iDeFense

🦠 Hexon Stealer
20[.]19.32[.]198

♨ IOC Connection to the C&C server

Sha256: 326c21e845863ea6ebe7d09ec3915d99e18f95e575e97aac2f71ae41160327e1

#IOC
#APT

@iDeFense

iDeFense pinned «»

🔰راهکارهای مقابله

🔺غیرفعال‌سازی FGFM:
توصیه میشود پروتکل FGFM (ارتباط FortiGate با FortiManager) را در صورت استفاده از نسخه‌های آسیب‌پذیر غیرفعال کنید

🔺توصیه میشود که FGFM را به اینترنت معرفی نکنید
این به معنای محدود کردن دسترسی به پروتکل از منابع خارجی است تا از اتصالات غیرمجاز جلوگیری شود

🔺پیشنهاد می‌شود شبکه خود را برای شناسایی هر نوع ترافیک غیرعادی در FGFM (پورت 541 برای IPv4 و 542 برای IPv6) به هر دو دستگاه FortiGate و FortiManager بررسی کنید

🔺ممانعت از ثبت دستگاه‌های غیرمجاز،شماره‌های سریال ناشناس و حتی دستگاه‌ها دارای گواهینامه معتبر در FortiManager

#FortiManager
#fortigate
#CVE
#APT

@iDeFense

🔴 بروز رسانی امنیتی CVE-2024-38812

🔺 VMware Releases vCenter Server Update to Fix Critical RCE Vulnerability

💢 CVE-2024-38812 (CVSS score: 9.8)

♨ این آسیب‌پذیری به مهاجمان با دسترسی به شبکه امکان می‌دهد که با ارسال بسته‌های شبکه‌ای خاص، سرور vCenter را هدف قرار داده و کدهای دلخواه خود را روی آن اجرا کنند. در این نوع حملات با دسترسی به سیستم قربانی، مهاجم می‌تواند کنترل کامل سرور را به‌دست بگیرد و اقدامات مخربی مانند سرقت داده‌ها یا غیرفعال کردن سیستم‌ها را انجام دهد.

🔘 مشکل اصلی در این آسیب پذیری مربوط به مدیریت نادرست حافظه در پروتکل DCE/RPC است
سرریز بافر در این پروتکل به مهاجمان اجازه می‌دهد که حافظه سرور را با داده‌های نادرست پر کرده و به این ترتیب از اجرای کد سوءاستفاده کنند.

❗آسیب‌پذیری CVE-2024-38812 شباهت زیادی با دو آسیب‌پذیری دیگر به نام‌های CVE-2024-37079 و CVE-2024-37080 دارد که در ژوئن 2024 شناسایی و رفع شده بودند.
هر دو این آسیب‌پذیری‌ها نیز امتیاز 9.8 در CVSS داشتند و به مهاجمان اجازه اجرای کد از راه دور را می‌دادند.

🔰vCenter Server 8.0 (fixed in 8.0 U3b);
🔰vCenter Server 7.0 (fixed in 7.0 U3s);
🔰VMware Cloud Foundation 5.x (fix available for 8.0 U3b);
🔰VMware Cloud Foundation 4.x (fixed in 7.0 U3s).

♨ https://thehackernews.com/2024/10/vmware-releases-vcenter-server-update.html

@iDeFense

یه کانال خوب و عالی
https://t.me/sec_hint

⭕️ یک مطالعه فنی در مورد یک کمپین APT با هدف قرار دادن نهادهای فرانسوی در صنایع ساخت و ساز، املاک و صنایع دولتی در مارس 2022، یک ماه قبل از انتخابات ریاست جمهوری فرانسه

🔬 https://github.com/VirtualSamuraii/serpent_group

🌐 https://www.proofpoint.com/us/blog/threat-insight/serpent-no-swiping-new-backdoor-targets-french-entities-unique-attack-chain

#APT
#C2
#Anaconda
#Macro
#initial_access (MITRE T1566.001)

@iDeFense

💎 شرکت سامین پردازش ارائه دهنده لایسنس های symantec (سیمانتک)
 
💡 برای اطلاع پیدا کردن از آخرین آپدیت و اخبار محصولات به کانال تلگرام ما بپیوندید:
🌐 t.me/saminpardazeshnetwork

📌 وبسایت :
🌐 httb.ir/CNgIW ◀️

شماره فراگیر :
📞 02191099107

https://portswigger.net/research/trace-desync-attack

توصیه میشود مطالعه کنید

💢 مراحل نفوذ مهاجم در شبکه و تعقیب و گریز از SOC به روایت حیات وحش😅

#fun
#threat_hunting
#SOC
#Incident_Response

@iDeFense

https://www.appsecmonkey.com/blog/cookie-security

https://github.com/patchstack/vulnerability-playground

کدهای آسیب پذیر php

https://www.youtube.com/watch?v=nxlm7pIvMdg

#منبع

اف‌بی‌آی با ایجاد توکن جعلی، ۱۸ مظنون به کلاهبرداری ارزهای دیجیتال را دستگیر کرد

🔸 پلیس فدرال آمریکا (FBI) با ایجاد یک توکن ارز دیجیتال جعلی به نام NexFundAI موفق به دستگیری ۱۸ مظنون به کلاهبرداری و دستکاری بازار شد. این عملیات نفوذی نشان‌دهنده رویکرد جدید و خلاقانه اف‌بی‌آی در مبارزه با جرایم مالی در حوزه ارزهای دیجیتال است. مقامات با ایجاد این توکن ساختگی توانستند فعالیت‌های مجرمانه را ردیابی کرده و شواهد لازم برای دستگیری متهمان را جمع‌آوری کنند. این اقدام اف‌بی‌آی نشان می‌دهد که نهادهای قانونی در حال سازگاری با چالش‌های جدید در عصر دیجیتال هستند و از روش‌های نوآورانه برای مقابله با کلاهبرداری‌های ارز دیجیتال استفاده می‌کنند.

🔴حمله سایبری منجر به مسدود شدن سرویس وب سایت داخل رژيم صهيونيستی شد

تیم الطاهره با هدف قرار دادن یک آژانس رسانه ای اطلاعات دشمن صهیونیستی که از طریق تلگرام و از طریق یک وب سایت پخش می شود، حمله سایبری را انجام داد.

📌‌ اف‌بی‌آی (FBI) توکن NexFundAI را راه‌اندازی کرد

‌🖥 اف‌بی‌آی (FBI) توکن NexFundAI را راه‌اندازی کرده تا از طریق آن مجرمان فعال در بازار ارزهای دیجیتال را دستگیر کند.

مطالعه مطلب

منبع: نوبیتکس

🔰به نقل از itsn: گوگل موقعیت مکانی شما را "هر 15 دقیقه" ردیابی می کند - "حتی با غیرفعال بودن GPS"
منبع

https://nav1n0x.gitbook.io/advanced-sql-injection-techniques

#منبع

استفاده از باینری های ذاتی سیستم عامل مک برای نفوذ در این سیستم عامل


https://www.securonix.com/blog/detecting-macos-loobins-attack-activity-using-security-analytics/

https://medium.com/@themarkib/my-first-web-cache-poisoning-bug-af955c8d135b

#معرفی_منابع

https://www.writeup-db.com/writeups-list/

پیرو ابلاغ قبلی از مرکز افتا به اطلاع می رساند حسب هماهنگی انجام شده با مرکز ملی فضای مجازی، برای همه حوزه‌ها در سراسر کشور تا ۴۸ ساعت آینده، آماده باش سطح قرمز اعلام می‌شود.

@iDeFense

🔴 مرکز افتای ریاست جمهوری وضعیت قرمز و نارنجی سایبری را اعلام کرد !

🔺 اعلام آماده باش سایبری
آماده‌باش قرمز، برای حوزه‌های پولی ومالی و ارتباطات و آماده باش نارنجی برای سایر حوزه‌ها اعلام می‌شود.

💢 باتوجه به احتمال بروز حملات سایبری، لازم است اقدامات زیر انجام و هرگونه رخداد مشکوک سایبری، سریعاًبه مرکز افتا اعلام شود:

1- در دسترس بودن و آماده باش متخصصین فنی و سایبری و تیم واکنش سریع بصورت شبانه روزی

2- خد‌ماتی که نیازمند دسترسی بین المللی نیستند،بصورت Iran Access ارائه شوند
3- رابطین پیمانکاران سامانه‌های حیاتی، در دسترس و پاسخگو باشند

4- بر مراجعات و دسترسی پیمانکاران کنترل و نظارت بیشتری اعمال شود

5- پیش از هرگونه قطع یا عدم دسترسی به خدمات الکترونیکی با هدف نگهداری یابه‌روزرسانی، با مرکز  افتا هماهنگی شود.

@IDeFense

👀 درب پشتی تقریبا نامرئی! (پایدار، بدون فایل)
sc.exe sdset scmanager D:(A;;KA;;;WD)
By Gregorz Tworek

👁‍🗨 این دستور تنظیمات امنیتی سرویس کنترل منیجر (SCM) ویندوز را به‌گونه‌ای تغییر می‌دهد که به تمام کاربران (از جمله کاربران غیرادمین) اجازه دسترسی کامل به مدیریت سرویس‌های ویندوز را می‌دهد

⚙ نحوه عملکرد:
🔴 sdset:
(Security Descriptor)
🔘 این توصیفگر یک مجموعه از قوانین است که مشخص می‌کند چه کسانی به یک شیء در ویندوز (در این مورد SCM) دسترسی دارند و این دسترسی از چه نوعی است

🔴 scmanager:
[Service Control Manager (SCM)]
🔘 این بخش از ویندوز مسئول مدیریت سرویس‌ها است، یعنی سرویس‌هایی که به‌صورت خودکار با شروع ویندوز اجرا می‌شوند، یا سرویس‌هایی که توسط نرم‌افزارها در حین اجرای ویندوز راه‌اندازی می‌شوند.

🔴 D:(A;;KA;;;WD)
🔘 این بخش بیان می‌کند که همه کاربران (WD که به معنای "World" است) دسترسی کامل (KA - Key All Access) به سرویس کنترل منیجر دارند.

🔻 با اعمال این تغییر، هر کاربری روی سیستم (حتی کاربران محدود) می‌تواند سرویس‌ها را شروع، متوقف یا تغییر دهد

🔺 این یعنی یک مهاجم می‌تواند از این دسترسی بدون نیاز به فایل‌های اضافی برای اجرای بدافزارها، تغییر تنظیمات سیستم یا راه‌اندازی سرویس‌های مخرب بدون نیاز به دسترسی ادمین استفاده کند و یک راه نفوذ دائمی (backdoor) ایجاد کند

#Local_Privilege_Escalation
#backdoor
#persistence

@iDeFense

🔥 فریم‌ورک Cyber-Sploit ابزاری در حوزه تست نفوذ و هک اخلاقی است که با هدف فراهم کردن یک پلتفرم جامع و چند‌زبانه برای اجرای ماژول‌های متنوع طراحی شده است. این فریم‌ورک، مشابه Metasploit، اما با تفاوت‌ها و قابلیت‌های منحصربه‌فردی که آن را از سایر ابزارها متمایز می‌کند

🦾 تفاوت‌ها و قابلیت‌های کلیدی Cyber-Sploit نسبت به Metasploit:
پشتیبانی از چندین زبان برنامه‌نویسی: برخلاف Metasploit که بیشتر به زبان Ruby محدود است، Cyber-Sploit عمدتاً از پایتون استفاده می‌کند و در عین حال امکان افزودن ماژول‌هایی به زبان‌های دیگر نظیر Ruby و GoLang نیز وجود دارد. این انعطاف‌پذیری به توسعه‌دهندگان اجازه می‌دهد تا از ابزارهای موجود در زبان‌های مختلف بهره ببرند و ماژول‌های جدیدی را به آسانی اضافه کنند.

🌀 به‌روزرسانی مستمر و افزودن ماژول‌های جدید: Cyber-Sploit یک فریم‌ورک پویا و در حال توسعه است که به طور مداوم به‌روزرسانی شده و ماژول‌های جدیدی به آن اضافه می‌شود. این به‌روزرسانی‌ها نه تنها قابلیت‌های جدیدی را ارائه می‌دهند بلکه بهبودهای امنیتی و کارایی را نیز شامل می‌شوند.

💻 محیط توسعه مشارکتی: این فریم‌ورک با در نظر گرفتن جامعه توسعه‌دهندگان طراحی شده و از مشارکت کاربران برای افزودن ماژول‌های جدید استقبال می‌کند. هر کسی که علاقه‌مند به تست نفوذ و امنیت سایبری است، می‌تواند در توسعه این ابزار سهیم باشد و ماژول‌های خود را به آن اضافه کند.

♻️ سادگی در استفاده و توسعه: با توجه به استفاده از پایتون به عنوان زبان اصلی، توسعه ماژول‌ها برای Cyber-Sploit نسبت به سایر فریم‌ورک‌ها ساده‌تر و سریع‌تر است. همچنین، مستندات کامل و راهنماهای موجود، فرآیند یادگیری و استفاده از این فریم‌ورک را برای کاربران جدید تسهیل می‌کند.

📖 پشتیبانی از پروژه‌های متن‌باز: Cyber-Sploit یک پروژه کاملاً متن‌باز است که به کاربران این امکان را می‌دهد تا به صورت مستقیم به کد منبع دسترسی داشته باشند، آن را بررسی کنند و بهبود دهند. این فریم‌ورک همچنین از پروژه‌های دیگر متن‌باز بهره می‌برد و با آنها سازگاری دارد.

🌐 https://github.com/Cyber-Dioxide/Cyber-Sploit

#github
#tools

@iDeFense