ict_security | Unsorted

Telegram-канал ict_security - کانال تخصصی امنیت سایبری «کتاس»

1896

تماس با ادمين📧: ict.sec@outlook.com این کانال به جهت آگاهی رساني، مخاطرات امنیتی درحوزه هایICTوICSرابارویکردامن سازی دربرابرخطرات،منتشر و وابسته به هیچ نهاد،گروه،دسته،تشکّل ویاسازمانی نيست ومسئولیت هرگونه استفاده ازمطالب فقط برعهده کاربرش است

Subscribe to a channel

کانال تخصصی امنیت سایبری «کتاس»

🥲 هکرها به پایگاه های امنیتی مکزیک هک کردند و اطلاعات بهداشتی رئیس جمهور این کشور را به سرقت بردند - دولت مکزیک روز جمعه 30 سپتامبر اعتراف کرد که گروهی از هکرها پرونده هایی را از وزارت دفاع دریافت کرده اند که حاوی اطلاعات محرمانه درباره سلامت رئیس جمهور 68 ساله است. آندرس مانوئل لوپز اوبرادور - به گفته این نشریه، این هک توسط گروهی از هکرها که خود را "آرا کامایا" می نامند، انجام شده است و در اسناد منتشر شده به نظر می رسد که رئیس دولت به نقرس و کم کاری تیروئید مبتلا بوده است. - رئیس جمهور مکزیک در یک کنفرانس مطبوعاتی با بیان اینکه اطلاعات منتشر شده در رسانه های محلی در مورد هک وزارت دفاع واقعی است، اطلاعات مربوط به مشکلات سلامتی خود را تایید کرد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

✅ کشف دو آسیب‌پذیری روز صفر در مایکروسافت اکسچنچ (Microsoft Exchange)


⭕️ دو آسیب‌پذیری با نام‌های CVE-2022-41082 و CVE-2022-41040 در مایکروسافت اکس چنچ سرور کشف شدند.

به گزارش محققان امنیتی در سازمان امنیت سایبری ویتنامی GTSC، مهاجمان از آسیب‌پذیری‌های روز صفر Microsoft Exchange برای اجرای کد از راه دور استفاده می‌کنند.

مایکروسافت اعلام کرد که دو آسیب‌پذیری روز صفر جدیدی که در حملات استفاده می‌شوند، با شناسه‌های CVE-2022-41040 و CVE-2022-41082 شناسایی می‌شوند.

از این دو آسیب‌پذیری‌ برای به‌کارگیری وب شل‌های Chinese Chopper بر روی سرورهای آسیب‌پذیر و ماندگاری، سرقت داده‌ها و همچنین حرکت جانبی به سیستم‌های دیگر در شبکه قربانیان استفاده می‌شود.

#Cybersecurity
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

محققان آلمانی DCSO CyTec در مورد بدافزار جدیدی که سرورهای مایکروسافت SQL را هدف قرار می دهد هشدار می دهند.
یک درب پشتی به نام مگی قبلا صدها کامپیوتر را در سراسر جهان آلوده کرده است. داده های تله متری نشان می دهد که مگی در کره جنوبی، هند، ویتنام، چین، روسیه، تایلند، آلمان و ایالات متحده رایج است. Maggie با پرس و جوهای SQL کنترل می شود و مجموعه ای غنی از 51 دستور را اجرا می کند. درپشتی به مدیر اجازه می دهد تا به سایر سرورهای مایکروسافت SQL وارد شود و پلی به محیط شبکه سرور ایجاد کند. تجزیه و تحلیل بدافزار نشان داد که بدافزار به عنوان یک رویه ذخیره‌شده توسعه‌یافته DLL (sqlmaggieAntiVirus_64.dll) با امضای دیجیتالی توسط DEEPSoft Co. Ltd، که به نظر می رسد در کره جنوبی مستقر است. فایل‌های رویه ذخیره‌شده توسعه‌یافته با استفاده از یک API که آرگومان‌های کاربر راه دور را می‌پذیرد و با داده‌های بدون ساختار پاسخ می‌دهد، عملکرد کوئری‌های SQL را گسترش می‌دهد. دستورات پشتیبانی شده توسط Maggie به شما امکان می دهد اطلاعات سیستم را جستجو کنید، برنامه ها را راه اندازی کنید، با فایل ها و پوشه ها تعامل داشته باشید، خدمات دسکتاپ از راه دور TermService را فعال کنید، یک سرور پراکسی SOCKS5 را راه اندازی کنید و ارسال پورت را راه اندازی کنید. به عنوان بخشی از اجرای دستورات، یک مهاجم همچنین می‌تواند برای برخی اقدامات، از جمله افزودن کاربر جدید، به آسیب‌پذیری‌های شناخته شده تکیه کند. با این حال، تحلیلگران نتوانستند اکسپلویت های استفاده شده توسط مگی را به دلیل عدم وجود یک DLL اضافی آزمایش کنند. حدس زدن رمز عبور مدیر با دستورات SqlScan و WinSockScan پس از تعیین فایل لیست رمز عبور و تعداد رشته ها انجام می شود. در صورت موفقیت آمیز بودن، یک کاربر در پشتی رمزگذاری شده به سرور اضافه می شود. این بدافزار یک ویژگی ساده تغییر مسیر TCP را ارائه می دهد که به مهاجمان راه دور اجازه می دهد به هر آدرس IP قابل دسترسی توسط سرور MS-SQL آلوده متصل شوند. این بدافزار همچنین دارای یک ویژگی پروکسی SOCKS5 برای هدایت تمام بسته های شبکه از طریق پراکسی است و در صورت نیاز آن را مخفی تر می کند. در حال حاضر، برخی از جزئیات ناشناخته باقی مانده است، از جمله رفتار مگی پس از آلوده شدن، و همچنین مشخص نیست که چگونه بدافزار حتی به سرورها نفوذ می کند و چه کسی ممکن است پشت این حملات باشد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

🎯تخفیف ویژه ۹۰ درصدی
ویدیوی کامل وبینار دوره آموزشی CSCU – الزامات امنیتی کاربران
لینک ثبت نام: https://eseminar.tv/wb64647
مدت وبینار: 2 ساعت

دوستانی که امکان حضور در دوره را نداشتند، علاقمندان آشنایی با اصول پایه امنیت سایبری در هر سن می‌توانند از لینک زیر ویدیو را دریافت کنند
اگر علاقه مند به سلامت سایبری دوستان و اطرافیانتان هستید ، اگر از مخاطرات فضای سایبر‌یرای آنها نگرانید ، این دوره را به آنها هدیه دهید:
https://eseminar.tv/wb64647

🏆 هدیه ویژه به همراهان عزیز گروه با کد تخفیف ۹۰درصدی
‏vcoach90
🛑مدت محدود

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

یک آسیب پذیری در پایتون که به مدت 15 سال نادیده گرفته شده بود، اکنون دوباره در کانون توجه قرار گرفته است زیرا بیش از 350000 مخزن منبع باز را تحت تأثیر قرار می دهد و می تواند منجر به RCE شود. باگی که در سال 2007 فاش شد و با برچسب CVE-2007-4559 مشخص شد، رفع نشده است. بر اساس آن، آنها فقط اسناد را بازسازی کردند که به توسعه دهندگان در مورد خطرات احتمالی در زنجیره تامین نرم افزار هشدار می داد. این آسیب پذیری بر بسته tarfile پایتون تأثیر می گذارد و به اجرای نادرست تابع tarfile.extract() مربوط می شود. این یک مشکل پیمایش مسیر است که به مهاجم اجازه می دهد تا فایل های دلخواه را بازنویسی کند. جزئیات فنی CVE-2007-4559 از زمان گزارش اولیه در آگوست 2007، بدون هیچ داده استفاده از این اشکال، در دسترس بوده است. با این حال، در سال جاری، در طول بررسی این حادثه، CVE-2007-4559 توسط Trellix Advanced Threat Research کشف شد که وی در سیستم ردیابی باگ پایتون به آن اشاره کرد و پاسخی در مورد بستن باگ با مستندات دریافت کرد. او متوجه شد که اشکال این است که کد موجود در تابع استخراج در ماژول tarfile پایتون به طور صریح به اطلاعات موجود در شی TarInfo اعتماد دارد و مسیری را که به تابع استخراج و نام در شی TarInfo ارسال می‌شود، به هم متصل می‌کند. در نهایت، به مهاجم اجازه می دهد تا به سیستم فایل دسترسی پیدا کند. با تجزیه و تحلیل وضعیت، Trellix مجموعه‌ای از 257 مخزن را که به احتمال زیاد حاوی کد آسیب‌پذیر هستند، استخراج کرد و 175 را به صورت دستی بررسی کرد و دریافت که 61 درصد از مخازن آسیب‌پذیر هستند. سپس، با استفاده از GitHub، 588840 مخزن منحصربه‌فرد را شناسایی کردند که حاوی فایل‌های وارداتی در کد پایتون است. اما چیزی که مشکل را بدتر می‌کند این است که بیش از 350000 مخزن آسیب‌پذیر از ابزارهای یادگیری ماشین (مانند GitHub Copilot) استفاده می‌کنند و کد ناامن را بدون اطلاع توسعه‌دهنده در پروژه‌های دیگر توزیع می‌کنند. Trellix یک اکسپلویت ساده برای CVE-2007-4559 در نسخه ویندوز Spyder IDE ارسال کرده است. آنها نشان دادند که این آسیب پذیری می تواند در لینوکس نیز مورد سوء استفاده قرار گیرد. آنها توانستند سرعت نوشتن فایل را افزایش دهند و در تست خدمات مدیریت زیرساخت فناوری اطلاعات Polemarch به RCE دست یابند. Trellix علاوه بر بررسی این آسیب‌پذیری و پیامدهای آن، اصلاحاتی را برای 11000 پروژه منتشر کرده است که بعداً از طریق درخواست‌های کششی اضافه خواهند کرد. علاوه بر این، برنامه ریزی شده است که بیش از 70000 پروژه نیز در چند هفته آینده اصلاح شوند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

تحت تعقیب FBI ده میلیون دلار جایزه!

▫️وزارت دادگستری آمریکا با صدور کیفرخواستی علیه سه شهروند ایرانی در آمریکا، آنان را متهم به انجام حملات سایبری و سوءاستفاده از آسیب‌پذیری‌های شناخته‌شده یا افشاشده در شبکه‌های مورد استفاده عمومی و برنامه‌های نرم‌افزاری کرده است. بر اساس ادعای وزارت دادگستری، مظنونان پرونده با هدف قرار دادن صدها قربانی در آمریکا و سایر کشورها و پس از دسترسی و سرقت داده های آنان، قربانیان را تهدید به انتشار داده ها در صورت عدم پرداخت باج کردند.
▫️به گفته این نهاد آمریکایی در برخی از موارد قربانیان اقدام به پرداخت باج کردند تا داده های آنان منتشر نشود. از سوی دیگر یک مقام ارشد وزارت دادگستری در گفتگو با خبرنگاران اعلام کرد که گمان نمی رود هکرها با ایران همکاری کرده باشند. وزارت خزانه‌داری آمریکا ۱۰ فرد و دو نهاد ایرانی را به اتهام انجام حملات سایبری به فهرست تحریم‌های خود افزود.

https://lnkd.in/d2g2-4zT
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

‎بدافزار جدید لینوکس مخفیکاری غیرمعمول را با مجموعه کاملی از قابلیت ها ترکیب می کند که به طور بالقوه سرورها و اینترنت اشیا را هدف قرار می دهد.

‎ محققان AT&T Alien Labs در این هفته از نوع جدیدی از بدافزار لینوکس رونمایی کردند که به دلیل پنهان کاری و پیچیدگی آن در آلوده کردن سرورهای سنتی و دستگاه های کوچکتر اینترنت اشیا قابل توجه است.

ادامه مطلب:

/channel/linux_news/678

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

دانشمندان ژاپنی یک سوسک سایبورگ برای کار نجات ساخته اند

دانشمندان برای این آزمایش از یک سوسک ماداگاسکار استفاده کردند که روی آن یک ماژول کنترل بی‌سیم با باتری لیتیوم پلیمری نصب کردند.

مهندسان ژاپنی شرکت تحقیقاتی Riken Cluster برای تحقیقات پیشگام، سوسک‌ها را به وسایل الکترونیکی پوشیدنی برای کنترل از راه دور حشرات مجهز کرده‌اند. عناصر رباتیک در حرکت سوسک ها دخالت نمی کنند. شرحی از فناوری حاصل در Flexible Electronics ظاهر شد.
این حشره را می توان با استفاده از یک ماژول بی سیم که توسط پنل های خورشیدی تغذیه می شود، از راه دور کنترل کرد.
طول سوسک تنها شش سانتی متر است و ماژول با یک کوله پشتی به آن متصل می شود. شکل حشره بر روی یک نمونه خاص مدل شده و بر روی یک چاپگر سه بعدی از یک پلیمر الاستیک چاپ شده است.
همانطور که توسط محققان تصور شده است، این حشره می تواند به اجسام صعب العبور فرستاده شود و از آن برای بازرسی مناطق خطرناک و همچنین برای نظارت بر محیط استفاده شود

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی مجازاست
/channel/ics_cert

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

پدری از نوزادش برای پزشک عکس گرفت - گوگل او را به پلیس معرفی کرد.🤦🏼‍♀️

مارک، پدری از سانفرانسیسکو، پس از کشف تومور در بدن نوزادش، از طریق لینک ویدیویی با یک مشاور پرستار تماس گرفت زیرا دسترسی فیزیکی به بیمارستان ها در طول همه گیری محدود بود.

پرستار گفت عکس ها را بفرست تا دکتر بتواند آنها را نگاه کند. مارک با گرفتن گوشی هوشمند اندرویدی خود، عکس هایی گرفت و برای دکتر فرستاد. دکتر با کمک عکس ها تشخیص داد و آنتی بیوتیک تجویز کرد که سریع کمک کرد.🙏🏻

اما پس از این قسمت، مارک با مشکل بسیار بزرگتری مواجه شد که برای او بیش از یک دهه تماس، ایمیل و عکس هزینه داشت و او را موضوع تحقیقات پلیس قرار داد.

مارک، مانند بسیاری، فکر کرد که "او چیزی برای پنهان کردن ندارد" و به شرکت اعتماد کرد.🤦🏼‍♀️

▫️او قرارها را با همسرش در تقویم گوگل همگام کرد.
▫️دوربین گوشی هوشمند اندرویدی او از عکس‌ها و ویدئوها در فضای ابری گوگل بکاپ گرفت.
▫️حتی با گوگل فای برنامه تلفنی داشت.

دو روز پس از اینکه از پسرش عکس گرفت، تلفن مارک یک اعلان متناوب صادر کرد: حساب او به دلیل «محتوای مضر» غیرفعال شده است که «نقض جدی خط‌مشی Google است و ممکن است غیرقانونی باشد».

لینک "بیشتر بیاموزید" بیان کرد که شرکت او را به دلیل گرفتن عکس به "سوءاستفاده جنسی و بهره کشی از کودکان" مجرم تشخیص داد.😳

او فرمی را پر کرد و از گوگل خواست که در این مورد تجدید نظر کند و وضعیت را توضیح دهد. شرکت امتناع کرد.

🔻او نه تنها ایمیل‌ها، اطلاعات تماس دوستان و همکاران سابق و اسناد مربوط به سال‌های اولیه پسرش را از دست داد، بلکه حساب Google Fi او بسته شد، به این معنی که باید یک شماره تلفن جدید از یک شرکت مخابراتی دیگر دریافت می‌کرد.

🔻بدون دسترسی به شماره تلفن و آدرس ایمیل قدیمی‌اش، نمی‌توانست کدهای امنیتی مورد نیاز برای ورود به سایر حساب‌های آنلاین را دریافت کند و در بیشتر عمر دیجیتالی‌اش مانع از دسترسی به آن شود.

🔻مدتی بعد، مارک یک پاکت نامه از اداره پلیس سانفرانسیسکو دریافت کرد.

🔻 حاوی نامه‌ای بود که به او اطلاع می‌داد تحت بازجویی قرار دارد، و همچنین کپی‌هایی از حکم‌های جستجو صادر شده توسط Google و ISP آن. بازپرس که اطلاعات تماس او ارائه شده بود، همه چیز را در حساب گوگل مارک درخواست کرد: جستجوهای وب، تاریخچه موقعیت مکانی اش، پیام هایش و هر گونه اسناد، عکس ها و ویدئوهایی که در شرکت نگهداری می کرد.

یک هفته پس از گرفتن عکس از پسرش، جستجوی "عکس سوء استفاده از کودک" در خانه او انجام شد.

خوشبختانه، وی موفق شد بی گناهی خود را به پلیس ثابت کند، اما می توانست حتی بدتر باشد - مارک می توانست حضانت کودک را از دست بدهد.

گوگل هرگز حساب های مارک را بازیابی نکرد.🤷🏼‍♀️
===============
☝🏻این را برای کسانی بفرستید که چیزی برای پنهان کردن ندارند و به شرکت ها اعتماد دارند
منبع خبر:

https://indianexpress.com/article/technology/tech-news-technology/bc-r-google-child-pictures-abridged-art-nyt-8104178/

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

برای فاش کردن تماس ویدیویی Deepfake، از تماس‌گیرنده بخواهید که به طرفین بپیچد

تنها در چند سال، دیپ‌فیک‌ها از توانایی قرار دادن چهره‌ها بر روی تصاویر تا تعویض کامل چهره در زمان واقعی پیشرفت کرده‌اند، که منجر به افزایش تعداد دیپ‌فیک‌های مورد استفاده در کلاهبرداری آنلاین و جرایم سایبری شده است.

🔻در ماه ژوئن، FBI نسبت به کلاهبردارانی که از فناوری دیپ فیک در طول مصاحبه از راه دور استفاده می کنند، هشدار داد.

بر اساس گفته‌های استارت‌آپ کلاهبرداری آنلاین Sensity AI، ویدیوهای Deepfake نیز برای فریب نرم‌افزار تشخیص چهره در زمان واقعی استفاده شده‌اند.

اتحادیه اروپا قوانینی را تصویب کرده است که جریمه هایی را برای شرکت هایی وضع می کند که به اندازه کافی با دیپ فیک مبارزه نمی کنند.

🔻چین همچنین قوانین دیپ فیک را تدوین کرده است که مجازات های قانونی برای سوء استفاده از فناوری را تهدید می کند و همچنین باید برای هرگونه استفاده قانونی از دیپ فیک مجوز صادر شود.

همه اینها عصر جدیدی از عدم اطمینان اینترنتی را باز می کند که همکار آنلاین شما واقعاً واقعی است.

☝🏻با این حال، تحقیقات جدید نشان می‌دهد که اکثر برنامه‌های محبوب Deepfake دارای همان نقص هستند: چرخش ۹۰ درجه‌ای سر به پهلو نشان می‌دهد که شخصی که روی صفحه نمایش می‌دهد آن چیزی نیست که به نظر می‌رسید.

بدون اینکه بتواند نقاط کنترلی کافی را ببیند، نرم افزار به سادگی نمی داند چگونه چهره جعلی خود را نمایش دهد.

محققان خاطرنشان می‌کنند: «تا زمانی که ندانیم که دیپ‌فکرها راهی برای رفع این نقص پیدا نکرده‌اند، ایده خوبی است که این سیاست را دنبال کنیم که از طرف دیگر تماس ویدیویی بخواهیم چهره‌اش را از کنار به شما نشان دهد». 😉

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

بچه گربه جذاب دست به یک بدافزار جدید زد

هکرهای دولتی ایرانی ابزاری را به زرادخانه خود اضافه کرده اند که داده ها را از حساب های جیمیل، یاهو! و Microsoft Outlook استخراج می کند

گروه تحلیل تهدیدات گوگل (TAG) بدافزار را HYPERSCRAPE نامگذاری کرد. به گفته کارشناسان، این بدافزار به طور فعال در حال توسعه است و حتی علیه ده ها حساب کاربری ایرانی نیز استفاده شده است. ابزار هک اولین بار در دسامبر 2021 کشف شد. قبل از کار با HYPERSCRAPE، مهاجم باید اعتبار قربانی را دریافت کند یا جلسه کاربر قربانی را ربوده باشد.
این ابزار با دات نت نوشته شده و بر روی سیستم های ویندوز اجرا می شود. HYPERSCRAPE دارای تمام عملکردهای لازم برای جمع آوری و استخراج محتویات صندوق پستی قربانی و همچنین حذف ایمیل هایی از سرویس امنیتی Google است که به قربانی در مورد فعالیت مشکوک هشدار می دهد.
اگر ایمیل توسط قربانی خوانده نشده باشد، ابتدا ابزار باز می شود و ایمیل را به صورت فایل .eml دانلود می کند و پس از آن آن را به عنوان خوانده نشده علامت گذاری می کند.
شایان ذکر است که نسخه‌های اولیه HYPERSCRAPE این گزینه را داشتند که داده‌ها را از Google Takeout درخواست کنند، ویژگی که به کاربران اجازه می‌دهد داده‌های خود را به یک فایل بایگانی قابل دانلود صادر کنند.
مشخص است که تمام حساب های تحت تأثیر حمله HYPERSCRAPE بازیابی شده اند و صاحبان آنها از این حادثه مطلع شده اند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

غول نرم افزار مجازی سازی VMware وصله هایی را برای رفع یک آسیب پذیری امنیتی جدی در مجموعه ابزارهای VMware منتشر کرده است.

VMware Tools برای بهبود عملکرد سیستم عامل های مهمان، تعامل یکپارچه با آنها و بهبود مدیریت ماشین مجازی طراحی شده است.

طبق بولتن VMWare، CVE-2022-31676 می تواند توسط مهاجمان برای افزایش امتیازات در یک سیستم در معرض خطر استفاده شود.

یک مهاجم با دسترسی غیر اداری محلی به سیستم عامل مهمان می تواند امتیازات را به عنوان root در ماشین مجازی افزایش دهد.

این شرکت گفت که این آسیب‌پذیری بر ابزارهای VMware در هر دو پلتفرم ویندوز و لینوکس تأثیر می‌گذارد که نسخه‌های وصله‌شده 12.1.0 و 10.3.25 برای آن‌ها موجود است.

همه چیز خوب خواهد بود، اما مشکلات VMware به همین جا ختم نشد.

سرورهای ویندوز و ایستگاه های کاری در ده ها سازمان امروز به دلیل مشکل ناشی از برخی نسخه های راه حل حفاظت نقطه پایانی کربن سیاه VMware شروع به از کار افتادن کردند.

اصل مشکل در قانون جدید تنظیم شده توسط بسته امضای AV 8.19.22.224 برای سنسور کربن سیاه 3.6.0.1979 - 3.8.0.398 نهفته است که باعث از کار افتادن دستگاه ها و نمایش یک صفحه آبی در هنگام راه اندازی می شود و از دسترسی به آنها جلوگیری می کند.

خطای BSOD Blue Screen of Death بر سیستم عامل های مایکروسافت ویندوز تأثیر می گذارد: Windows 10 x64، Server 2012 R2 x64، Server 2016 x64 و Server 2019 x64.

VMware Carbon Black از این موضوع آگاه است. به عنوان یک راه حل، VMware دور زدن حسگرها را از طریق کنسول Carbon Black Cloud توصیه می کند، که به دستگاه های آسیب دیده اجازه می دهد با موفقیت بوت شوند و مجموعه قوانین اشتباه را حذف کنند.

این اشکال برطرف شده است و VMware Carbon Black با مشتریان آسیب دیده کار می کند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

بهترین مرورگر برای حفظ حریم خصوصی آنلاین چیست؟

امروزه یکی از محبوب‌ترین راه‌های کسب سود برای وب‌سایت‌ها و مرورگرها، ردیابی و فروش داده‌های کاربران به تبلیغ‌کنندگان است. در حالی که نظارت بر فعالیت به صورت نامرئی انجام می شود، ردیابی کاربر می تواند عواقب منفی داشته باشد.

مهاجمان اغلب سعی می کنند از کاربران جاسوسی کنند تا داده ها را بدزدند و قربانی را دستکاری کنند. تلاش برای حفظ حریم خصوصی در اینترنت، جایی که شرکت ها به معنای واقعی کلمه به دنبال داده های کاربران هستند، ممکن است بیهوده به نظر برسد. با این حال، راه های محبوب و آسان بسیاری برای مخفی کردن داده های خود به صورت آنلاین وجود دارد.

یکی از ساده‌ترین راه‌ها برای حفظ حریم خصوصی آنلاین، استفاده از یک مرورگر امن و خصوصی است. از آنجایی که مرورگر «کلید» اینترنت است، باید بتواند اطلاعات شما را ایمن کند. یکی از اینها مرورگر معروف Tor است که ناشناس بودن کامل را در اینترنت ارائه می دهد. با این حال، بسیاری از مرورگرهای امن دیگر وجود دارد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

کارشناسان Kaspersky موجی از حملات هدفمند به شرکت های صنایع دفاعی و سازمان های دولتی در چندین کشور را شناسایی کرده اند. در جریان تحقیقات، بیش از دوازده سازمان مورد حمله پیدا شد. هدف این حمله کارخانه ها، دفاتر طراحی و موسسات تحقیقاتی، سازمان های دولتی، وزارتخانه ها و ادارات چندین کشور اروپای شرقی (بلاروس، روسیه، اوکراین) و افغانستان بودند.
مهاجمان موفق شدند به ده ها شرکت نفوذ کنند و حتی در برخی از آنها زیرساخت های فناوری اطلاعات را به طور کامل تصرف کرده و کنترل سیستم های مدیریت راه حل های امنیتی را در دست بگیرند.

تجزیه و تحلیل اطلاعات به دست آمده در جریان بررسی حوادث حاکی از آن است که هدف از این مجموعه حملات، جاسوسی سایبری بوده است.

نتیجه گیری
نتایج این مطالعه نشان می دهد که فیشینگ نیزه ای یکی از مهم ترین تهدیدها برای شرکت های صنعتی و سازمان های دولتی است. اساساً، مهاجمان از بدافزارهای درپشتی شناخته شده قبلی و همچنین تکنیک های استاندارد برای توسعه حمله و دور زدن تشخیص راه حل های ضد ویروس استفاده می کردند. در همان زمان، آنها توانستند به ده ها شرکت نفوذ کنند و حتی در برخی از آنها زیرساخت فناوری اطلاعات را به طور کامل تصرف کرده و کنترل سیستم های مدیریت راه حل های امنیتی را در دست بگیرند.
احتمال تکرار چنین حملاتی در آینده را بسیار زیاد می دانیم. شرکت های صنعتی و سازمان های دولتی باید کار گسترده ای برای دفع موفقیت آمیز چنین حملاتی انجام دهند.

✅توصیه ها
1️⃣اطمینان حاصل کنید که همه سرورها و ایستگاه های کاری نرم افزار امنیتی نصب کرده اند که از مدیریت متمرکز پشتیبانی می کند که پایگاه داده های ضد ویروس و ماژول های برنامه آن به روز هستند.
2️⃣ اطمینان حاصل کنید که تمام اجزای ضد بدافزار در همه سیستم‌ها فعال هستند و خط‌مشی برای جلوگیری از غیرفعال کردن حفاظت بدون وارد کردن رمز عبور سرپرست تنظیم شده است.
3️⃣بررسی کنید که خط‌مشی‌های Active Directory شامل محدودیت‌هایی برای تلاش‌های کاربر برای ورود به سیستم هستند. کاربران فقط باید مجاز به ورود به سیستم هایی باشند که برای انجام وظایف شغلی خود نیاز به دسترسی دارند.
4️⃣محدود کردن (به حداقل رساندن) اتصالات شبکه بین سیستم ها در شبکه OT، از جمله VPN ها. اتصالات را در تمام پورت هایی که در فرآیند مورد نیاز نیستند مسدود کنید.
5️⃣در صورت امکان، روابط اعتماد بین دامنه های سازمانی را محدود کنید و تعداد کاربرانی را که دارای حقوق سرپرست دامنه هستند به حداقل برسانید.
6️⃣آموزش کارکنان سازمان در مورد قوانین کار ایمن با اینترنت، ایمیل و سایر کانال های ارتباطی، به ویژه، توضیح عواقب احتمالی بارگیری و اجرای فایل ها از منابع تأیید نشده. به مسائل شناسایی ایمیل های فیشینگ و همچنین اقدامات ایمن برای کار با اسناد مایکروسافت آفیس توجه کنید.
7️⃣فقط در صورت لزوم برای انجام وظایف شغلی خود از حساب های سرپرست محلی و سرپرست دامنه استفاده کنید.
8️⃣توانایی برنامه ها را برای به دست آوردن امتیازات SeDebugPrivilege (در صورت امکان) محدود کنید.
9️⃣یک خط مشی رمز عبور را اجرا کنید که الزامات پیچیدگی رمز عبور را تعیین می کند و نیاز به تغییر منظم رمزهای عبور دارد.
🔟استفاده از محصولات و خدمات «تشخیص و پاسخ مدیریت شده» را برای دسترسی سریع به دانش و تجربه امنیت اطلاعات سطح بالا در نظر بگیرید.
1️⃣1️⃣از راهکار های حفاظتی مخصوص کارخانه های صنعتی استفاده کنید.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

مرورگر DuckDuckGo امن نیست

DuckDuckGo قول داده است که نظارت مایکروسافت را مسدود کند، اما نه همه آنها

پس از اینکه در ماه مه فاش شد که مرورگر وب متمرکز بر حریم خصوصی DuckDuckGo به مایکروسافت اجازه می دهد تا کاربران را تحت یک توافق محرمانه ردیابی کند، این شرکت اکنون قول می دهد که شروع به مسدود کردن این ردیاب ها کند، اما نمی تواند همه آنها را مسدود کند:

"من درک می کنم که ما انتظارات تعدادی از کاربران را در مورد یکی از محافظت های ردیابی وب در مرورگر خود برآورده نکرده ایم.

DuckDuckGo وعده داده است که با در دسترس قرار دادن لیست سیاه ردیاب خود و ارائه اطلاعات بیشتر در مورد نحوه عملکرد حفاظت ردیابی به کاربران شفاف‌تر عمل کند.

☝🏻یکی از مواردی که DuckDuckGo به‌طور پیش‌فرض پس از تغییرات این هفته مسدود نمی‌کند، اسکریپت‌هایی برای bat.bing.com هستند که بلافاصله پس از کلیک کاربر روی یکی از تبلیغات جستجوی DDG بارگیری می‌شوند.

در تمام زمینه‌های دیگر، DuckDuckGo اسکریپت‌های مایکروسافت را مسدود می‌کند.

به گفته واینبرگ، کاربران این امکان را دارند که با غیرفعال کردن تبلیغات در تنظیمات جستجوی DuckDuckGo از این امر جلوگیری کنند.🤷🏼‍♀️

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

محققان ThreatLabz Zscaler نمونه تازه کشف شده بدافزار جدید LilithBot را به گروه Eternity (همچنین به عنوان EternityTeam یا پروژه Eternity شناخته می شود) مرتبط کرده اند.
Eternity در حال توسعه بدافزار به عنوان یک سرویس (MaaS) با همین نام است. در ماه مه، به عنوان بخشی از تحقیقات، محققان Cyble بازار Eternity Project Tor را کشف و تجزیه و تحلیل کردند که طیف گسترده‌ای از بدافزارها را برای فروش ارائه می‌دهد، از جمله دزدان، ماینرها، باج‌افزارها و ربات‌های DDoS. همانطور که مشخص شد، اپراتورها همچنین یک کانال تلگرامی با 500 مشترک دارند که برای بحث در مورد دامنه بدافزارها و به روز رسانی ها استفاده می شد. علاوه بر این، اپراتورهای پروژه به مشتریان خود اجازه می دهند تا توابع باینری را از طریق کانال تلگرام شخصی سازی کنند.
اپراتورها ماژول Stealer را به قیمت 260 دلار به عنوان اشتراک سالانه می فروشند. این به شما امکان می دهد اطلاعات حساس زیادی را از سیستم های آلوده سرقت کنید، از جمله رمز عبور، کوکی ها، کارت های اعتباری و کیف پول های رمزنگاری شده. اطلاعات سرقت شده از طریق ربات تلگرام استخراج می شود. ماژول Eternity Miner 90 دلار قیمت دارد. مشتریان می توانند آن را با استخر Monero و ویژگی های AntiVM خود راه اندازی کنند. اپراتورهای ابدیت همچنین بدافزار کلیپر را به قیمت ۱۱۰ دلار می‌فروشند که بر روی کلیپ‌بورد کیف پول‌های ارزهای دیجیتال نظارت می‌کند و آدرس کیف پول مهاجمان را جایگزین آن‌ها می‌کند. باج افزار Eternity 490 دلار و Eternity Worm 390 دلار است. به گفته Cyble، اپراتورهای پروژه Eternity همچنین در حال توسعه کدهای مخرب DDoS Bot هستند که کد را از مخزن Github قرض می گیرد. LilithBot یک بدافزار چند منظوره پیشرفته است که توسط گروه Eternity از طریق یک کانال تلگرام اختصاصی در مدل MaaS توزیع شده است که می توان آن را از طریق Tor خریداری کرد. در عین حال، مهاجمان با افزودن ویژگی‌های جدید، از جمله حفاظت از اشکال زدایی و بررسی در برابر ماشین‌های مجازی، به طور مداوم بدافزار را بهبود می‌بخشند. LilithBot می تواند تمام اطلاعات (سابقه مرورگر، کوکی ها، تصاویر و اسکرین شات ها) را از سیستم های آلوده بدزدد و سپس خود را به عنوان یک فایل فشرده در C2 آپلود کند. گزارش محقق شامل جزئیات فنی و شاخص های سازش IOC و همچنین MITER ATT&CK است.

#Cybersecurity
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

یکی دیگر از ابزار جاسوس اندرویدی کشف شده است که به مهاجمان اجازه می دهد به مکالمات تلفنی قربانیان گوش داده و عکس های آنها را دانلود کنند.
جاسوس افزار جدید به نام RatMilad توسط متخصصان امنیت اطلاعات از Zimperium گزارش شده است.
این نرم افزار تحت پوشش برنامه های کاربردی (مانند NumRent یا Text Me) برای تولید شماره تلفن های مجازی توزیع می شود که معمولاً هنگام ثبت تعداد زیادی حساب در شبکه های اجتماعی و سایر خدمات آنلاین استفاده می شود.
بر اساس گزارش Zimperium، گروه هکر ایرانی AppMilad پشت این گسترش است و از رسانه‌های اجتماعی و خدمات پیام‌رسانی برای فریب قربانیان ادعایی برای دانلود بدافزار در دستگاه‌هایشان استفاده می‌کند.
هنگامی که یک ابزار جعلی را اجرا می کنید، تعداد زیادی مجوز درخواست می کند که به گفته کارشناسان، باید بلافاصله به کاربران هشدار دهد. این بدافزار دسترسی به لیست مخاطبین، محتوای پیام‌های SMS، میکروفون، داده‌های کلیپ‌بورد، GPS و موارد دیگر را درخواست می‌کند. پس از اینکه یک برنامه بدون فکر "اجازه بعدی" شروع به سرقت اطلاعات مربوط به حرکات قربانی، ضبط مکالمات، اسکن فایل های رسانه ای و ارسال نتایج به مهاجمان C2 کرد.

علاوه بر این، Zimperium یک کانال تلگرامی را کشف کرد که مهاجمان از آن برای انتشار بدافزار استفاده می کردند. به گفته کارشناسان، این پیام با پیوند به یک برنامه مخرب بیش از 4700 بازدید داشته و بیش از 200 بار منتشر شده است. شاخص ها نسبتاً مشروط هستند و هنوز نمی توان درجه واقعی فراگیری RatMilad را ارزیابی کرد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

چهار آسیب پذیری در ویژگی گسترده Ethernet VLAN Stacking کشف شد.

VLAN Stacking یکی از ویژگی‌های روترها و سوئیچ‌های مدرن است که به شرکت‌ها اجازه می‌دهد چندین شناسه VLAN را در یک اتصال VLAN واحد کپسوله کنند.

آسیب‌پذیری‌هایی در پروتکل‌های کپسوله‌سازی اترنت وجود دارد که امکان انباشته شدن هدرهای شبکه محلی مجازی (VLAN) را فراهم می‌کند. یک مهاجم احراز هویت نشده می‌تواند از ترکیبی از هدرهای VLAN و LLC/SNAP برای دور زدن ویژگی‌های فیلتر شبکه L2 مانند حفاظت IPv6 RA، بازرسی دینامیک ARP، حفاظت از کشف همسایه IPv6 و ردیابی DHCP استفاده کند. نقص‌های امنیتی مجموعه‌ای از دستگاه‌های شبکه، سوئیچ‌ها و روترها و همچنین سیستم‌عامل‌هایی را که از کنترل‌های امنیتی لایه ۲ (L2) برای فیلتر کردن ترافیک و ایزوله کردن شبکه مجازی استفاده می‌کنند، تحت تأثیر قرار می‌دهد. باگ‌ها به مهاجمان اجازه می‌دهند تا حملات انکار سرویس (DoS) یا Man-in-the-Middle (MitM) را از طریق استفاده از بسته‌های ساخته‌شده خاص انجام دهند. اشکال‌ها به‌عنوان CVE-2021-27853، CVE-2021-27854، CVE-2021-27861، و CVE-2021-27862 ردیابی می‌شوند، که هر کدام نوع متفاوتی از بای‌پس برای ویژگی بازرسی بسته‌های شبکه لایه 2 هستند.
شبکه‌های سیسکو و جونیپر قبلاً تأیید کرده‌اند که تعدادی از محصولات آن‌ها تحت تأثیر آسیب‌پذیری‌ها قرار گرفته‌اند، اما بسیاری از فروشندگان دستگاه‌های دیگر هنوز تحقیقات خود را تکمیل نکرده‌اند و بر این اساس، تهدید در معرض قرار گرفتن همچنان وجود دارد

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

این بازی برای اولین بار به عنوان یک داروی رسمی شناخته شد - سازمان غذا و داروی ایالات متحده (FDA) استفاده از بازی EndeavorRX Akili Interactive را به عنوان درمانی برای اختلال نقص توجه و بیش فعالی (ADHD) برای کودکان 8 تا 12 ساله تأیید کرد. - این بازی 5 آزمایش بالینی با بیش از 600 کودک را پشت سر گذاشته است. دوره درمان با بازی نیاز به انجام بازی 25 دقیقه در روز و 5 روز در هفته به مدت یک ماه است. - با تجویز پزشک، EndeavorRx برای دانلود در دستگاه های iOS و Android به عنوان مکمل برنامه درمانی فعلی فرزند شما در دسترس است. والدین همچنین می توانند پیشرفت درمان را با برنامه EndeavorRx Insight Companion دنبال کنند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

اعلام هشدار
ESET روز سه شنبه جزئیاتی درباره گروه #جاسوسی سایبری #Worok ارائه کرد که ابزارهای خود را توسعه می دهد و از ابزارهای موجود برای به خطر انداختن اهداف خود استفاده می کند. این شرکت بر این باور است که اپراتورها به دنبال سرقت اطلاعات از قربانیان خود هستند، زیرا آنها بر روی نهادهای برجسته در #آسیا و #آفریقا تمرکز می کنند و بخش های خصوصی و دولتی را هدف قرار می دهند، اما با تاکید خاص بر نهادهای دولتی.

Thibaut Passilly، محقق ESET، در یک پست وبلاگ نوشت: "زمان فعالیت و مجموعه ابزار نشان دهنده ارتباط احتمالی با TA428 است، اما ما این ارزیابی را با اطمینان کم انجام می دهیم." مجموعه ابزارهای سفارشی آنها شامل دو لودر – یکی در C++ و دیگری در C#.NET – و یک درب پشتی PowerShell است.

پاسیلی گفت که مجموعه ابزار Worok شامل یک بارگذار C++ CLRLoad، یک درب پشتی PowerShell PowHeartBeat و یک بارکننده C# PNGLoad است که از استگانوگرافی برای استخراج بارهای مخرب مخفی از فایل‌های PNG استفاده می‌کند. بر اساس تله متری ESET، Worok از اواخر سال 2020 فعال بوده است و تا زمان نگارش این مقاله همچنان فعال است.

بر اساس این گزارش، در اواخر سال 2020، Worok دولت ها و شرکت ها را در چندین کشور، از جمله یک شرکت #ارتباطات شرق آسیا، یک #بانک آسیای مرکزی، یک شرکت صنعت #دریانوردی آسیای جنوب شرقی، یک نهاد دولتی خاورمیانه و یک شرکت خصوصی در جنوب آفریقا هدف قرار داد. به پاسیلی

با این حال، وقفه قابل توجهی در عملیات مشاهده شده از ماه می سال گذشته تا ژانویه سال جاری وجود داشت. او می افزاید: «اما فعالیت Worok در سال 2022-2022 بازگشت و یک شرکت انرژی در آسیای مرکزی و یک نهاد بخش عمومی در آسیای جنوب شرقی را هدف قرار داد.

#امنیت_سایبری #سایبری_صنعتی

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti
واتس اپ:
https://chat.whatsapp.com/FpB620AWEeSKvd8U6cFh33

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

کارشناسان امنیت سایبری هشدار می دهند که جهان به سمت یک طوفان جنایت سایبری "کامل" پیش می رود

کارشناسان امنیت سایبری میگویند که ترکیبی از تنش‌های ژئوپلیتیک فزاینده، رکود اقتصادی در آینده و فشار برای دیجیتالی کردن فرآیندهای تجاری، یک "طوفان عالی" برای هکرها ایجاد کرده است.
مایک مدیسون، مدیر اجرایی NCC گفت: دستور کار دیجیتالی کردن در پشت همه‌گیری جهانی فرصت‌های جدیدی را برای هکرها ایجاد کرده است تا راه‌های جدیدی برای نفوذ و استفاده از شرکت‌ها باز کنند.
فشار برای دیجیتالی کردن فرآیندهای تجاری در حالی صورت می گیرد که درگیری روسیه و اوکراین و بدتر شدن روابط با چین نیز منجر به افزایش حملات سایبری از سوی گروه های هکری تحت حمایت دولت شده است.

به نوبه خود، رکود جهانی در حال پیشروی نیز تهدیدی برای ایجاد انگیزه های قوی تر برای مجرمان سایبری است، زیرا افراد باهوش رایانه به طور فزاینده ای به سمت جرم روی می آورند.
یک کارشناس امنیت سایبری گفت که از زمان حمله روسیه به اوکراین در فوریه، حملات سایبری افزایش یافته است.
او گفت که افزایش حملات سایبری همچنین نتیجه افزایش تعداد افراد ماهر سایبری است که در میان گسترش گسترده ابزارهای هک بسیار کارآمد وارد تجارت می‌شوند.
وی گفت هکرهای کره شمالی نقش ویژه ای در راه اندازی حملات سایبری علیه بازیگران اصلی در بخش مالی جهانی ایفا کرده اند.
او گفت هکرهای روسی و چینی تمایل بیشتری به تمرکز بر شرکت‌ها و شرکت‌های زیرساختی دارند که دارایی‌های کلیدی با اهمیت نظامی هستند.
مدیسون خاطرنشان کرد که غالباً بین هکرهای تحت حمایت دولت و مجرمان سایبری مستقلی که یا توسط دولت استخدام می‌شوند یا صرفاً به میل خود حملاتی را علیه دشمنان ایالت‌های خود انجام می‌دهند، تفاوت قابل توجهی وجود ندارد.
وی خاطرنشان کرد که کشورهای متخاصم مایلند از کسانی که رقبای ژئوپلیتیکی آنها را هک می کنند چشم بپوشند.
رایان کالمبر، معاون اجرایی شرکت امنیت سایبری Proofpoint، گفت که "مجرمان سایبری فرصت طلب" از نوسانات سیاسی و اقتصادی سوء استفاده می کنند، زیرا او اشاره کرد که حملات در پشت جنگ در اوکراین افزایش یافته است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

💢وکلای ایلان ماسک: افشاگر ضعف‌های امنیتی توییتر ۷ میلیون دلار حق سکوت دریافت کرده است

به گفته وکلای ایلان ماسک، شرکت توییتر به افشاگری که از مشکلات عملیاتی در پلتفرم این رسانه‌های اجتماعی سخن به میان آورده بود ۷ میلیون دلار حق سکوت پرداخت کرده است.

پرداخت این باج در جلسه ششم سپتامبر رسیدگی به دعوای حقوقی میان شرکت توییتر و ایلان ماسک در پی اعلام انصراف مدیر عامل شرکت تسلا از خرید شبکه اجتماعی توییر به مبلغ ۴۴ میلیارد دلار مطرح شد.

جزئیات بیشتر: https://bit.ly/3RRbd4h

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

مایکروسافت: هکرهای ایرانی سیستم های ویندوز را با استفاده از BitLocker رمزگذاری می کنند

مایکروسافت می‌گوید یک گروه تهدید دولتی ایرانی که با نام DEV-0270 (با نام مستعار Nemesis Kitten) ردیابی می‌کند، از ویژگی BitLocker Windows در حملات برای رمزگذاری سیستم‌های قربانیان سوء استفاده کرده است.

تیم‌های اطلاعاتی تهدید ردموند دریافتند که این گروه به سرعت از آسیب‌پذیری‌های امنیتی جدید فاش شده سوء استفاده می‌کند و به طور گسترده از باینری‌های زنده خارج از زمین (LOLBIN) در حملات استفاده می‌کند.

این با یافته‌های مایکروسافت مبنی بر اینکه DEV-0270 از BitLocker استفاده می‌کند، یک ویژگی حفاظت از داده‌ها است که رمزگذاری کامل حجم را در دستگاه‌هایی که ویندوز 10، ویندوز 11 یا ویندوز سرور 2016 و بالاتر دارند، ارائه می‌کند.


بدافزار Bumblebee ابزار پس از بهره برداری را برای نفوذ های مخفی اضافه می کند حمله GIFShell با استفاده از تیم های مایکروسافت پوسته معکوس ایجاد می کند GIFsCISA به آژانس ها دستور می دهد تا نقص های Chrome و D-Link مورد استفاده در حملات را اصلاح کنند.

CISA به آژانس‌ها دستور می‌دهد تا نقص‌های Chrome، D-Link مورد استفاده در حملات را اصلاح کنند
اطلاعات تهدید امنیتی مایکروسافت توضیح داد: "DEV-0270 با استفاده از دستورات setup.bat برای فعال کردن رمزگذاری BitLocker، که منجر به غیر فعال شدن هاست می شود، مشاهده شده است."

برای ایستگاه های کاری، این گروه از DiskCryptor استفاده می کند، یک سیستم رمزگذاری دیسک کامل منبع باز برای ویندوز که امکان رمزگذاری کل هارد دیسک دستگاه را فراهم می کند.

زمان باج گیری (TTR) بین دسترسی اولیه و یادداشت باج در سیستم های قفل شده حدود دو روز بود، و DEV-0270 مشاهده شده است که از قربانیان خواسته است تا 8000 دلار برای کلیدهای رمزگشایی پس از حملات موفقیت آمیز بپردازند.

زنجیره حمله Nemesis Kitten
زنجیره حمله DEV-0270 (مایکروسافت)
مهتابی برای منافع شخصی

ردموند می‌گوید این یک زیرگروه از گروه جاسوسی سایبری فسفر تحت حمایت ایران (با نام مستعار Charming Kitten و APT35) است که به دلیل هدف قرار دادن و جمع‌آوری اطلاعات از قربانیان برجسته مرتبط با دولت‌ها، سازمان‌های غیردولتی و سازمان‌های دفاعی در سراسر جهان شناخته می‌شود.

DEV-0270 به نظر می رسد "برای تولید درآمد شخصی یا شرکتی خاص"، بر اساس ارزیابی اعتماد پایین مایکروسافت، به نظر می رسد.

مایکروسافت بر اساس «همپوشانی‌های زیرساخت‌های متعدد» می‌گوید که این گروه توسط یک شرکت ایرانی که با دو نام مستعار شناخته می‌شود اداره می‌شود: Secnerd (secnerd[.]ir) و Lifeweb (lifeweb[.]it).

ردموند افزود: «این سازمان‌ها همچنین با ناجی فناوری هوشمند (ناجی فناوری هوشمند) واقع در کرج، ایران مرتبط هستند.

این گروه معمولاً در هدف‌یابی خود فرصت‌طلب است: بازیگر اینترنت را اسکن می‌کند تا سرورها و دستگاه‌های آسیب‌پذیر را بیابد و سازمان‌هایی را که سرورها و دستگاه‌های آسیب‌پذیر و قابل کشف دارند، مستعد این حملات می‌کند.»

از آنجایی که بسیاری از حملات DEV-0270 از آسیب‌پذیری‌های شناخته‌شده در Exchange (ProxyLogon) یا Fortinet (CVE-2018-13379) سوء استفاده کرده‌اند، به شرکت‌ها توصیه می‌شود که سرورهای اینترنتی خود را اصلاح کنند تا تلاش‌های بهره‌برداری و حملات بعدی باج‌افزار را مسدود کنند.

فعالیت مخرب مشابه مرتبط با گروه تهدید Secureworks به‌عنوان COBALT MIRAGE (با عناصری که روی گروه فسفر APT همپوشانی دارند) توسط واحد مقابله با تهدید SecureWorks (CTU) در ماه می گزارش شد.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

رکود بزرگ 2.0 🤔 اخراج های دسته جمعی در حال افزایش است.

شرکت فناوری چینی علی بابا 9241 کارمند خود را از آوریل تا ژوئن اخراج کرد.
بازار آمازون حدود 100000 کارگر را اخراج کرد.
🔻رهبری شبکه اجتماعی اسنپ قصد دارد به دلیل وخامت شاخص های اقتصادی اخراج های گسترده ای را انجام دهد.
شرکت آمریکایی اوراکل هفته گذشته صدها کارمند خود را اخراج کرد و قصد دارد هزاران نفر را اخراج کند.
🔻در ماه جولای، مایکروسافت قصد خود را برای اخراج چندین هزار نفر از کارکنان خود اعلام کرد.
🔻Shopify اخراج 1000 کارمند را اعلام کرد

پیش از این، اپل، گوگل، تسلا، نتفلیکس، توییتر و بسیاری از شرکت های دیگر اخراج گسترده یا توقف کامل استخدام را گزارش کرده بودند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

آمازون بازیگران مشهور هالیوود را برای تبلیغ موضوع احراز هویت چند عاملی استخدام کرده است.

من نمی دانم که آیا خود بازیگران این گزینه را روشن کرده اند؟ و خیلی پیش میاد که اونی که تبلیغ میکنه اصلا از چیزی که تبلیغ میکنه استفاده نمیکنه 😊

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
/channel/pedram_kiani
کانال تلگرام:
/channel/ics_cert
توییتر:
https://twitter.com/icscerti

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

سرویس رایگان VPN که برای جاسوسی از کاربران طراحی شده است

— در 7 ژوئیه، محقق Cybernews، یک نمونه باز از ElasticSearch حاوی 626 گیگابایت گزارش اتصال VPN با 5.7 میلیارد سابقه کاربر برای برنامه رایگان VPN Airplane Accelerates را کشف کرد.

- از نشت داده ها می توان برای بی هویت کردن و ردیابی کاربران این برنامه استفاده کرد. تجزیه و تحلیل برنامه اندروید همچنین نشان می دهد که این برنامه قادر است به عنوان جاسوس افزار عمل کند و دارای قابلیت اجرای کد از راه دور است.

طبق تحقیقات، اپلیکیشن Airplane تعداد زیادی مجوز از دسترسی به دوربین و ضبط صدا گرفته تا خواندن و ویرایش مخاطبین، اتصال حافظه خارجی و نصب بسته‌ها را درخواست کرده است. به گفته نظرواس، تعداد مجوزهای درخواست شده نشان می دهد که برخی از اطلاعات جمع آوری شده در پایگاه داده دیگری ذخیره می شود.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

یک ترفند

اگه گرافیک سیستمت هنگ کرد یا مشکل رنگ پریدگی داشت یا از این قبیل موارد، تو ویندوز فقط کافیه کلیدهای ترکیبی زیر را با هم وارد کنید!

👈 Ctrl+shift+win+B

با این کار کارت گرافیک شما ریستارت میشود.

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

سیسکو سیستم هک شد

روز چهارشنبه، این شرکت اطلاعیه ای درباره این حادثه سایبری و پستی منتشر کرد که جزئیات شرایط را نشان می داد.

در نتیجه این حمله، مجرمان سایبری موفق به نفوذ به داده های شرکت شدند و این حادثه تأثیری بر عملیات شرکت نداشت.

این تهاجم در 24 می کشف شد، اما تنها پس از انتشار فهرستی از فایل‌های دزدیده شده در DLS، سازنده تصمیم گرفت نسخه خود را از رویدادها بگوید.

به گفته سیسکو، مهاجم یکی از کارمندان خود را هدف قرار داده و تنها فایل‌هایی را که در پوشه Box مرتبط با حساب قربانی ذخیره شده‌اند و همچنین داده‌های احراز هویت کارمندان از Active Directory را به سرقت برده است.

این شرکت ادعا می کند که اطلاعات ذخیره شده در پوشه Box محرمانه نبوده است.

برای دسترسی اولیه، هکرها اعتبار سیسکو کارمند را از طریق کروم به دست آوردند که برای همگام سازی رمزهای عبور پیکربندی شده بود.

در مرحله بعد، هکرها توانستند دستگاه های جدیدی را برای MFA ثبت کنند و با Cisco VPN احراز هویت کنند. سپس این بازیگر امتیازات خود را افزایش داد، یک درب پشتی پایدار ایجاد کرد و از محیط به سیستم‌های دیگر، از جمله سرورهای Citrix و کنترل‌کننده‌های دامنه رفت.

پس از کشف نفوذ و لغو دسترسی مهاجم، سیسکو تلاش های مستمری برای بازگرداندن آن مشاهده کرد، اما به گفته شرکت، همه آنها شکست خوردند.

سیسکو این حمله را به یک واسطه دسترسی اولیه نسبت داد که با مهاجم UNC2447 مرتبط است، که به گفته محققان، با FiveHands، HelloKitty، Lapsus$ و همچنین باج افزار Yanluowang در تعامل است.

در واقع، Yanluowang مسئولیت این حمله را بر عهده گرفت و ادعا کرد که حدود 3000 فایل با حجم کلی 2.8 گیگابایت را به سرقت برده است.

اسامی فایل های منتشر شده توسط هکرها دلیلی برای رد اظهارات رسمی و اعتقاد بر این است که برخی از اطلاعات محرمانه هنوز به خطر افتاده است.

بسیاری از این فایل‌ها توافق‌نامه‌های عدم افشا، تخلیه داده‌ها و نقشه‌های فنی هستند.

در طول این حمله، زیرساخت سیسکو رمزگذاری نشده بود و هیچ باج گیری در طول تماس با مهاجمان انجام نشد.

با این حال، تمام TTP های استفاده شده با فعالیت های منتهی به استقرار باج افزار سازگار بودند.

اما ظاهراً مشکلی پیش آمده است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

در نتیجه حمله دیگری به زنجیره تامین، خدمات اورژانسی سرویس بهداشت ملی (NHS) بریتانیا از کار افتاد.

این حادثه سایبری با نقص در سیستم ارائه دهنده خدمات مدیریت شده بریتانیا (MSP) Advanced همراه است.

راه حل مشتری پیشرفته مدیریت بیمار Adastra گزارش شده است که توسط 85٪ از خدمات NHS استفاده می شود. این بود که در میان سایر خدمات ارائه شده توسط MSP آسیب دید.

به گفته مقامات بهداشتی، این حمله خسارات قابل توجهی به بار آورد و عواقب آن طولانی مدت خواهد بود. که در واقع مدیر عملیات Advanced Simon Short را تایید می کند.

به عموم مردم در بریتانیا توصیه شده است تا زمانی که حادثه حل و فصل شود، با خدمات اضطراری NHS 111 با استفاده از پلت فرم آنلاین تماس بگیرند. تاکنون تنها 2 درصد از زیرساخت های بهداشت و درمان بازسازی شده است

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security

Читать полностью…

کانال تخصصی امنیت سایبری «کتاس»

اتحادیه اتاق‌های بازرگانی و صنایع آلمان (DIHK) تحت هجوم یک حمله سایبری قرار گرفت و مجبور شد تمام سیستم‌های فناوری اطلاعات خود را تعطیل کند.

DIHK انجمنی متشکل از 79 اتاق است که شرکت های آلمانی را نمایندگی می کند و شامل بیش از 3 میلیون عضو از میان نمایندگان سازمان های تجاری، از فروشگاه های خرده فروشی کوچک تا شرکت های بزرگ است.

DIHK نمایندگی قانونی، مشاوره، ترویج تجارت خارجی، آموزش و خدمات توسعه اقتصادی منطقه ای را ارائه می دهد.

DIHK در بیانیه ای هشدار داد که زیرساخت ها به عنوان یک اقدام پیشگیرانه تا زمانی که اقدامات حفاظتی لازم انجام شود، تعطیل می شود.

مایکل برگمان، مدیر عامل DIHK، به نوبه خود به لینکدین گفت که این حمله سایبری روز چهارشنبه رخ داد و این حادثه را "عظیم" توصیف کرد.

به نظر ما، همه نشانه‌هایی از حمله باج‌افزاری وجود دارد، اگرچه این موضوع هنوز به طور رسمی تایید نشده است. در این مورد، ما انتظار تایید رسمی از قبل از طریق DLS را داریم.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
http://t.me/ict_security

Читать полностью…
Subscribe to a channel