افزایش حملات سایبری به سیستم های صنعتی "SCADA"
♨️ چندی پیش گزارشی از حملات سایبری به بنادر هرمزگان به دست ما رسید که مشغول بررسی آنها بودیم تا اینکه دیروز در انجمن raidforums یکی از کاربران مدعی نفوذ به سیستم های برق منطقه ایی استان قم شده و نمونه هایی را نیز برای عموم کاربران به اشتراک گذاشته است. این نمونه ها شامل تست پورت های باز و همچنین ورود به سرور FTP و چند مدل سیستم دیگر می باشد .
در ادامه تعدادی عکس مشاهده می شود که مربوط به لوکیشن آب سنگین اراک و همچنین ورود به دستگاه های صنعتی شهر صنعتی پرند می باشد. این عکس ها را هکرها برای اثبات عملیات خود به اشتراک می گذارند .
عکس های بالا مرتبط با شرح این موضوع می باشند
♨️ما به طور مستقل نمیتوانیم ادعای این شخص را تایید کنیم اما با توجه به سابقه نشت اطلاعات گسترده در این مدت و همچنین به فروش گذاشتن اطلاعات مختلف سایت ها و سرورهای ایرانی در این انجمن هکری و همچنین نفوذ های اخیر به سیستم های صنعتی می توان این احتمال را داد که این حملات ادامه دار خواهند بود
⚡️⚡️⚡️زنگ خطر جدی برای دیگر سازمان ها ⚡️⚡️⚡️
#SCADA
#Attacks
🇮🇷 @IranCyber_org
♨️ چندی پیش گزارشی از حملات سایبری به بنادر هرمزگان به دست ما رسید که مشغول بررسی آنها بودیم تا اینکه دیروز در انجمن raidforums یکی از کاربران مدعی نفوذ به سیستم های برق منطقه ایی استان قم شده و نمونه هایی را نیز برای عموم کاربران به اشتراک گذاشته است. این نمونه ها شامل تست پورت های باز و همچنین ورود به سرور FTP و چند مدل سیستم دیگر می باشد .
در ادامه تعدادی عکس مشاهده می شود که مربوط به لوکیشن آب سنگین اراک و همچنین ورود به دستگاه های صنعتی شهر صنعتی پرند می باشد. این عکس ها را هکرها برای اثبات عملیات خود به اشتراک می گذارند .
عکس های بالا مرتبط با شرح این موضوع می باشند
♨️ما به طور مستقل نمیتوانیم ادعای این شخص را تایید کنیم اما با توجه به سابقه نشت اطلاعات گسترده در این مدت و همچنین به فروش گذاشتن اطلاعات مختلف سایت ها و سرورهای ایرانی در این انجمن هکری و همچنین نفوذ های اخیر به سیستم های صنعتی می توان این احتمال را داد که این حملات ادامه دار خواهند بود
⚡️⚡️⚡️زنگ خطر جدی برای دیگر سازمان ها ⚡️⚡️⚡️
#SCADA
#Attacks
🇮🇷 @IranCyber_org
مرکز امنیتی ایران سایبر | ICG
📛 گزارش حملات سایبری به بندر شهید رجایی در تنگه هرمز ♨️بر اساس گزارش های منتشر شده از خبرگزاری ایلنا که در وب سایت های زیادی بازنشر پیدا کرده، طی چند روز گذشته سیستم های بنادر و دریانوردی (PMO) با تلاش ناکام حمله سایبری روبرو شده اند. اگرچه هکرها موفق شدند…
♦️واشنگتن پست: اسرائیل، مسوول حمله سایبری به بندرعباس
🔹روزنامه "واشنگتن پست" نوشت که به احتمال زیاد، اسرائیل، مسوول حمله سایبری به تاسیسات بندر شهید رجایی (بندرعباس) است.
🔹به نوشته این روزنامه، این حمله، تاسیسات کامپیوتری در بندر شهیدرجایی (بندرعباس) را مورد هدف قرار داد و باعث شد رفت و آمدهای دریایی در بندرشهید رجایی با اختلال مواجه شود.
🔹روزنامه واشنگتن پست به نقل از مقامات آمریکایی و مقامات خارجی که نام آنها را ذکر نکرده گفت به احتمال زیاد، اختلال به وجود آمده در تاسیسات کامپیوتری بندر شهیدرجایی در روز 9 مارس گذشته (18 اسفند 1398)، انتقام حمله سایبری گذشته علیه اسرائیل باشد
🇮🇷 @IranCyber_org
🔹روزنامه "واشنگتن پست" نوشت که به احتمال زیاد، اسرائیل، مسوول حمله سایبری به تاسیسات بندر شهید رجایی (بندرعباس) است.
🔹به نوشته این روزنامه، این حمله، تاسیسات کامپیوتری در بندر شهیدرجایی (بندرعباس) را مورد هدف قرار داد و باعث شد رفت و آمدهای دریایی در بندرشهید رجایی با اختلال مواجه شود.
🔹روزنامه واشنگتن پست به نقل از مقامات آمریکایی و مقامات خارجی که نام آنها را ذکر نکرده گفت به احتمال زیاد، اختلال به وجود آمده در تاسیسات کامپیوتری بندر شهیدرجایی در روز 9 مارس گذشته (18 اسفند 1398)، انتقام حمله سایبری گذشته علیه اسرائیل باشد
🇮🇷 @IranCyber_org
✨ هفته گذشته تیم توسعه دهنده Huawei یه وصله امنیتی مربوط به HKSP رو برای پشتیبانی لینوکس ارسال کرده که مربوط به یه آسیب پذیری خیلی سطح پایین و ناچیزی بوده. HKSP یا به عبارتی Huawei Kernel Self Protection ابزاری برای محافظت از کرنل لینوکس و نکته جالب این ماجرا اینجاست که طبق بررسی های تیم پشتیبانی بنیاد لینوکس تو این وصله یه بکدور وجود داشته ...
هواوی این بکدور رو خیلی بی اهمیت جلوه داده و گفته که کار ما نبوده و ممکنه کارمندای خودتون این کارو کرده باشن 🌝
این اولین باره که شرکت هواوی تو پروژه توسعه کرنل لینوکس مشارکت می کنه و این ماجراها براش پیش اومده
تیم امنیت Grsecurance یک آسیب پذیری قابل بهره برداری رو تو وصله HKSP که توسط هواوی ارائه شده شناسایی کرده و گفته که کار تیم هواوی
از این گزارش میشه نتیجه گرفت که تیم هوآوی به طرز عجیبی یه بکدور رو تو هسته لینوکس کار گذاشته و در صورت تأیید وصله، تو به روز رسانی جهانی لینوکس اعمال میشد
جهت مطالعه بیشتر به لینک زیر رجوع کنید...
🇮🇷 @IranCyber_org
هواوی این بکدور رو خیلی بی اهمیت جلوه داده و گفته که کار ما نبوده و ممکنه کارمندای خودتون این کارو کرده باشن 🌝
این اولین باره که شرکت هواوی تو پروژه توسعه کرنل لینوکس مشارکت می کنه و این ماجراها براش پیش اومده
تیم امنیت Grsecurance یک آسیب پذیری قابل بهره برداری رو تو وصله HKSP که توسط هواوی ارائه شده شناسایی کرده و گفته که کار تیم هواوی
از این گزارش میشه نتیجه گرفت که تیم هوآوی به طرز عجیبی یه بکدور رو تو هسته لینوکس کار گذاشته و در صورت تأیید وصله، تو به روز رسانی جهانی لینوکس اعمال میشد
جهت مطالعه بیشتر به لینک زیر رجوع کنید...
🇮🇷 @IranCyber_org
AndroidRookies
Huawei dev team sends a buggy HKSP patch with backdoor to Linux Foundation - AndroidRookies
Huawei development team mails an HKSP (Huawei Kernel Self Protection) Linux patch with a backdoor to Linux Foundation, Huawei denies involvement
📛زنجیره نشت دیتا و فروش اطلاعات وب سایت های ایرانی همچنان برقرار است.
♨️پس از بررسی فروم های خرید و فروش دیتا در تاریخ 23 May اطلاعات شرکت آسیاتک در فروم معروف RaidF orums برای فروش به اشتراک گذاشته شد.
♨️هکرها توانستند از ضعف امنیتی این شرکت استفاده کرده و دیتاهای آن را به سرقت ببرند.
این دیتاها شامل بانک اطلاعاتی 23 میلیون رکورد ADSL crm.asiatech.ir شهرهای تهران ، مشهد ، ساری ، رشت ، ... می باشد.
طبق توضیحات محمد علی یوسفی زاده مدیر عامل آسیاتک ، دیتاهای اعلام شده از سوی هکرها مربوط به پنل نمایندگان فروش این شرکت بوده و یوزرنیم و پسوردها هم مربوط به سیستم امور مشترکین محلی همان شرکت بوده است .
نکته اصلی این رخداد سایبری " پسوردها" هستند که بدون فرآیند هشینگ اعمال شده اند
بهتر نیست که از Password hashing برای ذخیره پسوردها استفاده شود ؟ والا چیز خوبیه 😉
♨️در ادامه هکرها این اطلاعات را با قیمت 10BTC به فروش گذاشته اند.
🇮🇷 @IranCyber_org
♨️پس از بررسی فروم های خرید و فروش دیتا در تاریخ 23 May اطلاعات شرکت آسیاتک در فروم معروف RaidF orums برای فروش به اشتراک گذاشته شد.
♨️هکرها توانستند از ضعف امنیتی این شرکت استفاده کرده و دیتاهای آن را به سرقت ببرند.
این دیتاها شامل بانک اطلاعاتی 23 میلیون رکورد ADSL crm.asiatech.ir شهرهای تهران ، مشهد ، ساری ، رشت ، ... می باشد.
طبق توضیحات محمد علی یوسفی زاده مدیر عامل آسیاتک ، دیتاهای اعلام شده از سوی هکرها مربوط به پنل نمایندگان فروش این شرکت بوده و یوزرنیم و پسوردها هم مربوط به سیستم امور مشترکین محلی همان شرکت بوده است .
نکته اصلی این رخداد سایبری " پسوردها" هستند که بدون فرآیند هشینگ اعمال شده اند
بهتر نیست که از Password hashing برای ذخیره پسوردها استفاده شود ؟ والا چیز خوبیه 😉
♨️در ادامه هکرها این اطلاعات را با قیمت 10BTC به فروش گذاشته اند.
🇮🇷 @IranCyber_org
♨️مثل اینکه قراره زنجیره نشت دیتا و فروش اطلاعات وب سایت های ایرانی ادامه دار باشه ...
📛باز هم لو رفتن اطلاعات ملت و سهل انگاری مسئولان مربوطه
بانک اطلاعات 5 میلیون دانشجو، کارمند و استاتید دانشگاه آزاد اسلامی (WTIAU | iauctb | iau-tnb) ایران نشت پیدا کرده و هکرا مشغول کاسبی هستن باهاش
📛یه خدا قوت هم بگیم به مرکز تحقیقات امنیت سایبری آپا که شبانه روز تلاش میکنن تا مترجم فارسی و عربی جذب کنن
✨خدا قوت دلاوران ✋ فقط وقت کردید سرورهای دانشگاه ها رو هم چک کنید 🙏
🇮🇷 @IranCyber_org
📛باز هم لو رفتن اطلاعات ملت و سهل انگاری مسئولان مربوطه
بانک اطلاعات 5 میلیون دانشجو، کارمند و استاتید دانشگاه آزاد اسلامی (WTIAU | iauctb | iau-tnb) ایران نشت پیدا کرده و هکرا مشغول کاسبی هستن باهاش
📛یه خدا قوت هم بگیم به مرکز تحقیقات امنیت سایبری آپا که شبانه روز تلاش میکنن تا مترجم فارسی و عربی جذب کنن
✨خدا قوت دلاوران ✋ فقط وقت کردید سرورهای دانشگاه ها رو هم چک کنید 🙏
🇮🇷 @IranCyber_org
📛 زنجیره نشت اطلاعات همچنان در دستان مهاجمان سایبری
♨️پس از بررسی فروم های خرید و فروش اطلاعات در تاریخ June 01, 2020 به دیتابیس شرکت رایتل برخورد کردیم
تحلیل های صورت گرفته نشت اطلاعات شرکت رایتل را تایید کرد . حدود 5.5 میلیون اطلاعات کاربران رایتل در دستان مهاجمان سایبری و در حال فروش به قیمت 1000 دلار می باشند. (عزیزان هکر بیت کوین درخواست فرمودند😅)
♨️بیانیه منتشر شده جناب هکر:
"ما بار اول از شرکت RighTel خواستم 5 بیت کوین به ما بده تا دیتابیس رو نفروشیم ولی خب این کارو نکردن و اصلا اهمیتی هم به درخواست ما ندادن برای همین تصمیم گرفتیم برای فروش در فروم های متقاضی قرار بدیم. این پایگاه داده شامل اطلاعات کاملی از مشترکین تلفن همراه ایرانی اپراتور RighTel است."
♨️اطلاعات دیتابیس شامل موارد زیر می باشد:
▪️نام و نام خانوادگی
▪️نام پدر
▪️شماره ملی
▪️تاریخ تولد
▪️شماره شناسنامه
▪️شماره موبایل RighTel
▪️شماره سریال سیم کارت RighTel
▪️شماره موبایل دیگر کاربران
▪️آدرس کامل (شهر ، منطقه ، خیابان ، کوچه ، پلاک ، بلوک ، طبقه ، واحد)
▪️پست الکترونیک
▪️کد پستی
مراقب اطلاعات مردم باشید 😒
🇮🇷 @IranCyber_org
♨️پس از بررسی فروم های خرید و فروش اطلاعات در تاریخ June 01, 2020 به دیتابیس شرکت رایتل برخورد کردیم
تحلیل های صورت گرفته نشت اطلاعات شرکت رایتل را تایید کرد . حدود 5.5 میلیون اطلاعات کاربران رایتل در دستان مهاجمان سایبری و در حال فروش به قیمت 1000 دلار می باشند. (عزیزان هکر بیت کوین درخواست فرمودند😅)
♨️بیانیه منتشر شده جناب هکر:
"ما بار اول از شرکت RighTel خواستم 5 بیت کوین به ما بده تا دیتابیس رو نفروشیم ولی خب این کارو نکردن و اصلا اهمیتی هم به درخواست ما ندادن برای همین تصمیم گرفتیم برای فروش در فروم های متقاضی قرار بدیم. این پایگاه داده شامل اطلاعات کاملی از مشترکین تلفن همراه ایرانی اپراتور RighTel است."
♨️اطلاعات دیتابیس شامل موارد زیر می باشد:
▪️نام و نام خانوادگی
▪️نام پدر
▪️شماره ملی
▪️تاریخ تولد
▪️شماره شناسنامه
▪️شماره موبایل RighTel
▪️شماره سریال سیم کارت RighTel
▪️شماره موبایل دیگر کاربران
▪️آدرس کامل (شهر ، منطقه ، خیابان ، کوچه ، پلاک ، بلوک ، طبقه ، واحد)
▪️پست الکترونیک
▪️کد پستی
مراقب اطلاعات مردم باشید 😒
🇮🇷 @IranCyber_org
✨ عرض سلام و شب بخیر خدمت دوستان گرامی و همراهان گروه اسپاد
♨️ تعدادی از پست های کانال ما توسط همکاران گرامی کپی میشه و از ذکر منبع خودداری میکنن 😔
بچه های تیم اسپاد زحمات زیادی برای نشر اخبار و مطالب فنی دنیای امنیت و فناوری میکشن
لطفا اخلاق حرفه ایی کار رو رعایت بفرمایید و مطالب رو با ذکر منبع در کانال های خودتون درج کنید
با تشکر
مدیریت اسپاد 🙏
🇮🇷 @IranCyber_org
♨️ تعدادی از پست های کانال ما توسط همکاران گرامی کپی میشه و از ذکر منبع خودداری میکنن 😔
بچه های تیم اسپاد زحمات زیادی برای نشر اخبار و مطالب فنی دنیای امنیت و فناوری میکشن
لطفا اخلاق حرفه ایی کار رو رعایت بفرمایید و مطالب رو با ذکر منبع در کانال های خودتون درج کنید
با تشکر
مدیریت اسپاد 🙏
🇮🇷 @IranCyber_org
✨ به روزرسانی های مهم امنیتی Drupal- نقص های امنیتی که موجب اجرای دلخواه کد PHP می شود
🔹دروپال 8 و 9 دارای آسیب پذیری اجرای کد از راه دور تحت شرایط خاص هستند.
💥توسعه دهندگان Drupal نسخه های امنیتی جدیدی را برای رفع چندین آسیب پذیری امنیتی منتشر کردند. از جمله نقص های مهمی که در این به روز رسانی ها مرتفع شد و هر دو نسخه 8 و 9 را تحت تأثیر قرار می داد، آسیب پذیری با شناسه CVE-2020-13664 بود که می توانست به یک مهاجم سایبری امکان اجرای کد PHP دلخواه را بدهد. طبق تحلیل های صورت گرفته، کارشناسان به این نتیجه رسیدند که از این نقص امنیتی فقط می توان در شرایط خاص بهره برداری کرد و به احتمال زیاد روی سرورهای ویندوز تأثیر گذار است.
💥چگونگی بهره برداری از آسیب پذیری های شناسایی شده:
شخص مهاجم سایبری می تواند مدیر یک سیستم را به بازدید از سایت مخرب مدد نظر خود ترغیب کرده و در ادامه اقدام به ایجاد یک دایرکتوری با نام دلخواه بر روی سیستم کند. مهاجم با استفاده از این دایرکتوری می تواند فرآیند اجرای کد از راه دور خود را عملیاتی کرده و سرورهای ویندوزی را تحت تاثیر عملیات خود قرار دهد.
💥دروپال به آسیب پذیری CSRF که با شناسه CVE-2020-13663 قابل ردیابی است، اشاره کرده و در ادامه اظهار داشته که این آسیب پذیری بر روی ورژن های 7 ، 8 و 9 تأثیر گذار است.
💥مورد بعدی شامل آسیب پذیری بایپس دسترسی یا access bypass می باشد که از نظر توسعه دهندگان دروپال سطح مخاطره آن پایین است. طبق بررسی های صورت گرفته، درخواستهای API PATCH ممکن است برخی از اعتبار سنجی های خاص را بایپس کند.
✨✨به طور پیش فرض، API در یک حالت فقط خواندنی کار می کند که بهره برداری از آسیب پذیری را تقریبا غیر ممکن کرده با این حال سایت هایی که read_only را در تنظیمات jsonapi.settings بر روی FALSE تنظیم کرده اند آسیب پذیر هستند.
⚡️هشدار به تمامی شرکت ها و سازمان هایی که از این نسخه های دروپال استفاده می کنند
👈 هرچه سریع تر به روز رسانی های لازمه را اعمال کنید
با تشکر 🙏
🇮🇷 @IranCyber_org
🔹دروپال 8 و 9 دارای آسیب پذیری اجرای کد از راه دور تحت شرایط خاص هستند.
💥توسعه دهندگان Drupal نسخه های امنیتی جدیدی را برای رفع چندین آسیب پذیری امنیتی منتشر کردند. از جمله نقص های مهمی که در این به روز رسانی ها مرتفع شد و هر دو نسخه 8 و 9 را تحت تأثیر قرار می داد، آسیب پذیری با شناسه CVE-2020-13664 بود که می توانست به یک مهاجم سایبری امکان اجرای کد PHP دلخواه را بدهد. طبق تحلیل های صورت گرفته، کارشناسان به این نتیجه رسیدند که از این نقص امنیتی فقط می توان در شرایط خاص بهره برداری کرد و به احتمال زیاد روی سرورهای ویندوز تأثیر گذار است.
💥چگونگی بهره برداری از آسیب پذیری های شناسایی شده:
شخص مهاجم سایبری می تواند مدیر یک سیستم را به بازدید از سایت مخرب مدد نظر خود ترغیب کرده و در ادامه اقدام به ایجاد یک دایرکتوری با نام دلخواه بر روی سیستم کند. مهاجم با استفاده از این دایرکتوری می تواند فرآیند اجرای کد از راه دور خود را عملیاتی کرده و سرورهای ویندوزی را تحت تاثیر عملیات خود قرار دهد.
💥دروپال به آسیب پذیری CSRF که با شناسه CVE-2020-13663 قابل ردیابی است، اشاره کرده و در ادامه اظهار داشته که این آسیب پذیری بر روی ورژن های 7 ، 8 و 9 تأثیر گذار است.
💥مورد بعدی شامل آسیب پذیری بایپس دسترسی یا access bypass می باشد که از نظر توسعه دهندگان دروپال سطح مخاطره آن پایین است. طبق بررسی های صورت گرفته، درخواستهای API PATCH ممکن است برخی از اعتبار سنجی های خاص را بایپس کند.
✨✨به طور پیش فرض، API در یک حالت فقط خواندنی کار می کند که بهره برداری از آسیب پذیری را تقریبا غیر ممکن کرده با این حال سایت هایی که read_only را در تنظیمات jsonapi.settings بر روی FALSE تنظیم کرده اند آسیب پذیر هستند.
⚡️هشدار به تمامی شرکت ها و سازمان هایی که از این نسخه های دروپال استفاده می کنند
👈 هرچه سریع تر به روز رسانی های لازمه را اعمال کنید
با تشکر 🙏
🇮🇷 @IranCyber_org
⚡️ هشدار: آسیب پذیری اجرای کد از راه دور (RCE) در سرویس DNS سرور ویندوز - شناسه CVE-2020-1350
MITRE CVE-2020-1350
💥مایکروسافت امروز طی بیانیه ایی خبر از یک آسیب پذیری (RCE) در DNS سرور ویندوز داد که مبتنی بر کرم " wormable" طبقه بندی می شود و دارای درجه CVSS 10.0 است.
💥نقص اجرای کد از راه دور (CVE-2020-1350) که "SigRed" نیز به آن گفته می شود می تواند به یک مهاجم غیر مجاز از راه دور اجازه دسترسی سطح ادمین بدهد و شخص مهاجم کنترل کاملی از زیرساخت های IT سازمان داشته باشد. این نقص امنیتی روی نسخه های ویندوز سرور 2003 تا 2019 تأثیر گذار است.
💥یک هکر با ارسال کوئری DNS مخرب به یک DNS سرور ویندوز می تواند از آسیب پذیری SigRed بهره برداری کرده و به اجرای کد دلخواه خود برسد. همچنین شخص هکر می تواند عملیات هایی از قبیل رهگیری و دستکاری ایمیل های کاربران و ترافیک شبکه، از دسترس خارج کردن سرویس های خاص، سرقت اعتبارات کاربران و موارد دیگر را انجام دهد.
🔹 به عنوان یک راه حل موقت ما پیشنهاد می کنیم حداکثر طول یک پیام DNS (over TCP) را بر روی "0xFF00" تنظیم کنید تا احتمال سرریز بافر کمتر شود:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS
♨️"این مخاطره می تواند کل سازمان را به خطر بی اندازد. هر سازمان بزرگ یا کوچک که از زیرساخت های مایکروسافت استفاده می کند در صورت عدم رعایت الزامات امنیتی در معرض خطر اصلی قرار دارد"
#Windows
#DNS_Server
#RCE
#SigRed
🇮🇷 @IranCyber_org
MITRE CVE-2020-1350
💥مایکروسافت امروز طی بیانیه ایی خبر از یک آسیب پذیری (RCE) در DNS سرور ویندوز داد که مبتنی بر کرم " wormable" طبقه بندی می شود و دارای درجه CVSS 10.0 است.
💥نقص اجرای کد از راه دور (CVE-2020-1350) که "SigRed" نیز به آن گفته می شود می تواند به یک مهاجم غیر مجاز از راه دور اجازه دسترسی سطح ادمین بدهد و شخص مهاجم کنترل کاملی از زیرساخت های IT سازمان داشته باشد. این نقص امنیتی روی نسخه های ویندوز سرور 2003 تا 2019 تأثیر گذار است.
💥یک هکر با ارسال کوئری DNS مخرب به یک DNS سرور ویندوز می تواند از آسیب پذیری SigRed بهره برداری کرده و به اجرای کد دلخواه خود برسد. همچنین شخص هکر می تواند عملیات هایی از قبیل رهگیری و دستکاری ایمیل های کاربران و ترافیک شبکه، از دسترس خارج کردن سرویس های خاص، سرقت اعتبارات کاربران و موارد دیگر را انجام دهد.
🔹 به عنوان یک راه حل موقت ما پیشنهاد می کنیم حداکثر طول یک پیام DNS (over TCP) را بر روی "0xFF00" تنظیم کنید تا احتمال سرریز بافر کمتر شود:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS
♨️"این مخاطره می تواند کل سازمان را به خطر بی اندازد. هر سازمان بزرگ یا کوچک که از زیرساخت های مایکروسافت استفاده می کند در صورت عدم رعایت الزامات امنیتی در معرض خطر اصلی قرار دارد"
#Windows
#DNS_Server
#RCE
#SigRed
🇮🇷 @IranCyber_org
⚡️ هکرهای ایرانی به طور تصادفی فیلم های هک کردن خود را فاش کردند 🤣
♨️تیم امنیتی IBM'sX-Force یک فیلم پنج ساعته از عملیات هک کردن APT35 را بدست آورد. این فیلم دقیقاً نشان می دهد که چگونه این گروه هکری داده ها را از حساب های ایمیل سرقت می کند و چه اشخاصی را هدف قرار می دهند.
♨️به گفته تیم امنیتی IBM X-Force ، گروهی از هکرهای APT ایرانی عملیات های خود را رکورد کرده و در یک سرور محافظت نشده و متصل به اینترنت ذخیره کرده بودند که همین امر موجب شد تا بتوانند به راحتی به این فیلم ها دسترسی پیدا کنند.
♨️فیلم های به دست آمده تقریبا 40 گیگ حجم دارد که ظاهرا هکرها مشغول سرقت اکانت قربانیان خود از جمله نظامیان آمریکایی و یونانی بودند. سرنخ های دیگر داده ها حاکی از آن است که هکرها کارمندان وزارت امور خارجه ایالات متحده و یک فرد نیکوکار ایرانی- آمریکایی را هدف قرار داده اند.
در ادامه این گزارش را می توانید از وب سایت wired.com دنبال کنید ...
🇮🇷 @IranCyber_org
♨️تیم امنیتی IBM'sX-Force یک فیلم پنج ساعته از عملیات هک کردن APT35 را بدست آورد. این فیلم دقیقاً نشان می دهد که چگونه این گروه هکری داده ها را از حساب های ایمیل سرقت می کند و چه اشخاصی را هدف قرار می دهند.
♨️به گفته تیم امنیتی IBM X-Force ، گروهی از هکرهای APT ایرانی عملیات های خود را رکورد کرده و در یک سرور محافظت نشده و متصل به اینترنت ذخیره کرده بودند که همین امر موجب شد تا بتوانند به راحتی به این فیلم ها دسترسی پیدا کنند.
♨️فیلم های به دست آمده تقریبا 40 گیگ حجم دارد که ظاهرا هکرها مشغول سرقت اکانت قربانیان خود از جمله نظامیان آمریکایی و یونانی بودند. سرنخ های دیگر داده ها حاکی از آن است که هکرها کارمندان وزارت امور خارجه ایالات متحده و یک فرد نیکوکار ایرانی- آمریکایی را هدف قرار داده اند.
در ادامه این گزارش را می توانید از وب سایت wired.com دنبال کنید ...
🇮🇷 @IranCyber_org
👎1
✨ نوآوری در توزیع بکدور پیشرفته توسط گروه OilRig APT
♨️ طبق گزارش منتشر شده توسط منبع خبری threatpost ، تعدادی حملات سایبری بر روی یک شرکت مخابراتی در خاورمیانه شناسایی شده که خبر از بازگشت گروه ایرانی OilRig APT می دهد.
♨️این گروه هکری در حملات جدید خود از یک بکدور پیشرفته به نام RDAT استفاده می کند. بکدور RDAT از ایمیل به عنوان کانال C2 (سرور کنترل-فرمان) استفاده می کند و با استفاده از پیوست داده ها و دستورات منحصر به فرد خود داخل فایل های عکس توزیع می شود. هکرها از فایل های تصویری برای پنهان کردن اسکریپت های خود استفاده می کنند.
♨️این حملات در ماه آوریل توسط تیم امنیتی Palo Alto شناسایی شد. محققان در این زمینه گفتند: Backdoor فوق برای اولین بار در سال 2017 به عنوان یک ابزار اختصاصی OilRig معرفی شد و از آن زمان تاکنون چندین به روزرسانی را پشت سر گذاشته است . تحقیقات جدید نشان می دهد که OilRig فرآیند steganography یا به اصطلاح پنهان سازی فایل ها را به RDAT خود اضافه کرده است.
🇮🇷 @IranCyber_org
♨️ طبق گزارش منتشر شده توسط منبع خبری threatpost ، تعدادی حملات سایبری بر روی یک شرکت مخابراتی در خاورمیانه شناسایی شده که خبر از بازگشت گروه ایرانی OilRig APT می دهد.
♨️این گروه هکری در حملات جدید خود از یک بکدور پیشرفته به نام RDAT استفاده می کند. بکدور RDAT از ایمیل به عنوان کانال C2 (سرور کنترل-فرمان) استفاده می کند و با استفاده از پیوست داده ها و دستورات منحصر به فرد خود داخل فایل های عکس توزیع می شود. هکرها از فایل های تصویری برای پنهان کردن اسکریپت های خود استفاده می کنند.
♨️این حملات در ماه آوریل توسط تیم امنیتی Palo Alto شناسایی شد. محققان در این زمینه گفتند: Backdoor فوق برای اولین بار در سال 2017 به عنوان یک ابزار اختصاصی OilRig معرفی شد و از آن زمان تاکنون چندین به روزرسانی را پشت سر گذاشته است . تحقیقات جدید نشان می دهد که OilRig فرآیند steganography یا به اصطلاح پنهان سازی فایل ها را به RDAT خود اضافه کرده است.
🇮🇷 @IranCyber_org
Threat Post
OilRig APT Drills into Malware Innovation with Unique Backdoor
The RDAT tool uses email as a C2 channel, with attachments that hide data and commands inside images.