اولین گام نفوذ است. برخلاف تصور رایج که حملات فیشینگ صرفاً از طریق لینکهای مخرب یا فایلهای اجرایی مستقیم صورت میگیرد، مهاجمان در این کمپین از یک تکنیک ظریف Social Engineering بهره بردهاند. آنها با جعل هویت پلیس ملی اوکراین، یک فایل PDF فریبنده را به قربانیان ارسال میکنند. این سند به ظاهر رسمی، حاوی یک (HTA) جاسازیشده است.
به محض اینکه قربانی روی دکمه یا لینک تعبیهشده در این PDF کلیک میکند، در پسزمینه و بدون نمایش هیچگونه اخطار امنیتی، فایل HTA توسط موتور mshta.exe ویندوز اجرا میشود. این فرآیند، در واقع CountLoader را فعال کرده و حلقه ارتباطی با سرورهای C2 را آغاز میکند. این رویکرد، مهاجمان را قادر میسازد تا بدون استفاده از آسیبپذیریهای Zero-day، از تعامل کاربر برای شروع فرآیند آلودگی بهرهبرداری کنند. این شیوه، نشاندهنده یک تاکتیک نوین در زنجیره حملات APT-style است که با ترکیب هوشمندانه مهندسی اجتماعی و تکنیکهای قانونی سیستم عامل، به هدف خود میرسد و شناسایی آن را به شدت دشوار میسازد.
ابزار mshta.exe یک ابزار قانونی ویندوز برای اجرای فایلهای HTML Application است. فایلهای HTA در واقع فایلهای HTML هستند که به جای اجرا در مرورگر، به صورت یک برنامه مستقل ویندوز اجرا میشوند. این برنامهها دسترسی کامل به APIهای سیستم عامل دارند و از محدودیتهای امنیتی مرورگرها عبور میکنند.
به دلیل همین قابلیت، مهاجمان سایبری اغلب از mshta.exe برای اجرای کدهای مخرب استفاده میکنند. آنها کدهای مخرب خود را در یک فایل HTA قرار میدهند و از این طریق، بدافزار را بدون نیاز به یک فایل اجرایی سنتی (.exe) روی سیستم قربانی اجرا میکنند. این روش به آنها کمک میکند تا از بسیاری از راهکارهای امنیتی که بر اساس شناسایی فایلهای .exe مخرب کار میکنند، عبور کنند.
⭐️ @ZeroSec_team
باجافزاری با ۳ نسخه مختلف
این بدافزار کشف شده ارتباط قوی با گروههای باجافزاری روسی دارد. و در سه نسخه مختلف (NET، PowerShell و JScript) در حال گسترش است و اخیراً در یک کمپین فیشینگ با هدف قرار دادن شهروندان اوکراینی، با جعل هویت پلیس اوکراین، مشاهده شده است.
این بدافزار به عنوان یک Initial Access Broker (IAB) یا ابزاری در اختیار وابستههای باجافزاری عمل میکند و payloads مخربی مانند Cobalt Strike و Adaptix C2 را روی سیستم قربانی مستقر میکند. این بدافزار با گروههای باجافزاری معروفی مثل LockBit، BlackBasta و Qilin ارتباط دارد.
نحوه عملکرد و مکانیزم فنی
این Loader یک ابزار پیشرفته و چندمنظوره برای نفوذ اولیه است که با دقت بالایی طراحی شده تا شناسایی آن دشوار باشد.
۱. نسخههای مختلف و هدفگیری:
نسخه JScript/HTA: نسخه اصلی و کاملتر که با بیش از ۸۵۰ خط کد، قابلیتهای گستردهای دارد. این نسخه از طریق فایلهای .hta که توسط mshta.exe اجرا میشوند، قربانی را آلوده میکند.
نسخه .NET و PowerShell: نسخههای سادهتری هستند که هر دو از مکانیزم مشابهی برای ارتباط با سرور و دانلود payload استفاده میکنند.
۲. تکنیکهای پایداری و پنهانکاری:
برقراری ارتباط: بدافزار برای ارتباط با سرورهای فرماندهی و کنترل (C2) از الگوریتمهای رمزنگاری XOR و Base64 استفاده میکند. این ارتباط به صورت یک حلقه تکرارشونده و با تلاش برای اتصال به چندین آدرس C2 انجام میشود تا از Fail شدن ارتباط جلوگیری کند.
پایداری : با ایجاد یک Scheduled Task در سیستم قربانی، با نامی جعلی شبیه به سرویسهای گوگل (GoogleUpdaterTaskSystem135.0.7023.0) و همچنین تغییر کلید Registry Run، اطمینان حاصل میکند که با هر بار راهاندازی سیستم، دوباره اجرا شود.
استفاده از LOLBins: برای اجرای کدها و دانلود فایلها از ابزارهای قانونی ویندوز مثل certutil و bitsadmin استفاده میکند که تشخیص آن را برای سیستمهای امنیتی سختتر میکند (این تکنیک در دنیای APT بسیار رایج است).
پنهانکاری: فایلهای مخرب را در پوشه (موسیقی) سیستم قربانی ذخیره میکند، که برخلاف پوشههای رایج مثل AppData یا Temp است و احتمال بررسی آن توسط کاربران یا نرمافزارهای امنیتی کمتر است.
۳. ارتباط با باجافزارها:
تحلیلگران امنیتی با بررسی Payloadهای دانلود شده، موفق به استخراج واترمارکی از پیکربندی بدافزار Cobalt Strike شدند. این وارتمارک خاص (شناسه 1473793097) پیش از این در حملات باجافزاری Qilin مشاهده شده بود. همچنین واترمارک مرتبط دیگری نیز کشف شده که با گروههای BlackBasta و LockBit مرتبط است. این یافتهها، وجود یک اکوسیستم مشترک و همکاری بین این گروهها یا استفاده از یک IAB مشترک را تأیید میکند.
یکی از پیشرفتهترین جنبههای این حمله ، استفاده از فایلهای PDF دستکاریشده به عنوان اولین گام نفوذ است. برخلاف تصور رایج که حملات فیشینگ صرفاً از طریق لینکهای مخرب یا فایلهای اجرایی مستقیم صورت میگیرد، مهاجمان در این کمپین از یک تکنیک ظریف Social Engineering بهره بردهاند. آنها با جعل هویت پلیس ملی اوکراین، یک فایل PDF فریبنده را به قربانیان ارسال میکنند. این سند به ظاهر رسمی، حاوی یک (HTA) جاسازیشده است.
به محض اینکه قربانی روی دکمه یا لینک تعبیهشده در این PDF کلیک میکند، در پسزمینه و بدون نمایش هیچگونه اخطار امنیتی، فایل HTA توسط موتور mshta.exe ویندوز اجرا میشود. این فرآیند، در واقع CountLoader را فعال کرده و حلقه ارتباطی با سرورهای C2 را آغاز میکند. این رویکرد، مهاجمان را قادر میسازد تا بدون استفاده از آسیبپذیریهای Zero-day، از تعامل کاربر برای شروع فرآیند آلودگی بهرهبرداری کنند. این شیوه، نشاندهنده یک تاکتیک نوین در زنجیره حملات APT-style است که با ترکیب هوشمندانه مهندسی اجتماعی و تکنیکهای قانونی سیستم عامل، به هدف خود میرسد و شناسایی آن را به شدت دشوار میسازد.
ابزار mshta.exe یک ابزار قانونی ویندوز برای اجرای فایلهای HTML Application است. فایلهای HTA در واقع فایلهای HTML هستند که به جای اجرا در مرورگر، به صورت یک برنامه مستقل ویندوز اجرا میشوند. این برنامهها دسترسی کامل به APIهای سیستم عامل دارند و از محدودیتهای امنیتی مرورگرها عبور میکنند.
به دلیل همین قابلیت، مهاجمان سایبری اغلب از mshta.exe برای اجرای کدهای مخرب استفاده میکنند. آنها کدهای مخرب خود را در یک فایل HTA قرار میدهند و از این طریق، بدافزار را بدون نیاز به یک فایل اجرایی سنتی (.exe) روی سیستم قربانی اجرا میکنند. این روش به آنها کمک میکند تا از بسیاری از راهکارهای امنیتی که بر اساس شناسایی فایلهای .exe مخرب کار میکنند، عبور کنند.
⭐️ @ZeroSec_team
❤3
سلام دوستان وقت تون بخیر؛
با توجه به حاشیه هایی که اخیراً در کامیونیتی شکل گرفته تصمیم گرفتم برای جلوگیری از ادامه ی حواشی و حفظ آرامش دوستان، این گروه به طور کامل حذف بشه.
هدف ما از ابتدا ایجاد یک فضای سالم برای یادگیری و به اشتراک گذاری دانش بود، اما با توجه به شرایط فعلی ادامه ی فعالیت این گروه به صلاح نیست و البته کانال به قوت خودش فعالیت را ادامه خواهد داد.
همچنین از طریق دایرکت کانال میتونید با ما در ارتباط باشید
از همراهی و حضور همه ی دوستان در این مدت سپاسگزاریم 🙏
با توجه به حاشیه هایی که اخیراً در کامیونیتی شکل گرفته تصمیم گرفتم برای جلوگیری از ادامه ی حواشی و حفظ آرامش دوستان، این گروه به طور کامل حذف بشه.
هدف ما از ابتدا ایجاد یک فضای سالم برای یادگیری و به اشتراک گذاری دانش بود، اما با توجه به شرایط فعلی ادامه ی فعالیت این گروه به صلاح نیست و البته کانال به قوت خودش فعالیت را ادامه خواهد داد.
همچنین از طریق دایرکت کانال میتونید با ما در ارتباط باشید
از همراهی و حضور همه ی دوستان در این مدت سپاسگزاریم 🙏
👍6
Forwarded from PentesterLand Academy - Public
ثبت نام منتورینگ اغاز شد
و تا یک مهر فرصت رزرو یا ثبت نام به شرایط فعلی موجود است و بعد از آن شرایط ثبت نام تغییر خواهد کرد
در منتورینگ بیشتر از اینکه به دنبال این باشیم به هر قیمی صرفا بانتی بزنیم اول دنبال زیرسازی، دانشمناسب و خودمونیش هکر شدن هستیم و بعد کار روی تارگت ها قوی و بعد کسب بانتی روی تارگت هایی که انتخاب میکنیم
برای ثبت نام:
Page instagram: PentesterLand پیام دهید
و تا یک مهر فرصت رزرو یا ثبت نام به شرایط فعلی موجود است و بعد از آن شرایط ثبت نام تغییر خواهد کرد
در منتورینگ بیشتر از اینکه به دنبال این باشیم به هر قیمی صرفا بانتی بزنیم اول دنبال زیرسازی، دانشمناسب و خودمونیش هکر شدن هستیم و بعد کار روی تارگت ها قوی و بعد کسب بانتی روی تارگت هایی که انتخاب میکنیم
برای ثبت نام:
Page instagram: PentesterLand پیام دهید
❤5🔥4👎1
Salty2FA: عبور از احراز هویت چندعاملی در یک کمپین فیشینگ پیشرفته
آغاز عصری تازه در فیشینگ
پژوهشگران امنیت سایبری کیت فیشینگ نسل جدیدی به نام Salty2FA را شناسایی کردهاند که با استفاده از تکنیکهای پیشرفته میتواند احراز هویت چندمرحلهای (MFA) را دور بزند و درگاههای ورود سازمانی معتبر را جعل کند.
این کیت در تحقیقات اختصاصی «مرکز دفاع سایبری Ontinue» معرفی شد. محققان آن را بخشی از یک روند تکاملی در فیشینگ دانستند که شباهت زیادی به روشهای توسعهی نرمافزارهای قانونی دارد.
کمپین با یک ایمیل فریبنده آغاز میشود که قربانی را به صفحهای جعلی برای اشتراکگذاری اسناد هدایت میکند. این صفحه روی Aha.io ساخته شده و در تاریخ ۳ سپتامبر ۲۰۲۵ از طریق یک حساب کاربری رایگان ایجاد شده است.
زنجیرهی حمله چندمرحلهای
بهمحض ورود قربانی به سایت مخرب، ابتدا از او خواسته میشود یک کپچای Cloudflare Turnstile را تکمیل کند. جالب اینجاست که همین مرحله جلوی ابزارهای خودکار تحلیل و sandboxها را میگیرد، اما به انسان اجازه ادامه میدهد.
پس از آن، کیت فیشینگ یک زنجیره حمله چندمرحلهای را پیاده میکند که توسط زیر دامنههای چرخشی مبتنی بر نشست (session-based rotating subdomains) پشتیبانی میشود. هر کاربر جدید یک URL منحصربهفرد دریافت میکند. همین موضوع باعث میشود مدافعان تقریباً نتوانند این دامنهها را بلاک کنند یا کمپین را مختل سازند.
هنر جعل هویت
محققان Ontinue توانایی کیت را در برندسازی پویا برجسته کردهاند. Salty2FA با تحلیل دامنه ایمیل قربانی، یک درگاه ورود جعلی تولید میکند که شامل لوگو، رنگها و طراحی مخصوص همان شرکت است.
این روش واقعگرایی حمله را بهشدت بالا میبرد و در صنایع مختلفی از جمله سلامت، مالی، فناوری و انرژی مشاهده شده است.
علاوه بر این، کیت میتواند تا ۶ نوع احراز هویت چندمرحلهای مانند SMS، اپلیکیشنهای احراز هویت، و کدهای تماس تلفنی را شبیهسازی کند. این باعث میشود قربانی گمان کند با سیستمی امن و معتبر در تعامل است.
اجتناب از شناسایی دفاعی
برای سختتر کردن کار مدافعان، این بدافزار از مبهم سازی کد (obfuscation) و تکنیکهای ضد دیباگ استفاده میکند که تحلیل مهندسی معکوس را بسیار دشوار میسازد.
سطح بالای پیچیدگی این حمله نشاندهندهی حضور یک گروه جنایتکار سازمانیافته و دارای منابع مالی قوی است، هرچند محققان Ontinue هنوز انتساب دقیقی ارائه نکردهاند.
این کشف با موج اخیر فیشینگهای پیشرفته همراستا است. دادههای شرکت Menlo Security نشان میدهد از سال ۲۰۲۳ تاکنون:
۱۴۰٪ افزایش در فیشینگ مبتنی بر مرورگر
۱۳۰٪ افزایش در حملات فیشینگ «صفر ساعته» (zero-hour) که از آسیبپذیریهای وصله نشده سوء استفاده میکنند.
این روندها نشان میدهد که دفاع در برابر کیتهای «phishing 2.0» که ترکیبی از پیچیدگی فنی و فریب روانی هستند، روزبهروز دشوارتر میشود.
دیدگاه کارشناسان
نیکول کاریگنان (معاون ارشد استراتژی امنیت و هوش مصنوعی در Darktrace):
«سازمانها نمیتوانند روی کارمندان بهعنوان آخرین خط دفاعی حساب کنند. سیستمهای یادگیری ماشین که الگوهای رفتاری عادی را تشخیص میدهند، برای شناسایی فعالیتهای مشکوک حیاتی هستند.»
جیسون سوراکو (پژوهشگر ارشد در Sectigo):
«همهی احراز هویت چندمرحلهای به یک اندازه امن نیستند. روشهای MFA مبتنی بر راز مشترک (مانند رمزهای یکبار مصرف) درست به اندازهی گذرواژهها در برابر صفحات جعلی آسیبپذیرند. آموزش و استفاده از روشهای قویتر MFA ضروری است.»
⭐️ @ZeroSec_team
آغاز عصری تازه در فیشینگ
پژوهشگران امنیت سایبری کیت فیشینگ نسل جدیدی به نام Salty2FA را شناسایی کردهاند که با استفاده از تکنیکهای پیشرفته میتواند احراز هویت چندمرحلهای (MFA) را دور بزند و درگاههای ورود سازمانی معتبر را جعل کند.
این کیت در تحقیقات اختصاصی «مرکز دفاع سایبری Ontinue» معرفی شد. محققان آن را بخشی از یک روند تکاملی در فیشینگ دانستند که شباهت زیادی به روشهای توسعهی نرمافزارهای قانونی دارد.
کمپین با یک ایمیل فریبنده آغاز میشود که قربانی را به صفحهای جعلی برای اشتراکگذاری اسناد هدایت میکند. این صفحه روی Aha.io ساخته شده و در تاریخ ۳ سپتامبر ۲۰۲۵ از طریق یک حساب کاربری رایگان ایجاد شده است.
زنجیرهی حمله چندمرحلهای
بهمحض ورود قربانی به سایت مخرب، ابتدا از او خواسته میشود یک کپچای Cloudflare Turnstile را تکمیل کند. جالب اینجاست که همین مرحله جلوی ابزارهای خودکار تحلیل و sandboxها را میگیرد، اما به انسان اجازه ادامه میدهد.
پس از آن، کیت فیشینگ یک زنجیره حمله چندمرحلهای را پیاده میکند که توسط زیر دامنههای چرخشی مبتنی بر نشست (session-based rotating subdomains) پشتیبانی میشود. هر کاربر جدید یک URL منحصربهفرد دریافت میکند. همین موضوع باعث میشود مدافعان تقریباً نتوانند این دامنهها را بلاک کنند یا کمپین را مختل سازند.
هنر جعل هویت
محققان Ontinue توانایی کیت را در برندسازی پویا برجسته کردهاند. Salty2FA با تحلیل دامنه ایمیل قربانی، یک درگاه ورود جعلی تولید میکند که شامل لوگو، رنگها و طراحی مخصوص همان شرکت است.
این روش واقعگرایی حمله را بهشدت بالا میبرد و در صنایع مختلفی از جمله سلامت، مالی، فناوری و انرژی مشاهده شده است.
علاوه بر این، کیت میتواند تا ۶ نوع احراز هویت چندمرحلهای مانند SMS، اپلیکیشنهای احراز هویت، و کدهای تماس تلفنی را شبیهسازی کند. این باعث میشود قربانی گمان کند با سیستمی امن و معتبر در تعامل است.
اجتناب از شناسایی دفاعی
برای سختتر کردن کار مدافعان، این بدافزار از مبهم سازی کد (obfuscation) و تکنیکهای ضد دیباگ استفاده میکند که تحلیل مهندسی معکوس را بسیار دشوار میسازد.
سطح بالای پیچیدگی این حمله نشاندهندهی حضور یک گروه جنایتکار سازمانیافته و دارای منابع مالی قوی است، هرچند محققان Ontinue هنوز انتساب دقیقی ارائه نکردهاند.
این کشف با موج اخیر فیشینگهای پیشرفته همراستا است. دادههای شرکت Menlo Security نشان میدهد از سال ۲۰۲۳ تاکنون:
۱۴۰٪ افزایش در فیشینگ مبتنی بر مرورگر
۱۳۰٪ افزایش در حملات فیشینگ «صفر ساعته» (zero-hour) که از آسیبپذیریهای وصله نشده سوء استفاده میکنند.
این روندها نشان میدهد که دفاع در برابر کیتهای «phishing 2.0» که ترکیبی از پیچیدگی فنی و فریب روانی هستند، روزبهروز دشوارتر میشود.
دیدگاه کارشناسان
نیکول کاریگنان (معاون ارشد استراتژی امنیت و هوش مصنوعی در Darktrace):
«سازمانها نمیتوانند روی کارمندان بهعنوان آخرین خط دفاعی حساب کنند. سیستمهای یادگیری ماشین که الگوهای رفتاری عادی را تشخیص میدهند، برای شناسایی فعالیتهای مشکوک حیاتی هستند.»
جیسون سوراکو (پژوهشگر ارشد در Sectigo):
«همهی احراز هویت چندمرحلهای به یک اندازه امن نیستند. روشهای MFA مبتنی بر راز مشترک (مانند رمزهای یکبار مصرف) درست به اندازهی گذرواژهها در برابر صفحات جعلی آسیبپذیرند. آموزش و استفاده از روشهای قویتر MFA ضروری است.»
⭐️ @ZeroSec_team
👍2❤1🔥1
ابزار امنیتی تهاجمی: smugglo
smugglo که توسط b3rito توسعه یافته، ابزاری برای «HTML smuggling» است که payload های HTML خود کفا تولید میکند و قادر است فایلهای دلخواه را مستقیماً داخل یک سند HTML قابل رندر توسط مرورگر جاسازی کند.
وقتی این فایلها در مرورگر باز شوند، با استفاده از جاوااسکریپت سمتکلاینت، فایل اصلی را بازسازی کرده و بدون نیاز به تعامل کاربر، دانلود آن را بهطور خودکار راهاندازی میکنند. این ابزار از چندین روش کدگذاری و رمزنگاری برای مبهمسازی محتوای جاسازیشده پشتیبانی میکند، از جمله Base64، هگز، XOR و AES-GCM.
کاربرد آن در تست مسیرهای تحویل فایل است بهویژه در محیط هایی که با فیلتر های محتوا، sandbox ها، راهکارهای EDR یا سامانههای ضدویروس محافظت میشوند؛ بدین وسیله می توان اثر بخشی مکانیزم های دفاعی را بررسی کرد.
لینک ابزار :
https://github.com/b3rito/smugglo.git
⭐️ @ZeroSec_team
smugglo که توسط b3rito توسعه یافته، ابزاری برای «HTML smuggling» است که payload های HTML خود کفا تولید میکند و قادر است فایلهای دلخواه را مستقیماً داخل یک سند HTML قابل رندر توسط مرورگر جاسازی کند.
وقتی این فایلها در مرورگر باز شوند، با استفاده از جاوااسکریپت سمتکلاینت، فایل اصلی را بازسازی کرده و بدون نیاز به تعامل کاربر، دانلود آن را بهطور خودکار راهاندازی میکنند. این ابزار از چندین روش کدگذاری و رمزنگاری برای مبهمسازی محتوای جاسازیشده پشتیبانی میکند، از جمله Base64، هگز، XOR و AES-GCM.
کاربرد آن در تست مسیرهای تحویل فایل است بهویژه در محیط هایی که با فیلتر های محتوا، sandbox ها، راهکارهای EDR یا سامانههای ضدویروس محافظت میشوند؛ بدین وسیله می توان اثر بخشی مکانیزم های دفاعی را بررسی کرد.
لینک ابزار :
https://github.com/b3rito/smugglo.git
⭐️ @ZeroSec_team
GitHub
GitHub - b3rito/smugglo: smugglo - an easy to use noscript for wrapping files into self-dropping HTML payloads to bypass content…
smugglo - an easy to use noscript for wrapping files into self-dropping HTML payloads to bypass content filters - b3rito/smugglo
🔥4
Forwarded from ♫•♬•ᑎYᑕTOᑭᕼIᒪIᗩ•♫•
بنازم😂
Salty2FA
مثل دوستیه که هم کیف پولت رو میزنه، هم یه کیف جعلی میده دستتو میگه مشتی نگران نباش، همه چیز امنه
گل و بلبل🗿
Salty2FA
مثل دوستیه که هم کیف پولت رو میزنه، هم یه کیف جعلی میده دستتو میگه مشتی نگران نباش، همه چیز امنه
گل و بلبل🗿
🗿4❤1👻1
firewall_misconfig.pdf
1016.9 KB
#Analytics
#hardening
"Beyond the Horizon: Uncovering Hosts and Services Behind Misconfigured Firewalls", 2025.
// In this paper, we present the first comprehensive study of a previously understudied attack surface: firewall misconfigurations that inadvertently expose protected services to the public Internet. Specifically, we demonstrate flawed firewall rules that allow inbound connections from special source ports to bypass the firewall, and explore the prevalence and security implications thereof
See also:
]-> Firewall configurations assessment tool
]-> Configuration security analyzer for network devices
]-> Detect/bypass WAFs and protection systems
]-> Network Configuration Compliance Checker
⭐️ @Zerosec_team
#hardening
"Beyond the Horizon: Uncovering Hosts and Services Behind Misconfigured Firewalls", 2025.
// In this paper, we present the first comprehensive study of a previously understudied attack surface: firewall misconfigurations that inadvertently expose protected services to the public Internet. Specifically, we demonstrate flawed firewall rules that allow inbound connections from special source ports to bypass the firewall, and explore the prevalence and security implications thereof
See also:
]-> Firewall configurations assessment tool
]-> Configuration security analyzer for network devices
]-> Detect/bypass WAFs and protection systems
]-> Network Configuration Compliance Checker
⭐️ @Zerosec_team
❤4
Forwarded from Try Hack Box
Windows Process Injection in 2019 THB.pdf
2.9 MB
این مقاله به بررسی تکنیک های تزریق پروسس در ویندوز میپردازه، که یکی از روش های رایج بدافزارها برای پنهان کاری و دور زدن ابزارهای امنیتی مثل آنتیویروس، DLP (Data Loss Prevention) و فایروالهاست. تزریق پروسس یعنی کد مخرب رو داخل یک پروسس قانونی (مثل explorer.exe) اجرا کنی بدون اینکه فرآیند جدیدی بسازی ...
منبع
@TryHackBox | Github | YouTube | Group
#Windows #Process #Injection
منبع
@TryHackBox | Github | YouTube | Group
#Windows #Process #Injection
👍4
1. Anthropic MCP Inspector Vulnerability
- From XSS to RCE (CVE-2025-58444)
https://medium.com/@Qubit18/from-xss-to-rce-critical-vulnerability-chain-in-anthropic-mcp-inspector-cve-2025-58444-7092ba4ac442
2. XSS-Leak: Leaking Cross-Origin Redirects
https://blog.babelo.xyz/posts/cross-site-subdomain-leak
#WebApp_Security
⭐️ @Zerosec_team
- From XSS to RCE (CVE-2025-58444)
https://medium.com/@Qubit18/from-xss-to-rce-critical-vulnerability-chain-in-anthropic-mcp-inspector-cve-2025-58444-7092ba4ac442
2. XSS-Leak: Leaking Cross-Origin Redirects
https://blog.babelo.xyz/posts/cross-site-subdomain-leak
#WebApp_Security
⭐️ @Zerosec_team
Medium
From XSS to RCE: Critical Vulnerability Chain in Anthropic MCP Inspector(CVE-2025–58444)
When developing an MCP service, I typically use MCP Inspector for code testing and debugging, as it is an open-source inspection…
❤7
یک مینی رایتاپ باگ اخیر خودم روی یک برنامه Public :
نکته :
رفلکشن رو همه Everywhere باید براتون جذاب باشه و سعی کنید اکسپلویت کنید
Check Reflection (All Urls) -> Reflection in JS files ‼️(Backend Handling) -> Exploit Cache -> static JS file was used in login page -> Mass Account Takeover
نکته :
رفلکشن رو همه Everywhere باید براتون جذاب باشه و سعی کنید اکسپلویت کنید
🔥8