مرکز امنیتی ایران سایبر | ICG
Photo
🌐 جاسوسی بدافزار اندرویدی RANA (ایرانی) از پیام رسان ها
🔹 امروز تیمی از محققان امنیتی طی گزارشی از قابلیت های تزریق یک بدافزار جاسوسی (اندروید) خبر دادند که توسط یک گروه هکری ایرانی از قبل تحریم شده طراحی و عملیاتی شده است. این بدافزار به مهاجمان این امکان را می دهد تا از برنامه های پیام رسان محبوب، از طریق چت های خصوصی جاسوسی کنند.
🔹 در ماه سپتامبر، وزارت خزانه داری ایالات متحده گروه APT39 (معروف به Chafer ، ITG07 یا Remix Kitten) ایرانی را که از حمایت وزارت اطلاعات و امنیت کشور ایران (MOIS) برخوردار بوده را به دلیل انجام اقدامات بدافزاری تحریم کرد.
🔹 همزمان با تحریم ها، اداره تحقیقات فدرال (FBI) گزارشی از تحلیل تهدیدات سایبری را منتشر کرد. در این گزارش آمده که شرکت محاسبات اطلاعاتی رانا از بدافزارهای مختلفی برای هدف قرار دادن برخی اشخاص خاص استفاده می کنند و عملا تبدیل به جبهه ای برای فعالیت های مخرب سایبری شده اند. FBI بطور رسمی عملیات گروه هکری APT39 را به شرکت Rana مرتبط می داند .
👈 در ادامه می توانید گزارش اداره تحقیقات فدرال (FBI) را از این لینک دنبال کنید
#APT
🇮🇷 @IranCyber_Org
🔹 امروز تیمی از محققان امنیتی طی گزارشی از قابلیت های تزریق یک بدافزار جاسوسی (اندروید) خبر دادند که توسط یک گروه هکری ایرانی از قبل تحریم شده طراحی و عملیاتی شده است. این بدافزار به مهاجمان این امکان را می دهد تا از برنامه های پیام رسان محبوب، از طریق چت های خصوصی جاسوسی کنند.
🔹 در ماه سپتامبر، وزارت خزانه داری ایالات متحده گروه APT39 (معروف به Chafer ، ITG07 یا Remix Kitten) ایرانی را که از حمایت وزارت اطلاعات و امنیت کشور ایران (MOIS) برخوردار بوده را به دلیل انجام اقدامات بدافزاری تحریم کرد.
🔹 همزمان با تحریم ها، اداره تحقیقات فدرال (FBI) گزارشی از تحلیل تهدیدات سایبری را منتشر کرد. در این گزارش آمده که شرکت محاسبات اطلاعاتی رانا از بدافزارهای مختلفی برای هدف قرار دادن برخی اشخاص خاص استفاده می کنند و عملا تبدیل به جبهه ای برای فعالیت های مخرب سایبری شده اند. FBI بطور رسمی عملیات گروه هکری APT39 را به شرکت Rana مرتبط می داند .
👈 در ادامه می توانید گزارش اداره تحقیقات فدرال (FBI) را از این لینک دنبال کنید
#APT
🇮🇷 @IranCyber_Org
Media is too big
VIEW IN TELEGRAM
🎥 سناریوهای جدید شاخهای اینستاگرام برای جذب فالوور/ از پویان مختاری و آناشید حسینی تا شادمهر عقیلی و ریحانه پارسا!
💸 پشت پرده سایتهای قمار چه خبره؟
🇮🇷 @IranCyber_Org
#قمار
💸 پشت پرده سایتهای قمار چه خبره؟
🇮🇷 @IranCyber_Org
#قمار
♨️ کارگزاری فارابی هک شد ♨️
✨ طی بررسی های به عمل آمده دو روز پیش اطلاعات "کارگزاری فارابی" در یکی از فروم های اینترنتی به فروش گذاشته شد.
🔹 این دیتاها شامل اطلاعات وب سایت (irfarabi.com) و بخش "آموزین، مرجع تحلیل و آموزش بورس" و "سامانه معاملاتی" (farabixo.com) است که حاوی بیش از 500 هزار خط نام کاربری، نام و نام خانوادگی، کلمات عبور (هش شده)، آدرس ایمیل، شماره تلفن همراه، اسکن مدارک هویتی و اطلاعات دیگری از مشتریان و کارکنان این کارگزاری رسمی بورس اوراق بهادار، فرابورس، کالا و انرژی می باشد.
👈 در پیوست عکس ها می توانید نمونه اطلاعات و همچنین مکاتبه هکرها با مسئولان فارابی را مشاهده کنید
🌐 نکته جالب این واقعه نحوه برخورد و ادبیات مورد استفاده کارگزاری فارابی در پاسخ به هکرهایی است که ابتدا اقدام به گزارش آسیب پذیری کرده بودند ...
🌐 هکرها از فارابی درخواست باج 3 بیت کوینی داشته و با مدیرت فارابی در تماس بوده اند اما مدیران فارابی با ادبیات و برخورد بسیار زشت جواب آنها را داده اند و همین مسئله باعث شد تا آنها اطلاعات کاربران (هک شده) را برای فروش در اینترنت عمومی کنند.
#Data_Leak
🇮🇷 @IranCyber_org
✨ طی بررسی های به عمل آمده دو روز پیش اطلاعات "کارگزاری فارابی" در یکی از فروم های اینترنتی به فروش گذاشته شد.
🔹 این دیتاها شامل اطلاعات وب سایت (irfarabi.com) و بخش "آموزین، مرجع تحلیل و آموزش بورس" و "سامانه معاملاتی" (farabixo.com) است که حاوی بیش از 500 هزار خط نام کاربری، نام و نام خانوادگی، کلمات عبور (هش شده)، آدرس ایمیل، شماره تلفن همراه، اسکن مدارک هویتی و اطلاعات دیگری از مشتریان و کارکنان این کارگزاری رسمی بورس اوراق بهادار، فرابورس، کالا و انرژی می باشد.
👈 در پیوست عکس ها می توانید نمونه اطلاعات و همچنین مکاتبه هکرها با مسئولان فارابی را مشاهده کنید
🌐 نکته جالب این واقعه نحوه برخورد و ادبیات مورد استفاده کارگزاری فارابی در پاسخ به هکرهایی است که ابتدا اقدام به گزارش آسیب پذیری کرده بودند ...
🌐 هکرها از فارابی درخواست باج 3 بیت کوینی داشته و با مدیرت فارابی در تماس بوده اند اما مدیران فارابی با ادبیات و برخورد بسیار زشت جواب آنها را داده اند و همین مسئله باعث شد تا آنها اطلاعات کاربران (هک شده) را برای فروش در اینترنت عمومی کنند.
#Data_Leak
🇮🇷 @IranCyber_org
💢وجود zeroday در پلاگین smtp وردپرس، باعث ریسیت شدن پسورد ادمین می شود!
⚠️هکرها با استفاده از یک آسیب پذیری zeroday در یک افزونه محبوب وردپرس که در بیش از 500000 سایت نصب شده است ، رمزعبورهای حساب مدیر را در سایت های وردپرس ریسیت میکنند.
✅این آسیب پذیری افزونه Easy WP SMTP را تحت تأثیر قرار می دهد ، افزونه ای که به صاحبان سایت اجازه می دهد تنظیمات SMTP را برای ایمیل های خروجی وب سایت خود کانفیگ کنند.
جزئیات بیشتر ...
⚡️هشدار به تمامی شرکت ها و سازمان هایی که از این سرویس وردپرس استفاده می کنند
👈 هرچه سریع تر به روز رسانی های لازمه را اعمال کنید
با تشکر 🙏
#News
#Wordpress
#SMTP
🇮🇷 @IranCyber_org
⚠️هکرها با استفاده از یک آسیب پذیری zeroday در یک افزونه محبوب وردپرس که در بیش از 500000 سایت نصب شده است ، رمزعبورهای حساب مدیر را در سایت های وردپرس ریسیت میکنند.
✅این آسیب پذیری افزونه Easy WP SMTP را تحت تأثیر قرار می دهد ، افزونه ای که به صاحبان سایت اجازه می دهد تنظیمات SMTP را برای ایمیل های خروجی وب سایت خود کانفیگ کنند.
جزئیات بیشتر ...
⚡️هشدار به تمامی شرکت ها و سازمان هایی که از این سرویس وردپرس استفاده می کنند
👈 هرچه سریع تر به روز رسانی های لازمه را اعمال کنید
با تشکر 🙏
#News
#Wordpress
#SMTP
🇮🇷 @IranCyber_org
💢بات نت PgMiner ، به دیتابیس های PostgreSQL حمله کرده است!
☢️فقط دیتابیس های PostgreSQL که بر روی سرور لینوکسی درحال اجرا هستند این باگ را دارند.
⚠️محققان امنیتی این هفته یک عملیات botnet را با نام PostgreSQL کشف کردند که دیتابیس های PostgreSQL را برای نصب یک ماینر ارز دیجیتال هدف قرار می دهد.
🔗 اطلاعات بیشتر....
🇮🇷 @IranCyber_org
☢️فقط دیتابیس های PostgreSQL که بر روی سرور لینوکسی درحال اجرا هستند این باگ را دارند.
⚠️محققان امنیتی این هفته یک عملیات botnet را با نام PostgreSQL کشف کردند که دیتابیس های PostgreSQL را برای نصب یک ماینر ارز دیجیتال هدف قرار می دهد.
🔗 اطلاعات بیشتر....
🇮🇷 @IranCyber_org
⚡️⚡️ هک شدن برخی سازمان های دولتی آمریکا و شرکت امنیتی FireEye با استفاده از بکدور تعبیه شده در ابزار SolarWinds
💥 هکرهای وابسته به روسیه موفق شدند برخی سازمان های دولتی که شامل وزارت خزانه داری هم میشود را با استفاده از بکدور SolarWinds هدف حملات سایبری قرار دهند. واشنگتن پست با استناد به منابع ناشناس گفته که این حملات کار گروه APT29 یا Cozy Bear می باشد که احتمال می رود نقض امنیتی شرکت FireEye نیز کار آنان باشد.
💥 هنوز انگیزه و دامنه کامل اطلاعات به خطر افتاده مشخص نیست اما شواهد نشان می دهد که هکرها در به روزرسانی نرم افزاری SolarWinds که توسط تأمین کننده زیرساخت فناوری اطلاعات مستقر در تگزاس ارائه شده بود دست برده و نفوذ خود را توسط بکدور عملیاتی کرده اند.
🔹 سرپرست آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) دستورالعمل های اضطراری را منتشر کرده و از سازمان های فدرال خواسته تا شبکه های خود را بررسی و فعالیت های مشکوک محصولات SolarWinds Orion را جدی بگیرند و مورد بررسی کامل قرار دهند.
👈 ما هم به نوبه خود و بر اساس وظیفه ملی میهنی به تمام مدیرانی که از این ابزار استفاده می کنند هشدار داده و از آنان می خواهیم که بررسی دقیق و به روز رسانی های مربوطه را انجام دهند.
🔹 محصولات شبکه و امنیتی SolarWinds با بیش از 300000 مشتری در سراسر جهان ، از جمله شرکتهای شناخته شده ایی است که سازمانهای دولتی و موسسات آموزشی از محصولات آن استفاده می کنند.
#APT
#SolarWinds
🇮🇷 @IranCyber_org
💥 هکرهای وابسته به روسیه موفق شدند برخی سازمان های دولتی که شامل وزارت خزانه داری هم میشود را با استفاده از بکدور SolarWinds هدف حملات سایبری قرار دهند. واشنگتن پست با استناد به منابع ناشناس گفته که این حملات کار گروه APT29 یا Cozy Bear می باشد که احتمال می رود نقض امنیتی شرکت FireEye نیز کار آنان باشد.
💥 هنوز انگیزه و دامنه کامل اطلاعات به خطر افتاده مشخص نیست اما شواهد نشان می دهد که هکرها در به روزرسانی نرم افزاری SolarWinds که توسط تأمین کننده زیرساخت فناوری اطلاعات مستقر در تگزاس ارائه شده بود دست برده و نفوذ خود را توسط بکدور عملیاتی کرده اند.
🔹 سرپرست آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) دستورالعمل های اضطراری را منتشر کرده و از سازمان های فدرال خواسته تا شبکه های خود را بررسی و فعالیت های مشکوک محصولات SolarWinds Orion را جدی بگیرند و مورد بررسی کامل قرار دهند.
👈 ما هم به نوبه خود و بر اساس وظیفه ملی میهنی به تمام مدیرانی که از این ابزار استفاده می کنند هشدار داده و از آنان می خواهیم که بررسی دقیق و به روز رسانی های مربوطه را انجام دهند.
🔹 محصولات شبکه و امنیتی SolarWinds با بیش از 300000 مشتری در سراسر جهان ، از جمله شرکتهای شناخته شده ایی است که سازمانهای دولتی و موسسات آموزشی از محصولات آن استفاده می کنند.
#APT
#SolarWinds
🇮🇷 @IranCyber_org
Google Cloud Blog
SolarWinds Supply Chain Attack Uses SUNBURST Backdoor | Google Cloud Blog
A highly evasive attacker leverages a supply chain attack trojanizing SolarWinds Orion business software updates in order to distribute SUNBURST malware.
Media is too big
VIEW IN TELEGRAM
🎥 دستگیری عوامل سایتهای شرط بندی
🔹تبلیغات گمراه کننده در فضای مجازی و سودای یک شبه پولدار شدن، این تبلیغات به گونهای است که عدهای را به سمت سایت های شرطبندی میکشاند
پ ن : تشکر از پیگیری پلیس فتا بابت موضوع قمار ولی مشکل اصلی ما این خورده بچه هایی نیستن که در بستر تلگرام و اینستاگرام تبلیغ میکنن ;
شبکه مالی پرداخت داستانش به کجا رسید !!؟؟ مشکلات ریشه ای را دنبال کنید 😉
#قمار
#سکه
#اپ
🇮🇷 @IranCyber_org
🔹تبلیغات گمراه کننده در فضای مجازی و سودای یک شبه پولدار شدن، این تبلیغات به گونهای است که عدهای را به سمت سایت های شرطبندی میکشاند
پ ن : تشکر از پیگیری پلیس فتا بابت موضوع قمار ولی مشکل اصلی ما این خورده بچه هایی نیستن که در بستر تلگرام و اینستاگرام تبلیغ میکنن ;
شبکه مالی پرداخت داستانش به کجا رسید !!؟؟ مشکلات ریشه ای را دنبال کنید 😉
#قمار
#سکه
#اپ
🇮🇷 @IranCyber_org
♨️ آسیب پذیری اجرای کد در Laravel
در تاریخ 13 ژانویه 2021 ، تیم امنیتی Ambionics یک آسیب پذیری اجرای کد از راه دور را در یک کامپوننت لاراول شناسایی کرد. شناسه آسیب پذیری CVE-2021-3129
جزئیات آسیب پذیری:
در مد دیباگ، اینترفیس های خاصی از تابع Ignition (بیلد شده در Laravel) داده های ورودی را به درستی فیلتر نمی کنند و همین امر به مهاجمان اجازه می دهد تا فایل های مخربی را به سیستم تزریق کرده و برای ایجاد حملات phar deserialization، اجرای کد مخرب دلخواه و در نهایت دریافت سطح دسترسی سرور استفاده کنند.
کامپوننت Ignition یک صفحه خطای قابل تنظیم و پیش فرض برای برنامه های Laravel است که روی Laravel 5.5 و ورژن بالاتر اجرا می شوند. همچنین به شما امکان می دهد خطاهای خود را به صورت عمومی در Flare به اشتراک بگذارید.
ورژن های تحت تاثیر آسیب پذیری:
Laravel < 8.4.3
Facade ignition < 2.5.2
راه حل:
آخرین وصله امنیتی به طور رسمی توسط سازنده منتشر شده است. توصیه می شود فریمورک Laravel را به بالاتر از ورژن 8.4.3 ارتقاء دهید.
کامپوننت Ignition به بالاتر از 2.5.2 ارتقاء دهید.
🇮🇷 @IranCyber_org
در تاریخ 13 ژانویه 2021 ، تیم امنیتی Ambionics یک آسیب پذیری اجرای کد از راه دور را در یک کامپوننت لاراول شناسایی کرد. شناسه آسیب پذیری CVE-2021-3129
جزئیات آسیب پذیری:
در مد دیباگ، اینترفیس های خاصی از تابع Ignition (بیلد شده در Laravel) داده های ورودی را به درستی فیلتر نمی کنند و همین امر به مهاجمان اجازه می دهد تا فایل های مخربی را به سیستم تزریق کرده و برای ایجاد حملات phar deserialization، اجرای کد مخرب دلخواه و در نهایت دریافت سطح دسترسی سرور استفاده کنند.
کامپوننت Ignition یک صفحه خطای قابل تنظیم و پیش فرض برای برنامه های Laravel است که روی Laravel 5.5 و ورژن بالاتر اجرا می شوند. همچنین به شما امکان می دهد خطاهای خود را به صورت عمومی در Flare به اشتراک بگذارید.
ورژن های تحت تاثیر آسیب پذیری:
Laravel < 8.4.3
Facade ignition < 2.5.2
راه حل:
آخرین وصله امنیتی به طور رسمی توسط سازنده منتشر شده است. توصیه می شود فریمورک Laravel را به بالاتر از ورژن 8.4.3 ارتقاء دهید.
کامپوننت Ignition به بالاتر از 2.5.2 ارتقاء دهید.
🇮🇷 @IranCyber_org
مرکز امنیتی ایران سایبر | ICG
Photo
📛 هشدار: آسیب پذیری اجرای کد از راه دور (RCE) در vSphere HTML5 client
♨️ اگر پچ نکنید، هاست هایی که سرورهای virty شما را هدایت میکنند همگی در معرض خطر قرار می گیرند.
🔹 بیانیه شرکت VMware
در یکی از پلاگین های vCenter Server آسیب پذیری اجرای کد از راه دور شناسایی شده که در آن هکرها با دسترسی به پورت 443 در شبکه ممکن است از این موضوع برای اجرای دستورات با سطح دسترسی بالا در سیستم عامل اصلی بهره برداری ها خود را انجام دهند.
🔹 از آنجا که vCenter Server ابزاری برای هدایت سرورهای مجازی است، این باگ امنیتی دارای امتیاز CVSS 9.8 می باشد و با شناسه CVE-2021-21972 قابل رهگیری است.
🔹 برای وصله کردن نسخه های زیر می توانید به این لینک مراجعه کنید.
▪️7.0 U1c
▪️6.7 U3l
▪️6.5 U3n
نسخه های مشابه vSphere و Cloud Foundation که در بالا ذکر شد ، نیاز به بررسی و پچ شدن دارند که می توانید در این لینک پیگیری کنید
اسکریپت poc باگ مربوطه جهت تست کردن آسیب پذیر بودن یا نبودن سرور شما در سایت گیت هاب
⚡️هشدار به تمامی شرکت ها و سازمان هایی که از این سرویس استفاده می کنند
👈 هرچه سریع تر به روز رسانی های لازمه را اعمال کنید
با تشکر 🙏
#vsphere
#RCE
🇮🇷 @IranCyber_org
♨️ اگر پچ نکنید، هاست هایی که سرورهای virty شما را هدایت میکنند همگی در معرض خطر قرار می گیرند.
🔹 بیانیه شرکت VMware
در یکی از پلاگین های vCenter Server آسیب پذیری اجرای کد از راه دور شناسایی شده که در آن هکرها با دسترسی به پورت 443 در شبکه ممکن است از این موضوع برای اجرای دستورات با سطح دسترسی بالا در سیستم عامل اصلی بهره برداری ها خود را انجام دهند.
🔹 از آنجا که vCenter Server ابزاری برای هدایت سرورهای مجازی است، این باگ امنیتی دارای امتیاز CVSS 9.8 می باشد و با شناسه CVE-2021-21972 قابل رهگیری است.
🔹 برای وصله کردن نسخه های زیر می توانید به این لینک مراجعه کنید.
▪️7.0 U1c
▪️6.7 U3l
▪️6.5 U3n
نسخه های مشابه vSphere و Cloud Foundation که در بالا ذکر شد ، نیاز به بررسی و پچ شدن دارند که می توانید در این لینک پیگیری کنید
اسکریپت poc باگ مربوطه جهت تست کردن آسیب پذیر بودن یا نبودن سرور شما در سایت گیت هاب
⚡️هشدار به تمامی شرکت ها و سازمان هایی که از این سرویس استفاده می کنند
👈 هرچه سریع تر به روز رسانی های لازمه را اعمال کنید
با تشکر 🙏
#vsphere
#RCE
🇮🇷 @IranCyber_org
The Register
VMware warns of critical remote code execution flaw in vSphere HTML5 client
If you don't patch, the hosts driving all your virty servers are at risk. So maybe your to-do list needs a tickle?
انتشار وصله های امنیتی مایکروسافت برای Exchange سرور - چهار نقض امنیتی برطرف می شود
♨️ انتشار این وصله های امنیتی از سوی شرکت مایکروسافت نشان از چهار باگ zero-day می دهد. این باگ ها با شناسه های زیر قابل رهگیری هستند.
CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, and CVE-2021-27065
🌐 برای وصله کردن آنها می توانید به سایت رسمی مایکروسافت مراجعه کنید
♨️ بیانیه مایکروسافت:
یک گروه APT مرتبط با چین تحت عنوان HAFNIUM ، با استفاده از این آسیب پذیری ها توانستند دسترسی به سرورهای داخلی Exchange و همچنین دسترسی به حساب های ایمیل را برقرار کرده و اقدام به نصب بکدور کنند.
👈 لطفا وصله کنید تا براتون وصله نکردن
با تشکر 🙏
#APT
#Exchange
🇮🇷 @IranCyber_org
♨️ انتشار این وصله های امنیتی از سوی شرکت مایکروسافت نشان از چهار باگ zero-day می دهد. این باگ ها با شناسه های زیر قابل رهگیری هستند.
CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, and CVE-2021-27065
🌐 برای وصله کردن آنها می توانید به سایت رسمی مایکروسافت مراجعه کنید
♨️ بیانیه مایکروسافت:
یک گروه APT مرتبط با چین تحت عنوان HAFNIUM ، با استفاده از این آسیب پذیری ها توانستند دسترسی به سرورهای داخلی Exchange و همچنین دسترسی به حساب های ایمیل را برقرار کرده و اقدام به نصب بکدور کنند.
👈 لطفا وصله کنید تا براتون وصله نکردن
با تشکر 🙏
#APT
#Exchange
🇮🇷 @IranCyber_org
Security Affairs
Four zero-days in Microsoft Exchange actively exploited in the wild
Microsoft released emergency out-of-band security updates for all supported Microsoft Exchange versions that fix four zero-day flaws.
درود خدمت خانواده بزرگ ایران سایبر
مدتی بود به دلایلی در تلگرام کم کار شده بودیم 😰 ولی دوباره استارت زدیم انجمن هم مثلا ادوار گذشته اکتیو است
از این که تا اینجای کار ما رو همراهی کردید سپاس گزاریم ❤️🙏🏻
کوچیک شما محمد 🙏🏼
🇮🇷 @IranCyber_org
مدتی بود به دلایلی در تلگرام کم کار شده بودیم 😰 ولی دوباره استارت زدیم انجمن هم مثلا ادوار گذشته اکتیو است
از این که تا اینجای کار ما رو همراهی کردید سپاس گزاریم ❤️🙏🏻
کوچیک شما محمد 🙏🏼
🇮🇷 @IranCyber_org
❤2
با گذشت یک ماه از حملات سایبری به صنایع فولاد کشور هنوز نحوه ی آلوده شدن و نوع نفوذ اولیه تشخیص داده نشده است
🇮🇷 @IranCyber_org
🇮🇷 @IranCyber_org
🔥1