Nariman Gharib ——

پس از آنکه تلگرام ۱۵ بار کانال‌های جانبی گروه سایبری جمهوری اسلامی موسوم به -Banished Kitten- را که با نام -Handala- فعالیت می‌کردند، مسدود کرد، امروز در واکنش به حمله سایبری ادعایی این گروه علیه پلیس اسرائیل، تمامی کانال‌های مرتبط با 'Handala' را به طور کامل از دسترس خارج کرد.

After Telegram blocked for the 15th time the subsidiary channels of the Islamic Republic’s cyber group known as “Banished Kitten,” which were operating under the name “Handala,” today—in response to the group’s alleged cyberattack on the Israeli police—it completely removed all channels related to Handala.

@NarimanGharib

پشت پرده ابرآروان: ماجرای عوام‌فریبی و منافع پنهان

وقتی به گذشته نگاه می‌کنیم، صحنه‌های آشنایی در ذهن زنده می‌شود. هنوز فراموش نکرده‌ایم زمانی را که با کمک آذری جهرمی، رپورتاژ تبلیغاتی ابرآروان از آنتن بی‌بی‌سی فارسی پخش شد. این همان شرکتی است که امروز، به لطف حمایت‌های جوزف بورل و عیسی زارع‌پور، از لیست تحریم‌های اتحادیه اروپا خارج شده و حالا با افتخار سرور دیتاسنتر آلمان را در ایران می‌فروشد.

در تبلیغات‌شان با اطمینان کامل می‌نویسند: "با خرید VPS آلمان بدون نگرانی بابت اُفت سرعت یا پایداری، کسب‌وکارتان را توسعه دهید و خدمات خود را به‌دست میلیون‌ها کاربر در سراسر اروپا برسانید." اما واقعیت پشت این تبلیغات چیست؟ در آینده شاهد خواهیم بود که در زمان اعتراضات و شلوغی‌های داخلی، حکومت سرعت دسترسی و ارتباط با دیتاسنترهای اروپایی را محدود خواهد کرد (که البته همین حالا هم throttling انجام می‌شود) و تنها سرورهای ابرآروان را برای کاهش خسارت به خدمات زیرساختی خودشان، با سرعت کامل نگه خواهد داشت. یعنی عملا از این طریق و با داشتن امکان تفکیک ترافیک سرورهای به اصطلاح «خودی» در اروپا، می‌توانند انتخاب کنند که چه کسانی و البته چه کسب‌وکارهایی از سرورهای اروپا با سرعت بالا استفاده کنند و چه کسانی نه!

اگر کسی فکر می‌کند ابرآروانی‌ها شرکتی مستقل و حامی آزادی اینترنت هستند، باید یادآوری کنیم که آنها نقش مهمی در توسعه شبکه ملی اطلاعات داشته‌اند. الگوی رفتاری آنها همواره یکسان بوده است: همکاری با حکومت؛ به خود گرفتن شمایل معترض به فیلترینگ و مجددا باز هم همکاری با حکومت!

ابرآروان، از ابتدا با همراهی حکومت و از طریق بهره‌برداری از رانت و امتیازات ویژه، کار خود را شروع کرد؛ در راستای پیش‌برد اهداف زیرساختی شبکه ملی اطلاعات قدم برداشت؛ در میانه راه، پس از اعتراضات مهسا، کمی ظاهر معترض به سیاست‌های حکومتی به خود گرفت؛ تلاش کرد تا از این طریق افکار عمومی را فریب دهد؛ پس از آن مجددا به خفا رفت تا بتواند همانند سابق، در پشت پرده، پروژه‌های کلان در راستای اهداف حکومت را پیش ببرد. اگر فردای روز، باز بیایند و بگویند مخالف فیلترینگ هستند، اصلا چیز عجیبی نیست. کما اینکه امروز نیز ادعا می‌کنند که دیگر با دولت همکاری ندارند، اما سؤال اصلی اینجاست: وقتی شما کمک کرده‌اید تا دیواری ساخته شود که مردم را در داخل آن زندانی کنند، دیگر حکومت چه نیازی به شما دارد؟ شما کار خود را کرده‌اید و در ایجاد شبکه‌ای که به دولت امکان سانسور و رصد کامل را می‌دهد، نقش اساسی داشته‌اید.

نمونه بارز این عوام‌فریبی را می‌توان در جلسات کمیسیون اینترنت انجمن تجارت الکترونیک دید، جایی که علیه فیلترینگ صحبت می‌کردند اما همزمان در خفا مشغول تقویت زیرساخت‌های محدودکننده بودند. جالب اینجاست که امیر ناظمی، رئیس سابق سازمان فناوری اطلاعات و معاون آذری جهرمی، که نقش کلیدی در پیشبرد منافع این شرکت داشت، در سال گذشته به کشور آلمان مهاجرت کرده است.

@NarimanGharib

گروه هکری طالب‌لیکس که مدتی است در توییتر(X) فعال بوده، اخیراً به سیستم‌های چندین سازمان دولتی تحت کنترل طالبان نفوذ کرده است.

این نشت گسترده اطلاعات شامل اسناد داخلی از سازمان‌های زیر است:

اداره غذا و دارو افغانستان، اداره تنظیم مخابرات افغانستان، معاونت اقتصادی نخست‌وزیری، وزارت مخابرات و تکنولوژی، وزارت انرژی و آب، وزارت صنعت و تجارت، وزارت اطلاعات و فرهنگ، وزارت معادن و پترولیم، وزارت عدلیه، وزارت مالیه، وزارت امور خارجه، وزارت صحت عامه، وزارت امور مهاجرین، شرکت ترمیم و نگهداری مکروریان، اداره ملی امتحانات، اداره ملی احصائیه و معلومات، اداره امور زندان‌ها، دفتر امور استراتژیک، اداره تعلیمات تخنیکی و مسلکی، وزارت امر به معروف و نهی از منکر، ستره محکمه

@NarimanGharib

🔍 به گزارش وال استریت ژورنال، طبق تحقیقات جدید گوگل، گروه‌های هکری از بیش از ۲۰ کشور، به ویژه ایران و چین، به طور فعال از هوش مصنوعی Gemini گوگل برای تقویت عملیات سایبری خود استفاده می‌کنند. گروه‌های ایرانی به عنوان پرکاربردترین کاربران در میان تمام کشورها شناسایی شده‌اند که از این هوش مصنوعی برای اهداف مختلف از جمله تحقیقات مرتبط با دفاعی و تولید محتوای فیشینگ چند زبانه به انگلیسی، عبری و فارسی استفاده می‌کنند.

🤖 در حالی که هوش مصنوعی هنوز قابلیت‌های سایبری را متحول نکرده است، عمدتاً برای بهبود کارایی و مقیاس‌پذیری عملیات موجود استفاده می‌شود. تحقیقات گوگل نشان می‌دهد که مهاجمان از هوش مصنوعی بیشتر به عنوان یک دستیار پژوهشی استفاده می‌کنند تا یک سلاح استراتژیک، و بر روی وظایفی مانند کدنویسی و اسکن آسیب‌پذیری‌ها تمرکز دارند.

🔒 نکته قابل توجه اینکه بر اساس گزارش گوگل، گروه APT42 (نزدیک به سپاه پاسداران) ایران که بیش از ۳۰٪ از فعالیت‌های ایرانی در Gemini را به خود اختصاص داده، عمدتاً بر روی طراحی کمپین‌های فیشینگ متمرکز بوده است. این گروه از Gemini برای جمع‌آوری اطلاعات در مورد کارشناسان سیاسی و دفاعی، و همچنین تولید محتوا با موضوعات امنیت سایبری و محتوای متناسب با سازمان‌های دفاعی آمریکا استفاده کرده است. علاوه بر این، APT42 به تحقیق در مورد آسیب‌پذیری‌های عمومی و سیستم‌های دفاعی، به ویژه سیستم‌های هوافضای آمریکا پرداخته است.

@NarimanGharib

https://blog.google/technology/safety-security/ai-and-the-future-of-national-security/

https://cloud.google.com/blog/topics/threat-intelligence/adversarial-misuse-generative-ai

«بریم یک اکانت بسازیم تو توییتر. کاراکتر اکانت یک دختر خوشگل هست که باشگاه میره و مدل هستش، بعد بیاییم نریمان غریب رو تو توییتر فالو کنیم بعد یک مدتی بهش مسیج بدیم و تو تله اطلاعاتی بندازیم»

عه. 🤨نریمان غریب عکس سمت چپ که عکس اصلی و برای سال ۲۰۲۴ بوده و ما با ای‌آی صورت نازنین رو به فاطمه تغییر داده بودیم رو پیدا کرد.😤

😂😂😂😂
@NarimanGharib

اخیرا حسین رونقی @HosseinRonaghi فعال سیاسی، متوجه شده بود که مقامات امنیتی جمهوری اسلامی برای نظارت بر رفت و آمد افراد به منزل او، تجهیزات شنود را در ساختمان آپارتمانی که او در آن زندگی می‌کند نصب کرده‌اند. او امروز این تجهیزات را جمع‌آوری و تصاویر آن را منتشر کرد. یکی از این تصاویر مربوط به مودم روتر سیم‌کارت‌خور تی‌پی‌لینک بود که حسین رونقی همراه با سیم‌کارت نانو تصویر آن را منتشر کرد.
https://t.me/hosseinronaghi/1915
https://t.me/hosseinronaghi/1914

بگذارید برای اولین بار بگویم که این سیم‌کارت‌ها را کدام شرکت ارائه می‌کند.

اپراتور این سیم‌کارت‌ها، تاراسل (Taracell) نام دارد که متعلق به شرکت تأمین ارتباطات رویکرد آینده (Tamin Ertebatat Ruykard Ayandeh) است که یکی از نمایندگان شرکت چینی هایترا در ایران است. آنها مجوز خرید و فروش تجهیزات رادیویی را به کشور از سازمان تنظیم مقررات رادیویی دارند و مدیرعامل و رئیس هیئت مدیره این شرکت مهدی فقیهی با کد ملی 0452745977 و شماره پاسپورت T14576581 است. همچنین وحید ثنایی منش به شماره ملی 0067155219 و مهدی خزایی به شماره ملی 0080964648 نیز در این شرکت سمت‌هایی را دارند.

در توضیحات این شرکت در اینترنت آمده است که: «هدف تاراسل ایجاد و توسعه پایدار زیست بوم اختصاصی در کشور، متناسب با شرایط و نیازهای اختصاصی مشتریان هدف خود یعنی سازمان‌های ماموریت حساس و امنیت عمومی است. ماموریت این اپراتور ایجاد زیرساخت موبایلتی باند پهن امن به عنوان مهمترین فعال کننده در تحول دیجیتال سازمان‌های هدف می‌باشد.»

جالب است بدانید، خود شرکت «تأمین ارتباطات رویکرد آینده» زیرمجموعه «صنایع الکترونیک زعیم» است که وابسته به وزارت اطلاعاته.

@NarimanGharib
https://x.com/NarimanGharib/status/1882429569921114324

آیا #سحاب‌پرداز را به خاطر دارید؟ همان بازوی اصلی فیلترینگ جمهوری اسلامی. حالا گزارش‌ها حاکی از آن است که محمدحسن انصاری، یکی از چهره‌های کلیدی، در ژوئیه ۲۰۲۴ همراه با تعدادی از مقامات جمهوری اسلامی به روسیه سفر کرده بود.

در همین حال، گزارش‌های جدید نشان می‌دهند که طی ماه‌های اخیر نقش محمدحسن انصاری به عنوان مسئول اصلی تقویت همکاری‌های سایبری میان مسکو و تهران پررنگ‌تر شده است.

https://x.com/NarimanGharib/status/1882356682283532352

گزارش:
https://x.com/visegrad24/status/1882159132658262220

@NarimanGharib

گزارش‌ها حاکی است که #سگارو، که به دلیل فعالیت‌هایش در راستای آزادی اینترنت و آموزش راه‌های دور زدن فیلترینگ جمهوری اسلامی همراه با یوسف قبادی بازداشت شده بود، اکنون آزاد شده است.

او پس از آزادی، ویدیویی از مزار پدرش منتشر کرده که در زمان بازداشت وی در زندان، درگذشته است.

من از سوی تیم @ArgoVPN و @Filtershekanha، عمیق‌ترین تسلیت‌ها را به سگارو و خانواده‌اش ابراز می‌کنیم و امید داریم که یوسف قبادی نیز به زودی آزاد شود.

@NarimanGharib

https://x.com/iSegar0/status/1881237883664863373

🔴 هشدار امنیتی مهم برای اکانت‌های واتس‌اپ - چون ممکن است جمهوری اسلامی هم از این تکنیک بزودی استفاده کند

طبق گزارش واحد امنیتی مایکروسافت، یک گروه سایبری در اواسط نوامبر ۲۰۲۴ عملیاتی را با استفاده از مهندسی اجتماعی آغاز کرده است. هدف این عملیات، نفوذ به حساب‌های واتس‌اپ کارمندان دولتی و افراد فعال در حوزه سیاست‌گذاری، به‌ویژه در زمینه روابط بین‌الملل و موضوعات مرتبط با روسیه، بوده است.

روش اجرای این حمله به این صورت بود که ابتدا ایمیلی برای قربانی ارسال می‌شد. این ایمیل شامل یک کد کی‌آر‌کد بود که به نظر می‌رسید برای ورود به یک گروه واتس‌اپ طراحی شده است. با این حال، کد به طور عمدی به گونه‌ای ساخته شده بود که کار نکند.

پس از اینکه قربانی متوجه ناکارآمدی کد میشد، هکرها ایمیل دیگری ارسال می‌کردند و با عذرخواهی از مشکل ایجاد شده، از قربانی می‌خواستند روی لینکی کلیک کند تا به گروه مذکور بپیوندد. این لینک قربانی را به صفحه‌ای هدایت می‌کرد که در واقع یک صفحه فیشینگ با طراحی شبیه به واتس‌اپ بود.

در این صفحه فیشینگ، یک کد کی‌آر‌کد دیگر به نمایش درمی‌آمد که برخلاف کد قبلی، معتبر و مربوط به واتس‌اپ واقعی بود. هنگامی که قربانی این کد را اسکن می‌کرد، به طور ناخواسته دسترسی به واتس‌اپ دسکتاپ خود را به مهاجم ارائه می‌داد!
هکرها سپس با استفاده از یک افزونه مخصوص مرورگر که برای این حملات طراحی شده بود، به طور کامل محتوای تمام چت‌های قربانی را استخراج می‌کردند.

این تغییر در شیوه‌های عملیاتی گروه سایبری موردنظر، اولین تحول از این نوع محسوب می‌شود. مایکروسافت اعلام کرده است که این تغییر احتمالاً پاسخی به عملیات مشترک این شرکت و دولت آمریکا در اکتبر ۲۰۲۴ است. در جریان این عملیات، بیش از ۱۰۰ وب‌سایت مورد استفاده گروه Star Blizzard از دسترس خارج شد.

@NarimanGharib

عواملی در ایران تلاش داشتند یک تاجر اسرائیلی را به امارات متحده عربی بکشانند تا به او آسیب برسانند. آن‌ها با این فرد تماس گرفته و مدعی شدند که از طرف رئیس فعلی کانال العربیه فارسی هستند. اما در واقع، کانال رسمی العربیه در تلگرام با یوزرنیم *Alarabiya_far* فعالیت می‌کند. این عوامل، با ثبت یک یوزرنیم مشابه به شکل *aiarabiya_far* (که در آن حرف "i" را به‌صورت بزرگ نوشته بودند)، قصد داشتند تاجر اسرائیلی را فریب داده و گمراه کنند.

سیستم کاری آن‌ها به این شکل بوده/هست:

- تمام مطالب منتشر شده در کانال اصلی العربیه به‌طور خودکار به کانال جعلی ارسال می‌شود.
- ارسال پیام به قربانی از طرف آی دی شبیه العربیه.
- در این پیام‌ها، آدرس کانال اصلی العربیه فارسی ذکر می‌شود، اما لینک ارائه‌شده به کانال جعلی در تلگرام هایپرلینک شده است.

گزارش:
https://www.kan.org.il/content/kan-news/defense/847025/

بروزرسانی: حساب جعلی رو بعد از این پست پاک کردند.

@NarimanGharib

Iran International TV tonight revealed the identities of nine operatives from Parsian Rayan Borna (پارسیان افزار رایان برنا) Software Company, a cover organization linked to the Ministry of Intelligence of the Islamic Republic. The company is involved in cyberattacks, including one on Albania, and manipulates public opinion using fake social media accounts. https://x.com/NarimanGharib/status/1878192810542657978

تلویزیون ایران اینترنشنال، امشب هویت ۹ نیروی عملیاتی شرکت پارسیان افزار رایان برنا، یک شرکت پوششی وابسته به وزارت اطلاعات جمهوری اسلامی را افشا کرد. این شرکت علاوه بر انجام حملات سایبری، از جمله حمله به آلبانی، با اکانت‌های جعلی در شبکه‌های اجتماعی افکار عمومی را دستکاری می‌کند.

مشاهده گزارش:
https://youtu.be/mYuTtYMM-f0?t=169

@NarimanGharib

به تازگی گوگل به کاربران ایرانی اطلاع داده است که حساب های گوگل آنالیتیکس آن‌ها را طبق بند ۱۴ شرایط استفاده که اجازه پایان دادن به توافق با اطلاع را می‌دهد، تعلیق کرده است. با این حال، اگر این اقدام به تحریم‌های آمریکا مرتبط باشد، این تصمیم غیرموجه به نظر می‌رسد. طبق «مجوز عمومی D-2» صادر شده توسط
اوفک(خزانه داری آمریکا)، خدماتی مانند گوگل آنالیتیکس که امکان مرور وب و اشتراک گذاری اطلاعات را فراهم می‌کنند، در صورتی که الزامات مرتبط (مانند EAR99 یا ECCN 5D992.c) را رعایت کنند، می‌توانند قانونی تلقی شوند.

Recently, Google has informed Iranian users that their Google Analytics accounts are being suspended, citing Section 14 of the Terms of Service, which allows termination with notice. However, if this action is related to U.S. sanctions, it appears unwarranted. Under General License D-2 issued by OFAC, services like Google Analytics that enable web browsing and information sharing could be permissible, provided they meet the relevant classifications (e.g., EAR99 or ECCN 5D992.c).

If sanctions are not the issue, it is unclear why Google has decided to terminate these accounts, especially when such services may fall under legally authorized exemptions outlined in General License D-2.

@NarimanGharib

وزارت خزانه‌داری آمریکا سه‌شنبه ۱۱ دی‌ماه دو نهاد جمهوری اسلامی و روسیه را برای تلاش «تحریک تنش‌های سیاسی-اجتماعی و تأثیرگذاری بر رای‌دهندگان ایالات متحده در جریان انتخابات سال ۲۰۲۴ آمریکا» را تحریم کرد.

یکی از این نهادها، مرکز تولید انگاره های شناختی Cognitive Design Production Center (CDPC)، یکی از سازمان‌های تابعه سپاه پاسداران است که دست‌کم از سال ۲۰۲۳، به نمایندگی از سپاه، عملیات‌ نفوذ را برای برانگیختن تنش‌های سیاسی-اجتماعی در میان رای‌دهندگان ایالات متحده برنامه‌ریزی کرد.

یکی از کارکنان این شرکت «سعید نو دهقان» نام دارد. او مسئول تهیه سرور برای این نهاد است و قبلا در اینترنت افشا شده است، در کنار او این اسامی هم قبلا افشا شده است:

محسن نوری، مهدی خرامان، مصطفی عدالت‌خواه، مسعود مدیری راد، حسن شمس آبادی، حامد ونک، حسین خرازی


The US Treasury Department on Tuesday, December 31, 2024, sanctioned two entities from the Islamic Republic and Russia for attempting to "incite socio-political tensions and influence US voters during the 2024 US elections."

One of these entities, the Cognitive Design Production Center (CDPC), is an organization affiliated with the Islamic Revolutionary Guard Corps (IRGC) that has been planning influence operations on behalf of the IRGC since at least 2023 to provoke socio-political tensions among US voters.

One of this organization's employees is named "Saeed No Dehghan." He is responsible for providing servers for this entity and has previously been exposed on the internet. Alongside him, these names have also been previously exposed:

Mohsen Nouri, Mehdi Kharaman, Mostafa Edalatkhah, Masoud Modiri Rad, Hassan Shamsabadi, Hamed Vanak, Hossein Kharazi

@NarimanGharib

توماج صالحی: جانِ برادر لب‌هایش را باز کرد و جانِ دوباره به خانواده داد.❤️

از توییتر توماج

از توماج، مهدی یراحی و مردم عزیز و شجاع ایران و همه کسانی که همراه و همدرد بودند و با اینکه یک تن بودم اما مرا در این راه سخت تنها نگذاشتند ممنونم.


@Hosseinronaghi

گزینه ریاست FBI ترامپ در میان آخرین اهداف هکرهای جمهوری اسلامی

به گزارش سی‌ان‌ان، کاش پاتل، گزینه پیشنهادی دونالد ترامپ برای ریاست پلیس فدرال آمریکا (FBI)، اخیراً از سوی این نهاد آگاه شده که هدف حمله سایبری از سوی جمهوری اسلامی قرار گرفته است. بر اساس این گزارش، هکرها موفق شده‌اند به بخشی از ارتباطات او دسترسی یابند. علاوه بر پاتل، برخی دیگر از نزدیکان ترامپ نیز در ماه‌های اخیر با حملات مشابهی روبه‌رو شده‌اند. به عنوان نمونه، تاد بلانچ، که گزینه معاونت دادستان کل محسوب می‌شود، هدف حملات هکرهای چینی قرار گرفته است.

این اتفاق تنها بخشی از مجموعه حملات سایبری گسترده‌ای است که علیه تیم ترامپ انجام شده است. لیندزی هالیگان، یکی دیگر از وکلای ترامپ، نیز به طور جداگانه هدف حمله‌ای سایبری از سوی جمهوری اسلامی قرار گرفته است. دونالد ترامپ جونیور نیز اعلام کرده که FBI به او هشدار داده که یکی از "اهداف اصلی" ایران محسوب می‌شود. پیش‌تر، در ماه ژوئن، هکرهای جمهوری اسلامی موفق شدند به حساب ایمیل راجر استون، یکی از متحدان قدیمی ترامپ، نفوذ کنند و تلاش کردند از طریق این حساب به ایمیل یکی از مقامات ارشد کمپین ترامپ دسترسی یابند.

اقدامات اخیر جمهوری اسلامی ممکن است پیامدهای جدی‌ای برای آنها در زمان بازگشت ترامپ به کاخ سفید در ژانویه به همراه داشته باشد. با توجه به سابقه سیاست‌های سخت‌گیرانه ترامپ علیه جمهوری اسلامی و اظهارات تیم او که کَش پاتل در دولت اول ترامپ نقش کلیدی در مقابله با جمهوری اسلامی ایفا کرده است، احتمال می‌رود این حملات سایبری به اتخاذ سیاست‌های سخت‌گیرانه‌تر علیه جمهوری اسلامی منجر شود.

@NarimanGharib

اختصاصی: هویت شش عضو جدید گروه «سایه سیاه» افشا شد
Exclusive: Identities of Six More BlackShadow Group Members Revealed (En version)

گروه تروریستی «سایه سیاه»، که به‌عنوان یکی از گروه‌های سایبری زیر مجموعه وزارت اطلاعات جمهوری اسلامی (MOIS) فعالیت می‌کند، اخیرا دوباره فعال شده است! این گروه که پیش‌تر هویت آن تحت شرکت پوششی با نام «راهکارهای فناوری اطلاعات جهت‌پرداز» مستقر در تهران افشا شده بود، از سال ۲۰۲۰ اقدامات مخربی را علیه نهادهای مختلف اسرائیلی ترتیب داده است. هدف آن‌ها تخریب کردن زیرساخت های غیرنظامی، سرقت اطلاعات حساس و ایجاد ناآرامی‌های اجتماعی است.

دیروز حساب خبری Terror Alarm در شبکه اجتماعی اکس و تلگرام با انتشار عکس و ویدیویی، اطلاعات جدیدی درباره دفتر تازه تأسیس این گروه در تهران ارائه کرد. امروز اما قصد دارم شش عضو دیگر این گروه را افشا کنم. پیش‌تر، برخی از اعضای این گروه به همراه آدرس‌های قبلی دفاتر گروه سایبری «سایه سیاه» در رسانه‌ها معرفی شده بودند.

این شش عضو با نام‌های
میثم نصرتی آذر،
سید حسین موسوی خوشدل،
سید مجتبی رضوی کنتی،
محسن سلیمانی
حمید توسلیان
و امیرحسین باقری شناخته می‌شوند.

این گروه جز هزینه مالی و بی آبرو کردن ایرانیان در عرصه جهانی چیز دیگری به بار نیاورده است. عملا هر دفعه که حمله‌ای انجام می‌دهند، حملات آنها در همان ابتدا شناسایی و خنثی می‌شود. ادعا می‌کنن که گروه بزرگ و قوی در ایران هستند اما در عمل آنها حتی توانایی این را ندارند از اعضای خود مراقبت کنند تا افشا نشن. خیلی راحت پشت کی‌بورد میشینن و دست به عملیات تروریستی میزنن اما در عمل در خیابان‌های تهران، شناسایی می‌شوند و حتی دیگر توانایی این موضوع را ندارند که بگن شرکت آنها با وزارت اطلاعات جمهوری اسلامی ارتباطی ندارد، جالب تر از همه اینها، این است که تا الان چندین بار مکان شرکت را تغییر دادند و هر دفعه فیلمی از دفتر آنها در اینترنت منتشر شده است. این همه تلاش برای چیست؟ در ذهن این تروریست ها چه میگذرد که اینگونه دوست دارند تمام دنیا را علیه مردم ایران کنند.

کمی از فعالیت‌های اخیر آنها براتون بگم، در هفته‌های گذشته هر حمله فیشینگ جدیدی که انجام دادند شناسایی و خنثی شده.

همانطور که گفتم، این گروه فعالیت‌های خود را از طریق مراکز عملیاتی مستقر در تهران انجام می‌دهد و قبلا رسانه‌ها و مقامات سیاسی از همکاری نزدیکی این گروه با واحد سایبری حزب‌الله و دیگر نیروهای تحت حمایت جمهوری اسلامی خبر داده بودند. این گروه همچنین با نام‌های دیگری همچون «Agrius» , «Deadwood» , «SharpBoys» و «DEV-0022» نیز شناخته می‌شود.
پیش‌تر، همزمان با افشای اسامی برخی کارکنان شرکت «جهت پرداز» در رسانه‌های فارسی‌زبان، فعالیت این گروه دچار مشکلات داخلی شده بود، اما مثل اینکه کافی نبود و دوباره آنها با اسم ایران و ایرانی، اهداف تروریستی خود را علیه غیرنظامیان ادامه دادند.

آدرس جدید و لو رفته از «جهت پرداز»:
تهران - خیابان مطهری، خ سلیمان خاطر، کوچه اصلی پور، پلاک ۷
آدرس های قبلی این شرکت:
پلاک ۲۳ خیابان نورمحمدی در خیابان شریعتی و دیگری پلاک چهار کوچه قنبرزاده چهار در خیابان عشقیار واقع در بزرگراه سلیمانی.

@NarimanGharib

پس از تلاش‌هایی برای سوءقصد به جان رئیس جمهور منتخب آمریکا، دونالد ترامپ، یک کمپین فیشینگ جدید با داستان نادرستِ تلاش مجدد برای ترور توسط یک تک‌تیرانداز ایرانی سعی در فریب قربانیان دارد.

این ایمیل از آدرس جعلی که خود را به عنوان نیویورک تایمز معرفی کرده است، ارسال می‌شود​. با کلیک کردن بر روی لینک، قربانی به یک فرم فیشینگ هدایت می‌شود که تظاهر می‌کند ESET است؛ این فرم از کاربر درخواست می‌کند تا رمز عبور حساب دامنه‌ی شرکتی یا سازمانی خود را وارد کند.

https://x.com/ESETresearch/status/1857042262963708065
@NarimanGharib

تحلیل جامع بدافزار WezRat: سلاح سایبری جدید گروه ایمن نت پاسارگارد

تیم تحقیقاتی Check Point (CPR) پس از انتشار اطلاعیه مشترک امنیت سایبری توسط FBI، وزارت خزانه‌داری آمریکا و اداره امنیت سایبری اسرائیل (INCD)، تحلیل جامعی از یک بدافزار سفارشی ماژولار سرقت اطلاعات به نام WezRat ارائه کرده است.

این بدافزار به گروه سایبری رژیم "ایمن نت پاسارگارد" نسبت داده شده و این گروه مسئول چندین عملیات سایبری اخیر در آمریکا، فرانسه، سوئد و اسرائیل شناخته شده است.

نکات کلیدی:

- آخرین نسخه این بدافزار اخیراً از طریق ایمیل‌های جعلی که ادعا می‌کردند از طرف اداره امنیت سایبری اسرائیل هستند، در سازمان‌های اسرائیلی پخش شد.
- این بدافزار قابلیت‌های متعددی از جمله اجرای دستورات، تصویربرداری از صفحه نمایش، آپلود فایل، ثبت کلیدهای فشرده شده و سرقت محتوای کلیپ‌بورد و فایل‌های کوکی را دارد.
- گروه مذکور در سال ۲۰۲۳ و ۲۰۲۴ عملیات‌های مختلفی را در کشورهای آمریکا، فرانسه، سوئد و اسرائیل انجام داده است، از جمله:

* هک سرویس پیامک سوئد در اواسط ۲۰۲۳
* نفوذ به یک شرکت پخش IPTV آمریکایی در دسامبر ۲۰۲۳
* عملیات نفوذی در المپیک تابستانی ۲۰۲۴
* چندین عملیات تأثیرگذاری در اسرائیل تحت نام‌های مستعار مختلف

این بدافزار بیش از یک سال فعال بوده و در این مدت ماژول‌های جدیدی به آن اضافه شده و زیرساخت‌های پشتیبان آن تغییرات متعددی داشته است.

اطلاعات بیشتر:

https://research.checkpoint.com/2024/wezrat-malware-deep-dive/

@NarimanGharib

کمپین "شغل رؤیایی ایرانی" که توسط تیم تحقیقاتی امنیت سایبری ClearSky شناسایی شده، یک کمپین هدفمند توسط گروه تهدیدی TA455 است که صنعت هوافضا را با ارائه پیشنهادات شغلی جعلی هدف قرار می‌دهد.

در این کمپین، بدافزاری به نام SnailResin توزیع می‌شود که منجر به فعال شدن درب پشتی SlugResin می‌شود. ClearSky این بدافزارها را به زیرگروهی از گروه Charming Kitten نسبت داده است. با این حال، برخی از شرکت‌های تحقیقاتی سایبری، فایل‌های بدافزار را به گروه Kimsuky/Lazarus از کره شمالی نسبت داده‌اند.

شباهت‌های میان تکنیک‌های حمله، فایل‌های بدافزار و روش جذب با "شغل رؤیایی" نشان می‌دهد که یا Charming Kitten به منظور پنهان کردن فعالیت‌های خود در حال تقلید از گروه Lazarus است، یا اینکه کره شمالی تکنیک‌ها و ابزارهای خود را با ایران به اشتراک گذاشته است.

این کمپین از حداقل سپتامبر ۲۰۲۳ فعال بوده است. پیش از این، Mandiant نیز فعالیت‌های جاسوسی مشکوک ایران را علیه صنایع هوافضا، هوانوردی و دفاعی در کشورهای خاورمیانه از جمله اسرائیل و امارات متحده عربی، همچنین ترکیه، هند و آلبانی گزارش کرده بود. پروفایل‌های جعلی در لینکدین که توسط این کمپین استفاده می‌شود، نسخه‌های جدیدتری از پروفایل‌هایی هستند که قبلاً توسط Mandiant شناسایی شده بودند، از جمله یک پروفایل جعلی با نام "Careers 2 Find" که پیش‌تر به وبسایت جعلی "1st Employer" وابسته بود.

نحوه عملکرد کمپین

TA455 با استفاده از وب‌سایت‌های جعلی و پروفایل‌های لینکدین، یک فایل ZIP حاوی فایل‌های مخرب را توزیع می‌کند. این فایل ZIP، که شامل فایل‌های قانونی است، از دامنه‌ای شبیه به یک وب‌سایت استخدامی دانلود می‌شود. به قربانیان یک راهنمای PDF داده می‌شود تا نحوه "دسترسی ایمن" به وب‌سایت را یاد بگیرند و به این ترتیب از انجام اشتباهاتی که ممکن است مانع "آلوده شدن" شوند، جلوگیری شود. پس از دانلود فایل، قربانی بر روی فایل EXE مشخص‌شده کلیک می‌کند که فایل DLL مخرب "secur32[.]dll" را از طریق بارگذاری جانبی DLL فعال می‌کند. بدافزار، آدرس IP قربانی را بررسی کرده و اطلاعات را از حساب GitHub که آدرس سرور C&C در آن ذخیره شده است، دانلود می‌کند.

—————
https://www.clearskysec.com/irdreamjob24/
https://www.clearskysec.com/wp-content/uploads/2024/11/Iranian-Dream-Job-ver1.pdf

@NarimanGharib

🖤🖤🖤🖤

امروز، من همراه گروه لب دوختگان گزارشی اختصاصی را با شما به اشتراک می‌گذاریم.

گروه سایبری تروریستی «شهید شوشتری» که با نام «ایمن نت پاسارگاد» (370/1/1 aka. EmenNet Pasargad) نیز شناخته می‌شود، بار دیگر فعالیت‌های خود را از سر گرفته است تا بر انتخابات اخیر ایالات متحده آمریکا تأثیر بگذارد.

براساس اطلاعات به‌دست‌آمده، گروه سایبری شهید شوشتری کمپین جدیدی را به‌منظور نفوذ در انتخابات ریاست‌جمهوری آمریکا راه‌اندازی کرده است. هدف این گروه ایجاد اختلال و تنش در انتخابات، به‌ویژه در ایالت‌های ناپایدار (موسوم به ایالات خاکستری) است. از ابتدای سال ۲۰۲۴، این گروه اقدام به جمع‌آوری اطلاعات درباره این ایالت‌ها کرده و در جهت برهم زدن روند انتخابات، پیام‌هایی را به‌طور مستقیم برای نامزدهای سنای آمریکا در یکی از ایالت‌های کلیدی و مردد ارسال کرده است.

برای اولین بار تصمیم داریم تعدادی از ایمیل‌های استفاده‌شده توسط اعضای گروه شهید شوشتری در این عملیات را در دسترس عموم قرار دهیم.
eugeneshwageraus[@]outlook[.]com
michaellsingh[@]yahoo[.]com

اما هدف عملیات این گروه سایبری جمهوری اسلامی چه چیزی بوده است؟

هدف اصلی این کمپین، ایجاد اختلال در روند ثبت‌نام، آلوده سازی سامانه‌های رای دهی، گسترش شایعات و ایجاد هرج‌ومرج، و در نهایت ضربه زدن به زیرساخت‌های انتخابات ایالات متحده امریکا است. این نخستین باری نیست که این گروه سعی در دخالت در انتخابات ایالات متحده دارد؛ در سال ۲۰۲۰ نیز تلاش مشابهی انجام شد. در آن زمان، سید محمدحسین موسی کاظمی ۲۴ ساله و سجاد کاشیان ۲۷ ساله که بعداً متهم شدند، موفق به دسترسی به اطلاعات محرمانه انتخاباتی از وب‌سایت یکی از ایالت‌ها شدند و از طریق ایمیل‌های تهدیدآمیز درصدد ترساندن رای‌دهندگان آمریکایی برآمدند. اما نه تنها در هدف خود ناکام ماندند، بلکه توانایی‌های محدودشان آشکار شد و شکست خوردند.

محمد باقر شیرینکار، با نام مستعار مجتبی تهرانی، مدیر گروه شهید شوشتری را بر عهده دارد. او در فرماندهی سایبرالکترونیک سپاه (جنگال) فعالیت می‌کند.

نکته جالب و قابل تأمل درباره شیرین‌کار این است که او فردی بدخلق و خشن است و به دروغگویی شهرت داره و رفتارهای او باعث ایجاد اختلافات زیادی در گروه شده است.
شیرینکار همچنین ارتباط نزدیک و مستقیم با برخی از چهره‌های کلیدی فرماندهی سایبر الکترونیک سپاه دارد. از جمله این افراد می‌توان به امیر لشگریان(حمیدرضا)، فرمانده سپاه سایبری، و علی مقدسی حاجی‌آباد، رئیس گروه سایبری واحد ۳۰۰ اشاره کرد؛ چهره‌ای که تصویر او مدت‌هاست در رسانه‌ها شناخته شده است.


گروه شهید شوشتری پیش از این نیز حملات سایبری علیه اسرائیل و امارات متحده عربی انجام داده است. این گروه برای ضربه‌زدن به تیم اسرائیلی در مسابقات المپیک، ویدئوهایی منتشر کرده و نتایج این اقدامات خود را در پلتفرم و کانال‌های "Al Tahera" و "Zeus Is Talking" به اشتراک گذاشته بود. آن‌ها همچنین در گذشته به چندین وب‌سایت دولتی امارات متحده عربی و دیگر کشورها، از جمله فرانسه، حمله کرده‌اند که از جمله این حملات سایبری، حمله به وب‌سایت مجله فرانسوی شارلی ابدو بوده است.

اطلاعات بیشتر:
Fa: https://www.iranintl.com/202410316617
En: https://www.iranintl.com/en/202411019667
@NarimanGharib

پیش‌تر اطلاعات مربوط به یگان‌های سایبری و سایبر-الکترونیک سپاه پاسداران تنها به‌صورت تصاویر در دسترس بود. برای دسترسی آسان‌تر پژوهشگران امنیتی و خبرنگاران، من این اطلاعات را به‌شکل یک نمودار سازمان‌دهی کرده‌ام.

Previously, information about Iran's cyber and cyber-electronics units was available only as images. To make it more accessible for security researchers and journalists, I've organized it into an easy-to-navigate chart on the website.

https://x.com/NarimanGharib/status/1851223107131900066

@NarimanGharib

به تازگی رئیس واحد سایبری شهید همت را افشا کرده‌ام و امروز عکس واقعی او را منتشر می‌کنم. غلام‌حسین فرخ، متولد ۲۸ شهریور ۱۳۶۶، با نام مستعار «امیر مغفرتی» فعالیت می‌کند. او رئیس شرکت داده‌افزار آرمان (DAA) است که به‌عنوان پوششی برای فرماندهی سایبری-الکترونیک سپاه پاسداران انقلاب اسلامی (IRGC-CEC)، معروف به جنگال، عمل می‌کند. داده‌افزار آرمان یکی از چندین شرکت پوششی مرتبط با واحد شهید همت است که بخشی از IRGC-CEC محسوب می‌شود و صنایع دفاعی ایالات متحده و بخش‌های حمل‌ونقل بین‌المللی را هدف قرار می‌دهد.

برنامه موسوم به «پاداش عدالت» در وزارت خارجه آمریکا با انتشار تصاویری از چند نیروی گروه شهید همت، ۱۰ میلیون دلار جایزه برای هرگونه اطلاعاتی در مورد این گروه تعیین کرده است.


https://iranianthreatactors.com/amir-maghfareti
English: https://x.com/NarimanGharib/status/1850692163127963663
Farsi: https://x.com/NarimanGharib/status/1850693216196268134
@NarimanGharib

احتمال وقوع درگیری جدید بین اسرائیل و جمهوری اسلامی پیش از انتخابات آمریکا و قبل از ژانویه بسیار کم است. همانطور که گفتم با این حمله به عمق مراکز حساس تهران، اسرائیل پیام روشنی فرستاد که آماده بازگشت دوباره است اگر جمهوری اسلامی بخواهد دست به تلافی بزند.

https://x.com/NarimanGharib/status/1850113267621916801

کانال ۱۲ اسراییل:

"ایران از طریق یک واسطه خارجی پیام فرستاده است که به حمله واکنش نشان نخواهد داد"

اسرائیل در حمله دقیق شب گذشته نشان داد که توانایی دارد همزمان با هدف قراردادن نقاط مهم در خاک ایران، از بروز آتش‌سوزی و انفجارهایی که ممکن است به مناطق غیرنظامی صدمه بزنند، جلوگیری کند. این به آن معناست که اهداف با دقت بسیار بالایی انتخاب و بررسی شده بودند و پیامدهای هر انفجار از پیش قابل پیش‌بینی بود. باید توجه داشت که اسرائیل این امکان را داشت که به راحتی زیرساخت‌های حیاتی یا تأسیسات هسته‌ای ایران را هدف قرار دهد و خسارات سنگینی وارد کند، اما در این حمله اخیر عمداً از انجام چنین اقداماتی خودداری کرد. این اقدام اسرائیل نشان می‌دهد که به خوبی می‌داند مردم ایران در جاه‌طلبی‌های رژیم نقش و مسئولیتی ندارند. این حمله به وضوح متمرکز بر زیرساخت‌های نظامی رژیم بود تا مردم عادی آسیب نبینند.

همچنین، با این حمله به عمق مراکز حساس تهران، اسرائیل پیام روشنی فرستاد که آماده بازگشت دوباره است اگر جمهوری اسلامی بخواهد دست به تلافی بزند. نکته قابل توجه دیگر این است که جمهوری اسلامی از ابتدا خود را درگیر مسائلی کرده که ارتباطی با منافع ایران نداشته‌اند، نظیر مشکل فلسطین و حزب‌الله. تلاش اصلی جمهوری اسلامی در سال‌های گذشته این بوده که اسرائیل را در غزه و جنوب لبنان با استفاده از حزب‌الله درگیر نگاه دارد و تنش را در همان منطقه محدود کند. اما نتیجه به گونه‌ای دیگر رقم خورد و این بار جنگ به داخل مرزهای ایران و حتی خیابان‌های تهران کشیده شد.

حمله اخیر اسرائیل بیشتر معطوف به ابزارهایی بود که جمهوری اسلامی از آن‌ها برای بی‌ثبات کردن منطقه استفاده می‌کند، به‌ویژه در سال گذشته که ایران تمام تلاش خود را برای تشدید بحران‌های خاورمیانه به‌کار گرفت. به نظر می‌رسد، با هدف قرار دادن تأسیسات نظامی در این حمله، عرضه موشک‌های زمین‌به‌زمین ایران به روسیه نیز کاهش یابد، و این خبری خوش برای متحد اسرائیل، یعنی آمریکا است. به خصوص که آمریکا همواره در دفاع از اسرائیل و در زمان حمله‌ها در کنار آن بوده است. این اتحاد نزدیک و پایدار بین مردم اسرائیل و آمریکا عاملی است که جمهوری اسلامی را به شدت ناخشنود می‌کند.

@NarimanGharib
https://x.com/NarimanGharib/status/1850080521780363773

متن ویدیو:

در پاسخ به حملات مداوم رژیم ایران علیه کشور اسرائیل طی ماه‌های گذشته، در حال حاضر نیروهای دفاعی اسرائیل (IDF) در حال انجام حملات دقیق به اهداف نظامی در ایران هستند.

رژیم ایران و نمایندگانش در این منطقه از تاریخ ۷ اکتبر به طور بی‌امان در حال حمله به اسرائیل هستند - در هفت جبهه - که شامل حملات مستقیم از خاک ایران می‌شود.

مانند هر کشور مستقل دیگری در جهان، کشور اسرائیل حق و وظیفه دارد که مقابله کند.

قابلیت‌های دفاعی و تهاجمی ما به طور کامل بسیج شده‌اند.

ما هر اقدامی که لازم باشد برای دفاع از کشور اسرائیل و مردم اسرائیل انجام خواهیم داد.

@NarimanGharib

فوری-
اسرائیل حملات خود را علیه ایران آغاز کرده است، فاکس نیوز می‌تواند این موضوع را تأیید کند. به گفته‌ی منابع فاکس نیوز، این حملات با هدف ارسال پیام بازدارندگی انجام شده‌اند.

فوری: شنیده شدن چندین صدای انفجار در مناطق مختلف تهران و کرج.
Urgent: Residents in many areas of Tehran have reported hearing a series of explosions starting just minutes ago.

https://x.com/NarimanGharib/status/1849945708360548552

خلاصه‌ای از گزارش جالب و ویژه رویترز از تلاش هکرهای جمهوری اسلامی (یاسر بلاغی اینالو و سید علی آقامیری و مسعود جلیلی) در مورد پخش کردن اسناد هک شده از ستاد انتخاباتی دونالد ترامپ:

پس از تلاش‌های متعدد ناموفق برای جلب توجه رسانه‌های اصلی، هکرهای ایرانی بالاخره موفق به انتشار ایمیل‌های دزدیده شده از کمپین ترامپ شدند. این موفقیت زمانی حاصل شد که آنها شروع به ارسال اطلاعات به یک فعال سیاسی دموکرات و روزنامه‌نگاران مستقل کردند، که منجر به انتشار این مطالب در وبسایت کمیته سیاسی American Muckrakers و پلتفرم Substack شد.

گروه هکری مذکور که با نام Mint Sandstorm یا APT42 شناخته می‌شود، با استفاده از یک هویت جعلی به نام "رابرت"، موفق به سرقت رمزهای عبور کارکنان کمپین ترامپ شده و به ایمیل‌های داخلی آنها دسترسی پیدا کرد. این اسناد شامل مکاتبات داخلی کمپین با مشاوران خارجی و متحدان درباره موضوعات مختلف انتخابات ۲۰۲۴ می‌باشد که پس از عدم موفقیت در جلب نظر رسانه‌های بزرگی چون نیویورک تایمز و واشنگتن پست، نهایتاً از طریق کانال‌های دیگر منتشر شد.

مقامات ارشد اطلاعاتی و امنیتی آمریکا معتقدند که تلاش‌های ایران برای دخالت در انتخابات این دوره، با هدف تخریب ترامپ صورت می‌گیرد، زیرا او را مسئول کشتن قاسم سلیمانی در سال ۲۰۲۰ می‌دانند.

عملیات نشت اطلاعات از حدود ماه جولای با استفاده از حساب ایمیل ناشناس noswamp آغاز شد و سپس در ماه سپتامبر از طریق ایمیل دیگری به نام bobibobi.007 روی سرویس دهنده ایمیل AOL ادامه یافت. پس از مسدود شدن این حساب‌های ایمیل توسط یاهو، هکرها به خبرنگاران پیشنهاد دادند که از طریق اپلیکیشن پیام‌رسان رمزنگاری شده سیگنال با آنها در ارتباط باشند، که این روش برای نظارت توسط مقامات قانونی دشوارتر است.

@NarimanGharib
https://www.reuters.com/world/us/accused-iranian-hackers-successfully-peddle-stolen-trump-emails-2024-10-25/

بنابر نامه منتشره در رسانه های رژیم جمهوری اسلامی پرواز پهپاد و ریزپرنده در سراسر کشور ممنوع شده است.
در نامه مذکور به NOTAM به شماره B0805/24 اشاره شده که شامل موارد ذیل میباشد.

According to the letter published in the Islamic Republic regime's media, drone and micro-aircraft flights have been prohibited throughout the country. The mentioned letter refers to NOTAM number B0805/24 which includes the following items:

B0805/24 NOTAMN
Q) OIIX/QAFLV/V/NBO/E/000/999/
A) OIIX B) 2410230130 C) 2410302030 EST
E) ALL VFR FLT OPR WI TEHRAN FIR TEMPO SUSPENDED,
EXCEPT IN SPECIAL CIRCUMESTANCES ANNOUNCE BY IRAN CAA.
CREATED: 22 Oct 2024 10:17:00
SOURCE: OIIIYNYX

@NarimanGharib
https://x.com/NarimanGharib/status/1849766304774824409

Israeli media report that ESET's representative in Israel has confirmed that the hacker group "Handala Hack," which is linked to the Islamic Republic of Iran's Ministry of Intelligence, was responsible for the recent cyberattack targeting the company's customers in Israel. In this attack, approximately 300 individuals downloaded the malicious "wiper" file. However, ESET was able to stop the attack within the first 10 minutes.

رسانه‌های اسراییلی گزارش می‌دهند: نمایندگی ESET در اسراییل تأیید کرده است که گروه هکری "Handala Hack" که به وزارت اطلاعات جمهوری اسلامی مرتبط است، پشت حمله سایبری اخیر به مشتریان این شرکت در اسرائیل قرار دارد. در این حمله، حدود ۳۰۰ نفر فایل مخرب "وایپر" را دانلود کردند. با این حال، ESET موفق شد طی ۱۰ دقیقه نخست، این حمله را متوقف کند.

@NarimanGharib
https://x.com/NarimanGharib/status/1848689818580004995

At the end of August, I had written that Banished Kitten, also known as Storm-0842 and Dune, is a cyber group from the CT division in MOIS (Ministry of Intelligence), under the supervision of Seyyed Yahya Hosseini Panjaki. This deputy itself is recognized by the European Union as a terrorist entity. As I mentioned before, Banished Kitten operates under the cover of cyber groups Karma Below, Homeland Justice, and Handala Hack, whose targets are mostly against the country of Israel.

I had also previously mentioned that this group's activities have been so amateurish in some cases that important details of their operations have been revealed to date. For example, the forgery of a website for the University of Munich (with the address nuclear2024[.]com) that invited people to the 2024 Nuclear Conference.

After my recent post, one of the group members told me that he no longer wants to work for the corrupt regime and has decided to expose their operational methods. According to documents sent to me by one of the group members, which for security reasons cannot be fully published at the moment, Banished Kitten purchases an Infostealer tool from the Darknet and customizes it to be used for collection activity against Israelis.

I will soon publish more information about this group's activities.

اواخر آگوست نوشته بودم که Banished Kitten یا همان بچه گربه رانده شده که با نام‌هایی همچون Storm-0842 و Dune نیز شناخته می‌شود، یک گروه سایبری از زیرمجموعه‌های معاونت امنیت داخلی وزارت اطلاعات در بخش واحد مقابله با تهدیدات سایبری (CT)، تحت نظر سید یحیی حسینی پنجکی است که خود این معاونت توسط اتحادیه اروپا به عنوان یک نهاد تروریستی نیز شناخته می‌شود. همانطور که قبلا اشاره کردم، بچه گربه رانده شده در پوشش گروه‌های سایبری Karma Below, Homeland Justice و Handala Hack که بیشتر اهدافی که دارند علیه کشور اسراییل است، فعالیت میکند.

همچنین قبلا گفته بودم که فعالیت این گروه در مواردی به‌قدری ناشیانه بوده که جزئیات مهمی از فعالیت‌های آنها تا به امروز فاش شده است. به‌عنوان مثال، جعل وب‌سایتی برای نام دانشگاه مونیخ (با آدرس nuclear2024[.]com) که افراد را به کنفرانس هسته‌ای ۲۰۲۴ دعوت می‌کرد.

بعد از پست اخیر، یکی از اعضای گروه به من گفت که دیگر نمی‌خواهد برای رژیم فاسد کار کند و تصمیم گرفته است روش‌های عملیاتی آن‌ها را افشا کند. با توجه به اسنادی که برای من توسط یکی از اعضای گروه ارسال شده و فعلا به دلایل امنیتی جزئیات کامل قابل نشر نیست، بچه گربه رانده شده یک ابزار سرقت اطلاعات (InfoStealer) از دارک‌نت خریداری و در آن تغییراتی ایجاد کرده که از آن را برای جمع‌آوری اطلاعات علیه اسرائیلی‌ها استفاده کند.

بزودی اطلاعات بیشتری در مورد فعالیت‌های این گروه منتشر خواهم کرد.

@NarimanGharib

In the past two weeks, a group known as Charming Kitten, operating under the supervision of the Islamic Revolutionary Guard Corps, has launched a new campaign targeting Western and Middle Eastern NGOs and media organizations. These attacks involve the use of specific phone numbers and phishing links. The attack process typically begins with initial contact through a Yahoo email (as seen in available examples), followed by a phishing link sent via WhatsApp. To build trust, the hackers may even initiate a silent voice call. Ultimately, the victim is directed to a Google Sites page, deceptively crafted to resemble an invitation to a fake Google Meet online session. On this page, the victim encounters a "Join" button, which, when clicked, redirects them to the main phishing page through a shortened URL. On these pages, the hackers use the EventListener function in the page's script to automatically capture and send all input information entered by the user to their servers. If you encounter similar numbers or links, you may be the target of these cyber-attacks.

https://x.com/NarimanGharib/status/1846279581730529545

گروه Charming kitten که تحت نظارت سپاه پاسداران انقلاب اسلامی فعالیت می‌کند، کمپین جدیدی علیه سازمان‌های غیردولتی غربی و خاورمیانه‌ای، رسانه‌ها و فعالان اجتماعی به راه انداخته است. این حملات شامل استفاده از شماره تلفن‌های مشخص و لینک‌های فیشینگ است. روند حمله با تماس اولیه از طریق ایمیل یاهو (در نمونه‌های موجود) آغاز شده و سپس لینک فیشینگ از طریق واتس‌اپ ارسال می‌شود. هکرها حتی برای جلب اعتماد، تماس صوتی بی‌کلام نیز برقرار می‌کنند. در نهایت، قربانی به صفحه‌ای در گوگل سایت هدایت می‌شود که به شکل فریبنده‌ای برای یک جلسه جعلی آنلاین در گوگل میت طراحی شده است. قربانی در این صفحه با دکمه "Join" مواجه می‌شود که با کلیک بر روی آن، به صفحه فیشینگ اصلی از طریق شورت یوآرال هدایت می‌گردد. در این صفحات، هکرها با استفاده از عملکرد EventListener در اسکریپت صفحه، تمامی اطلاعات وارد شده توسط کاربر را به‌صورت خودکار ضبط و به سرورهای خود ارسال می‌کنند. در صورت مواجهه با شماره‌ها یا لینک‌های مشابه، احتمالاً هدف این حملات سایبری قرار گرفته‌اید.

https://x.com/NarimanGharib/status/1846279581730529545


@NarimanGharib

BREAKING: Iran International exposes Hossein Fard Siahpoush, aka Parsa Sarafian, for the first time. Key MOIS figure, board member of Avaye Hooshmand Ravin, and leader of #Darkbit hacking group. Linked to cyberattacks on Israeli targets, including Technion.

https://iranianthreatactors.com/hossein-fard-siahpoush

خبر فوری: ایران اینترنشنال برای اولین بار هویت حسین فرد سیاهپوش، معروف به پارسا صرافیان را فاش کرد. او عضو کلیدی وزارت اطلاعات، عضو هیئت مدیره آوای هوشمند راوین و رهبر گروه هکری دارک‌بیت است. مرتبط با حملات سایبری به اهداف اسرائیلی، از جمله تکنیون.

video: https://x.com/NarimanGharib/status/1845141120931541228

#Iran #RavinAcademy
@NarimanGharib

تا حالا فکر کردید نیروهای سایبری جمهوری اسلامی بعد از اینکه چند سال تحت تعقیب اف‌بی‌آی باشن، چهره‌شون به چه شکلی درمیاد؟ 😁 ابوذر گوهری مقدم — (اینستاگرام: abuzargoharii)، از سال ۲۰۱۸ به خاطر دسترسی غیرمجاز به سیستم‌های کامپیوتری، سرقت داده‌های محرمانه، و فروش این داده‌های سرقت‌شده به مشتریان ایرانی مثل دانشگاه‌ها و دولت ایران تحت تعقیب است.
الان شده عضو هیات علمی دانشگاه امام صادق! یعنی یک دزد سایبری رو کردن عضو هیات علمی :))

Ever wondered what an Islamic Republic cyber operative looks like after spending years on the FBI’s most-wanted list? 😁 Meet ABUZAR GOHARI MOQADAM (Instagram: @ abuzargoharii), wanted since 2018 for unauthorized access to computer systems, theft of confidential data, and selling that information to Iranian institutions, including universities and government organizations.

And now? He’s a faculty member at Imam Sadegh University. Yes, you read that right— they’ve added a cybercriminal to their academic staff. :)

@NarimanGharib
https://x.com/NarimanGharib/status/1844739776810815895

وزیر ارتباطات کشور در شبکه‌ای که فیلتر شده پیام گذاشته و دوتا جمله نوشته که خودش هم احتمالا متوجه منظورش نشده. البته بگذارید روشن کنم که این پیام رو نوشت تا بعد‌ها بتونه بگه: "اعضای دولت موافق رفع فیلتر بودند، اما با سایر نهادها به توافق نرسیدیم!" 😂 یک عده کلاه‌بردار.

https://x.com/NarimanGharib/status/1843758258169024938
@NarimanGharib

وقتی به لبنان و حزب‌الله می‌رسیدند، این کمک‌های! میلیون دلاری جمهوری اسلامی بود که به آن کشور سرازیر می‌شد. در نهایت هم جز ویرانی چیزی برای مردم لبنان به ارمغان نیاوردند.

- از مدارک بنیاد مستضعفان
@NarimanGharib

سرویس نقشه‌ داخلی نشان به @ زومیت گزارش داد: «اخلال جی‌پی‌اس در #تهران از هفته گذشته چهار برابر شده است. اپلیکیشن مسیریابی ما از صبح امروز با مشکلات جدی مواجه شده است.»

Iranian map service Neshan reports to @ Zoomit:
"GPS disruption in #Tehran has quadrupled since last week. Our navigation app is experiencing severe issues as of this morning."

https://x.com/NarimanGharib/status/1843318428565659862
#Israel
#اسرائیل

قبل انتخابات، پاسخ برداشته شدن فیلترینگ بله بود، الان براشون سخت شده :)) - باز برگشتن به همون فضای وایت‌لیست کردن یک مشت وب سایت و سرویس برای ملت و وی‌پی‌ان ملی!!

@NarimanGharib

شورای دفاع و امنیت ملی اوکراین به همراه مرکز مقابله با اطلاعات نادرست، که در شهر کی‌یف مستقر است، اخیراً فعالیتی را آغاز کرده و مطالبی مرتبط با شخصیت‌های کلیدی رسانه‌ای جمهوری اسلامی منتشر می‌کند. این سازمان‌ها به بررسی نقش این افراد در گسترش تبلیغات دولتی (پروپاگاندا) می‌پردازند. علاوه بر این، از هشتگ "#ЦПД_пояснює" برای انتشار مطالب و ارائه توضیحات بیشتر استفاده می‌کنند.

@NarimanGharib
https://x.com/NarimanGharib/status/1843211872142590083

ساعاتی پیش، تلویزیون المیادین که به‌طور غیررسمی به حزب‌الله لبنان وابسته است، اعلام کرد که هدف حمله سایبری قرار گرفته است. در پی این حمله، وب‌سایت و کانال تلگرامی این شبکه در شبکه‌های اجتماعی تحت تأثیر قرار گرفتند.


@NarimanGharib

فوری و اختصاصی:

شرکت ارتباطات زیرساخت دقایقی پیش دستوری مبهم و بدون توضیح مشخص به شرکت‌های ارائه‌دهنده خدمات اینترنت در ایران ارسال کرده است. به نظر می‌رسد این تصمیم در سطح نهادی بالاتر از این شرکت اتخاذ شده باشد. در پی اجرای این دستور، شرکت‌های اینترنتی اختلالاتی را بر روی اینترنت همراه و مودم‌های سیم‌کارتی، از جمله اپراتورهایی مانند همراه اول، ایرانسل، رایتل و آپتل اعمال کرده‌اند. این اختلالات شامل کندی شدید سرعت اینترنت و قطع و وصل مکرر اتصال‌ها می‌شود.

#ایران #اسراییل
https://x.com/NarimanGharib/status/1842998171275812887
@NarimanGharib