CyberSecurity – Telegram
CyberSecurity
@matitanium
904 subscribers
121 photos
26 videos
73 files
144 links
Welcome to dark hell

‌ ما از دانش خود برای مهندسی دنیایی امن ‌تر استفاده می‌کنیم 🔐
Download Telegram
About
Blog
Apps
Platform
Join
CyberSecurity
904 subscribers
CyberSecurity
🖥 بعد از دسترسی به یک سرور ویندوزی A و ریکان شبکه داخلیش متوجه شدم هاست های دیگه ای هستن داخل شبکه,
شبکه Workgroup بود...

روی یکی از ویندوز های داخلی سازمان SQL Server بود که ما ویندوز سرور B در نظر میگیریم.
بعد از گشتن و بررسی کامل سرور A اطلاعات کانکشن به دیتابیس در ویندوز B پیدا شد...

📍استک کويری رو فعال کردم روش و Lateral Movment انجام شد...


در هاردنینگ درون سازمانی خودتون بشدت دقت کنید که با تسخیر یک سرور کل شبکتون تحت کنترل مهاجم در نیاد.:)

@matitanium
🔥4
1.08K viewsedited  
CyberSecurity
حین کار، با یه پروژه رو به رو شدم
کامل داکیومنتشو نخوندم

ولی اینو چک کنید:)

https://www.trydeepteam.com/
Trydeepteam
DeepTeam - The Open-Source LLM Red Teaming Framework
🔥3
854 viewsedited  
CyberSecurity
Evil Notepad++ PoC

https://github.com/zer0t0/CVE-2025-56383-Proof-of-Concept
GitHub
GitHub - zer0t0/CVE-2025-56383-Proof-of-Concept: CVE-2025-56383-Proof-of-Concept
CVE-2025-56383-Proof-of-Concept. Contribute to zer0t0/CVE-2025-56383-Proof-of-Concept development by creating an account on GitHub.
🔥3
691 viewsedited  
CyberSecurity
Audio
#Article

چگونه یک مدل یادگیری ماشین برای شناسایی DLL hijacking آموزش دادیم

تصمیم گرفتم این مقاله رو با Notebooklm برای شما تبدیل کنم تا متوجه بشید غول های تکنولوژی به چه صورت از LLM ها و ML استفاده می کنند تا یکسری کارها به صورت فرآیند خودکار انجام بشه.

تکنیک DLL hijacking یک تکنیک عملیات رایج است که در آن مهاجمان کتابخانه‌ای (DLL) را که توسط یک فرایند قانونی فراخوانی می‌شود با یک کتابخانه‌ی مخرب جایگزین می‌کنند. این روش هم توسط سازندگان بدافزارهای با تاثیر وسیع (مثل stealerها و تروجان‌های بانکی) و هم توسط گروه‌های APT و جرایم سایبری که پشت حملات هدفمند هستند، استفاده می‌شود. در سال‌های اخیر تعداد حملات DLL hijacking به‌طور قابل توجهی افزایش یافته است.

برای جزئیات فنی و نتایج آزمایش‌ها می‌توانید مقالهٔ کامل Kaspersky را در Securelist مطالعه کنید.

پاورقی : ترجمه به فارسی برخی لغات همچنان مشکل داره ولی، قابل قبول هست 😊😉

🦅 کانال بایت امن | گروه بایت امن
_
👍1
547 views
CyberSecurity
Forwarded from پلاک نت|مرجع انتشار محتوای کاربردی مرتبط با تیم های قرمز Red teams (k bs)
APT28 LAMEHUG
اولین بدافزار مجهز به هوش مصنوعی

گروه هکری روس APT28 (Forest Blizzard, UAC-0001) با توسعه اولین بدافزار عمومی مستندشده که از یک مدل زبانی بزرگ (LLM) بهره می‌ برد، دوره جدیدی از حملات سایبری را معرفی کرده است. LAMEHUG فصل جدیدی در تاریخ بدافزارها گشوده است.

معماری فنی

اجزای اصلی:
- زبان برنامه‌نویسی: پایتون
- بسته‌بندی: PyInstaller (فایل‌های .pif)
- مدل زبانی: Qwen 2.5-Coder-32B-Instruct
- رابط برنامه‌نویسی (API): Hugging Face Inference API
- روش تحویل: ایمیل‌های فیشینگ حاوی فایل‌های ZIP

رویکرد انقلابی:
LAMEHUG
دستورات متنی به زبان طبیعی را دریافت کرده و از طریق مدل زبانی آن‌ ها را به دستورات سیستمی تبدیل می‌ کند که روی دستگاه آلوده اجرا می‌ شوند. این قابلیت امکان خودکارسازی وظایف پیچیده جاسوسی و سرقت داده‌ها را بدون نیاز به برنامه‌نویسی دستورات خاص فراهم می‌کند.

مکانیزم عملکرد

مرحله ۱: آلودگی
Appendix.pdf.zip → Appendix.pdf.pif → PyInstaller executable

مرحله ۲: تولید دستورات توسط هوش مصنوعی
بدافزار درخواست‌هایی را به Qwen 2.5-Coder از طریق API Hugging Face ارسال می‌کند:
"تولید دستورات ویندوز برای جمع‌وآوری اطلاعات سیستمی شامل سخت‌افزار، پروسس ها، سرویس‌ ها و پیکربندی شبکه"

مرحله ۳: اجرای دستورات تولید شده
مدل زبانی دستورات آماده را باز می‌ گرداند و LAMEHUG آن‌ ها را از طریق cmd.exe اجرا می‌کند:

cmd.exe /c "mkdir %PROGRAMDATA%\info && 
systeminfo >> %PROGRAMDATA%\info\info.txt && 
wmic computersystem get name,manufacturer,model >> %PROGRAMDATA%\info\info.txt && 
wmic cpu get name,speed >> %PROGRAMDATA%\info\info.txt && 
wmic memorychip get capacity,speed >> %PROGRAMDATA%\info\info.txt && 
wmic diskdrive get model,size >> %PROGRAMDATA%\info\info.txt && 
wmic nic get name,macaddress,ipaddress >> %PROGRAMDATA%\info\info.txt && 
tasklist >> %PROGRAMDATA%\info\info.txt && 
net start >> %PROGRAMDATA%\info\info.txt && 
ipconfig /all >> %PROGRAMDATA%\info\info.txt && 
whoami /user >> %PROGRAMDATA%\info\info.txt && 
whoami /groups >> %PROGRAMDATA%\info\info.txt && 
net config workstation >> %PROGRAMDATA%\info\info.txt && 
dsquery user -samid %username% >> %PROGRAMDATA%\info\info.txt"

مرحله ۴: جمع‌ آوری و استخراج داده‌ ها
- جستجوی بازگشتی در پوشه‌ های Documents، Desktop، Downloads
- آماده‌ سازی فایل‌ ها برای استخراج
- انتقال داده‌ ها از طریق SFTP یا HTTP POST.

گونه‌های بدافزار

سه نسخه شناسایی شده است:

1. نسخه اصلی (Appendix.pdf.pif)
- قابلیت پایه تولید دستورات توسط هوش مصنوعی
- جمع‌آوری اطلاعات سیستمی
- استخراج داده‌ها از طریق SFTP

2.AI_generator_uncensored_Canvas_PRO_v0.9.exe
- قابلیت‌های پیشرفته‌ تر تولید دستورات
- روش‌ های جایگزین استخراج داده
- دور زدن محدودیت‌ های مدل زبانی

3. image.py
- نسخه اسکریپت پایتون
- منطق تغییر یافته برای استخراج
- احتمالاً نسخه آزمایشی

شاخص‌ های فنی
آرتیفکت‌ های فایل:
- %PROGRAMDATA%\info\info.txt 
- اطلاعات سیستمی
- Appendix.pdf.pif 
پیلود اصلی
- AI_generator_uncensored_Canvas_PRO_v0.9.exe

- نسخه جایگزین

شاخص‌ های شبکه‌ای:

- سرورهای C2: 144.126.202.227, 192.36.27.37
- دامنه‌ها:
boroda70@meta.ua, stayathomeclasses.com

- API: inference.huggingface.co (Qwen 2.5-Coder)

- User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:140.0) Gecko/20100101 Firefox/140.0

هش فایل‌ ها:
- 8013b23cb78407675f323d54b6b8dfb2a61fb40fb13309337f5b662dbd812a
- 766c356d6a4b00078a0293460c5967764fcd788da8c1cd1df708695f3a15b777
- a30930dfb655aa39c571c163ada65ba4dec30600df3bf548cc48bedd0e841416
- d6af1c9f5ce407e53ec73c8e7187ed804fb4f80cf8dbd6722fc69e15e135db2e
- bdb33bbb4ea11884b15f67e5c974136e6294aa87459cdc276ac2eea85b1deaa3
- 384e8f3d300205546fb8c9b9224011b3b3cb71adc994180ff55e1e6416f65715

روش‌ های شناسایی

1. نظارت بر فعالیت فایل:
 Sysmon Event ID 11: File creation in %PROGRAMDATA%\info\*
Suspicious files in writable directories: AppData, ProgramData, Users\Public

2. شناسایی جاسوسی:
   - اجرای چندین دستور شناسایی در بازه زمانی کوتاه:
whoami, systeminfo, wmic, ipconfig, net, tasklist

3. نظارت شبکه‌ای:
   - اتصالات به نقاط پایانی API مدل‌های زبانی:
     - inference.huggingface.co
     - api.openai.com
     - generativelanguage.googleapis.com
     - api.anthropic.com`
1
665 views
CyberSecurity
پلاک نت|مرجع انتشار محتوای کاربردی مرتبط با تیم های قرمز Red teams
APT28 LAMEHUG اولین بدافزار مجهز به هوش مصنوعی گروه هکری روس APT28 (Forest Blizzard, UAC-0001) با توسعه اولین بدافزار عمومی مستندشده که از یک مدل زبانی بزرگ (LLM) بهره می‌ برد، دوره جدیدی از حملات سایبری را معرفی کرده است. LAMEHUG فصل جدیدی در تاریخ بدافزارها…
کم کم نوبت آفنسه:))
3
643 views
CyberSecurity
ایونت خیلی خوبی بود…

با‌حضور کمپانی ها:
اسنپ
بله
تپسی

@matitanium
👍5👎21
544 viewsedited  
CyberSecurity
This media is not supported in your browser
VIEW IN TELEGRAM
بیش از 200 گزارش امنیتی از کمپانی های شرکت کننده در ایونت کشف و گزارش شد…


🔴 در اقدامی جالب در بخش رد تیم
حملات مهندسی اجتماعی هم تایید میشدن که باعث شد حملات بشدت شبیه سازی واقعی بشن


💵در مجموع بیش از 2‌میلیارد تومن جایزه به متخصصین اهدا شد

با حضور نمایندگان پلیس فتا تهران بزرگ

@matitanium
4👍1
613 viewsedited  
CyberSecurity
executing shellcode from non-executable memory and "bypassing" DEP/NX.

A proof-of-concept implementation demonstrating how to execute code from non-executable memory on Windows x64 systems by combining hardware breakpoints, vectored exception handling (VEH), and instruction emulation—bypassing DEP/NX protection without modifying memory permissions.

🙂🙂🙂🙂🙂🙂🙂🙂
GitHub
GitHub - VirtualAlllocEx/HWBP-DEP-Bypass: Educational proof-of-concept demonstrating DEP/NX bypass using hardware breakpoints,…
Educational proof-of-concept demonstrating DEP/NX bypass using hardware breakpoints, vectored exception handling, and instruction emulation on Windows x64. For security research and learning purpos...
🗿4
695 views
CyberSecurity
CyberSecurity
executing shellcode from non-executable memory and "bypassing" DEP/NX. A proof-of-concept implementation demonstrating how to execute code from non-executable memory on Windows x64 systems by combining hardware breakpoints, vectored exception handling (VEH)…
🙂🙂🙂🙂🙂🙂🙂🙂🙂🙂🙂🙂🙂🙂🙂🙂🙂🙂🙂🙂🙂🙂🙂🙂
711 views
CyberSecurity
رفتارشناسی_گروه‌های_فعال_APT_در_زیرساخت‌های_ایران.pdf
9.4 MB
🔴 رفتارشناسی گروه‌های فعال APT در زیرساخت‌های فناوری اطلاعات ایران

مهر ۱۴۰۴

#گزارش #گراف
👍6
686 viewsedited  
CyberSecurity
Forwarded from SoheilSec (Soheil)
At this week’s Microsoft BlueHat IL conference, Benjamin Delpy - widely respected for his work with Mimikatz - delivered what appears to be the first industry leak of Mimikatz 3.0.0 in a live demo. For those of us who have used Mimikatz extensively, this update is particularly intriguing. Delpy made it clear from the outset that this version won’t be publicly released anytime soon - a move that suggests significant shifts ahead.
430 views
CyberSecurity
⚠️ ALERT: A Chrome zero-day (CVE-2025-2783) was exploited to deliver spyware built by Memento Labs — the firm behind past government surveillance tools.

One click in Chromium = full sandbox escape.

Read this → https://thehackernews.com/2025/10/chrome-zero-day-exploited-to-deliver.html
545 viewsedited  
CyberSecurity
دوستان لطفا داخل پروفایل لینکدینتون یا رزومتون ایمیلتون رو نزارید🙏

اگر هم میزارید ایمیلی باشه که هیج جا باهاش رجیستر نکردین❗️

شماره یا ایمیل یا هرچیزی که بهتون پوینت میشرو پاک کنید.
11
569 viewsedited  
CyberSecurity
https://x.com/sardar0x1/status/1978219086065627488?t=xfJS2uQZ1_ml9oi5ccm6LA&s=19
X (formerly Twitter)
Sardar (@sardar0x1) on X
RCE Bug On T-Mobile's Custom Header

Vulnerable Header:
X-Export-Format: pdf ; Payload

Tip:
Always test your payloads on custom headers, as the header may be vulnerable, as in this case
#BugBounty #bugbountytips #redteam #cybersecurity #Developers #pentest
👍3
504 views
CyberSecurity
CyberSecurity
https://x.com/sardar0x1/status/1978219086065627488?t=xfJS2uQZ1_ml9oi5ccm6LA&s=19
این چیزی که سردار زده خیلی تمیزه🤌🏻
😈4
475 views
CyberSecurity
This media is not supported in your browser
VIEW IN TELEGRAM
😂😂😂😂
😈6
573 views
CyberSecurity
گزارش روند حملات سایبری در سال 2025 از mandiant

Cyberattack Trends Report 2025 From Mandiant

https://services.google.com/fh/files/misc/m-trends-2025-en.pdf
392 views
CyberSecurity
GitHub Monitoring Alert!!!

Updated: #RCE
Denoscription: This repo contains a valid ready to run Dockefile to be used in 1C cluster RCE technique
URL: https://github.com/curiv/postgres-1c-for-pentest

Tag: #RCE
GitHub
GitHub - curiv/postgres-1c-for-pentest: This repo contains a valid ready to run Dockefile to be used in 1C cluster RCE technique
This repo contains a valid ready to run Dockefile to be used in 1C cluster RCE technique - GitHub - curiv/postgres-1c-for-pentest: This repo contains a valid ready to run Dockefile to be used in 1...
363 views
CyberSecurity
GitHub Monitoring Alert!!!

Updated: CVE-2025
Denoscription: PoC of CVE-2025-62168
URL: https://github.com/shahroodcert/CVE-2025-62168

Tag: #CVE-2025
GitHub
GitHub - shahroodcert/CVE-2025-62168: PoC of CVE-2025-62168
PoC of CVE-2025-62168. Contribute to shahroodcert/CVE-2025-62168 development by creating an account on GitHub.
318 views
CyberSecurity
GitHub Monitoring Alert!!!

Updated: CVE-2025
Denoscription:🐙 CVE-2025-54253 exploit demo for Adobe AEM Forms on JEE: OGNL injection to RCE with PoC, Python 3.10 exploit code, reproducer and mitigation guidance.
URL:https://github.com/QurtiDev/WSUS-CVE-2025-59287-RCE

Tag: #CVE-2025
GitHub
GitHub - QurtiDev/WSUS-CVE-2025-59287-RCE: Exploit noscript written in C# to aid gaining a reverse shell on targets with Windows…
Exploit noscript written in C# to aid gaining a reverse shell on targets with Windows Server Update Service(WSUS) CVE-2025-59287. - GitHub - QurtiDev/WSUS-CVE-2025-59287-RCE: Exploit noscript written ...
454 views