Forwarded from OnHex
🔴 کارزار آنلاین مرموز مرتبط با سرویسهای اطلاعاتی اسرائیل برای جذب ایرانیها - بخش دوم
انیمیشنهای بعدی این کمپین که همزمان با جنگ ۱۲ روزه ایران و اسرائیل در ژوئن منتشر شدن، سطح پایین تری داشتن.
حساب فارسی پیام آبی در اکس حتی در ۱۸ ژوئن اعلام کرد که بدلیل «شرایط خاص»، افراد میتونن مستقیماً از طریق فرم فارسی موساد ارتباط برقرار کنن. در همون روز، پیام آبی ویدئویی از حساب فارسی Hananya Naftali (مشاور دیجیتال نتانیاهو) بازنشر کرد که وعده دوستی میان اسرائیل و مردم ایران رو میداد. این حساب همچنین در جریان «شیر برخاسته» (Rising Lion) خروجی تبلیغات نظامی اسرائیل بود و اخیراً نیز توافق پیشنهادی رضا پهلوی با اسرائیل تحت عنوان «پیمان کوروش» رو ترویج کرد. تصاویر پهلوی در کنار Gila Gamliel (وزیر سابق اطلاعات اسرائیل و وزیر فعلی علوم و فناوری) بطور گستردهای بعنوان «هیئت پسارژیم» که اوایل ماه جاری وارد اسرائیل شد، منتشر شد.
گزارش قبلی درباره کمپین پیام آبی در ژانویه توسط المنار (وابسته به حزبالله لبنان) منتشر شده بود که این حساب رو بخشی از «جنگ سایبری اسرائیل» توصیف کرد و نوشت: «این حساب توسط اطلاعات اسرائیل مدیریت میشه و مرکز اون در تلآویو هستش.»
یک روز پیش تر، مدل زبانی «Grok» متعلق به اکس نتیجه گرفته بود که: «حساب پیام آبی بنظر بخشی از یک کمپین موساد هستش که ایرانیها رو هدف قرارد داده»
با این حال، بسیاری از حسابها در اکس تردید دارن که پیام آبی مستقیماً به دولت اسرائیل وابسته باشه و اونو احتمالاً یک عملیات ضدجاسوسی ایرانی میدونن. (هانی پات)
با وجود همه این تلاشها، میزان موفقیت یا تأثیرگذاری کمپین پیام آبی همچنان نامشخص است.
نخستین پیام کانال تلگرام پیام آبی در ۷ ژوئن ۲۰۲۴ و آخرین پستشون در ۱۵ جولای بود که یک نظرسنجی در خصوص تعداد کسانی بود که بهشون پیام فرستادن، بود. هرچند پاسخی برای این سوال داده نشد، اما پست ۸۰۴ بار دیده شده و ۱۱۷ پاسخ گرفته.
نظرسنجی مشابهی در اکس در اکتبر برگزار شد که با نتیجهای خجالتآور پایان یافت:
اکثریت شرکتکنندگان گفتن «هیچکس» با پیام آبی تماس نگرفته. پاسخها هم پر بود از فحشهای فارسی، از جمله اینکه این کمپین متحد اسرائیل در حال هدر دادن پوله و اینکه: «اسرائیلیها کودک کش هستن.»
#ایران #اسرائیل #اخبار_سایبری_جنگ_ایران_اسرائیل
🆔 @onhex_ir
➡️ ALL Link
انیمیشنهای بعدی این کمپین که همزمان با جنگ ۱۲ روزه ایران و اسرائیل در ژوئن منتشر شدن، سطح پایین تری داشتن.
حساب فارسی پیام آبی در اکس حتی در ۱۸ ژوئن اعلام کرد که بدلیل «شرایط خاص»، افراد میتونن مستقیماً از طریق فرم فارسی موساد ارتباط برقرار کنن. در همون روز، پیام آبی ویدئویی از حساب فارسی Hananya Naftali (مشاور دیجیتال نتانیاهو) بازنشر کرد که وعده دوستی میان اسرائیل و مردم ایران رو میداد. این حساب همچنین در جریان «شیر برخاسته» (Rising Lion) خروجی تبلیغات نظامی اسرائیل بود و اخیراً نیز توافق پیشنهادی رضا پهلوی با اسرائیل تحت عنوان «پیمان کوروش» رو ترویج کرد. تصاویر پهلوی در کنار Gila Gamliel (وزیر سابق اطلاعات اسرائیل و وزیر فعلی علوم و فناوری) بطور گستردهای بعنوان «هیئت پسارژیم» که اوایل ماه جاری وارد اسرائیل شد، منتشر شد.
گزارش قبلی درباره کمپین پیام آبی در ژانویه توسط المنار (وابسته به حزبالله لبنان) منتشر شده بود که این حساب رو بخشی از «جنگ سایبری اسرائیل» توصیف کرد و نوشت: «این حساب توسط اطلاعات اسرائیل مدیریت میشه و مرکز اون در تلآویو هستش.»
یک روز پیش تر، مدل زبانی «Grok» متعلق به اکس نتیجه گرفته بود که: «حساب پیام آبی بنظر بخشی از یک کمپین موساد هستش که ایرانیها رو هدف قرارد داده»
با این حال، بسیاری از حسابها در اکس تردید دارن که پیام آبی مستقیماً به دولت اسرائیل وابسته باشه و اونو احتمالاً یک عملیات ضدجاسوسی ایرانی میدونن. (هانی پات)
با وجود همه این تلاشها، میزان موفقیت یا تأثیرگذاری کمپین پیام آبی همچنان نامشخص است.
نخستین پیام کانال تلگرام پیام آبی در ۷ ژوئن ۲۰۲۴ و آخرین پستشون در ۱۵ جولای بود که یک نظرسنجی در خصوص تعداد کسانی بود که بهشون پیام فرستادن، بود. هرچند پاسخی برای این سوال داده نشد، اما پست ۸۰۴ بار دیده شده و ۱۱۷ پاسخ گرفته.
نظرسنجی مشابهی در اکس در اکتبر برگزار شد که با نتیجهای خجالتآور پایان یافت:
اکثریت شرکتکنندگان گفتن «هیچکس» با پیام آبی تماس نگرفته. پاسخها هم پر بود از فحشهای فارسی، از جمله اینکه این کمپین متحد اسرائیل در حال هدر دادن پوله و اینکه: «اسرائیلیها کودک کش هستن.»
#ایران #اسرائیل #اخبار_سایبری_جنگ_ایران_اسرائیل
🆔 @onhex_ir
➡️ ALL Link
Substack
Digital fragments unveil online campaign to flip Iranian nuclear scientists
Mysterious online campaign linked to Israel attempted to recruit Iranians to overthrow their government. Some appear placed by an Atlanta-based influencer.
❤2👍1
OnHex
نظرسنجی مشابهی در اکس در اکتبر برگزار شد که با نتیجهای خجالتآور پایان یافت:
اکثریت شرکتکنندگان گفتن «هیچکس» با پیام آبی تماس نگرفته. پاسخها هم پر بود از فحشهای فارسی، از جمله اینکه این کمپین متحد اسرائیل در حال هدر دادن پوله و اینکه: «اسرائیلیها کودک کش هستن.»
اکثریت شرکتکنندگان گفتن «هیچکس» با پیام آبی تماس نگرفته. پاسخها هم پر بود از فحشهای فارسی، از جمله اینکه این کمپین متحد اسرائیل در حال هدر دادن پوله و اینکه: «اسرائیلیها کودک کش هستن.»
This media is not supported in your browser
VIEW IN TELEGRAM
😁8
Forwarded from r3v notes
#win #kernel #vmp #deobfuscation
Вскрытие покажет: анализируем драйвер Windows x64, защищенный VMProtect
https://habr.com/ru/companies/F6/articles/564738/
Вскрытие покажет: анализируем драйвер Windows x64, защищенный VMProtect
https://habr.com/ru/companies/F6/articles/564738/
Хабр
Вскрытие покажет: анализируем драйвер Windows x64, защищенный VMProtect
Анализ вредоносных программ, защищающих себя от анализа, — это всегда дополнительные трудности для вирусного аналитика. Программа может быть обфусцирована, чтобы избежать детектирования сигнатурными и...
❤5👍1
Forwarded from CyberSecurityTechnologies
Fingerprinting_Tracking.pdf
477.6 KB
#Whitepaper
"You Again" : Fingerprinting and Tracking Mechanisms of Malicious Sites", 2025.
// Browsers provide many APIs for any visited site to perform stateful and stateless tracking, and legitimate websites utilize these capabilities. Yet little is widely known about what tracking, if any, malicious sites perform
See also:
]-> OpenWPM - web privacy measurement framework
"You Again" : Fingerprinting and Tracking Mechanisms of Malicious Sites", 2025.
// Browsers provide many APIs for any visited site to perform stateful and stateless tracking, and legitimate websites utilize these capabilities. Yet little is widely known about what tracking, if any, malicious sites perform
See also:
]-> OpenWPM - web privacy measurement framework
Exposing CharmingKitten's malicious activity for IRGC-IO devision Counterintelligence devision (1500)
https://github.com/KittenBusters/CharmingKitten
https://github.com/KittenBusters/CharmingKitten
❤5
Forwarded from شرکت گراف
گزارش «چشمانداز #تهدیدات_سایبری در ایران» منتشر شد.
🔴 این مستند شامل بررسی دوساله حملات به زیرساختهای فناوری کشور از ابتدای ۱۴۰۲ تا اسفند ۱۴۰۳ است و توسط تیم CTI گراف تهیه شده است.
🔴 محتوای این سند در اسفند ۱۴۰۳ از طریق جمعآوری دادهها از محتوای موجود در اینترنت و منابع متنباز و تحلیل آنها تهیه شده است. تیم CTI گراف با هدف افزایش آگاهی امنیت فضای سایبری کشور، مستند حاضر را تهیه کرده است.
🔴 نسخه کامل گزارش در وب سایت شرکت گراف منتشر شده و از طریق لینک زیر قابل دسترسی است:
https://graph-inc.ir/cyber-threats-report
#AnnualReport
#GRAPH
#SOC
#CTI
#XDR
#TIP
🗣 عضویت در کانال تلگرام #گراف:
🔔 https://news.1rj.ru/str/graph_inc_ir
🔴 این مستند شامل بررسی دوساله حملات به زیرساختهای فناوری کشور از ابتدای ۱۴۰۲ تا اسفند ۱۴۰۳ است و توسط تیم CTI گراف تهیه شده است.
🔴 محتوای این سند در اسفند ۱۴۰۳ از طریق جمعآوری دادهها از محتوای موجود در اینترنت و منابع متنباز و تحلیل آنها تهیه شده است. تیم CTI گراف با هدف افزایش آگاهی امنیت فضای سایبری کشور، مستند حاضر را تهیه کرده است.
🔴 نسخه کامل گزارش در وب سایت شرکت گراف منتشر شده و از طریق لینک زیر قابل دسترسی است:
https://graph-inc.ir/cyber-threats-report
#AnnualReport
#GRAPH
#SOC
#CTI
#XDR
#TIP
🗣 عضویت در کانال تلگرام #گراف:
🔔 https://news.1rj.ru/str/graph_inc_ir
❤5👎3👍1🗿1
👍8
First time we see details related to gonjeshke darande ( an Israeli APT )
https://iscisc2025.sbu.ac.ir/fa/Home/Content?id=58
https://iscisc2025.sbu.ac.ir/fa/Home/Content?id=58
❤29👾6
Source Byte
First time we see details related to gonjeshke darande ( an Israeli APT ) https://iscisc2025.sbu.ac.ir/fa/Home/Content?id=58
it seems pic slide is related to some sort of alert
i wonder if they detect that attack or it is done in lab🤔
i wonder if they detect that attack or it is done in lab🤔
🤔5❤1
Forwarded from Yashar Mahmoudnia
🤯4🗿4👍1👾1
How to get started in vulnerability research?
https://github.com/udunadan/notes/blob/main/How%20to%20Get%20Started%20In%20Vulnerability%20Research.md
https://github.com/udunadan/notes/blob/main/How%20to%20Get%20Started%20In%20Vulnerability%20Research.md
❤9👍5
Forwarded from Threat Hunting Father 🦔
APT as a Service?😃
Premier Pass-as-a-Service — новый формат кибершпионажа
Trend Micro зафиксировала новую модель сотрудничества между multiple China-aligned APT groups — Earth Estries и Earth Naga.
Одна группа предоставляет готовый доступ («Premier Pass»), другая — разворачивает свои инструменты. Это делает шпионские кампании сложнее для атрибуции и детектирования.
⚙️ Формат атаки
• Earth Estries скомпрометировала внутренние веб-сервера и установила CrowDoor (бэкдор через DLL-sideloading).
• Через тот же доступ Estries передала контроль Earth Naga, которая развернула ShadowPad — известный фреймворк для постэксплуатации.
• В сетях жертв фиксировались совместные артефакты: CrowDoor → ShadowPad, общий C2, и одинаковые временные файлы.
• Обе группы параллельно атаковали телеком-операторов, госучреждения и ритейл в APAC и НАТО-регионах.
🧠 Новый тренд от Trend Micro
Исследователи назвали модель Premier Pass-as-a-Service — аналог «доступа как услуги»:
Это сдвигает фокус с Initial Access Brokers на операционные альянсы между APT-группами.
Trend Micro выделила четыре уровня такой кооперации — от случайного пересечения до полного предоставления инфраструктуры («операционного бокса») для другой группы.
Самый продвинутый тип — использование облачных сервисов (например, VSCode Remote Tunnel) как RAT-канала.
🧰 Инструментарий
Earth Estries:
• CrowDoor — DLL-sideload через
• Draculoader — загрузчик shellcode, финальные пейлоады CrowDoor / Cobalt Strike / HEMIGATE.
• Cobalt Strike — lateral movement / payload-доставка.
• Post-exploitation: AnyDesk, EarthWorm (SOCKS5 туннель), Blindsight (LSASS dump с NTFS evasion), кастомный SSP-дампер.
Earth Naga:
• ShadowPad — бэкдор с зашифрованным payload в реестре, загружается через
• Активно атакует гос- и телеком-сектор, Тайвань, APAC, НАТО, Латинскую Америку.
🧩 Что нового заметила Trend Micro
1) Коллаборация вместо одиночных кампаний — группировки действуют как «подрядчики» в единой операции.
2) Смещение стадии совместной работы — обмен происходит на поздних этапах (C2 и постэксплуатация), а не на этапе входа.
3) Роль-модель вместо атрибуции: разделение на разработчиков, провайдеров и операторов.
4) Доказательства общей инфраструктуры — CrowDoor и ShadowPad фиксируются в одной сессии, одних узлах.
5) «Operational box» и облачные туннели — новый способ маскировки C2 и снятия сетевых привязок.
📎 https://www.trendmicro.com/en_us/research/25/j/premier-pass-as-a-service.html
🦔 THF
Premier Pass-as-a-Service — новый формат кибершпионажа
Trend Micro зафиксировала новую модель сотрудничества между multiple China-aligned APT groups — Earth Estries и Earth Naga.
Одна группа предоставляет готовый доступ («Premier Pass»), другая — разворачивает свои инструменты. Это делает шпионские кампании сложнее для атрибуции и детектирования.
• Earth Estries скомпрометировала внутренние веб-сервера и установила CrowDoor (бэкдор через DLL-sideloading).
• Через тот же доступ Estries передала контроль Earth Naga, которая развернула ShadowPad — известный фреймворк для постэксплуатации.
• В сетях жертв фиксировались совместные артефакты: CrowDoor → ShadowPad, общий C2, и одинаковые временные файлы.
• Обе группы параллельно атаковали телеком-операторов, госучреждения и ритейл в APAC и НАТО-регионах.
Исследователи назвали модель Premier Pass-as-a-Service — аналог «доступа как услуги»:
Вместо продажи первичного входа, акторы предоставляют прямой доступ к уже закреплённым активам.
Это сдвигает фокус с Initial Access Brokers на операционные альянсы между APT-группами.
Trend Micro выделила четыре уровня такой кооперации — от случайного пересечения до полного предоставления инфраструктуры («операционного бокса») для другой группы.
Самый продвинутый тип — использование облачных сервисов (например, VSCode Remote Tunnel) как RAT-канала.
Earth Estries:
• CrowDoor — DLL-sideload через
LogServer.exe → VERSION.dll → зашифрованный shellcode.• Draculoader — загрузчик shellcode, финальные пейлоады CrowDoor / Cobalt Strike / HEMIGATE.
• Cobalt Strike — lateral movement / payload-доставка.
• Post-exploitation: AnyDesk, EarthWorm (SOCKS5 туннель), Blindsight (LSASS dump с NTFS evasion), кастомный SSP-дампер.
Earth Naga:
• ShadowPad — бэкдор с зашифрованным payload в реестре, загружается через
bdreinit.exe → wer.dll.• Активно атакует гос- и телеком-сектор, Тайвань, APAC, НАТО, Латинскую Америку.
1) Коллаборация вместо одиночных кампаний — группировки действуют как «подрядчики» в единой операции.
2) Смещение стадии совместной работы — обмен происходит на поздних этапах (C2 и постэксплуатация), а не на этапе входа.
3) Роль-модель вместо атрибуции: разделение на разработчиков, провайдеров и операторов.
4) Доказательства общей инфраструктуры — CrowDoor и ShadowPad фиксируются в одной сессии, одних узлах.
5) «Operational box» и облачные туннели — новый способ маскировки C2 и снятия сетевых привязок.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4