💢 گروه Sandworm (معروف به APT44)، در حال اجرای یک کمپین سایبری علیه کاربران ویندوز در اوکراین است. این گروه با استفاده از ابزارهای فعال‌سازی KMS مایکروسافت دستکاری‌شده و به‌روزرسانی‌های جعلی ویندوز، نسخه‌ای جدید از بارگذار BACKORDER را توزیع می‌کند که در نهایت به استقرار تروجان دسترسی از راه دور Dark Crystal RAT (DcRAT) منجر می‌شود (این بدافزار به مهاجمان امکان سرقت داده‌های حساس و جاسوسی سایبری را می‌دهد)

🔬 شواهد متعددی این کمپین را به Sandworm مرتبط می‌کند، از جمله استفاده مکرر از حساب‌های ProtonMail در سوابق WHOIS، زیرساخت‌های یکسان، و تکنیک‌ها و روش‌های تاکتیکی (TTPs) مشابه. علاوه بر این، استفاده مجدد از BACKORDER، DcRAT، و مکانیزم‌های شبکه TOR، همراه با نشانه‌هایی که به محیط ساخت ابزار به زبان روسی اشاره دارند، این ارتباط را تقویت می‌کنند.

🦠 استفاده گسترده از نرم‌افزارهای کرک‌شده در اوکراین، حتی در نهادهای دولتی، سطح حمله بزرگی را ایجاد کرده است. بر اساس گزارش‌ها، مایکروسافت تخمین زده است که 70٪ از نرم‌افزارهای بخش دولتی اوکراین بدون مجوز هستند، که این روند احتمالاً به دلیل مشکلات اقتصادی ناشی از جنگ تشدید شده است. بسیاری از کاربران، از جمله کسب‌وکارها و نهادهای حیاتی، به نرم‌افزارهای کرک شده از منابع نامعتبر روی آورده‌اند، که به مهاجمانی مانند Sandworm فرصت می‌دهد بدافزار را در برنامه‌های پرکاربرد جاسازی کنند. این تاکتیک امکان جاسوسی گسترده، سرقت داده‌ها، و نفوذ به شبکه‌ها را فراهم می‌کند، که مستقیماً امنیت ملی، زیرساخت‌های حیاتی، و مقاومت بخش خصوصی اوکراین را تهدید می‌کند.

⚠️ در یکی از این حملات، فایل فشرده‌ای با عنوان "KMSAuto++x64_v1.8.4.zip" در تورنت منتشر شد که حاوی BACKORDER بود. مهاجمان این فایل را به‌عنوان ابزاری برای فعال‌سازی KMS معرفی کردند تا کاربرانی را که قصد دور زدن نیازهای مجوز ویندوز را دارند، هدف قرار دهند. این ابزار پس از اجرا، یک رابط جعلی فعال‌سازی ویندوز را نمایش می‌دهد، در حالی که در پس‌زمینه، بارگذار BACKORDER را اجرا می‌کند که در نهایت به استقرار DcRAT منجر می‌شود.

🌐 https://blog.eclecticiq.com/sandworm-apt-targets-ukrainian-users-with-trojanized-microsoft-kms-activation-tools-in-cyber-espionage-campaigns

🔗 https://nsarchive.gwu.edu/sites/default/files/documents/semon9-ryglx/2024-04-17-Mandiant-APT44-Unearthing-Sandworm.pdf


🔰Detection #SIGMA_Rules #YARA_Rule #IOCs #C2_Domains #MITRE_TTPs
#RedTeam #DcRAT #SIGMA_Rules
#Sandworm #C2
#APT44
#BACKORDER

@iDeFense

🔬 رویداد EventID 10 در Sysmon، که به‌عنوان Process Access شناخته می‌شود، زمانی ثبت می‌شود که یک فرآیند سعی می‌کند به فرآیند دیگری دسترسی پیدا کند. این رویداد اطلاعاتی درباره تعاملات بین فرآیندها ارائه می‌دهد و می‌تواند در شناسایی و نظارت بر تعاملات فرآیندها و بررسی فعالیت‌های مخرب مفید باشد

⚒️ ویژگی ها:
✅ شناسایی دسترسی‌های غیرمجاز
✅ شناسایی تلاش‌های Privilege Escalation
✅ شناسایی تکنیک‌های Process Injection

🛠 مبدل Granted Access یک ابزار که برای کمک به کاربران در درک و تفسیر مقادیر فیلد GrantedAccess موجود در SYSMON EventID 10 نوشته شده است
که این امکان را به کاربران می دهد تا مقادیر دسترسی hexadecimal مشخص شده جهت دسترسی را به مقادیر قابل خواندن انسانی تبدیل کنند و برعکس

🌐 https://yukh1402.github.io/granted-access-converter/

✅ همچنین میتوانید خودتان نیز این مقادیر را توسط اسکریپت زیر تبدیل کنید

Get-SysmonAccessMask -AccessMask 0x418

🛠 https://www.powershellgallery.com/packages/PSGumshoe/1.5/Content/EventLog%5CGet-SysmonAccessMask.ps1

#SOC
#tools
#BlueTeam
#Process_Injection
#Detection

@iDeFense

⭕ در سال‌های اخیر، مهاجمان سایبری به‌منظور دور زدن مکانیزم‌های شناسایی نرم‌افزارهای امنیتی، به استفاده از زبان‌های برنامه‌نویسی کمتر متداول روی آورده‌اند. این زبان‌ها به‌دلیل عدم آشنایی کامل ابزارهای امنیتی با آن‌ها، می‌توانند به‌عنوان روشی برای مخفی‌سازی بدافزارها مورد استفاده قرار گیرند

🔻 در اینجا روشی برای دور زدن Microsoft Defender از طریق ترکیب زبان‌های برنامه‌نویسی Lua و Rust رو بررسی میکنیم
با استفاده از این دو زبان، یک لودر شل‌کد میتوان ایجاد کرد که توسط Microsoft Defender شناسایی نمی‌شود
⚙  https://blog.shellntel.com/p/evading-microsoft-defender
👁‍🗨 مراحل:

با استفاده از ابزار msfvenom، یک شل‌کد Meterpreter تولید می‌شود
سپس شل‌کد تولید شده با استفاده از یک کلید XOR می‌شود تا از شناسایی آن توسط آنتی‌ویروس‌ها جلوگیری کند

🦠 سپس شل‌کد رمزگذاری‌شده در یک برنامه Rust تعبیه می‌شود که از کتابخانه mlua برای اجرای کد Lua استفاده می‌کند
در نهایت کد Lua شل‌کد را رمزگشایی کرده و آن را در حافظه اجرا می‌کند

🔗 https://www.darkreading.com/threat-intelligence/attackers-use-of-uncommon-programming-languages-continues-to-grow?utm_source=blog.shellntel.com&utm_medium=referral&utm_campaign=evading-microsoft-defender

#MalwareDevelopment
#AV_Evasion
#UncommonLanguages
#MalwareAnalysis

@iDeFense

یه چیز جالب🤔

🔥 لیست رتبه بندی شده بر اساس دشواری دور زدن EDR ها توسط یک اپراتور باج افزار منتشر شده است


🔗 https://x.com/PsExec64/status/1916205645507842

#BlueTeam
#EDRBypass
#MalwareAnalysis
#Ransomware
#EDRKillers
#EDR
#EDREvasion
#APT
#ThreatHunting

@iDeFense

استخدام در شرکت آریوان تیمی پویا و خلاق – فرصت‌های شغلی در حوزه فناوری اطلاعات

شرکت ما در راستای گسترش تیم فنی خود، از افراد مستعد، خلاق و باانگیزه برای همکاری در موقعیت‌های زیر دعوت به عمل می‌آورد:

موقعیت‌های شغلی مورد نیاز:

کارشناس شبکه

مسلط به مفاهیم TCP/IP، Routing، Switching

آشنا با ابزارهای مانیتورینگ و امنیت شبکه

مهندس DevOps

تسلط به CI/CD، Docker، Kubernetes

آشنایی با GitLab، Jenkins و Terraform مزیت محسوب می‌شود

برنامه‌نویس اندروید (Kotlin)

تسلط کامل به زبان Kotlin و Android SDK

تجربه کار با RESTful API و معماری MVVM

کارشناس امنیت وب

آشنایی با OWASP Top 10، تست نفوذ، ابزارهایی مانند Burp Suite

توانایی تحلیل آسیب‌پذیری‌های امنیتی و ارائه راهکار

برنامه‌نویس PHP (Laravel)

تسلط کامل به فریمورک Laravel و طراحی RESTful API

تجربه کار با دیتابیس MySQL و مفاهیم MVC

مزایای همکاری با ما:

محیط کاری پویا و دوستانه

امکان رشد و ارتقاء شغلی

پروژه‌های متنوع و چالش‌برانگیز

پرداخت به‌موقع و بیمه تأمین اجتماعی

نحوه ارسال رزومه:
در صورت تمایل به همکاری، لطفاً رزومه خود را با عنوان «موقعیت شغلی + نام» به آیدی ذیل
@Hr_Arivan
ارسال فرمایید.

🔝دوستان علاقه مند به امنیت هم میتونند رزومه ارسال کنند 🙏

SANS Linux Incident Response Poster

#Poster
#DFIR
#Linux
#Incident_Response

@iDeFense

🔴 بررسی یک آسیب‌پذیری patch نشده تحت عنوان BadSuccessor در ویندوز سرور 2025 که امکان سو استفاده از dMSA برای بالابردن سطح دسترسی در اکتیو دایرکتوری بدون تغییر در Object کاربر را میدهد و راهکارهای مقابله و مانیتورینگ آن

🔍 مقاله بررسی شده آسیب‌پذیری:
🔗https://www.akamai.com/blog/security-research/abusing-dmsa-for-privilege-escalation-in-active-directory

🔖 اسکریپت پاورشل ارائه شده از سوی akamai:
🔗https://github.com/akamai/BadSuccessor

🦠 ماژول NetExec:
🔗https://github.com/Pennyw0rth/NetExec/pull/702

🛠 ابزار پایتون:
🔗https://github.com/cybrly/badsuccessor

🔪ابزار SharpSuccessor:
🔗https://github.com/logangoins/SharpSuccessor

#Podcast
#BadSuccessor
#RedTeam
#BlueTeam
#SOC
#ActiveDirectory
#KerberosAttack
#DMSA

@iDeFense

فرزندان ایران!🖤

🚀 ابزار قدرتمند Kraken برای حملات Brute Force

ابزار Kraken یک ابزار همه‌کاره برای تست نفوذ است که وظیفه‌ی مرکزی‌سازی و بهینه‌سازی حملات Brute Force را برعهده دارد. این ابزار از پروتکل‌ها و سرویس‌های مختلفی پشتیبانی می‌کند و برای انجام تست‌های امنیتی بسیار کاربردی است.

🕸 پروتکل‌ها و سرویس‌های شبکه‌ای قابل پشتیبانی:

💠 FTP Brute Force

💠 Kubernetes Brute Force

💠 LDAP Brute Force

💠 VOIP Brute Force

💠 SSH Brute Force

💠 Telnet Brute Force

💠 WiFi Brute Force

💠 WPA3 Brute Force

🌐 ابزارهای حمله به وب‌اپلیکیشن‌ها:

⚒️ CPanel Brute Force

⚒️ Drupal Brute Force

⚒️ Joomla Brute Force

⚒️ Magento Brute Force

⚒️ Office365 Brute Force

⚒️ Prestashop Brute Force

⚒️ OpenCart Brute Force

⚒️ WooCommerce Brute Force

⚒️WordPress Brute Force

👨‍💻 سورس‌کد و اطلاعات بیشتر:
🔗 github.com/jasonxtn/Kraken
#bruteforce
#pentest
#Tools

@iDeFense

❌ هشدار امنیتی مهم ❌

⚠️ یگان فارسی‌زبان ارتش اسرائیل (یگان ۸۲۰۰) در فضای مجازی به شدت فعال است. این افراد با اکانت‌های جعلی خود را به عنوان مردم عادی جا زده و در تلاشند تا اطلاعات جمع‌آوری کنند.

آن ها بدنبال اطلاعاتی نظیر محل برخورد ، محل پرتاب موشک و جزئیات حملات هستند
لطفاً از نوشتن مواردی همچون «کجا رو زدن» یا «صدای انفجار از کدوم سمت اومده» خودداری کنید! حتی ساده‌ترین اطلاعات می‌تواند به آن‌ها کمک کند تا هدف بعدی را شناسایی کنند.

اکانت‌های با پشتیبانی موساد به صورت هدفمند به کاربران ایرانی در تلگرام پیام می‌فرستند. اگر کسی به شما پیام داد و لینکی ارسال کرد، فوراً او را بلاک کرده و به هیچ وجه وارد آن لینک‌ها نشوید.
لطفاً اطلاع‌رسانی کنید تا کسی به دام این افراد نیفتد.
🇮🇷@IranCyber_Org

⚠️ اپلیکشن های اینستاگرام و واتساپ آپدیت جدید دادند، در شرایط فعلی هیچ اپلیکشینی آپدیت نکنید. احتمالا جهت دسترسی بیشتر به گوشی‌های ایرانی باشه!

⛔️ این دو تا برنامه متعلق به شرکت متا آمریکایی هستند...

🇮🇷 @IranCyber_Org

فرزندان ایران!🖤

⁨🥀 وطن بسوزد و من در جوش و خروش نباشم؟ خدا کند که بمیرم و وطن فروش نباشم...⁩

#ایران_من
#وطن
#فرزندان_ایران
#ایران_جان
#وطن_فروش
@iDeFense

🎯 ابزار جدید برای تحلیل و بهره‌برداری از حملات COM/RPC در ویندوز:

📌 ابزار COMmander یک ابزار متن‌باز مبتنی بر C# است که برای اجرای حملات مبتنی بر COM و RPC و همچنین مانیتورینگ دقیق آنها از طریق ETW (Event Tracing for Windows) طراحی شده

📍 قابلیت‌های کلیدی:

🎯 دارای رابط ساده برای اجرای حملات مبتنی بر COM و RPC

🎯 پشتیبانی از پروفایل‌های سفارشی جهت شناسایی رفتارهای مشکوک

🎯 استفاده از Microsoft-Windows-RPC ETW Provider برای تحلیل و ردیابی دقیق فراخوانی‌های RPC

📌 مناسب برای استفاده در تست نفوذ، تحلیل تهدید، و ساخت تشخیص‌ها (Detection Rules) در EDR/SIEM- رد تیم‌ها، تحلیلگران امنیت، توسعه‌دهندگان EDR و پژوهشگران بدافزار

🔗 سورس‌کد و مستندات:
⚒️ https://github.com/HullaBrian/COMmander
🔬 https://jacobacuna.me/2025-06-12-COMmander/

#WindowsSecurity
#COM
#RPC
#BlueTeam
#RedTeam
#ThreatDetection
#ETW
#PentestTools
#MalDev

@iDeFense

🇮🇷 تا پای جان برای ایران 🇮🇷
🔝 به حول و قوه الهی پیروزی از آن ماست 🔜

#ایران_جان
#فرزندان_ایران
#وطن
@iDeFense

🔴 بيانيه شماره ٣ تيم امنيتى Mr. Soul Av3ngers

🔰 در ادامه کارزار سایبری خود، تیم Mr. Soul Av3ngers عملیات‌های زیر را انجام داده است:

🔺مرحله ۱: مختل کردن سامانه دفاع موشکی گنبد آهنین
ما با موفقیت به زیرساخت فرماندهی سامانه گنبد آهنین اسرائیل نفوذ کردیم و حملات سایبری‌ای را اجرا کردیم که عملکرد عملیاتی آن را مختل نمود.

🔺مرحله ۲: نفوذ به پایگاه‌داده نظامی بزرگ
یگان‌های سایبری
ما به یک پایگاه‌داده بزرگ و محرمانه دسترسی پیدا کردند و همچنین رایانه شخصی یکی از فرماندهان ارشد ارتش اسرائیل را هک کردند.

🔺مرحله ۳: حمله به خدمات بانکی
حملات متعددی علیه خدمات مالی کلیدی اجرا شد که منجر به مسدود شدن کامل عملیات انتقال پول در سامانه‌های هدف گردید.

🔺مرحله ۴: حمله دوباره به زیرساخت برق
ما بار دیگر به شبکه برق اسرائیل نفوذ کردیم که موجب اختلالات بیشتر و دسترسی به شبکه برق ملی آن شد.

⭕ این عملیات تنها بخشی از توان راهبردی ما را نشان می‌دهد. ما تا زمانی که زیرساخت دیجیتال رژیم سرکوبگر صهیونی کاملاً افشا و نابود نشده، دست از کار نخواهیم کشید.

⚔ هوشیار باشید. فاز بعدی به‌زودی آغاز می‌شود.

تیم Mr. Soul Av3ngers

@iDeFense

⚔ در فرایند تیم قرمز برای دسترسی راحتتر به قربانی، از ابزارهای ریموت دسکتاپ استفاده میشه. معمولا برای این کار هم از ابزارهای قانونی استفاده میکنن، تا بتونن محصولات امنیتی رو هم دور بزنن.

⭕ یکی از این ابزارهای قانونی Chrome Remote Desktop هستش که با عنوان Google Remote Desktop هم شناخته میشه.

⚙ برای استفاده از این ابزار نیاز به یک اکانت جیمیل و نصب نرم افزار مربوطه دارید.

🔺 این ابزار از پروتکل اختصاصی گوگل با عنوان Chromoting استفاده میکنه که از طریق HTTPS ارتباط برقرار میکنه و از طریق WebRTC داده انتقال میده.

🔻 https://trustedsec.com/blog/abusing-chrome-remote-desktop-on-red-team-operations-a-practical-guide

#RedTeam
#Tools

@iDeFense