🔵 دومین دوره مسابقات BlueCup – MITROLOGY

🧠 این دوره از مسابقات بلوکاپ با محوریت فریمورک MITRE ATT&CK برگزار می‌شود.

🔹 مرحله مقدماتی: آنلاین - بخش مسابقات در پروفایل کاربران
🔹 مرحله نهایی: حضوری

📅 تاریخ برگزاری مرحله مقدماتی: جمعه ۵ دی‌ماه ۱۴۰۴

👥 گروه رسمی مسابقه جهت اطلاع ‌رسانی‌:

https://t.iss.one/+v6v6ajBr1SVmZjBk

👥 شرایط شرکت در مسابقه

✔️جهت شرکت در مسابقه نیازی به ثبت نام مجزا نبوده و کافی است تنها در سایت ثبت نام نموده و اقدام به فعال سازی اکانت خود نمایید.
✔️ امکان شرکت به‌صورت تیمی (حداکثر ۲ نفر) وجود دارد.
✔️ تنها یک اکانت در سایت به‌عنوان نماینده تیم ثبت می‌شود.
✔️ جوایز به صاحب اکانت نماینده تعلق می‌گیرد، اما متعلق به کل تیم است.


🏆 صعود و جوایز

۲۰ اکانت برتر مرحله مقدماتی → دعوت به مرحله نهایی حضوری خواهند شد

🎖 جوایز نهایی مسابقه:

🥇 تیم اول: ۳۰ میلیون تومان
🥈 تیم دوم: ۲۰ میلیون تومان
🥉 تیم سوم: ۱۰ میلیون تومان

🤝 حامی این دوره

🌟 شرکت سرمایه‌گذاری تأمین اجتماعی (شستا) به‌عنوان حامی رسمی دومین دوره مسابقات بلوکاپ در کنار ماست.

🌐 challenginno.ir
📢 t.iss.one/challenginno

🔴 ارتش اسرائیل بعد از ممنوعیت استفاده از خودروهای چینی و جمع آوری خودروهای Chery، این بار رفته سراغ اندروید.

ارتش اسرائیل بعد از درس هایی که از 7 اکتبر یاد گرفته و لزوم تشدید رویه های امنیت اطلاعات در ارتش، میخواد استفاده از دستگاههای اندرویدی برای اهداف نظامی رو برای افسران ممنوع کنه.

در سالهای اخیر، افسران با درجه سرهنگی و بالاتر، به دلیل امنیت اطلاعات و با این فرض که اندروید قابل هک و ردیابی است، آیفون دریافت کردن.

همچنین ارتش اسرائیل قصد داره از سیستمی بنام مورفئوس که مبتنی بر هوش مصنوعی هستش، برای نظارت بر تمام حسابهای کاربری عمومی سربازان ارتش اسرائیل در رسانه‌های اجتماعی استفاده کنه، تا اطمینان حاصل بشه که سربازان، اطلاعاتی رو که میتونه توسط سازمانها یا کشورهای دشمن مورد استفاده قرار بگیره، فاش نمیکنن. / منبع

#اسرائیل #اخبار #اندروید
#Android

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 محققای ESET گزارشی منتشر کردن در خصوص فعالیتهای اخیر MuddyWater که یک شرکت فناوری در مصر و نهادهای مختلفی در اسرائیل از جمله مقامات محلی، هوانوردی غیرنظامی، گردشگری، بهداشت و درمان، مخابرات، فناوری اطلاعات و کسب‌وکارهای کوچک و متوسط رو هدف قرار دادن.

در این حملات از یک لوودر جدید بنام Fooder استفاده کردن که کارش رمزگشایی و اجرای یک بکدور جدید بنام MuddyViper هستش که در C++/C توسعه داده شده. این بکدور حاوی 20 دستور هستش که کارهایی مانند جمع آوری اطلاعات، اجرای دستورات، اپلود و دانلود فایل و ... رو در اختیار هکرها میزاره.

علاوه بر این دو ابزار، ابزارهایی مانند:

- بکدور VAXOne: خودش جای برنامه هایی مانند Veeam، AnyDesk، Xerox و سرویس آپدیت OneDrive جا میزنه.

- ابزار CE-Notes: ابزار سرقت داده از مرورگرهای مبتنی بر Chromium. (مشابه پروژه متن‌باز ChromElevator)

- ابزار Blub: ابزار C++/C برای سرقت داده‌های مرورگر از Chrome، Edge، Firefox و Opera

ابزار LP-Notes: ابزار سرقت اعتبارنامه که در C++/C توسعه داده شده و با نمایش یک پنجره جعلی Windows Security کاربر رو فریب میده و نام کاربری و پسوردش رو میگیره.

محققای ESET گفتن: این کمپین بیانگر تحول در بلوغ عملیاتی MuddyWater است. استفاده از اجزای جدید و ناشناخته مانند لوودر Fooder و بکدور MuddyViper نشان ‌دهنده ی تلاش برای افزایش مخفی‌ کاری، پایداری و توانایی سرقت اعتبارنامه‌هاست.

#ایران #اسرائیل #بازیگران_تهدید
#APT #MuddyWater #Fooder #MuddyViper

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 گوگل در بروزرسانی دسامبر 2025، 107 آسیب پذیری رو در مولفه های مختلف اندروید اصلاح کرده:

- Framework: 37
- system: 14
- Kernel: 9
- Arm components: 2
- Imagination Technologies: 4
- MediaTek components: 17
- Unisoc components: 13
- Qualcomm components: 3
- Qualcomm closed-source components: 8

دو تا از آسیب پذیریها با شدت بالا، زیرودی بودن و در حملاتی مورد اکسپلویت قرار گرفتن:

- آسیب پذیری CVE-2025-48633: منجر به افشای اطلاعات میشه.
- آسیب پذیری CVE-2025-48572: منجر به افزایش امتیاز میشه.

هر دو آسیب پذیری، نسخه های 13 تا 16 اندروید رو هدف قرار میدن.

بروزرسانی برای نسخه های 13 به بالاست، نسخه های اندروید 10 به بالا هم ممکنه بروزرسانی هایی رو از طریق Google Play System Updates دریافت کنن. اگه از نسخه های قدیمی اندروید استفاده میکنید، یا باید دستگاه رو ارتقاء بدید یا از نسخه های شخص ثالث استفاده کنید.

سامسونگ هم برای محصولات خودش بروزرسانی منتشر کرده.

#اندروید #گوگل
#Android #Google #CVE

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 آسیب پذیری بحرانی در React و Next.js

آسیب پذیری CVE-2025-55182: آسیب‌پذیری بحرانی RCE بدون نیاز به احراز هویت در بسته ی react-server که در React Server Components (RSC) استفاده میشه.

آسیب پذیری CVE-2025-66478: آسیب‌پذیری متناظر در Next.js که این نقص رو از طریق پیاده ‌سازی پروتکل RSC Flight به ارث میبره.

علت اصلی آسیب‌پذیری در نحوه ی پردازش پروتکل Flight در بسته ی react-server است. این یک آسیب‌پذیری منطقی در فرایند deserialization است که باعث میشه هنگام دریافت یک پیلود مخرب، سرور نتونه ساختارش رو درست اعتبارسنجی کنه. این امر به مهاجم اجازه میده داده ی خودش رو وارد منطق اجرای سمت سرور کنه و در نهایت کد JavaScript با سطح دسترسی بالا اجرا کنه.

پیکربندی های پیش فرض آسیب پذیر هستن. یک برنامه ی استاندارد Next.js که با create-next-app ساخته شده و برای محیط Production بیلد شده باشه، بدون هیچ تغییر کدی قابل اکسپلویت است.

برای اکسپلویت مهاجم فقط یک درخواست مخرب HTTP ارسال میکنه و در تستها 100 درصد با موفقیت اکسپلویت شدن.

طبق بررسی های WIZ:
39 درصد از محیطهای ابری حاوی نسخه‌های آسیب‌پذیر React یا Next.js هستن. Next.js در ۶۹٪ از محیطها وجود داره. 61٪ از این محیطها برنامه‌های عمومی مبتنی بر Next.js اجرا میکنن. این یعنی ۴۴٪ کل محیطهای ابری شامل نمونه‌های عمومی Next.js هستن که بالقوه آسیب‌پذیرن.

نسخه های آسیب پذیر:

- react-server-dom*: 19.0.0, 19.1.0, 19.1.1, and 19.2.0
- Next.js: 14.3.0-canary, 15.x, and 16.x (App Router)

نسخه های اصلاح شده:

- 19.0.1, 19.1.2, and 19.2.1
- 14.3.0-canary.88, 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7

هر فریمورک یا کتابخانه‌ای که بسته ی react-server رو همراه داره احتمالا تحت تأثیر است؛ از جمله:

- Next.js
- Vite RSC plugin
- Parcel RSC plugin
- React Router RSC preview
- RedwoodSDK
- Waku

توصیه شده حتما نسخه های مربوطه رو بروزرسانی کنید و اگه از فریمورکهای مبتنی بر RSC استفاده میکنید، از طریق کانالهای رسمی نسبت به بروزرسانی و ارتقاء اقدام کنید./ منبع

#آسیب_پذیری_امنیتی

#React #CVE #Nextjs #React2Shell

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 پلیس ملی کره جنوبی 4 فرد رو به اتهام هک بیش از ۱۲۰ هزار دوربین IP در سراسر کشور (منازل و مراکز خصوصی) و فروش تصاویر سرقت ‌شده به یک ‌سایت بزرگسالان خارجی بازداشت کرده.

اگرچه نام مظنونان یا نام ‌سایتها اعلام نشده، اما پلیس در حال حاضر اقدامات قانونی علیه بینندگان این محتوا و همچنین گردانندگان ‌سایت رو از طریق همکاریهای بین‌المللی آغاز کرده. همچنین اقدامات حفاظتی برای جلوگیری از آسیبهای بیشتر به قربانیان رو انجام میده.

خلاصه اقدامات این 4 نفر:

- مظنون B (بیکار) – هک ۶۳,۰۰۰ دوربین IP و تولید و فروش ۵۴۵ ویدیوی غیرقانونی جنسی، به ارزش ۲۳,۸۰۰ دلار بصورت ارز دیجیتال.

- مظنون C (کارمند اداری) – هک ۷۰,۰۰۰ دوربین IP و تولید و فروش ۶۴۸ ویدیوی غیرقانونی جنسی، به ارزش ۱۲,۳۰۰ دلار بصورت ارز دیجیتال.

- مظنون D (خویش‌فرما) – هک ۱۵,۰۰۰ دوربین IP و تولید محتوای غیرقانونی، از جمله شامل افراد زیر سن قانونی.

- مظنون E (کارمند اداری) – هک ۱۳۶ دوربین IP.

مشخص نیست که آیا برخی از این دوربینها چندین بار هک شدن یا نه.

محققا گفتن که ‌سایتی که این محتواهای غیرقانونی رو میزبانی میکنه، که مخصوص محتوای مخفی و سوءاستفاده جنسی از کشورهای مختلف است، در سال گذشته ۶۲ درصد کل آپلودهای خودش رو تنها از مظنونان B و C دریافت کرده.

سه فردی که این محتواها رو از ‌سایت غیرقانونی خریداری کردن، بازداشت شدن و با حداکثر ۳ سال زندان مواجه هستن.

در مورد قربانیان، تاکنون ۵۸ مکان آسیب ‌دیده شناسایی و اطلاع رسانی شده.

پارک وو-هیون، مدیر سیاست‌گذاری تحقیقات سایبری در آژانس ملی پلیس هشدار داده: مشاهده یا در اختیار داشتن ویدیوهای غیرقانونی سوء استفاده جنسی هم یک جرم جدی است و ما اونارو با جدیت بررسی خواهیم کرد.

برای کاربران دوربینهای IP، توصیه شده از رمز پیش فرض استفاده نکنن، دسترسی ریموت رو در صورت عدم نیاز غیرفعال کنن و فریمور دستگاه رو بروزرسانی کنن./منبع

#بازیگران_تهدید #کره_جنوبی

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🚨نقض جدید: اطلاعات داخلی و مکاتبات سازمانی شرکت داروسازی رازی

🔍 مجموعه‌ بزرگی از داده‌های حساس منتسب به شرکت "داروسازی رازی" در فهرست فروشندگان بانک‌های اطلاعاتی غیرمجاز مشاهده شده است. این داده‌ها شامل بخش‌هایی از صندوق‌های ایمیل کارکنان، پیوست‌ها، اسناد داخلی، مکاتبات مربوط به فعالیت‌های سازمانی و اطلاعات مرتبط با زنجیره تأمین را شامل می‌شود.

📌 با توجه به احتمال سوءاستفاده از داده‌ها، توصیه می‌شود تمام افرادی که با شرکت رازی همکاری یا تبادل اطلاعات داشته‌اند، از جمله مشتریان و شرکای تجاری، رمزهای عبور خود را تغییر دهند، نسبت به پیام‌ها و ایمیل‌های مشکوک حساس باشند و در صورت امکان احراز هویت چندمرحله‌ای را فعال کنند.

✅ صحت داده‌های نمونه بررسی شده و قابل تایید است!

🆔 @leakfarsi

🔴 هفته پیش دومین حمله ی Shai-Hulud با افشای 400 هزار اطلاعات حساس از طریق آلوده کردن صدها پکیج در رجیستری NPM در 30 هزار مخزن گیتهاب رخ داد.

با بررسی موارد افشاء شده از طریق TruffleHog، حدود 10 هزار موردش معتبر بوده اما محققای WIZ اعلام کردن که بیش از 60 درصد از توکن های NPM تا 1 دسامبر همچنان معتبر بودن که میتونه ریسک فعال برای حملات زنجیره تامین باشن.

تهدید Shai-Hulud اولین ‌بار در اواسط سپتامبر ظاهر شد و ۱۸۷ پکیج NPM رو با یک پیلود که خودش رو تکثیر میکرد، آلوده کرد که با استفاده از TruffleHog، توکن اکانتها رو شناسایی، اسکریپت مخرب رو در پکیج تزریق و اونرو بطور خودکار منتشر میکرد.

در حمله دوم، این بدافزار بیش از ۸۰۰ پکیج (با احتساب تمام نسخه‌های آلوده) رو تحت ‌تأثیر قرار داده و یک مکانیزم مخرب داشت که در صورت برقراری شرایط خاص، دایرکتوری Home قربانی رو پاک میکرد.

محققای Wiz این نشت رو که در ۳۰ هزار مخزن GitHub پخش شده بود، بررسی کردن:

- حدود ۷۰٪ از مخزنها شامل فایل contents.json بودن که حاوی نام کاربری گیتهاب، توکنها و اسنپ ‌شات فایلها بودن.
- نیمی از اونها فایل truffleSecrets.json رو داشتن که نتایج اسکن TruffleHog بود.
- ۸۰٪ شامل environment.json که حاوی اطلاعات سیستم ‌عامل، متادیتای CI/CD، متادیتای پکیج NPM و اعتبارنامه‌های گیتهاب بود.
- ۴۰۰ مخزن، فایل actionsSecrets.json رو داشتن که داده های مربوط به گردش ‌کار GitHub Actions بود.

محققای Wiz گفتن که بدافزار، TruffleHog رو بدون فلگ "-only-verified" اجرا کرده، یعنی این ۴۰۰ هزار داده فقط با فرمت شناخته ‌شده مطابقت دارن و ممکن بسیاری از اونا دیگه معتبر یا قابل‌استفاده نباشن.

داده‌های جمع‌آوری ‌شده نشان میده که ۸۷٪ ماشینهای آلوده لینوکسی هستن و ۷۶٪ موارد آلودگی در کانتینرها رخ داده.

در توزیع پلتفرمهای CI/CD محصول GitHub Actions با فاصله زیاد در رتبه اول قرار داشت و پس از اون Jenkins، GitLab CI و AWS CodeBuild قرار دارن.

در بررسی توزیع آلودگی، محققای Wiz اعلام کردن که بیشترین آلودگی مربوط به postman/[email protected] بوده و بعدش asyncapi/[email protected] قرار داره. این دو پکیج در مجموع بیش از ۶۰٪ کل آلودگی رو تشکیل دادن.

محققان گفتن اگه در مراحل اولیه، فقط چند پکیج کلیدی شناسایی و مسدود میشد، میتونست اثر حمله Shai-Hulud رو به میزان زیادی کاهش بده.

همچنین درباره الگوی آلودگی، ۹۹٪ موارد ناشی از اجرای رویداد preinstall در هنگام اجرای اسکریپت setup_bun.js بوده و تعداد کمی هم احتمالاً مربوط به تست بودن.

محققای Wiz معتقدن که بازیگران تهدید Shai-Hulud به توسعه و تکامل تکنیکهای خودشون ادامه خواهند داد و پیش ‌بینی میکنن که موجهای بیشتری از حملات در آینده نزدیک رخ خواهد داد که ممکن از حجم عظیم اعتبارنامه‌های جمع‌آوری ‌شده تاکنون استفاده کنن./منبع

#حملات_زنجیره_تامین
#NPM #SupplyShainAttack #ShaiHaludAttack

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 عنوان برنامه ی Off By One Security این هفته: "Can't Stop the ROP: Weaponizing ROP on Windows to Bypass System DLLs" هستش.

مهمان برنامه: Bramwell Brizendine

این برنامه ساعت 30 : 22 به وقت ایران از طریق توییتر و یوتیوب قابل دسترس هستش و ضبط هم میشه.

یکی از تکنیکهای محبوب در توسعه اکسپلویت Return-Oriented Programming )(ROP است. این تکنیک به مهاجم اجازه میده بدون تزریق کد جدید، فقط با تکیه بر کدهای موجود در حافظه ی برنامه، یک جریان اجرای دلخواه بسازه و معمولا برای دور زدن DEP و ASLR و ... بکار میره.

در این تکنیک از تکه کدهایی بنام Gadget استفاده میکنن که به دستور ret ختم میشن و معمولا داخل DLLها و باینری های مختلف وجود دارن. مهاجم این گجتها رو پشت هم قرار میده و ROP Chain می سازه.

مثلا فرض کنید مهاجم میخواد تابع WinExec رو اجرا کنه، آدرس این تابع رو داخل پشته قرار میده و با ret به این تابع پرش میکنه. اینجوری بدون شلکد، کار مد نظر رو انجام میده.

در این قسمت از برنامه که قسمت دوم هستش، میخوان High Entropy ASLR که در ویندوز 64 بیتی معرفی شده رو از طریق ROP دور بزنن و آدرسهای DLLهای سیستمی رو بدست بیارن.

اگه در خصوص ASLR و High Entropy ASLR و DEP اطلاعاتی ندارید، میتونید این ویدیو رو مشاهده کنید.


#توسعه_اکسپلویت
#ExploitDev #ROP #ASLR

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 آسیب پذیری بحرانی در cPanel:

آسیب پذیری با شناسه ی CVE-2025-66429 و امتیاز 9.3 در سی پنل گزارش و اصلاح شده که امکان افزایش امتیاز به root رو به مهاجم محلی میده.

نسخه های 130.0.15 و قبل تر، تحت تاثیر هستن و نسخه ی 130.0.16، نسخه ی اصلاح شده است.

آسیب پذیری 4 نوامبر گزارش و نسخه ی اصلاح شده 5 نوامبر منتشر شده، اما تا 1 دسامبر عمومی نکردن، تا احتمال اکسپلویت رو کاهش بدن.

آسیب پذیری از نوع Directory Traversal و در Team Manager API هستش.

در cPanel، ویژگی Team Manager به مدیران سرور اجازه میده دسترسیهای مدیریتی رو بین کاربران سی‌پنل به اشتراک بذارن، بدون نیاز به اشتراک ‌گذاری پسورد اصلی. این قابلیت از طریق API هم قابل دسترس است. مدیران میتونن با فعالسازی این ویژگی در Feature Manager و تعریف دسترسیها، امکان مدیریت تیمی رو به کاربران ارائه بدن تا بتونن با همکاران خودشون در مدیریت هاست همکاری کنن.

#آسیب_پذیری_امنیتی #سی‌پنل

#cPanel #CVE

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 همونطور که قبلا در کانال قرار داده بودم، دو تا آسیب پذیری با شناسه ی CVE-2025-55182 و CVE-2025-66478 در React و Next.js کشف و اصلاح شدن که در جامعه ی امنیت بهشون React2Shell میگن. چون هم امکان اجرای کد رو به مهاجم میده و هم مثل Log4j، خیلی از زیرساختها و برنامه ها رو میتونن تحت تاثیر قرار بدن.

یسری PoC منتشر شده که هدفشون بیشتر تشخیص وجود React Server Components هستش. اما این برای تعیین قابلیت اکسپلویت کافی نیست و بسیاری از PoCهای عمومی قابل اعتماد نیستن.

یکی از راههای تشخیص React2Shell استفاده از Burp Suite هستش. برای اینکار میتونید از افزونه ی ActiveScan++ (v2.0.8) استفاده کنید که تست خودکار React2Shell رو روی برنامه‌های Next.js انجام میده.

اگه نیاز به تست دقیق و سفارشی دارید، میتونید از Bambda ویژه ی React2Shell استفاده کنید.

اگه نیاز دارید وضعیت React2Shell رو در چندین برنامه یا محیط بررسی کنید، Burp Suite DAST تشخیص خودکار و پیوسته رو از طریق ActiveScan++ (v2.0.8)، در مقیاس بزرگ ارائه میده.

جزییات بیشتر رو میتونید از اینجا بدست بیارید.

#آسیب_پذیری_امنیتی

#React #CVE #Nextjs #React2Shell

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 برای React2Shell یک سایتی آوردن بالا، که اطلاعات مختلفی در خصوص این آسیب پذیری در اختیارتون قرار میده.

توضیح دادن که خیلی از PoCهای منتشر شده جعلی و خطرناک هستن و خودشون یک PoC برای CVE-2025-55182 منتشر کردن.

#آسیب_پذیری_امنیتی

#React #CVE #Nextjs #React2Shell

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 افشای هویت Rey از SLSH

در این پست گزارش اخیر KrebsOnSecurity در خصوص نحوه ی پیدا کردن یکی از اعضای اصلی SLSH و مصاحبه کوتاه با ایشون رو ارائه کردیم.

سرویسهای معرفی شده در این گزارش، به موتورهای جستجو برای محققین امنیت سایبری هم اضافه شد.

#باج_افزار #داستان_هکرها
#Hackers_story #SLSH #OPSEC #OSINT #ScatteredLAPSUSHunters #TheCom

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 آسیب پذیری بحرانی در Apache Tika:

بنیاد آپاچی (ASF) در ماه آگوست یک آسیب پذیری با شناسه ی CVE-2025-54988 و از نوع XXE رو در Apache Tika اصلاح و اعلام کرده بود که آسیب پذیری در ماژول tika-parser-pdf-module هستش. مهاجم میتونست از طریق یک فایل XFA دستکاری ‌شده داخل یک PDF، حمله ی XXE انجام بده.

اخیرا متوجه شدن که آسیب پذیری در tika-core هستش و کاربرانی که اصلاحیه ی قبلی رو اعمال کردن، همچنان آسیب پذیر هستن. بنابراین یک شناسه ی جدید، CVE-2025-66516 با امتیاز 10 تعریف و اصلاحیه ی جدیدی منتشر کردن.

آسیب پذیری CVE-2025-66516 هم Tika Core و هم Tika Parsers رو از نسخه‌های 1.13 تا 3.2.1 و همچنین نسخه‌های ماژول PDF از 1.13 تا قبل از 2.0.0 و نسخه‌های 2.0.0 تا 3.2.1 رو تحت تأثیر قرار میده.

نسخه ی اصلاح شده Tika 3.2.2 و نسخه های بالاتر است.

محصول Apache Tika یک ابزار متن ‌باز برای تحلیل محتواست که میتونه ‌بطور خودکار متن و متادیتا رو از PDF، پاورپوینت، اکسل، ورد و صدها فرمت دیگه استخراج کنه. از کاربردهای این ابزار میشه به ایندکس موتور جستجو، ترجمه، و ارائه ی محتوا به هوش مصنوعی اشاره کرد./منبع

#آسیب_پذیری_امنیتی #آپاچی
#Apache #CVE #ASF

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 بررسی Patch Tuesday مایکروسافت برای دسامبر 2025 (آذر 1404)

در Patch Tuesday دسامبر 2025، مایکروسافت 70 آسیب پذیری رو در محصولات مختلفش اصلاح کرده. در این پست نگاهی به آسیب پذیریهای بحرانی و 0Day اندختیم.


#مایکروسافت #ویندوز #آسیب_پذیری_امنیتی
#Microsoft #CVE #0day #PatchTuesday

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 اخیرا تحقیقی با عنوان Intellexa Leaks منتشر شده که جزییاتی در خصوص جاسوس افزار Predator، اکسپلویتهای زیرودی و شرکتهای وابسته به Intellexa رو افشاء میکنه. این اسناد از زاویه های مختلف منتشر شده که سعی کردم، در سایت پوشش بدم. برای درک بهتر این تحقیق، نیازِ گزارش جالبی که در سال 2023 با عنوان Predator Files منتشر شده رو هم بررسی کنیم. بنابراین در این سری پستها، این تحقیقات رو در قالب 4 پست، ارائه کردیم:

1️⃣ بررسی Predator Files: نگاه فنی به محصولات Intellexa (گزارش عفو بین الملل)

2️⃣ بررسی Intellexa Leaks: عملیات داخلی جاسوس‌افزار Predator ( گزارش عفو بین الملل)

3️⃣ بررسی Intellexa Leaks: شبکه شرکتهای وابسته به Intellexa (گزارش RecordedFuture)

4️⃣ بررسی Intellexa Leaks: اکسپلویت‌های زیرودی Intellexa (گزارش گوگل)

آقای L0Psec هم یک نسخه ی IOS از بدافزار Predator رو مهندسی معکوس کرده که اگه علاقمند بودید، استفاده کنید.

#جاسوس‌افزار_تجاری

#Intellexa #IntellexaLeaks #MercenarySpyware #Predator #PredatorFiles #Osint

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 طبق بررسی های آقای حمید کشفی، گویا گوگل، اپل و واتس‌اپ، هشدارهایی در خصوص آلودگی توسط جاسوس افزارهای تجاری به برخی از کاربران داخل ایران هم ارسال کردن، اگر جزء این دسته کاربران هستید، یا بعد از مطالعه ی گزارشات بالا، فکر میکنید با این بدافزارها درگیر شدید، برای دریافت راهنمایی و کمک بیشتر میتونید به ایشون پیام بدید.

در چنین شرایطی نیاز به بک‌آپ از دستگاه هستش که معمولا برای IOS از Sysdiagnose و برای اندروید از BugReport استفاده میکنن. البته باز به فرد تحلیلگر و فارنزیک کار و شرایط و دستگاه هم بستگی داره.

#جاسوس‌افزار_تجاری

#Intellexa #IntellexaLeaks #MercenarySpyware #Predator #PredatorFiles #Osint

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 ضعف امنیتی در بروزرسانی ++Notepad

نرم افزار ++Notepad برای بروزرسانی خودش از GUP.exe (WinGUp) استفاده میکنه. فرایند بروزرسانی هم اینطوریه که درخواستی به این آدرس ارسال میکنه:

https://notepad-plus-plus.org/update/getDownloadUrl.php?version=<versionnumber>

اگه مورد جدیدی باشه، یک فایل XML با محتویات زیر برمیگردونه:

<GUP>
<script/>
<NeedToBeUpdated>yes</NeedToBeUpdated>
<Version>8.8.8</Version>
<Location>https://github.com/notepad-plus-plus/notepad-plus-plus/releases/download/v8.8.8/npp.8.8.8.Installer.exe</Location>
</GUP>

اخیرا یکی از کاربران گزارش داده که WinGUp یک فایل در مسیر زیر ایجاد میکنه:

%Temp%\AutoUpdater.exe

و یسری دستورات مرتبط با ریکان رو اجرا و در فایل a.txt ذخیره میکنه:

cmd /c netstat -ano >> a.txt
cmd /c systeminfo >> a.txt
cmd /c tasklist >> a.txt
cmd /c whoami >> a.txt

بعدش، autoupdater.exe این فایل رو از طریق curl.exe به temp[.]sh ارسال میکنه.

کاربرا 2 تا حدس میزنن: یا اینکه کاربر از یک نسخه ی آلوده استفاده میکنه (Malvertising) یا اینکه ترافیک بروزرسانی دستکاری شده.

محقق امنیتی Kevin Beaumont اعلام کرده که اوایل این ماه سه سازمان در شرق آسیا، از این طرق هک شدن و احتمال میده که هکرها از طریق دستکاری ترافیک و تغییر مقدار Location در XML، تونستن این کار انجام بدن.

با توجه به اینکه ترافیک این سایت بدلیل تعداد کاربراش قابل شناسایی هستش و همچنین مهاجم با قرار گرفتن در مسیر ISP میتونه ترافیک رو دستکاری کنه، 18 نوامبر، نسخه ی 8.8.8 منتشر شده که فقط بروزرسانی رو از گیتهاب میگرفت. (گیتهاب ترافیکش برای شناسایی سختتره - کاربراش زیادن)

9 دسامبر هم نسخه ی 8.8.9 منتشر شده که مانع نصب هر گونه بروزرسانی‌ میشه که با گواهی امضای کد سازنده امضا نشده باشه.

توسعه دهنده ی ++Notepad هم اعلام کرده که تحقیقات برای مشخص‌کردن روش دقیق سرقت و دستکاری ترافیک ادامه داره. بعد از رسیدن به شواهد قطعی، کاربران مطلع خواهند شد.

توصیه شده، نسخه 8.8.9 رو از سایت اصلی بصورت دستی دانلود و نصب کنید./منبع

#آسیب_پذیری_امنیتی

#NotepadPlusPlus

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 کمپین جدید توزیع بدافزار از طریق سوء استفاده از هوش مصنوعی

محققای Huntress گزارش آلودگی از کاربران macOS با بدافزار AMOS (Atomic macOS Stealer) دریافت کردن و اومدن که بررسی کنن متوجه شدن که نه ایمیل فیشینگ در کارِ، نه نصب کننده آلوده و نه ClickFix بلکه فقط یک جستجوی ساده در گوگل و بعدش یک گفتگو با ChatGPT منجر به آلودگی شده.

در این کمپین بازیگران تهدید یسری گفتگوی آموزشی در چت‌باتها ایجاد میکنن، مثلا چطوری در macOS فضای دیسک رو پاک کنیم و این محتوا رو اشتراک گذاری میکنن. این محتوا معمولا توسط گوگل ایندکس و در نتایج جستجو نمایش داده میشه.

کاربری که مثلا مشکل فضای دیسک داره، با جستجو وارد یکی از این گفتگوها میشه و دستورات اون رو قدم به قدم اجرا میکنه. چرا؟ چون لینک مربوط به ChatGPT یا Grok هستش، بنابراین معتبره، قالب حرفه ای داره، زبان ارائه شده اطمینان بخش هستش و محتوای فنی قابل قبولی داره.

اما داخل این دستورات، لینکی قرار داره که با Base64 رمز شده و مربوط به دانلود بدافزار هستش.

با این روش بازیگر تهدید در سه گام: جستجو، کلیک، کپی پِست به هدفش میرسه.

محققا گفتن: این کمپین نشان‌ دهنده تحولی بنیادین در مهندسی اجتماعی است. مهاجمان دیگه فقط از پلتفرمهای معتبر تقلید نمیکنن؛ بلکه فعالانه از خودِ این پلتفرمها استفاده میکنن و نتایج جستجو رو آلوده میکنن تا کمک مخربشان اولین چیزی باشه که قربانیان میبینن. بدافزار دیگه لازم نیست خودش رو شبیه یک نرم‌افزار تمیز جا بزنه، وقتی میتونه خودش رو شبیه یک راهنمای کمک رسان نشان بده.

اصطلاحا آلوده کردن نتایج هوش مصنوعی رو AI Poisoning میگن و بالا آوردن محتوای مخرب در موتورهای جستجو رو SEO Poisoning.

#بازیگران_تهدید #هوش_مصنوعی #مهندسی_اجتماعی
#AIPoisoning #SEOPoisoning #AI

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)

🔴 انتشار چهارمین نسخه ی Kali Linux برای سال 2025

چهارمین نسخه ی Kali Linux برای سال 2025 با اصلاح یسری باگ و بهبود در بخش های مختلف و اضافه شدن 3 ابزار جدید منتشر شد. در این پست نگاهی به این تغییرات جدید انداختیم.

#کالی_لینوکس #لینوکس
#KaliLinux #Linux #InfoSec

🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)