❤7
OnHex
🔴 ایران اینترنشنال مطالب منتشر شده رو تایید و اعلام کرده که مربوط به دو حمله سایبری جداگانه در تابستان ۲۰۲۴ و ماه ژانویه سال ۲۰۲۵ هستن. هکرها ممکن است از طریق نصب بدافزار از راه حسابهای تلگرام، به کامپیوترهای همکاران هدف قراردادهشده دسترسی پیدا کرده باشند.…
🔴 گروه هکری حنظله مدعی هک پخش زنده شبکه ایران اینترنشنال شده. (آنلاین)
ایران اینترنشنال این هک رو تایید یا تکذیب نکرده.
#اخبار_سایبری_جنگ_ایران_اسرائیل
🆔 @onhex_ir
➡️ ALL Link
ایران اینترنشنال این هک رو تایید یا تکذیب نکرده.
#اخبار_سایبری_جنگ_ایران_اسرائیل
🆔 @onhex_ir
➡️ ALL Link
❤25
OnHex
🔴 لیست محصولات مایکروسافتی که در سال 2025 پشتیبانی نمیشن در این پست، مثل هر سال، لیست محصولات و سرویسهایی که مایکروسافت در سال 2025، تغییراتی در نوع پشتیبانیشون اعمال میکنه رو بررسی کردیم. #ویندوز #مایکروسافت 🆔 @onhex_ir ➡️ ALL Link
🔴 خداحافظی با Exchange 2016 و Exchange 2019
مایکروسافت دوباره به ادمین ها یادآوری کرده که Exchange 2016 و Exchange 2019 ماه آینده به پایان پشتیبانی توسعه یافته (Extended Support) خودشون میرسن.
پشتیبانی اصلی (Mainstream Support) برای Exchange 2016 در اکتبر 2020 و برای Exchange 2019 در 9 ژانویه 2024 تموم شده.
بعد از 14 اکتبر 2025 (22 مهر 1404)، این ابزارها همچنان کار میکنن اما مایکروسافت ارائه پشتیبانی فنی از جمله رفع باگهای جدیدی که ممکنه بر عملکرد و پایداری سرورهای قدیمی اثر بذاره، همچنین بروزرسانیهای مربوط به مناطق زمانی (Time Zone Updates) و اصلاحات امنیتی برای آسیبپذیریهایی که ممکنه سرورها رو در معرض هک قرار بدن رو متوقف میکنه.
مایکروسافت پیشنهاد کرده ادمین ها یا به Exchange Online (که بصورت سرویس مستقل یا بخشی از اشتراک Office 365 در دسترس هستش) مهاجرت کنن یا به Exchange Server Subnoscription Edition (SE) ارتقاء بدن.
برای ارتقای مستقیم از Exchange Server 2019 به Exchange Server SE میتونید از In-Place Upgrade استفاده کنید، که مشابه فرآیند نصب یک بروزرسانی تجمیعی (CU) هستش.
اگه از Exchange 2016 استفاده میکنید، توصیه شده یک ارتقاء Legacy یا همون Side-by-Side به Exchange Server SE انجام بدید یعنی یک سرور جدید با Exchange Server SE راهاندازی کنید، و بعد دادهها و میلباکس و ... رو از سرور 2016 به اون منتقل کنید.
اگه هنوز از Exchange Server 2013 یا نسخههای قدیمی تر استفاده میکنید، اول باید اونارو حذف کنید و بعدش Exchange Server 2019 CU15 رو نصب یا به Exchange Server SE ارتقاء بدید.
قبلا در این لینک، محصولات مایکروسافتی که قراره در سال 2025 به پایان پشتیبانی و عمرشون برسن رو لیست کردیم.
#ویندوز #مایکروسافت
🆔 @onhex_ir
➡️ ALL Link
مایکروسافت دوباره به ادمین ها یادآوری کرده که Exchange 2016 و Exchange 2019 ماه آینده به پایان پشتیبانی توسعه یافته (Extended Support) خودشون میرسن.
پشتیبانی اصلی (Mainstream Support) برای Exchange 2016 در اکتبر 2020 و برای Exchange 2019 در 9 ژانویه 2024 تموم شده.
بعد از 14 اکتبر 2025 (22 مهر 1404)، این ابزارها همچنان کار میکنن اما مایکروسافت ارائه پشتیبانی فنی از جمله رفع باگهای جدیدی که ممکنه بر عملکرد و پایداری سرورهای قدیمی اثر بذاره، همچنین بروزرسانیهای مربوط به مناطق زمانی (Time Zone Updates) و اصلاحات امنیتی برای آسیبپذیریهایی که ممکنه سرورها رو در معرض هک قرار بدن رو متوقف میکنه.
مایکروسافت پیشنهاد کرده ادمین ها یا به Exchange Online (که بصورت سرویس مستقل یا بخشی از اشتراک Office 365 در دسترس هستش) مهاجرت کنن یا به Exchange Server Subnoscription Edition (SE) ارتقاء بدن.
برای ارتقای مستقیم از Exchange Server 2019 به Exchange Server SE میتونید از In-Place Upgrade استفاده کنید، که مشابه فرآیند نصب یک بروزرسانی تجمیعی (CU) هستش.
اگه از Exchange 2016 استفاده میکنید، توصیه شده یک ارتقاء Legacy یا همون Side-by-Side به Exchange Server SE انجام بدید یعنی یک سرور جدید با Exchange Server SE راهاندازی کنید، و بعد دادهها و میلباکس و ... رو از سرور 2016 به اون منتقل کنید.
اگه هنوز از Exchange Server 2013 یا نسخههای قدیمی تر استفاده میکنید، اول باید اونارو حذف کنید و بعدش Exchange Server 2019 CU15 رو نصب یا به Exchange Server SE ارتقاء بدید.
قبلا در این لینک، محصولات مایکروسافتی که قراره در سال 2025 به پایان پشتیبانی و عمرشون برسن رو لیست کردیم.
#ویندوز #مایکروسافت
🆔 @onhex_ir
➡️ ALL Link
BleepingComputer
Microsoft: Exchange 2016 and 2019 reach end of support in 30 days
Microsoft has reminded administrators again that Exchange 2016 and Exchange 2019 will reach the end of extended support next month and has provided guidance for decommissioning outdated servers.
❤7
OnHex
🔴 بیست و دومین کنفرانس بینالمللی انجمن رمز ایران در حوزه امنیت اطلاعات و رمزنگاری (ISCISC 2025) توسط دانشگاه شهید بهشتی و با همکاری انجمن رمز ایران در 16 و 17 مهر برگزار میشه. موضوعات مورد علاقه شامل، اما نه محدود به موارد زیر هستن: - مبانی رمزنگاری و…
🔴 ثبت نام برای شرکت در بیست و دومین کنفرانس بینالمللی انجمن رمز ایران (ISCISC 2025) فراهم شده. این کنفرانس امنیت سایبری، 16 و 17 مهر ماه برگزار میشه.
لیست و زمان بندی ارائه های این کنفرانس رو میتونید از اینجا مشاهده کنید.
علاوه بر ارائه ها، چندین کارگاه با موضوعات مختلف هم برگزار میشه که میتونید لیستشون رو از اینجا مشاهده کنید. کارگاهها 14 و 15 مهر برگزار میشن. (عنوان کارگاهها از ارائه ها جذاب تره 🤤 )
شرکت در کنفرانس هزینه داره که میتونید لیست هزینه ها رو اینجا مشاهده کنید. (اگه دانشجو هستید و هزینه ها براتون بالاست، میتونید درخواست تخفیف مضاعف کنید.)
#ایران #کنفرانس
#ISCISC2025
🆔 @onhex_ir
➡️ ALL Link
لیست و زمان بندی ارائه های این کنفرانس رو میتونید از اینجا مشاهده کنید.
علاوه بر ارائه ها، چندین کارگاه با موضوعات مختلف هم برگزار میشه که میتونید لیستشون رو از اینجا مشاهده کنید. کارگاهها 14 و 15 مهر برگزار میشن. (عنوان کارگاهها از ارائه ها جذاب تره 🤤 )
شرکت در کنفرانس هزینه داره که میتونید لیست هزینه ها رو اینجا مشاهده کنید. (اگه دانشجو هستید و هزینه ها براتون بالاست، میتونید درخواست تخفیف مضاعف کنید.)
#ایران #کنفرانس
#ISCISC2025
🆔 @onhex_ir
➡️ ALL Link
❤6
OnHex
🔴 چند روز پیش خبر یک حمله ی بزرگ زنجیره تامین در اکوسیستم NPM منتشر شد، بعد از تحقیقات بیشتر مشخص شده که هکرها خیلی از این حمله سود نداشتن. طبق گزارش شرکت امنیت ابری Wiz، یک یا چند پکیج آلوده این حمله که جزو بلوکهای اساسی برای تقریباً همه پروژه های JavaScript/Node…
🔴 چندین پکیج npm مربوط به CrowdStrike که توسط حساب crowdstrike-publisher در npm منتشر شده بود، آلوده شدن.
این موضوع به نظر میرسه ادامه ی کمپین مخرب زنجیره تأمین با عنوان Shai-Halud attack هستش که قبلا پکیج tinycolor و بیش از ۴۰ پکیج دیگه رو آلوده کرده بود.
بدافزار بکار رفته مشابه همون کمپین قبلیه و شامل یک اسکریپت bundle.js هستش که کارهای زیر رو انجام میده:
- دانلود و اجرای TruffleHog (یک ابزار قانونی برای اسکن اطلاعات حساس و کلیدها - افزونه)
- جستجوی سیستم میزبان برای یافتن توکن ها و اعتبارنامه های ابری
- اعتبارسنجی کلیدهای توسعه دهندگان و CI کشف شده
- ایجاد workflowهای غیرمجاز GitHub Actions درون مخازن (برای پرسیست)
- استخراج و ارسال دادههای حساس به یک وبهوک (webhook) هاردکد شده
پکیجهای آلوده به سرعت توسط رجیستری npm حذف شدن.
همچنین بدافزار یک فایل workflow با نام shai-hulud.yaml داره که اشاره به کرم های شنی در رمان Dune داره. اگرچه این ارجاع منحصربهفرد نیست، اما وجود اون نشون میده که مهاجم عمداً این کمپین رو با نام Shai-Hulud برندگذاری کرده.
پکیجهای تحت تاثیر:
شرکت CrowdStrike اعلام کرده: پس از شناسایی چندین پکیج آلوده در رجیستری عمومی NPM، اونارو حذف کرده و کلیدهاشون رو در رجیستری های عمومی تغییر دادن. این پکیجها در Falcon Sensor استفاده نمیشن بنابراین این پلتفرم تحت تأثیر قرار نگرفته و مشتریان همچنان محافظت میشن. همچنان در حال همکاری با NPM و انجام یک بررسی جامع هستن.
#حملات_زنجیره_تامین
#CrowdStrike #NPM #SupplyChainAttack #ShaiHaludAttack
🆔 @onhex_ir
➡️ ALL Link
این موضوع به نظر میرسه ادامه ی کمپین مخرب زنجیره تأمین با عنوان Shai-Halud attack هستش که قبلا پکیج tinycolor و بیش از ۴۰ پکیج دیگه رو آلوده کرده بود.
بدافزار بکار رفته مشابه همون کمپین قبلیه و شامل یک اسکریپت bundle.js هستش که کارهای زیر رو انجام میده:
- دانلود و اجرای TruffleHog (یک ابزار قانونی برای اسکن اطلاعات حساس و کلیدها - افزونه)
- جستجوی سیستم میزبان برای یافتن توکن ها و اعتبارنامه های ابری
- اعتبارسنجی کلیدهای توسعه دهندگان و CI کشف شده
- ایجاد workflowهای غیرمجاز GitHub Actions درون مخازن (برای پرسیست)
- استخراج و ارسال دادههای حساس به یک وبهوک (webhook) هاردکد شده
پکیجهای آلوده به سرعت توسط رجیستری npm حذف شدن.
همچنین بدافزار یک فایل workflow با نام shai-hulud.yaml داره که اشاره به کرم های شنی در رمان Dune داره. اگرچه این ارجاع منحصربهفرد نیست، اما وجود اون نشون میده که مهاجم عمداً این کمپین رو با نام Shai-Hulud برندگذاری کرده.
پکیجهای تحت تاثیر:
@crowdstrike/commitlint@8.1.1
@crowdstrike/commitlint@8.1.2
@crowdstrike/falcon-shoelace@0.4.2
@crowdstrike/foundry-js@0.19.2
@crowdstrike/glide-core@0.34.2
@crowdstrike/glide-core@0.34.3
@crowdstrike/logscale-dashboard@1.205.2
@crowdstrike/logscale-file-editor@1.205.2
@crowdstrike/logscale-parser-edit@1.205.1
@crowdstrike/logscale-parser-edit@1.205.2
@crowdstrike/logscale-search@1.205.2
@crowdstrike/tailwind-toucan-base@5.0.2
browser-webdriver-downloader@3.0.8
ember-browser-services@5.0.3
ember-headless-form-yup@1.0.1
ember-headless-form@1.1.3
ember-headless-table@2.1.6
ember-url-hash-polyfill@1.0.13
ember-velcro@2.2.2
eslint-config-crowdstrike-node@4.0.4
eslint-config-crowdstrike@11.0.3
monorepo-next@13.0.2
remark-preset-lint-crowdstrike@4.0.2
verror-extra@6.0.1
yargs-help-output@5.0.3
شرکت CrowdStrike اعلام کرده: پس از شناسایی چندین پکیج آلوده در رجیستری عمومی NPM، اونارو حذف کرده و کلیدهاشون رو در رجیستری های عمومی تغییر دادن. این پکیجها در Falcon Sensor استفاده نمیشن بنابراین این پلتفرم تحت تأثیر قرار نگرفته و مشتریان همچنان محافظت میشن. همچنان در حال همکاری با NPM و انجام یک بررسی جامع هستن.
#حملات_زنجیره_تامین
#CrowdStrike #NPM #SupplyChainAttack #ShaiHaludAttack
🆔 @onhex_ir
➡️ ALL Link
Socket
Updated and Ongoing Supply Chain Attack Targets CrowdStrike ...
Socket detected multiple compromised CrowdStrike npm packages, continuing the "Shai-Hulud" supply chain attack that has now impacted nearly 500 packag...
❤3
OnHex
🔴 هشدار اپل درباره حملات جاسوس افزار جدید اپل هفته گذشته به مشتریان خودش هشدار داده که دستگاه هاشون هدف یک سری جدید از حملات جاسوسافزاری قرار گرفته. این موضوع طبق اعلام CERT فرانسه گزارش شده. CERT-FR که توسط ANSSI (آژانس امنیت سایبری ملی فرانسه) اداره…
🔴 اپل یسری بروزرسانی منتشر کرده تا اصلاحیه هایی که ماههای قبل برای دستگاههای جدیدش منتشر کرده بود رو، در نسخه های قدیمی آیفون و آیپ اصلاح کنه.
در این بروزرسانی یک آسیب پذیری زیرودی با شناسه ی CVE-2025-43300 هم اصلاح شده که قبلا اپل برای دستگاههای دارای iOS 18.6.2 و iPadOS 18.6.2، همچنین iPadOS 17.7.10 و نسخه های مک (Sequoia 15.6.1، Sonoma 14.7.8 و Ventura 13.7.8) پچ کرده بود.
این آسیب پذیری از نوع Out-of-Bounds Write و در فریمورک Image I/O بود، فریمورکی که امکان خواندن و نوشتن فرمتهای مختلف فایلهای تصویری رو به اپ ها میده. طبق اعلام اپل، این آسیب پذیری در حملات بسیار پیچیده مورد سوء استفاده قرار گرفته بود.
در حملات Out-of-Bounds Write، مهاجم ورودی مخربی به برنامه میده که باعث میشه داده ها خارج از محدودهی بافر تخصیص داده شده، نوشته بشن. این موضوع میتونه به کرش برنامه، خرابی داده ها، یا حتی اجرای کد از راه دور منجر بشه. بنابراین در این آسیب پذیری، پردازش یک فایل تصویری مخرب میتونه منجر به خرابی حافظه بشه.
اپل در بروزرسانی جدیدش این آسیب پذیری زیرودی رو در نسخه های زیر اصلاح کرده:
از جمله دستگاههای آسیب پذیر:
اگر از این دستگاهها استفاده میکنید، حتما بروزرسانی رو اعمال کنید./منبع
#زیرودی #اپل #آسیب_پذیری_امنیتی
#Apple #0day #Zero_click
🆔 @onhex_ir
➡️ ALL Link
در این بروزرسانی یک آسیب پذیری زیرودی با شناسه ی CVE-2025-43300 هم اصلاح شده که قبلا اپل برای دستگاههای دارای iOS 18.6.2 و iPadOS 18.6.2، همچنین iPadOS 17.7.10 و نسخه های مک (Sequoia 15.6.1، Sonoma 14.7.8 و Ventura 13.7.8) پچ کرده بود.
این آسیب پذیری از نوع Out-of-Bounds Write و در فریمورک Image I/O بود، فریمورکی که امکان خواندن و نوشتن فرمتهای مختلف فایلهای تصویری رو به اپ ها میده. طبق اعلام اپل، این آسیب پذیری در حملات بسیار پیچیده مورد سوء استفاده قرار گرفته بود.
در حملات Out-of-Bounds Write، مهاجم ورودی مخربی به برنامه میده که باعث میشه داده ها خارج از محدودهی بافر تخصیص داده شده، نوشته بشن. این موضوع میتونه به کرش برنامه، خرابی داده ها، یا حتی اجرای کد از راه دور منجر بشه. بنابراین در این آسیب پذیری، پردازش یک فایل تصویری مخرب میتونه منجر به خرابی حافظه بشه.
اپل در بروزرسانی جدیدش این آسیب پذیری زیرودی رو در نسخه های زیر اصلاح کرده:
- iOS 15.8.5 / 16.7.12
- iPadOS 15.8.5 / 16.7.12
از جمله دستگاههای آسیب پذیر:
- iPhone 6s (all models), iPhone 7 (all models), iPhone SE (1st generation), iPhone 8, iPhone 8 Plus, and iPhone X,
- iPad Air 2, iPad mini (4th generation), iPad 5th generation, iPad Pro 9.7-inch, iPad Pro 12.9-inch 1st generation, and iPod touch (7th generation)
اگر از این دستگاهها استفاده میکنید، حتما بروزرسانی رو اعمال کنید./منبع
#زیرودی #اپل #آسیب_پذیری_امنیتی
#Apple #0day #Zero_click
🆔 @onhex_ir
➡️ ALL Link
BleepingComputer
Apple backports zero-day patches to older iPhones and iPads
Apple has released security updates to backport patches released last month to older iPhones and iPads, addressing a zero-day bug that was exploited in "extremely sophisticated" attacks.
❤2
🔴 محققای HUMAN یک کمپین کلاهبرداری تبلیغاتی اندرویدی با نام SlopAds رو شناسایی کردن که از طریق 224 اپ مخرب در گوگل پلی منتشر شدن.
این اپ ها با روشهای مبهم سازی و steganography رفتار مخربشون رو از دید گوگل مخفی کردن و تونستن بیش از 38 میلیون بار از 228 کشور مختلف دانلود بشن و روزانه حدود 2.3 میلیارد درخواست تبلیغاتی ایجاد کنن.
اصطلاح AI slop یا به اختصار slop یک اصطلاح تحقیرآمیزه که به محتوای (متن، عکس، ویدیو و ... ) بی کیفیت تولید شده توسط هوش مصنوعی مولد اشاره داره که بصورت سطحی، انبوه و کم کیفیت ساخته میشه. همونطور که واژهی spam به ایمیلهای بیارزش و آزاردهنده اشاره داره، AI slop هم نوعی توهین به محتوای تولیدی هوش مصنوعی به حساب میاد.
با توجه به اینکه اپلیکیشن های مورد استفاده در این کمپین بصورت سطحی و انبوه ساخته شده بودن، محققا اسم SlopAds رو روش گذاشتن.
روش کار:
- اگه کاربر اپلیکیشن SlopAd رو مستقیماً از پلی استور نصب میکرد (نه از طریق تبلیغ مهاجم)، اپلیکیشن مثل یک برنامه عادی کار میکرد و همون قابلیت تبلیغ شده رو ارائه میداد.
- اما اگه مشخص میشد نصب از طریق کمپین تبلیغاتی مهاجم بوده، اپلیکیشن از طریق Firebase Remote Config یک فایل پیکربندی رمزگذاری شده رو دانلود میکرد که حاوی URLهای ماژول مخرب تبلیغاتی، سرورهای cashout و یک پیلود جاوااسکریپت بود.
- بعدش اپ بررسی میکرد آیا روی دستگاه یک کاربر واقعی نصب شده یا داره توسط محقق امنیتی/نرمافزار بررسی میشه.
- اگه این بررسی رو رد میکرد، اپلیکیشن ۴ تصویر PNG دانلود میکرد که با استفاده از steganography بخشهای مختلف یک APK مخرب داخل اون مخفی شده بود.
- بعد از دانلود، تصاویر روی دستگاه رمزگشایی و دوباره اسمبل میشدن تا بدافزار کامل با نام FatModule ساخته بشه.
- پس از فعال شدن FatModule، این ماژول با استفاده از WebViewهای مخفی اطلاعات دستگاه و مرورگر رو جمعآوری و بعدش به دامنه های کلاهبرداری تبلیغاتی مهاجم وصل میشد.
- این دامنه ها شبیه سایتهای بازی و اخبار جعلی طراحی شده بودن و بصورت مداوم از طریق WebViewهای مخفی تبلیغات نمایش میدادن. نتیجه این بود که روزانه بیش از ۲ میلیارد نمایش و کلیک جعلی تبلیغاتی ایجاد میشد که درآمد زیادی برای مهاجم بهمراه داشت.
طبق گزارش HUMAN، زیرساخت این کمپین شامل تعداد زیادی سرور C2 و بیش از ۳۰۰ دامنه تبلیغاتی مرتبط بود که نشون میده مهاجم قصد گسترش فراتر از ۲۲۴ اپلیکیشن شناساییشده رو داشته.
گوگل همه اپلیکیشنهای شناخته شده SlopAds رو از پلیاستور حذف کرده و سرویس Google Play Protect اندروید هم بروز شده تا در صورت وجود این برنامهها روی دستگاه کاربران هشدار بده تا اونارو حذف کنن.
#اندروید
#Android #SlopAds
🆔 @onhex_ir
➡️ ALL Link
این اپ ها با روشهای مبهم سازی و steganography رفتار مخربشون رو از دید گوگل مخفی کردن و تونستن بیش از 38 میلیون بار از 228 کشور مختلف دانلود بشن و روزانه حدود 2.3 میلیارد درخواست تبلیغاتی ایجاد کنن.
اصطلاح AI slop یا به اختصار slop یک اصطلاح تحقیرآمیزه که به محتوای (متن، عکس، ویدیو و ... ) بی کیفیت تولید شده توسط هوش مصنوعی مولد اشاره داره که بصورت سطحی، انبوه و کم کیفیت ساخته میشه. همونطور که واژهی spam به ایمیلهای بیارزش و آزاردهنده اشاره داره، AI slop هم نوعی توهین به محتوای تولیدی هوش مصنوعی به حساب میاد.
با توجه به اینکه اپلیکیشن های مورد استفاده در این کمپین بصورت سطحی و انبوه ساخته شده بودن، محققا اسم SlopAds رو روش گذاشتن.
روش کار:
- اگه کاربر اپلیکیشن SlopAd رو مستقیماً از پلی استور نصب میکرد (نه از طریق تبلیغ مهاجم)، اپلیکیشن مثل یک برنامه عادی کار میکرد و همون قابلیت تبلیغ شده رو ارائه میداد.
- اما اگه مشخص میشد نصب از طریق کمپین تبلیغاتی مهاجم بوده، اپلیکیشن از طریق Firebase Remote Config یک فایل پیکربندی رمزگذاری شده رو دانلود میکرد که حاوی URLهای ماژول مخرب تبلیغاتی، سرورهای cashout و یک پیلود جاوااسکریپت بود.
- بعدش اپ بررسی میکرد آیا روی دستگاه یک کاربر واقعی نصب شده یا داره توسط محقق امنیتی/نرمافزار بررسی میشه.
- اگه این بررسی رو رد میکرد، اپلیکیشن ۴ تصویر PNG دانلود میکرد که با استفاده از steganography بخشهای مختلف یک APK مخرب داخل اون مخفی شده بود.
- بعد از دانلود، تصاویر روی دستگاه رمزگشایی و دوباره اسمبل میشدن تا بدافزار کامل با نام FatModule ساخته بشه.
- پس از فعال شدن FatModule، این ماژول با استفاده از WebViewهای مخفی اطلاعات دستگاه و مرورگر رو جمعآوری و بعدش به دامنه های کلاهبرداری تبلیغاتی مهاجم وصل میشد.
- این دامنه ها شبیه سایتهای بازی و اخبار جعلی طراحی شده بودن و بصورت مداوم از طریق WebViewهای مخفی تبلیغات نمایش میدادن. نتیجه این بود که روزانه بیش از ۲ میلیارد نمایش و کلیک جعلی تبلیغاتی ایجاد میشد که درآمد زیادی برای مهاجم بهمراه داشت.
طبق گزارش HUMAN، زیرساخت این کمپین شامل تعداد زیادی سرور C2 و بیش از ۳۰۰ دامنه تبلیغاتی مرتبط بود که نشون میده مهاجم قصد گسترش فراتر از ۲۲۴ اپلیکیشن شناساییشده رو داشته.
گوگل همه اپلیکیشنهای شناخته شده SlopAds رو از پلیاستور حذف کرده و سرویس Google Play Protect اندروید هم بروز شده تا در صورت وجود این برنامهها روی دستگاه کاربران هشدار بده تا اونارو حذف کنن.
#اندروید
#Android #SlopAds
🆔 @onhex_ir
➡️ ALL Link
HUMAN Security
Satori Threat Intelligence Alert: SlopAds Covers Fraud with Layers of Obfuscation - HUMAN Security
Researchers: Louisa Abel, Lindsay Kaye, João Marques, Vikas Parthasarathy, João Santos, Adam Sell IVT Taxonomy: Misleading User Interface HUMAN’s Satori
❤4
🔴 آقای Conor Brian Fitzpatrick، هکر ۲۲ ساله و گرداننده فروم BreachForums، به سه سال زندان محکوم شد. این حکم پس از اون صادر شد که دادگاه تجدیدنظر فدرال حکم قبلی ایشون (حبس معادل مدت بازداشت + ۲۰ سال آزادی تحت نظارت) رو لغو کرد.
ایشون اهل نیویورک هستن و با نام مستعار Pompompurin فعالیت میکرد و در سال ۲۰۲۲ پس از اینکه FBI فروم RaidForums رو توقیف کرد، BreachForums رو راهاندازی کرد.
در نهایت در ۱۵ مارس ۲۰۲۳ دستگیر شد و به توطئه برای ترغیب افراد به فروش دسترسی غیرمجاز به دستگاهها متهم شد. هنگام دستگیری هم به مأموران FBI اعتراف کرد که همون Pompompurin و مدیر BreachForums است.
در جولای ۲۰۲۳، به اتهاماتی از جمله ترغیب دیگران به فروش دسترسی غیرمجاز، نگهداری محتوای جنسی از کودکان و دسترسی غیرمجاز گناهکار شناخته شد.
وزارت دادگستری اعلام کرده بود که ایشون شرایط آزادی پیش از محاکمه رو نقض کرده، چون با استفاده از دستگاههای غیرنظارتی و سرویسهای VPN وارد اینترنت شده بود.
با وجود اینکه دادستانها درخواست بیش از ۱۵ سال زندان داشتن، در ژانویه ۲۰۲۴ قاضی ایشون رو تنها به ۱۷ روز زندان (مدت بازداشت) و ۲۰ سال آزادی تحت نظارت محکوم کرد:
- دو سال در حبس خانگی با نظارت GPS
- در سال اول حق استفاده از اینترنت نداشت
- باید روی دستگاههاش نرمافزار نظارتی نصب میکرد
- و ملزم به درمانهای روانشناختی میشد
اما پس از اعتراض وزارت دادگستری، دادگاه تجدیدنظر در ژانویه ۲۰۲۵ حکم رو ناکافی دونست و پرونده رو برای صدور حکم جدید برگردوند و در نهایت ایشون به 3 سال زندان محکوم شد.
#BreachForums #ConorBrianFitzpatrick #Pompompurin #RaidForums
🆔 @onhex_ir
➡️ ALL Link
ایشون اهل نیویورک هستن و با نام مستعار Pompompurin فعالیت میکرد و در سال ۲۰۲۲ پس از اینکه FBI فروم RaidForums رو توقیف کرد، BreachForums رو راهاندازی کرد.
در نهایت در ۱۵ مارس ۲۰۲۳ دستگیر شد و به توطئه برای ترغیب افراد به فروش دسترسی غیرمجاز به دستگاهها متهم شد. هنگام دستگیری هم به مأموران FBI اعتراف کرد که همون Pompompurin و مدیر BreachForums است.
در جولای ۲۰۲۳، به اتهاماتی از جمله ترغیب دیگران به فروش دسترسی غیرمجاز، نگهداری محتوای جنسی از کودکان و دسترسی غیرمجاز گناهکار شناخته شد.
وزارت دادگستری اعلام کرده بود که ایشون شرایط آزادی پیش از محاکمه رو نقض کرده، چون با استفاده از دستگاههای غیرنظارتی و سرویسهای VPN وارد اینترنت شده بود.
با وجود اینکه دادستانها درخواست بیش از ۱۵ سال زندان داشتن، در ژانویه ۲۰۲۴ قاضی ایشون رو تنها به ۱۷ روز زندان (مدت بازداشت) و ۲۰ سال آزادی تحت نظارت محکوم کرد:
- دو سال در حبس خانگی با نظارت GPS
- در سال اول حق استفاده از اینترنت نداشت
- باید روی دستگاههاش نرمافزار نظارتی نصب میکرد
- و ملزم به درمانهای روانشناختی میشد
اما پس از اعتراض وزارت دادگستری، دادگاه تجدیدنظر در ژانویه ۲۰۲۵ حکم رو ناکافی دونست و پرونده رو برای صدور حکم جدید برگردوند و در نهایت ایشون به 3 سال زندان محکوم شد.
#BreachForums #ConorBrianFitzpatrick #Pompompurin #RaidForums
🆔 @onhex_ir
➡️ ALL Link
Telegram
OnHex
🔴 دستگیری مالک انجمن هکری BreachForums + فیلم
مجریان قانون در آمریکا اعلام کردن که یه نفر در نیویورک دستگیر کردن که احتمالا Pompompurin ، مالک انجمن هکری BreachForums هستش.
#BreachForums
➡️ @onhex_ir
➡️ onhexgroup.ir
مجریان قانون در آمریکا اعلام کردن که یه نفر در نیویورک دستگیر کردن که احتمالا Pompompurin ، مالک انجمن هکری BreachForums هستش.
#BreachForums
➡️ @onhex_ir
➡️ onhexgroup.ir
❤4
🔴 اگه برای CVEها، دنبال اکسپلویت PoC هستید، این مخزن میتونه کمکتون کنه.
#CVE #Exploit #POC
🆔 @onhex_ir
➡️ ALL Link
#CVE #Exploit #POC
🆔 @onhex_ir
➡️ ALL Link
GitHub
GitHub - 0xMarcio/cve: Latest CVEs with their Proof of Concept exploits.
Latest CVEs with their Proof of Concept exploits. Contribute to 0xMarcio/cve development by creating an account on GitHub.
❤14
🔴 دو نوجوان بنامهای Owen Flowers هجده ساله از والسال و Thalha Jubair نوزده ساله از شرق لندن، که گفته میشه عضو گروه هکری Scattered Spider و با حملهی سایبری ماه آگوست ۲۰۲۴ علیه سازمان حملونقل لندن (TfL) مرتبط هستن، در بریتانیا دستگیر شدن.
آقای Flowers قبلا در سپتامبر ۲۰۲۴ بدلیل دست داشتن احتمالی در حمله به TfL دستگیر شده بود، اما پس از بازجویی توسط مأموران آژانس ملی جرم بریتانیا (NCA) با قرار وثیقه آزاد شد.
این دو متهم به اتهام سوءاستفاده از رایانه و جرائم مرتبط با کلاهبرداری در ارتباط با نفوذ به شبکه حملونقل عمومی لندن تحت پیگرد قرار دارن. علاوه بر این، Flowers با اتهام توطئه برای حمله به شبکههای شرکتهای SSM Health Care و Sutter Health در آمریکا هم روبرو هستش.
آقای Paul Foster، معاون مدیر و رئیس واحد ملی جرائم سایبری در NCA گفته: این حمله موجب اختلال قابل توجه و ضررهای میلیون پوندی به TfL شد که بخشی از زیرساختهای حیاتی ملی بریتانیا محسوب میشن. اوایل امسال، NCA نسبت به افزایش تهدید از سوی مجرمان سایبری در بریتانیا و سایر کشورهای انگلیسی زبان هشدار داده بود که Scattered Spider نمونهی بارز اونه.
وزارت دادگستری آمریکا هم Thalha Jubair رو به اتهام توطئه برای کلاهبرداری رایانهای، پولشویی و کلاهبرداری اینترنتی تحت پیگرد قرار داده. این اتهامات مربوط به حداقل ۱۲۰ حمله به شبکه ها و عملیات اخاذی در سراسر جهان بین ماه مه ۲۰۲۲ تا سپتامبر ۲۰۲۵ هستش که دست کم ۴۷ سازمان آمریکایی رو تحت تأثیر قرار داده. طبق شکایت ثبت شده در دادگاه، قربانیان حداقل ۱۱۵ میلیون دلار باج به Thalha Jubair و همدستاش پرداخت کردن./منبع
#بازیگران_تهدید
#NCA #ScatteredSpider
🆔 @onhex_ir
➡️ ALL Link
آقای Flowers قبلا در سپتامبر ۲۰۲۴ بدلیل دست داشتن احتمالی در حمله به TfL دستگیر شده بود، اما پس از بازجویی توسط مأموران آژانس ملی جرم بریتانیا (NCA) با قرار وثیقه آزاد شد.
این دو متهم به اتهام سوءاستفاده از رایانه و جرائم مرتبط با کلاهبرداری در ارتباط با نفوذ به شبکه حملونقل عمومی لندن تحت پیگرد قرار دارن. علاوه بر این، Flowers با اتهام توطئه برای حمله به شبکههای شرکتهای SSM Health Care و Sutter Health در آمریکا هم روبرو هستش.
آقای Paul Foster، معاون مدیر و رئیس واحد ملی جرائم سایبری در NCA گفته: این حمله موجب اختلال قابل توجه و ضررهای میلیون پوندی به TfL شد که بخشی از زیرساختهای حیاتی ملی بریتانیا محسوب میشن. اوایل امسال، NCA نسبت به افزایش تهدید از سوی مجرمان سایبری در بریتانیا و سایر کشورهای انگلیسی زبان هشدار داده بود که Scattered Spider نمونهی بارز اونه.
وزارت دادگستری آمریکا هم Thalha Jubair رو به اتهام توطئه برای کلاهبرداری رایانهای، پولشویی و کلاهبرداری اینترنتی تحت پیگرد قرار داده. این اتهامات مربوط به حداقل ۱۲۰ حمله به شبکه ها و عملیات اخاذی در سراسر جهان بین ماه مه ۲۰۲۲ تا سپتامبر ۲۰۲۵ هستش که دست کم ۴۷ سازمان آمریکایی رو تحت تأثیر قرار داده. طبق شکایت ثبت شده در دادگاه، قربانیان حداقل ۱۱۵ میلیون دلار باج به Thalha Jubair و همدستاش پرداخت کردن./منبع
#بازیگران_تهدید
#NCA #ScatteredSpider
🆔 @onhex_ir
➡️ ALL Link
BleepingComputer
UK arrests 'Scattered Spider' teens linked to Transport for London hack
Two teenagers, believed to be linked to the August 2024 cyberattack on Transport for London, have been arrested in the United Kingdom.
❤7
🔴 چند روز پیش یسری دزد به موزه ی تاریخ طبیعی فرانسه دستبرد زدن و حدود 700 هزار دلار طلای خام از این موزه سرقت کردن. به گفته مسئولین، این حادثه، در ادامه ی سرقتهای ماههای اخیر به موسسات فرهنگی فرانسه هستش و کار یک تیم حرفه ای بوده، طوری که دزدها کاملا میدونستن که باید کجا برن.
نکته جالب این سرقت اینه که، حدود 45 روز پیش، یک حمله ی باج افزاری به این موزه انجام شد. هکرها درخواست باج کردن اما مسئولین موزه، از پرداخت باج خودداری کردن.
این حمله منجر به اختلال در سیستم های موزه شده، بطوری که برخی افتتاحیه ها رو عقب انداختن.
نکته جالبتر اینجاست که سیستم های نظارتی و هشدار موزه، بعد از حمله، گویا غیرفعال شدن و در هیچ بیانیه ای هم گفته نشده که بعدا فعال شدن. در نتیجه احتمالا سارقین با دونستن این قضیه، به موزه دستبرد زدن.
#باج_افزار
🆔 @onhex_ir
➡️ ALL Link
نکته جالب این سرقت اینه که، حدود 45 روز پیش، یک حمله ی باج افزاری به این موزه انجام شد. هکرها درخواست باج کردن اما مسئولین موزه، از پرداخت باج خودداری کردن.
این حمله منجر به اختلال در سیستم های موزه شده، بطوری که برخی افتتاحیه ها رو عقب انداختن.
نکته جالبتر اینجاست که سیستم های نظارتی و هشدار موزه، بعد از حمله، گویا غیرفعال شدن و در هیچ بیانیه ای هم گفته نشده که بعدا فعال شدن. در نتیجه احتمالا سارقین با دونستن این قضیه، به موزه دستبرد زدن.
#باج_افزار
🆔 @onhex_ir
➡️ ALL Link
❤10
OnHex
🔴 دوره رایگان بررسی ساختار فایلهای PE (Portable Executable) بعد از ارائه ی دو فصل از دوره رایگان مهندسی معکوس نرم افزار، دوره ی رایگان جدیدی با عنوان "بررسی ساختار فایلهای PE (Portable Executable)" رو، شروع کردیم. هدف این دوره آشنایی عملی و قدم به قدم با…
🔴 قسمت هفتم: NT Headers بخش دوم Optional Header
در ادامه بررسی NT Headers، این جلسه هم بررسی Optional Header رو ادامه میدیم و فیلدهای زیر رو معرفی و تک تک در PE Bear بررسی میکنیم:
- SectionAlignment
- FileAlignment
- Major/Minor OperatingSystemVersion
- Major/Minor ImageVersion
- Major/Minor SubsystemVersion
- Win32VersionValue
- SizeOfImage
- SizeOfHeaders
- Checksum
- Subsystem
همچنین بررسی میکنیم چطوری میتونیم فیلدهای Major/Minor OperatingSystemVersion و Major/Minor ImageVersion و Major/Minor SubsystemVersion و Subsystem رو در ویژوال استدیو 2022 تغییر بدیم، مقدار SizeOfHeaders رو محاسبه و Checksum رو چطوری با Editbin و MapFileAndCheckSumA بررسی کنیم.
🟢 مشاهده از یوتیوب
🔵 اسلایدها و کدها
👈 قسمت های قبلی: 0 | 1 | 2 | 3 | 4 | 5 | 6
سایت دوره | اسلایدهای دوره | پلی لیست یوتیوب | پلی لیست دوره رایگان مهندسی معکوس نرم افزار (فصل اول - فصل دوم) | پلی لیست استفاده از AI در امنیت سایبری
#دورهPE #ویندوز_اینترنالز #تیم_قرمز #تیم_آبی
#PE #PortableExecutable #PEBear #WindowsInternals #redteam #Blueteam #PEParser #Windbg #IdaPro #x64dbg #Lief #NTHeaders #OptionalHeader #Editbin #SectionAlignment #FileAlignment #MajorOperatingSystemVersion #MinorOperatingSystemVersion #MajorImageVersion #MinorImageVersion #MajorSubsystemVersion #MinorSubsystemVersion #Win32VersionValue #SizeOfImage #SizeOfHeaders #Checksum #Subsystem
🆔 @onhex_ir
➡️ ALL Link
در ادامه بررسی NT Headers، این جلسه هم بررسی Optional Header رو ادامه میدیم و فیلدهای زیر رو معرفی و تک تک در PE Bear بررسی میکنیم:
- SectionAlignment
- FileAlignment
- Major/Minor OperatingSystemVersion
- Major/Minor ImageVersion
- Major/Minor SubsystemVersion
- Win32VersionValue
- SizeOfImage
- SizeOfHeaders
- Checksum
- Subsystem
همچنین بررسی میکنیم چطوری میتونیم فیلدهای Major/Minor OperatingSystemVersion و Major/Minor ImageVersion و Major/Minor SubsystemVersion و Subsystem رو در ویژوال استدیو 2022 تغییر بدیم، مقدار SizeOfHeaders رو محاسبه و Checksum رو چطوری با Editbin و MapFileAndCheckSumA بررسی کنیم.
🟢 مشاهده از یوتیوب
🔵 اسلایدها و کدها
👈 قسمت های قبلی: 0 | 1 | 2 | 3 | 4 | 5 | 6
سایت دوره | اسلایدهای دوره | پلی لیست یوتیوب | پلی لیست دوره رایگان مهندسی معکوس نرم افزار (فصل اول - فصل دوم) | پلی لیست استفاده از AI در امنیت سایبری
#دورهPE #ویندوز_اینترنالز #تیم_قرمز #تیم_آبی
#PE #PortableExecutable #PEBear #WindowsInternals #redteam #Blueteam #PEParser #Windbg #IdaPro #x64dbg #Lief #NTHeaders #OptionalHeader #Editbin #SectionAlignment #FileAlignment #MajorOperatingSystemVersion #MinorOperatingSystemVersion #MajorImageVersion #MinorImageVersion #MajorSubsystemVersion #MinorSubsystemVersion #Win32VersionValue #SizeOfImage #SizeOfHeaders #Checksum #Subsystem
🆔 @onhex_ir
➡️ ALL Link
YouTube
قسمت هفتم: NT Headers بخش دوم Optional Header
در ادامه بررسی NT Headers، این جلسه هم بررسی Optional Header رو ادامه میدیم و فیلدهای SectionAlignment و FileAlignment و Major/Minor OperatingSystemVersion و Major/Minor ImageVersion و Major/Minor SubsystemVersion و Win32VersionValue و SizeOfImage و SizeOfHeaders…
❤11
OnHex
🔴 عنوان برنامه ی Off By One Security این هفته "Novel HTTP/1 Request Smuggling/Desync Attacks" هستش. مهمان برنامه James Kettle از PortSwigger Research هستش و قراره در خصوص ارائه اشون در کنفرانس DEFCON33 با عنوان "HTTP/1 Must Die! The Desync Endgame" صحبت…
🔴 عنوان برنامه ی Off By One Security این هفته "CTAP Impersonation & API Confusion Attacks" هستش.
مهمانان برنامه : Marco Casagrande و Daniele Antonioli
این برنامه ساعت 30 : 20 به وقت ایران از طریق توییتر و یوتیوب قابل دسترس هستش و ضبط هم میشه.
استاندارد FIDO2 استاندارد عملی رایج برای احراز هویت بدون کلمهی عبور و احراز هویت دو مرحلهای هستش و برای امن سازی ارتباط بین کلاینتها (مثلاً مرورگرهای وب) و Authenticatorها (مثلاً دانگلهای USB)، بر پروتکل Client-to-Authenticator Protocol (CTAP) متکی هستش.
خود CTAP پروتکلی هستش که نحوهٔ صحبت مرورگر یا کلاینت رو با دستگاه احراز هویت (مثلاً کلید امنیتی USB یا تراشه NFC) رو مشخص میکنه.
در این برنامه ارزیابی امنیتی CTAP و API Authenticato رو انجام میدن. در ادامه یازده حمله ی CTRAPS رو معرفی میکنن که در دو کلاس Client Impersonation و API Confusion دسته بندی میشن.
یک ابزار متن باز معرفی میکنن که این حملات رو روی دو اپلیکیشن اندروید، یک اپ Electron و یک اسکریپت Proxmark3 اجرا میکنه و از ارتباطات USB HID و NFC پشتیبانی میکنه. در دموها نشان میدن چطوری از این ابزار برای سوء استفاده از Authenticatorهای محبوب مثل YubiKey و Microsoft و Apple میشه استفاده کرد.
#CTRAPS #FIDO2 #CTAP
🆔 @onhex_ir
➡️ ALL Link
مهمانان برنامه : Marco Casagrande و Daniele Antonioli
این برنامه ساعت 30 : 20 به وقت ایران از طریق توییتر و یوتیوب قابل دسترس هستش و ضبط هم میشه.
استاندارد FIDO2 استاندارد عملی رایج برای احراز هویت بدون کلمهی عبور و احراز هویت دو مرحلهای هستش و برای امن سازی ارتباط بین کلاینتها (مثلاً مرورگرهای وب) و Authenticatorها (مثلاً دانگلهای USB)، بر پروتکل Client-to-Authenticator Protocol (CTAP) متکی هستش.
خود CTAP پروتکلی هستش که نحوهٔ صحبت مرورگر یا کلاینت رو با دستگاه احراز هویت (مثلاً کلید امنیتی USB یا تراشه NFC) رو مشخص میکنه.
در این برنامه ارزیابی امنیتی CTAP و API Authenticato رو انجام میدن. در ادامه یازده حمله ی CTRAPS رو معرفی میکنن که در دو کلاس Client Impersonation و API Confusion دسته بندی میشن.
یک ابزار متن باز معرفی میکنن که این حملات رو روی دو اپلیکیشن اندروید، یک اپ Electron و یک اسکریپت Proxmark3 اجرا میکنه و از ارتباطات USB HID و NFC پشتیبانی میکنه. در دموها نشان میدن چطوری از این ابزار برای سوء استفاده از Authenticatorهای محبوب مثل YubiKey و Microsoft و Apple میشه استفاده کرد.
#CTRAPS #FIDO2 #CTAP
🆔 @onhex_ir
➡️ ALL Link
X (formerly Twitter)
Daniele Antonioli (@francozappa) on X
Assistant Professor at @EURECOM, @s3eurecom group
❤6
🔴 محققای PRODAFT گزارشی در خصوص کمپین جاسوسی هکرهای منتسب به ایران منتشر کردن.
در این گزارش به گروه هکری UNC1549 که با نامهای Subtle Snail و TA455 هم شناخته میشه، اشاره شده.
این گروه از ژوئن 2022 فعالیتش رو شروع کرده و با دو گروه هکری Smoke Sandstorm و Crimson Sandstorm (که با نامهای mperial Kitten، TA456، Tortoiseshell و Yellow Liderc هم شناخته میشه) همپوشانی داره و اولین بار در سال 2024 توسط Mandiant شناسایی شد و اغلب هدفش صنایع هوافضا و دفاعی هستش.
در کمپین اخیرشون، شرکتهای مخابراتی رو هدف قرار دادن و تونستن 34 دستگاه در 11 سازمان رو در کشورهای کانادا، فرانسه، امارات، بریتانیا و آمریکا آلوده کنن. هدف این کمپین دسترسی طولانی مدت به شبکه شرکتهای مخابراتی و عملیات جاسوسی بوده.
در این کمیپن هکرها در لینکدین دنبال افراد کلیدی میگشتن. بعدش یسری ایمیل فیشینگ ارسال میکردن تا اطلاعات بیشتری جمع آوری کنن. در ادامه یسری پروفایل جعلی منابع انسانی در لینکدین راه اندازی میکردن و به افراد انتخاب شده، پیشنهاد شغلی میدادن. اگه فرد علاقمند بود، یک ایمیل با دامنه ی جعلی و شبیه ایمیل شرکتهایی مانند Telespazio و Safran Group ارسال میکردن که حاوی فایل ZIP بود. داخل فایل ZIP، از طریق تکنیک DLL side-loading، بدافزار MINIBIKE رو اجرا میکردن.
قابلیتهای بدافزار:
- امکان جمع آوری اطلاعات سیستم
- دریافت پیلود در قالب DLLهای ++C/C که میتونن کارهایی مانند کیلاگر، سرقت اعتبارنامه های Outlook و داده های Chrome، Brave و Edge و اسکرین شات رو داشته باشن.
- از ابزار عمومی Chrome-App-Bound-Encryption-Decryption برای دور زدن مکانیزم امنیتی گوگل و سرقت پسوردهای کروم استفاده میکنن.
- فایل DLL برای هر قربانی اختصاصی ساخته میشه و با تغییر جدول Export، فایل مخرب شبیه DLL قانونی به نظر میاد.
- دارای 12 دستور ماژولار هستش. ( مدیریت فایل/ دانلود و ... )
- ترافیک C2 رو با استفاده از سرویسهای Azure و VPSها مخفی میکنن.
- برای پرسیست از رجیستری استفاده میکنن
- از تکنیکهای Anti-Debugging و Anti-Sandbox استفاده میکنن. همچنین از تکنیکهایی مانند Control Flow Flattening برای سخت تر کردن فرایند مهندسی معکوس استفاده میکنن.
#ایران #هکرهای_ایرانی #آنالیز_بدافزار
#UNC1549 #SubtleSnail #PRODAFT #MalwareAnalysis
🆔 @onhex_ir
➡️ ALL Link
در این گزارش به گروه هکری UNC1549 که با نامهای Subtle Snail و TA455 هم شناخته میشه، اشاره شده.
این گروه از ژوئن 2022 فعالیتش رو شروع کرده و با دو گروه هکری Smoke Sandstorm و Crimson Sandstorm (که با نامهای mperial Kitten، TA456، Tortoiseshell و Yellow Liderc هم شناخته میشه) همپوشانی داره و اولین بار در سال 2024 توسط Mandiant شناسایی شد و اغلب هدفش صنایع هوافضا و دفاعی هستش.
در کمپین اخیرشون، شرکتهای مخابراتی رو هدف قرار دادن و تونستن 34 دستگاه در 11 سازمان رو در کشورهای کانادا، فرانسه، امارات، بریتانیا و آمریکا آلوده کنن. هدف این کمپین دسترسی طولانی مدت به شبکه شرکتهای مخابراتی و عملیات جاسوسی بوده.
در این کمیپن هکرها در لینکدین دنبال افراد کلیدی میگشتن. بعدش یسری ایمیل فیشینگ ارسال میکردن تا اطلاعات بیشتری جمع آوری کنن. در ادامه یسری پروفایل جعلی منابع انسانی در لینکدین راه اندازی میکردن و به افراد انتخاب شده، پیشنهاد شغلی میدادن. اگه فرد علاقمند بود، یک ایمیل با دامنه ی جعلی و شبیه ایمیل شرکتهایی مانند Telespazio و Safran Group ارسال میکردن که حاوی فایل ZIP بود. داخل فایل ZIP، از طریق تکنیک DLL side-loading، بدافزار MINIBIKE رو اجرا میکردن.
قابلیتهای بدافزار:
- امکان جمع آوری اطلاعات سیستم
- دریافت پیلود در قالب DLLهای ++C/C که میتونن کارهایی مانند کیلاگر، سرقت اعتبارنامه های Outlook و داده های Chrome، Brave و Edge و اسکرین شات رو داشته باشن.
- از ابزار عمومی Chrome-App-Bound-Encryption-Decryption برای دور زدن مکانیزم امنیتی گوگل و سرقت پسوردهای کروم استفاده میکنن.
- فایل DLL برای هر قربانی اختصاصی ساخته میشه و با تغییر جدول Export، فایل مخرب شبیه DLL قانونی به نظر میاد.
- دارای 12 دستور ماژولار هستش. ( مدیریت فایل/ دانلود و ... )
- ترافیک C2 رو با استفاده از سرویسهای Azure و VPSها مخفی میکنن.
- برای پرسیست از رجیستری استفاده میکنن
- از تکنیکهای Anti-Debugging و Anti-Sandbox استفاده میکنن. همچنین از تکنیکهایی مانند Control Flow Flattening برای سخت تر کردن فرایند مهندسی معکوس استفاده میکنن.
#ایران #هکرهای_ایرانی #آنالیز_بدافزار
#UNC1549 #SubtleSnail #PRODAFT #MalwareAnalysis
🆔 @onhex_ir
➡️ ALL Link
GitHub
GitHub - xaitax/Chrome-App-Bound-Encryption-Decryption: Fully decrypt App-Bound Encrypted (ABE) cookies, passwords & payment methods…
Fully decrypt App-Bound Encrypted (ABE) cookies, passwords & payment methods from Chromium-based browsers (Chrome, Brave, Edge) - all in user mode, no admin rights required. - xaitax/Chrome...
❤9
🔴 شروع دوازدهمین دوره ی مسابقات مهندسی معکوس Flare-On
دوازدهمین دوره ی مسابقات Flare-On که یک CTF در حوزه مهندسی معکوس هستش، با 9 چالش از 4 مهر شروع میشه. در این پست نگاهی به این رویداد انداختیم.
#مهندسی_معکوس
#CTF #ReverseEngineering #FlareOn #FlareOn12
🆔 @onhex_ir
➡️ ALL Link
دوازدهمین دوره ی مسابقات Flare-On که یک CTF در حوزه مهندسی معکوس هستش، با 9 چالش از 4 مهر شروع میشه. در این پست نگاهی به این رویداد انداختیم.
#مهندسی_معکوس
#CTF #ReverseEngineering #FlareOn #FlareOn12
🆔 @onhex_ir
➡️ ALL Link
ONHEXGROUP
شروع دوازدهمین دوره ی مسابقات مهندسی معکوس Flare-On
دوازدهمین دوره ی مسابقات Flare-On که یک CTF در حوزه مهندسی معکوس هستش، با 9 چالش از 4 مهر شروع میشه. در این پست نگاهی به این رویداد انداختیم
❤7
🔴 معرفی پروژه ی Obex
موقع اجرای باینری های مختلف، یسری ماژول مثل DLLها هم لوود و اجرا میشن. برخی اوقات دوست نداریم این ماژولها اجرا بشن. مثلا شما پاورشل رو اجرا میکنید، اما دوست ندارید amsi.dll اجرا بشه.
پروژه ی Obex امکان مسدود کردن این ماژولها، هنگام اجرای اولیه یا در زمان اجرا رو فراهم میکنه. پروژه با C توسعه داده شده.
#تیم_قرمز #تیم_آبی #ویندوز
#redteam #Blueteam
🆔 @onhex_ir
➡️ ALL Link
موقع اجرای باینری های مختلف، یسری ماژول مثل DLLها هم لوود و اجرا میشن. برخی اوقات دوست نداریم این ماژولها اجرا بشن. مثلا شما پاورشل رو اجرا میکنید، اما دوست ندارید amsi.dll اجرا بشه.
پروژه ی Obex امکان مسدود کردن این ماژولها، هنگام اجرای اولیه یا در زمان اجرا رو فراهم میکنه. پروژه با C توسعه داده شده.
#تیم_قرمز #تیم_آبی #ویندوز
#redteam #Blueteam
🆔 @onhex_ir
➡️ ALL Link
❤13
🔴 اختلالاتی که آخر هفته در چندین فرودگاه بزرگ اروپایی رخ داد، ناشی از یک حمله باج افزاری به سیستمهای پذیرش و سوار شدن به هواپیما بوده.
در میان فرودگاههایی که با مشکلات فنی مواجه شدن میشه به هیترو در لندن، فرودگاه بروکسل و براندنبورگ در برلین اشاره کرد. فرودگاه های کورک و دوبلین در ایرلند هم مشکلاتی رو تجربه کردن، اما تأثیرشون کم بوده.
طبق اعلام فرودگاه بروکسل، این حمله از شب جمعه آغاز شد و هدفش شرکت آمریکایی Collins Aerospace، تأمین کننده خارجی سیستمهای پذیرش و سوار شدن مسافران، بوده.
هکرها سیستم MUSE (Multi-User System Environment) رو هدف قرار دادن. این سیستم توسط چندین شرکت هواپیمایی برای اشتراک گذاری کانترهای پذیرش و موقعیت گیت های سوار شدن استفاده میشه تا نیازی به زیرساخت اختصاصی نداشته باشن.
آژانس امنیت سایبری اتحادیه اروپا (ENISA) روز دوشنبه در بیانیهای به گاردین اعلام کرد که یک حمله باجافزاری عامل این اختلالات بوده.
این حادثه تأثیر قابل توجهی بر پروازها گذاشت، بطوری که بیش از ۱۰۰ پرواز یا تأخیر داشتن یا لغو شدن و هزاران مسافر مجبور شدن بصورت دستی پردازش بشن.
فرودگاه بروکسل اعلام کرده که، اختلالات روز دوشنبه هم ادامه داشته و از مسافران خواسته قبل از مراجعه به فرودگاه، وضعیت پرواز خودشون رو بررسی کنن.
شرکت Collins Aerospace در حال تلاش برای بازیابی سریع سیستم در فرودگاههای آسیبدیده هستش.
طبق گفته سخنگوی مرکز ملی امنیت سایبری (NCSC) در بریتانیا، نیروهای مجری قانون هم در حال بررسی این موضوع هستن./منبع
#باج_افزار #بازیگران_تهدید
🆔 @onhex_ir
➡️ ALL Link
در میان فرودگاههایی که با مشکلات فنی مواجه شدن میشه به هیترو در لندن، فرودگاه بروکسل و براندنبورگ در برلین اشاره کرد. فرودگاه های کورک و دوبلین در ایرلند هم مشکلاتی رو تجربه کردن، اما تأثیرشون کم بوده.
طبق اعلام فرودگاه بروکسل، این حمله از شب جمعه آغاز شد و هدفش شرکت آمریکایی Collins Aerospace، تأمین کننده خارجی سیستمهای پذیرش و سوار شدن مسافران، بوده.
هکرها سیستم MUSE (Multi-User System Environment) رو هدف قرار دادن. این سیستم توسط چندین شرکت هواپیمایی برای اشتراک گذاری کانترهای پذیرش و موقعیت گیت های سوار شدن استفاده میشه تا نیازی به زیرساخت اختصاصی نداشته باشن.
آژانس امنیت سایبری اتحادیه اروپا (ENISA) روز دوشنبه در بیانیهای به گاردین اعلام کرد که یک حمله باجافزاری عامل این اختلالات بوده.
این حادثه تأثیر قابل توجهی بر پروازها گذاشت، بطوری که بیش از ۱۰۰ پرواز یا تأخیر داشتن یا لغو شدن و هزاران مسافر مجبور شدن بصورت دستی پردازش بشن.
فرودگاه بروکسل اعلام کرده که، اختلالات روز دوشنبه هم ادامه داشته و از مسافران خواسته قبل از مراجعه به فرودگاه، وضعیت پرواز خودشون رو بررسی کنن.
شرکت Collins Aerospace در حال تلاش برای بازیابی سریع سیستم در فرودگاههای آسیبدیده هستش.
طبق گفته سخنگوی مرکز ملی امنیت سایبری (NCSC) در بریتانیا، نیروهای مجری قانون هم در حال بررسی این موضوع هستن./منبع
#باج_افزار #بازیگران_تهدید
🆔 @onhex_ir
➡️ ALL Link
BleepingComputer
Airport disruptions in Europe caused by a ransomware attack
The disruptions over the weekend at several major European airports were caused by a ransomware attack targeting the check-in and boarding systems.
❤6
🔴 سرویس مخفی ایالات متحده امروز اعلام کرده شبکهای از دستگاههای الکترونیکی رو در سه منطقه نیویورک از کار انداخته، که برای تهدید مقامات دولتی آمریکا استفاده میشدن و تهدیدی فوری برای امنیت ملی بودن.
در جریان این تحقیقات بیش از ۳۰۰ سرور سیمکارت (SIM servers) در یک مکان و ۱۰۰,۰۰۰ سیمکارت در چندین سایت مختلف، کوکائین، سلاح غیرقانونی و موبایل کشف شده.
سرور سیم کارت، سروری هستش که تعداد زیادی سیم کارت موبایل رو مدیریت میکنه و میتونه از راه دور تماس بگیره، پیامک ارسال کنه و ... .
دستگاهها در شعاع ۵۶ کیلومتری محل برگزاری نشست عمومی سازمان ملل متحد در نیویورک متمرکز بودن. هنوز مشخص نیست که آیا برنامه اونا مختل کردن نشست عمومی سازمان ملل و ارتباطات مقامات دولتی و پرسنل اضطراری در طول بازدید رسمی رهبران جهان در اطراف شهر نیویورک بوده یا خیر.
این تهدیدات تلفنی از کریسمس 2023 شروع شده و کم کم بیشتر شده، طوری که سرویس مخفی شش ماه پیش واحدی بنام Advanced Threat Interdiction رو تاسیس کرده. در طی این مدت، جاهای مختلف رو کشف کردن تا رسیدن به این شبکه جدید.
این تجهیزات پیچیده، علاوه بر ارسال ناشناس تهدیدات تلفنی، قابلیت استفاده بعنوان سلاح برای حملات مختلف به زیرساخت مخابراتی رو داشتن، از جمله از کار انداختن دکلهای مخابراتی، اجرای حملات DOS و فراهم کردن ارتباط رمزگذاری شده میان عوامل تهدید بالقوه و شبکه های جنایی، عدم دسترسی به Google Maps و ... .
قدرت شبکه به حدی بوده که میتونسته در عرض 12 دقیقه، یک پیامک رمزشده به تک تک افراد در آمریکا بفرسته.
سرویس مخفی همچنین اعلام کرده شواهد اولیه نشون دهنده ارتباطات مخابراتی بین بازیگران تهدید وابسته به دولتهای ملی و افرادی هستش که برای نیروهای فدرال، شناخته شده هستن. با این حال، این سازمان توضیحی درباره هویت این افراد، مقامات تهدید شده، ماهیت تهدیدها یا کشورهای احتمالی دخیل ارائه نکرده.
شبکههای CNN و NBC News گزارش دادن که این شبکه، تهدیدهای ناشناس مبنی بر ترور مقامات ارشد ایالات متحده رو ارسال کردن. همچنین، در این تحقیقات خانههای امن الکترونیکی خالی که برای این منظور اجاره شده بودن، در نقاطی چون آرمانک (نیویورک)، گرینویچ (کنتیکت)، کوئینز (نیویورک) و مناطق آن سوی رودخانه در نیوجرسی کشف شدن./منبع
#بازیگران_تهدید #سیم_کارت #سرور_سیم_کارت #آمریکا
#SIMserver #SIMcard
🆔 @onhex_ir
➡️ ALL Link
در جریان این تحقیقات بیش از ۳۰۰ سرور سیمکارت (SIM servers) در یک مکان و ۱۰۰,۰۰۰ سیمکارت در چندین سایت مختلف، کوکائین، سلاح غیرقانونی و موبایل کشف شده.
سرور سیم کارت، سروری هستش که تعداد زیادی سیم کارت موبایل رو مدیریت میکنه و میتونه از راه دور تماس بگیره، پیامک ارسال کنه و ... .
دستگاهها در شعاع ۵۶ کیلومتری محل برگزاری نشست عمومی سازمان ملل متحد در نیویورک متمرکز بودن. هنوز مشخص نیست که آیا برنامه اونا مختل کردن نشست عمومی سازمان ملل و ارتباطات مقامات دولتی و پرسنل اضطراری در طول بازدید رسمی رهبران جهان در اطراف شهر نیویورک بوده یا خیر.
این تهدیدات تلفنی از کریسمس 2023 شروع شده و کم کم بیشتر شده، طوری که سرویس مخفی شش ماه پیش واحدی بنام Advanced Threat Interdiction رو تاسیس کرده. در طی این مدت، جاهای مختلف رو کشف کردن تا رسیدن به این شبکه جدید.
این تجهیزات پیچیده، علاوه بر ارسال ناشناس تهدیدات تلفنی، قابلیت استفاده بعنوان سلاح برای حملات مختلف به زیرساخت مخابراتی رو داشتن، از جمله از کار انداختن دکلهای مخابراتی، اجرای حملات DOS و فراهم کردن ارتباط رمزگذاری شده میان عوامل تهدید بالقوه و شبکه های جنایی، عدم دسترسی به Google Maps و ... .
قدرت شبکه به حدی بوده که میتونسته در عرض 12 دقیقه، یک پیامک رمزشده به تک تک افراد در آمریکا بفرسته.
سرویس مخفی همچنین اعلام کرده شواهد اولیه نشون دهنده ارتباطات مخابراتی بین بازیگران تهدید وابسته به دولتهای ملی و افرادی هستش که برای نیروهای فدرال، شناخته شده هستن. با این حال، این سازمان توضیحی درباره هویت این افراد، مقامات تهدید شده، ماهیت تهدیدها یا کشورهای احتمالی دخیل ارائه نکرده.
شبکههای CNN و NBC News گزارش دادن که این شبکه، تهدیدهای ناشناس مبنی بر ترور مقامات ارشد ایالات متحده رو ارسال کردن. همچنین، در این تحقیقات خانههای امن الکترونیکی خالی که برای این منظور اجاره شده بودن، در نقاطی چون آرمانک (نیویورک)، گرینویچ (کنتیکت)، کوئینز (نیویورک) و مناطق آن سوی رودخانه در نیوجرسی کشف شدن./منبع
#بازیگران_تهدید #سیم_کارت #سرور_سیم_کارت #آمریکا
#SIMserver #SIMcard
🆔 @onhex_ir
➡️ ALL Link
CNN
Secret Service traced swatting threats against officials. They found 300 servers capable of crippling New York’s cell system
A Secret Service unit set out to unmask the layers of burner phones, changing phone numbers and SIM cards that were swatting American officials. It ended with the largest seizure of SIM servers and cards they’ve ever seen.
❤12