#APT #Lazarus #Python
در سال گذشته تیم Lazarus منتسب به کره شمالی، اقدام به پیاده سازی یک حمله مبتنی بر یک مهندسی اجتماعی جالب کرده و قربانیانی را مورد حمله قرار داده است.

ماجرا از این قرار که یک برنامه کنفرانس ویدیویی تقلبی متفاوت با نام FCCCall که یک برنامه کنفرانس قانونی رو تقلیب میکنه به عنوان بخشی از زنجیره حمله استفاده شده.

تیم مهاجم بواسطه شبکه های اجتماعی و آگهی های کاریابی که مشخصا متخصصان بلاک چین هستند، با قربانیان تماس گرفته و ادامه گفتگو را در تلگرام ادامه داده اند.

در تلگرام پروژه ای Node.js داده شده تا ارزیابی فنی انجام شود و همچنین از یک نرم افزار کنفرانس تقلبی نیز استفاده کرده و قربانی را سعی در دانلود و نصب نرم افزار کنفرانس تقلبی از دامنه به ظاهر مشروع لازاروس میکند.

قربانیان ویندوزی و مک بواسطه BeaverTail که Trojan شده است، قربانی را بواسطه یک نصب کننده MSI یا DMG آلوده میکند، در کنار این دو یک پروژه مخرب Node.js نیز که بصورت مبهم سازی شده است نیز به قربانی داده میشود.

در صورت اجرای پروژه یک کد مخرب پایتونی را دانلود کرده و آن نیز نرم افزار anydesk را نامحسوس اجرا میکند.

محققان Trend Micro که CVE-2025-23359 کشف کردند مقاله ای منتشر کردند.

به عنوان مثال، آنها هنگام استفاده از چندین مانت در یک کانتینر متوجه برخی مشکلات عملکردی شدند که می تواند منجر به DoS شود (همان مشکل عملکرد به طور مستقل توسط moby و NVIDIA گزارش شده است):

1. هنگامی که یک کانتینر جدید با چندین مانت پیکربندی شده با ( bind-propagation=shared ) ایجاد می شود، چندین مسیر والد/فرزند تنظیم می شود. با این حال، پس از خاتمه کانتینر، ورودی‌های مرتبط از جدول نصب لینوکس حذف نمی‌شوند.

2. این باعث می شود که جدول mount به سرعت و به طور غیرقابل کنترلی رشد کند و توصیفگرهای فایل موجود ( fd ) را خسته کند. در نهایت Docker به دلیل فرسودگی fd قادر به ایجاد کانتینرهای جدید نیست.

3. این جدول نصب بیش از حد بزرگ با جلوگیری از اتصال کاربران به هاست (مثلاً از طریق SSH ) باعث مشکلات جدی عملکرد می شود.

بر این اساس، برخی از جزئیات برای بهره برداری CVE-2025-23359 فاش شد (اما هیچ PoC ارائه نشد):

1. مهاجم با استفاده از یک پیوند نمادین volume ، دو تصویر مخرب مخرب ایجاد می کند.
2. مهاجم به طور مستقیم یا غیرمستقیم تصویر را روی پلتفرم قربانی اجرا می کند
3. این به مهاجم اجازه می دهد تا از طریق شرایط مسابقه به سیستم فایل میزبان دسترسی پیدا کند.
4. با استفاده از این دسترسی، مهاجم می تواند متعاقباً به سوکت های Container Runtime Unix دسترسی پیدا کند تا دستورات دلخواه را با امتیازات root اجرا کند، یعنی کنترل کامل از راه دور بر روی سیستم در معرض خطر را به دست آورد

بانک گردشگری در راستای توسعه سرمایه انسانی و تکمیل کادر تخصصی خود در بخش‌های زیر دعوت به همکاری می‌کند:

🔹 کارشناس فناوری اطلاعات
🔹 بانکدار شعب برخی استان‌ها
🔹 بانکدار ارشد ارزی
🔹 معاون ارزی شعب تهران و برخی استان‌ها

✅ مهلت ثبت نام : از تاریخ 1404/02/01 لغایت 1404/02/20

📍 ثبت‌نام فقط از طریق وب‌سایت رسمی بانک گردشگری
لینک ثبت‌نام و اطلاعات کامل( بدون فیلتر شکن) :
https://www.tourismbank.ir/s/mfabMze



✅کسب اطلاعات بیشتر: ۲۳۹۵۰-۰۲

😍 تحقیق "چگونه استراتژی های CISO تغییر کرده اند": در مورد CISO و برای CISO

تیم تحلیلی Infosystems Jet یک مطالعه مشاوره ای بزرگ را با عنوان "دوره تاب آوری سایبری: چگونه استراتژی های CISO تغییر کرده اند" آماده کرد. سال گذشته این مطالعه برای اولین بار منتشر شد، اکنون ما آن را به یک رویداد سالانه تبدیل کرده ایم. این گزارش بر اساس نتایج نظرسنجی از مدیران امنیت اطلاعات (مصاحبه و پرسشنامه های حضوری) و همچنین داده های تاریخی انباشته شده در مورد نتایج پروژه های امنیت اطلاعات تهیه شده است. مجموع تجمعی برای دو سال بیش از 160 پاسخ دهنده است، پاسخ دهندگان اصلی مطالعه (75٪) شرکت های بزرگ با کارکنان 500 تا 2000 نفر هستند.

این مطالعه حوزه های کلیدی مورد علاقه مدیران امنیت اطلاعات را پوشش می دهد:
🔹 مدیریت استراتژیک (تعیین و تنظیم اهداف، تشکیل و حفاظت از بودجه امنیت اطلاعات)
🔹 مدیریت موثر، استفاده از خدمات و اتوماسیون
🔹 سازماندهی خدمات امنیت اطلاعات، جستجو و توسعه پرسنل
🔹 مدیریت ریسک امنیت اطلاعات
🔹 حفظ انعطاف پذیری سایبری و تضمین تداوم کسب و کار
🔹 ارزیابی و گزارش سطح امنیت اطلاعات
🔹 فرهنگ سایبری

برخی از ارقام و نتایج جالب از این گزارش:
🔹 برنامه ریزی پنج ساله در امنیت اطلاعات عملاً در حال از بین رفتن است: شرکت ها به طور فزاینده ای برنامه ریزی برای دوره های زمانی کوتاه (دو ساله) را انتخاب می کنند و 4٪ از شرکت ها به برنامه ریزی تا یک سال روی آورده اند.
🔹 مدیران IS همچنان به انتخاب روش "محتاطانه" برنامه ریزی استراتژیک ادامه می دهند و به استراتژی بهبود تدریجی ترجیح می دهند. تعداد شرکت هایی که به دنبال تغییرات اساسی ("استراتژی های نوآوری") هستند از 23٪ به 5٪ کاهش یافت.
🔹 شرکت ها هنوز مدل قدیمی «قلعه و خندق» و مدل «دفاع طبقه ای» را ترجیح می دهند. شرکت‌ها به‌طور فزاینده‌ای در حال طراحی معماری‌های ترکیبی (انتقالی) هستند و روش‌های ZT و انعطاف‌پذیری سایبری را به لایه‌های ثابت دفاع اضافه می‌کنند.
🔹 14٪ از شرکت ها یک رویکرد خدمات را اجرا کرده اند، 11٪ در حال اجرای شیوه های فردی هستند: تعریف خدمات اولیه و اختیاری، توسعه یک سیستم قیمت گذاری، انتخاب ابزار مدیریت خدمات، توسعه یک پایه روش شناختی برای یک مدل خدمات.
🔹 از پایان سال 2023، روندی به سمت توزیع مجدد جزئی بودجه از عملکرد "پیشگیری" (پیشگیری) به "تشخیص سریع تهدید" (تشخیص و پاسخ) وجود داشته است. اقدامات "پیشگیری" همچنان شاهد سهم بالایی از بودجه بندی است زیرا شرکت ها همچنان به راه حل های داخلی مانند امنیت شبکه مهاجرت می کنند.
🔹 تعداد شرکت‌هایی که کارگر امنیت اطلاعات ندارند در مقایسه با سال 2023 به میزان قابل توجهی کاهش یافته است - تنها 6 درصد در مقابل 13 درصد در سال 2024.
🔹 از اواسط سال 2024، افزایش تقاضا برای حالت های امنیتی اطلاعات با دید هلیکوپتر ("ممیزی سریع") با استفاده از مدل های ارزیابی سطح بلوغ (CMMI و موارد مشابه) وجود داشته است.

این مطالعه برای مدیران امنیت اطلاعات و فناوری اطلاعات و همچنین مشاوران و کارشناسان امنیت اطلاعات مفید خواهد بود

👾 ماندگارترین بدافزار

• در سال 2008 ، کرمی به نام Conficker در سراسر جهان گسترش یافت. با سوء استفاده از یک آسیب پذیری حیاتی در سیستم عامل، رایانه هایی را که دارای ویندوز XP هستند، هدف قرار داد.

• کل موضوع این بود که حتی قبل از شروع گسترش کرم، مایکروسافت به روز رسانی امنیتی MS08-067 را منتشر کرد که آسیب پذیری سیستم عامل را بسته و از آلوده شدن سیستم به بدافزار جلوگیری کرد. در نتیجه آن دسته از کاربرانی که این آپدیت را نصب نکرده بودند دچار حمله کرم شدند.

• تخمین تعداد کل دستگاه های آلوده به Conficker دشوار است. تنها در ژانویه 2009، بر اساس برآوردهای مختلف، تعداد آنها از 9 تا 15 میلیون متغیر بود. این کرم همچنین از ویژگی بارگذاری خودکار استفاده کرده و سیستم های تمیز شده را مجدداً آلوده کرد.

• به علاوه، این کرم به معنای واقعی کلمه همه جا حاضر بود. این بدافزار حتی در یک نیروگاه هسته‌ای در آلمان نیز یافت شد و این کرم در حداقل 18 دستگاه ذخیره‌سازی موبایل، عمدتاً USB و رایانه‌های اداری، که جدا از سیستم‌های اصلی نیروگاه استفاده می‌شدند، یافت شد. همچنین خبری منتشر شد مبنی بر اینکه دوربین هایی که پلیس در ایالات متحده روی لباس خود می پوشد نیز به کرم آلوده است. علاوه بر این، کرم از تولید این دستگاه‌ها به آنجا می‌رسد و در صورت اتصال دوربین به رایانه شخصی، در سراسر شبکه پخش می‌شود.

• با دور شدن افراد از سیستم عامل قدیمی، تعداد دستگاه های آلوده کاهش یافت. با این حال، در سال 2019 (10 سال پس از اولین قسمت!)، یک مقاله نیویورک تایمز نشان داد که حدود 500000 دستگاه هنوز آلوده هستند و در سال 2021 (12 سال پس از اولین آلودگی)، کارشناسان BitDefender بدافزار را در 150000 دستگاه پیدا کردند .

• نیروی دریایی فرانسه (Intrama) مجبور شد پروازهای خود را در چندین پایگاه هوایی خود به دلیل وجود این کرم متوقف کند. قطع شبکه ناشی از این کرم برای شورای شهر منچستر 1.5 میلیون پوند هزینه داشت. McAfee خسارت جهانی Conficker را 9.1 میلیارد دلار تخمین زد.

شصت سال پیش در چنین ماهی، الگوریتم تبدیل فوریه سریع (FFT) توسط کولی و توکی (۱۹۶۵) معرفی شد؛ یکی از مهم‌ترین الگوریتم‌های پردازش سیگنال و تحلیل داده در تاریخ.

جالب است بدانید در سال ۱۸۰۵، گاوس هنگام مطالعه مدار سیارک‌های پالاس و جونو، روشی برای بازسازی مسیر آن‌ها از نمونه‌های گسسته ارائه کرد. این روش از نظر ریاضی بسیار به FFT مدرن شباهت داشت، اما گاوس آن را منتشر نکرد و پیچیدگی محاسباتی‌اش را نیز تحلیل نکرد. این کشف حتی پیش از کار مشهور فوریه در زمینه انتشار گرما در سال ۱۸۲۲ انجام شده بود، اما بدون چارچوب‌بندی و تعمیمی که کولی و توکی ۱۶۰ سال بعد ارائه کردند.

در سال ۱۹۶۵، کولی و توکی الگوریتمی را منتشر کردند که هزینه محاسبه تبدیل فوریه گسسته را از مرتبه 𝑂(𝑛²) به 𝑂(𝑛 log⁡𝑛) کاهش داد. این جهش بزرگ، پردازش سیگنال در زمان واقعی و فشرده‌سازی رسانه‌های دیجیتال را ممکن ساخت.

از تلسکوپ‌های رادیویی تا تصاویر JPEG، از کدک‌های صوتی تا مکانیک کوانتومی — الگوریتم FFT همه جا حضور دارد. یکی از مهم‌ترین الگوریتم‌های قرن بیستم؛ ریشه‌گرفته از نبوغ گاوس و شکوفا شده در عصر کامپیوتر.

#fft