💥 مسابقه فتح پرچم دانشگاه تربیت مدرس
⚠️ ویژه دانشجویان دانشگاه به مناسبت هفته پژوهش
📅 زمان برگزاری: ۲۹ آذرماه تا ۱ دیماه ۱۴۰۲
🎁 جوایز مسابقه:
🥇 تیم اول: ۵ میلیون ریال
🥈 تیم دوم: ۳ میلیون ریال
🥉 تیم سوم: ۲ میلیون ریال
🌐 وبگاه مسابقه:
http://ctf.modares.ac.ir
🚩 وبگاه مرکز آپا:
https://cert.modares.ac.ir
📣 اینستاگرام:
https://instagram.com/tmucert
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT
⚠️ ویژه دانشجویان دانشگاه به مناسبت هفته پژوهش
📅 زمان برگزاری: ۲۹ آذرماه تا ۱ دیماه ۱۴۰۲
🎁 جوایز مسابقه:
🥇 تیم اول: ۵ میلیون ریال
🥈 تیم دوم: ۳ میلیون ریال
🥉 تیم سوم: ۲ میلیون ریال
🌐 وبگاه مسابقه:
http://ctf.modares.ac.ir
🚩 وبگاه مرکز آپا:
https://cert.modares.ac.ir
📣 اینستاگرام:
https://instagram.com/tmucert
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT
❤1
💥 سومین دوره مسابقه فتح پرچم دانشگاه تربیت مدرس
⚠️ ویژه دانشجویان دانشگاه
📅 زمان برگزاری: چهارشنبه ۱۹ دیماه ۱۴۰۳
🌐 وبگاه مسابقه:
http://ctf.modares.ac.ir
🚩 وبگاه مرکز آپا:
http://cert.modares.ac.ir
📣 اینستاگرام:
https://instagram.com/tmu.cert
📢 لینکدین:
https://www.linkedin.com/company/tmucert
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT
⚠️ ویژه دانشجویان دانشگاه
📅 زمان برگزاری: چهارشنبه ۱۹ دیماه ۱۴۰۳
🌐 وبگاه مسابقه:
http://ctf.modares.ac.ir
🚩 وبگاه مرکز آپا:
http://cert.modares.ac.ir
📣 اینستاگرام:
https://instagram.com/tmu.cert
📢 لینکدین:
https://www.linkedin.com/company/tmucert
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT
❤2
📢 هشدار امنیتی | شناسایی جاسوسافزار LANDFALL در تلفنهای هوشمند گلکسی سامسونگ
📅 تاریخ انتشار: ۷ نوامبر ۲۰۲۵
🔴 جزئیات هشدار:
پژوهشگران امنیتی خانوادهای جدید از جاسوسافزارهای اندرویدی با نام LANDFALL را شناسایی کردهاند. این بدافزار بهصورت هدفمند کاربران دستگاههای گلکسی سامسونگ را در منطقه خاورمیانه هدف قرار داده و از یک آسیبپذیری روز صفر با شناسه CVE-2025-21042 در کتابخانه پردازش تصویر سامسونگ (libimagecodec.quram.so) بهرهبرداری میکند. در ادامه، ویژگیهای کلیدی این بدافزار شرح داده میشود:
• بدافزار از طریق فایلهای تصویری DNG منتشر میشود که معمولاً از طریق پیامرسان واتساپ ارسال میشوند.
• فایلهای DNG مخرب شامل یک آرشیو ZIP پنهان در انتهای خود هستند که پس از بهرهبرداری از آسیبپذیری، جاسوسافزار را بهطور خودکار روی دستگاه نصب میکند.
• حمله از نوع بدون کلیک (Zero-Click) است؛ بدین معنا که قربانی حتی بدون بازکردن یا هرگونه تعامل با فایل دریافتی آلوده میشود.
• بدافزار توانایی ضبط تماسها و صداهای محیط، سرقت پیامها، تصاویر، فایلها، دادههای سیستمی و نظارت بر فعالیتهای کاربر در واتساپ را دارد.
🔴 محصولات آسیبپذیر:
تلفنهای هوشمند گلکسی سامسونگ (مانند S22 ،S23 ،S24 ،Z Fold4 و Z Flip4) و سایر دستگاههایی که از کتابخانه libimagecodec.quram.so استفاده میکنند.
🔴 راهکارها و اقدامات امنیتی پیشنهادی:
برای محافظت در برابر جاسوسافزار LANDFALL رعایت موارد زیر ضروری است:
• آخرین بهروزرسانیهای امنیتی سامسونگ (بهویژه بهروزرسانیهای مربوط به آسیبپذیری CVE-2025-21042) را اعمال کنید.
• از دریافت تصاویر یا فایلهای DNG از افراد یا گروههای ناشناس در واتساپ و سایر پیامرسانها خودداری نمایید.
• در تنظیمات واتساپ، قابلیت بارگذاری خودکار رسانه را برای پیامهای ناشناس غیرفعال کنید.
• درصورت مشاهده رفتارهای غیرعادی در دستگاه (مانند مصرف غیرعادی باتری، افزایش حرارت یا فعالیت پسزمینه مشکوک)، دستگاه را با نرمافزارهای ضدبدافزار بررسی کرده و درصورت نیاز آن را به تنظیمات کارخانه بازنشانی کنید.
#امنیت_سایبری | #بدافزار_روزصفر | #بدافزار_اندروید | #بدافزار_LANDFALL
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT
📅 تاریخ انتشار: ۷ نوامبر ۲۰۲۵
🔴 جزئیات هشدار:
پژوهشگران امنیتی خانوادهای جدید از جاسوسافزارهای اندرویدی با نام LANDFALL را شناسایی کردهاند. این بدافزار بهصورت هدفمند کاربران دستگاههای گلکسی سامسونگ را در منطقه خاورمیانه هدف قرار داده و از یک آسیبپذیری روز صفر با شناسه CVE-2025-21042 در کتابخانه پردازش تصویر سامسونگ (libimagecodec.quram.so) بهرهبرداری میکند. در ادامه، ویژگیهای کلیدی این بدافزار شرح داده میشود:
• بدافزار از طریق فایلهای تصویری DNG منتشر میشود که معمولاً از طریق پیامرسان واتساپ ارسال میشوند.
• فایلهای DNG مخرب شامل یک آرشیو ZIP پنهان در انتهای خود هستند که پس از بهرهبرداری از آسیبپذیری، جاسوسافزار را بهطور خودکار روی دستگاه نصب میکند.
• حمله از نوع بدون کلیک (Zero-Click) است؛ بدین معنا که قربانی حتی بدون بازکردن یا هرگونه تعامل با فایل دریافتی آلوده میشود.
• بدافزار توانایی ضبط تماسها و صداهای محیط، سرقت پیامها، تصاویر، فایلها، دادههای سیستمی و نظارت بر فعالیتهای کاربر در واتساپ را دارد.
🔴 محصولات آسیبپذیر:
تلفنهای هوشمند گلکسی سامسونگ (مانند S22 ،S23 ،S24 ،Z Fold4 و Z Flip4) و سایر دستگاههایی که از کتابخانه libimagecodec.quram.so استفاده میکنند.
🔴 راهکارها و اقدامات امنیتی پیشنهادی:
برای محافظت در برابر جاسوسافزار LANDFALL رعایت موارد زیر ضروری است:
• آخرین بهروزرسانیهای امنیتی سامسونگ (بهویژه بهروزرسانیهای مربوط به آسیبپذیری CVE-2025-21042) را اعمال کنید.
• از دریافت تصاویر یا فایلهای DNG از افراد یا گروههای ناشناس در واتساپ و سایر پیامرسانها خودداری نمایید.
• در تنظیمات واتساپ، قابلیت بارگذاری خودکار رسانه را برای پیامهای ناشناس غیرفعال کنید.
• درصورت مشاهده رفتارهای غیرعادی در دستگاه (مانند مصرف غیرعادی باتری، افزایش حرارت یا فعالیت پسزمینه مشکوک)، دستگاه را با نرمافزارهای ضدبدافزار بررسی کرده و درصورت نیاز آن را به تنظیمات کارخانه بازنشانی کنید.
#امنیت_سایبری | #بدافزار_روزصفر | #بدافزار_اندروید | #بدافزار_LANDFALL
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT
📢 هشدار امنیتی | شناسایی باجافزار ShinySp1d3r: نسل جدید بدافزارهای خدمتمحور با قابلیتهای پیشرفته
📅 تاریخ انتشار: ۱۹ نوامبر ۲۰۲۵
🔴 جزئیات هشدار:
بدافزار ShinySp1d3r یک سکوی جدید باجافزار بهصورت خدمت (Ransomware-as-a-Service – RaaS) است که با همکاری دو گروه شناختهشده ShinyHunters و Scattered Spider توسعه یافته است. این باجافزار با بهرهگیری از قابلیتهای نوین و سازوکارهای پیشرفته ضدتحلیل، بهعنوان تهدیدی جدی برای زیرساختهای سازمانی شناخته میشود. در ادامه، ویژگیهای کلیدی این باجافزار شرح داده میشود:
• از الگوریتمهای ChaCha20 (برای رمزگذاری سریع دادهها) و RSA-2048 (برای محافظت از کلیدهای رمزنگاری) بهصورت همزمان استفاده میکند.
• با قلابگذاری در تابع سیستمی EtwEventWrite، فرایندهای ردیابی رویدادهای ویندوز را غیرفعال کرده و تمام فعالیتهای مخرب را از دید ابزارهای نظارتی پنهان میکند.
• با حذف کامل Shadow Copies و بازنویسی فضای خالی دیسک با دادههای تصادفی، امکان بازیابی اطلاعات را بهطور کامل از بین میبرد.
• از ابزارهای مدیریتی قانونی سیستمعامل مانند SCM ،WMI و GPO سوءاستفاده کرده تا در شبکه گسترش یابد.
• برای هر فایل رمزشده، یک پسوند یکتا و تصادفی تولید میکند تا فرایند شناسایی و تحلیل را پیچیدهتر کند.
• طراحی آن با تمرکز بر سرعت اجرا و مقاومت در برابر ابزارهای EDR/XDR سنتی صورت گرفته است که اثربخشی مدلهای «تشخیص مبتنیبر رفتار» و «پاسخ به حادثه» را کاهش میدهد.
🔴 محصولات آسیبپذیر:
• تمام نسخههای سیستمعامل مایکروسافت ویندوز
• درحال توسعه برای Linux و VMware ESXi
🔴 راهکارها و اقدامات امنیتی پیشنهادی:
برای محافظت در برابر باجافزار ShinySp1d3r رعایت موارد زیر ضروری است:
• اعمال خطمشیهای سختگیرانه در احراز هویت چندعاملی (MFA)، اصل حداقل دسترسی (PoLP) و پایش فعال فعالیتهای حسابهای کاربری برای جلوگیری از نفوذ اولیه مهاجمان.
• جایگزینی یا تکمیل راهکارهای EDR سنتی با راهکارهای مبتنیبر ایزولهسازی اجرای برنامه (مانند AppGuard) که اجرای کدهای مخرب را در محیطی ایزوله محدود میکنند.
• اطمینان از نگهداری نسخههای پشتیبان در محیطهای غیرمتصل (Air-Gapped) یا ایزوله از شبکه داخلی و غیرقابل دسترس برای حسابهای کاربری عادی یا ابزارهای مدیریتی.
• اعمال قوانین سختگیرانه یا غیرفعالسازی انتخابی قابلیتهایی مانند WMI ،PowerShell Remote و سیاستهای گروهی در بخشهای حساس شبکه بهویژه برای کاربران غیرضروری.
• اجرای منظم سناریوهای واکنش به حادثه و تمرین مهار سریع.
#امنیت_سایبری | #باجافزار | #RaaS | #ShinySp1d3r
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT
📅 تاریخ انتشار: ۱۹ نوامبر ۲۰۲۵
🔴 جزئیات هشدار:
بدافزار ShinySp1d3r یک سکوی جدید باجافزار بهصورت خدمت (Ransomware-as-a-Service – RaaS) است که با همکاری دو گروه شناختهشده ShinyHunters و Scattered Spider توسعه یافته است. این باجافزار با بهرهگیری از قابلیتهای نوین و سازوکارهای پیشرفته ضدتحلیل، بهعنوان تهدیدی جدی برای زیرساختهای سازمانی شناخته میشود. در ادامه، ویژگیهای کلیدی این باجافزار شرح داده میشود:
• از الگوریتمهای ChaCha20 (برای رمزگذاری سریع دادهها) و RSA-2048 (برای محافظت از کلیدهای رمزنگاری) بهصورت همزمان استفاده میکند.
• با قلابگذاری در تابع سیستمی EtwEventWrite، فرایندهای ردیابی رویدادهای ویندوز را غیرفعال کرده و تمام فعالیتهای مخرب را از دید ابزارهای نظارتی پنهان میکند.
• با حذف کامل Shadow Copies و بازنویسی فضای خالی دیسک با دادههای تصادفی، امکان بازیابی اطلاعات را بهطور کامل از بین میبرد.
• از ابزارهای مدیریتی قانونی سیستمعامل مانند SCM ،WMI و GPO سوءاستفاده کرده تا در شبکه گسترش یابد.
• برای هر فایل رمزشده، یک پسوند یکتا و تصادفی تولید میکند تا فرایند شناسایی و تحلیل را پیچیدهتر کند.
• طراحی آن با تمرکز بر سرعت اجرا و مقاومت در برابر ابزارهای EDR/XDR سنتی صورت گرفته است که اثربخشی مدلهای «تشخیص مبتنیبر رفتار» و «پاسخ به حادثه» را کاهش میدهد.
🔴 محصولات آسیبپذیر:
• تمام نسخههای سیستمعامل مایکروسافت ویندوز
• درحال توسعه برای Linux و VMware ESXi
🔴 راهکارها و اقدامات امنیتی پیشنهادی:
برای محافظت در برابر باجافزار ShinySp1d3r رعایت موارد زیر ضروری است:
• اعمال خطمشیهای سختگیرانه در احراز هویت چندعاملی (MFA)، اصل حداقل دسترسی (PoLP) و پایش فعال فعالیتهای حسابهای کاربری برای جلوگیری از نفوذ اولیه مهاجمان.
• جایگزینی یا تکمیل راهکارهای EDR سنتی با راهکارهای مبتنیبر ایزولهسازی اجرای برنامه (مانند AppGuard) که اجرای کدهای مخرب را در محیطی ایزوله محدود میکنند.
• اطمینان از نگهداری نسخههای پشتیبان در محیطهای غیرمتصل (Air-Gapped) یا ایزوله از شبکه داخلی و غیرقابل دسترس برای حسابهای کاربری عادی یا ابزارهای مدیریتی.
• اعمال قوانین سختگیرانه یا غیرفعالسازی انتخابی قابلیتهایی مانند WMI ،PowerShell Remote و سیاستهای گروهی در بخشهای حساس شبکه بهویژه برای کاربران غیرضروری.
• اجرای منظم سناریوهای واکنش به حادثه و تمرین مهار سریع.
#امنیت_سایبری | #باجافزار | #RaaS | #ShinySp1d3r
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT
📢 هشدار امنیتی | شناسایی بدافزار Albiriox با قابلیت کنترل لحظهای دستگاههای اندرویدی و سرقت دادههای بانکی
📅 تاریخ انتشار: ۱ دسامبر ۲۰۲۵
🔴 جزئیات هشدار:
بدافزار Albiriox بهصورت «بدافزار بهعنوان خدمت» (Malware-as-a-Service – MaaS) ارائه میشود و امکان کنترل کامل و لحظهای دستگاههای اندرویدی آلوده را برای مهاجمان فراهم میکند. این بدافزار از طریق پیامکهای فیشینگ (Smishing)، برنامههای جعلی و صفحات دانلود تقلبی منتشر میشود و تاکنون بیش از ۴۰۰ برنامه مرتبط با بانکداری الکترونیکی و کیفپولهای رمزارزی را هدف قرار داده است.
این بدافزار با سوءاستفاده از مجوزهای دسترسیپذیری (Accessibility)، نمایش صفحات جعلی (Overlay) و بهرهگیری از ماژول VNC قادر است بهصورت مستقیم تراکنشهای مالی را روی دستگاه قربانی انجام دهد و حتی سازوکارهای احراز هویت چندعاملی (MFA) را دور بزند.
🔴 محصولات آسیبپذیر:
• دستگاههای اندرویدی (تمام نسخهها)
• برنامههای بانکی، پرداخت برخط، صرافیهای دیجیتال و کیفپولهای رمزارزی (تاکنون بیش از ۴۰۰ برنامه در فهرست اهداف این بدافزار شناسایی شدهاند)
🔴 راهکارها و اقدامات امنیتی پیشنهادی:
برای محافظت در برابر بدافزار Albiriox رعایت موارد زیر ضروری است:
• برنامهها را تنها از فروشگاههای رسمی (مانند Google Play) دریافت و نصب کنید.
• روی پیوندهای ناشناس در پیامکها، ایمیلها یا پیامرسانهایی مانند واتساپ کلیک نکنید.
• دسترسیهای حساس (مانند دسترسی به پیامکها و امکان نصب از منابع ناشناخته) را بررسی و محدود کنید.
• سیستمعامل دستگاه، خدمات گوگل (Google Play Services) و برنامههای مالی را همواره بهروز نگه دارید.
• در خدمات بانکی و رمزارزی، از روشهای احراز هویت دوعاملی مبتنیبر برنامه یا سختافزار (مانند کلیدهای امنیتی) بهجای پیامک استفاده کنید.
• هشدارهای امنیتی حساب (شامل ورودهای جدید و انتقالهای مالی) را فعال کنید تا در سریعترین زمان ممکن از هرگونه فعالیت مشکوک مطلع شوید.
#امنیت_سایبری | #بدافزار_اندروید | #Albiriox | #MaaS
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT
📅 تاریخ انتشار: ۱ دسامبر ۲۰۲۵
🔴 جزئیات هشدار:
بدافزار Albiriox بهصورت «بدافزار بهعنوان خدمت» (Malware-as-a-Service – MaaS) ارائه میشود و امکان کنترل کامل و لحظهای دستگاههای اندرویدی آلوده را برای مهاجمان فراهم میکند. این بدافزار از طریق پیامکهای فیشینگ (Smishing)، برنامههای جعلی و صفحات دانلود تقلبی منتشر میشود و تاکنون بیش از ۴۰۰ برنامه مرتبط با بانکداری الکترونیکی و کیفپولهای رمزارزی را هدف قرار داده است.
این بدافزار با سوءاستفاده از مجوزهای دسترسیپذیری (Accessibility)، نمایش صفحات جعلی (Overlay) و بهرهگیری از ماژول VNC قادر است بهصورت مستقیم تراکنشهای مالی را روی دستگاه قربانی انجام دهد و حتی سازوکارهای احراز هویت چندعاملی (MFA) را دور بزند.
🔴 محصولات آسیبپذیر:
• دستگاههای اندرویدی (تمام نسخهها)
• برنامههای بانکی، پرداخت برخط، صرافیهای دیجیتال و کیفپولهای رمزارزی (تاکنون بیش از ۴۰۰ برنامه در فهرست اهداف این بدافزار شناسایی شدهاند)
🔴 راهکارها و اقدامات امنیتی پیشنهادی:
برای محافظت در برابر بدافزار Albiriox رعایت موارد زیر ضروری است:
• برنامهها را تنها از فروشگاههای رسمی (مانند Google Play) دریافت و نصب کنید.
• روی پیوندهای ناشناس در پیامکها، ایمیلها یا پیامرسانهایی مانند واتساپ کلیک نکنید.
• دسترسیهای حساس (مانند دسترسی به پیامکها و امکان نصب از منابع ناشناخته) را بررسی و محدود کنید.
• سیستمعامل دستگاه، خدمات گوگل (Google Play Services) و برنامههای مالی را همواره بهروز نگه دارید.
• در خدمات بانکی و رمزارزی، از روشهای احراز هویت دوعاملی مبتنیبر برنامه یا سختافزار (مانند کلیدهای امنیتی) بهجای پیامک استفاده کنید.
• هشدارهای امنیتی حساب (شامل ورودهای جدید و انتقالهای مالی) را فعال کنید تا در سریعترین زمان ممکن از هرگونه فعالیت مشکوک مطلع شوید.
#امنیت_سایبری | #بدافزار_اندروید | #Albiriox | #MaaS
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT
📢 هشدار امنیتی | شناسایی بدافزار اندرویدی Fantasy Hub با قابلیت سرقت اطلاعات بانکی و دسترسی به پیامکها
📅 تاریخ انتشار: ۶ نوامبر ۲۰۲۵
🔴 جزئیات هشدار:
بدافزار Fantasy Hub یک تروجان دسترسی از راهدور (RAT) برای سیستمعامل اندروید است که در قالب «بدافزار بهعنوان خدمت» (MaaS) از طریق کانالهای تلگرامی توزیع میشود. این بدافزار با سوءاستفاده از مجوز سیستمی «مدیر پیشفرض پیامک» به طیف گستردهای از اطلاعات حساس کاربران دسترسی پیدا میکند. قابلیتهای تخریبی این بدافزار شامل موارد زیر است:
• سرقت پیامکها (شامل کدهای تأیید دومرحلهای)، مخاطبین، تاریخچه تماسها، تصاویر و ویدیوها
• نمایش پنجرههای جعلی برای فریب کاربر و سرقت اعتبارنامههای بانکی
• پخش زنده تصاویر دوربین و صدای میکروفون قربانی با استفاده از فناوری WebRTC
• قابلیت تخریب خودکار (Self-Destruct) برای حذف ردپا و پاکسازی آثار حضور بدافزار از دستگاه
ترکیب خطرناک دسترسیهای گسترده و قابلیتهای پنهانسازی، Fantasy Hub را به تهدیدی جدی برای امنیت اطلاعات و حریم خصوصی کاربران اندروید تبدیل کرده است.
🔴 محصولات آسیبپذیر:
• تمام دستگاههای اندرویدی با نسخههای قدیمی سیستمعامل یا فاقد بهروزرسانیهای امنیتی
• کاربرانی که از دستگاههای شخصی برای دسترسی به خدمات بانکی یا سامانههای سازمانی استفاده میکنند
• سازمانهایی که فاقد کنترل بر نصب برنامههای شخص ثالث روی دستگاههای کارمندان هستند
🔴 راهکارها و اقدامات امنیتی پیشنهادی:
برای محافظت در برابر بدافزار Fantasy Hub رعایت نکات زیر ضروری است:
• از نصب برنامهها از منابع غیررسمی یا ناشناخته خودداری کنید.
• سیستمعامل و تمامی برنامههای دستگاه را همیشه بهروز نگه دارید.
• مجوز سیستمی حیاتی «مدیر پیشفرض پیامک» را تنها به برنامههای معتبر و شناختهشده اعطا کنید و از ارائه آن به برنامههای غیرضروری یا ناشناس بهشدت خودداری کنید.
• در سطح سازمانی و بهویژه برای کاربران حساس، استفاده از راهحلهای Mobile Threat Defense (MTD) مانند Zimperium zDefend توصیه میشود. این ابزارها با تحلیل رفتاری برنامهها و فعالیتهای دستگاه قادر به شناسایی تهدیدات ناشناخته و مبتنیبر رفتار هستند.
#امنیت_سایبری | #بدافزار_اندروید | #تروجان | #RAT | #MaaS | #FantasyHub
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT
📅 تاریخ انتشار: ۶ نوامبر ۲۰۲۵
🔴 جزئیات هشدار:
بدافزار Fantasy Hub یک تروجان دسترسی از راهدور (RAT) برای سیستمعامل اندروید است که در قالب «بدافزار بهعنوان خدمت» (MaaS) از طریق کانالهای تلگرامی توزیع میشود. این بدافزار با سوءاستفاده از مجوز سیستمی «مدیر پیشفرض پیامک» به طیف گستردهای از اطلاعات حساس کاربران دسترسی پیدا میکند. قابلیتهای تخریبی این بدافزار شامل موارد زیر است:
• سرقت پیامکها (شامل کدهای تأیید دومرحلهای)، مخاطبین، تاریخچه تماسها، تصاویر و ویدیوها
• نمایش پنجرههای جعلی برای فریب کاربر و سرقت اعتبارنامههای بانکی
• پخش زنده تصاویر دوربین و صدای میکروفون قربانی با استفاده از فناوری WebRTC
• قابلیت تخریب خودکار (Self-Destruct) برای حذف ردپا و پاکسازی آثار حضور بدافزار از دستگاه
ترکیب خطرناک دسترسیهای گسترده و قابلیتهای پنهانسازی، Fantasy Hub را به تهدیدی جدی برای امنیت اطلاعات و حریم خصوصی کاربران اندروید تبدیل کرده است.
🔴 محصولات آسیبپذیر:
• تمام دستگاههای اندرویدی با نسخههای قدیمی سیستمعامل یا فاقد بهروزرسانیهای امنیتی
• کاربرانی که از دستگاههای شخصی برای دسترسی به خدمات بانکی یا سامانههای سازمانی استفاده میکنند
• سازمانهایی که فاقد کنترل بر نصب برنامههای شخص ثالث روی دستگاههای کارمندان هستند
🔴 راهکارها و اقدامات امنیتی پیشنهادی:
برای محافظت در برابر بدافزار Fantasy Hub رعایت نکات زیر ضروری است:
• از نصب برنامهها از منابع غیررسمی یا ناشناخته خودداری کنید.
• سیستمعامل و تمامی برنامههای دستگاه را همیشه بهروز نگه دارید.
• مجوز سیستمی حیاتی «مدیر پیشفرض پیامک» را تنها به برنامههای معتبر و شناختهشده اعطا کنید و از ارائه آن به برنامههای غیرضروری یا ناشناس بهشدت خودداری کنید.
• در سطح سازمانی و بهویژه برای کاربران حساس، استفاده از راهحلهای Mobile Threat Defense (MTD) مانند Zimperium zDefend توصیه میشود. این ابزارها با تحلیل رفتاری برنامهها و فعالیتهای دستگاه قادر به شناسایی تهدیدات ناشناخته و مبتنیبر رفتار هستند.
#امنیت_سایبری | #بدافزار_اندروید | #تروجان | #RAT | #MaaS | #FantasyHub
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT
📣 اطلاعرسانی | انتشار نسخه جدید Caido: جایگزینی متنباز و قدرتمند برای Burp Suite
📅 تاریخ انتشار: ۶ نوامبر ۲۰۲۵
🔴 متن کامل خبر:
نسخه جدید Caido (v0.53.0) با مجموعهای از ویژگیهای پیشرفته شامل همکاری تیمی، تبدیلهای هوشمند داده، پشتیبانی از تغییر مسیر در آزمونهای خودکار و بهبودهای گسترده برای توسعهدهندگان بهعنوان جایگزینی کارآمد برای ابزارهایی مانند Burp Suite معرفی شده است. در ادامه، ویژگیهای کلیدی این نسخه شرح داده میشود:
• اشتراکگذاری نمونه (برای پلن تیمی): این قابلیت به تیمها اجازه میدهد آزمونهای امنیتی را دقیقاً از نقطهای که همتیمی آن را متوقف کرده ادامه دهند و زمینهی همکاری بیدرنگ و مؤثر را فراهم میکند.
• پنل تبدیل سریع (Convert Drawer): یک پنل جدید در پایین رابط کاربری که بهصورت خودکار انواع کدگذاریها از جمله Base64، Base64 URL، URL Encoding و HTML Encoding را تشخیص داده و امکان تبدیل سریع و تککلیکی را فراهم میکند.
• تبدیل خودکار بدنه درخواست: با راستکلیک روی درخواستهای POST، کاربران میتوانند بهراحتی بین قالبهای JSON و x-www-form-urlencoded جابهجا شوند.
• ذخیره مستقیم درخواست در فایل: گزینه جدیدی در منوی راستکلیک اضافه شده که امکان ذخیره مستقیم درخواستهای HTTP را در قالب فایل فراهم میکند.
• جایگزینی SNI Override در Match & Replace: امکان جایگزینی فیلد Server Name Indication (SNI) در درخواستهای TLS افزوده شده است. این قابلیت برای آزمونهای پیشرفته و امنیت TLS بسیار کاربردی است.
#امنیت_وب | #آزمون_نفوذپذیری | #Caido | #BurpSuite
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT
📅 تاریخ انتشار: ۶ نوامبر ۲۰۲۵
🔴 متن کامل خبر:
نسخه جدید Caido (v0.53.0) با مجموعهای از ویژگیهای پیشرفته شامل همکاری تیمی، تبدیلهای هوشمند داده، پشتیبانی از تغییر مسیر در آزمونهای خودکار و بهبودهای گسترده برای توسعهدهندگان بهعنوان جایگزینی کارآمد برای ابزارهایی مانند Burp Suite معرفی شده است. در ادامه، ویژگیهای کلیدی این نسخه شرح داده میشود:
• اشتراکگذاری نمونه (برای پلن تیمی): این قابلیت به تیمها اجازه میدهد آزمونهای امنیتی را دقیقاً از نقطهای که همتیمی آن را متوقف کرده ادامه دهند و زمینهی همکاری بیدرنگ و مؤثر را فراهم میکند.
• پنل تبدیل سریع (Convert Drawer): یک پنل جدید در پایین رابط کاربری که بهصورت خودکار انواع کدگذاریها از جمله Base64، Base64 URL، URL Encoding و HTML Encoding را تشخیص داده و امکان تبدیل سریع و تککلیکی را فراهم میکند.
• تبدیل خودکار بدنه درخواست: با راستکلیک روی درخواستهای POST، کاربران میتوانند بهراحتی بین قالبهای JSON و x-www-form-urlencoded جابهجا شوند.
• ذخیره مستقیم درخواست در فایل: گزینه جدیدی در منوی راستکلیک اضافه شده که امکان ذخیره مستقیم درخواستهای HTTP را در قالب فایل فراهم میکند.
• جایگزینی SNI Override در Match & Replace: امکان جایگزینی فیلد Server Name Indication (SNI) در درخواستهای TLS افزوده شده است. این قابلیت برای آزمونهای پیشرفته و امنیت TLS بسیار کاربردی است.
#امنیت_وب | #آزمون_نفوذپذیری | #Caido | #BurpSuite
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT
📣 اطلاعرسانی | انتشار نسخه جدید ParrotOS: پایداری همراه با مجموعهای کامل از ابزارهای آزمون نفوذپذیری
📅 تاریخ انتشار: ۱۰ دسامبر ۲۰۲۵
🔴 متن کامل خبر:
سیستمعامل Parrot یک توزیع لینوکسی مبتنیبر Debian است که بهطور ویژه برای آزمون نفوذپذیری، تحلیل امنیتی، جرمیابی دیجیتال و حفظ حریم خصوصی توسعه یافته است. این سیستمعامل امنیتی با رویکردی ابزارمحور و تمرکز بر سبکی، امنیت و کارایی، در کنار توزیعهایی مانند Kali Linux بهعنوان یکی از گزینههای اصلی پژوهشگران امنیت سایبری شناخته میشود و محبوبیت گستردهای میان پژوهشگران و کاربران حرفهای دارد.
نسخه بتای Parrot Security OS 7.0 با مجموعهای از تغییرات بنیادین، نسل تازهای از تجربه کاربری را رقم زده است:
• ادغام کامل با Debian 13 (Trixie) و بهرهمندی از آخرین بهبودهای این توزیع
• بازطراحی کامل محیط دسکتاپ و انتخاب KDE بهعنوان محیط رسمی و پیشفرض
• پشتیبانی گستردهتر از Wayland، Qt6 و نمایشگرهای HiDPI/4K برای ارائه کیفیت بصری و پایداری بیشتر
این تغییرات باعث شده است که Parrot OS تجربهای مدرنتر، روانتر و سازگارتر با سختافزارهای نوین ارائه دهد؛ موضوعی که رقابتپذیری آن را در برابر Kali Linux بهطور قابلتوجهی افزایش میدهد.
بخشهای کلیدی سیستمعامل مانند parrot-core، parrot-interface، parrot-themes و تنظیمات نصبکننده در این نسخه بهروزرسانی شدهاند. همچنین، اسکریپتهای منو که پیشتر با زبان Nim پیادهسازی شده بودند، اکنون با زبان Go بازنویسی شدهاند تا از نظر سرعت، پایداری و سهولت نگهداری عملکرد بهتری ارائه دهند.
در کنار این تغییرات، رابط کاربری ابزار مدیریت بسته apt نیز بازطراحی شده و اکنون با خروجیهای رنگی، ستونبندی منظمتر و نمایش شفافتر خطاهای وابستگی تجربهای خواناتر و حرفهایتر ارائه میدهد.
#امنیت_سایبری | #آزمون_نفوذپذیری | #ParrotOS | #Kali_Linux
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT
📅 تاریخ انتشار: ۱۰ دسامبر ۲۰۲۵
🔴 متن کامل خبر:
سیستمعامل Parrot یک توزیع لینوکسی مبتنیبر Debian است که بهطور ویژه برای آزمون نفوذپذیری، تحلیل امنیتی، جرمیابی دیجیتال و حفظ حریم خصوصی توسعه یافته است. این سیستمعامل امنیتی با رویکردی ابزارمحور و تمرکز بر سبکی، امنیت و کارایی، در کنار توزیعهایی مانند Kali Linux بهعنوان یکی از گزینههای اصلی پژوهشگران امنیت سایبری شناخته میشود و محبوبیت گستردهای میان پژوهشگران و کاربران حرفهای دارد.
نسخه بتای Parrot Security OS 7.0 با مجموعهای از تغییرات بنیادین، نسل تازهای از تجربه کاربری را رقم زده است:
• ادغام کامل با Debian 13 (Trixie) و بهرهمندی از آخرین بهبودهای این توزیع
• بازطراحی کامل محیط دسکتاپ و انتخاب KDE بهعنوان محیط رسمی و پیشفرض
• پشتیبانی گستردهتر از Wayland، Qt6 و نمایشگرهای HiDPI/4K برای ارائه کیفیت بصری و پایداری بیشتر
این تغییرات باعث شده است که Parrot OS تجربهای مدرنتر، روانتر و سازگارتر با سختافزارهای نوین ارائه دهد؛ موضوعی که رقابتپذیری آن را در برابر Kali Linux بهطور قابلتوجهی افزایش میدهد.
بخشهای کلیدی سیستمعامل مانند parrot-core، parrot-interface، parrot-themes و تنظیمات نصبکننده در این نسخه بهروزرسانی شدهاند. همچنین، اسکریپتهای منو که پیشتر با زبان Nim پیادهسازی شده بودند، اکنون با زبان Go بازنویسی شدهاند تا از نظر سرعت، پایداری و سهولت نگهداری عملکرد بهتری ارائه دهند.
در کنار این تغییرات، رابط کاربری ابزار مدیریت بسته apt نیز بازطراحی شده و اکنون با خروجیهای رنگی، ستونبندی منظمتر و نمایش شفافتر خطاهای وابستگی تجربهای خواناتر و حرفهایتر ارائه میدهد.
#امنیت_سایبری | #آزمون_نفوذپذیری | #ParrotOS | #Kali_Linux
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT
📣 اطلاعرسانی | انتشار نسخه جدید ابزار Wireshark با رفع آسیبپذیریهای امنیتی
📅 تاریخ انتشار: ۱۵ دسامبر ۲۰۲۵
🔴 متن کامل خبر:
ابزار Wireshark یکی از محبوبترین و قدرتمندترین ابزارهای تحلیل ترافیک شبکه است که بهطور گسترده توسط متخصصان امنیت سایبری، مهندسان شبکه و پژوهشگران برای بررسی بستههای داده، عیبیابی ارتباطات و تحلیل رفتار پروتکلها مورد استفاده قرار میگیرد. این ابزار متنباز بهطور پیوسته بهروزرسانی میشود تا ضمن افزودن قابلیتهای جدید، آسیبپذیریهای امنیتی احتمالی بهسرعت رفع شوند.
در همین راستا، Wireshark نسخه 4.6.2 را با تمرکز بر امنیت و پایداری منتشر کرده است. این نسخه دو آسیبپذیری بحرانی را رفع میکند:
• مشکل Crash در dissector پروتکل HTTP/3 (شناسه wnpa-sec-2025-07) که میتواند باعث حملات DoS شود.
• وجود حلقه بیپایان در dissector پروتکل MEGACO (شناسه wnpa-sec-2025-08) که هنگام پردازش ترافیک MEGACO باعث خرابی نرمافزار میشود.
علاوهبر رفع این آسیبپذیریها، بهروزرسانی جدید شامل موارد زیر است:
• رفع ناسازگاری API/ABI که در نسخه 4.6.1 معرفی شده بود و مانع از کارکرد صحیح افزونههای سازگار با نسخه 4.6.0 میشد.
• اصلاح آسیبپذیری سرریزی بافر در مولفه wiretap BER decoder که میتوانست هنگام تحلیل فایلهای خاص، مخاطره امنیتی ایجاد کند.
• افزودن پشتیبانی از قالب جدید Peektagged و بازیابی پشتیبانی از قالب فایل Omnipeek که در نسخه قبلی غیرفعال شده بود.
این بهروزرسانی برای تیمهای امنیتی، مهندسان شبکه و سازمانهایی که به تحلیل ترافیک شبکه وابسته هستند، اهمیت بالایی دارد. به تمامی کاربران توصیه میشود در اسرع وقت نسبت به ارتقای نرمافزار به نسخه جدید اقدام کنند.
#امنیت_شبکه | #Wireshark | #آسیبپذیری_امنیتی
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT
📅 تاریخ انتشار: ۱۵ دسامبر ۲۰۲۵
🔴 متن کامل خبر:
ابزار Wireshark یکی از محبوبترین و قدرتمندترین ابزارهای تحلیل ترافیک شبکه است که بهطور گسترده توسط متخصصان امنیت سایبری، مهندسان شبکه و پژوهشگران برای بررسی بستههای داده، عیبیابی ارتباطات و تحلیل رفتار پروتکلها مورد استفاده قرار میگیرد. این ابزار متنباز بهطور پیوسته بهروزرسانی میشود تا ضمن افزودن قابلیتهای جدید، آسیبپذیریهای امنیتی احتمالی بهسرعت رفع شوند.
در همین راستا، Wireshark نسخه 4.6.2 را با تمرکز بر امنیت و پایداری منتشر کرده است. این نسخه دو آسیبپذیری بحرانی را رفع میکند:
• مشکل Crash در dissector پروتکل HTTP/3 (شناسه wnpa-sec-2025-07) که میتواند باعث حملات DoS شود.
• وجود حلقه بیپایان در dissector پروتکل MEGACO (شناسه wnpa-sec-2025-08) که هنگام پردازش ترافیک MEGACO باعث خرابی نرمافزار میشود.
علاوهبر رفع این آسیبپذیریها، بهروزرسانی جدید شامل موارد زیر است:
• رفع ناسازگاری API/ABI که در نسخه 4.6.1 معرفی شده بود و مانع از کارکرد صحیح افزونههای سازگار با نسخه 4.6.0 میشد.
• اصلاح آسیبپذیری سرریزی بافر در مولفه wiretap BER decoder که میتوانست هنگام تحلیل فایلهای خاص، مخاطره امنیتی ایجاد کند.
• افزودن پشتیبانی از قالب جدید Peektagged و بازیابی پشتیبانی از قالب فایل Omnipeek که در نسخه قبلی غیرفعال شده بود.
این بهروزرسانی برای تیمهای امنیتی، مهندسان شبکه و سازمانهایی که به تحلیل ترافیک شبکه وابسته هستند، اهمیت بالایی دارد. به تمامی کاربران توصیه میشود در اسرع وقت نسبت به ارتقای نرمافزار به نسخه جدید اقدام کنند.
#امنیت_شبکه | #Wireshark | #آسیبپذیری_امنیتی
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT
👍1
📢 هشدار امنیتی | آسیبپذیری بحرانی در OpenShift GitOps با امکان تصاحب کامل خوشه
📅 تاریخ انتشار: ۱۶ دسامبر ۲۰۲۵
🔴 جزئیات هشدار:
آسیبپذیری جدیدی با شناسه CVE-2025-13888 در خدمت OpenShift GitOps شناسایی شده است. OpenShift GitOps یک خدمت مبتنی بر Argo CD است که از رویکرد GitOps برای مدیریت خودکار فرایندهای استقرار (Deployments) در خوشههای Kubernetes بهره میبرد. این خدمت، وضعیت مطلوب زیرساختها و برنامههای کاربردی را با همگامسازی با مخازن Git اعمال و نگهداری میکند. با توجه به نقش حیاتی این خدمت در کنترل چرخه استقرار، مدیریت پیکربندیها و تضمین همگامی خوشه با منابع کد، هرگونه آسیبپذیری امنیتی در آن میتواند پیامدهای گستردهای (شامل دستکاری فرایندهای استقرار، دسترسی غیرمجاز به زیرساختهای حساس و ایجاد مخاطرات زنجیرهای در محیطهای تولید) بههمراه داشته باشد.
این آسیبپذیری به کاربران دارای نقش Namespace Administrator امکان میدهد سطح دسترسی خود را به سطح دسترسی ریشه (root) در کل خوشه ارتقا دهند. این مشکل ناشی از اعتبارسنجی نادرست مجوزها هنگام ایجاد منابع سفارشی در Argo CD است. اگرچه شرکت Red Hat شدت این آسیبپذیری را در سطح «Important» ارزیابی کرده است، اما از دیدگاه فنی و عملیاتی، تأثیر آن در محیطهای واقعی بحرانی محسوب میشود؛ بهویژه در سازمانهایی که مدیران فضای نام از سطح اعتماد کامل برخوردار نیستند.
🔴 محصولات آسیبپذیر:
• نسخههای 1.16، 1.17 و 1.18 OpenShift GitOps
🔴 راهکارها و اقدامات امنیتی پیشنهادی:
• بهروزرسانی فوری به آخرین نسخههای اصلاحشده توسط Red Hat که آسیبپذیری CVE-2025-13888 را رفع میکنند
• محدودسازی و بازبینی پیوسته دسترسیهای مدیریتی در فضاهای نام براساس اصل حداقل دسترسی
• نظارت پیوسته و حسابرسی دقیق بر منابع سفارشی Argo CD
• پایش فعال رویدادهای امنیتی بهمنظور شناسایی رفتارهای مشکوک یا تلاشهای ارتقای غیرمجاز دسترسی در سطح خوشه
#امنیت_سایبری | #CVE202513888| #OpenShift | #GitOps
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT
📅 تاریخ انتشار: ۱۶ دسامبر ۲۰۲۵
🔴 جزئیات هشدار:
آسیبپذیری جدیدی با شناسه CVE-2025-13888 در خدمت OpenShift GitOps شناسایی شده است. OpenShift GitOps یک خدمت مبتنی بر Argo CD است که از رویکرد GitOps برای مدیریت خودکار فرایندهای استقرار (Deployments) در خوشههای Kubernetes بهره میبرد. این خدمت، وضعیت مطلوب زیرساختها و برنامههای کاربردی را با همگامسازی با مخازن Git اعمال و نگهداری میکند. با توجه به نقش حیاتی این خدمت در کنترل چرخه استقرار، مدیریت پیکربندیها و تضمین همگامی خوشه با منابع کد، هرگونه آسیبپذیری امنیتی در آن میتواند پیامدهای گستردهای (شامل دستکاری فرایندهای استقرار، دسترسی غیرمجاز به زیرساختهای حساس و ایجاد مخاطرات زنجیرهای در محیطهای تولید) بههمراه داشته باشد.
این آسیبپذیری به کاربران دارای نقش Namespace Administrator امکان میدهد سطح دسترسی خود را به سطح دسترسی ریشه (root) در کل خوشه ارتقا دهند. این مشکل ناشی از اعتبارسنجی نادرست مجوزها هنگام ایجاد منابع سفارشی در Argo CD است. اگرچه شرکت Red Hat شدت این آسیبپذیری را در سطح «Important» ارزیابی کرده است، اما از دیدگاه فنی و عملیاتی، تأثیر آن در محیطهای واقعی بحرانی محسوب میشود؛ بهویژه در سازمانهایی که مدیران فضای نام از سطح اعتماد کامل برخوردار نیستند.
🔴 محصولات آسیبپذیر:
• نسخههای 1.16، 1.17 و 1.18 OpenShift GitOps
🔴 راهکارها و اقدامات امنیتی پیشنهادی:
• بهروزرسانی فوری به آخرین نسخههای اصلاحشده توسط Red Hat که آسیبپذیری CVE-2025-13888 را رفع میکنند
• محدودسازی و بازبینی پیوسته دسترسیهای مدیریتی در فضاهای نام براساس اصل حداقل دسترسی
• نظارت پیوسته و حسابرسی دقیق بر منابع سفارشی Argo CD
• پایش فعال رویدادهای امنیتی بهمنظور شناسایی رفتارهای مشکوک یا تلاشهای ارتقای غیرمجاز دسترسی در سطح خوشه
#امنیت_سایبری | #CVE202513888| #OpenShift | #GitOps
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT
📢 هشدار امنیتی | شناسایی بدافزار SantaStealer: خدمت جدید مجرمان سایبری برای سرقت دادهها
📅 تاریخ انتشار: ۱۶ دسامبر ۲۰۲۵
🔴 جزئیات هشدار:
بدافزار SantaStealer یک بدافزار جدید از نوع (Malware-as-a-Service) MaaS است که بهعنوان نسخهای بازطراحیشده از BluelineStealer معرفی شده است. این بدافزار توسط مجرمان سایبری در کانالهای تلگرام و انجمنهای زیرزمینی مانند Lolz تبلیغ میشود و بهطور کامل با زبان C توسعه یافته است.
بدافزار SantaStealer قادر است دادههای حساس کاربران را جمعآوری کرده و به کارگزار فرمان و کنترل (C2) ارسال کند. اطلاعات هدف این بدافزار شامل اعتبارنامههای ذخیرهشده در مرورگرهای مبتنی بر Chromium (بهویژه Google Chrome)، دادههای حساب کاربری Steam، کیفپولهای رمزارزی و فایلهای شخصی کاربران است.
تحلیلهای انجامشده توسط Rapid7 نشان میدهد که برخلاف ادعای توسعهدهندگان، نسخههای انتشاریافته این بدافزار فاقد هرگونه سازوکار رمزنگاری هستند و حتی شامل نمادهای اشکالزدایی میشوند؛ مسئلهای که فرایند تحلیل بدافزار و مهندسی معکوس را بهطور قابلتوجهی سادهتر میکند. این بدافزار از ۱۴ ماژول قابل فعالسازی از طریق یک پنل تحتوب بهره میبرد و برای انتشار خود، از آسیبپذیری CVE-2025-8088 در ابزار WinRAR بهرهبرداری میکند.
🔴 محصولات آسیبپذیر:
• سیستمعاملهای ویندوز
• مرورگرهای مبتنی بر Chromium
• برنامههایی مانند Steam و کیفپولهای رمزنگاری
• نسخههای آسیبپذیر WinRAR (CVE-2025-8088)
🔴 راهکارها و اقدامات امنیتی پیشنهادی:
• از بازکردن پیوندها و فایلهای ناشناس در پیامرسانها یا شبکههای اجتماعی خودداری کنید.
• از نصب نرمافزارهای غیررسمی یا افزونههای تأییدنشده پرهیز کنید.
• به پیامهایی با عناوین گمراهکننده مانند «درخواست پشتیبانی فنی» در وبگاههای مشکوک اعتماد نکنید؛ این پیامها معمولاً بخشی از سناریوهای فیشینگ یا مهندسی اجتماعی هستند که با هدف نصب بدافزار یا سرقت اعتبارنامهها طراحی میشوند.
• ابزارهایی مانند WinRAR و سایر نرمافزارهای پرکاربرد را بهروز نگه دارید تا از آسیبپذیریهای شناختهشده (مانند CVE-2025-8088) در امان بمانید.
• از آنتیویروسهای معتبر و راهکارهای EDR برای افزایش سطح دفاع، شناسایی فعالیتهای مشکوک و مقابله با تهدیدات پیشرفته استفاده کنید.
#امنیت_سایبری | #بدافزار | #SantaStealer | #MaaS
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT
📅 تاریخ انتشار: ۱۶ دسامبر ۲۰۲۵
🔴 جزئیات هشدار:
بدافزار SantaStealer یک بدافزار جدید از نوع (Malware-as-a-Service) MaaS است که بهعنوان نسخهای بازطراحیشده از BluelineStealer معرفی شده است. این بدافزار توسط مجرمان سایبری در کانالهای تلگرام و انجمنهای زیرزمینی مانند Lolz تبلیغ میشود و بهطور کامل با زبان C توسعه یافته است.
بدافزار SantaStealer قادر است دادههای حساس کاربران را جمعآوری کرده و به کارگزار فرمان و کنترل (C2) ارسال کند. اطلاعات هدف این بدافزار شامل اعتبارنامههای ذخیرهشده در مرورگرهای مبتنی بر Chromium (بهویژه Google Chrome)، دادههای حساب کاربری Steam، کیفپولهای رمزارزی و فایلهای شخصی کاربران است.
تحلیلهای انجامشده توسط Rapid7 نشان میدهد که برخلاف ادعای توسعهدهندگان، نسخههای انتشاریافته این بدافزار فاقد هرگونه سازوکار رمزنگاری هستند و حتی شامل نمادهای اشکالزدایی میشوند؛ مسئلهای که فرایند تحلیل بدافزار و مهندسی معکوس را بهطور قابلتوجهی سادهتر میکند. این بدافزار از ۱۴ ماژول قابل فعالسازی از طریق یک پنل تحتوب بهره میبرد و برای انتشار خود، از آسیبپذیری CVE-2025-8088 در ابزار WinRAR بهرهبرداری میکند.
🔴 محصولات آسیبپذیر:
• سیستمعاملهای ویندوز
• مرورگرهای مبتنی بر Chromium
• برنامههایی مانند Steam و کیفپولهای رمزنگاری
• نسخههای آسیبپذیر WinRAR (CVE-2025-8088)
🔴 راهکارها و اقدامات امنیتی پیشنهادی:
• از بازکردن پیوندها و فایلهای ناشناس در پیامرسانها یا شبکههای اجتماعی خودداری کنید.
• از نصب نرمافزارهای غیررسمی یا افزونههای تأییدنشده پرهیز کنید.
• به پیامهایی با عناوین گمراهکننده مانند «درخواست پشتیبانی فنی» در وبگاههای مشکوک اعتماد نکنید؛ این پیامها معمولاً بخشی از سناریوهای فیشینگ یا مهندسی اجتماعی هستند که با هدف نصب بدافزار یا سرقت اعتبارنامهها طراحی میشوند.
• ابزارهایی مانند WinRAR و سایر نرمافزارهای پرکاربرد را بهروز نگه دارید تا از آسیبپذیریهای شناختهشده (مانند CVE-2025-8088) در امان بمانید.
• از آنتیویروسهای معتبر و راهکارهای EDR برای افزایش سطح دفاع، شناسایی فعالیتهای مشکوک و مقابله با تهدیدات پیشرفته استفاده کنید.
#امنیت_سایبری | #بدافزار | #SantaStealer | #MaaS
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT
📢 هشدار امنیتی | بهرهبرداری گسترده از آسیبپذیری React2Shell برای انتشار بدافزار ZnDoor
📅 تاریخ انتشار: ۱۵ دسامبر ۲۰۲۵
🔴 جزئیات هشدار:
از اوایل دسامبر ۲۰۲۵ میلادی، مهاجمان بهصورت فعال از آسیبپذیری اجرای کد از راه دور (RCE) موجود در برنامههای React/Next.js به نام React2Shell (با شناسه CVE-2025-55182) بهرهبرداری میکنند. این حملات، در ابتدا با هدف استخراج ارزهای دیجیتال انجام میشد، اما گزارشهای اخیر نشان میدهد که بدافزار جدیدی به نام ZnDoor نیز از این بردار حمله برای گسترش خود استفاده میکند.
بدافزار ZnDoor یک تروجان دسترسی از راه دور (RAT) با قابلیتهای پیشرفته است که پس از نفوذ، ارتباطی پایدار با کارگزار فرمان و کنترل (C2) در نشانی api.qtss.cc:443 برقرار میکند. این بدافزار طیف گستردهای از قابلیتهای مخرب را در اختیار مهاجم قرار میدهد:
• اجرای دستورات شل
• فهرستسازی، دستکاری و مدیریت فایلها
• فعالسازی پروکسی SOCKS5
• دورزدن سازوکارها و ابزارهای تشخیص
• جعل نام پردازهها برای پنهانسازی فعالیتهای مخرب
• تغییر مهرزمانی فایلها به تاریخ 15 ژانویه 2016 میلادی
• تداوم اجرا از طریق راهاندازی مجدد با ایجاد پردازههای فرزند
مجموعه این قابلیتها نشان میدهد که ZnDoor بهطور هدفمند برای ماندگاری، پنهانسازی فعالیتهای مخرب و گسترش در محیطهای آلوده طراحی شده و میتواند تهدیدی جدی برای سامانههای مبتنی بر React/Next.js محسوب شود.
🔴 محصولات آسیبپذیر:
• برنامههای توسعهیافته با React/Next.js که در برابر آسیبپذیری React2Shell (CVE-2025-55182) وصله نشدهاند
🔴 راهکارها و اقدامات امنیتی پیشنهادی:
• بهروزرسانی فوری برنامههای React/Next.js به آخرین نسخههای امنشده و اعمال وصلههای امنیتی انتشاریافته
• استفاده از ابزارهای پایش رفتاری برای شناسایی رفتارهای غیرعادی (از قبیل ارسال مداوم درخواستهای HTTP به دامنهها یا نشانیهای ناشناخته)
• مسدودسازی، محدودسازی یا تولید هشدار نسبت به ترافیک خروجی به نشانیهای مشکوک (45.76.155.14 و api.qtss.cc)
• تقویت و بهروزرسانی قوانین SIEM/SOC بهمنظور شناسایی الگوهای ارتباطی مرتبط با کارگزارهای C2
#امنیت_سایبری | #بدافزار | #ZnDoor | #React2Shell | #RAT
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT
📅 تاریخ انتشار: ۱۵ دسامبر ۲۰۲۵
🔴 جزئیات هشدار:
از اوایل دسامبر ۲۰۲۵ میلادی، مهاجمان بهصورت فعال از آسیبپذیری اجرای کد از راه دور (RCE) موجود در برنامههای React/Next.js به نام React2Shell (با شناسه CVE-2025-55182) بهرهبرداری میکنند. این حملات، در ابتدا با هدف استخراج ارزهای دیجیتال انجام میشد، اما گزارشهای اخیر نشان میدهد که بدافزار جدیدی به نام ZnDoor نیز از این بردار حمله برای گسترش خود استفاده میکند.
بدافزار ZnDoor یک تروجان دسترسی از راه دور (RAT) با قابلیتهای پیشرفته است که پس از نفوذ، ارتباطی پایدار با کارگزار فرمان و کنترل (C2) در نشانی api.qtss.cc:443 برقرار میکند. این بدافزار طیف گستردهای از قابلیتهای مخرب را در اختیار مهاجم قرار میدهد:
• اجرای دستورات شل
• فهرستسازی، دستکاری و مدیریت فایلها
• فعالسازی پروکسی SOCKS5
• دورزدن سازوکارها و ابزارهای تشخیص
• جعل نام پردازهها برای پنهانسازی فعالیتهای مخرب
• تغییر مهرزمانی فایلها به تاریخ 15 ژانویه 2016 میلادی
• تداوم اجرا از طریق راهاندازی مجدد با ایجاد پردازههای فرزند
مجموعه این قابلیتها نشان میدهد که ZnDoor بهطور هدفمند برای ماندگاری، پنهانسازی فعالیتهای مخرب و گسترش در محیطهای آلوده طراحی شده و میتواند تهدیدی جدی برای سامانههای مبتنی بر React/Next.js محسوب شود.
🔴 محصولات آسیبپذیر:
• برنامههای توسعهیافته با React/Next.js که در برابر آسیبپذیری React2Shell (CVE-2025-55182) وصله نشدهاند
🔴 راهکارها و اقدامات امنیتی پیشنهادی:
• بهروزرسانی فوری برنامههای React/Next.js به آخرین نسخههای امنشده و اعمال وصلههای امنیتی انتشاریافته
• استفاده از ابزارهای پایش رفتاری برای شناسایی رفتارهای غیرعادی (از قبیل ارسال مداوم درخواستهای HTTP به دامنهها یا نشانیهای ناشناخته)
• مسدودسازی، محدودسازی یا تولید هشدار نسبت به ترافیک خروجی به نشانیهای مشکوک (45.76.155.14 و api.qtss.cc)
• تقویت و بهروزرسانی قوانین SIEM/SOC بهمنظور شناسایی الگوهای ارتباطی مرتبط با کارگزارهای C2
#امنیت_سایبری | #بدافزار | #ZnDoor | #React2Shell | #RAT
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT
📣 اطلاعرسانی | انتشار نسخه جدید چارچوب AdaptixC2 با تمرکز بر افزایش پایداری و بهبود سرعت عملکرد
📅 تاریخ انتشار: ۳۱ دسامبر ۲۰۲۵
🔴 متن خبر:
چارچوب AdaptixC2 یک چارچوب متنباز فرماندهی و کنترل (C2) است که بهطور ویژه برای تیمهای قرمز و کارشناسان امنیت سایبری توسعه یافته است. این چارچوب پس از نفوذ به سامانههای هدف، با بهرهگیری از Beacons (کدهای سبکوزنی که روی سامانههای آلوده نصب میشوند) ارتباطی پایدار، امن و مداوم میان سامانه هدف و کارگزار فرماندهی و کنترل برقرار میکند. این ارتباط پنهان، امکان اجرای دستورات از راه دور، جمعآوری اطلاعات سامانه و انجام عملیات پیشرفتهای مانند استخراج اعتبارنامهها (Credential Dumping)، پویش شبکه داخلی و حرکت جانبی (Lateral Movement) را در قالبی کنترلشده و امن فراهم میآورد.
انتشار نسخه AdaptixC2 v1.0 نقطه عطفی در مسیر توسعه این پروژه به شمار میآید و بهبودهای قابلتوجهی در زمینه پایداری شبکه، سرعت عملیات و تجربه کاربری فراهم کرده است. این نسخه با تمرکز بر افزایش قابلیت اطمینان، سازگاری با زیرساختهای مدرن و بهبود رابط کاربری، تغییرات کلیدی زیر را ارائه میدهد:
• بازنویسی کامل تونلهای SOCKS4 و SOCKS5 در سمت مشتری و کارگزار با رعایت استانداردهای RFC بهمنظور افزایش پایداری در پویش درگاهها و مدیریت بهینه ترافیک تونلشده
• افزودن پشتیبانی از IPv6 در SOCKS5 برای سازگاری بهتر با معماریهای نوین شبکه
• بازطراحی کامل رابط کاربری شامل پشتیبانی از حالت روشن و تاریک، آیکونهای جدید و برچسبهای شفافتر (مانند TunS برای تونل ازطریق TeamServer)
• معرفی ترمینال راهدور جدید با رفتاری مشابه SSH و پیادهسازی Remote Shell
• افزودن افزونههای BOF جدید مانند DCSync (استخراج اطلاعات Active Directory)، LDAP (جمعآوری دادهها)، nbtscan (پویش NetBIOS) و runas (اجرای دستورات با هویت کاربری متفاوت)
#امنیت_سایبری | #RedTeam | #C2_Framework | #AdaptixC2
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT
📅 تاریخ انتشار: ۳۱ دسامبر ۲۰۲۵
🔴 متن خبر:
چارچوب AdaptixC2 یک چارچوب متنباز فرماندهی و کنترل (C2) است که بهطور ویژه برای تیمهای قرمز و کارشناسان امنیت سایبری توسعه یافته است. این چارچوب پس از نفوذ به سامانههای هدف، با بهرهگیری از Beacons (کدهای سبکوزنی که روی سامانههای آلوده نصب میشوند) ارتباطی پایدار، امن و مداوم میان سامانه هدف و کارگزار فرماندهی و کنترل برقرار میکند. این ارتباط پنهان، امکان اجرای دستورات از راه دور، جمعآوری اطلاعات سامانه و انجام عملیات پیشرفتهای مانند استخراج اعتبارنامهها (Credential Dumping)، پویش شبکه داخلی و حرکت جانبی (Lateral Movement) را در قالبی کنترلشده و امن فراهم میآورد.
انتشار نسخه AdaptixC2 v1.0 نقطه عطفی در مسیر توسعه این پروژه به شمار میآید و بهبودهای قابلتوجهی در زمینه پایداری شبکه، سرعت عملیات و تجربه کاربری فراهم کرده است. این نسخه با تمرکز بر افزایش قابلیت اطمینان، سازگاری با زیرساختهای مدرن و بهبود رابط کاربری، تغییرات کلیدی زیر را ارائه میدهد:
• بازنویسی کامل تونلهای SOCKS4 و SOCKS5 در سمت مشتری و کارگزار با رعایت استانداردهای RFC بهمنظور افزایش پایداری در پویش درگاهها و مدیریت بهینه ترافیک تونلشده
• افزودن پشتیبانی از IPv6 در SOCKS5 برای سازگاری بهتر با معماریهای نوین شبکه
• بازطراحی کامل رابط کاربری شامل پشتیبانی از حالت روشن و تاریک، آیکونهای جدید و برچسبهای شفافتر (مانند TunS برای تونل ازطریق TeamServer)
• معرفی ترمینال راهدور جدید با رفتاری مشابه SSH و پیادهسازی Remote Shell
• افزودن افزونههای BOF جدید مانند DCSync (استخراج اطلاعات Active Directory)، LDAP (جمعآوری دادهها)، nbtscan (پویش NetBIOS) و runas (اجرای دستورات با هویت کاربری متفاوت)
#امنیت_سایبری | #RedTeam | #C2_Framework | #AdaptixC2
⭕️ مرکز آپا دانشگاه تربیت مدرس
@TMUCERT