🔴 آسیب پذیری با شناسه ی CVE-2025-11705 در افزونه ی وردپرسی Anti-Malware Security and Brute-Force Firewall کشف و اصلاح شده که امکان افشای اطلاعات رو به مهاجمی که عضو سایت (Subscriber) هستش، میده.
نسخه های تحت تاثیر: ۴.۲۳.۸۱ و قبل تر
نسخه اصلاح شده: ۴.۲۳.۸۳
سایتهایی که از نسخه های آسیب پذیر استفاده میکنن و همچنین امکان عضویت داخلشون فعال هستش، تحت تاثیر آسیب پذیری هستن.
آسیب پذیری در تابع GOTMLS_ajax_scan هستش و امکان خوندن فایلهای دلخواه رو به مهاجم میده. مثلا مهاجم میتونه فایل wp-config.php رو بخونه.
#وردپرس #آسیب_پذیری_امنیتی
#worpress #CVE
🆔 @onhex_ir
➡️ ALL Link
نسخه های تحت تاثیر: ۴.۲۳.۸۱ و قبل تر
نسخه اصلاح شده: ۴.۲۳.۸۳
سایتهایی که از نسخه های آسیب پذیر استفاده میکنن و همچنین امکان عضویت داخلشون فعال هستش، تحت تاثیر آسیب پذیری هستن.
آسیب پذیری در تابع GOTMLS_ajax_scan هستش و امکان خوندن فایلهای دلخواه رو به مهاجم میده. مثلا مهاجم میتونه فایل wp-config.php رو بخونه.
#وردپرس #آسیب_پذیری_امنیتی
#worpress #CVE
🆔 @onhex_ir
➡️ ALL Link
WordPress.org
Anti-Malware Security and Brute-Force Firewall
This Anti-Malware scanner searches for Malware, Viruses, and other security threats and vulnerabilities on your server and it helps you fix them.
❤3
🔴 مرکز امنیت سایبری کانادا هشداری با هدف افزایش آگاهی عمومی در خصوص نفوذ هکتیویست ها به زیرساختهای حیاتی این کشور منتشر کرده.
در این حملات هکرها تونستن با موفقیت تغییراتی در سیستم های کنترلهای صنعتی (Industrial Controls) انجام بدن که اگه به موقع کشف نمیشدن منجر به ایجاد شرایط خطرناک میشد.
در این هشدار به سه حمله سایبری اشاره شده:
- هکرها به یک تاسیسات تصفیه آب نفوذ و مقادیر فشار آب رو تغییر دادن تا ارائه خدمات با افت فشار آب مواجه بشه.
- هکرها به یک شرکت نفت و گاز نفوذ کردن و سامانهی Automated Tank Gauge (ATG) که یک سامانه برای پایش و اندازه گیری خودکار حجم و وضعیت مایع داخل مخزن هستش رو، دستکاری کردن که منجر به فعال شدن هشدارهای نادرست شده.
- هکرها به یک سیلوی خشک کن غلات در مزرعهای در کانادا نفوذ کردن و مقادیر دما و رطوبت رو دستکاری کردن.
مقامهای کانادایی معتقدند که این حملات برنامهریزی شده یا پیچیده نبودن، بلکه فرصت طلبانه و با هدف جلب توجه رسانه ها، تضعیف اعتماد عمومی به مقامات کشور و لطمه زدن به اعتبار کانادا انجام شدن.
ایجاد ترس در جامعه و احساس تهدید دائمی از اهداف اصلی هکتیویستهاست و معمولا در این اقدامات، گروههای پیشرفتهی APT هم به اونا ملحق میشن تا حملات رو پیچیدهتر کنن.
#بازیگران_تهدید #کنترل_صنعتی #هکتیویست
#APT #Hacktivist #IndustrialControl
🆔 @onhex_ir
➡️ ALL Link
در این حملات هکرها تونستن با موفقیت تغییراتی در سیستم های کنترلهای صنعتی (Industrial Controls) انجام بدن که اگه به موقع کشف نمیشدن منجر به ایجاد شرایط خطرناک میشد.
در این هشدار به سه حمله سایبری اشاره شده:
- هکرها به یک تاسیسات تصفیه آب نفوذ و مقادیر فشار آب رو تغییر دادن تا ارائه خدمات با افت فشار آب مواجه بشه.
- هکرها به یک شرکت نفت و گاز نفوذ کردن و سامانهی Automated Tank Gauge (ATG) که یک سامانه برای پایش و اندازه گیری خودکار حجم و وضعیت مایع داخل مخزن هستش رو، دستکاری کردن که منجر به فعال شدن هشدارهای نادرست شده.
- هکرها به یک سیلوی خشک کن غلات در مزرعهای در کانادا نفوذ کردن و مقادیر دما و رطوبت رو دستکاری کردن.
مقامهای کانادایی معتقدند که این حملات برنامهریزی شده یا پیچیده نبودن، بلکه فرصت طلبانه و با هدف جلب توجه رسانه ها، تضعیف اعتماد عمومی به مقامات کشور و لطمه زدن به اعتبار کانادا انجام شدن.
ایجاد ترس در جامعه و احساس تهدید دائمی از اهداف اصلی هکتیویستهاست و معمولا در این اقدامات، گروههای پیشرفتهی APT هم به اونا ملحق میشن تا حملات رو پیچیدهتر کنن.
#بازیگران_تهدید #کنترل_صنعتی #هکتیویست
#APT #Hacktivist #IndustrialControl
🆔 @onhex_ir
➡️ ALL Link
Canadian Centre for Cyber Security
AL25-016 Internet-accessible industrial control systems (ICS) abused by hacktivists - Canadian Centre for Cyber Security
❤6
OnHex
🔴 افشای 80 میلیارد اعتبارنامه آقای Benjamin Brundage محقق امنیتی در حوزه ی هوش تهدید (Threat Intelligence) از Synthient، پروژه ای رو با هدف جمع آوری داده های منتشر شده توسط بدافزارهای سارق اطلاعات راه اندازی کرده، اما بدلیل حجم بالای داده ها، تصمیم گرفته…
🔴 اخیرا محققای Synthient، گزارشی منتشر کرده بودن در خصوص افشای 80 میلیارد اعتبارنامه که توسط بدافزارهای سارق اطلاعات جمع آوری شده بودن، که در نهایت این اطلاعات رو به HIBP دادن. HIBP با بررسی این داده ها اعلام کرده بود که 183 میلیون اعتبارنامه ی جدید به دیتابیسش اضافه کرده. رسانه ها اشتباهی این خبر رو با عنوان هک جیمیل و نشت داده های گوگل ارائه کرده بودن.
گوگل نسبت به این خبر واکنش نشون داده و گفته که جیمیل و گوگل هک نشدن و این داده ها از طریق بدافزارهای سارق اطلاعات جمع آوری شدن.
این اطلاعات، مختص یک پلتفرم نیست و میتونه مربوط به هزاران سایت مختلف باشه که یکیشون، گوگل هستش.
یک خبر دیگه از گوگل اینکه، گوگل گفته که یک سال دیگه، یعنی اکتبر 2026 و با انتشار کروم 154، بصورت پیش فرض قبل از اتصال به سایتهای عمومی و ناامن با پروتکل HTTP، از کاربر اجازه خواهد گرفت.
قبلا کروم قابلیتی بنام HTTPS-First Mode داشت که گزینه ی Always Use Secure Connections رو ارائه میکرد. با فعال کردن این گزینه، همیشه از پروتکل امن HTTPS استفاده میشد و اگه سایتی HTTPS نداشت، یک هشداری به کار نمایش داده میشد.
حالا گوگل تصمیم گرفته، این ویژگی رو بصورت پیش فرض برای سایتهای عمومی و خصوصی (سایتهای داخلی سازمانها و ... ) فعال کنه. البته کاربران میتونن، این ویژگی رو غیر فعال کنن.
#گوگل #نشت_داده #نقض_داده
#DataLeak #Crawling #HIBP #InfoStealer
🆔 @onhex_ir
➡️ ALL Link
گوگل نسبت به این خبر واکنش نشون داده و گفته که جیمیل و گوگل هک نشدن و این داده ها از طریق بدافزارهای سارق اطلاعات جمع آوری شدن.
این اطلاعات، مختص یک پلتفرم نیست و میتونه مربوط به هزاران سایت مختلف باشه که یکیشون، گوگل هستش.
یک خبر دیگه از گوگل اینکه، گوگل گفته که یک سال دیگه، یعنی اکتبر 2026 و با انتشار کروم 154، بصورت پیش فرض قبل از اتصال به سایتهای عمومی و ناامن با پروتکل HTTP، از کاربر اجازه خواهد گرفت.
قبلا کروم قابلیتی بنام HTTPS-First Mode داشت که گزینه ی Always Use Secure Connections رو ارائه میکرد. با فعال کردن این گزینه، همیشه از پروتکل امن HTTPS استفاده میشد و اگه سایتی HTTPS نداشت، یک هشداری به کار نمایش داده میشد.
حالا گوگل تصمیم گرفته، این ویژگی رو بصورت پیش فرض برای سایتهای عمومی و خصوصی (سایتهای داخلی سازمانها و ... ) فعال کنه. البته کاربران میتونن، این ویژگی رو غیر فعال کنن.
#گوگل #نشت_داده #نقض_داده
#DataLeak #Crawling #HIBP #InfoStealer
🆔 @onhex_ir
➡️ ALL Link
❤5
🔴 اگه برای احراز هویت دومرحله ای در توییتر از کلیدهای امنیتی (Security Keys) یا کلیدهای عبور (Passkeys) استفاده میکنید، تا 10 نوامبر/19 آبان فرصت دارید، اونارو دوباره ثبت کنید، در غیر این صورت اکانتتون قفل میشه.
کلیدهای امنیتی و کلیدهای عبور، بجای پسوردهای سنتی استفاده میشن و از کلیدهای رمزنگاری ذخیره شده در دستگاه یا سیستم عامل برای تأیید هویت کاربر استفاده میکنن.
توییتر گفته که این تغییرات مربوط به یک رخداد امنیتی نیست، بلکه به دلیل انتقال دامنه از twitter.com به x.com انجام میشه. با توجه به اینکه کلیدهای امنیتی و کلیدهای عبور به دامنه twitter.com وابسته هستن، با حذف این دامنه، کلیدهای فعلی دیگه قابل استفاده نخواهند بود.
بعد از ۱۰ نوامبر، اکانتهایی که هنوز دوباره ثبت نشدن، قفل میشن تا زمانیکه کاربران یکی از اقدامات زیر رو انجام بدن:
- دوباره ثبت کردن کلید امنیتی یا کلید عبور فعلی یا جدید
- تغییر روش احراز هویت دومرحلهای به روش دیگه (مثلا استفاده از برنامههای Authenticator)
- غیرفعال کردن کامل احراز هویت دومرحلهای، که اکیداً توصیه نمیشه.
کاربران با مراجعه به این لینک، کلید امنیتی فعلیشون رو غیرفعال و بعدش دوباره ثبت کنن. برای اینکار نیاز به وارد کردن پسورد دارید.
#توییتر
#twitter
🆔 @onhex_ir
➡️ ALL Link
کلیدهای امنیتی و کلیدهای عبور، بجای پسوردهای سنتی استفاده میشن و از کلیدهای رمزنگاری ذخیره شده در دستگاه یا سیستم عامل برای تأیید هویت کاربر استفاده میکنن.
توییتر گفته که این تغییرات مربوط به یک رخداد امنیتی نیست، بلکه به دلیل انتقال دامنه از twitter.com به x.com انجام میشه. با توجه به اینکه کلیدهای امنیتی و کلیدهای عبور به دامنه twitter.com وابسته هستن، با حذف این دامنه، کلیدهای فعلی دیگه قابل استفاده نخواهند بود.
بعد از ۱۰ نوامبر، اکانتهایی که هنوز دوباره ثبت نشدن، قفل میشن تا زمانیکه کاربران یکی از اقدامات زیر رو انجام بدن:
- دوباره ثبت کردن کلید امنیتی یا کلید عبور فعلی یا جدید
- تغییر روش احراز هویت دومرحلهای به روش دیگه (مثلا استفاده از برنامههای Authenticator)
- غیرفعال کردن کامل احراز هویت دومرحلهای، که اکیداً توصیه نمیشه.
کاربران با مراجعه به این لینک، کلید امنیتی فعلیشون رو غیرفعال و بعدش دوباره ثبت کنن. برای اینکار نیاز به وارد کردن پسورد دارید.
#توییتر
🆔 @onhex_ir
➡️ ALL Link
X (formerly Twitter)
Safety (@Safety) on X
By November 10, we’re asking all accounts that use a security key as their two factor authentication (2FA) method to re-enroll their key to continue accessing X. You can re-enroll your existing security key, or enroll a new one.
A reminder: if you enroll…
A reminder: if you enroll…
❤5
OnHex
🔴 ثبت نام برای شرکت در بیست و دومین کنفرانس بینالمللی انجمن رمز ایران (ISCISC 2025) فراهم شده. این کنفرانس امنیت سایبری، 16 و 17 مهر ماه برگزار میشه. لیست و زمان بندی ارائه های این کنفرانس رو میتونید از اینجا مشاهده کنید. علاوه بر ارائه ها، چندین کارگاه…
🔴 ویدیوها و اسلایدهای، 22 امین کنفرانس بین المللی انجمن رمزایران منتشر شده.
برای دسترسی به ارائه ها میتونید از این لینک استفاده کنید.
برای دسترسی به کارگاهها، میتونید از این لینک استفاده کنید.
#ایران #کنفرانس
#ISCISC2025
🆔 @onhex_ir
➡️ ALL Link
برای دسترسی به ارائه ها میتونید از این لینک استفاده کنید.
برای دسترسی به کارگاهها، میتونید از این لینک استفاده کنید.
#ایران #کنفرانس
#ISCISC2025
🆔 @onhex_ir
➡️ ALL Link
❤4
🔴 در نروژ، تست هایی روی اتوبوسهای برقی ساخت چین و اروپا انجام دادن و مشاهده کردن که اتوبوسهای چینی ساخت شرکت Yutong، میتونن از راه دور توسط سازنده اش در چین خاموش یا متوقف بشن.
طبق گفته شرکت Ruter (اپراتور اتوبوسهای اسلو)، شرکت چینی به نرمافزار، سیستم تشخیص عیب و کنترل باتری هر اتوبوس دسترسی داره. این یعنی در تئوری، میتونه از راه دور اتوبوس رو متوقف یا غیرقابل استفاده کنه.
محقق امنیتی Arild Tjomsland، گفته اتوبوس های چینی رو میشه متوقف یا خاموش کرد یا بروزرسانی هایی دریافت کنن که میتونن فناوری مورد نیاز اتوبوس برای عملکرد عادی رو از بین ببرن. هکرها نمیتونن از راه دور هدایت اتوبوس رو کنترل کنن اما توقف اونا میتونه منجر به ایجاد اختلال یا حتی برای ایجاد فشار سیاسی در مواقع بحرانی استفاده بشه.
دولت از این تحقیقات استقبال کرده و میخواد ریسک امنیتی وسایل نقلیه وارداتی از کشورهایی که همکاری امنیتی با نروژ ندارن رو بررسی کنه.
شرکت Ruter بیش از ۳۰۰ اتوبوس چینی در اسلو داره و اعلام کرده برای جلوگیری از دخالت از راه دور، میشه با حذف سیم کارت اتوبوسها، اونارو از اینترنت جدا کرد تا کنترل محلی اونارو تضمین کرد./منبع
#اتوبوس_برقی
🆔 @onhex_ir
➡️ ALL Link
طبق گفته شرکت Ruter (اپراتور اتوبوسهای اسلو)، شرکت چینی به نرمافزار، سیستم تشخیص عیب و کنترل باتری هر اتوبوس دسترسی داره. این یعنی در تئوری، میتونه از راه دور اتوبوس رو متوقف یا غیرقابل استفاده کنه.
محقق امنیتی Arild Tjomsland، گفته اتوبوس های چینی رو میشه متوقف یا خاموش کرد یا بروزرسانی هایی دریافت کنن که میتونن فناوری مورد نیاز اتوبوس برای عملکرد عادی رو از بین ببرن. هکرها نمیتونن از راه دور هدایت اتوبوس رو کنترل کنن اما توقف اونا میتونه منجر به ایجاد اختلال یا حتی برای ایجاد فشار سیاسی در مواقع بحرانی استفاده بشه.
دولت از این تحقیقات استقبال کرده و میخواد ریسک امنیتی وسایل نقلیه وارداتی از کشورهایی که همکاری امنیتی با نروژ ندارن رو بررسی کنه.
شرکت Ruter بیش از ۳۰۰ اتوبوس چینی در اسلو داره و اعلام کرده برای جلوگیری از دخالت از راه دور، میشه با حذف سیم کارت اتوبوسها، اونارو از اینترنت جدا کرد تا کنترل محلی اونارو تضمین کرد./منبع
#اتوبوس_برقی
🆔 @onhex_ir
➡️ ALL Link
Anadolu Agency
Oslo tests reveal Chinese electric buses can be switched off remotely
Public transport operator Ruter says manufacturer access allows buses to be stopped from China, prompting Norway to review cybersecurity risks in public transport
❤5
OnHex
🔴 اصلاح 2 آسیب پذیری در مرورگرهای کروم و فایرفاکس موزیلا یک آسیب پذیری با شناسه ی CVE-2025-2857 رو در مرورگر فایرفاکس اصلاح کرده که امکان دور زدن سندباکس رو به مهاجم میده. نکته جالب در خصوص این آسیب پذیری اینه که این آسیب پذیری مشابه آسیب پذیری زیرودی CVE…
🔴 در ماه مارس 2025، شرکت کسپرسکی گزارشی در خصوص یک آسیب پذیری جالب با شناسه ی CVE-2025-2783 در کروم منتشر کرد که در عملیاتی بنام ForumTroll، علیه سازمانهای روسی از جمله رسانه ها، دانشگاهها، مراکز تحقیقاتی، نهادهای دولتی و مؤسسات مالی استفاده شده بود.
کسپرسکی اخیرا یک گزارش جدیدی در خصوص این عملیات منتشر کرده.
محققا، یک قطعه بدافزاری جدید با نام Dante شناسایی کردن که یک جاسوس افزار تجاری مرتبط با شرکت ایتالیایی Memento Labs هستش.
در سال 2015، شرکت ایتالیایی Hacking Team که یک بدافزار معروف بنام Remote Control System (RCS) داشتن، هک و در نتیجه موجب سقوط این شرکت شد. در سال 2019، شرکت InTheCyber Group، این شرکت رو خریداری و براساس دارایی های اون، شرکت Memento Labs رو تاسیس کرد. چهار سال بعد، در کنفرانس ISS World Middle East and Africa، این شرکت از جاسوس افزار جدیدش با نام Dante رونمایی کرد، هرچند جزئیات فنی اون فاش نشد.
حمله اینجوری بوده که یک ایمیل فیشینگ مثلا دعوت به کنفرانس Primakov Readings ارسال میکردن که حاوی یک لینک مخرب بود. قربانی وقتی لینک رو باز میکرد، اسکریپتی که روی سرور بود، اول بررسی میکرد آیا قربانی مدنظر هستش یا نه.
اگه اوکی بود، از طریق CVE-2025-2783 سندباکس کروم رو دور میزد و یک لودر برای تزریق یک DLL نصب میکرد. این DLL، پیلود اصلی، LeetAgent رو رمزگشایی و اجرا میکرد، که یک جاسوس افزار ماژولار برای اجرای دستور، کار روی فایل، کیلاگر و سرقت داده هستش.
محققا گفتن که LeetAgent بدلیل استفاده از leetspeak، در دستورات خودش منحصر به فرد هستش و احتمال میدن که این بدافزار هم یک ابزار جاسوسی تجاری باشه.
منظور از leetspeak، استفاده از اعداد بجای حروف هستش، مثلا بجای leet مینویسن 1337 یا l33t. در این بدافزار مثلا برای اجرای دستور با CMD از 0xC033A4D استفاده میکردن.
استفاده از LeetAgent به حملاتی در سال ۲۰۲۲ علیه اهدافی در روسیه و بلاروس برمیگرده. در برخی از موارد، LeetAgent برای نصب Dante استفاده شده.
بدلیل شباهت کد Dante با بدافزار RCS شرکت Hacking Team، محققا با اطمینان بالایی این ابزارها رو به Memento Labs نسبت دادن.
بدافزار Dante یک جاسوسافزار ماژولار هستش که اجزای خودش رو از C2 میگیره. اگه ارتباط با سرور مهاجم برای چند روز برقرار نشه، بدافزار خودش و تمام آثار فعالیتش رو حذف میکنه.
محققا نتونستن ماژولهای این جاسوسافزار رو برای تحلیل بازیابی کنن، بنابراین ویژگیها و قابلیتهای دقیق Dante هنوز ناشناخته هستش.
گوگل آسیب پذیری CVE-2025-2783 رو در نسخه ی 134.0.6998.178 کروم و فایرفاکس آسیب پذیری CVE-2025-2857 که مشابه آسیب پذیری کروم بود رو در نسخه ی 136.0.4، موزیلا اصلاح کرده.
#کروم #فایرفاکس #گوگل #موزیلا #فیشینگ
#Firefox #chrome #Google #Mozilla #OperationForumTroll #Dante #HackingTeam #MementoLabs #LeetAgent #Phishing
🆔 @onhex_ir
➡️ ALL Link
کسپرسکی اخیرا یک گزارش جدیدی در خصوص این عملیات منتشر کرده.
محققا، یک قطعه بدافزاری جدید با نام Dante شناسایی کردن که یک جاسوس افزار تجاری مرتبط با شرکت ایتالیایی Memento Labs هستش.
در سال 2015، شرکت ایتالیایی Hacking Team که یک بدافزار معروف بنام Remote Control System (RCS) داشتن، هک و در نتیجه موجب سقوط این شرکت شد. در سال 2019، شرکت InTheCyber Group، این شرکت رو خریداری و براساس دارایی های اون، شرکت Memento Labs رو تاسیس کرد. چهار سال بعد، در کنفرانس ISS World Middle East and Africa، این شرکت از جاسوس افزار جدیدش با نام Dante رونمایی کرد، هرچند جزئیات فنی اون فاش نشد.
حمله اینجوری بوده که یک ایمیل فیشینگ مثلا دعوت به کنفرانس Primakov Readings ارسال میکردن که حاوی یک لینک مخرب بود. قربانی وقتی لینک رو باز میکرد، اسکریپتی که روی سرور بود، اول بررسی میکرد آیا قربانی مدنظر هستش یا نه.
اگه اوکی بود، از طریق CVE-2025-2783 سندباکس کروم رو دور میزد و یک لودر برای تزریق یک DLL نصب میکرد. این DLL، پیلود اصلی، LeetAgent رو رمزگشایی و اجرا میکرد، که یک جاسوس افزار ماژولار برای اجرای دستور، کار روی فایل، کیلاگر و سرقت داده هستش.
محققا گفتن که LeetAgent بدلیل استفاده از leetspeak، در دستورات خودش منحصر به فرد هستش و احتمال میدن که این بدافزار هم یک ابزار جاسوسی تجاری باشه.
منظور از leetspeak، استفاده از اعداد بجای حروف هستش، مثلا بجای leet مینویسن 1337 یا l33t. در این بدافزار مثلا برای اجرای دستور با CMD از 0xC033A4D استفاده میکردن.
استفاده از LeetAgent به حملاتی در سال ۲۰۲۲ علیه اهدافی در روسیه و بلاروس برمیگرده. در برخی از موارد، LeetAgent برای نصب Dante استفاده شده.
بدلیل شباهت کد Dante با بدافزار RCS شرکت Hacking Team، محققا با اطمینان بالایی این ابزارها رو به Memento Labs نسبت دادن.
بدافزار Dante یک جاسوسافزار ماژولار هستش که اجزای خودش رو از C2 میگیره. اگه ارتباط با سرور مهاجم برای چند روز برقرار نشه، بدافزار خودش و تمام آثار فعالیتش رو حذف میکنه.
محققا نتونستن ماژولهای این جاسوسافزار رو برای تحلیل بازیابی کنن، بنابراین ویژگیها و قابلیتهای دقیق Dante هنوز ناشناخته هستش.
گوگل آسیب پذیری CVE-2025-2783 رو در نسخه ی 134.0.6998.178 کروم و فایرفاکس آسیب پذیری CVE-2025-2857 که مشابه آسیب پذیری کروم بود رو در نسخه ی 136.0.4، موزیلا اصلاح کرده.
#کروم #فایرفاکس #گوگل #موزیلا #فیشینگ
#Firefox #chrome #Google #Mozilla #OperationForumTroll #Dante #HackingTeam #MementoLabs #LeetAgent #Phishing
🆔 @onhex_ir
➡️ ALL Link
Securelist
Mem3nt0 mori – The Hacking Team is back!
Kaspersky researchers discovered previously unidentified commercial Dante spyware developed by Memento Labs (formerly Hacking Team) and linked it to the ForumTroll APT attacks.
❤6
🔴 گروه هکری Cyber Toufan که احتمالا وابسته به ایران هستش، اخیرا تصاویری از دوربینهای امنیتی شرکت دفاعی Maya رو منتشر کرده که به نظر میرسه این دوربینها در اتاق جلسات و کارگاه این شرکت نصب شده بودن.
در این ویدیوها ساعتها گفتگوی محرمانه از جلسات کاری این شرکت قابل مشاهده هستش.
در تصاویر، کارکنان در حال کار بر روی نمونههای اولیه یا مدلهایی از پهپادها، موشکها و سیستم های ردیابی دیده میشن.
همچنین تصاویری از کار بر روی نمونهای از سامانه David’s Sling (فلاخن داوود) دیده میشه که بطور مشترک توسط شرکت دفاعی اسرائیلی Rafael Advanced Defense Systems و شرکت آمریکایی Raytheon توسعه یافته و از سال ۲۰۱۷ عملیاتی شده. هدفش، رهگیری هواپیماهای دشمن، پهپادها و ... هستش.
شرکت Maya علاوه بر حوزه دفاعی در زمینه هایی مانند طراحی صنعتی، مهندسی سیستم و مکانیک هم فعالیت میکنه.
گروه هکری Cyber Toufan همچنین مدعی شده که به شرکتهای دفاعی Elbit و Rafael و سایر شرکتها از طریق یک سرور FTP هم دسترسی پیدا کرده /منبع
#ایران #اسرائیل #اخبار_سایبری_جنگ_ایران_اسرائیل
🆔 @onhex_ir
➡️ ALL Link
در این ویدیوها ساعتها گفتگوی محرمانه از جلسات کاری این شرکت قابل مشاهده هستش.
در تصاویر، کارکنان در حال کار بر روی نمونههای اولیه یا مدلهایی از پهپادها، موشکها و سیستم های ردیابی دیده میشن.
همچنین تصاویری از کار بر روی نمونهای از سامانه David’s Sling (فلاخن داوود) دیده میشه که بطور مشترک توسط شرکت دفاعی اسرائیلی Rafael Advanced Defense Systems و شرکت آمریکایی Raytheon توسعه یافته و از سال ۲۰۱۷ عملیاتی شده. هدفش، رهگیری هواپیماهای دشمن، پهپادها و ... هستش.
شرکت Maya علاوه بر حوزه دفاعی در زمینه هایی مانند طراحی صنعتی، مهندسی سیستم و مکانیک هم فعالیت میکنه.
گروه هکری Cyber Toufan همچنین مدعی شده که به شرکتهای دفاعی Elbit و Rafael و سایر شرکتها از طریق یک سرور FTP هم دسترسی پیدا کرده /منبع
#ایران #اسرائیل #اخبار_سایبری_جنگ_ایران_اسرائیل
🆔 @onhex_ir
➡️ ALL Link
❤17
🔴 بعد از جنگ تحمیلی 12 روزه و بعد از حملات سایبری از هر دو طرف، امنیت سایبری اهمیت زیادی پیدا کرده بطوریکه هفته پیش، ایران طرح افق سایبری امن رو استارت زده و اسرائیل شهرک سایبری در دیمونا رو.
🟢 افق سایبری امن:
این طرح با هدف ظرفیت سازی و توسعه علوم و فناوری امنیت سایبری از طریق ایجاد هسته های تخصصی در گستره ملی با حضور معاون علمی، فناوری و اقتصاد دانشبنیان رئیسجمهور، حسین افشین، شروع شده. ایشون این طرح رو به این شکل معرفی کرده:
در حال حاضر ۱۱ هسته اصلی با همکاری بیش از ۳۰ دانشگاه، انجمن و مرکز پژوهشی در اجرای این طرح مشارکت دارن. در مجموع، حدود ۴۱ مرکز دانشگاهی و پژوهشی درگیر اجرای طرح ملی افق سایبری امن خواهند بود.
نظام آموزشی کشور باید به سمت آموزشهای میدانی حرکت کنه تا فارغالتحصیلان مهارتهای واقعی مورد نیاز بازار رو کسب کنن. آزمایشگاهها و مراکز عملیاتی باید تقویت بشن تا آموزش از فضای نظری فاصله بگیره.
پنج دانشگاه مادر کشور در اولویت حمایتهای ویژه قرار دارن و دانشجویان دکتری حوزه امنیت سایبری دوبرابر سایر رشتهها (پرداخت ۴۰۰ میلیون تومان) از حمایت برخوردار خواهند شد. مراکز فعال در این حوزه باید با تشکیل هستههای فکری، به توسعه ایدهها و محصولات فناورانه کمک کنن.
شناسایی نیازهای کشور، صدور شناسنامه برای محصولات امنیتی و توسعه الگوریتمهای بومی از جمله محورهای این برنامه خواهد بود.
باید سازوکارهایی طراحی بشه تا شرکتها بتونن در بازار امنیت سایبری حضور مؤثر داشته باشن. با برگزاری رویدادهای تخصصی و مسابقات جذاب، نشاط و انگیزه رو در میان فعالان این حوزه افزایش میدن.
استانداردسازی در حوزه امنیت سایبری یکی از الزامات اصلی توسعه است. باید فرایندهای اداری و فنی سادهسازی بشه تا شرکتها بتونن سریعتر به مرحله اجرا و بهرهبرداری برسن، درعین حال که اصول امنیت و کیفیت حفظ بشه.
باید بدونیم جهان به کدام سمت در حرکت هستش و بر اساس اون، مسیر پنجساله و دهساله خود مون رو ترسیم کنیم تا بتونیم در عرصه بینالمللی جایگاه شایستهای بدست بیاریم.
خروجی طرح: ضمن شبکه سازی در حوزه امنیت سایبری، طی ۲ سال، ۱۰ هزار نیروی تخصصی در حوزه امنیت سایبری تربیت و از تولید، تجاریسازی و دانشبنیان شدن ۵۰ محصول فناورانه حمایت میکنن./منبع
🟢 شهرک سایبری در دیمونا:
در اسرائیل طرح ایجاد شهرک سایبری در دیمونا تصویب شده. البته این طرح فقط برای امنیت سایبری نیست و شامل حوزه های مختلف سایبری میشه.
طرح در مرکز شهر دیمونا و در محوطهای با عنوان پردیس سایبری دیمونا با مساحت 18 هکتار، قرار داره. بر اساس طرح، یک پردیس آکادمیک ۸ طبقهای برای آموزش رشتههای سایبری ساخته میشه، در کنار اون، سه برج مسکونی ۱۵ طبقهای با مجموع ۱۵۰ واحد مسکونی روی بخش تجاری احداث میشه و خوابگاههای دانشجویی ۸ طبقهای شامل ۱۸۰ اتاق، پارک شهری، ورزشگاه برای رویدادهای فرهنگی و ورزشی و ساختمانهای دولتی در کنار اونا ساخته میشه.
هدف این طرح، ایجاد پیوند میان مدارس موجود و پردیس آکادمیک هستش تا همکاری و ارتباط متقابل میان مؤسسات آموزشی مختلف و همچنین میان اونا و پارک فناوری پیشرفته بئرشبع (Be’er Sheva Hi-Tech Park)، جایی که در آینده فارغالتحصیلان پردیس سایبری دیمونا بکار گرفته خواهند شد، برقرار بشه.
از دیدگاه منطقهای، تأسیس پردیس آکادمیک سایبری در دیمونا تکمیلکننده پارک فناوری بئرشبع هستش که چند سال پیش راهاندازی شد. دیمونا آموزش مرتبط با صنعت سایبری رو فراهم میکنه، و فارغالتحصیلان میتونن در اون پارک فناوری شاغل بشن./منبع
#ایران #اسرائیل #اخبار_سایبری_جنگ_ایران_اسرائیل
🆔 @onhex_ir
➡️ ALL Link
🟢 افق سایبری امن:
این طرح با هدف ظرفیت سازی و توسعه علوم و فناوری امنیت سایبری از طریق ایجاد هسته های تخصصی در گستره ملی با حضور معاون علمی، فناوری و اقتصاد دانشبنیان رئیسجمهور، حسین افشین، شروع شده. ایشون این طرح رو به این شکل معرفی کرده:
در حال حاضر ۱۱ هسته اصلی با همکاری بیش از ۳۰ دانشگاه، انجمن و مرکز پژوهشی در اجرای این طرح مشارکت دارن. در مجموع، حدود ۴۱ مرکز دانشگاهی و پژوهشی درگیر اجرای طرح ملی افق سایبری امن خواهند بود.
نظام آموزشی کشور باید به سمت آموزشهای میدانی حرکت کنه تا فارغالتحصیلان مهارتهای واقعی مورد نیاز بازار رو کسب کنن. آزمایشگاهها و مراکز عملیاتی باید تقویت بشن تا آموزش از فضای نظری فاصله بگیره.
پنج دانشگاه مادر کشور در اولویت حمایتهای ویژه قرار دارن و دانشجویان دکتری حوزه امنیت سایبری دوبرابر سایر رشتهها (پرداخت ۴۰۰ میلیون تومان) از حمایت برخوردار خواهند شد. مراکز فعال در این حوزه باید با تشکیل هستههای فکری، به توسعه ایدهها و محصولات فناورانه کمک کنن.
شناسایی نیازهای کشور، صدور شناسنامه برای محصولات امنیتی و توسعه الگوریتمهای بومی از جمله محورهای این برنامه خواهد بود.
باید سازوکارهایی طراحی بشه تا شرکتها بتونن در بازار امنیت سایبری حضور مؤثر داشته باشن. با برگزاری رویدادهای تخصصی و مسابقات جذاب، نشاط و انگیزه رو در میان فعالان این حوزه افزایش میدن.
استانداردسازی در حوزه امنیت سایبری یکی از الزامات اصلی توسعه است. باید فرایندهای اداری و فنی سادهسازی بشه تا شرکتها بتونن سریعتر به مرحله اجرا و بهرهبرداری برسن، درعین حال که اصول امنیت و کیفیت حفظ بشه.
باید بدونیم جهان به کدام سمت در حرکت هستش و بر اساس اون، مسیر پنجساله و دهساله خود مون رو ترسیم کنیم تا بتونیم در عرصه بینالمللی جایگاه شایستهای بدست بیاریم.
خروجی طرح: ضمن شبکه سازی در حوزه امنیت سایبری، طی ۲ سال، ۱۰ هزار نیروی تخصصی در حوزه امنیت سایبری تربیت و از تولید، تجاریسازی و دانشبنیان شدن ۵۰ محصول فناورانه حمایت میکنن./منبع
🟢 شهرک سایبری در دیمونا:
در اسرائیل طرح ایجاد شهرک سایبری در دیمونا تصویب شده. البته این طرح فقط برای امنیت سایبری نیست و شامل حوزه های مختلف سایبری میشه.
طرح در مرکز شهر دیمونا و در محوطهای با عنوان پردیس سایبری دیمونا با مساحت 18 هکتار، قرار داره. بر اساس طرح، یک پردیس آکادمیک ۸ طبقهای برای آموزش رشتههای سایبری ساخته میشه، در کنار اون، سه برج مسکونی ۱۵ طبقهای با مجموع ۱۵۰ واحد مسکونی روی بخش تجاری احداث میشه و خوابگاههای دانشجویی ۸ طبقهای شامل ۱۸۰ اتاق، پارک شهری، ورزشگاه برای رویدادهای فرهنگی و ورزشی و ساختمانهای دولتی در کنار اونا ساخته میشه.
هدف این طرح، ایجاد پیوند میان مدارس موجود و پردیس آکادمیک هستش تا همکاری و ارتباط متقابل میان مؤسسات آموزشی مختلف و همچنین میان اونا و پارک فناوری پیشرفته بئرشبع (Be’er Sheva Hi-Tech Park)، جایی که در آینده فارغالتحصیلان پردیس سایبری دیمونا بکار گرفته خواهند شد، برقرار بشه.
از دیدگاه منطقهای، تأسیس پردیس آکادمیک سایبری در دیمونا تکمیلکننده پارک فناوری بئرشبع هستش که چند سال پیش راهاندازی شد. دیمونا آموزش مرتبط با صنعت سایبری رو فراهم میکنه، و فارغالتحصیلان میتونن در اون پارک فناوری شاغل بشن./منبع
#ایران #اسرائیل #اخبار_سایبری_جنگ_ایران_اسرائیل
🆔 @onhex_ir
➡️ ALL Link
Fars
fars | طرح ملی «افق سایبری امن» کلید خورد
طرح ملی «افق سایبری امن» باهدف ظرفیتسازی و توسعه علوم و فناوری امنیت سایبری از طریق ایجاد هستههای تخصصی در گستره ملی با حضور معاون علمی، فناوری و اقتصاد دانشبنیان رئیسجمهور آغاز شد.
❤9
OnHex
🔴 عنوان برنامه ی Off By One Security این هفته: "Vulnerability Discovery in Windows Bloatware" هستش. مهمان برنامه: _leon_jacobs این برنامه ساعت 30 : 11 به وقت ایران از طریق توییتر و یوتیوب قابل دسترس هستش و ضبط هم میشه. منظور از Bloatware برنامه های اضافی…
🔴 عنوان برنامه ی Off By One Security این هفته: "ReVault! Compromised by your Secure SoC" هستش.
مهمان برنامه: Philippe Laulheret
این برنامه ساعت 30 : 21 به وقت ایران از طریق توییتر و یوتیوب قابل دسترس هستش و ضبط هم میشه.
مکانیسم امنیتی ControlVault یک راه حل امنیتی مبتنی بر سختافزار هستش که توسط Broadcom ساخته شده و در لپ تاپهای DELL مورد استفاده قرار میگیره. کارش این هستش که پسوردها، دادههای بیومتریک و کدهای امنیتی رو داخل فریمور یک برد جانبی و اختصاصی ذخیره میکنه که به اون Unified Security Hub (USH) میگن. اینجوری اگه سیستم هک و آلوده بشه، مهاجم دسترسی مستقیم به این داده های حساس نداره.
محققای Cisco Talos اومدن ControlVault3 رو بررسی کردن و تونستن 5 آسیب پذیری در فریمور و APIهای ویندوزی مرتبط با اون، در سری لپ تاپهای تجاری Latitude و Precision دل کشف کنن که بهشون ReVault میگن.
از طریق زنجیر کردن آسیب پذیری های ReVault، مهاجم میتونه روی فریمور کد دلخواه اجرا کنه، روی سیستم بدافزار نصب کنه که حتی با نصب مجدد ویندوز هم از بین نمیره. همچنین با دسترسی فیزیکی به سیستم، میتونن بدون دونستن پسورد ویندوز، فرایند لاگین رو دور بزنن و وارد سیستم بشن و حتی به کاربر Administrator، افزایش امتیاز بدن.
در متن SoC، منظور System-on-Chip هستش یعنی بجای اینکه CPU، حافظه، کنترلرها و ماژولهای جانبی جدا باشن، همشون روی یک تراشهی واحد ترکیب میشن که بهشون SoC میگن.
#آسیب_پذیری_امنیتی
#ReVault #ControlVault3
🆔 @onhex_ir
➡️ ALL Link
مهمان برنامه: Philippe Laulheret
این برنامه ساعت 30 : 21 به وقت ایران از طریق توییتر و یوتیوب قابل دسترس هستش و ضبط هم میشه.
مکانیسم امنیتی ControlVault یک راه حل امنیتی مبتنی بر سختافزار هستش که توسط Broadcom ساخته شده و در لپ تاپهای DELL مورد استفاده قرار میگیره. کارش این هستش که پسوردها، دادههای بیومتریک و کدهای امنیتی رو داخل فریمور یک برد جانبی و اختصاصی ذخیره میکنه که به اون Unified Security Hub (USH) میگن. اینجوری اگه سیستم هک و آلوده بشه، مهاجم دسترسی مستقیم به این داده های حساس نداره.
محققای Cisco Talos اومدن ControlVault3 رو بررسی کردن و تونستن 5 آسیب پذیری در فریمور و APIهای ویندوزی مرتبط با اون، در سری لپ تاپهای تجاری Latitude و Precision دل کشف کنن که بهشون ReVault میگن.
از طریق زنجیر کردن آسیب پذیری های ReVault، مهاجم میتونه روی فریمور کد دلخواه اجرا کنه، روی سیستم بدافزار نصب کنه که حتی با نصب مجدد ویندوز هم از بین نمیره. همچنین با دسترسی فیزیکی به سیستم، میتونن بدون دونستن پسورد ویندوز، فرایند لاگین رو دور بزنن و وارد سیستم بشن و حتی به کاربر Administrator، افزایش امتیاز بدن.
در متن SoC، منظور System-on-Chip هستش یعنی بجای اینکه CPU، حافظه، کنترلرها و ماژولهای جانبی جدا باشن، همشون روی یک تراشهی واحد ترکیب میشن که بهشون SoC میگن.
#آسیب_پذیری_امنیتی
#ReVault #ControlVault3
🆔 @onhex_ir
➡️ ALL Link
X (formerly Twitter)
PL 🤘🦇🤘 (@phLaul) on X
Infosec, creative coding and other geekism. he/him. (shit) posting my own and do not represent any one else ✨
🦛:@phLaul@infosec.exchange
🦋: https://t.co/Udn5ikz2DA
🦛:@phLaul@infosec.exchange
🦋: https://t.co/Udn5ikz2DA
❤5
OnHex
🔴 نگاهی به مسابقه پلاگین نویسی Hex-Rays IDA 2024 در این پست نگاهی به نتایج مسابقه ی پلاگین نویسی Hex-Rays IDA 2024 انداختیم و در ادامه 20 پلاگین ارسالی به این مسابقه رو معرفی و بررسی کردیم. #مهندسی_معکوس #اسمبلی #ReverseEngineering #IDApro #HexRays #…
🔴 مسابقه پلاگین نویسی 2025 IDA
شرکت Hex-Rays به روال هر سال، قصد داره امسال هم مسابقه پلاگین نویسی IDA رو برگزار کنه و به پلاگینهای خلاقانه و مفید، جایزه بده. در این پست نگاهی به شرایط و نحوه ی شرکت و جوایز این مسابقه انداختیم.
#مهندسی_معکوس
#ReverseEngineering #IDApro #HexRays #IDAPluginContest
🆔 @onhex_ir
➡️ ALL Link
شرکت Hex-Rays به روال هر سال، قصد داره امسال هم مسابقه پلاگین نویسی IDA رو برگزار کنه و به پلاگینهای خلاقانه و مفید، جایزه بده. در این پست نگاهی به شرایط و نحوه ی شرکت و جوایز این مسابقه انداختیم.
#مهندسی_معکوس
#ReverseEngineering #IDApro #HexRays #IDAPluginContest
🆔 @onhex_ir
➡️ ALL Link
❤7
🔴 یکی از کاربرای انجمن GrapheneOS با نام rogueFed در ماه اکتبر، تماسی با Microsoft Teams شرکت Cellebrite برقرار کرده و تصویری از قابلیت های این شرکت در زمینه ی هک گوشی های Google Pixel منتشر کرده.
شرکت Cellebrite، در زمینه ی هک تلفن های همراه فعال هستش و بصورت مداوم به دنبال یافتن روشهایی برای باز کردن قفل گوشیهایی هستش که مجریان قانون به اونا دسترسی فیزیکی دارن.
ایشون نوشته: میتونین باهاشون جلسهی Teams بگیرید. همهچیز رو میگن. هنوز نمی تونن eSIM رو از Pixel استخراج کنن. هرچی خواستین بپرسین.
در ادامه دو تا اسکرین شات منتشر کرده که یکیش Cellebrite Support Matrix هستش، سندی که نشان میده فناوری شرکت در چه شرایطی میتونه یا نمیتونه قفل برخی گوشیها رو باز کنه. تصویر دوم هم نمایی از یکی از کارمندان Cellebrite هستش.
طبق سند Support Matrix، فعلا روی Pixel 9 تمرکز دارن و Pixel 10، جدیدترین گوشی گوگل، تحت تاثیر نیست. این سند قابلیتهای BFU و AFU شرکت Cellebrite رو مشخص میکنه:
قابلیت BFU (Before First Unlock): دستگاه تازه روشن یا ریبوت شده و از زمان روشن شدن تاکنون هرگز با رمز/PIN/اثر انگشت باز نشده، در نتیجه بسیاری از کلیدهای رمزنگاری هنوز وارد حافظه نشدن و بخش اعظم دادهها دسترس ناپذیر باقی موندن.
قابلیت AFU (After First Unlock): دستگاه حداقل یکبار پس از روشن شدن باز شده، در این حالت کلیدهای رمزنگاری لازم برای دسترسی به دادهها معمولا در حافظهی رم قرار میگیرن و سطح حمله بسیار بیشتر میشه.
اسکرین شات منتشر شده همچنین تفاوتهایی رو بین توانایی Cellebrite در نفوذ به گوشیهای Pixel با سیستم عامل اصلی اندروید و نسخهی GrapheneOS نشان میده. مثلا، Cellebrite میتونه به دستگاههای Pixel 9 در حالت BFU نفوذ کنه، اما طبق تصویر، نمیتونه دستگاههایی با GrapheneOS رو در همان حالت باز کنه.
آقای Victor Cooper، مدیر ارشد ارتباطات سازمانی و استراتژی محتوای Cellebrite گفته: ما جزئیات دقیق قابلیتهای فناوری خودمون رو فاش یا منتشر نمی کنیم. این موضوع بخشی از راهبرد امنیتی ماست، چون افشای این جزئیات ممکنِ مزیت ناخواستهای به مجرمان یا بازیگران تهدید بده.
پروژهی GrapheneOS سالهاست که در حال توسعه هستش و تغییرات امنیتی عمیقی رو در اندروید اعمال میکنه. این پروژه بجای افزودن ویژگیهای ناامن یا ظاهری، امنیت و حریم خصوصی رو درون سیستم عامل فراهم میکنه و از افزودن برنامه های بیفایده یا انتخابهای سلیقهای شخص ثالث، خودداری میکنه.
با این حال، علاوه بر کاربران علاقمند به امنیت و حریم خصوصی، برخی مجرمان هم از GrapheneOS استفاده میکنن. بعد از آنکه FBI بطور مخفیانه شرکت تلفن رمزگذاری شدهای برای مجرمان راهاندازی کرد، که در واقع دارای بکدور بود، برخی قاچاقچیان مواد و فروشندگان ابزارهای زیرزمینی به استفاده از گوشیهای GrapheneOS با نرمافزار Signal روی آوردن.
کاربر rogueFed در پست خود نوشته که جلسهی مذکور بطور خاص بر روی توانایی Cellebrite برای دور زدن GrapheneOS متمرکز بوده. اطلاعات جدیدتر هم در راه است./ منبع
#گوگل #اندروید
#Google #GrapheneOS #Android #Cellebrite
🆔 @onhex_ir
➡️ ALL Link
شرکت Cellebrite، در زمینه ی هک تلفن های همراه فعال هستش و بصورت مداوم به دنبال یافتن روشهایی برای باز کردن قفل گوشیهایی هستش که مجریان قانون به اونا دسترسی فیزیکی دارن.
ایشون نوشته: میتونین باهاشون جلسهی Teams بگیرید. همهچیز رو میگن. هنوز نمی تونن eSIM رو از Pixel استخراج کنن. هرچی خواستین بپرسین.
در ادامه دو تا اسکرین شات منتشر کرده که یکیش Cellebrite Support Matrix هستش، سندی که نشان میده فناوری شرکت در چه شرایطی میتونه یا نمیتونه قفل برخی گوشیها رو باز کنه. تصویر دوم هم نمایی از یکی از کارمندان Cellebrite هستش.
طبق سند Support Matrix، فعلا روی Pixel 9 تمرکز دارن و Pixel 10، جدیدترین گوشی گوگل، تحت تاثیر نیست. این سند قابلیتهای BFU و AFU شرکت Cellebrite رو مشخص میکنه:
قابلیت BFU (Before First Unlock): دستگاه تازه روشن یا ریبوت شده و از زمان روشن شدن تاکنون هرگز با رمز/PIN/اثر انگشت باز نشده، در نتیجه بسیاری از کلیدهای رمزنگاری هنوز وارد حافظه نشدن و بخش اعظم دادهها دسترس ناپذیر باقی موندن.
قابلیت AFU (After First Unlock): دستگاه حداقل یکبار پس از روشن شدن باز شده، در این حالت کلیدهای رمزنگاری لازم برای دسترسی به دادهها معمولا در حافظهی رم قرار میگیرن و سطح حمله بسیار بیشتر میشه.
اسکرین شات منتشر شده همچنین تفاوتهایی رو بین توانایی Cellebrite در نفوذ به گوشیهای Pixel با سیستم عامل اصلی اندروید و نسخهی GrapheneOS نشان میده. مثلا، Cellebrite میتونه به دستگاههای Pixel 9 در حالت BFU نفوذ کنه، اما طبق تصویر، نمیتونه دستگاههایی با GrapheneOS رو در همان حالت باز کنه.
آقای Victor Cooper، مدیر ارشد ارتباطات سازمانی و استراتژی محتوای Cellebrite گفته: ما جزئیات دقیق قابلیتهای فناوری خودمون رو فاش یا منتشر نمی کنیم. این موضوع بخشی از راهبرد امنیتی ماست، چون افشای این جزئیات ممکنِ مزیت ناخواستهای به مجرمان یا بازیگران تهدید بده.
پروژهی GrapheneOS سالهاست که در حال توسعه هستش و تغییرات امنیتی عمیقی رو در اندروید اعمال میکنه. این پروژه بجای افزودن ویژگیهای ناامن یا ظاهری، امنیت و حریم خصوصی رو درون سیستم عامل فراهم میکنه و از افزودن برنامه های بیفایده یا انتخابهای سلیقهای شخص ثالث، خودداری میکنه.
با این حال، علاوه بر کاربران علاقمند به امنیت و حریم خصوصی، برخی مجرمان هم از GrapheneOS استفاده میکنن. بعد از آنکه FBI بطور مخفیانه شرکت تلفن رمزگذاری شدهای برای مجرمان راهاندازی کرد، که در واقع دارای بکدور بود، برخی قاچاقچیان مواد و فروشندگان ابزارهای زیرزمینی به استفاده از گوشیهای GrapheneOS با نرمافزار Signal روی آوردن.
کاربر rogueFed در پست خود نوشته که جلسهی مذکور بطور خاص بر روی توانایی Cellebrite برای دور زدن GrapheneOS متمرکز بوده. اطلاعات جدیدتر هم در راه است./ منبع
#گوگل #اندروید
#Google #GrapheneOS #Android #Cellebrite
🆔 @onhex_ir
➡️ ALL Link
❤3
OnHex
🔴 ارتش اسرائیل، ورود خودروهای چینی به پایگاههای نظامی رو ممنوع اعلام کرد. خودروهای امروزی، صرف نظر از اینکه سازنده اشون چه شرکتی هستش، دارای مجموعه ای از حسگرها، دوربین ها، میکروفن و ... هستن. مثلا برای کمک به پارک خودرو، دوربین هایی در اطراف خودرو نصب میشه…
🔴 آیا خودروهای چینی CHERY تهدید امنیتی هستن؟
ارتش اسرائیل (به دستور رئیس ستاد کل) شروع به جمع آوری خودروهای ساخت چین از افسران خود کرده. این تصمیم پس از آن اتخاذ شد که نهادهای امنیتی هشدار دادن ممکن است از طریق سامانههای این خودروها اطلاعات حساس یا نظامی به بیرون درز کنه یا برای جاسوسی استفاده بشه.
به گفته منابع امنیتی، در برخی از این خودروها سیستمهایی وجود داره که شامل دوربین، میکروفون، حسگرها و فناوریهای ارتباطی هستن که ممکنِ اطلاعات رو به سرورهای خارجی ارسال کنن.
پیش از این نیز ورود خودروهای چینی به پایگاههای نظامی ممنوع شده بود، اما این اقدام مرحلهای تازه از همان سیاست محدودکننده محسوب میشه.
در مرحله نخست، خودروها از افسرانی گرفته میشن که در پستهای حساس یا طبقه بندی شده فعالیت دارن، یا به اطلاعات امنیتی محرمانه دسترسی دارن. در مراحل بعدی، این طرح تا پایان سه ماهه ی اول سال ۲۰۲۶ شامل تمام افسران خواهد شد.
برآورد میشه حدود ۷۰۰ خودرو که اغلب اونا از مدل CHERY هستن، جمع آوری بشن. این خودروها عمدتا به افسران دارای خانواده های پرجمعیت داده شده بودن، چون 7 نفره هستن.
گفته میشه تصمیم ارتش اسرائیل بخشی از روند جهانی هستش. کشورهایی مانند آمریکا و بریتانیا هم استفاده از خودروهای چینی رو در مناطق حساس امنیتی ممنوع کردن.
یکی از منابع مطلع افزود که این تصمیم همچنین به روابط امنیتی اسرائیل با آمریکا و درگیری اقتصادی میان واشنگتن و پکن مربوط هستش./منبع
#اسرائیل #امنیت_سایبری #چین
🆔 @onhex_ir
➡️ ALL Link
ارتش اسرائیل (به دستور رئیس ستاد کل) شروع به جمع آوری خودروهای ساخت چین از افسران خود کرده. این تصمیم پس از آن اتخاذ شد که نهادهای امنیتی هشدار دادن ممکن است از طریق سامانههای این خودروها اطلاعات حساس یا نظامی به بیرون درز کنه یا برای جاسوسی استفاده بشه.
به گفته منابع امنیتی، در برخی از این خودروها سیستمهایی وجود داره که شامل دوربین، میکروفون، حسگرها و فناوریهای ارتباطی هستن که ممکنِ اطلاعات رو به سرورهای خارجی ارسال کنن.
پیش از این نیز ورود خودروهای چینی به پایگاههای نظامی ممنوع شده بود، اما این اقدام مرحلهای تازه از همان سیاست محدودکننده محسوب میشه.
در مرحله نخست، خودروها از افسرانی گرفته میشن که در پستهای حساس یا طبقه بندی شده فعالیت دارن، یا به اطلاعات امنیتی محرمانه دسترسی دارن. در مراحل بعدی، این طرح تا پایان سه ماهه ی اول سال ۲۰۲۶ شامل تمام افسران خواهد شد.
برآورد میشه حدود ۷۰۰ خودرو که اغلب اونا از مدل CHERY هستن، جمع آوری بشن. این خودروها عمدتا به افسران دارای خانواده های پرجمعیت داده شده بودن، چون 7 نفره هستن.
گفته میشه تصمیم ارتش اسرائیل بخشی از روند جهانی هستش. کشورهایی مانند آمریکا و بریتانیا هم استفاده از خودروهای چینی رو در مناطق حساس امنیتی ممنوع کردن.
یکی از منابع مطلع افزود که این تصمیم همچنین به روابط امنیتی اسرائیل با آمریکا و درگیری اقتصادی میان واشنگتن و پکن مربوط هستش./منبع
#اسرائیل #امنیت_سایبری #چین
🆔 @onhex_ir
➡️ ALL Link
www.israelhayom.co.il
רכב CHERY - איום ביטחוני? צה"ל החל באיסוף רכבים סיניים | ישראל היום
מערכות הביטחון קבעו: קיים חשש ממשי לדליפת מידע באמצעות מערכות הרכב • גורמים ביטחוניים מסבירים כי ברכבים סיניים מסוימים קיימות מערכות הכוללות מצלמות, מיקרופונים, חיישנים וטכנולוגיות קישוריות • הן מעבירות מידע לשרתים חיצוניים - לעיתים ללא שליטה של המשתמש או…
❤7
OnHex
🔴 گوگل اخیرا گزارش هایی در خصوص فعالیت دو گروه از بازیگران تهدید با نامهای UNC5142 و UNC5342 منتشر کرده، که از تکنیک جدیدی بنام EtherHiding برای توزیع بدافزار استفاده کردن. در این تکنیک از قابلیتهای بلاکچین سوء استفاده میشه. هر دو گزارش رو در سایت قرار دادم…
🔴 پیاده سازی تکنیک Etherhiding
گوگل اخیرا گزارش هایی در خصوص یک تکنیک جدید بنام Etherhiding منتشر کرده و در اون توضیح داده که چطوری بازیگران تهدید UNC5142 و UNC5342 با استفاده از Etherhiding، از قابلیتهای بلاکچین، برای توزیع بدافزار استفاده میکنن.
در این پست، برای آشنایی عملی با این تکنیک، میخواییم یک دمو ساده از Etherhiding، رو پیاده سازی کنیم. هدف از این پیاده سازی، کمک به محققین امنیت سایبری برای درک نحوه ی کار این تکنیک و شناسایی ساده تر اون در شبکه ها هستش.
#قراردادهوشمند #بلاکچین #ارز_دیجیتال
#EtherHiding #UNC5342 #UNC5142 #SmartContract #Blockchain
🆔 @onhex_ir
➡️ ALL Link
گوگل اخیرا گزارش هایی در خصوص یک تکنیک جدید بنام Etherhiding منتشر کرده و در اون توضیح داده که چطوری بازیگران تهدید UNC5142 و UNC5342 با استفاده از Etherhiding، از قابلیتهای بلاکچین، برای توزیع بدافزار استفاده میکنن.
در این پست، برای آشنایی عملی با این تکنیک، میخواییم یک دمو ساده از Etherhiding، رو پیاده سازی کنیم. هدف از این پیاده سازی، کمک به محققین امنیت سایبری برای درک نحوه ی کار این تکنیک و شناسایی ساده تر اون در شبکه ها هستش.
#قراردادهوشمند #بلاکچین #ارز_دیجیتال
#EtherHiding #UNC5342 #UNC5142 #SmartContract #Blockchain
🆔 @onhex_ir
➡️ ALL Link
❤5
🔴 عشق، باج افزار، زندان
نشریه ی FT، مقاله ای در خصوص اپراتورهای باج افزار Cryakl منتشر کرده که چطوری با هم آشنا میشن، زوج میشن و پیشرفت میکنن و در نهایت دستگیر میشن. در این پست، نگاهی به این داستان عبرت آموز انداختیم.
#باج_افزار #داستان_هکرها
#Ransomware #Cryakl #Hackers_story
🆔 @onhex_ir
➡️ ALL Link
نشریه ی FT، مقاله ای در خصوص اپراتورهای باج افزار Cryakl منتشر کرده که چطوری با هم آشنا میشن، زوج میشن و پیشرفت میکنن و در نهایت دستگیر میشن. در این پست، نگاهی به این داستان عبرت آموز انداختیم.
#باج_افزار #داستان_هکرها
#Ransomware #Cryakl #Hackers_story
🆔 @onhex_ir
➡️ ALL Link
❤11
🔴 چند روز پیش گروه باج افزاری Akira ادعا کرده بود که تونسته به پروژه ی Apache OpenOffice نفوذ و 23 گیگ اطلاعات شامل اطلاعات کارکنان، اطلاعات مالی، فایل های طبقه بندی شده و باگهای گزارش شده مربوط به این پروژه رو بدزده.
بنیاد نرم افزاری آپاچی بعد از بررسی، گفته که تا الان هیچ درخواست باج دریافت نکرده و همچنین این داده هایی که این گروه مدعی شده، اصلا وجود ندارن.
پروژه ی Apache OpenOffice، یک پروژه ی متن باز و رایگان هستش که ابزارهایی مشابه Word و اکسل و پاورپوینت و دیتابیس رو بصورت رایگان در اختیار کاربران قرار میده.
بنیاد آپاچی گفته، با توجه به اینکه پروژه متن باز هستش، اصلا مشارکت کنندگان، کارمندان رسمی پروژه یا بنیاد نیستن و همچنین چون مسائل مربوط به باگ و درخواست ویژگی ها بصورت عمومی در دسترس هستن، بنابراین چنین داده هایی اصلا وجود ندارن که این گروه بدزده.
گروه باج افزاری Akira هم برای ادعای هکش، داده ای رو منتشر نکرده./منبع
#باج_افزار #بازیگران_تهدید
#Akira #OpenOffice #ApacheSoftwareFoundation
🆔 @onhex_ir
➡️ ALL Link
بنیاد نرم افزاری آپاچی بعد از بررسی، گفته که تا الان هیچ درخواست باج دریافت نکرده و همچنین این داده هایی که این گروه مدعی شده، اصلا وجود ندارن.
پروژه ی Apache OpenOffice، یک پروژه ی متن باز و رایگان هستش که ابزارهایی مشابه Word و اکسل و پاورپوینت و دیتابیس رو بصورت رایگان در اختیار کاربران قرار میده.
بنیاد آپاچی گفته، با توجه به اینکه پروژه متن باز هستش، اصلا مشارکت کنندگان، کارمندان رسمی پروژه یا بنیاد نیستن و همچنین چون مسائل مربوط به باگ و درخواست ویژگی ها بصورت عمومی در دسترس هستن، بنابراین چنین داده هایی اصلا وجود ندارن که این گروه بدزده.
گروه باج افزاری Akira هم برای ادعای هکش، داده ای رو منتشر نکرده./منبع
#باج_افزار #بازیگران_تهدید
#Akira #OpenOffice #ApacheSoftwareFoundation
🆔 @onhex_ir
➡️ ALL Link
BleepingComputer
Apache OpenOffice disputes data breach claims by ransomware gang
The Apache Software Foundation disputes claims that its OpenOffice project suffered an Akira ransomware attack, after the threat actors claimed to have stolen 23 GB of corporate documents.
❤8
🔴 محققای Bitdefender گزارشی منتشر کردن در خصوص سوء استفاده ی گروه هکری روسی Curly COMrades از قابلیت Microsoft Hyper-V برای دور زدن EDRها و اجرای بدافزار.
این گروه بعد از دسترسی اولیه، با دستوراتی، Hyper-V رو فعال و رابط مدیریتی اون رو غیرفعال میکنه.
مایکروسافت، Hyper-V رو بعنوان یک Hypervisor بومی در نسخههای Windows Pro، Enterprise و Windows Server ارائه میده که امکان اجرای ماشین مجازی رو با استفاده از قابلیتهای مجازیسازی سختافزاری فراهم میکنه.
بعد از فعالسازی، یک ماشین مجازی با سیستم عامل Alpine Linux بالا آوردن.
سیستم عامل Alpine Linux یک توزیع سبک، سریع و بسیار ایمن از لینوکس هستش که برای محیطهایی با محدودیت منابع و محیطهای امنیتی خاص طراحی شده.
این ماشین مجازی، 120 مگابایت حجم و تنها 256 مگابایت مموری مصرف میکرده و اسمش رو هم WSL گذاشتن تا با جعل ویژگی Windows Subsystem for Linux، بین پروسسها مخفی بشن.
داخل این ماشین مجازی لینوکسی ابزارهای زیر رو نصب میکردن:
- بدافزار CurlyShell: اجرای دستورات داخل VM، پرسیست از طریق cron job، اجرا بدون رابط کاربری و ارتباط با C2 از طریق HTTPS
- بدافزار CurlCat: ابزاری برای تونل سازی ترافیک که توسط CurlyShell فراخوانی میشه تا یک پراکسی SOCKS به اپراتور ایجاد کنه. این ابزار ترافیک SSH رو داخل درخواستهای HTTPS قرار میده تا در میان ترافیک عادی شبکه مخفی بشه.
با توجه به اینکه برخی از EDRها قابلیت بررسی ترافیک شبکه رو ندارن، بنابراین قرار دادن بدافزار داخل ماشین مجازی و ارسال ترافیک به C2 از داخل اون، باعث عدم شناسایی بدافزار میشه.
دو تا اسکریپت پاورشلی هم داشتن که از یکی برای تزریق تیکت Kerberos به پروسس LSASS استفاده میکردن که بتونن حرکت جانبی کنن و یکی رو هم از طریق ویژگی Group Policy مستقر میکردن که برای ایجاد یک اکانت کاربری محلی در تمامی سیستمهای یک دامنه استفاده میشد.
محققا گفتن اگرچه استفاده از ماشین مجازی تکنیک جدیدی نیست، اما سطح بالای مخفی کاری و OPSEC بالا در این حملات، نشان دهنده دقت بالای مهاجمین است. اونا از طریق رمز کردن پیلودها و سوء استفاده از قابلیتهای پاورشل، حداقل شواهد فارنزیکی رو داشتن.
توصیه شده سازمانها موارد زیر رو بررسی کنن:
- فعال سازی غیرعادی Hyper-V
- دسترسی مشکوک به LSASS
- اسکریپتهای پاورشل مستقر شده از طریق Group Policy که منجر به ایجاد یا بازنشانی اکانتهای محلی میشه.
#بازیگران_تهدید #پاورشل
#Bitdefender #CurlyCOMrades #HyperV #AlpineLinux #CurlyShell #CurlCat #Powershell
🆔 @onhex_ir
➡️ ALL Link
این گروه بعد از دسترسی اولیه، با دستوراتی، Hyper-V رو فعال و رابط مدیریتی اون رو غیرفعال میکنه.
مایکروسافت، Hyper-V رو بعنوان یک Hypervisor بومی در نسخههای Windows Pro، Enterprise و Windows Server ارائه میده که امکان اجرای ماشین مجازی رو با استفاده از قابلیتهای مجازیسازی سختافزاری فراهم میکنه.
بعد از فعالسازی، یک ماشین مجازی با سیستم عامل Alpine Linux بالا آوردن.
سیستم عامل Alpine Linux یک توزیع سبک، سریع و بسیار ایمن از لینوکس هستش که برای محیطهایی با محدودیت منابع و محیطهای امنیتی خاص طراحی شده.
این ماشین مجازی، 120 مگابایت حجم و تنها 256 مگابایت مموری مصرف میکرده و اسمش رو هم WSL گذاشتن تا با جعل ویژگی Windows Subsystem for Linux، بین پروسسها مخفی بشن.
داخل این ماشین مجازی لینوکسی ابزارهای زیر رو نصب میکردن:
- بدافزار CurlyShell: اجرای دستورات داخل VM، پرسیست از طریق cron job، اجرا بدون رابط کاربری و ارتباط با C2 از طریق HTTPS
- بدافزار CurlCat: ابزاری برای تونل سازی ترافیک که توسط CurlyShell فراخوانی میشه تا یک پراکسی SOCKS به اپراتور ایجاد کنه. این ابزار ترافیک SSH رو داخل درخواستهای HTTPS قرار میده تا در میان ترافیک عادی شبکه مخفی بشه.
با توجه به اینکه برخی از EDRها قابلیت بررسی ترافیک شبکه رو ندارن، بنابراین قرار دادن بدافزار داخل ماشین مجازی و ارسال ترافیک به C2 از داخل اون، باعث عدم شناسایی بدافزار میشه.
دو تا اسکریپت پاورشلی هم داشتن که از یکی برای تزریق تیکت Kerberos به پروسس LSASS استفاده میکردن که بتونن حرکت جانبی کنن و یکی رو هم از طریق ویژگی Group Policy مستقر میکردن که برای ایجاد یک اکانت کاربری محلی در تمامی سیستمهای یک دامنه استفاده میشد.
محققا گفتن اگرچه استفاده از ماشین مجازی تکنیک جدیدی نیست، اما سطح بالای مخفی کاری و OPSEC بالا در این حملات، نشان دهنده دقت بالای مهاجمین است. اونا از طریق رمز کردن پیلودها و سوء استفاده از قابلیتهای پاورشل، حداقل شواهد فارنزیکی رو داشتن.
توصیه شده سازمانها موارد زیر رو بررسی کنن:
- فعال سازی غیرعادی Hyper-V
- دسترسی مشکوک به LSASS
- اسکریپتهای پاورشل مستقر شده از طریق Group Policy که منجر به ایجاد یا بازنشانی اکانتهای محلی میشه.
#بازیگران_تهدید #پاورشل
#Bitdefender #CurlyCOMrades #HyperV #AlpineLinux #CurlyShell #CurlCat #Powershell
🆔 @onhex_ir
➡️ ALL Link
Bitdefender
Curly COMrades: Evasion and Persistence via Hidden Hyper-V Virtual Machines
Bitdefender reveals new tools and techniques used by the Curly COMrades threat actor, a group that establishes covert, long-term access to victim networks.
❤7
🔴 محققای Proofpoint گزارشی در خصوص فعالیتهای اخیر یک گروه هکری مرتبط با ایران بنام UNK_SmudgedSerpent منتشر کردن که بین ژوئن تا آگوست 2025، مجموعه حملاتی علیه دانشگاهیان و کارشناسان سیاست خارجی انجام دادن.
این گروه عمدتا از طعمه های سیاسی استفاده میکرده و TTPهاش با گروههای زیر همپوشانی داره:
- TA455 ( Smoke Sandstorm , UNC1549)
- TA453 ( Mint Sandstorm , Charming Kitten)
- TA450 ( MuddyWater , Mango Sandstorm)
ایمیلهای ارسالی نشانه هایی از حملات Charming Kitten داره، یعنی مهاجم در ابتدا یک گفتگوی بی ضرر با قربانی برقرار میکنه، وقتی اعتمادش رو بدست آورد از طریق حملات فیشینگ، اعتبارنامه هاش رو میدزده.
مهاجمان در برخی از ایمیلها هویت اشخاص برجسته ی سیاست خارجی آمریکا رو جعل کردن. افرادی که با اندیشکده هایی مانند Brookings Institution و Washington Institute در ارتباط هستن، تا حمله خودشون و احتمال موفقیتشون رو افزایش بدن.
قربانیان اصلی این کمپین بیش از ۲۰ کارشناس حوزه ی سیاست ایران در یک اندیشکده آمریکایی بودن.
پس از اعتماد اولیه، هکرها لینکی ارسال میکردن و مدعی میشدن که شامل اسنادی هستش که قراره در جلسه آینده بررسی بشه. اما با کلیک روی لینک، قربانی به صفحهای جعلی هدایت میشد که برای سرقت اعتبارنامه های اکانت مایکروسافت طراحی شده بود.
در نسخهای دیگه از زنجیره آلودگی، URL طراحی شده شبیه صفحه لاگین Microsoft Teams هستش که دکمهای با عنوان Join now داره. با این حال، مراحل بعد از کلیک روی این دکمه هنوز بطور کامل مشخص نشده.
محققا گزارش کردن که وقتی یکی از اهداف نسبت به اصالت لینکها ابراز تردید کرده، مهاجم صفحه سرقت رمزعبور رو تغییر داده و الزامی برای وارد کردن پسورد قرار نداده، بلکه قربانی رو مستقیما به صفحه جعلی OnlyOffice در دامنهای با مضمون سلامت با عنوان thebesthomehealth[.]com هدایت کرده.
ساهر نعمان، محقق Proofpoint گفته: ارجاع UNK_SmudgedSerpent به دامنه های OnlyOffice و موضوعات مرتبط با سلامت یادآور فعالیتهای TA455 هستش. این گروه از اکتبر ۲۰۲۴ شروع به ثبت دامنه های مرتبط با حوزه سلامت کرده بود و از ژوئن ۲۰۲۵ به میزبانی فایلها در OnlyOffice پرداخته.
مهاجم در سایت جعلی OnlyOffice یک فایل ZIP قرار داده که حاوی یک اینیستالر MSI هستش. اجرای این فایل موجب اجرای PDQ Connect میشه. سایر فایلهای موجود در ZIP به گفته Proofpoint صرفا طعمه بودن.
همچنین شواهدی وجود داره که نشان میده هکرها بعد از نصب PDQ Connect بصورت دستی اقدام به نصب ابزارهای RMM دیگه مانند ISL Online کردن، اما دلیل استفاده متوالی از دو ابزار RMM متفاوت هنوز مشخص نیست.
سایر ایمیلهای فیشینگ این گروه، یک استاد دانشگاه آمریکایی رو هدف گرفته تا در زمینه تحقیق درباره سپاه همکاری کنه. همچنین در اوایل آگوست ۲۰۲۵ ایمیلی دیگه ای ارسال شده که برای همکاری در پروژهای با عنوان "نقش فزاینده ایران در آمریکای لاتین و پیامدهای آن برای سیاست ایالات متحده" درخواست مشارکت کرده بود.
محققا اعلام کردن که این کمپین در راستای جمعآوری اطلاعات برای نهادهای اطلاعاتی ایران و متمرکز بر تحلیل سیاستهای غرب، پژوهشهای دانشگاهی و فناوریهای استراتژیک است. عملیات مذکور نشاندهنده ی همکاری فزاینده میان نهادهای اطلاعاتی ایران و واحدهای سایبری و تغییر در ساختار جاسوسی سایبری ایران است.
#ایران #بازیگران_تهدید
#APT #UNK_SmudgedSerpent
🆔 @onhex_ir
➡️ ALL Link
این گروه عمدتا از طعمه های سیاسی استفاده میکرده و TTPهاش با گروههای زیر همپوشانی داره:
- TA455 ( Smoke Sandstorm , UNC1549)
- TA453 ( Mint Sandstorm , Charming Kitten)
- TA450 ( MuddyWater , Mango Sandstorm)
ایمیلهای ارسالی نشانه هایی از حملات Charming Kitten داره، یعنی مهاجم در ابتدا یک گفتگوی بی ضرر با قربانی برقرار میکنه، وقتی اعتمادش رو بدست آورد از طریق حملات فیشینگ، اعتبارنامه هاش رو میدزده.
مهاجمان در برخی از ایمیلها هویت اشخاص برجسته ی سیاست خارجی آمریکا رو جعل کردن. افرادی که با اندیشکده هایی مانند Brookings Institution و Washington Institute در ارتباط هستن، تا حمله خودشون و احتمال موفقیتشون رو افزایش بدن.
قربانیان اصلی این کمپین بیش از ۲۰ کارشناس حوزه ی سیاست ایران در یک اندیشکده آمریکایی بودن.
پس از اعتماد اولیه، هکرها لینکی ارسال میکردن و مدعی میشدن که شامل اسنادی هستش که قراره در جلسه آینده بررسی بشه. اما با کلیک روی لینک، قربانی به صفحهای جعلی هدایت میشد که برای سرقت اعتبارنامه های اکانت مایکروسافت طراحی شده بود.
در نسخهای دیگه از زنجیره آلودگی، URL طراحی شده شبیه صفحه لاگین Microsoft Teams هستش که دکمهای با عنوان Join now داره. با این حال، مراحل بعد از کلیک روی این دکمه هنوز بطور کامل مشخص نشده.
محققا گزارش کردن که وقتی یکی از اهداف نسبت به اصالت لینکها ابراز تردید کرده، مهاجم صفحه سرقت رمزعبور رو تغییر داده و الزامی برای وارد کردن پسورد قرار نداده، بلکه قربانی رو مستقیما به صفحه جعلی OnlyOffice در دامنهای با مضمون سلامت با عنوان thebesthomehealth[.]com هدایت کرده.
ساهر نعمان، محقق Proofpoint گفته: ارجاع UNK_SmudgedSerpent به دامنه های OnlyOffice و موضوعات مرتبط با سلامت یادآور فعالیتهای TA455 هستش. این گروه از اکتبر ۲۰۲۴ شروع به ثبت دامنه های مرتبط با حوزه سلامت کرده بود و از ژوئن ۲۰۲۵ به میزبانی فایلها در OnlyOffice پرداخته.
مهاجم در سایت جعلی OnlyOffice یک فایل ZIP قرار داده که حاوی یک اینیستالر MSI هستش. اجرای این فایل موجب اجرای PDQ Connect میشه. سایر فایلهای موجود در ZIP به گفته Proofpoint صرفا طعمه بودن.
همچنین شواهدی وجود داره که نشان میده هکرها بعد از نصب PDQ Connect بصورت دستی اقدام به نصب ابزارهای RMM دیگه مانند ISL Online کردن، اما دلیل استفاده متوالی از دو ابزار RMM متفاوت هنوز مشخص نیست.
سایر ایمیلهای فیشینگ این گروه، یک استاد دانشگاه آمریکایی رو هدف گرفته تا در زمینه تحقیق درباره سپاه همکاری کنه. همچنین در اوایل آگوست ۲۰۲۵ ایمیلی دیگه ای ارسال شده که برای همکاری در پروژهای با عنوان "نقش فزاینده ایران در آمریکای لاتین و پیامدهای آن برای سیاست ایالات متحده" درخواست مشارکت کرده بود.
محققا اعلام کردن که این کمپین در راستای جمعآوری اطلاعات برای نهادهای اطلاعاتی ایران و متمرکز بر تحلیل سیاستهای غرب، پژوهشهای دانشگاهی و فناوریهای استراتژیک است. عملیات مذکور نشاندهنده ی همکاری فزاینده میان نهادهای اطلاعاتی ایران و واحدهای سایبری و تغییر در ساختار جاسوسی سایبری ایران است.
#ایران #بازیگران_تهدید
#APT #UNK_SmudgedSerpent
🆔 @onhex_ir
➡️ ALL Link
Proofpoint
Crossed wires: a case study of Iranian espionage and attribution | Proofpoint US
Proofpoint would like to thank Josh Miller for his initial research on UNK_SmudgedSerpent and contribution to this report. Key findings Between June and August 2025,
❤7
OnHex
🔴 شکیل اونیل، بازیکن سابق بسکتبال، یک خودرو به ارزش 180 هزار دلار از شرکت Range Rover سفارش میده اما با توجه به فیزیک بدنیش، از شرکت Effortless Motors میخواد تا تغییراتی در خودرو ایجاد کنه تا ایشون بتونه باهاش رانندگی کنه. بعد از اتمام تغییرات، خودرو از…
🔴 محققای Proofpoint گزارشی منتشر کردن در خصوص حملات سایبری به شرکت های حمل و نقل و لجستیکی که منجر به سرقت بارهای باارزش این شرکتها میشه.
طبق این گزارش مجرمان سایبری با همکاری گروه های مجرمان سازمان یافته این بارها رو سرقت کرده و بعدا با فروش بصورت آنلاین یا انتقال به خارج از کشور، سهم خودشون رو دریافت میکنن.
چنین جرایمی منجر به اختلال در زنجیره تامین و خسارت چند میلیون دلاری به شرکتها میزنه. چون از نوشیدنی های انرژی زا تا تجهیزات الکترونیکی مورد سرقت قرار میگیره.
با توجه به افزایش این نوع سرقتها، بخصوص بعد از کرونا، کنگره آمریکا قوانینی در این خصوص وضع کرده.
بیشترین کشورهایی که درگیر این نوع سرقت هستن: برزیل، مکزیک، هند، آمریکا، آلمان، شیلی و آفریقای جنوبی هستش. عمدتا هم مواد غذایی و نوشیدنی ها رو می دزدن.
روش های حمله متفاوته اما بیشتر روی مهندسی اجتماعی و فیشینگ متکی هستش:
- مهاجم با استفاده از اکانتهای هک شده، لیست جعلی بار منتشر میکنه و به شرکتهایی که در خصوص این بارها سوال دارن، ایمیل های مخرب ارسال میکنه.
- با استفاده از ایمیلهای هک شده، محتوای مخرب در بین گفتگوهای واقعی ارسال میکنن.
- مهاجم ایمیلهای مخربی به شرکتهای بزرگ حمل و نقل می فرسته و با هک اونا به لیست بارهای باارزش یا اقدامات بعدی دسترسی داره.
در این کمپین های معمولا ابزارهای RMM مانند ScreenConnect، SimpleHelp، PDQ Connect، Fleetdeck، N-able و LogMeIn Resolve یا ابزارهای شبکه ای مانند NetSupport و ScreenConnect نصب میشه.
برای بیرون کشیدن اعتبارنامه ها یا از WebBrowserPassView استفاده میکنن یا از بدافزارهای سارق اطلاعات مانند DanaBot، NetSupport، Lumma Stealer و StealC .
در نمونه هایی هکرها بعد از دسترسی اولیه، تلفن های داخلی شرکت حمل و نقل رو مسدود میکردن یا دستگاه خودشون رو به تلفن های داخلی وصل میکردن و ثبت سفارش می گرفتن.
توصیه شده:
- نصب ابزارهای RMM فقط با تایید مدیر IT امکان پذیر باشه.
- از محصولات امنیتی شبکه ای و نقاط پایانی استفاده بشه.
- فایلهای اجرایی بخصوص exe و msi رو از طریق ایمیل دریافت و دانلود نکنید.
- کاربران رو نسبت به فعالیتهای مشکوک آموزش بدید.
#حمل_نقل
#proofpoint
🆔 @onhex_ir
➡️ ALL Link
طبق این گزارش مجرمان سایبری با همکاری گروه های مجرمان سازمان یافته این بارها رو سرقت کرده و بعدا با فروش بصورت آنلاین یا انتقال به خارج از کشور، سهم خودشون رو دریافت میکنن.
چنین جرایمی منجر به اختلال در زنجیره تامین و خسارت چند میلیون دلاری به شرکتها میزنه. چون از نوشیدنی های انرژی زا تا تجهیزات الکترونیکی مورد سرقت قرار میگیره.
با توجه به افزایش این نوع سرقتها، بخصوص بعد از کرونا، کنگره آمریکا قوانینی در این خصوص وضع کرده.
بیشترین کشورهایی که درگیر این نوع سرقت هستن: برزیل، مکزیک، هند، آمریکا، آلمان، شیلی و آفریقای جنوبی هستش. عمدتا هم مواد غذایی و نوشیدنی ها رو می دزدن.
روش های حمله متفاوته اما بیشتر روی مهندسی اجتماعی و فیشینگ متکی هستش:
- مهاجم با استفاده از اکانتهای هک شده، لیست جعلی بار منتشر میکنه و به شرکتهایی که در خصوص این بارها سوال دارن، ایمیل های مخرب ارسال میکنه.
- با استفاده از ایمیلهای هک شده، محتوای مخرب در بین گفتگوهای واقعی ارسال میکنن.
- مهاجم ایمیلهای مخربی به شرکتهای بزرگ حمل و نقل می فرسته و با هک اونا به لیست بارهای باارزش یا اقدامات بعدی دسترسی داره.
در این کمپین های معمولا ابزارهای RMM مانند ScreenConnect، SimpleHelp، PDQ Connect، Fleetdeck، N-able و LogMeIn Resolve یا ابزارهای شبکه ای مانند NetSupport و ScreenConnect نصب میشه.
برای بیرون کشیدن اعتبارنامه ها یا از WebBrowserPassView استفاده میکنن یا از بدافزارهای سارق اطلاعات مانند DanaBot، NetSupport، Lumma Stealer و StealC .
در نمونه هایی هکرها بعد از دسترسی اولیه، تلفن های داخلی شرکت حمل و نقل رو مسدود میکردن یا دستگاه خودشون رو به تلفن های داخلی وصل میکردن و ثبت سفارش می گرفتن.
توصیه شده:
- نصب ابزارهای RMM فقط با تایید مدیر IT امکان پذیر باشه.
- از محصولات امنیتی شبکه ای و نقاط پایانی استفاده بشه.
- فایلهای اجرایی بخصوص exe و msi رو از طریق ایمیل دریافت و دانلود نکنید.
- کاربران رو نسبت به فعالیتهای مشکوک آموزش بدید.
#حمل_نقل
#proofpoint
🆔 @onhex_ir
➡️ ALL Link
Proofpoint
Remote access, real cargo: cybercriminals targeting trucking and logistics | Proofpoint US
Key findings Cybercriminals are compromising trucking and freight companies in elaborate attack chains to steal cargo freight. Cargo theft is a multi-million-dollar criminal
❤6