✨ نوآوری در توزیع بکدور پیشرفته توسط گروه OilRig APT
♨️ طبق گزارش منتشر شده توسط منبع خبری threatpost ، تعدادی حملات سایبری بر روی یک شرکت مخابراتی در خاورمیانه شناسایی شده که خبر از بازگشت گروه ایرانی OilRig APT می دهد.
♨️این گروه هکری در حملات جدید خود از یک بکدور پیشرفته به نام RDAT استفاده می کند. بکدور RDAT از ایمیل به عنوان کانال C2 (سرور کنترل-فرمان) استفاده می کند و با استفاده از پیوست داده ها و دستورات منحصر به فرد خود داخل فایل های عکس توزیع می شود. هکرها از فایل های تصویری برای پنهان کردن اسکریپت های خود استفاده می کنند.
♨️این حملات در ماه آوریل توسط تیم امنیتی Palo Alto شناسایی شد. محققان در این زمینه گفتند: Backdoor فوق برای اولین بار در سال 2017 به عنوان یک ابزار اختصاصی OilRig معرفی شد و از آن زمان تاکنون چندین به روزرسانی را پشت سر گذاشته است . تحقیقات جدید نشان می دهد که OilRig فرآیند steganography یا به اصطلاح پنهان سازی فایل ها را به RDAT خود اضافه کرده است.
🇮🇷 @IranCyber_org
♨️ طبق گزارش منتشر شده توسط منبع خبری threatpost ، تعدادی حملات سایبری بر روی یک شرکت مخابراتی در خاورمیانه شناسایی شده که خبر از بازگشت گروه ایرانی OilRig APT می دهد.
♨️این گروه هکری در حملات جدید خود از یک بکدور پیشرفته به نام RDAT استفاده می کند. بکدور RDAT از ایمیل به عنوان کانال C2 (سرور کنترل-فرمان) استفاده می کند و با استفاده از پیوست داده ها و دستورات منحصر به فرد خود داخل فایل های عکس توزیع می شود. هکرها از فایل های تصویری برای پنهان کردن اسکریپت های خود استفاده می کنند.
♨️این حملات در ماه آوریل توسط تیم امنیتی Palo Alto شناسایی شد. محققان در این زمینه گفتند: Backdoor فوق برای اولین بار در سال 2017 به عنوان یک ابزار اختصاصی OilRig معرفی شد و از آن زمان تاکنون چندین به روزرسانی را پشت سر گذاشته است . تحقیقات جدید نشان می دهد که OilRig فرآیند steganography یا به اصطلاح پنهان سازی فایل ها را به RDAT خود اضافه کرده است.
🇮🇷 @IranCyber_org
Threat Post
OilRig APT Drills into Malware Innovation with Unique Backdoor
The RDAT tool uses email as a C2 channel, with attachments that hide data and commands inside images.
📛 هشدار آسیب پذیری RCE بر روی سرورهای SharePoint
♨️ هفته گذشته یک نقص امنیتی اجرای کد از راه دور یا به اصطلاح RCE در سرویس DNS ویندوز سرور شناسایی شد که ما در این پست توضیحاتی را ارائه داده بودیم. پس از افشای نقص امنیتی در سرویس های DNS، بلافاصله مایکروسافت اقدام به انتشار وصله آسیب پذیری کرد ( البته سازمان های ما هم در اسرع وقت وصله های امنیتی را اعمال کردند 😜)
♨️هنوز درگیر آنالیز این نقص امنیتی مایکروسافت بودیم که دوباره محققان امنیتی به یک آسیب پذیری جدی و سطح بالا برخورد کردند. این آسیب پذیری که از نوع RCE (اجرای کد از راه دور) می باشدبر روی مایکروسافت SharePoint تاثیر مخربی دارد.
♨️اجرای به روزرسانی های امنیتی برای این آسیب پذیری که با شناسه CVE-2020-1147 قابل ردیابی است از قبلی ها بسیار مهم تر می باشد زیرا جزئیات کد اثبات مفهوم یا به اصطلاح PoC آن در روز دوشنبه منتشر شده و خطر حمله توسط هکرها افزایش یافته است.
🌐 توضیحات فنی تیم اسپاد:
آسیب پذیری اجرای کد از راه دور یا RCE در NET Framework. Microsoft SharePoint و Visual Studio کشف شده است. شخص مهاجمی که بتواند آسیب پذیری موجود را اکسپلویت کند، می تواند کدی را اجرا کند که متناسب با فرایندdeserialization کردن محتوای XML باشد. فرایند Serialization شامل تبدیل برخی از آبجکت ها به یک فرمت Data است که بعداً قابل بازیابی باشد. افراد غالباً آبجکت را به منظور ذخیره سازی یا ارسال، سریال سازی می کنند. deserialization برعکس آن، گرفتن داده های ساختاری از برخی از قالب ها و بازسازی مجدد آن در یک آبجکت است. امروزه محبوب ترین قالب داده برای سریال سازی داده ها JSON است که قبلا XML بود.
🌐 توضیحات مایکروسافت:
شخص مهاجم برای بهره برداری از این آسیب پذیری می تواند یک سند دستکاری شده را با استفاده از یک محصول آسیب پذیر بر روی سرور آپلود کند.
🔹 در دسترس بودن کد اثبات مفهوم (PoC) می تواند حملات مخربی را بر روی سرورهای شیرپوینت ایجاد کند. مایکروسافت هیچ گونه راه حلی برای رفع این آسیب پذیری شناسایی نکرده است. اما وصله هایی را نیز ارائه داده که احتمالا تا حدودی از نفوذ هکرها جلوگیری می کند.
🔹 از آنجایی که سازمان ها و شرکت های زیادی در کشور ما از این گونه ابزارها استفاده می کنند، به تمامی مدیران سرور توصیه می شود هر چه سریعتر وصله های ارائه شده را اعمال کنند.
▫️ مطالعه عمیق تر و بررسی POC آسیب پذیری
#SharePoint
#RCE
🇮🇷 @IranCyber_org
♨️ هفته گذشته یک نقص امنیتی اجرای کد از راه دور یا به اصطلاح RCE در سرویس DNS ویندوز سرور شناسایی شد که ما در این پست توضیحاتی را ارائه داده بودیم. پس از افشای نقص امنیتی در سرویس های DNS، بلافاصله مایکروسافت اقدام به انتشار وصله آسیب پذیری کرد ( البته سازمان های ما هم در اسرع وقت وصله های امنیتی را اعمال کردند 😜)
♨️هنوز درگیر آنالیز این نقص امنیتی مایکروسافت بودیم که دوباره محققان امنیتی به یک آسیب پذیری جدی و سطح بالا برخورد کردند. این آسیب پذیری که از نوع RCE (اجرای کد از راه دور) می باشدبر روی مایکروسافت SharePoint تاثیر مخربی دارد.
♨️اجرای به روزرسانی های امنیتی برای این آسیب پذیری که با شناسه CVE-2020-1147 قابل ردیابی است از قبلی ها بسیار مهم تر می باشد زیرا جزئیات کد اثبات مفهوم یا به اصطلاح PoC آن در روز دوشنبه منتشر شده و خطر حمله توسط هکرها افزایش یافته است.
🌐 توضیحات فنی تیم اسپاد:
آسیب پذیری اجرای کد از راه دور یا RCE در NET Framework. Microsoft SharePoint و Visual Studio کشف شده است. شخص مهاجمی که بتواند آسیب پذیری موجود را اکسپلویت کند، می تواند کدی را اجرا کند که متناسب با فرایندdeserialization کردن محتوای XML باشد. فرایند Serialization شامل تبدیل برخی از آبجکت ها به یک فرمت Data است که بعداً قابل بازیابی باشد. افراد غالباً آبجکت را به منظور ذخیره سازی یا ارسال، سریال سازی می کنند. deserialization برعکس آن، گرفتن داده های ساختاری از برخی از قالب ها و بازسازی مجدد آن در یک آبجکت است. امروزه محبوب ترین قالب داده برای سریال سازی داده ها JSON است که قبلا XML بود.
🌐 توضیحات مایکروسافت:
شخص مهاجم برای بهره برداری از این آسیب پذیری می تواند یک سند دستکاری شده را با استفاده از یک محصول آسیب پذیر بر روی سرور آپلود کند.
🔹 در دسترس بودن کد اثبات مفهوم (PoC) می تواند حملات مخربی را بر روی سرورهای شیرپوینت ایجاد کند. مایکروسافت هیچ گونه راه حلی برای رفع این آسیب پذیری شناسایی نکرده است. اما وصله هایی را نیز ارائه داده که احتمالا تا حدودی از نفوذ هکرها جلوگیری می کند.
🔹 از آنجایی که سازمان ها و شرکت های زیادی در کشور ما از این گونه ابزارها استفاده می کنند، به تمامی مدیران سرور توصیه می شود هر چه سریعتر وصله های ارائه شده را اعمال کنند.
▫️ مطالعه عمیق تر و بررسی POC آسیب پذیری
#SharePoint
#RCE
🇮🇷 @IranCyber_org
✨ همیشه پای یک ایرانی در میان است 😉
♨️ بزرگترین نقض امنیتی و حریم خصوصی در تاریخ توئیتر توسط سه نوجوان و شناسایی آنها توسط FBI
🔹 صبح امروز ارگان های امنیتی آمریکا از جمله اف بی آی ، آی آر اس و سرویس مخفی ایالات متحده یک نوجوان 17 ساله را در فلوریدا تحت بازداشت قرار دادند. آنها وی را متهم کردند که "مغز متفکر" پشت پرده بزرگترین نقض امنیت و حریم خصوصی در تاریخ توییتر می باشد. حساب های کاربری باراک اوباما ، بایدن (نامزد حزب دموکرات ریاست جمهوری)، بیل گیتس، اپل و اشخاص دیگر در 15 ژوئیه مورد نفوذ این هکر نوجوان قرار گرفت.
🔹 اما ظاهراً او تنها نبود:
اندکی پس از آن دو شخص دیگر نیز به طور رسمی توسط وزارت دادگستری آمریکا متهم شدند، از جمله «نیما فاضلی» 22 ساله ایرانی الاصل در ارلاندو و میسون شپرد 19 ساله در انگلیس.
▫️ نام های مستعار آنها به ترتیب “Rolex” و “Chaewon” بود
🔹فاضلی با 5 سال زندان و 250 هزار دلار جریمه نقدی - شپرد با مجازات 20 سال حبس و 250 هزار دلار جریمه نقدی روبرو است.
جزئیات کامل ماجرا را در این لینک دنبال کنید
🇮🇷 @IranCyber_org
♨️ بزرگترین نقض امنیتی و حریم خصوصی در تاریخ توئیتر توسط سه نوجوان و شناسایی آنها توسط FBI
🔹 صبح امروز ارگان های امنیتی آمریکا از جمله اف بی آی ، آی آر اس و سرویس مخفی ایالات متحده یک نوجوان 17 ساله را در فلوریدا تحت بازداشت قرار دادند. آنها وی را متهم کردند که "مغز متفکر" پشت پرده بزرگترین نقض امنیت و حریم خصوصی در تاریخ توییتر می باشد. حساب های کاربری باراک اوباما ، بایدن (نامزد حزب دموکرات ریاست جمهوری)، بیل گیتس، اپل و اشخاص دیگر در 15 ژوئیه مورد نفوذ این هکر نوجوان قرار گرفت.
🔹 اما ظاهراً او تنها نبود:
اندکی پس از آن دو شخص دیگر نیز به طور رسمی توسط وزارت دادگستری آمریکا متهم شدند، از جمله «نیما فاضلی» 22 ساله ایرانی الاصل در ارلاندو و میسون شپرد 19 ساله در انگلیس.
▫️ نام های مستعار آنها به ترتیب “Rolex” و “Chaewon” بود
🔹فاضلی با 5 سال زندان و 250 هزار دلار جریمه نقدی - شپرد با مجازات 20 سال حبس و 250 هزار دلار جریمه نقدی روبرو است.
جزئیات کامل ماجرا را در این لینک دنبال کنید
🇮🇷 @IranCyber_org
⚡️ هشدار: آسیب پذیری تزریق دستور (Comand Injection) از راه دور در OpenSSh
♨️یک محقق امنیتی موفق به شناسایی آسیب پذیری تزریق فرمان (شناسه CVE-2020-15778) در کامپوننت scp شد. scp در OpenSSH 8.3p1 این امکان را فراهم می کند تا دستورات به توابع scp.c تزریق شوند، هکرها با اجرای این عملیات می توانند از این آسیب پذیری برای اجرای دستورات دلخواه خود بهره برداری کنند.
♨️از آنجایی كه PoC این آسیب پذیری در اینترنت منتشر شده، هکرهای زیادی می توانند به دنبال سوء استفاده از آن باشند. در حال حاضر بیشتر سیستم های لینوکس تحت تأثیر نقص شناسایی شده قرار دارند و اگر حساسیت کاری شما در سطح بالایی قرار دارد پیشنها می شود تا ارائه وصله های امنیتی این سرویس از دسترس خارج شود.
♨️ احتمالا برای خیلی از کاربران واژه scp مجهول است و با این فرآیند آشنا نیستند. scp برنامه ای برای انتقال فایل بین رایانه ها می باشد که از پروتکل SSH استفاده می کند و بطور پیش فرض در بیشتر توزیع های لینوکس و یونیکس گنجانده شده است. در سیستم های لینوکسی وقتی بخواهیم فایل ها و دایرکتوری ها رو تبادل کنیم برای اجرای دستورات در یک محیط ایمن از scp (بر اساس پروتکل ssh) استفاده می کنیم.
هنگام کپی کردن فایل ها از راه دور، مسیر فایل به کامند local scp اضافه خواهد شد. وقتی کامند local scp اجرا شود، scp نام فایل را بررسی، فیلتر و پاک می کند. شخص مهاجم با استفاده از این فرآیند می تواند یک کامند scp معتبر را با استفاده از کاراکترهای backtick ارسال کند و از آن طرف local shell نیز دستورات موجود در backtick های برگشتی را اجرا می کند.
بررسی دقیق تر در گیت هاب
💥💥 وصله این آسیب پذیری هنوز منتشر نشده .....
#OpenSSh
#Comand_Injection
🇮🇷 @IranCyber_org
♨️یک محقق امنیتی موفق به شناسایی آسیب پذیری تزریق فرمان (شناسه CVE-2020-15778) در کامپوننت scp شد. scp در OpenSSH 8.3p1 این امکان را فراهم می کند تا دستورات به توابع scp.c تزریق شوند، هکرها با اجرای این عملیات می توانند از این آسیب پذیری برای اجرای دستورات دلخواه خود بهره برداری کنند.
♨️از آنجایی كه PoC این آسیب پذیری در اینترنت منتشر شده، هکرهای زیادی می توانند به دنبال سوء استفاده از آن باشند. در حال حاضر بیشتر سیستم های لینوکس تحت تأثیر نقص شناسایی شده قرار دارند و اگر حساسیت کاری شما در سطح بالایی قرار دارد پیشنها می شود تا ارائه وصله های امنیتی این سرویس از دسترس خارج شود.
♨️ احتمالا برای خیلی از کاربران واژه scp مجهول است و با این فرآیند آشنا نیستند. scp برنامه ای برای انتقال فایل بین رایانه ها می باشد که از پروتکل SSH استفاده می کند و بطور پیش فرض در بیشتر توزیع های لینوکس و یونیکس گنجانده شده است. در سیستم های لینوکسی وقتی بخواهیم فایل ها و دایرکتوری ها رو تبادل کنیم برای اجرای دستورات در یک محیط ایمن از scp (بر اساس پروتکل ssh) استفاده می کنیم.
هنگام کپی کردن فایل ها از راه دور، مسیر فایل به کامند local scp اضافه خواهد شد. وقتی کامند local scp اجرا شود، scp نام فایل را بررسی، فیلتر و پاک می کند. شخص مهاجم با استفاده از این فرآیند می تواند یک کامند scp معتبر را با استفاده از کاراکترهای backtick ارسال کند و از آن طرف local shell نیز دستورات موجود در backtick های برگشتی را اجرا می کند.
بررسی دقیق تر در گیت هاب
💥💥 وصله این آسیب پذیری هنوز منتشر نشده .....
#OpenSSh
#Comand_Injection
🇮🇷 @IranCyber_org
GitHub
GitHub - cpandya2909/CVE-2020-15778
Contribute to cpandya2909/CVE-2020-15778 development by creating an account on GitHub.
♨️ کسب درآمد گروه هکری Pioneer Kitten (ایرانی) از سرورهای VPN هک شده
🔹 بر اساس گزارش Crowdstrike اخیرا گروه APT Pioneer Kitten مستقر در ایران با فروش دسترسی های به دست آمده از برخی شبکه های وی پی ان سعی در کسب درآمد دارد. این گروه هکری با نام های Fox Kitten یا Parisite نیز معروف است و با فروش دسترسی به برخی از شبکه هایی که هک کرده سعی بر آن دارد تا منبع درآمدی برای خود ایجاد کند.
🔹 گروه هکری Pioneer Kitten در ماه های گذشته به تعداد زیادی از شبکه های VPN شرکتی حمله و اقدام به تزریق بکدور کرده است. برخی از این ها عبارتند از Pulse Secure ، Fortinet ، Palo Alto Networks و Citrix VPN ....
🔹 بر اساس گزارشات، گروه Pioneer Kitten از طریق ابزارهای منبع بازی مانند Ngrok و همچنین ابزارهای خصوصی مانند SSHMinion برای ارتباط با بدافزارهای مستقر در شبکه های هدف خود استفاده می کند.
▪️CVE-2018-13379 – Fortinet VPN servers running FortiOS
▪️CVE-2019-1579 – Palo Alto Networks “Global Protect” VPN servers
▪️CVE-2019-11510 – Pulse Secure “Connect” enterprise VPNs
▪️CVE-2019-19781 – Citrix “ADC” servers and Citrix network gateways
▪️CVE-2020-5902 – F5 Networks BIG-IP load balancers
منبع
#APT
🇮🇷 @IranCyber_Org
🔹 بر اساس گزارش Crowdstrike اخیرا گروه APT Pioneer Kitten مستقر در ایران با فروش دسترسی های به دست آمده از برخی شبکه های وی پی ان سعی در کسب درآمد دارد. این گروه هکری با نام های Fox Kitten یا Parisite نیز معروف است و با فروش دسترسی به برخی از شبکه هایی که هک کرده سعی بر آن دارد تا منبع درآمدی برای خود ایجاد کند.
🔹 گروه هکری Pioneer Kitten در ماه های گذشته به تعداد زیادی از شبکه های VPN شرکتی حمله و اقدام به تزریق بکدور کرده است. برخی از این ها عبارتند از Pulse Secure ، Fortinet ، Palo Alto Networks و Citrix VPN ....
🔹 بر اساس گزارشات، گروه Pioneer Kitten از طریق ابزارهای منبع بازی مانند Ngrok و همچنین ابزارهای خصوصی مانند SSHMinion برای ارتباط با بدافزارهای مستقر در شبکه های هدف خود استفاده می کند.
▪️CVE-2018-13379 – Fortinet VPN servers running FortiOS
▪️CVE-2019-1579 – Palo Alto Networks “Global Protect” VPN servers
▪️CVE-2019-11510 – Pulse Secure “Connect” enterprise VPNs
▪️CVE-2019-19781 – Citrix “ADC” servers and Citrix network gateways
▪️CVE-2020-5902 – F5 Networks BIG-IP load balancers
منبع
#APT
🇮🇷 @IranCyber_Org
Security Affairs
CISA warns that Pulse Secure VPN issue CVE-2019-11510 is still exploited
The US DHS CISA agency is warning organizations that threat actors continue to exploit the CVE-2019-11510 Pulse Secure VPN vulnerability.
This media is not supported in your browser
VIEW IN TELEGRAM
📛 شگردهای جدید کلاه برداران اینترنتی
این روزها در فضای مجازی شاهد ارسال رسیدهای جعلی بانکی و همچنین هدایت کاربران به سمت سایت سجام قلابی و موارد دیگر هستیم . اطلاع رسانی به موقع می تواند جلوی بسیاری از این کلاه برداری ها را بگیرد.
https://www.iribnews.ir/00BoeL
🇮🇷 @IranCyber_org
این روزها در فضای مجازی شاهد ارسال رسیدهای جعلی بانکی و همچنین هدایت کاربران به سمت سایت سجام قلابی و موارد دیگر هستیم . اطلاع رسانی به موقع می تواند جلوی بسیاری از این کلاه برداری ها را بگیرد.
https://www.iribnews.ir/00BoeL
🇮🇷 @IranCyber_org
♨️ گزارش مایکروسافت: تلاش هکرهای وابسته به ایران، چین و روسیه در تاثیر گذاری بر روی انتخابات آمریکا
🔹مایکروسافت با انتشار بیانیه ایی گزارش داد که هکرهای حامی این دولت ها در تلاش هستند تا به حساب های ایمیل اشخاص درگیر در انتخابات ایالات متحده نفوذ کنند.
🔹این شرکت حملات صورت گرفته را به گروه های APT با نام های Strontium (روسیه)، Zirconium (چین) و Phosphorus (ایران) نسبت داد. همچنین در ادامه گزارشات خود مدعی شد که "اکثر این حملات" شناسایی و مسدود شده است.
منبع
🔹سخنگوی وزارت امور خارجه ایران با رد ادعای شرکت مایکروسافت گفت: ایالات متحده که دههها در انتخابات کشورهای دیگر از جمله ایران دخالت کرده در مقامی نیست که چنین ادعای مضحکی بکند.
✨ پ ن : ما هنوز تو قطع وصل دژفا گیریم شما میگی انتخابات 😂😅
#APT
🇮🇷 @IranCyber_org
🔹مایکروسافت با انتشار بیانیه ایی گزارش داد که هکرهای حامی این دولت ها در تلاش هستند تا به حساب های ایمیل اشخاص درگیر در انتخابات ایالات متحده نفوذ کنند.
🔹این شرکت حملات صورت گرفته را به گروه های APT با نام های Strontium (روسیه)، Zirconium (چین) و Phosphorus (ایران) نسبت داد. همچنین در ادامه گزارشات خود مدعی شد که "اکثر این حملات" شناسایی و مسدود شده است.
منبع
🔹سخنگوی وزارت امور خارجه ایران با رد ادعای شرکت مایکروسافت گفت: ایالات متحده که دههها در انتخابات کشورهای دیگر از جمله ایران دخالت کرده در مقامی نیست که چنین ادعای مضحکی بکند.
✨ پ ن : ما هنوز تو قطع وصل دژفا گیریم شما میگی انتخابات 😂😅
#APT
🇮🇷 @IranCyber_org
Security Affairs
Chinese, Iranian, and Russian APT groups target 2020 US election
Microsoft reveals that state-sponsored hackers had tried to breach email accounts belonging to people involved in the US election.
❌از گوشی ایرانی تا آیفون آمریکایی!
🔸سکانس یک:
آذری جهرمی تیر ماه ۹۸ میگه کوشی سامسونگ رو کنار گذاشتم و از گوشی ایرانی آریا استفاده میکنم!
🔹سکانس دو:
شهریور ۹۹ عکسی منتشر میشه که نشون میده آذری جهرمی از گوشی آمریکایی آیفون استفاده میکنه!
پ ن: یکی از پست های صفحه اینستاگرامی منتسب به رهبری، انتقاد در مورد واردات #گوشی_لوکس_آمریکایی در سال ۹۸ بوده که حدود نیم میلیارد دلار صرف شده ؛ دولت بایستی جلوی آن را بگیرد.
#وزیر_لاکچری
🇮🇷 @IranCyber_org
🔸سکانس یک:
آذری جهرمی تیر ماه ۹۸ میگه کوشی سامسونگ رو کنار گذاشتم و از گوشی ایرانی آریا استفاده میکنم!
🔹سکانس دو:
شهریور ۹۹ عکسی منتشر میشه که نشون میده آذری جهرمی از گوشی آمریکایی آیفون استفاده میکنه!
پ ن: یکی از پست های صفحه اینستاگرامی منتسب به رهبری، انتقاد در مورد واردات #گوشی_لوکس_آمریکایی در سال ۹۸ بوده که حدود نیم میلیارد دلار صرف شده ؛ دولت بایستی جلوی آن را بگیرد.
#وزیر_لاکچری
🇮🇷 @IranCyber_org
انجمن هک و امنیت ایران سایبر با متدهای جدید و ایجاد تغییرات اساسی در حوزه سایبری از سال 2009 قدم به این عرصه گذاشته است.
شرکت کنندگان در این انجمن می توانند از امکانات جدید و آموزش های حوزه امنیت سایبری بهره مند شوند.
متخصصان ما شبانه روز در تلاش هستند تا پرسش های علاقه مندان را پاسخ داده و با توانایی های خود به اشخاصی که تمایل به ورود در این حوزه را دارند کمکی کرده باشند.
ثبت نام در انجمن هک و امنیت ایران سایبر رایگان بوده و عزیزان علاقه مند می توانند از تمامی مزایای آموزشی آن بهره مند شوند
برای ورود به انجمن ایران سایبر می توانید از لینک زیر استفاده کنید
https://iran-cyber.net/forums/
🇮🇷 @IranCyber_org
شرکت کنندگان در این انجمن می توانند از امکانات جدید و آموزش های حوزه امنیت سایبری بهره مند شوند.
متخصصان ما شبانه روز در تلاش هستند تا پرسش های علاقه مندان را پاسخ داده و با توانایی های خود به اشخاصی که تمایل به ورود در این حوزه را دارند کمکی کرده باشند.
ثبت نام در انجمن هک و امنیت ایران سایبر رایگان بوده و عزیزان علاقه مند می توانند از تمامی مزایای آموزشی آن بهره مند شوند
برای ورود به انجمن ایران سایبر می توانید از لینک زیر استفاده کنید
https://iran-cyber.net/forums/
🇮🇷 @IranCyber_org
📛 آمریکا ۴۵ ایرانی، چند شرکت و چند هکر ایرانی را به لیست حریم ها اضافه کرد
♨️ دولت آمریكا روز پنجشنبه تحریم های گسترده ای علیه هکرها و چند شرکت ایرانی به دلیل انجام فعالیت های مخرب اعمال كرد.
طبق گفته خزانه داری ایالات متحده و اداره تحقیقات فدرال (FBI) ، این تحریم ها شرکت محاسبات اطلاعاتی رانا (یا رعنا) را هدف قرار داده که به عنوان پوششی برای گروه تهدید APT39 (معروف به Chafer) از سال 2014 مشغول به فعالیت است. در ادامه چند هکر ایرانی نیز در لیست تعقیبی های آمریکا قرار گرفتند.
♨️ گروه APT39 دارای سابقه هک و حملاتی به بیش از 30 کشور در خاورمیانه ، آفریقای شمالی و آسیای میانه را است و حداقل 15 شرکت آمریکایی را با استفاده از دسترسی غیر مجاز مورد حمله سایبری قرار داده اند.
#APT
🇮🇷 @IranCyber_org
♨️ دولت آمریكا روز پنجشنبه تحریم های گسترده ای علیه هکرها و چند شرکت ایرانی به دلیل انجام فعالیت های مخرب اعمال كرد.
طبق گفته خزانه داری ایالات متحده و اداره تحقیقات فدرال (FBI) ، این تحریم ها شرکت محاسبات اطلاعاتی رانا (یا رعنا) را هدف قرار داده که به عنوان پوششی برای گروه تهدید APT39 (معروف به Chafer) از سال 2014 مشغول به فعالیت است. در ادامه چند هکر ایرانی نیز در لیست تعقیبی های آمریکا قرار گرفتند.
♨️ گروه APT39 دارای سابقه هک و حملاتی به بیش از 30 کشور در خاورمیانه ، آفریقای شمالی و آسیای میانه را است و حداقل 15 شرکت آمریکایی را با استفاده از دسترسی غیر مجاز مورد حمله سایبری قرار داده اند.
#APT
🇮🇷 @IranCyber_org
This media is not supported in your browser
VIEW IN TELEGRAM
کاظم غریبآبادی نماینده دائم ایران در آژانس #بین_المللی انرژی اتمی:
🔹انفجار در تاسیسات هسته ای شهید احمدی روشن (نطنز) نتیجه خرابکاری بود و ما نسبت به چنین ماجراجویی خطرناکی هشدار میدهیم. این اقدامات بدخواهانه باید توسط آژانس و اعضای آن قویاً محکوم شوند.
پ ن : آمریکا باید جواب خرابکاری های خود در ایران را بدهد.
از صنعت هسته ای تا نیروگاه ها و بنادر و برق استان قم و کلی حمله ی سایبری دیگه که رخ داده و درج نشده یا تحلیل آن به بیرون نیامده ..!
این راه ادامه دارد ...
#حملات_سایبری_آمریکا
#هکران_ایرانی
#APT
🇮🇷 @IranCyber_org
🔹انفجار در تاسیسات هسته ای شهید احمدی روشن (نطنز) نتیجه خرابکاری بود و ما نسبت به چنین ماجراجویی خطرناکی هشدار میدهیم. این اقدامات بدخواهانه باید توسط آژانس و اعضای آن قویاً محکوم شوند.
پ ن : آمریکا باید جواب خرابکاری های خود در ایران را بدهد.
از صنعت هسته ای تا نیروگاه ها و بنادر و برق استان قم و کلی حمله ی سایبری دیگه که رخ داده و درج نشده یا تحلیل آن به بیرون نیامده ..!
این راه ادامه دارد ...
#حملات_سایبری_آمریکا
#هکران_ایرانی
#APT
🇮🇷 @IranCyber_org
♨️ هشدار سطح بالا برای مدیران سرورهای ویندوزی
📛آسیب پذیری RCE در Microsoft SQL Server 2016
🔸 مدیریت اشتباه در درخواست های ارسالی از صفحات بارگزاری شده موجب می شود تا هکرها بتوانند کد دلخواه خود را در متن گزارش ها لود کرده و بهره برداری خود را انجام دهند. شخص مهاجم می تواند پیج دست کاری شده را به سمت سرویس های گزارش گیر یا ارائه دهنده ریپورت ارسال کرده و کد دلخواه خود را تزریق کند.
این آسیب پذیری با شناسه CVE-2020-0618 قابل ردیابی است و مدیران سرور می توانند با اصلاح نحوه درخواست های صفحه توسط Microsoft SQL Server Reporting از نقص امنیتی موجود جلوگیری کنند.
📛آسیب پذیری RCE در Microsoft Exchange Server
🔸آسیب پذیری در Microsoft Exchange Server به شخص مهاجم امکان اجرای کد دلخواه را در Exchange Server می دهد. (برای استفاده از این آسیب پذیری احراز هویت لازم است) کاربر هدف باید رول "Data Loss Prevention" و یک صندوق پستی فعال داشته باشد.
⚡️هشدار به تمامی شرکت ها و سازمان هایی که از این سرویس های مایکروسافت استفاده می کنند
👈 هرچه سریع تر به روز رسانی های لازمه را اعمال کنید
با تشکر 🙏
🔸جهت کسب اطلاعات بیشتر می توانید به لینک های زیر مراجعه کنید
https://www.exploit-db.com/exploits/48816
https://cxsecurity.com/issue/WLB-2020090079
#RCE
#Windows_server
🇮🇷 @IranCyber_org
📛آسیب پذیری RCE در Microsoft SQL Server 2016
🔸 مدیریت اشتباه در درخواست های ارسالی از صفحات بارگزاری شده موجب می شود تا هکرها بتوانند کد دلخواه خود را در متن گزارش ها لود کرده و بهره برداری خود را انجام دهند. شخص مهاجم می تواند پیج دست کاری شده را به سمت سرویس های گزارش گیر یا ارائه دهنده ریپورت ارسال کرده و کد دلخواه خود را تزریق کند.
این آسیب پذیری با شناسه CVE-2020-0618 قابل ردیابی است و مدیران سرور می توانند با اصلاح نحوه درخواست های صفحه توسط Microsoft SQL Server Reporting از نقص امنیتی موجود جلوگیری کنند.
📛آسیب پذیری RCE در Microsoft Exchange Server
🔸آسیب پذیری در Microsoft Exchange Server به شخص مهاجم امکان اجرای کد دلخواه را در Exchange Server می دهد. (برای استفاده از این آسیب پذیری احراز هویت لازم است) کاربر هدف باید رول "Data Loss Prevention" و یک صندوق پستی فعال داشته باشد.
⚡️هشدار به تمامی شرکت ها و سازمان هایی که از این سرویس های مایکروسافت استفاده می کنند
👈 هرچه سریع تر به روز رسانی های لازمه را اعمال کنید
با تشکر 🙏
🔸جهت کسب اطلاعات بیشتر می توانید به لینک های زیر مراجعه کنید
https://www.exploit-db.com/exploits/48816
https://cxsecurity.com/issue/WLB-2020090079
#RCE
#Windows_server
🇮🇷 @IranCyber_org
Exploit Database
Microsoft SQL Server Reporting Services 2016 - Remote Code Execution
Microsoft SQL Server Reporting Services 2016 - Remote Code Execution. CVE-2020-0618 . remote exploit for Windows platform
تا به حال فکر کرده اید که هکرها چگونه می توانند تلفن هوشمند شما را از راه دور هک کنند؟ 😋
🔹 محققان امنیتی امروز در گزارشی که به اشتراک گذاشته اند، جزئیات مربوط به یک آسیب پذیری مهم در برنامه اندروید و IOS اینستاگرام را فاش کردند. این باگ امنیتی به هکرها اجازه می دهد تا کنترل دستگاه مورد نظر را فقط با ارسال یک تصویر خاص ساخته شده برای قربانیان، بدست بگیرند.
🔹 آنچه که می تواند موجب نگرانی شود این است که نقص امنیتی موجود نه تنها به مهاجمان اجازه می دهد تا از طریق کاربر قربانی در برنامه اینستاگرام اقدامات خود را انجام دهند، بلکه می توانند با حذف یا ارسال عکس از حساب های آنها جاسوسی کرده و کد دلخواه خود را در گوشی آنان اجرا کنند.
جزئیات بیشتر ...
#Instagram
#RCE
#Instagram_RCE: Code Execution Vulnerability in Instagram App for Android and iOS
🇮🇷 @IranCyber_org
🔹 محققان امنیتی امروز در گزارشی که به اشتراک گذاشته اند، جزئیات مربوط به یک آسیب پذیری مهم در برنامه اندروید و IOS اینستاگرام را فاش کردند. این باگ امنیتی به هکرها اجازه می دهد تا کنترل دستگاه مورد نظر را فقط با ارسال یک تصویر خاص ساخته شده برای قربانیان، بدست بگیرند.
🔹 آنچه که می تواند موجب نگرانی شود این است که نقص امنیتی موجود نه تنها به مهاجمان اجازه می دهد تا از طریق کاربر قربانی در برنامه اینستاگرام اقدامات خود را انجام دهند، بلکه می توانند با حذف یا ارسال عکس از حساب های آنها جاسوسی کرده و کد دلخواه خود را در گوشی آنان اجرا کنند.
جزئیات بیشتر ...
#RCE
#Instagram_RCE: Code Execution Vulnerability in Instagram App for Android and iOS
🇮🇷 @IranCyber_org
Check Point Research
#Instagram_RCE: Code Execution Vulnerability in Instagram App for Android and iOS - Check Point Research
Research by: Gal Elbaz Background Instagram, with over 100+ million photos uploaded every day, is one of the most popular social media platforms. For that reason, we decided to audit the security of the Instagram app for both Android and iOS operating systems.…
♨️ سوء استفاده از نقص امنیتی Zerologon توسط APT ایرانی
🔸 محققان امنیتی مایکروسافت طی گزارشی اعلام کردند که گروه سایبری ایرانی معروف به MuddyWater از آسیب پذیری Zerologon در حملات سایبری خود بهره می گیرند.
🔸 آسیب پذیری Zerologon که با شناسه CVE-2020-1472 برای علاقه مندان به حملات سایبری قابل ردیابی می باشد در اصل یک سطح دسترسی در سرویس Netlogon است. این سرویس یک مکانیسم احراز هویت است که در معماری Windows Client Authentication مورد استفاده قرار می گیرد و درخواست های ورود به سیستم را تأیید و Domain Controller ها را ثبت ، احراز هویت و مکان یابی می کند.
🔸 شخص مهاجم می تواند برای جعل هویت بر روی کلاینت ها (از جمله خود دامین کنترولر) از این آسیب پذیری سوء استفاده کرده و ارتباطات جاری را از راه دور از طرف کاربران انجام دهد. همچنین یک مهاجم می تواند با بهره برداری غیر مجاز از ویژگی های امنیتی در فرآیند احراز هویت Netlogon آن را غیرفعال کرده و رمزعبور رایانه را در دامین کنترولر Active Directory تغییر دهد.
🔸 تنها محدودیت شخص مهاجم این است که باید به شبکه هدف دسترسی داشته باشد.
👈 ادامه ماجرا را در این لینک دنبال کنید ...
#APT
🇮🇷 @IranCyber_Org
🔸 محققان امنیتی مایکروسافت طی گزارشی اعلام کردند که گروه سایبری ایرانی معروف به MuddyWater از آسیب پذیری Zerologon در حملات سایبری خود بهره می گیرند.
🔸 آسیب پذیری Zerologon که با شناسه CVE-2020-1472 برای علاقه مندان به حملات سایبری قابل ردیابی می باشد در اصل یک سطح دسترسی در سرویس Netlogon است. این سرویس یک مکانیسم احراز هویت است که در معماری Windows Client Authentication مورد استفاده قرار می گیرد و درخواست های ورود به سیستم را تأیید و Domain Controller ها را ثبت ، احراز هویت و مکان یابی می کند.
🔸 شخص مهاجم می تواند برای جعل هویت بر روی کلاینت ها (از جمله خود دامین کنترولر) از این آسیب پذیری سوء استفاده کرده و ارتباطات جاری را از راه دور از طرف کاربران انجام دهد. همچنین یک مهاجم می تواند با بهره برداری غیر مجاز از ویژگی های امنیتی در فرآیند احراز هویت Netlogon آن را غیرفعال کرده و رمزعبور رایانه را در دامین کنترولر Active Directory تغییر دهد.
🔸 تنها محدودیت شخص مهاجم این است که باید به شبکه هدف دسترسی داشته باشد.
👈 ادامه ماجرا را در این لینک دنبال کنید ...
#APT
🇮🇷 @IranCyber_Org
Security Affairs
Iran-linked APT is exploiting the Zerologon flaw in attacks
Microsoft researchers reported that Iranian cyber espionage group MuddyWater is exploiting the Zerologon vulnerability in attacks in the wild.
❤1
📛 رخداد حملات سایبری اخیر به سازمان های دولتی - شایعه یا واقعیت ؟
♨️ به تازگی اخباری مبنی بر حملات باج افزاری به زیر ساخت های دولتی در خبرگزاری های مختلف نشر پیدا کرده و هشدارهای پیشگیرانه برای مسؤولین و کارشناسان دولتی در سطح ملی صادر شده است.
♨️ مرکز ماهر نیز در اطلاعیه ای با تایید اخبار حملات سایبری اخیر اعلام کرد: رخداد حمله مهم سایبری صرفا مربوط به دو سازمان دولتی بوده که مراجع مسئول در حال رسیدگی به موضوع هستند. بر اساس برخی تحلیلها و برآوردهای فنی، هشدارهای پیشگیرانه برای مسؤولین و کارشناسان دولتی در سطح ملی صادر شد که به هیچ وجه به معنای وجود حمله نبوده است.
✨ طبق بررسی های به عمل آمده گویا هشداری مبنی بر وجود یک آسیب پذیری سطح بالا بوده و سازمان های دولتی این هشدار را که چند وقت پیش هم اعلام شده بود جدی نگرفته و اقدامات لازمه را انجام نداده بودند.
✨ مرکز ماهر مدعی است که وجود این آسیب پذیری را یک ماه پیش اعلام کرده و سازمان ها اقدامات لازمه را انجام نداده بودند تا اینکه دو سازمان دولتی مورد حمله نه چندان جدی قرار گرفتند.
#مرکز_ماهر
🇮🇷 @IranCyber_Org
♨️ به تازگی اخباری مبنی بر حملات باج افزاری به زیر ساخت های دولتی در خبرگزاری های مختلف نشر پیدا کرده و هشدارهای پیشگیرانه برای مسؤولین و کارشناسان دولتی در سطح ملی صادر شده است.
♨️ مرکز ماهر نیز در اطلاعیه ای با تایید اخبار حملات سایبری اخیر اعلام کرد: رخداد حمله مهم سایبری صرفا مربوط به دو سازمان دولتی بوده که مراجع مسئول در حال رسیدگی به موضوع هستند. بر اساس برخی تحلیلها و برآوردهای فنی، هشدارهای پیشگیرانه برای مسؤولین و کارشناسان دولتی در سطح ملی صادر شد که به هیچ وجه به معنای وجود حمله نبوده است.
✨ طبق بررسی های به عمل آمده گویا هشداری مبنی بر وجود یک آسیب پذیری سطح بالا بوده و سازمان های دولتی این هشدار را که چند وقت پیش هم اعلام شده بود جدی نگرفته و اقدامات لازمه را انجام نداده بودند.
✨ مرکز ماهر مدعی است که وجود این آسیب پذیری را یک ماه پیش اعلام کرده و سازمان ها اقدامات لازمه را انجام نداده بودند تا اینکه دو سازمان دولتی مورد حمله نه چندان جدی قرار گرفتند.
#مرکز_ماهر
🇮🇷 @IranCyber_Org
📛 حملات باج افزاری جدید به هکرهای ایرانی نسبت داده شد
🔹 محققان امنیتی ClearSky و Profero ضمن بررسی حوادث امنیتی اخیر در چندین سازمان برجسته اسرائیلی اذعان داشتند که نفوذ باج افزار ناشناخته Thanos با گروه هکری MuddyWater تحت حمایت دولت ایران مرتبط است. آنها همچنین از تشدید حملات سایبری در میان افزایش تنش ها بین اسرائیل و ایران اظهار نگرانی کردند.
✔️ نفوذ این گروه هکری بر اساس دو تاکتیک مختلف عملیاتی می شود
▪️1. در سناریو اول ابتدا گروه MuddyWater از ایمیل های فیشینگ که حامل اسناد مخرب اکسل یا PDF می باشد استفاده می کنند.
با اجرای این فایل ها در سیستم قربانی، یک بدافزار از سرورهای هکرها دانلود و بر روی سیستم نصب می شود.
▪️2. در سناریوی دوم ، MuddyWater ابتدا در اینترنت میل سرورهای وصله نشده Microsoft Exchange را ردیابی می کند، سپس از آسیب پذیری با شناسه CVE-2020-0688 بهره برداری کرده و یک وب شل بر روی سرور قربانی اجرا و در گام بعدی همان بدافزار قبلی را دانلود و نصب می کند.
ادامه ماجرا را می توانید در این لینک دنبال کنید
🔘 سازمان های ما باید به این نکته دقت کنند که اجرای لینک ها و فایل های ناشناخته می تواند بسیار مخرب باشد ...
#Ransomware
🇮🇷 @IranCyber_Org
🔹 محققان امنیتی ClearSky و Profero ضمن بررسی حوادث امنیتی اخیر در چندین سازمان برجسته اسرائیلی اذعان داشتند که نفوذ باج افزار ناشناخته Thanos با گروه هکری MuddyWater تحت حمایت دولت ایران مرتبط است. آنها همچنین از تشدید حملات سایبری در میان افزایش تنش ها بین اسرائیل و ایران اظهار نگرانی کردند.
✔️ نفوذ این گروه هکری بر اساس دو تاکتیک مختلف عملیاتی می شود
▪️1. در سناریو اول ابتدا گروه MuddyWater از ایمیل های فیشینگ که حامل اسناد مخرب اکسل یا PDF می باشد استفاده می کنند.
با اجرای این فایل ها در سیستم قربانی، یک بدافزار از سرورهای هکرها دانلود و بر روی سیستم نصب می شود.
▪️2. در سناریوی دوم ، MuddyWater ابتدا در اینترنت میل سرورهای وصله نشده Microsoft Exchange را ردیابی می کند، سپس از آسیب پذیری با شناسه CVE-2020-0688 بهره برداری کرده و یک وب شل بر روی سرور قربانی اجرا و در گام بعدی همان بدافزار قبلی را دانلود و نصب می کند.
ادامه ماجرا را می توانید در این لینک دنبال کنید
🔘 سازمان های ما باید به این نکته دقت کنند که اجرای لینک ها و فایل های ناشناخته می تواند بسیار مخرب باشد ...
#Ransomware
🇮🇷 @IranCyber_Org
🌐 شروع فعالیت مجدد گروه APt ایرانی موسوم به Silent Librarian
👈 گروهی از هکرهای ایرانی معروف به Silent Librarian فعالیت خود را با ایجاد کمپین های فیشینگ و هدف قرار دادن دانشگاه های معروف شروع کرده اند
♨️ این گروه ایرانی که با نام های Cobalt Dickens و TA407 نیز شناخته می شوند، در چند سال گذشته ده ها دانشگاه را در چهار قاره مختلف مورد حملات سایبری قرار داده بودند
♨️ در آگوست 2018، شرکت امنیتی SecureWorks یک کمپین فیشینگ را شناسایی کرد که توسط گروه APT با هدف دانشگاه های معروف جهان ایجاد شده بود. این عملیات شامل شانزده دامنه بود که بیش از 300 وب سایت جعلی را برای 76 دانشگاه در 14 کشور از جمله استرالیا ، کانادا ، چین ، اسرائیل ، ژاپن ، سوئیس ، ترکیه ، انگلستان و ایالات متحده میزبانی می کرد.
ادامه ماجرا را می توانید در این لینک دنبال کنید
پ ن : این خارجی ها هم یادگرفتن وقتی نمیتونن ردی بزنن ربطش میدن به apt 😂
#APT
🇮🇷 @IranCyber_Org
👈 گروهی از هکرهای ایرانی معروف به Silent Librarian فعالیت خود را با ایجاد کمپین های فیشینگ و هدف قرار دادن دانشگاه های معروف شروع کرده اند
♨️ این گروه ایرانی که با نام های Cobalt Dickens و TA407 نیز شناخته می شوند، در چند سال گذشته ده ها دانشگاه را در چهار قاره مختلف مورد حملات سایبری قرار داده بودند
♨️ در آگوست 2018، شرکت امنیتی SecureWorks یک کمپین فیشینگ را شناسایی کرد که توسط گروه APT با هدف دانشگاه های معروف جهان ایجاد شده بود. این عملیات شامل شانزده دامنه بود که بیش از 300 وب سایت جعلی را برای 76 دانشگاه در 14 کشور از جمله استرالیا ، کانادا ، چین ، اسرائیل ، ژاپن ، سوئیس ، ترکیه ، انگلستان و ایالات متحده میزبانی می کرد.
ادامه ماجرا را می توانید در این لینک دنبال کنید
پ ن : این خارجی ها هم یادگرفتن وقتی نمیتونن ردی بزنن ربطش میدن به apt 😂
#APT
🇮🇷 @IranCyber_Org
Security Affairs
Iran-linked Silent Librarian APT targets universities again
Iran-linked cyberespionage group Silent Librarian has launched a new phishing campaign aimed at universities around the world.
♨️ انتشار وصله های امنیتی مایکروسافت برای پروتکل TCP/IP و Outlook
🔹 مایکروسافت روز سه شنبه 87 آسیب پذیری امنیتی شناسایی شده را وصله کرد. در میان این وصله ها دو نقص مهم اجرای کد از راه دور (RCE) در پشته Windows TCP / IP و Microsoft Outlook وجود دارد.
🔹 در این بین، 11 مورد Critical و 75 مورد Important و یك مورد Moderate طبقه بندی شده است.
🔹 نقص های شناسایی شده بر روی Windows ، Office و Office Services و Web Apps ، Visual Studio ، Azure Functions ، .NET Framework ، Microsoft Dynamics ، Open Source تأثیر می گذارد
🔹 در صورت عدم به روز رسانی می توانید آپشن recursive DNS server را در ویندوزهای نسخه 1709 (و بالاتر) توسط پاور شل طبق دستور زیر غیر فعال کنید.
🔸 netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable
🔹 این عملیات شما را به طور موقت ایمن نگه می دارد تا در یک زمان مناسب به روز رسانی ها را اعمال کنید.
🔹 پس از از اعمال به روز رسانی ها می توانید دوباره recursive DNS server را فعال کنید
🔸 netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable
✨ برای مشاهده و اعمال به روز رسانی ها می توانید وارد سایت رسمی مایکروسافت شوید
#Microsoft_Windows
#Patch
🇮🇷 @IranCyber_Org
🔹 مایکروسافت روز سه شنبه 87 آسیب پذیری امنیتی شناسایی شده را وصله کرد. در میان این وصله ها دو نقص مهم اجرای کد از راه دور (RCE) در پشته Windows TCP / IP و Microsoft Outlook وجود دارد.
🔹 در این بین، 11 مورد Critical و 75 مورد Important و یك مورد Moderate طبقه بندی شده است.
🔹 نقص های شناسایی شده بر روی Windows ، Office و Office Services و Web Apps ، Visual Studio ، Azure Functions ، .NET Framework ، Microsoft Dynamics ، Open Source تأثیر می گذارد
🔹 در صورت عدم به روز رسانی می توانید آپشن recursive DNS server را در ویندوزهای نسخه 1709 (و بالاتر) توسط پاور شل طبق دستور زیر غیر فعال کنید.
🔸 netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable
🔹 این عملیات شما را به طور موقت ایمن نگه می دارد تا در یک زمان مناسب به روز رسانی ها را اعمال کنید.
🔹 پس از از اعمال به روز رسانی ها می توانید دوباره recursive DNS server را فعال کنید
🔸 netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable
✨ برای مشاهده و اعمال به روز رسانی ها می توانید وارد سایت رسمی مایکروسافت شوید
#Microsoft_Windows
#Patch
🇮🇷 @IranCyber_Org
This media is not supported in your browser
VIEW IN TELEGRAM
🔴 بانکها، پشتوانه سایتهای قمار و شرطبندی
🔺 سایتهای قمار روزانه یک میلیارد تومان درآمد دارند، ولی مجازات قانونی داشتن سایت قمار فقط یک میلیون تومان است!
🔺 چرا حس میشود که مسئولین خودشان را به خواب زدند؟
#قمار
#کلاه_برداری
#فیشینگ
🇮🇷 @IranCyber_Org
🔺 سایتهای قمار روزانه یک میلیارد تومان درآمد دارند، ولی مجازات قانونی داشتن سایت قمار فقط یک میلیون تومان است!
🔺 چرا حس میشود که مسئولین خودشان را به خواب زدند؟
#قمار
#کلاه_برداری
#فیشینگ
🇮🇷 @IranCyber_Org
Forwarded from گروه امنیتی اسپاد | Spad Security
This media is not supported in your browser
VIEW IN TELEGRAM
♨️ گروه هکری xHunt از بکدور های جدید برای حمله به سرورهای Exchange استفاده می کنند
🔹 طبق بررسی های صورت گرفته اخیرا کمپینی با نام xHunt شناسایی شده که سازمان های کویت را هدف حملات بکدوری قرارداده است. یکی از ابزارهای مورد استفاده این تیم هکری CASHY200 می باشد که یک بکدور مبتنی بر Powershell است و با استفاده از فرآیند DNS tunneling با سرور C2 خود ارتباط برقرار می کنند.
🔹 این CASHY200 از طریق ترکیب شدن با مایکروسافت آفیس و با ایمیل های فیشینگ توزیع و تحویل داده می شود. با باز شدن ایمیل، یک اسکریپت اولیه حاوی CASHY200 مستقیماً در حافظه اجرا می شود. CASHY200 توانایی استخراج فایل ها و همچنین نصب پیلود های ثانویه را دارد.
🔸 اقدامات احتیاطی که می توان انجام داد:
▪️دامنه های C2 مانند
windows64x [.] com ، firewallsupports [.] com ، windows-updates [.] com و winx64-microsoft [.] com
مسدود شوند.
▪️تمامی پروتکل های CASHY200 tunnelling را می توان توسط فرآیند امنیتی DNS Security مسدود کرد.
▪️آموزش های امنیتی کارکنان
سازمان های زیادی از Exchange سرور استفاده می کنند و با توجه به اینکه نفوذ اولیه هکرها از نوع حملات فیشینگ می باشد، باید آموزش کارمندان را جدی گرفت .
🇮🇷 @IranCyber_Org
🔹 طبق بررسی های صورت گرفته اخیرا کمپینی با نام xHunt شناسایی شده که سازمان های کویت را هدف حملات بکدوری قرارداده است. یکی از ابزارهای مورد استفاده این تیم هکری CASHY200 می باشد که یک بکدور مبتنی بر Powershell است و با استفاده از فرآیند DNS tunneling با سرور C2 خود ارتباط برقرار می کنند.
🔹 این CASHY200 از طریق ترکیب شدن با مایکروسافت آفیس و با ایمیل های فیشینگ توزیع و تحویل داده می شود. با باز شدن ایمیل، یک اسکریپت اولیه حاوی CASHY200 مستقیماً در حافظه اجرا می شود. CASHY200 توانایی استخراج فایل ها و همچنین نصب پیلود های ثانویه را دارد.
🔸 اقدامات احتیاطی که می توان انجام داد:
▪️دامنه های C2 مانند
windows64x [.] com ، firewallsupports [.] com ، windows-updates [.] com و winx64-microsoft [.] com
مسدود شوند.
▪️تمامی پروتکل های CASHY200 tunnelling را می توان توسط فرآیند امنیتی DNS Security مسدود کرد.
▪️آموزش های امنیتی کارکنان
سازمان های زیادی از Exchange سرور استفاده می کنند و با توجه به اینکه نفوذ اولیه هکرها از نوع حملات فیشینگ می باشد، باید آموزش کارمندان را جدی گرفت .
🇮🇷 @IranCyber_Org