🔴آسیبپذیری بحرانی Windows SMB Client فعالانه مورد سوءاستفاده قرار گرفته است
آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) یک هشدار امنیتی اضطراری در تاریخ ۲۰ اکتبر ۲۰۲۵ صادر کرد و بر آسیبپذیری جدی CVE-2025-33073 در Windows SMB Client مایکروسافت تأکید کرد. این نقص که در کاتالوگ «آسیبپذیریهای فعالانه مورد سوءاستفاده قرار گرفته» (KEV) CISA قرار گرفته است، یک نقص در کنترل دسترسی نامناسب محسوب میشود که ریسک بالای ارتقاء سطح دسترسی (Privilege Escalation) و کنترل کامل سیستمها را در پی دارد.
جزئیات آسیبپذیری و نحوه حمله
این آسیبپذیری پروتکل Server Message Block (SMB) را هدف قرار میدهد؛ پروتکلی که شالوده اشتراکگذاری فایل و ارتباطات شبکهای در ویندوز است.
CVE: CVE-2025-33073 (شناسه دقیق نقص کنترل دسترسی نامناسب)
تأثیر: ارتقاء سطح دسترسی (LPE) و به دست آوردن کنترل کامل بر دستگاه قربانی.
نحوه سوءاستفاده: مهاجمان میتوانند یک اسکریپت مخرب را مهندسی کنند که دستگاه قربانی را فریب میدهد تا یک اتصال SMB را به صورت خودکار به سرور مهاجم آغاز کند.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) یک هشدار امنیتی اضطراری در تاریخ ۲۰ اکتبر ۲۰۲۵ صادر کرد و بر آسیبپذیری جدی CVE-2025-33073 در Windows SMB Client مایکروسافت تأکید کرد. این نقص که در کاتالوگ «آسیبپذیریهای فعالانه مورد سوءاستفاده قرار گرفته» (KEV) CISA قرار گرفته است، یک نقص در کنترل دسترسی نامناسب محسوب میشود که ریسک بالای ارتقاء سطح دسترسی (Privilege Escalation) و کنترل کامل سیستمها را در پی دارد.
جزئیات آسیبپذیری و نحوه حمله
این آسیبپذیری پروتکل Server Message Block (SMB) را هدف قرار میدهد؛ پروتکلی که شالوده اشتراکگذاری فایل و ارتباطات شبکهای در ویندوز است.
CVE: CVE-2025-33073 (شناسه دقیق نقص کنترل دسترسی نامناسب)
تأثیر: ارتقاء سطح دسترسی (LPE) و به دست آوردن کنترل کامل بر دستگاه قربانی.
نحوه سوءاستفاده: مهاجمان میتوانند یک اسکریپت مخرب را مهندسی کنند که دستگاه قربانی را فریب میدهد تا یک اتصال SMB را به صورت خودکار به سرور مهاجم آغاز کند.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
👍4
🔴 ابزار جدیدی به نام EDR-Redir ظهور کرده که به مهاجمان اجازه میدهد تا با سوءاستفاده از قابلیتهای سطح پایین سیستمعامل، پوشههای اجرایی راهکارهای تشخیص و پاسخ نقطهپایانی (EDR) را هدایت مجدد (Redirect) یا ایزوله کنند. این تکنیک که توسط محقق امنیتی TwoSevenOneT معرفی شده است، از درایورهای فیلتر فایلسیستم ویندوز برای دور زدن راهکارهای امنیتی مانند Sophos Intercept X و Elastic Defend استفاده میکند، بدون اینکه نیاز به دسترسی سطح کرنل داشته باشد.
نحوه عملکرد EDR-Redir
این ابزار از ویژگیهای پیشرفته فایلسیستم ویندوز ۱۱ (نسخه ۲۴H2) استفاده میکند تا EDRها را فریب دهد:
سوءاستفاده از Bind Filter Driver:
EDR-Redir از قابلیت Bind Link در درایور bindflt.sys ویندوز استفاده میکند.
برخلاف لینکهای نمادین سنتی که EDRها آنها را به طور فعال مسدود میکنند (با استفاده از مکانیزمهایی مانند RedirectionGuard)، Bind Linkها به صورت شفاف در سطح درایور عمل میکنند.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
نحوه عملکرد EDR-Redir
این ابزار از ویژگیهای پیشرفته فایلسیستم ویندوز ۱۱ (نسخه ۲۴H2) استفاده میکند تا EDRها را فریب دهد:
سوءاستفاده از Bind Filter Driver:
EDR-Redir از قابلیت Bind Link در درایور bindflt.sys ویندوز استفاده میکند.
برخلاف لینکهای نمادین سنتی که EDRها آنها را به طور فعال مسدود میکنند (با استفاده از مکانیزمهایی مانند RedirectionGuard)، Bind Linkها به صورت شفاف در سطح درایور عمل میکنند.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
👍6
🔴حمله فیشینگ جدید: کاراکترهای نامرئی پنهان شده در عنوان ایمیل، فیلترهای امنیتی را دور میزنند
مجرمان سایبری یک تکنیک فیشینگ پیچیده جدید را توسعه دادهاند که از کاراکترهای نامرئی در خطوط موضوع (Subject Line) ایمیل استفاده میکند تا فیلترهای امنیتی خودکار را دور بزند. این روش که ترکیبی از رمزگذاری MIME و کاراکترهای soft hyphen یونیکد است، پیامهای مخرب را برای چشم انسان قانونی نشان میدهد، در حالی که الگوریتمهای تشخیص کلمات کلیدی فیلترهای امنیتی را فریب میدهد.
جزئیات فنی حمله و سازوکار فرار
این حمله نشاندهنده تکامل تاکتیکهای مهندسی اجتماعی است و مستقیماً مکانیزمهای فیلتر ایمیل را که بر شناسایی کلمات کلیدی و الگوهای مشخص تکیه دارند، هدف قرار میدهد.
هدف اصلی: سرقت اعتبارنامهها از طریق صفحات جعلی ورود به سیستم وبمیل.
تکنیک پنهانکاری: مهاجمان از قالببندی رمزگذاری شده MIME (طبق استاندارد RFC 2047) استفاده میکنند و محتوای خط موضوع را با رمزگذاری Base64 در کاراکترهای UTF-8 پنهان میکنند.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
مجرمان سایبری یک تکنیک فیشینگ پیچیده جدید را توسعه دادهاند که از کاراکترهای نامرئی در خطوط موضوع (Subject Line) ایمیل استفاده میکند تا فیلترهای امنیتی خودکار را دور بزند. این روش که ترکیبی از رمزگذاری MIME و کاراکترهای soft hyphen یونیکد است، پیامهای مخرب را برای چشم انسان قانونی نشان میدهد، در حالی که الگوریتمهای تشخیص کلمات کلیدی فیلترهای امنیتی را فریب میدهد.
جزئیات فنی حمله و سازوکار فرار
این حمله نشاندهنده تکامل تاکتیکهای مهندسی اجتماعی است و مستقیماً مکانیزمهای فیلتر ایمیل را که بر شناسایی کلمات کلیدی و الگوهای مشخص تکیه دارند، هدف قرار میدهد.
هدف اصلی: سرقت اعتبارنامهها از طریق صفحات جعلی ورود به سیستم وبمیل.
تکنیک پنهانکاری: مهاجمان از قالببندی رمزگذاری شده MIME (طبق استاندارد RFC 2047) استفاده میکنند و محتوای خط موضوع را با رمزگذاری Base64 در کاراکترهای UTF-8 پنهان میکنند.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
😱3
🔴ادعای گروه باجافزاری Akira: سرقت ۲۳ گیگابایت داده از Apache OpenOffice
گروه باجافزاری بدنام Akira در تاریخ ۲۹ اکتبر ۲۰۲۵ ادعا کرد که موفق به نفوذ به سیستمهای بنیاد Apache OpenOffice شده و توانسته است ۲۳ گیگابایت از دادههای حساس شرکتی آنها را استخراج کند. این گروه که به خاطر تاکتیکهای باجگیری مضاعف (Double-Extortion) شناخته میشود، جزئیات این ادعا را در سایت نشت اطلاعات خود در دارک وب منتشر کرده و تهدید کرده است که در صورت عدم پرداخت باج، این اطلاعات را منتشر خواهد کرد.
جزئیات اطلاعات به سرقت رفته (ادعایی)
OpenOffice که یک ابزار بهرهوری آفیس رایگان و منبعباز است، تحت حمایت بنیاد نرمافزار آپاچی فعالیت میکند. اگر این ادعاها صحت داشته باشند، دادههای به سرقت رفته شامل اطلاعات عملیاتی و شخصی بسیار حساس هستند:
سوابق کارمندان: آدرسهای فیزیکی، شماره تلفنها، تاریخهای تولد، جزئیات گواهینامه رانندگی و شمارههای تأمین اجتماعی (SSN).
اطلاعات مالی و داخلی: سوابق مالی محرمانه و اسناد داخلی.
دادههای توسعه: گزارشهای مفصل مربوط به باگهای برنامه و مسائل توسعهای.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
گروه باجافزاری بدنام Akira در تاریخ ۲۹ اکتبر ۲۰۲۵ ادعا کرد که موفق به نفوذ به سیستمهای بنیاد Apache OpenOffice شده و توانسته است ۲۳ گیگابایت از دادههای حساس شرکتی آنها را استخراج کند. این گروه که به خاطر تاکتیکهای باجگیری مضاعف (Double-Extortion) شناخته میشود، جزئیات این ادعا را در سایت نشت اطلاعات خود در دارک وب منتشر کرده و تهدید کرده است که در صورت عدم پرداخت باج، این اطلاعات را منتشر خواهد کرد.
جزئیات اطلاعات به سرقت رفته (ادعایی)
OpenOffice که یک ابزار بهرهوری آفیس رایگان و منبعباز است، تحت حمایت بنیاد نرمافزار آپاچی فعالیت میکند. اگر این ادعاها صحت داشته باشند، دادههای به سرقت رفته شامل اطلاعات عملیاتی و شخصی بسیار حساس هستند:
سوابق کارمندان: آدرسهای فیزیکی، شماره تلفنها، تاریخهای تولد، جزئیات گواهینامه رانندگی و شمارههای تأمین اجتماعی (SSN).
اطلاعات مالی و داخلی: سوابق مالی محرمانه و اسناد داخلی.
دادههای توسعه: گزارشهای مفصل مربوط به باگهای برنامه و مسائل توسعهای.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
👍4
🔴تهدید جدید در سیستمهای هوش مصنوعی چندعاملی: «قاچاق نشست عامل» (Agent Session Smuggling) میتواند کنترل عوامل AI قربانی را به دست بگیرد
محققان امنیتی از کشف یک تکنیک حمله پیچیده به نام "Agent Session Smuggling" خبر دادند که از روابط اعتمادی در سیستمهای ارتباطی عوامل هوش مصنوعی (AI Agents) سوءاستفاده میکند. این حمله به یک عامل هوش مصنوعی مخرب اجازه میدهد تا دستورات پنهانی را به نشستهای ارتباطی فعال بین عوامل تزریق کند و به طور موثر کنترل عوامل قربانی را بدون آگاهی یا رضایت کاربر به دست بگیرد.
سازوکار حمله: Agent Session Smuggling
این تهدید معماریهای هوش مصنوعی چندعاملی که از پروتکلهای ارتباطی Agent2Agent (A2A) استفاده میکنند را هدف قرار میدهد. نقطه ضعف کلیدی، ماهیت "حالتدار" (Stateful) پروتکل A2A است که به عوامل اجازه میدهد در طول تعاملات متعدد، زمینه (Context) مکالمات قبلی را به خاطر بسپارند.
هدف آسیبپذیر: پروتکل A2A که برای تسهیل همکاری بین عوامل AI از فروشندگان مختلف طراحی شده و به طور پیشفرض به عوامل همکار اعتماد میکند.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
محققان امنیتی از کشف یک تکنیک حمله پیچیده به نام "Agent Session Smuggling" خبر دادند که از روابط اعتمادی در سیستمهای ارتباطی عوامل هوش مصنوعی (AI Agents) سوءاستفاده میکند. این حمله به یک عامل هوش مصنوعی مخرب اجازه میدهد تا دستورات پنهانی را به نشستهای ارتباطی فعال بین عوامل تزریق کند و به طور موثر کنترل عوامل قربانی را بدون آگاهی یا رضایت کاربر به دست بگیرد.
سازوکار حمله: Agent Session Smuggling
این تهدید معماریهای هوش مصنوعی چندعاملی که از پروتکلهای ارتباطی Agent2Agent (A2A) استفاده میکنند را هدف قرار میدهد. نقطه ضعف کلیدی، ماهیت "حالتدار" (Stateful) پروتکل A2A است که به عوامل اجازه میدهد در طول تعاملات متعدد، زمینه (Context) مکالمات قبلی را به خاطر بسپارند.
هدف آسیبپذیر: پروتکل A2A که برای تسهیل همکاری بین عوامل AI از فروشندگان مختلف طراحی شده و به طور پیشفرض به عوامل همکار اعتماد میکند.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
👍4❤1
🔴بهره برداری از اعتبارنامههای RDP برای حمله
گروه باجافزاری تازه شناسایی شدهای به نام Cephalus به عنوان یک تهدید جدی مطرح شده است. این گروه با سوءاستفاده از اعتبارنامههای سرقت رفته Remote Desktop Protocol (RDP)، به شبکههای سازمانی نفوذ کرده و حملات رمزگذاری قدرتمندی را اجرا میکند. این گروه، که نام خود را از یک شخصیت افسانهای یونانی گرفته است، بر روی شبکههایی تمرکز دارد که سرویسهای RDP آنها فاقد احراز هویت چند عاملی (MFA) هستند.
روش عملیاتی و فنی (TTPs)
عملیات Cephalus با انگیزه مالی دنبال میشود و یک چرخه حمله استاندارد را دنبال میکند که بر زیرساختهای دسترسی از راه دور ناامن متکی است:
بردار نفوذ اولیه: اعتبارنامههای RDP سرقت شده. این گروه سیستمهایی را هدف قرار میدهد که RDP آنها بدون MFA در معرض دید عموم قرار دارد و یک نقطه ورود ایدهآل ایجاد میکند.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
گروه باجافزاری تازه شناسایی شدهای به نام Cephalus به عنوان یک تهدید جدی مطرح شده است. این گروه با سوءاستفاده از اعتبارنامههای سرقت رفته Remote Desktop Protocol (RDP)، به شبکههای سازمانی نفوذ کرده و حملات رمزگذاری قدرتمندی را اجرا میکند. این گروه، که نام خود را از یک شخصیت افسانهای یونانی گرفته است، بر روی شبکههایی تمرکز دارد که سرویسهای RDP آنها فاقد احراز هویت چند عاملی (MFA) هستند.
روش عملیاتی و فنی (TTPs)
عملیات Cephalus با انگیزه مالی دنبال میشود و یک چرخه حمله استاندارد را دنبال میکند که بر زیرساختهای دسترسی از راه دور ناامن متکی است:
بردار نفوذ اولیه: اعتبارنامههای RDP سرقت شده. این گروه سیستمهایی را هدف قرار میدهد که RDP آنها بدون MFA در معرض دید عموم قرار دارد و یک نقطه ورود ایدهآل ایجاد میکند.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
👍4❤2
🔴نقص امنیتی روز-صفر سامسونگ (Samsung 0-Day) از طریق یک تصویر واتساپ مورد سوءاستفاده قرار گرفت
عملیات جاسوسافزار پیچیدهای به نام LANDFALL، گوشیهای هوشمند Samsung Galaxy را با سوءاستفاده از یک آسیبپذیری روزصفر (0-Day) در برنامه مخاطبین (Contacts app) آلوده کرده است. مهاجمان از طریق ارسال یک تصویر به ظاهر بیضرر در واتساپ، موفق به استقرار یک بدافزار نظارتی در دستگاه قربانی شدند. این حمله که از اواسط سال ۲۰۲۴ فعال بوده، بر جاسوسی هدفمند تمرکز داشته است.
جزئیات فنی حمله (LANDFALL)
این حمله با هدف جاسوسی هدفمند، یک زنجیره آلودگی را به کار گرفته که وابستگی به تعامل کاربر نداشته است (Zero-Click):
آسیبپذیری: CVE-2025-21042، یک نقص بحرانی در کتابخانه پردازش تصویر سامسونگ با نام libimagecodec.quram.so بوده است.
بردار حمله: یک فایل تصویر Digital Negative (DNG) که با نامهای رایج واتساپ (مانند IMG-20240723-WA0000.jpg) پنهان شده بود.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
عملیات جاسوسافزار پیچیدهای به نام LANDFALL، گوشیهای هوشمند Samsung Galaxy را با سوءاستفاده از یک آسیبپذیری روزصفر (0-Day) در برنامه مخاطبین (Contacts app) آلوده کرده است. مهاجمان از طریق ارسال یک تصویر به ظاهر بیضرر در واتساپ، موفق به استقرار یک بدافزار نظارتی در دستگاه قربانی شدند. این حمله که از اواسط سال ۲۰۲۴ فعال بوده، بر جاسوسی هدفمند تمرکز داشته است.
جزئیات فنی حمله (LANDFALL)
این حمله با هدف جاسوسی هدفمند، یک زنجیره آلودگی را به کار گرفته که وابستگی به تعامل کاربر نداشته است (Zero-Click):
آسیبپذیری: CVE-2025-21042، یک نقص بحرانی در کتابخانه پردازش تصویر سامسونگ با نام libimagecodec.quram.so بوده است.
بردار حمله: یک فایل تصویر Digital Negative (DNG) که با نامهای رایج واتساپ (مانند IMG-20240723-WA0000.jpg) پنهان شده بود.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
👍3🤯1
🔴شرکت Fortinet یک هشدار اضطراری در مورد آسیبپذیری بحرانی در محصول فایروال برنامه وب (WAF) خود، FortiWeb، صادر کرده است. مهاجمان در حال حاضر فعالانه از این نقص سوءاستفاده میکنند.
جزئیات آسیبپذیری و نفوذ
این نقص، که امکان تصرف کامل حساب مدیر را فراهم میکند، بسیار خطرناک تلقی میشود:
شناسه آسیبپذیری: CVE-2025-64446
محصول آسیبدیده: FortiWeb WAF (نسخههای ۸.۰، ۷.۶، ۷.۴، ۷.۲ و ۷.۰)
نوع آسیبپذیری: نقص کنترل دسترسی نامناسب در مؤلفه واسط گرافیکی کاربر (GUI) که به عنوان یک مشکل Relative Path Traversal طبقهبندی میشود (CWE-23).
امتیاز CVSS v3.1: ۹.۱ (بحرانی)
نحوه سوءاستفاده: مهاجمان احراز هویت نشده میتوانند درخواستهای مخرب HTTP یا HTTPS را ایجاد کنند که از مکانیزم احراز هویت عبور میکند. این امر به آنها اجازه میدهد تا دستورات مدیریتی را اجرا کرده و در نهایت حسابهای مدیر غیرمجاز ایجاد کنند و کنترل کامل دستگاه و پیکربندی آن را به دست گیرند.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
جزئیات آسیبپذیری و نفوذ
این نقص، که امکان تصرف کامل حساب مدیر را فراهم میکند، بسیار خطرناک تلقی میشود:
شناسه آسیبپذیری: CVE-2025-64446
محصول آسیبدیده: FortiWeb WAF (نسخههای ۸.۰، ۷.۶، ۷.۴، ۷.۲ و ۷.۰)
نوع آسیبپذیری: نقص کنترل دسترسی نامناسب در مؤلفه واسط گرافیکی کاربر (GUI) که به عنوان یک مشکل Relative Path Traversal طبقهبندی میشود (CWE-23).
امتیاز CVSS v3.1: ۹.۱ (بحرانی)
نحوه سوءاستفاده: مهاجمان احراز هویت نشده میتوانند درخواستهای مخرب HTTP یا HTTPS را ایجاد کنند که از مکانیزم احراز هویت عبور میکند. این امر به آنها اجازه میدهد تا دستورات مدیریتی را اجرا کرده و در نهایت حسابهای مدیر غیرمجاز ایجاد کنند و کنترل کامل دستگاه و پیکربندی آن را به دست گیرند.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
🔥5👍3
✅سمینار تخصصی «ارزیابی امنیتی، تست نفوذ و تیم قرمز»
▪️کمیسیون تخصصی افتا سازمان نظام صنفی رایانهای استان تهران با هدف ارتقای توان فنی مدیران و کارشناسان حوزه فناوری اطلاعات، سمینار تخصصی «ارزیابی امنیتی، تست نفوذ و تیم قرمز» را روز چهارشنبه ۲۸ آبانماه برگزار میکند. این رویداد به تشریح دقیق الزامات و فرآیندهای اجرایی پروژههای امنیت تهاجمی با تکیه بر ضوابط مرکز مدیریت و راهبری افتا اختصاص دارد.
▪️جزئیات بیشتر:
https://tehran.irannsr.org/s/mfamEPf
🆔 @Takianco
🇮🇷
▪️کمیسیون تخصصی افتا سازمان نظام صنفی رایانهای استان تهران با هدف ارتقای توان فنی مدیران و کارشناسان حوزه فناوری اطلاعات، سمینار تخصصی «ارزیابی امنیتی، تست نفوذ و تیم قرمز» را روز چهارشنبه ۲۸ آبانماه برگزار میکند. این رویداد به تشریح دقیق الزامات و فرآیندهای اجرایی پروژههای امنیت تهاجمی با تکیه بر ضوابط مرکز مدیریت و راهبری افتا اختصاص دارد.
▪️جزئیات بیشتر:
https://tehran.irannsr.org/s/mfamEPf
🆔 @Takianco
🇮🇷
❤3👎2👌2
🔴سوءاستفاده هکرها از سرور جعلی MCP برای تزریق کد مخرب و کنترل مرورگر داخلی IDE «Cursor»
یک آسیبپذیری بحرانی کشف شده که به مهاجمان اجازه میدهد تا با استفاده از سرورهای به خطر افتاده MCP (Model Context Protocol)، کد مخرب را به مرورگر داخلی ابزار توسعه نرمافزاری مبتنی بر هوش مصنوعی Cursor تزریق کنند. این حمله به هکرها امکان میدهد تا کنترل محیط داخلی مرورگر را در دست بگیرند و اطلاعات توسعهدهندگان را به سرقت ببرند.
نحوه عملکرد حمله و تأثیر آن
این حمله یک تهدید رو به رشد در اکوسیستم ابزارهای توسعه هوش مصنوعی است و بر نقاط ضعف امنیتی خاص Cursor متمرکز است:
ابزار هدف: Cursor، یک ویرایشگر کد مبتنی بر هوش مصنوعی که برای کمک به توسعهدهندگان طراحی شده است.
نقطه ضعف: Cursor، برخلاف ابزارهایی مانند VS Code، فاقد مکانیسمهای تأیید یکپارچگی (Integrity Verification) برای ویژگیهای اختصاصی خود است.
بردار نفوذ: حمله زمانی شروع میشود که کاربر یک سرور جعلی MCP را دانلود و از طریق فایل پیکربندی Cursor فعال کند.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
یک آسیبپذیری بحرانی کشف شده که به مهاجمان اجازه میدهد تا با استفاده از سرورهای به خطر افتاده MCP (Model Context Protocol)، کد مخرب را به مرورگر داخلی ابزار توسعه نرمافزاری مبتنی بر هوش مصنوعی Cursor تزریق کنند. این حمله به هکرها امکان میدهد تا کنترل محیط داخلی مرورگر را در دست بگیرند و اطلاعات توسعهدهندگان را به سرقت ببرند.
نحوه عملکرد حمله و تأثیر آن
این حمله یک تهدید رو به رشد در اکوسیستم ابزارهای توسعه هوش مصنوعی است و بر نقاط ضعف امنیتی خاص Cursor متمرکز است:
ابزار هدف: Cursor، یک ویرایشگر کد مبتنی بر هوش مصنوعی که برای کمک به توسعهدهندگان طراحی شده است.
نقطه ضعف: Cursor، برخلاف ابزارهایی مانند VS Code، فاقد مکانیسمهای تأیید یکپارچگی (Integrity Verification) برای ویژگیهای اختصاصی خود است.
بردار نفوذ: حمله زمانی شروع میشود که کاربر یک سرور جعلی MCP را دانلود و از طریق فایل پیکربندی Cursor فعال کند.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
👍4⚡1👌1
✅سمینار تخصصی «ارزیابی امنیتی، تست نفوذ و تیم قرمز»
▪️کمیسیون تخصصی افتا سازمان نظام صنفی رایانهای استان تهران با هدف ارتقای توان فنی مدیران و کارشناسان حوزه فناوری اطلاعات، سمینار تخصصی «ارزیابی امنیتی، تست نفوذ و تیم قرمز» را روز چهارشنبه ۲۸ آبانماه برگزار میکند. این رویداد به تشریح دقیق الزامات و فرآیندهای اجرایی پروژههای امنیت تهاجمی با تکیه بر ضوابط مرکز مدیریت و راهبری افتا اختصاص دارد.
▪️جزئیات بیشتر:
https://tehran.irannsr.org/s/mfamEPf
🆔 @Takianco
🇮🇷
▪️کمیسیون تخصصی افتا سازمان نظام صنفی رایانهای استان تهران با هدف ارتقای توان فنی مدیران و کارشناسان حوزه فناوری اطلاعات، سمینار تخصصی «ارزیابی امنیتی، تست نفوذ و تیم قرمز» را روز چهارشنبه ۲۸ آبانماه برگزار میکند. این رویداد به تشریح دقیق الزامات و فرآیندهای اجرایی پروژههای امنیت تهاجمی با تکیه بر ضوابط مرکز مدیریت و راهبری افتا اختصاص دارد.
▪️جزئیات بیشتر:
https://tehran.irannsr.org/s/mfamEPf
🆔 @Takianco
🇮🇷
👍4❤1👌1
🔴اخراج کارمند داخلی CrowdStrike به دلیل اشتراکگذاری اطلاعات سیستم با هکرها
شرکت بزرگ امنیت سایبری CrowdStrike تأیید کرده است که یک کارمند داخلی را به دلیل به اشتراکگذاری جزئیات حساس سیستم داخلی با یک گروه هکری بدنام، اخراج کرده است. این حادثه بر اهمیت تهدیدات داخلی، حتی در شرکتهای امنیتی پیشرو، تأکید دارد.
جزئیات نشت اطلاعات و مهاجمان
این حادثه پس از آن علنی شد که تصاویر داخلی در یک کانال عمومی تلگرام متعلق به گروه هکری منتشر شد:
فرد اخراجی: یک کارمند داخلی در CrowdStrike.
اقدام صورت گرفته: این کارمند تصاویر صفحه نمایش کامپیوتر خود را که حاوی جزئیات سیستم داخلی شرکت بود، به اشتراک گذاشته است.
طرف دریافتکننده اطلاعات: گروه هکری با نام "Scattered Lapsus$ Hunters" که خود را "ابرگروه" متشکل از اعضای گروههای Scattered Spider، LAPSUS$، و ShinyHunters معرفی میکند.
اطلاعات به اشتراک گذاشته شده: اسکرینشاتها داشبوردهای داخلی CrowdStrike، از جمله پنل Okta Single Sign-On (SSO) که توسط کارمندان برای دسترسی به برنامههای شرکتی استفاده میشود، را نشان میداد.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
شرکت بزرگ امنیت سایبری CrowdStrike تأیید کرده است که یک کارمند داخلی را به دلیل به اشتراکگذاری جزئیات حساس سیستم داخلی با یک گروه هکری بدنام، اخراج کرده است. این حادثه بر اهمیت تهدیدات داخلی، حتی در شرکتهای امنیتی پیشرو، تأکید دارد.
جزئیات نشت اطلاعات و مهاجمان
این حادثه پس از آن علنی شد که تصاویر داخلی در یک کانال عمومی تلگرام متعلق به گروه هکری منتشر شد:
فرد اخراجی: یک کارمند داخلی در CrowdStrike.
اقدام صورت گرفته: این کارمند تصاویر صفحه نمایش کامپیوتر خود را که حاوی جزئیات سیستم داخلی شرکت بود، به اشتراک گذاشته است.
طرف دریافتکننده اطلاعات: گروه هکری با نام "Scattered Lapsus$ Hunters" که خود را "ابرگروه" متشکل از اعضای گروههای Scattered Spider، LAPSUS$، و ShinyHunters معرفی میکند.
اطلاعات به اشتراک گذاشته شده: اسکرینشاتها داشبوردهای داخلی CrowdStrike، از جمله پنل Okta Single Sign-On (SSO) که توسط کارمندان برای دسترسی به برنامههای شرکتی استفاده میشود، را نشان میداد.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
👍4😱1
🔴انتشار ماژول Metasploit برای آسیبپذیری FortiWeb و اجرای کد از راه دور (RCE)
چهارچوب Metasploit یک ماژول جدید را برای بهرهبرداری از آسیبپذیریهای بحرانی در فایروال برنامه وب (WAF) شرکت Fortinet FortiWeb منتشر کرده است. این ماژول دو نقص امنیتی اخیراً افشا شده را به صورت زنجیرهای ترکیب میکند تا امکان اجرای کد از راه دور احراز هویت نشده (Unauthenticated RCE) با امتیازات روت (Root) را فراهم آورد.
زنجیره سوءاستفاده و جزئیات فنی
ماژول جدید که با نام exploit/linux/http/fortinet_fortiweb_rce شناخته میشود، یک حمله خودکار و پیچیده را اجرا میکند که مکانیسمهای احراز هویت را دور میزند:
دور زدن احراز هویت (CVE-2025-64446):
این حمله ابتدا از CVE-2025-64446، یک نقص بحرانی دور زدن احراز هویت با امتیاز CVSS ۹.۱، استفاده میکند.
مهاجم احراز هویت نشده با سوءاستفاده از این نقص میتواند خود را به عنوان کاربر داخلی مدیر (Built-in Admin) جا زده و یک حساب مدیریتی جدید بدون اعتبارنامههای معتبر ایجاد کند.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
چهارچوب Metasploit یک ماژول جدید را برای بهرهبرداری از آسیبپذیریهای بحرانی در فایروال برنامه وب (WAF) شرکت Fortinet FortiWeb منتشر کرده است. این ماژول دو نقص امنیتی اخیراً افشا شده را به صورت زنجیرهای ترکیب میکند تا امکان اجرای کد از راه دور احراز هویت نشده (Unauthenticated RCE) با امتیازات روت (Root) را فراهم آورد.
زنجیره سوءاستفاده و جزئیات فنی
ماژول جدید که با نام exploit/linux/http/fortinet_fortiweb_rce شناخته میشود، یک حمله خودکار و پیچیده را اجرا میکند که مکانیسمهای احراز هویت را دور میزند:
دور زدن احراز هویت (CVE-2025-64446):
این حمله ابتدا از CVE-2025-64446، یک نقص بحرانی دور زدن احراز هویت با امتیاز CVSS ۹.۱، استفاده میکند.
مهاجم احراز هویت نشده با سوءاستفاده از این نقص میتواند خود را به عنوان کاربر داخلی مدیر (Built-in Admin) جا زده و یک حساب مدیریتی جدید بدون اعتبارنامههای معتبر ایجاد کند.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
👍3
🔴کشف «روزنه جهانی» برای نفوذ به مدلهای هوش مصنوعی با استفاده از شعر
محققان امنیتی در گروه DEXAI و دانشگاه Sapienza رم، یک تکنیک حمله جدید و ساده را کشف کردهاند که از شعر برای دور زدن محدودیتهای ایمنی (Guardrails) در تقریباً تمام مدلهای زبان بزرگ (LLMs) پیشرو استفاده میکند. این روش که به عنوان «شعر متخاصم» (Adversarial Poetry) شناخته میشود، به هوش مصنوعی اجازه میدهد تا پاسخهای ممنوع شدهای مانند نحوه ساخت بمب یا مواد خطرناک را تولید کند.
جزئیات حمله و مکانیسم نفوذ
این حمله یک «روزنه جهانی» (Universal Jailbreak) محسوب میشود زیرا میتواند بر روی مدلهای مختلف و در سناریوهای متعدد تأثیر بگذارد:
تکنیک حمله: محققان درخواستهای مخرب شناخته شده (مانند درخواستهای مربوط به ساخت سلاح) را با استفاده از یک مدل هوش مصنوعی دیگر، به قالب شعر تبدیل کردند. این تغییر سبکی ساده، برای فریب فیلترهای ایمنی کافی بود.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
محققان امنیتی در گروه DEXAI و دانشگاه Sapienza رم، یک تکنیک حمله جدید و ساده را کشف کردهاند که از شعر برای دور زدن محدودیتهای ایمنی (Guardrails) در تقریباً تمام مدلهای زبان بزرگ (LLMs) پیشرو استفاده میکند. این روش که به عنوان «شعر متخاصم» (Adversarial Poetry) شناخته میشود، به هوش مصنوعی اجازه میدهد تا پاسخهای ممنوع شدهای مانند نحوه ساخت بمب یا مواد خطرناک را تولید کند.
جزئیات حمله و مکانیسم نفوذ
این حمله یک «روزنه جهانی» (Universal Jailbreak) محسوب میشود زیرا میتواند بر روی مدلهای مختلف و در سناریوهای متعدد تأثیر بگذارد:
تکنیک حمله: محققان درخواستهای مخرب شناخته شده (مانند درخواستهای مربوط به ساخت سلاح) را با استفاده از یک مدل هوش مصنوعی دیگر، به قالب شعر تبدیل کردند. این تغییر سبکی ساده، برای فریب فیلترهای ایمنی کافی بود.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
👍3🤯2
🔴 آگاهی رسانی سایبری
پیامی با متن زیر در شبکه های اجتماعی در حال پخش شدن است که کاربران را به آدرس مشکوک هدایت کرده و با کسب اطلاعات بانکی افراد، زمینه نفوذ و دسترسی غیرمجاز به حساب های بانکی و کاربری آنها را فراهم میکند، لذا توصیه میشود که از کلیک کردن بر روی این لینک ها یا سایر لینک های مشابه در شبکه های اجتماعی خودداری نموده و پیام مورد نظر را حذف نموده یا Report نمایید.
متن پیام:
🆔 @Takianco
🇮🇷
پیامی با متن زیر در شبکه های اجتماعی در حال پخش شدن است که کاربران را به آدرس مشکوک هدایت کرده و با کسب اطلاعات بانکی افراد، زمینه نفوذ و دسترسی غیرمجاز به حساب های بانکی و کاربری آنها را فراهم میکند، لذا توصیه میشود که از کلیک کردن بر روی این لینک ها یا سایر لینک های مشابه در شبکه های اجتماعی خودداری نموده و پیام مورد نظر را حذف نموده یا Report نمایید.
متن پیام:
بانك ملت bank mellat
اطلاعیه ثبت نام وام سپاس ویژه بانک ملت ایران
به اطلاع هم وطنان گرامی میرساند ثبت نام وام با شرایط ویژه در بانک ملت ایران آغاز شد.
این تسهیلات با شرایط آسان و استثنایی به شرح زیر ارائه میشود
بدون نیاز به پیش پرداخت
بدون الزام به داشتن حساب قبلی در بانک ملت
بهره سالیانه فقط ۳/۵ درصد
فرصتی مناسب برای دریافت تسهیلات بانکی با شرایط ساده و شفاف.
متقاضیان محترم میتوانند جهت ثبت نام و کسب اطلاعات بیشتر از طریق لینک زیر اقدام فرمایند
لینک ثبت نام و دریافت وام
🆔 @Takianco
🇮🇷
❤3🤯2😈1
🔴ظهور بدافزار جدید Albiriox و حملات گسترده به کاربران اندروید
یک خانواده بدافزار جدید و پیچیده اندروید به نام Albiriox در فضای جرایم سایبری پدیدار شده است. این بدافزار که به صورت Maas (Malware-as-a-Service) توسط بازیگران روسزبان عرضه میشود، با هدف کلاهبرداری روی دستگاه (On-Device Fraud یا ODF) طراحی شده و به مهاجمان کنترل کامل بر دستگاه آلوده را میدهد تا بتوانند اقدامات امنیتی مانند تأیید هویت دو عاملی (2FA) و اثر انگشت دستگاه را دور بزنند.
روش نفوذ و قابلیتهای مخرب
از یک زنجیره آلودگی فریبنده و دو مرحلهای برای آلودهسازی دستگاهها و جلوگیری از شناسایی آنتیویروسهای استاتیک استفاده میکند:
مدل توزیع: Maas (با هزینه ماهانه حدود ۶۵۰ دلار برای مشترکین).
بردار حمله: مهندسی اجتماعی از طریق پیامکهای فیشینگ (SMS Phishing) یا واتساپ. قربانیان پیامهایی مبنی بر تخفیف یا جایزه دریافت میکنند که آنها را به یک صفحه جعلی فروشگاه گوگل پلی هدایت میکند.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
یک خانواده بدافزار جدید و پیچیده اندروید به نام Albiriox در فضای جرایم سایبری پدیدار شده است. این بدافزار که به صورت Maas (Malware-as-a-Service) توسط بازیگران روسزبان عرضه میشود، با هدف کلاهبرداری روی دستگاه (On-Device Fraud یا ODF) طراحی شده و به مهاجمان کنترل کامل بر دستگاه آلوده را میدهد تا بتوانند اقدامات امنیتی مانند تأیید هویت دو عاملی (2FA) و اثر انگشت دستگاه را دور بزنند.
روش نفوذ و قابلیتهای مخرب
از یک زنجیره آلودگی فریبنده و دو مرحلهای برای آلودهسازی دستگاهها و جلوگیری از شناسایی آنتیویروسهای استاتیک استفاده میکند:
مدل توزیع: Maas (با هزینه ماهانه حدود ۶۵۰ دلار برای مشترکین).
بردار حمله: مهندسی اجتماعی از طریق پیامکهای فیشینگ (SMS Phishing) یا واتساپ. قربانیان پیامهایی مبنی بر تخفیف یا جایزه دریافت میکنند که آنها را به یک صفحه جعلی فروشگاه گوگل پلی هدایت میکند.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
👍3🔥1
🔴افزونه مخرب VS Code با پوشش تم آیکون، کاربران ویندوز و macOS را هدف قرار داد
یک افزونه مخرب Visual Studio Code که خود را به عنوان تم آیکون محبوب "Material Icon Theme" جا زده بود، برای حمله به کاربران ویندوز و macOS و تبدیل این افزونه به یک بکدور پنهان مورد استفاده قرار گرفت. این حمله نشان میدهد که مهاجمان چگونه از کانالهای رسمی (مانند Marketplace) برای دسترسی مستقیم به ایستگاههای کاری توسعهدهندگان سوءاستفاده میکنند.
مکانیسم حمله و نفوذ
پس از نصب، این افزونه به ظاهر بیضرر، پتانسیل اجرای کد محلی و برقراری ارتباط با یک سرور فرماندهی و کنترل (C2) را فعال میکند:
پوشش فریبنده: افزونه جعلی به طور عادی مانند یک تم آیکون عمل میکرد تا هیچ شکی را برنیانگیزد.
Payload اصلی (ایمپلنتهای Rust): این بسته حاوی دو فایل پیادهسازی (Implants) مبتنی بر زبان Rust بود (os.node برای ویندوز و darwin.node برای macOS). این فایلها قابلیت اجرای کد بومی (Native Code) بر روی سیستم عاملهای مختلف را فراهم میکردند.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
یک افزونه مخرب Visual Studio Code که خود را به عنوان تم آیکون محبوب "Material Icon Theme" جا زده بود، برای حمله به کاربران ویندوز و macOS و تبدیل این افزونه به یک بکدور پنهان مورد استفاده قرار گرفت. این حمله نشان میدهد که مهاجمان چگونه از کانالهای رسمی (مانند Marketplace) برای دسترسی مستقیم به ایستگاههای کاری توسعهدهندگان سوءاستفاده میکنند.
مکانیسم حمله و نفوذ
پس از نصب، این افزونه به ظاهر بیضرر، پتانسیل اجرای کد محلی و برقراری ارتباط با یک سرور فرماندهی و کنترل (C2) را فعال میکند:
پوشش فریبنده: افزونه جعلی به طور عادی مانند یک تم آیکون عمل میکرد تا هیچ شکی را برنیانگیزد.
Payload اصلی (ایمپلنتهای Rust): این بسته حاوی دو فایل پیادهسازی (Implants) مبتنی بر زبان Rust بود (os.node برای ویندوز و darwin.node برای macOS). این فایلها قابلیت اجرای کد بومی (Native Code) بر روی سیستم عاملهای مختلف را فراهم میکردند.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
❤2👍2😱1
🔴آسیبپذیریهای سندباکس آنتیویروس Avast و ارتقاء سطح دسترسی محلی
محققان امنیتی تیم SAFA چهار آسیبپذیری سرریز پشته هسته (Kernel Heap Overflow) را در آنتیویروس Avast کشف کردهاند که همگی در درایور هسته aswSnx ردیابی شدهاند. این نقصها که به صورت جمعی با شناسه CVE-2025-13032 شناخته میشوند، میتوانند به یک مهاجم محلی (Local Attacker) اجازه دهند تا امتیازات خود را در ویندوز ۱۱ تا سطح SYSTEM ارتقا دهد.
جزئیات فنی و نحوه سوءاستفاده
این آسیبپذیریها بر روی اجرای نادرست کدی متمرکز بودند که تنها برای فرآیندهای درون سندباکس قابل دسترسی است، نه فرآیندهای عادی کاربر:
محصولات آسیبدیده: Avast Antivirus و احتمالاً دیگر محصولات Gendigital که از کد درایور مشترک استفاده میکنند (Avast 25.2.9898.0).
نوع نقص: چهار آسیبپذیری سرریز پشته هسته (Kernel Heap Overflow) و دو مشکل انکار سرویس محلی (Local DoS).
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
محققان امنیتی تیم SAFA چهار آسیبپذیری سرریز پشته هسته (Kernel Heap Overflow) را در آنتیویروس Avast کشف کردهاند که همگی در درایور هسته aswSnx ردیابی شدهاند. این نقصها که به صورت جمعی با شناسه CVE-2025-13032 شناخته میشوند، میتوانند به یک مهاجم محلی (Local Attacker) اجازه دهند تا امتیازات خود را در ویندوز ۱۱ تا سطح SYSTEM ارتقا دهد.
جزئیات فنی و نحوه سوءاستفاده
این آسیبپذیریها بر روی اجرای نادرست کدی متمرکز بودند که تنها برای فرآیندهای درون سندباکس قابل دسترسی است، نه فرآیندهای عادی کاربر:
محصولات آسیبدیده: Avast Antivirus و احتمالاً دیگر محصولات Gendigital که از کد درایور مشترک استفاده میکنند (Avast 25.2.9898.0).
نوع نقص: چهار آسیبپذیری سرریز پشته هسته (Kernel Heap Overflow) و دو مشکل انکار سرویس محلی (Local DoS).
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
👍2🔥2❤1
🔴افشای زیرساخت LockBit 5 افشای زیرساخت LockBit 5.0 در میانه حملات دوباره گروه باجافزاری
زیرساختهای کلیدی گروه باجافزاری LockBit 5.0 در پی یک خطای امنیتی عملیاتی (OpSec) فاش شده است. این افشاگری شامل آدرس IP و دامنه سایت نشت اطلاعات (Leak Site) است که نشاندهنده نقصهای ادامهدار در امنیت عملیاتی این گروه است، در حالی که آنها با قابلیتهای پیشرفته بدافزاری بازگشت کردهاند.
جزئیات افشا و زیرساخت در معرض دید
این اطلاعات توسط محقق امنیتی، Rakesh Krishnan، در دسامبر ۲۰۲۵ منتشر شد و شامل جزئیات میزبانی است که معمولاً برای فعالیتهای غیرقانونی مورد سوءاستفاده قرار میگیرد:
آدرس IP فاش شده: 205.185.116.233 (میزبان در ایالات متحده، تحت AS53667 - PONYNET).
دامنه سایت نشت: karma0.xyz
تشخیص: این آدرس IP، میزبان سایت نشت جدید LockBit 5.0 بوده و دارای صفحه محافظت DDoS با نام تجاری "LOCKBITS.5.0" بود که نقش آن را در عملیات گروه تأیید میکرد.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
زیرساختهای کلیدی گروه باجافزاری LockBit 5.0 در پی یک خطای امنیتی عملیاتی (OpSec) فاش شده است. این افشاگری شامل آدرس IP و دامنه سایت نشت اطلاعات (Leak Site) است که نشاندهنده نقصهای ادامهدار در امنیت عملیاتی این گروه است، در حالی که آنها با قابلیتهای پیشرفته بدافزاری بازگشت کردهاند.
جزئیات افشا و زیرساخت در معرض دید
این اطلاعات توسط محقق امنیتی، Rakesh Krishnan، در دسامبر ۲۰۲۵ منتشر شد و شامل جزئیات میزبانی است که معمولاً برای فعالیتهای غیرقانونی مورد سوءاستفاده قرار میگیرد:
آدرس IP فاش شده: 205.185.116.233 (میزبان در ایالات متحده، تحت AS53667 - PONYNET).
دامنه سایت نشت: karma0.xyz
تشخیص: این آدرس IP، میزبان سایت نشت جدید LockBit 5.0 بوده و دارای صفحه محافظت DDoS با نام تجاری "LOCKBITS.5.0" بود که نقش آن را در عملیات گروه تأیید میکرد.
مطالعه کامل خبر 👉
🆔 @TakianCo
🇮🇷
👍6❤1