🔴 سیسکو 17 آسیب پذیری رو در محصولات مختلفش اصلاح کرده که 9 موردش، شدت بالاست.
در بین این آسیب پذیری ها، آسیب پذیری با شناسه ی CVE-2025-20352، زیرودی بوده و در حملاتی مورد اکسپلویت قرار گرفته.
این آسیب پذیری از نوع Stack-based Buffer Overflow و در زیر سیستم SNMP (Simple Network Management Protocol) رخ میده. همه ی دستگاههایی که قابلیت SNMP روشون فعاله، تحت تاثیر هستن.
مهاجم راه دور با دسترسی محدود و احرازهویت شده، میتونه DOS کنه، اما اگه دسترسی سطح بالا داشته باشه، میتونه با امتیاز کاربر ROOT، کد دلخواه اجرا کنه.
برای اکسپلویت هم، مهاجم باید بسته های مخرب SNMP رو از طریق شبکه های IPv4 یا IPv6 ارسال کنه.
به غیر از بروزرسانی، راه دیگه ای برای اصلاح وجود نداره، اما اگه فعلا نمیتونید بروزرسانی رو اعمال کنید، باید SNMP رو محدود کنید.
دو تا آسیب پذیری دیگه هم هستن که براشون POC منتشر شده:
- آسیب پذیری CVE-2025-20240 از نوع Reflected XSS در Cisco IOS XE که امکان سرقت کوکی ها رو به مهاجم بدون احرازهویت شده میده.
- آسیب پذیری CVE-2025-20149 که امکان راه اندازی مجدد رو به مهاجم محلی و احرازهویت شده میده.
#سیسکو #آسیب_پذیری_امنیتی
#Cisco #CVE #0day
🆔 @onhex_ir
➡️ ALL Link
در بین این آسیب پذیری ها، آسیب پذیری با شناسه ی CVE-2025-20352، زیرودی بوده و در حملاتی مورد اکسپلویت قرار گرفته.
این آسیب پذیری از نوع Stack-based Buffer Overflow و در زیر سیستم SNMP (Simple Network Management Protocol) رخ میده. همه ی دستگاههایی که قابلیت SNMP روشون فعاله، تحت تاثیر هستن.
مهاجم راه دور با دسترسی محدود و احرازهویت شده، میتونه DOS کنه، اما اگه دسترسی سطح بالا داشته باشه، میتونه با امتیاز کاربر ROOT، کد دلخواه اجرا کنه.
برای اکسپلویت هم، مهاجم باید بسته های مخرب SNMP رو از طریق شبکه های IPv4 یا IPv6 ارسال کنه.
به غیر از بروزرسانی، راه دیگه ای برای اصلاح وجود نداره، اما اگه فعلا نمیتونید بروزرسانی رو اعمال کنید، باید SNMP رو محدود کنید.
دو تا آسیب پذیری دیگه هم هستن که براشون POC منتشر شده:
- آسیب پذیری CVE-2025-20240 از نوع Reflected XSS در Cisco IOS XE که امکان سرقت کوکی ها رو به مهاجم بدون احرازهویت شده میده.
- آسیب پذیری CVE-2025-20149 که امکان راه اندازی مجدد رو به مهاجم محلی و احرازهویت شده میده.
#سیسکو #آسیب_پذیری_امنیتی
#Cisco #CVE #0day
🆔 @onhex_ir
➡️ ALL Link
❤5
🔴 از 3 نوامبر، 12 آبان، مایکروسافت، داده های لینکدین شما رو برای آموزش مدلهای هوش مصنوعی، به اشتراک میزاره.
اگه با این قضیه مشکلی ندارید، که هیچ، اما اگه دوست ندارید، با توجه به اینکه بصورت پیش فرض این ویژگی فعال هستش، باید برید و از تنطیمات اکانتتون، این گزینه رو غیرفعال کنید. برای این مورد، مسیر زیر رو طی کنید:
این مورد چیز جدیدی نیست و کم کم اغلب شبکه های اجتماعی این مورد رو اعلام میکنن. مثلا قبلا یوتیوب هم چنین موردی رو داشت.
#لینکدین #مایکروسافت #هوش_مصنوعی
#LinkedIn #Microsoft #AI
🆔 @onhex_ir
➡️ ALL Link
اگه با این قضیه مشکلی ندارید، که هیچ، اما اگه دوست ندارید، با توجه به اینکه بصورت پیش فرض این ویژگی فعال هستش، باید برید و از تنطیمات اکانتتون، این گزینه رو غیرفعال کنید. برای این مورد، مسیر زیر رو طی کنید:
Account > Settings & Privacy > Data Privacy > Data for Generative AI Improvement > Toggle OFF
این مورد چیز جدیدی نیست و کم کم اغلب شبکه های اجتماعی این مورد رو اعلام میکنن. مثلا قبلا یوتیوب هم چنین موردی رو داشت.
#لینکدین #مایکروسافت #هوش_مصنوعی
#LinkedIn #Microsoft #AI
🆔 @onhex_ir
➡️ ALL Link
❤10
🔴 یک فیلم و یک سریال به لیست "معرفی فیلم ها و سریالهای مرتبط با هک و امنیت" اضافه شد.
- فیلم American Sweatshop: این فیلم داستان فردی هستش که مسئولیت پالایش محتوای منتشر شده توسط کاربران رو داره. درگیری های شغلیش، زندگی شخصی ایشون رو هم تحت تاثیر قرار میده. فیلم بیشتر به عوارض رسانه های اجتماعی توجه داره.
- سریال مستند Most Wanted: Teen Hacker : این مستند در خصوص یکی از هکرهای معروف دنیا بنام Aleksanteri Tomminpoika Kivimäki هستش که با نام مستعار zeekill فعالیت میکرد. ایشون نخستین بار در دوران نوجوانی توجه رسانه ها رو جلب کرد، زمانیکه به گروه هکری Lizard Squad مرتبط دونسته شد و در سال ۲۰۱۵ به هک بیش از 50 هزار کامپیوتر محکوم شد. در سال 2023 با هویت جعلی در فرانسه دستگیر و به فنلاند استرداد داده شد و در سال 2024 بدلیل نفوذ به Vastaamo و درخواست باج از بیماران و شرکت که در سال 2020 انجام داده بود، به 6 سال و سه ماه زندان، محکوم شد. در سپتامبر 2025 دادگاه تجدید نظر حکم آزادی ایشون رو داد. در این مستند زندگی و فعالیت های هکری ایشون بررسی شده.
#هک #فیلم #سریال #امنیت_سایبری
🆔 @onhex_ir
➡️ ALL Link
- فیلم American Sweatshop: این فیلم داستان فردی هستش که مسئولیت پالایش محتوای منتشر شده توسط کاربران رو داره. درگیری های شغلیش، زندگی شخصی ایشون رو هم تحت تاثیر قرار میده. فیلم بیشتر به عوارض رسانه های اجتماعی توجه داره.
- سریال مستند Most Wanted: Teen Hacker : این مستند در خصوص یکی از هکرهای معروف دنیا بنام Aleksanteri Tomminpoika Kivimäki هستش که با نام مستعار zeekill فعالیت میکرد. ایشون نخستین بار در دوران نوجوانی توجه رسانه ها رو جلب کرد، زمانیکه به گروه هکری Lizard Squad مرتبط دونسته شد و در سال ۲۰۱۵ به هک بیش از 50 هزار کامپیوتر محکوم شد. در سال 2023 با هویت جعلی در فرانسه دستگیر و به فنلاند استرداد داده شد و در سال 2024 بدلیل نفوذ به Vastaamo و درخواست باج از بیماران و شرکت که در سال 2020 انجام داده بود، به 6 سال و سه ماه زندان، محکوم شد. در سپتامبر 2025 دادگاه تجدید نظر حکم آزادی ایشون رو داد. در این مستند زندگی و فعالیت های هکری ایشون بررسی شده.
#هک #فیلم #سریال #امنیت_سایبری
🆔 @onhex_ir
➡️ ALL Link
❤9
OnHex
🔴 سیسکو 17 آسیب پذیری رو در محصولات مختلفش اصلاح کرده که 9 موردش، شدت بالاست. در بین این آسیب پذیری ها، آسیب پذیری با شناسه ی CVE-2025-20352، زیرودی بوده و در حملاتی مورد اکسپلویت قرار گرفته. این آسیب پذیری از نوع Stack-based Buffer Overflow و در زیر سیستم…
🔴 اصلاح چندین آسیب پذیری بحرانی و زیرودی در سیسکو
سیسکو چندین آسیب پذیری رو در محصولات مختلفش اصلاح کرده که چند مورد از اونا، زیرودی بودن و توسط هکرهای چینی اکسپلویت شدن.
#سیسکو #آسیب_پذیری_امنیتی #چین
#Cisco #CVE #0day #RayInitiator #LINE_VIPER #ArcaneDoor
🆔 @onhex_ir
➡️ ALL Link
سیسکو چندین آسیب پذیری رو در محصولات مختلفش اصلاح کرده که چند مورد از اونا، زیرودی بودن و توسط هکرهای چینی اکسپلویت شدن.
#سیسکو #آسیب_پذیری_امنیتی #چین
#Cisco #CVE #0day #RayInitiator #LINE_VIPER #ArcaneDoor
🆔 @onhex_ir
➡️ ALL Link
ONHEXGROUP
اصلاح چندین آسیب پذیری بحرانی و زیرودی در سیسکو
سیسکو چندین آسیب پذیری رو در محصولات مختلفش اصلاح کرده که چند مورد از اونا، زیرودی بودن و توسط هکرهای چینی اکسپلویت شدن.
❤4
OnHex
🔴 دوره رایگان بررسی ساختار فایلهای PE (Portable Executable) بعد از ارائه ی دو فصل از دوره رایگان مهندسی معکوس نرم افزار، دوره ی رایگان جدیدی با عنوان "بررسی ساختار فایلهای PE (Portable Executable)" رو، شروع کردیم. هدف این دوره آشنایی عملی و قدم به قدم با…
🔴 قسمت هشتم: NT Headers بخش سوم Optional Header
در ادامه بررسی Optional Header، این جلسه رفتیم سراغ فیلد DLL Characteristics. این فیلد از چندین فلگ تشکیل شده که این جلسه و جلسه بعدی در موردشون صحبت میکنیم.
این جلسه فلگ های HIGH_ENTROPY_VA و DYNAMIC_BASE و FORCE_INTEGRITY و NX_COMPAT رو معرفی و در ادامه در PE Bear و ویژوال استدیو 2022 بررسیشون میکنیم.
🟢 مشاهده از یوتیوب
🔵 اسلایدها و کدها
👈 قسمت های قبلی: 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7
سایت دوره | اسلایدهای دوره | پلی لیست یوتیوب | پلی لیست دوره رایگان مهندسی معکوس نرم افزار (فصل اول - فصل دوم) | پلی لیست استفاده از AI در امنیت سایبری
#دورهPE #ویندوز_اینترنالز #تیم_قرمز #تیم_آبی
#PE #PortableExecutable #PEBear #WindowsInternals #redteam #Blueteam #PEParser #Windbg #IdaPro #x64dbg #Lief #NTHeaders #OptionalHeader #DLLCharacteristics #HIGH_ENTROPY_VA #DYNAMIC_BASE #FORCE_INTEGRITY #NX_COMPAT #ASLR #DEP
🆔 @onhex_ir
➡️ ALL Link
در ادامه بررسی Optional Header، این جلسه رفتیم سراغ فیلد DLL Characteristics. این فیلد از چندین فلگ تشکیل شده که این جلسه و جلسه بعدی در موردشون صحبت میکنیم.
این جلسه فلگ های HIGH_ENTROPY_VA و DYNAMIC_BASE و FORCE_INTEGRITY و NX_COMPAT رو معرفی و در ادامه در PE Bear و ویژوال استدیو 2022 بررسیشون میکنیم.
🟢 مشاهده از یوتیوب
🔵 اسلایدها و کدها
👈 قسمت های قبلی: 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7
سایت دوره | اسلایدهای دوره | پلی لیست یوتیوب | پلی لیست دوره رایگان مهندسی معکوس نرم افزار (فصل اول - فصل دوم) | پلی لیست استفاده از AI در امنیت سایبری
#دورهPE #ویندوز_اینترنالز #تیم_قرمز #تیم_آبی
#PE #PortableExecutable #PEBear #WindowsInternals #redteam #Blueteam #PEParser #Windbg #IdaPro #x64dbg #Lief #NTHeaders #OptionalHeader #DLLCharacteristics #HIGH_ENTROPY_VA #DYNAMIC_BASE #FORCE_INTEGRITY #NX_COMPAT #ASLR #DEP
🆔 @onhex_ir
➡️ ALL Link
❤7
🔴 محققای Rapid7 یک آسیب پذیری با شناسه ی CVE-2025-10184 و از نوع Blind SQL Injection، در سیستم عامل OxygenOS کشف و گزارش کردن که به یک برنامه، امکان دسترسی به داده ها و متادیتای SMS/MMS رو میده.
سیستم عامل OxygenOS، یک سیستم عامل مبتنی بر اندروید از شرکت چینی OnePlus، زیر مجموعه ی Oppo هستش.
محققا این آسیب پذیری رو یک مه، 11 اردیبهشت برای شرکت ارسال کردن، اما نتیجه ای نداشته، در نهایت گزارش فنی + PoC برای این آسیب پذیری رو بصورت عمومی منتشر کردن.
آسیب پذیری فعلا اصلاح نشده، بنابراین توصیه شده:
- برنامه های نصب شده روی گوشی رو به حداقل برسونید.
- به برنامه های معتبر از ناشران معتبر، اعتماد کنید.
- از احراز هویت دو عاملی مبتنی بر پیامک به برنامه های OTP مانند Google Authenticator مهاجرت کنید.
- با توجه به اینکه پیامک ها در دستگاههای OnePlus بدرستی ایزوله نشدن، توصیه شده ارتباطات حساس رو تنها از طریق اپلیکیشن های رمزگذاریشدهی سرتاسری (E2EE) انجام بدید.
- در ایران باید مراقب رمزهای دوم بانکی و ... هم باشیم.
#آسیب_پذیری_امنیتی
#PoC #OxygenOS #Oppo #OnePlus #CVE
🆔 @onhex_ir
➡️ ALL Link
سیستم عامل OxygenOS، یک سیستم عامل مبتنی بر اندروید از شرکت چینی OnePlus، زیر مجموعه ی Oppo هستش.
محققا این آسیب پذیری رو یک مه، 11 اردیبهشت برای شرکت ارسال کردن، اما نتیجه ای نداشته، در نهایت گزارش فنی + PoC برای این آسیب پذیری رو بصورت عمومی منتشر کردن.
آسیب پذیری فعلا اصلاح نشده، بنابراین توصیه شده:
- برنامه های نصب شده روی گوشی رو به حداقل برسونید.
- به برنامه های معتبر از ناشران معتبر، اعتماد کنید.
- از احراز هویت دو عاملی مبتنی بر پیامک به برنامه های OTP مانند Google Authenticator مهاجرت کنید.
- با توجه به اینکه پیامک ها در دستگاههای OnePlus بدرستی ایزوله نشدن، توصیه شده ارتباطات حساس رو تنها از طریق اپلیکیشن های رمزگذاریشدهی سرتاسری (E2EE) انجام بدید.
- در ایران باید مراقب رمزهای دوم بانکی و ... هم باشیم.
#آسیب_پذیری_امنیتی
#PoC #OxygenOS #Oppo #OnePlus #CVE
🆔 @onhex_ir
➡️ ALL Link
Rapid7
CVE-2025-10184: OnePlus OxygenOS Telephony provider permission bypass (NOT FIXED)
❤6
🔴 گویا هکروان، در حرکتی انقلابی، بدون توضیحات خاصی، اکانتهارو مسدود میکنه. برای این کار افراد رو در رسانه های اجتماعی ردیابی و براساس یسری فرضیات و بدون مدرک خاصی، مسدود میکنه.
⚠️ مراقبت کنید.
#هکروان #باگ_بانتی
#HackerOne #bugbounty
🆔 @onhex_ir
➡️ ALL Link
⚠️ مراقبت کنید.
#هکروان #باگ_بانتی
#HackerOne #bugbounty
🆔 @onhex_ir
➡️ ALL Link
❤14
OnHex
🔴 گنجشک درنده مدعی هک و نفوذ به زیرساخت های بانک سپه شده. بانک سپه این حمله رو تایید کرده و گفته که خدمات غیر حضوریش با اختلال مواجه شده که در چند ساعت آینده رفع میشه./ فارس بنابراین اگه از خدمات غیر حضوری این بانک مثله خرید و پمپ بنزین و ... استفاده میکنید،…
🔴 رئیس مرکز افتا درباره هک بانکها: غافلگیر نشدیم اما سهلانگاری رخ داد
رئیس مرکز مدیریت راهبردی افتا در نشست خبری امروز در نمایشگاه #الکامپ اعلام کرد که حمله سایبری به بانکها یک اتفاق غافلگیرکننده نبوده و بهدلیل سهلانگاری و عدم اجرای الزامات ابلاغشده رخ داده است. او این حادثه را اتفاقی تلخ توصیف کرد که میشد از وقوع آن جلوگیری کرد.
«علیمحمد نوروززاده» در پاسخ به پرسش خبرنگار دیجیاتو مبنی بر چرایی آسیبپذیریها در دوران جنگ با وجود اعلام آمادهباش سایبری از سمت افتا، نوروززاده تأکید کرد که اتفاق رخداده برای بانکها، پیشبینی شده بود. او گفت:
به گفته رئیس مرکز مدیریت راهبردی افتا، پرونده این حمله در نهادهای بالادستی در جریان است و این مرکز نیز گزارشهای فنی و مستندات مربوط به دستورالعملهای ابلاغشده را ارائه کرده است. او همچنین اشاره کرد که پس از وقوع حمله، با رایزنیهای انجامشده با بانک مرکزی، بخشی از حقوق مشتریان بانک پرداخت شد تا کمی از مشکلات آنها حل شود./دیجیاتو
#اخبار_سایبری_جنگ_ایران_اسرائیل
#ایران #اسرائیل
🆔 @onhex_ir
➡️ ALL Link
رئیس مرکز مدیریت راهبردی افتا در نشست خبری امروز در نمایشگاه #الکامپ اعلام کرد که حمله سایبری به بانکها یک اتفاق غافلگیرکننده نبوده و بهدلیل سهلانگاری و عدم اجرای الزامات ابلاغشده رخ داده است. او این حادثه را اتفاقی تلخ توصیف کرد که میشد از وقوع آن جلوگیری کرد.
«علیمحمد نوروززاده» در پاسخ به پرسش خبرنگار دیجیاتو مبنی بر چرایی آسیبپذیریها در دوران جنگ با وجود اعلام آمادهباش سایبری از سمت افتا، نوروززاده تأکید کرد که اتفاق رخداده برای بانکها، پیشبینی شده بود. او گفت:
«متأسفانه کمکاریهایی اتفاق افتاده بود و عدم اجرای الزاماتی که قبلاً ابلاغ شده بود، سبب این اتفاق شد. در واقع بخش سهلانگاری در این حوزه باعث شد که این اتفاق بیفتد.»
به گفته رئیس مرکز مدیریت راهبردی افتا، پرونده این حمله در نهادهای بالادستی در جریان است و این مرکز نیز گزارشهای فنی و مستندات مربوط به دستورالعملهای ابلاغشده را ارائه کرده است. او همچنین اشاره کرد که پس از وقوع حمله، با رایزنیهای انجامشده با بانک مرکزی، بخشی از حقوق مشتریان بانک پرداخت شد تا کمی از مشکلات آنها حل شود./دیجیاتو
#اخبار_سایبری_جنگ_ایران_اسرائیل
#ایران #اسرائیل
🆔 @onhex_ir
➡️ ALL Link
❤5
🔴 قائممقام بانک مرکزی از مصوبه تازه هیأت عالی این بانک در تاریخ ۵ مهر ماه ۱۴۰۴ خبر داد و اعلام کرد: «مجموع خرید رمزپولهای پایه ثابت (Stable Coin) برای هر کاربر حقیقی یا حقوقی ـ متناظر با کد شناسه ملی یکتا ـ در تمامی سکوهای معاملاتی کارگزاران رمزپول، حداکثر ۵ هزار دلار یا معادل آن در طول یک سال تعیین شد.»
همچنین طبق همین مصوبه، سقف نگهداری مجموع رمزپولهای پایه ثابت برای هر کاربر اعم از حقیقی یا حقوقی برابر با ۱۰ هزار دلار یا معادل آن خواهد بود.
اصغر ابوالحسنی، دبیر هیأت عالی بانک مرکزی، اعلام کرد: «در خصوص رمزپولهای پایه ثابتی که هماکنون در اختیار افراد قرار دارد، یک دوره گذار حداکثر یکماهه در نظر گرفته شده است تا در این مدت دارندگان این داراییها ملزم به رعایت سقفهای تعیینشده شوند.»
به گفته قائممقام بانک مرکزی، با انتشار متن کامل این مصوبه در پایگاه اطلاعرسانی بانک مرکزی، تمامی معاملهگران رمزپول و کاربران آنها موظف به اجرای آن خواهند بود./منبع
#ایران #تتر #رمزارز #باگ_بانتی
🆔 @onhex_ir
➡️ ALL Link
همچنین طبق همین مصوبه، سقف نگهداری مجموع رمزپولهای پایه ثابت برای هر کاربر اعم از حقیقی یا حقوقی برابر با ۱۰ هزار دلار یا معادل آن خواهد بود.
اصغر ابوالحسنی، دبیر هیأت عالی بانک مرکزی، اعلام کرد: «در خصوص رمزپولهای پایه ثابتی که هماکنون در اختیار افراد قرار دارد، یک دوره گذار حداکثر یکماهه در نظر گرفته شده است تا در این مدت دارندگان این داراییها ملزم به رعایت سقفهای تعیینشده شوند.»
به گفته قائممقام بانک مرکزی، با انتشار متن کامل این مصوبه در پایگاه اطلاعرسانی بانک مرکزی، تمامی معاملهگران رمزپول و کاربران آنها موظف به اجرای آن خواهند بود./منبع
#ایران #تتر #رمزارز #باگ_بانتی
🆔 @onhex_ir
➡️ ALL Link
زومیت
سقفگذاری بانک مرکزی بر خرید و نگهداری استیبلکوین؛ خرید بیش از ۵ هزار تتر مجاز نیست - زومیت
بانک مرکزی با مصوبه تازه، سقف خرید سالانه استیبلکوین را ۵ هزار دلار و سقف نگهداری را ۱۰ هزار دلار تعیین کرد؛ مصوبهای با دوره گذار یکماهه.
❤3
OnHex
🔴 محققای PRODAFT گزارشی در خصوص کمپین جاسوسی هکرهای منتسب به ایران منتشر کردن. در این گزارش به گروه هکری UNC1549 که با نامهای Subtle Snail و TA455 هم شناخته میشه، اشاره شده. این گروه از ژوئن 2022 فعالیتش رو شروع کرده و با دو گروه هکری Smoke Sandstorm و Crimson…
🔴 سوء استفاده هکرهای منتسب به ایران از گواهی های SSL.com
محققین امنیتی گفتن چندین گروه تهدید، از جمله شاخهی Subtle Snail از APT ایرانی Charming Kitten، در حال استفاده از بدافزارهایی هستن که با گواهی های امضای کد از شرکت آمریکایی SSL.com امضا شدن.
معمولا تشخیص و شناسایی بدافزارهایی که دارای امضای معتبر هستن، سخت تره.
این وضعیت برای چندین نوع بدافزار مرتبط با گروه هکر ایرانی با نام UNC1549 (که با نامهای Subtle Snail، Nimbus Manticore، Smoke Sandstorm و Tortoiseshell هم شناخته میشه) صدق میکنه و این گروه، با تهدید پیشرفته و مشهور Charming Kitten مرتبط هستش.
طبق گزارش محققین Check Point و Prodaft، گروه UNC1549 از گواهی های دیجیتال SSL.com برای هدف قرار دادن سازمانهای اروپایی با باینری های جدید جهت ایجاد بکدور و سرقت اطلاعات استفاده کرده.
شرکتهای فعال در حوزه زیرساخت کلید عمومی (PKI) مانند SSL.com موظف به رعایت استانداردهای CA/Browser Forum هستن که برای جلوگیری از صدور اشتباه گواهی ها یا خرید اونا توسط افراد غیرمجاز طراحی شده. با این حال، به گفته محققین، در مورد SSL.com به نظر میرسه برخی از این الزامات رعایت نشده و به UNC1549 اجازه داده ابزارهای قدرتمندی به مجموعه خودشون اضافه کنن.
طبق گزارش Prodaft، تمام باینری های مخرب استفاده شده توسط UNC1549 با گواهی SSL.com صادر شده برای یک شرکت هلندی به نام Insight Digital B.V. امضا شدن. تحلیل Prodaft از دیگر بدافزارهای UNC1549 نشان داد که اونا گواهی های مشابه برای شرکتهای RGC Digital AB و Sevenfeet Software AB از سوئد دریافت کردن.
مشخص نیست این شرکتها واقعی هستن که UNC1549 اونارو جعل کرده، یا کلا بصورت جعلی توسط هکرها ساخته شدن. سایتهای Insight Digital و RGC Digital طراحی بسیار ساده و یکسانی دارن و هر دو با تصویر Under Construction مشابه ارائه شدن. هیچ کدامشون شماره تلفن یا ایمیل واقعی ندارن و فقط فرم تماس دارن.
محققین Prodaft اعلام کردن: هکرها با پرداخت هزینهای بسیار معقول به SSL.com این باینری ها و DLLهای قانونی ویندوز رو با کدهای اضافی مخرب خودشون امضا کردن تا فایل به نظر قانونی برسه.
محققین Check Point گزارش دادن که این گروه از گواهی های CA برای چند ماه استفاده کردن. که شروعش از مه 2025 بوده.
این محققین اعلام کردن: تشخیص میزان سوءاستفاده SSL.com توسط گروههای مختلف دشواره، مثلا بدافزار مخرب DruidFly متعلق به گروه هکری ایرانی Void Manticore هم با گواهی CA امضا شده. سه مورد از چهار گواهی SSL.com مشاهده شده در فعالیت اخیر UNC1549 هنوز معتبر هستن.
طبق استانداردهای CA/Browser Forum، یک CA باید ظرف ۲۴ ساعت پس از شواهد سوءاستفاده، گواهی رو باطل کنه و تکمیل باطل سازی باید ظرف پنج روز انجام بشه. مثلا در سال ۲۰۱۷ گوگل اعلام کرد اعتماد به گواهی های Symantec رو لغو میکنه پس از اونکه بیش از ۳۰ هزار گواهی اشتباه کشف شد، که باعث شد Symantec کسبوکار PKI خودش رو به DigiCert بفروشه.
الزامات پایه شامل قوانین دقیق برای بررسی هویت متقاضی هستن تا از خرید غیرقانونی توسط افراد جعلی یا جعل کننده جلوگیری بشه، از جمله تأیید کنترل متقاضی روی FQDN دامنه.
مشخص نیست UNC1549 چه اطلاعاتی به SSL.com ارائه کرده و چقدر قابل اعتماد بوده. اما شباهت چشمگیر سایتهای Insight Digital و RGC Digital و نبود اطلاعات تماس واقعی، باید برای CA یک رد فلگ محسوب میشد.
شرکت Check Point، یسری IoC برای این باینری ها منتشر کرده.
#ایران #هکرهای_ایرانی
#APT #SubtleSnail #CharmingKitten #UNC1549 #Tortoiseshell #NimbusManticore #SmokeSandstorm #CheckPoint #Prodaft #DruidFly
🆔 @onhex_ir
➡️ ALL Link
محققین امنیتی گفتن چندین گروه تهدید، از جمله شاخهی Subtle Snail از APT ایرانی Charming Kitten، در حال استفاده از بدافزارهایی هستن که با گواهی های امضای کد از شرکت آمریکایی SSL.com امضا شدن.
معمولا تشخیص و شناسایی بدافزارهایی که دارای امضای معتبر هستن، سخت تره.
این وضعیت برای چندین نوع بدافزار مرتبط با گروه هکر ایرانی با نام UNC1549 (که با نامهای Subtle Snail، Nimbus Manticore، Smoke Sandstorm و Tortoiseshell هم شناخته میشه) صدق میکنه و این گروه، با تهدید پیشرفته و مشهور Charming Kitten مرتبط هستش.
طبق گزارش محققین Check Point و Prodaft، گروه UNC1549 از گواهی های دیجیتال SSL.com برای هدف قرار دادن سازمانهای اروپایی با باینری های جدید جهت ایجاد بکدور و سرقت اطلاعات استفاده کرده.
شرکتهای فعال در حوزه زیرساخت کلید عمومی (PKI) مانند SSL.com موظف به رعایت استانداردهای CA/Browser Forum هستن که برای جلوگیری از صدور اشتباه گواهی ها یا خرید اونا توسط افراد غیرمجاز طراحی شده. با این حال، به گفته محققین، در مورد SSL.com به نظر میرسه برخی از این الزامات رعایت نشده و به UNC1549 اجازه داده ابزارهای قدرتمندی به مجموعه خودشون اضافه کنن.
طبق گزارش Prodaft، تمام باینری های مخرب استفاده شده توسط UNC1549 با گواهی SSL.com صادر شده برای یک شرکت هلندی به نام Insight Digital B.V. امضا شدن. تحلیل Prodaft از دیگر بدافزارهای UNC1549 نشان داد که اونا گواهی های مشابه برای شرکتهای RGC Digital AB و Sevenfeet Software AB از سوئد دریافت کردن.
مشخص نیست این شرکتها واقعی هستن که UNC1549 اونارو جعل کرده، یا کلا بصورت جعلی توسط هکرها ساخته شدن. سایتهای Insight Digital و RGC Digital طراحی بسیار ساده و یکسانی دارن و هر دو با تصویر Under Construction مشابه ارائه شدن. هیچ کدامشون شماره تلفن یا ایمیل واقعی ندارن و فقط فرم تماس دارن.
محققین Prodaft اعلام کردن: هکرها با پرداخت هزینهای بسیار معقول به SSL.com این باینری ها و DLLهای قانونی ویندوز رو با کدهای اضافی مخرب خودشون امضا کردن تا فایل به نظر قانونی برسه.
محققین Check Point گزارش دادن که این گروه از گواهی های CA برای چند ماه استفاده کردن. که شروعش از مه 2025 بوده.
این محققین اعلام کردن: تشخیص میزان سوءاستفاده SSL.com توسط گروههای مختلف دشواره، مثلا بدافزار مخرب DruidFly متعلق به گروه هکری ایرانی Void Manticore هم با گواهی CA امضا شده. سه مورد از چهار گواهی SSL.com مشاهده شده در فعالیت اخیر UNC1549 هنوز معتبر هستن.
طبق استانداردهای CA/Browser Forum، یک CA باید ظرف ۲۴ ساعت پس از شواهد سوءاستفاده، گواهی رو باطل کنه و تکمیل باطل سازی باید ظرف پنج روز انجام بشه. مثلا در سال ۲۰۱۷ گوگل اعلام کرد اعتماد به گواهی های Symantec رو لغو میکنه پس از اونکه بیش از ۳۰ هزار گواهی اشتباه کشف شد، که باعث شد Symantec کسبوکار PKI خودش رو به DigiCert بفروشه.
الزامات پایه شامل قوانین دقیق برای بررسی هویت متقاضی هستن تا از خرید غیرقانونی توسط افراد جعلی یا جعل کننده جلوگیری بشه، از جمله تأیید کنترل متقاضی روی FQDN دامنه.
مشخص نیست UNC1549 چه اطلاعاتی به SSL.com ارائه کرده و چقدر قابل اعتماد بوده. اما شباهت چشمگیر سایتهای Insight Digital و RGC Digital و نبود اطلاعات تماس واقعی، باید برای CA یک رد فلگ محسوب میشد.
شرکت Check Point، یسری IoC برای این باینری ها منتشر کرده.
#ایران #هکرهای_ایرانی
#APT #SubtleSnail #CharmingKitten #UNC1549 #Tortoiseshell #NimbusManticore #SmokeSandstorm #CheckPoint #Prodaft #DruidFly
🆔 @onhex_ir
➡️ ALL Link
Dark Reading
Iranian Hackers Use SSL.com Certs to Sign Malware
Security researchers say multiple threat groups are deploying malware with code-signing certificates from the Houston-based company.
❤12
🔴 گروه هکری منتسب به چین، UNC5221، تونسته با بدافزار Brickstorm، یسری از سازمانهای آمریکایی در حوزه های فناوری، حقوقی، ارائه دهندگان خدمات SaaS و همچنین شرکتهای برون سپاری فرآیندهای کسب و کار (BPO) رو هک کنه و به مدت 393 روز، بهشون دسترسی داشته باشه (Dwell Time).
گوگل گفته، نفوذ به چنین سازمانهایی میتونه به هکرها کمک کنه تا اکسپلویت های زیرودی توسعه بدن و حملات خودشون رو به قربانیان دیگه گسترش بدن.
گروه UNC5221 بخاطر اکسپلویت زیرودی Ivanti و حمله به سازمانهای دولتی با بدافزارهای اختصاصی مانند Spawnant و Zipline معروف هستش.
بدلیل زمان حضور طولانی بدافزار در سیستمهای قربانی و استفاده هکرها از اسکریپت های Anti-Forensics برای مخفی کردن نقطه ورود، گوگل نتونسته بردار اولیه دسترسی رو با اطمینان مشخص کنه. با این حال، احتمال میدن از طریق اکسپلویت زیرودی در دستگاههای متصل به اینترنت بوده.
بکدور Brickstorm که در زبان گولنگ توسعه داده شده، اولین بار در آوریل 2024 توسط گوگل گزارش شد. این بدافزار عملکردهایی چون وب سرور، ابزار دستکاری فایل، دراپر، رله SOCKS و اجرای دستورات شل رو ارائه میده.
این بدافزار رو قبلا در لایو Off By One Security بررسی کردن.
این بدافزار معمولاً روی تجهیزاتی نصب میشه که از EDR پشتیبانی نمی کنن، از جمله سرورهای VMware vCenter/ESXi، جایی که ارتباط با C2 رو برقرار میکنه و این ترافیک رو شبیه به سرویسهای قانونی مثل Cloudflare و Heroku جعل میکنه.
پس از استقرار، مهاجم تلاش کرده با استفاده از یک Java Servlet Filter مخرب موسوم به Bricksteal روی vCenter اعتبارنامه ها رو سرقت کنه و حتی ماشین های مجازی Windows Server رو کلون کرده تا اطلاعات حساس رو استخراج کنه.
از این اعتبارنامه های برای حرکت جانبی و پرسیست استفاده کردن از جمله فعالسازی SSH روی ESXi و تغییر اسکریپتهای راهاندازی init.d و systemd.
هدف اصلی عملیاتی Brickstorm، استخراج ایمیلها از طریق Microsoft Entra ID Enterprise Apps هستش. برای این منظور از پروکسی SOCKS برای تونل زدن به سیستمهای داخلی و مخازن کد، با سطح بالایی از مخفی کاری استفاده کردن.
مشاهدات گوگل نشان میده که UNC5221 تمرکز ویژهای روی توسعه دهندگان، مدیران سیستم و افرادی که با منافع اقتصادی و امنیتی چین مرتبط هستن، داره.
پس از پایان عملیات، بدافزار حذف میشه تا روند تحقیقات فارنزیک دشوارتر بشه. این پیچیدگی زمانی بیشتر میشه که UNC5221 هیچگاه دوبار از یک دامنه C2 یا نمونه بدافزار یکسان استفاده نمیکنه.
برای کمک به تیم های امنیتی، Mandiant یک اسکریپت اسکن رایگان منتشر کرده که معادل یک قانون YARA برای Brickstorm در سیستمهای Linux و BSD عمل میکنه. همچنین قوانین YARA برای Bricksteal و Slaystyle هم در گزارش موجوده.
محققای Mandiant هشدار دادن که این اسکنر ممکنه نتونه تمام نمونه های Brickstorm رو شناسایی کنه، شناسایی ۱۰۰٪ تضمین نمیشه، مکانیزمهای پرسیست بررسی نمیشن و هشداری درباره دستگاههای آسیبپذیر ارائه نمیده.
#بازیگران_تهدید #چین #گوگل #مایکروسافت #لینوکس #زیرودی
#UNC5221 #Brickstorm #Mandiant #YARA #Microsoft #Linux #0day
🆔 @onhex_ir
➡️ ALL Link
گوگل گفته، نفوذ به چنین سازمانهایی میتونه به هکرها کمک کنه تا اکسپلویت های زیرودی توسعه بدن و حملات خودشون رو به قربانیان دیگه گسترش بدن.
گروه UNC5221 بخاطر اکسپلویت زیرودی Ivanti و حمله به سازمانهای دولتی با بدافزارهای اختصاصی مانند Spawnant و Zipline معروف هستش.
بدلیل زمان حضور طولانی بدافزار در سیستمهای قربانی و استفاده هکرها از اسکریپت های Anti-Forensics برای مخفی کردن نقطه ورود، گوگل نتونسته بردار اولیه دسترسی رو با اطمینان مشخص کنه. با این حال، احتمال میدن از طریق اکسپلویت زیرودی در دستگاههای متصل به اینترنت بوده.
بکدور Brickstorm که در زبان گولنگ توسعه داده شده، اولین بار در آوریل 2024 توسط گوگل گزارش شد. این بدافزار عملکردهایی چون وب سرور، ابزار دستکاری فایل، دراپر، رله SOCKS و اجرای دستورات شل رو ارائه میده.
این بدافزار رو قبلا در لایو Off By One Security بررسی کردن.
این بدافزار معمولاً روی تجهیزاتی نصب میشه که از EDR پشتیبانی نمی کنن، از جمله سرورهای VMware vCenter/ESXi، جایی که ارتباط با C2 رو برقرار میکنه و این ترافیک رو شبیه به سرویسهای قانونی مثل Cloudflare و Heroku جعل میکنه.
پس از استقرار، مهاجم تلاش کرده با استفاده از یک Java Servlet Filter مخرب موسوم به Bricksteal روی vCenter اعتبارنامه ها رو سرقت کنه و حتی ماشین های مجازی Windows Server رو کلون کرده تا اطلاعات حساس رو استخراج کنه.
از این اعتبارنامه های برای حرکت جانبی و پرسیست استفاده کردن از جمله فعالسازی SSH روی ESXi و تغییر اسکریپتهای راهاندازی init.d و systemd.
هدف اصلی عملیاتی Brickstorm، استخراج ایمیلها از طریق Microsoft Entra ID Enterprise Apps هستش. برای این منظور از پروکسی SOCKS برای تونل زدن به سیستمهای داخلی و مخازن کد، با سطح بالایی از مخفی کاری استفاده کردن.
مشاهدات گوگل نشان میده که UNC5221 تمرکز ویژهای روی توسعه دهندگان، مدیران سیستم و افرادی که با منافع اقتصادی و امنیتی چین مرتبط هستن، داره.
پس از پایان عملیات، بدافزار حذف میشه تا روند تحقیقات فارنزیک دشوارتر بشه. این پیچیدگی زمانی بیشتر میشه که UNC5221 هیچگاه دوبار از یک دامنه C2 یا نمونه بدافزار یکسان استفاده نمیکنه.
برای کمک به تیم های امنیتی، Mandiant یک اسکریپت اسکن رایگان منتشر کرده که معادل یک قانون YARA برای Brickstorm در سیستمهای Linux و BSD عمل میکنه. همچنین قوانین YARA برای Bricksteal و Slaystyle هم در گزارش موجوده.
محققای Mandiant هشدار دادن که این اسکنر ممکنه نتونه تمام نمونه های Brickstorm رو شناسایی کنه، شناسایی ۱۰۰٪ تضمین نمیشه، مکانیزمهای پرسیست بررسی نمیشن و هشداری درباره دستگاههای آسیبپذیر ارائه نمیده.
#بازیگران_تهدید #چین #گوگل #مایکروسافت #لینوکس #زیرودی
#UNC5221 #Brickstorm #Mandiant #YARA #Microsoft #Linux #0day
🆔 @onhex_ir
➡️ ALL Link
Google Cloud Blog
Another BRICKSTORM: Stealthy Backdoor Enabling Espionage into Tech and Legal Sectors | Google Cloud Blog
BRICKSTORM is a stealthy backdoor used by suspected China-nexus actors for long-term espionage.
❤12
OnHex
🔴 دومیـن رویداد هکرهای دوستداشتنی آکادمی راوین اعلام کرده که امسال میخواد دومین رویداد هکرهای دوست داشتنی رو برگزار کنه. در خصوص این رویداد قبلا در کانال و نشریه مطالبی نوشتیم. این رویداد با ظرفیت 1000 نفر برگزار میشه و شامل بخش های مختلف هستش. بخشی از…
🔴 فراخوان ارسال مقاله برای سومین دوره رویداد هکرهای دوست داشتنی
آکادمی راوین، با هدف افزایش آگاهی عمومی، شبکه سازی و تبادل تجربیات، معرفی فناوریها و راهکارهای نوین، بررسی و تحلیل تهدیدات جدید و ترویج فرهنگ امنیت سایبری، میخواد سومین دوره ی رویداد هکرهای دوست داشتنی رو برگزار کنه.
این رویداد در روز آخر المپیک فناوری، روز پنجشنبه ۸ آبان ۱۴۰۴، از ساعت ۱۰ تا ۱۳ در پارک فناوری پردیس برگزار خواهد شد.
محور اصلی ارائه های کنفرانس شامل تهدیدات نوظهور، روشهای دفاعی پیشرفته، فناوریهای نوین و راهکارهای کاربردی امنیت سایبری هستش.
برای ارسال مقاله، پژوهش و مطالعه ی موردی تا جمعه ۲۵ مهر فرصت دارید. برای ارائه دهندگان جوایز نفیسی هم در نظر گرفته شده.
حضور در این رویداد رایگان و برای عموم آزاد است.
جهت کسب اطلاعات بیشتر، میتونید از سایت رویداد دیدن کنید.
#کنفرانس #ایران #هکرهای_دوست_داشتنی
🆔 @onhex_ir
➡️ ALL Link
آکادمی راوین، با هدف افزایش آگاهی عمومی، شبکه سازی و تبادل تجربیات، معرفی فناوریها و راهکارهای نوین، بررسی و تحلیل تهدیدات جدید و ترویج فرهنگ امنیت سایبری، میخواد سومین دوره ی رویداد هکرهای دوست داشتنی رو برگزار کنه.
این رویداد در روز آخر المپیک فناوری، روز پنجشنبه ۸ آبان ۱۴۰۴، از ساعت ۱۰ تا ۱۳ در پارک فناوری پردیس برگزار خواهد شد.
محور اصلی ارائه های کنفرانس شامل تهدیدات نوظهور، روشهای دفاعی پیشرفته، فناوریهای نوین و راهکارهای کاربردی امنیت سایبری هستش.
برای ارسال مقاله، پژوهش و مطالعه ی موردی تا جمعه ۲۵ مهر فرصت دارید. برای ارائه دهندگان جوایز نفیسی هم در نظر گرفته شده.
حضور در این رویداد رایگان و برای عموم آزاد است.
جهت کسب اطلاعات بیشتر، میتونید از سایت رویداد دیدن کنید.
#کنفرانس #ایران #هکرهای_دوست_داشتنی
🆔 @onhex_ir
➡️ ALL Link
آکادمی راوین | آموزش تخصصی امنیت سایبری
سومین کنفرانس «هکرهای دوستداشتنی»
در سومین کنفرانس هکرهای دوستداشتنی، پژوهشها و ایدههای نوآورانه خود در حوزه امنیت سایبری را ارائه دهید. فرصت ارسال مقاله همین حالاست!
❤6
🔴 پیشنهاد بی شرمانه به خبرنگار BBC
اخیرا فردی بنام Syndicate که خودش رو مدیر ارتباطات باج افزار Medusa معرفی کرده، از طریق پیامرسان Signal، پیامی به یکی از خبرنگاران BBC بنام Joe Tidy ارسال کرده و پیشنهاد داده در صورتیکه اطلاعات لاگین و کد امنیتیش رو در اختیار این گروه قرار بده، تا بتونن به سیستم های داخلی BBC نفوذ و عملیات باجگیری انجام بدن، 15% از کل مبلغ باج رو به ایشون میدن.
طبق گزارش CheckPoint، مدیران Medusa احتمالا در روسیه یا کشورهای متحد روسیه هستن.
ایشون با اطلاع سردبیر و با هدف دونستن اطلاعات بیشتر، صحبت رو با مهاجم ادامه داده.
هکر به ایشون گفته من نمیدونم BBC چقدر بهت پول میده، اما با این کار دیگه نیاز به کار کردن نداری و تخمین زده که میتونه از BBC ده ها میلیون باج بگیره.
در ادامه گفته که این چت ها رو پاک و مبلغ رو بصورت بیت کوین پرداخت میکنه.
هکر گفته که در حملات قبلی، بارها شده که با کارمندان داخلی معامله کردن، مثلا گفته امسال کارمندان یک شرکت مراقبت های بهداشتی در بریتانیا و یک ارائه دهنده خدمات اورژانسی در آمریکا این کار کردن.
خبرنگار بهش شک میکنه و برای اینکه مشخص بشه واقعا از سمت تیم Medusa هستش، مدارک زیادی خواسته.
هکر هم لینک Medusa در دارک وب رو فرستاده و گفته میتونه از طریق TOX باهاشون ارتباط بگیره.
هکرها ایشون رو انتخاب کرده بودن چون فک میکردن دسترسی IT بالایی داره اما نمیدونستن که ایشون صرفا خبرنگار سایبری هستش.
در ادامه سوالاتی در خصوص شبکه BBC ازش پرسیدن که ایشون نمیدونسته و یک کدی دادن که اجرا کنه تا مشخص بشه سطح دسترسیش چقدره.
بعد از سه روز مکالمه ایشون تصمیم گرفته، مکالمه رو متوقف و به تیم امنیتی BBC اطلاع بده.
صبح همون روز، هکرها از وقت کشی عصبانی شدن و تا نیمه شب فرصت دادن اما قبلش صبرشون تموم شده و حمله ی MFA Bombing انجام دادن. در این حمله کلی نوتیفیکیشن 2FA ارسال میکنن تا قربانی به اشتباه یا از روی خستگی یکیشون رو تایید کنه. با این تکنیک در سال 2022 تونستن Uber رو هک کنن.
در نهایت با تیم امنیتی تماس گرفتن و تیم امنیتی دسترسی ایشون رو بطور کامل از سیستمهای BBC قطع کرده.
در ادامه هکرها پیامی فرستادن: تیم عذرخواهی میکنه. ما در حال تست صفحه لاگین BBC بودیم. متأسفیم اگه مشکلی ایجاد شد.
در ادامه هم گفتن که معامله همچنان پابرجاست اما بعد از اینکه چند روز جواب نداده، هکر اکانتش رو در Signal پاک کرده و ناپدید شده.
در نهایت دوباره دسترسی این خبرنگار برگشته البته با محافظت بیشتر.
این نشون دهنده تکامل پیشرفت مجرمان سایبری هستش. چند روز پیش هم خبر دستگیری یک کارمند IT در برزیل منتشر شد که اطلاعات لاگینش رو در اختیار هکرها قرار داده بود که منجر به خسارت 100 میلیون دلاری به یک بانک شد.
#بازیگران_تهدید #باج_افزار
#BBC #Medusa
🆔 @onhex_ir
➡️ ALL Link
اخیرا فردی بنام Syndicate که خودش رو مدیر ارتباطات باج افزار Medusa معرفی کرده، از طریق پیامرسان Signal، پیامی به یکی از خبرنگاران BBC بنام Joe Tidy ارسال کرده و پیشنهاد داده در صورتیکه اطلاعات لاگین و کد امنیتیش رو در اختیار این گروه قرار بده، تا بتونن به سیستم های داخلی BBC نفوذ و عملیات باجگیری انجام بدن، 15% از کل مبلغ باج رو به ایشون میدن.
طبق گزارش CheckPoint، مدیران Medusa احتمالا در روسیه یا کشورهای متحد روسیه هستن.
ایشون با اطلاع سردبیر و با هدف دونستن اطلاعات بیشتر، صحبت رو با مهاجم ادامه داده.
هکر به ایشون گفته من نمیدونم BBC چقدر بهت پول میده، اما با این کار دیگه نیاز به کار کردن نداری و تخمین زده که میتونه از BBC ده ها میلیون باج بگیره.
در ادامه گفته که این چت ها رو پاک و مبلغ رو بصورت بیت کوین پرداخت میکنه.
هکر گفته که در حملات قبلی، بارها شده که با کارمندان داخلی معامله کردن، مثلا گفته امسال کارمندان یک شرکت مراقبت های بهداشتی در بریتانیا و یک ارائه دهنده خدمات اورژانسی در آمریکا این کار کردن.
خبرنگار بهش شک میکنه و برای اینکه مشخص بشه واقعا از سمت تیم Medusa هستش، مدارک زیادی خواسته.
هکر هم لینک Medusa در دارک وب رو فرستاده و گفته میتونه از طریق TOX باهاشون ارتباط بگیره.
هکرها ایشون رو انتخاب کرده بودن چون فک میکردن دسترسی IT بالایی داره اما نمیدونستن که ایشون صرفا خبرنگار سایبری هستش.
در ادامه سوالاتی در خصوص شبکه BBC ازش پرسیدن که ایشون نمیدونسته و یک کدی دادن که اجرا کنه تا مشخص بشه سطح دسترسیش چقدره.
بعد از سه روز مکالمه ایشون تصمیم گرفته، مکالمه رو متوقف و به تیم امنیتی BBC اطلاع بده.
صبح همون روز، هکرها از وقت کشی عصبانی شدن و تا نیمه شب فرصت دادن اما قبلش صبرشون تموم شده و حمله ی MFA Bombing انجام دادن. در این حمله کلی نوتیفیکیشن 2FA ارسال میکنن تا قربانی به اشتباه یا از روی خستگی یکیشون رو تایید کنه. با این تکنیک در سال 2022 تونستن Uber رو هک کنن.
در نهایت با تیم امنیتی تماس گرفتن و تیم امنیتی دسترسی ایشون رو بطور کامل از سیستمهای BBC قطع کرده.
در ادامه هکرها پیامی فرستادن: تیم عذرخواهی میکنه. ما در حال تست صفحه لاگین BBC بودیم. متأسفیم اگه مشکلی ایجاد شد.
در ادامه هم گفتن که معامله همچنان پابرجاست اما بعد از اینکه چند روز جواب نداده، هکر اکانتش رو در Signal پاک کرده و ناپدید شده.
در نهایت دوباره دسترسی این خبرنگار برگشته البته با محافظت بیشتر.
این نشون دهنده تکامل پیشرفت مجرمان سایبری هستش. چند روز پیش هم خبر دستگیری یک کارمند IT در برزیل منتشر شد که اطلاعات لاگینش رو در اختیار هکرها قرار داده بود که منجر به خسارت 100 میلیون دلاری به یک بانک شد.
#بازیگران_تهدید #باج_افزار
#BBC #Medusa
🆔 @onhex_ir
➡️ ALL Link
Bbc
'You'll never need to work again': Criminals offer reporter money to hack BBC
Reporter Joe Tidy was offered money if he would help cyber criminals access BBC systems.
❤17
🔴 معرفی پروژه ی RExpository
معمولا روزانه اتفاق می افته که برای کارهای روزانه از Regular Expressions یا همون Regex برای فیلتر و جستجو استفاده کنیم.
یکی از مشکلاتی که Regex داره، نوشتن عبارتی هستش که اون چیز مطلوب رو در اختیار ما قرار بده.
برای حل این مشکل، پروژه ی RExpository میتونه خیلی کاربردی باشه. این پروژه Regex رو بصورت موضوعی دسته بندی کرده. مثلا عبارت برای پیدا کردن IP و وردپرس، AWS Secret Key و ... .
#امنیت_سایبری
#RExpository #Regex
🆔 @onhex_ir
➡️ ALL Link
معمولا روزانه اتفاق می افته که برای کارهای روزانه از Regular Expressions یا همون Regex برای فیلتر و جستجو استفاده کنیم.
یکی از مشکلاتی که Regex داره، نوشتن عبارتی هستش که اون چیز مطلوب رو در اختیار ما قرار بده.
برای حل این مشکل، پروژه ی RExpository میتونه خیلی کاربردی باشه. این پروژه Regex رو بصورت موضوعی دسته بندی کرده. مثلا عبارت برای پیدا کردن IP و وردپرس، AWS Secret Key و ... .
#امنیت_سایبری
#RExpository #Regex
🆔 @onhex_ir
➡️ ALL Link
❤7
OnHex
graph-inc_ir_شهرداری تهران.pdf
Graph-CTI-annual-report1403.pdf
16.2 MB
🔴 گزارش چشمانداز تهدیدات سایبری ایران به همراه بررسی دوساله حملات به زیرساختهای فناوری کشور تا اسفند ۱۴۰۳ از شرکت گراف
سرفصلهای محتوایی گزارش :
- مقایسه کلی انگیزه حملات در سال 2023 و 2024
- مقایسه حملات هدفمند در 2023 و 2024 بررسی آمار صنایع مورد هدف در حملات
- توزیع حملات سایبری بر اساس اندازه سازمانها
- تغییر الگوی حمالت سایبری به شرکتها براساس اندازه
- تمرکز بر افشای اطلاعات و اخاذی دیجیتال
- بدافزارهای InfoStealer ؛ تهدید خاموش و پرهزینه
- هوش مصنوعی مولد و انقلاب در مهندسی اجتماعی
- حملات BEC وDeepfake : چهره جدید کلاهبرداریهای مالی
- بدافزارهای موبايلی و ديپفيك: حمله به چهره شما
- ابرهای تاريك: تهدید GenAI برای فضای ابری
#بازیگران_تهدید #گراف #هوش_مصنوعی #امنیت_سایبری
#AI #APT #Ransomware #CTI
🆔 @onhex_ir
➡️ ALL Link
سرفصلهای محتوایی گزارش :
- مقایسه کلی انگیزه حملات در سال 2023 و 2024
- مقایسه حملات هدفمند در 2023 و 2024 بررسی آمار صنایع مورد هدف در حملات
- توزیع حملات سایبری بر اساس اندازه سازمانها
- تغییر الگوی حمالت سایبری به شرکتها براساس اندازه
- تمرکز بر افشای اطلاعات و اخاذی دیجیتال
- بدافزارهای InfoStealer ؛ تهدید خاموش و پرهزینه
- هوش مصنوعی مولد و انقلاب در مهندسی اجتماعی
- حملات BEC وDeepfake : چهره جدید کلاهبرداریهای مالی
- بدافزارهای موبايلی و ديپفيك: حمله به چهره شما
- ابرهای تاريك: تهدید GenAI برای فضای ابری
#بازیگران_تهدید #گراف #هوش_مصنوعی #امنیت_سایبری
#AI #APT #Ransomware #CTI
🆔 @onhex_ir
➡️ ALL Link
5❤35
🔴 اصلاح آسیب پذیری زیرودی در محصولات مختلف Broadcom
کمپانی Broadcom یسری آسیب پذیری رو در محصولات مختلفش اصلاح کرده، که از جمله ی اونا آسیب پذیری زیرودی با شناسه ی CVE-2025-41244 در VMware Aria Operations و VMware Tools هستش که امتیاز 7.8 و شدت مهم داره و امکان افزایش امتیاز به root رو میده و توسط Maxime Thiebaut از NVISO در ماه مه گزارش شده.
نکته جالب در خصوص این آسیب پذیری اینه که از اواسط اکتبر 2024 توسط گروه هکری چینی UNC5174 مورد اکسپلویت قرار گرفته.
سرویس VMware بصورت خودکار باینری های محلی اجرا شده از مسیرهایی که با الگوهای regex خاصی تطابق دارن رو جستجو میکنه . اگه یک مهاجم محلی بدون امتیاز بالا، بتونه یک فایل اجرایی مخرب رو در یکی از این مسیرها قرار بده، مثلا UNC5174 در مسیر tmp/httpd قرار داده بود، و اون فایل رو اجرا کنه (باید در process tree قرار بگیره) و همچنین یک سوکت در حال شنود (listening socket) باز کنه، سرویس VMware احتمالاً اون پروسس/باینری رو تشخیص میده و در ادامه اونو به طریقی بعنوان سرویس یا با سطوح دسترسی بالاتر مورد استفاده قرار میده و این منجر به افزایش امتیاز در ماشین مجازی میشه.
شرکت NVISO برای این آسیب پذیری یک PoC هم منتشر کرده.
طبق گزارش گوگل، UNC5174 یک پیمانکار وزارت امنیت دولتی چین (MSS) هستش و در اواخر ۲۰۲۳ با اکسپلویت آسیب پذیری CVE-2023-46747 در F5 BIG-IP تونست به شبکه پیمانکاران دفاعی آمریکا، نهادهای دولتی بریتانیا و مؤسسات آسیایی دسترسی پیدا کنه و اونارو برای فروش ارائه بده.
در فوریه ۲۰۲۴، این گروه از CVE-2024-1709 در ConnectWise ScreenConnect برای نفوذ به صدها مؤسسه آمریکایی و کانادایی استفاده کرد.
در ماه مه 2024 آسیبپذیری CVE-2025-31324 در NetWeaver Visual Composer رو اکسپلویت کرد. بازیگران تهدید چینی دیگه مانند Chaya_004، UNC5221 و CL-STA-0048 هم به این موج حملات پیوستن و بیش از ۵۸۰ نمونه SAP NetWeaver رو آلوده کردن، از جمله زیرساختهای حیاتی در بریتانیا و آمریکا.
#چین #بازیگران_تهدید
#Broadcom #UNC5174 #vmware #APT
🆔 @onhex_ir
➡️ ALL Link
کمپانی Broadcom یسری آسیب پذیری رو در محصولات مختلفش اصلاح کرده، که از جمله ی اونا آسیب پذیری زیرودی با شناسه ی CVE-2025-41244 در VMware Aria Operations و VMware Tools هستش که امتیاز 7.8 و شدت مهم داره و امکان افزایش امتیاز به root رو میده و توسط Maxime Thiebaut از NVISO در ماه مه گزارش شده.
نکته جالب در خصوص این آسیب پذیری اینه که از اواسط اکتبر 2024 توسط گروه هکری چینی UNC5174 مورد اکسپلویت قرار گرفته.
سرویس VMware بصورت خودکار باینری های محلی اجرا شده از مسیرهایی که با الگوهای regex خاصی تطابق دارن رو جستجو میکنه . اگه یک مهاجم محلی بدون امتیاز بالا، بتونه یک فایل اجرایی مخرب رو در یکی از این مسیرها قرار بده، مثلا UNC5174 در مسیر tmp/httpd قرار داده بود، و اون فایل رو اجرا کنه (باید در process tree قرار بگیره) و همچنین یک سوکت در حال شنود (listening socket) باز کنه، سرویس VMware احتمالاً اون پروسس/باینری رو تشخیص میده و در ادامه اونو به طریقی بعنوان سرویس یا با سطوح دسترسی بالاتر مورد استفاده قرار میده و این منجر به افزایش امتیاز در ماشین مجازی میشه.
شرکت NVISO برای این آسیب پذیری یک PoC هم منتشر کرده.
طبق گزارش گوگل، UNC5174 یک پیمانکار وزارت امنیت دولتی چین (MSS) هستش و در اواخر ۲۰۲۳ با اکسپلویت آسیب پذیری CVE-2023-46747 در F5 BIG-IP تونست به شبکه پیمانکاران دفاعی آمریکا، نهادهای دولتی بریتانیا و مؤسسات آسیایی دسترسی پیدا کنه و اونارو برای فروش ارائه بده.
در فوریه ۲۰۲۴، این گروه از CVE-2024-1709 در ConnectWise ScreenConnect برای نفوذ به صدها مؤسسه آمریکایی و کانادایی استفاده کرد.
در ماه مه 2024 آسیبپذیری CVE-2025-31324 در NetWeaver Visual Composer رو اکسپلویت کرد. بازیگران تهدید چینی دیگه مانند Chaya_004، UNC5221 و CL-STA-0048 هم به این موج حملات پیوستن و بیش از ۵۸۰ نمونه SAP NetWeaver رو آلوده کردن، از جمله زیرساختهای حیاتی در بریتانیا و آمریکا.
#چین #بازیگران_تهدید
#Broadcom #UNC5174 #vmware #APT
🆔 @onhex_ir
➡️ ALL Link
NVISO Labs
You name it, VMware elevates it (CVE-2025-41244)
NVISO has identified zero-day exploitation of CVE-2025-41244, a local privilege escalation vulnerability impacting VMware's guest service discovery features.
❤3
🔴 ماه اکتبر، ماه آگاهی امنیت سایبری هستش و شرکتها، موسسات و سازمانها، با این هدف برنامه ها و تخفیفات مختلفی رو ارائه میدن.
در این خصوص میتونید از محتوای آموزشی تولید شده توسط OnHexGroup استفاده کنید:
🔵 دوره رایگان آموزش مهندسی معکوس (فصل اول - فصل دوم)
🟢 دوره رایگان بررسی ساختار فایلهای PE (در حال برگزاری فصل اول)
🔵ویدیوهای منتشر شده در خصوص استفاده از هوش مصنوعی در امنیت سایبری
🟢 پادکست های ترجمه شده به فارسی
🔵 نشریه ی OnHexMag
🟢 مطالب سایت با موضوعات مهندسی معکوس، توسعه اکسپلویت، اوسینت، تیم قرمز، تیم آبی، باگ بانتی و ... .
🆔 @onhex_ir
➡️ ALL Link
در این خصوص میتونید از محتوای آموزشی تولید شده توسط OnHexGroup استفاده کنید:
🔵 دوره رایگان آموزش مهندسی معکوس (فصل اول - فصل دوم)
🟢 دوره رایگان بررسی ساختار فایلهای PE (در حال برگزاری فصل اول)
🔵ویدیوهای منتشر شده در خصوص استفاده از هوش مصنوعی در امنیت سایبری
🟢 پادکست های ترجمه شده به فارسی
🔵 نشریه ی OnHexMag
🟢 مطالب سایت با موضوعات مهندسی معکوس، توسعه اکسپلویت، اوسینت، تیم قرمز، تیم آبی، باگ بانتی و ... .
🆔 @onhex_ir
➡️ ALL Link
❤10
🔴 یک گروه اخاذی بنام Crimson Collective، ادعا کرده که تونسته به مخازن خصوصی GitHub شرکت Red Hat نفوذ کنه و نزدیک به ۵۷۰ گیگابایت داده فشرده شده که شامل 28 هزار پروژه داخلی میشه رو بدزده.
این داده ها ظاهراً شامل حدود ۸۰۰ گزارش Customer Engagement Reports (CERs) هستن.
یک CER در واقع یک سند مشاورهای هستش که برای مشتریان تهیه میشه و اغلب شامل جزئیات زیرساخت، دادههای پیکربندی، توکن های احراز هویت و سایر اطلاعاتی هستش که میتونه برای نفوذ به شبکه های مشتری مورد سوءاستفاده قرار بگیره.
شرکت Red Hat تأیید کرده که یک حادثه امنیتی مرتبط با بخش مشاوره این شرکت رخ داده، اما هیچکدوم از ادعاهای هکرها درباره سرقت مخازن GitHub و گزارشهای CER رو تایید نکرده.
در عوض هکرها گفتن که این نفوذ حدود دو هفته پیش رخ داده و در کدهای Red Hat و گزارشهای CER، توکنهای احراز هویت، URIهای کامل پایگاه داده و سایر اطلاعات خصوصی رو پیدا کردن که با استفاده از اونا به زیرساخت مشتریان دسترسی پیدا کردن. همچنین یک فهرست کامل دایرکتوری از مخازن GitHub سرقت شده و لیستی از گزارشهای CER از سال ۲۰۲۰ تا ۲۰۲۵ رو در تلگرام منتشر کردن.
فهرست CERها شامل طیف وسیعی از بخشها و سازمانهای شناخته شده هستش از جمله: Bank of America، T-Mobile، AT&T، Fidelity، Kaiser، Mayo Clinic، Walmart، Costco، مرکز Naval Surface Warfare نیروی دریایی آمریکا، سازمان هوانوردی فدرال (FAA)، مجلس نمایندگان آمریکا.
هکرها اعلام کردن که با درخواست باج، با Red Hat تماس گرفتن، اما نتیجه ای نداشته.
این گروه همچنین دیفیس هفته گذشته ی Nintendo رو هم به عهده گرفته./منبع
#بازیگران_تهدید #اخاذی
#RedHat #CrimsonCollective
🆔 @onhex_ir
➡️ ALL Link
این داده ها ظاهراً شامل حدود ۸۰۰ گزارش Customer Engagement Reports (CERs) هستن.
یک CER در واقع یک سند مشاورهای هستش که برای مشتریان تهیه میشه و اغلب شامل جزئیات زیرساخت، دادههای پیکربندی، توکن های احراز هویت و سایر اطلاعاتی هستش که میتونه برای نفوذ به شبکه های مشتری مورد سوءاستفاده قرار بگیره.
شرکت Red Hat تأیید کرده که یک حادثه امنیتی مرتبط با بخش مشاوره این شرکت رخ داده، اما هیچکدوم از ادعاهای هکرها درباره سرقت مخازن GitHub و گزارشهای CER رو تایید نکرده.
در عوض هکرها گفتن که این نفوذ حدود دو هفته پیش رخ داده و در کدهای Red Hat و گزارشهای CER، توکنهای احراز هویت، URIهای کامل پایگاه داده و سایر اطلاعات خصوصی رو پیدا کردن که با استفاده از اونا به زیرساخت مشتریان دسترسی پیدا کردن. همچنین یک فهرست کامل دایرکتوری از مخازن GitHub سرقت شده و لیستی از گزارشهای CER از سال ۲۰۲۰ تا ۲۰۲۵ رو در تلگرام منتشر کردن.
فهرست CERها شامل طیف وسیعی از بخشها و سازمانهای شناخته شده هستش از جمله: Bank of America، T-Mobile، AT&T، Fidelity، Kaiser، Mayo Clinic، Walmart، Costco، مرکز Naval Surface Warfare نیروی دریایی آمریکا، سازمان هوانوردی فدرال (FAA)، مجلس نمایندگان آمریکا.
هکرها اعلام کردن که با درخواست باج، با Red Hat تماس گرفتن، اما نتیجه ای نداشته.
این گروه همچنین دیفیس هفته گذشته ی Nintendo رو هم به عهده گرفته./منبع
#بازیگران_تهدید #اخاذی
#RedHat #CrimsonCollective
🆔 @onhex_ir
➡️ ALL Link
BleepingComputer
Red Hat confirms security incident after hackers breach GitLab instance
An extortion group calling itself the Crimson Collective claims to have stolen nearly 570GB of compressed data across 28,000 internal development respositories, with the company confirming it was a breach of one of its GitLab instances.
❤8
OnHex
🔴 محققای Stratascale دو آسیب پذیری با شناسه های - CVE-2025-32462 (host option) - CVE-2025-32463 (chroot) و از نوع افزایش سطح دسترسی در دستور sudo کشف و گزارش کردن که منجر به اجرای دستورات با امتیاز root میشن. محققا رفتن سراغ optionهای کمتر رایج sudo و با…
🔴 آژانس امنیت سایبری CISA هشدار داده که هکرها در حال اکسپلویت آسیب پذیری CVE-2025-32463 در Sudo هستن و این آسیب پذیری رو به لیست KEV خودش اضافه کرده و به آژانس های فدرال تا 20 اکتبر فرصت داده تا اقداماتی برای اصلاح یا توقف استفاده از Sudo انجام بدن.
این آسیب پذیری با امتیاز 9.3، امکان افزایش امتیاز به root رو به مهاجم میده و نسخههای ۱.۹.۱۴ تا ۱.۹.۱۷ رو تحت تاثیر قرار میده.
همچنین جهت آگاه سازی، اخیرا یک گروه اخاذی که احتمال میدن Clop باشه، به مدیران سازمانها ایمیلهایی ارسال کرده در خصوص سرقت داده از سیستمهای Oracle E-Business Suite و درخواست باج برای عدم افشای اونا کرده.
محصول Oracle E-Business Suite (Oracle EBS) یکی از محصولات بزرگ و قدیمی شرکت Oracle هستش که به سازمانها این امکان رو میده تا فرایندهای مالی، منابع انسانی، زنجیره تأمین، لجستیک و... رو بصورت متمرکز و در یک پکیج داشته باشن.
این کمپین از 29 سپتامبر شروع شده و Mandiant و گوگل در حال بررسی اولیه هستن و فعلا ادعای این گروه رو تایید نکردن. شرکت اوراکل هم هشداری در خصوص زیرودی صادر نکرده.
اما گوگل و Mandiant به سازمانهایی که این ایمیلها رو دریافت کردن توصیه کرده محیط خودشون رو برای بررسی دسترسیهای غیرعادی یا نفوذ به پلتفرمهای Oracle E-Business Suite بررسی کنن.
#بازیگران_تهدید #گوگل #اوراکل
#Mandiant #CISA #Linux #OracleEBS
🆔 @onhex_ir
➡️ ALL Link
این آسیب پذیری با امتیاز 9.3، امکان افزایش امتیاز به root رو به مهاجم میده و نسخههای ۱.۹.۱۴ تا ۱.۹.۱۷ رو تحت تاثیر قرار میده.
همچنین جهت آگاه سازی، اخیرا یک گروه اخاذی که احتمال میدن Clop باشه، به مدیران سازمانها ایمیلهایی ارسال کرده در خصوص سرقت داده از سیستمهای Oracle E-Business Suite و درخواست باج برای عدم افشای اونا کرده.
محصول Oracle E-Business Suite (Oracle EBS) یکی از محصولات بزرگ و قدیمی شرکت Oracle هستش که به سازمانها این امکان رو میده تا فرایندهای مالی، منابع انسانی، زنجیره تأمین، لجستیک و... رو بصورت متمرکز و در یک پکیج داشته باشن.
این کمپین از 29 سپتامبر شروع شده و Mandiant و گوگل در حال بررسی اولیه هستن و فعلا ادعای این گروه رو تایید نکردن. شرکت اوراکل هم هشداری در خصوص زیرودی صادر نکرده.
اما گوگل و Mandiant به سازمانهایی که این ایمیلها رو دریافت کردن توصیه کرده محیط خودشون رو برای بررسی دسترسیهای غیرعادی یا نفوذ به پلتفرمهای Oracle E-Business Suite بررسی کنن.
#بازیگران_تهدید #گوگل #اوراکل
#Mandiant #CISA #Linux #OracleEBS
🆔 @onhex_ir
➡️ ALL Link
BleepingComputer
CISA warns of critical Linux Sudo flaw exploited in attacks
Hackers are actively exploiting a critical vulnerability (CVE-2025-32463) in the sudo package that enables the execution of commands with root-level privileges on Linux operating systems.
❤4
🔴 آنالیز نسخه ی Rhadamanthys 0.9.2
محققای CheckPoint گزارشی در خصوص آنالیز نسخه ی جدید بدافزار Rhadamanthys منتشر کردن و گفتن که تغییرات نسخه ی جدید، به حدی بوده که نیاز به آنالیز جدید و بروزرسانی ابزارهای تشخیصی هستش.
بدافزار Rhadamanthys یک بدافزار از نوع Info Stealer هستش و برای اولین بار در سال 2022، توسط هکری بنام kingcrete2022 تبلیغ شد. از همون ابتدا بدلیل طراحی که داشت، مشخص بود که توسعه دهندگان حرفه ای پشت این بدافزار هستن. تحلیل های اولیه نشون داد که این بدافزار تا حد زیادی از پروژه ی قبلی همین توسعه دهنده بنام Hidden Bee الهام گرفته شده.
این بدافزار در پکیجهای مختلف ارائه میشه، حالت پایه که بصورت خودمیزبان هستش ماهانه 299 دلار، حالت حرفه ای با سرور اجاره ای و یسری مزایای بیشتر ماهانه 499 دلار. بصورت Enterprise هم ارائه میشه که قیمت قابل مذاکره هستش.
تغییرات نسخه ی جدید:
- مانند بدافزار Lumma وقتی بدافزار آنپک میشه، یک پیامی رو نشون میده که برای جلوگیری از توزیع فایل آنپک شده، جلوگیری از اجرا روی ماشین آنالیزور و جلوگیری از آنالیز سریع اتوماتیک هستش.
- این بدافزار برای توزیع ماژولهاش، بجای PE از یک فرمت سفارشی بنام XS استفاده میکنه. این فرمتها اطلاعات مهم یک اجرایی مثل relocations، import table و سکشنها رو نگه میدارن، اما هدرها و قالب اونا کاملاً اختصاصی هستش و بنابراین نیاز به لودر اختصاصی داره که باعث میشه کار آنالیز سختتر بشه. قبلا از XS1 و XS2 استفاده میکردن که برای اینا محققا ابزارهایی توسعه داده بودن اما در بروزرسانی جدید، این فرمتها به XS1_B و XS2_B تغییر کردن.
- تغییراتی در نحوه ی بررسی های اولیه در مرحله ی دوم اجرا انجام دادن. مثلا یسری کلید رجیستری رو حذف کردن یا تغییراتی در نحوه ی ساخت Mutex دادن.
- در پیکربندی بدافزار هم تغییراتی داده شده. مثلا امکان استفاده از چندین آدرس C2 فراهم شده.
- تغییراتی در ماژول Strategy که ماژولی برای فرار از آنالیز هستش، دادن.
- از ترکیب جدیدی برای Bot ID استفاده میکنن.
- در نسخه های قبلی، پیلود مرحله ی سوم در فایل JPG یا WAV مخفی میشد اما در نسخه ی جدید از PNG استفاده میکنن.
- امکان تنظیم لیست پروسس هایی که پیلود بهشون تزریق میشه، فراهم شده.
- تغییراتی در الگوریتم رمزنگاری رشته ها، پیچیده تر کردن پردازش URL و ... برای مبهم سازی بیشتر انجام دادن.
- یسری ماژول و افزونه ی جدید هم اضافه کردن.
محققا یسری IoC برای شناسایی نسخه ی جدید هم منتشر کردن که میتونید از اینجا بهشون دسترسی داشته باشید.
#بدافزار #آنالیز_بدافزار
#Rhadamanthys #InfoStealer #PE
🆔 @onhex_ir
➡️ ALL Link
محققای CheckPoint گزارشی در خصوص آنالیز نسخه ی جدید بدافزار Rhadamanthys منتشر کردن و گفتن که تغییرات نسخه ی جدید، به حدی بوده که نیاز به آنالیز جدید و بروزرسانی ابزارهای تشخیصی هستش.
بدافزار Rhadamanthys یک بدافزار از نوع Info Stealer هستش و برای اولین بار در سال 2022، توسط هکری بنام kingcrete2022 تبلیغ شد. از همون ابتدا بدلیل طراحی که داشت، مشخص بود که توسعه دهندگان حرفه ای پشت این بدافزار هستن. تحلیل های اولیه نشون داد که این بدافزار تا حد زیادی از پروژه ی قبلی همین توسعه دهنده بنام Hidden Bee الهام گرفته شده.
این بدافزار در پکیجهای مختلف ارائه میشه، حالت پایه که بصورت خودمیزبان هستش ماهانه 299 دلار، حالت حرفه ای با سرور اجاره ای و یسری مزایای بیشتر ماهانه 499 دلار. بصورت Enterprise هم ارائه میشه که قیمت قابل مذاکره هستش.
تغییرات نسخه ی جدید:
- مانند بدافزار Lumma وقتی بدافزار آنپک میشه، یک پیامی رو نشون میده که برای جلوگیری از توزیع فایل آنپک شده، جلوگیری از اجرا روی ماشین آنالیزور و جلوگیری از آنالیز سریع اتوماتیک هستش.
- این بدافزار برای توزیع ماژولهاش، بجای PE از یک فرمت سفارشی بنام XS استفاده میکنه. این فرمتها اطلاعات مهم یک اجرایی مثل relocations، import table و سکشنها رو نگه میدارن، اما هدرها و قالب اونا کاملاً اختصاصی هستش و بنابراین نیاز به لودر اختصاصی داره که باعث میشه کار آنالیز سختتر بشه. قبلا از XS1 و XS2 استفاده میکردن که برای اینا محققا ابزارهایی توسعه داده بودن اما در بروزرسانی جدید، این فرمتها به XS1_B و XS2_B تغییر کردن.
- تغییراتی در نحوه ی بررسی های اولیه در مرحله ی دوم اجرا انجام دادن. مثلا یسری کلید رجیستری رو حذف کردن یا تغییراتی در نحوه ی ساخت Mutex دادن.
- در پیکربندی بدافزار هم تغییراتی داده شده. مثلا امکان استفاده از چندین آدرس C2 فراهم شده.
- تغییراتی در ماژول Strategy که ماژولی برای فرار از آنالیز هستش، دادن.
- از ترکیب جدیدی برای Bot ID استفاده میکنن.
- در نسخه های قبلی، پیلود مرحله ی سوم در فایل JPG یا WAV مخفی میشد اما در نسخه ی جدید از PNG استفاده میکنن.
- امکان تنظیم لیست پروسس هایی که پیلود بهشون تزریق میشه، فراهم شده.
- تغییراتی در الگوریتم رمزنگاری رشته ها، پیچیده تر کردن پردازش URL و ... برای مبهم سازی بیشتر انجام دادن.
- یسری ماژول و افزونه ی جدید هم اضافه کردن.
محققا یسری IoC برای شناسایی نسخه ی جدید هم منتشر کردن که میتونید از اینجا بهشون دسترسی داشته باشید.
#بدافزار #آنالیز_بدافزار
#Rhadamanthys #InfoStealer #PE
🆔 @onhex_ir
➡️ ALL Link
Check Point Research
Rhadamanthys 0.9.x - walk through the updates - Check Point Research
Research by: hasherezade Highlights Introduction Rhadamanthys is a complex, multi-modular malware sold on the underground market since September 2022. It was first advertised by the actor “kingcrete2022.” From the outset, its design showed the hallmarks of…
❤9