🔵 اهمیت Pivoting به عنوان سلاح پنهان تیم‌های SOC علیه APT‌ها

در بسیاری از موارد پس از شناسایی‌های انجام شده توسط تیم SOC بر روی IOC کشف شده، اقدامات Response انجام و Case بسته می‌شود؛ ولی آیا این پایان کار است؟

بگذارید با یک رویداد واقعی موضوع را شفاف‌تر کنیم:
در سال ۲۰۲۴، گروه APT معروف به Ghostwriter (UNC1151) کارزار بزرگی اجرا کرد. ظاهر حمله ساده بود:

1️⃣ فایل اکسل آلوده با ماکرو
2️⃣ دانلود DLL مخرب
3️⃣ ارتباط با دامنه‌ای مثل:goudieelectric[.]shop

اما با کمی عمیق‌تر شدن، تیم فنی فهمید مهاجم فقط یک دامنه نساخته؛ بلکه بیش از ۲۰ دامنه با الگوی یکسان آماده کرده است.
پس الان پاسخ این سوال که آیا این پایان کار است را می توان داد، اگر تیم دفاعی فقط همان دامنه اول را بلاک می‌کرد، مهاجم از دامنه‌های دیگر استفاده می‌کرد. اما با Pivoting (بررسی ویژگی‌های مشترک مثل رجیسترار، DNS ،TLD و…) کل زیرساخت مهاجم شناسایی شد.

🔸 Pivoting چیست؟
یعنی از یک IOC (دامنه، IP، هش و …) شروع کنیم و با بررسی ویژگی‌های مشترک، زنجیره‌ای از IOCهای مرتبط را کشف کنیم.

🔸مراحل Pivoting در SOC

1️⃣ شروع با یک IOC • مثل: دامنه، IP، هش فایل، گواهی TLS ،JA3/JARM.

2️⃣ استخراج ویژگی‌های IOC

🔹 Register, Name Server, TLD
🔹 Passive DNS Records (A/AAAA/CNAME history)
🔹 TLS (SAN/Serial/Issuer)
🔹 Website Attributes (favicon hash, Analytics ID, headers, URL paths)

3️⃣ Pivot افقی (Horizontal)‎

🔹جستجوی دامنه‌ها/زیرساخت‌های دیگری که همین ویژگی‌ها را دارند.
🔹استفاده از ابزارهایی مثل: PassiveDNS, DomainTools, crt.sh, Shodan,subfinder

4️⃣ Pivot عمودی (Vertical)

🔹بررسی ارتباط IOCهای جدید با فایل‌ها یا بدافزارها (VirusTotal Relations/Graph).
🔹بررسی اینکه چه فایل‌هایی با این دامنه‌ها در ارتباط هستند.

5️⃣ اعتبارسنجی یافته‌ها

🔹بررسی چند ویژگی مشترک
مثلاً در مثال بالا فقط Cloudflare کافی نبود و تیم تحقیقاتی موارد زیر را نیز در نظر گرفت:
TLD: .shop
Registrar: PublicDomainRegistry
Name Servers: Cloudflare
Active Robots.txt
🔹امتیازدهی به IOCهای کشف‌شده (کم، متوسط، قوی).

6️⃣ گسترش و مستندسازی

🔹رسم گراف ارتباطی (Maltego / VT Graph / Neo4j).
🔹یادداشت زمان، الگوها و هم‌پوشانی‌ها.

7️⃣ دفاع

🔹Block در Firewall/DNS/Proxy.
🔹بارگذاری IOCها در SIEM برای جستجو در لاگ‌های گذشته.
🔹شکار فعال (Threat Hunting) بر اساس IOCهای جدید.

نتیجه نهایی
در امنیت سایبری امروز، یک IOC پایان کار نیست؛ بلکه شروع Pivoting است. با Pivoting، تیم‌های SOC می‌توانند از حالت واکنشی به حالت پیشگیرانه تغییر کنند و جلوی حملات بعدی را قبل از وقوع بگیرند. در نتیجه می‌توان گفت انجام Pivoting در تیم های SOC می‌تواند به دلایل زیر مهم باشد:

🟢 پیشگیری به جای واکنش
🟢 کاهش سطح حمله
🟢 افزایش دقت Threat Hunting

.................‌...............
🔴 جهت دریافت مشاوره یا پاسخ سوالاتتان، روی لینک زیر کلیک نمایید:

🔗https://apk-group.porsline.ir/s/DAhH6Dem🌐

آیدی کانال:@apkgroup_ir

مرکز CERT شرکت امن‌پردازان کویر (APK)

🚨 اطلاعیه شماره سی و یکم

با توجه به کشف عمومی آسیب‌پذیری روز صفر CVE-2025-8088 در نرم‌افزار WinRAR و گزارش رسمی آن توسط تیم تحقیقاتی ESET;

به اطلاع می‌رساند این آسیب‌پذیری در نسخه 7.12 WinRAR وجود دارد و به مهاجم امکان می‌دهد با ارسال فایل‌های RAR مخرب در قالب رزومه‌های جعلی، فایل‌های مخفی DLL را بدون اطلاع کاربر اجرا نماید.
در نتیجه، بک‌دورهایی نظیر Snip Bot، Rusty Claw و Mythic Agent روی سیستم قربانی مستقر شده و مهاجم قادر به حفظ دسترسی و کنترل سیستم می‌گردد.

تیم CERT شرکت امن‌پردازان کویر (APK) با توجه به اطلاعات منتشر شده اقدام به طراحی Attack Flow این حمله که در پیوست موجود است نموده تا روش کار کاملا شفاف شود.

در زیر مراحل گام به گام توضیح داده شده است:

1. دسترسی اولیه: Spear phishing Attachment (T1566.001)
مهاجم ایمیل هدفمند ارسال می‌کند که حاوی فایل RAR مخرب است (معمولاً با موضوع «درخواست شغلی/رزومه»).
هدف: ترغیب کاربر به دانلود و باز کردن پیوست.

2. بهره‌برداری از نقص: CVE-2025-8088 (WinRAR Zero-Day)
کاربر فایل RAR را با WinRAR باز یا استخراج می‌کند و اکسپلویت فعال می‌شود.
این ضعف اجازه می‌دهد فایل مخرب داخل آرشیو پنهان و هنگام استخراج بی‌سر‌وصدا اجرا شود.

3. سوءاستفاده از ابزار: WinRAR (abused)
خود WinRAR به‌عنوان نقطه اجرای زنجیره مورد سوءاستفاده قرار می‌گیرد (نه الزاماً به‌عنوان بدافزار).
مهاجم از رفتار نرم‌افزار در فرایند استخراج برای رهاسازی یا اجرای پیلود استفاده می‌کند.

4. پوشش‌دهی/جعل هویت: Masquerading (T1036)
محتوا به شکل اسناد شغلی معتبر نمایش داده می‌شود (نام‌گذاری فریبنده، آیکن/پسوند گمراه‌کننده).
هدف: کاهش تردید کاربر و افزایش نرخ اجرا.

5. گریز از تحلیل: Virtualization/Sandbox Evasion (T1497)
پیلود بررسی می‌کند در Sandbox / VM هست یا خیر و رفتار خود را تطبیق می‌دهد (تأخیر، بررسی فرایندها/درایورها/منابع).
نتیجه: کاهش کشف در محیط‌های تحلیل خودکار.

6. مخفی‌سازی ارتباطات: Encrypted Channels (T1573)
پس از اجرا، ارتباط فرماندهی و کنترل از کانال‌های رمزگذاری‌شده برقرار می‌شود تا ترافیک عادی به‌ نظر برسد.
هدف: پنهان‌سازی ردپا در شبکه و دورزدن نظارت.

7. تحویل و استقرار بدافزار
در انتها، بک‌دورها بر روی میزبان قربانی دریافت/نصب می‌شوند:
Snip Bot – دسترسی پایداری و کنترل از راه دور
Rusty Claw – بک‌دور/لودر برای مراحل بعدی
Mythic Agent – عامل C2 ماژولار برای عملیات‌های بعدی مهاجم

این حمله با تکنیک‌های Phishing، Masquerading و Encrypted Channels انجام شده و در آن مهاجمان با دور زدن محیط‌های Sandbox موفق به استقرار بدافزار بر بستر قربانی می‌شوند.

با توجه به بهره‌برداری فعال از این ضعف در حملات هدفمند، انجام اقدامات پیشگیرانه زیر در سریع‌ترین زمان ممکن توصیه می‌شود:

✅ به‌روزرسانی فوری WinRAR به نسخه امن 7.13
✅ بازبینی و تقویت سیاست‌های امنیتی ایمیل و مسدودسازی ضمائم RAR ناشناس
✅ آموزش کاربران برای اجتناب از باز کردن فایل‌های رزومه و اسناد ناشناس
✅ پایش رفتار مشکوک در لاگ‌های امنیتی و مانیتورینگ ترافیک رمزگذاری‌شده
✅ استفاده از IOCهای منتشرشده برای شکار تهدید در شبکه‌های سازمانی (در ادامه لیست IOCها مشخص شده است)
✅ بروزرسانی Feedهای MISP سازمان به صورت دستی توسط SOC و یا اطمینان از دریافت آخرین Feedهای مرتبط با آسیب پذیری از CTI شرکت امن‌پردازان کویر (APK)

شاخص‌های نفوذ (IOCs):

Hashes:

01D32FE88ECDEA2B934A00805E138034BF85BF83
371A5B8BA86FBCAB80D4E0087D2AA0D8FFDDC70B
D43F49E6A586658B5422EDC647075FFD405D6741
F77DBA76010A9988C9CEB8E420C96AEBC071B889
676086860055F6591FED303B4799C725F8466CF4
1F25E062E8E9A4F1792C3EAC6462694410F0F1CA
C340625C779911165E3983C77FD60855A2575275
C94A6BD6EC88385E4E831B208FED2FA6FAED6666
AE687BEF963CB30A3788E34CC18046F54C41FFBA
AB79081D0E26EA278D3D45DA247335A545D0512E
1AEA26A2E2A7711F89D06165E676E11769E2FD68
IP Addresses List:
162.19.175.44
194.36.209.127
85.158.108.62
185.173.235.134

.................‌...............
🔴 جهت دریافت مشاوره یا پاسخ سوالاتتان، روی لینک زیر کلیک نمایید:

🔗https://apk-group.porsline.ir/s/DAhH6Dem🌐

آیدی کانال:@apkgroup_ir

مرکز CERT شرکت امن‌پردازان کویر (APK)

🟢 گزارش ماهیانه IPهای مخرب شناسایی شده توسط تیم CERT

⚠️ با افزایش روزافزون تهدیدات سایبری، تیم CERT شرکت امن‌پردازان کویر به‌صورت آنی و بلادرنگ اقدام به گردآوری، تحلیل و پایش IPهای مخرب شناسایی‌شده در مراکز تحت پوشش می‌کند.

این داده‌ها علاوه بر انتشار لحظه‌ای در زیرساخت اختصاصی CTI، در قالب گزارش‌های ماهانه نیز برای ارتقای آگاهی و تقویت دفاع سایبری سازمان‌ها ارائه می‌شود.

🔵 اقدامات پیشنهادی:

📌 تیم‌های IT: به‌روزرسانی فایروال و IDS/IPS، مسدودسازی IPهای مخرب، بررسی لاگ‌ها و اطلاع‌رسانی داخلی.

📌 تیم‌های SOC: مانیتورینگ مداوم، افزودن لیست به TIP/SIEM، تحلیل رفتار تهدیدات و اولویت‌دهی در Incident Response.

هدف ما، کمک به تصمیم‌گیری سریع‌تر، افزایش سطح امنیت و آمادگی در برابر تهدیدات است.

.................‌...............
🔴 جهت دریافت مشاوره یا پاسخ سوالاتتان، روی لینک زیر کلیک نمایید:

🔗https://apk-group.porsline.ir/s/DAhH6Dem🌐

آیدی کانال:@apkgroup_ir

مرکز CERT شرکت امن‌پردازان کویر (APK)

🔗 برای سهولت استفاده، لیست کامل IPها در یک فایل متنی جداگانه نیز ضمیمه شده تا تیم‌های فنی بتوانند آن را مستقیماً در سامانه‌های امنیتی بارگذاری کنند.

.................‌...............
🔴 جهت دریافت مشاوره یا پاسخ سوالاتتان، روی لینک زیر کلیک نمایید:

🔗https://apk-group.porsline.ir/s/DAhH6Dem🌐

آیدی کانال:@apkgroup_ir

مرکز CERT شرکت امن‌پردازان کویر (APK)

💡نمایشگاه الکامپ
فرصتی منحصربه‌فرد برای دیدار و گفت‌وگو با شما عزیزان

🏢 شرکت امن‌پردازان کویر (APK) با افتخار اعلام می‌نماید که در این رویداد، از آخرین محصولات و خدمات خود در حوزه هوش‌مصنوعی و خودکارسازی مرکز عملیات امنیت (SOC) رونمایی خواهد کرد.

📅 تاریخ: ۳ الی ۶ مهر
📍 محل: سالن ۶، نمایشگاه بین‌المللی تهران

🤝 منتظر حضور ارزشمند شما هستیم.

🚨 تهدیدهای سایبری دیگر مانند گذشته نیستند؛ سریع، هوشمند و خطرناک‌تر شده‌اند.

❓آیا SOCهای سنتی می‌توانند در برابر این موج از حملات دوام بیاورند؟

جواب مهم این است که آینده‌ی امنیت سازمان‌ها در دستان Autonomous SOCها است و حرکت به سمت SOCهای خودمختار (Autonomous) یک سفر است نه یک مقصد.

سفر مراکز عملیات امنیت‌های سنتی تا تبدیل شدن به خودمختار به صورت زیر است:


1️⃣ Manual Operations

🔸 جمع‌آوری داده، بررسی و پاسخ به رخداد به صورت دستی
🔸 وابستگی کامل به تجربه تحلیل‌گرها

2️⃣ Rule-Based Operations

🔸 استفاده از قوانین (Rules) و پلی‌بوک‌های ساده
🔸 کاهش کارهای تکراری، ولی همچنان وابسته به تنظیمات انسانی

3️⃣ AI-Assisted SOC

🔸 استفاده از هوش مصنوعی برای کاهش False Positive و افزایش True Positive
🔸 پیشنهادهای تحلیلی، سرعت بیشتر در Incident Response

4️⃣ Partial Autonomy

🔸 سیستم قادر به پیش‌بینی تهدیدات و تولید Detection جدید
🔸 انجام واکنش‌های خودکار محدود (مثل Block کردن Session مشکوک)
🔸 انسان در نقش Supervisor

5️⃣ High Autonomy

🔸 در این SOCها End-to-End Response به صورت مستقل انجام میشود.
🔸 انسان بیشتر در نقش استراتژیست و ناظر حضور دارد

🎯 هدف نهایی حذف انسان نیست، بلکه ترکیب قدرت انسان و AI برای رسیدن به سرعت و دقت بالاتر در دفاع سایبری است.

منبع: SentinelOne
.................‌...............
🔴 جهت دریافت مشاوره یا پاسخ سوالاتتان، روی لینک زیر کلیک نمایید:

🔗https://apk-group.porsline.ir/s/DAhH6Dem🌐

آیدی کانال:@apkgroup_ir

شرکت امن‌پردازان کویر (APK)

🟢 گزارش ماهیانه IPهای مخرب شناسایی شده توسط تیم CERT

⚠️ با افزایش روزافزون تهدیدات سایبری، تیم CERT شرکت امن‌پردازان کویر به‌صورت آنی و بلادرنگ اقدام به گردآوری، تحلیل و پایش IPهای مخرب شناسایی‌شده در مراکز تحت پوشش می‌کند.

این داده‌ها علاوه بر انتشار لحظه‌ای در زیرساخت اختصاصی CTI، در قالب گزارش‌های ماهانه نیز برای ارتقای آگاهی و تقویت دفاع سایبری سازمان‌ها ارائه می‌شود.

🔵 اقدامات پیشنهادی:

📌 تیم‌های IT: به‌روزرسانی فایروال و IDS/IPS، مسدودسازی IPهای مخرب، بررسی لاگ‌ها و اطلاع‌رسانی داخلی.

📌 تیم‌های SOC: مانیتورینگ مداوم، افزودن لیست به TIP/SIEM، تحلیل رفتار تهدیدات و اولویت‌دهی در Incident Response.

هدف ما، کمک به تصمیم‌گیری سریع‌تر، افزایش سطح امنیت و آمادگی در برابر تهدیدات است.

.................‌...............
🔴 جهت دریافت مشاوره یا پاسخ سوالاتتان، روی لینک زیر کلیک نمایید:

🔗https://apk-group.porsline.ir/s/DAhH6Dem🌐

آیدی کانال:@apkgroup_ir

مرکز CERT شرکت امن‌پردازان کویر (APK)

🔗 برای سهولت استفاده، لیست کامل IPها در یک فایل متنی جداگانه نیز ضمیمه شده تا تیم‌های فنی بتوانند آن را مستقیماً در سامانه‌های امنیتی بارگذاری کنند.

.................‌...............
🔴 جهت دریافت مشاوره یا پاسخ سوالاتتان، روی لینک زیر کلیک نمایید:

🔗https://apk-group.porsline.ir/s/DAhH6Dem🌐

آیدی کانال:@apkgroup_ir

مرکز CERT شرکت امن‌پردازان کویر (APK)

🚨 بحران امنیت سایبری OT: میراثی که خطوط دفاعی را می‌شکند! 🚨

آیا می‌دانستید حملات سایبری به محیط‌های عملیاتی (OT) در صنایع حیاتی (نفت و گاز، تولید، پزشکی) بیش از ۵۰٪ افزایش یافته و هزینه‌های اختلال ناشی از آن تا سال ۲۰۲۵ به ۱۰ تریلیون دلار می‌رسد؟ این یک دغدغه جهانی و فوق‌العاده جدی است!

تیم امن‌پردازان کویر (APK) با حضور فعال در نشست‌های بین‌المللی GITEX ۲۰۲۵، خلاصه‌ای تحلیلی از مباحث مطرح شده در پنل تخصصی تهدیدات OT/IoT را برای شما آماده کرده است.

به دلیل رسالت ما در ارتقای سطح امنیت سایبری کشور، این مقاله ریشه‌های بحران را از نگاه جهانی بررسی می‌کند:

🔴 ریشه اصلی: همگرایی ناگزیر IT و OT.

🔴 بزرگترین چالش: سیستم‌های قدیمی (Legacy) که عمرشان ۲۰ تا ۲۵ سال است و پچ نمی‌شوند.

🔴 راهکار محوری: استفاده از هوش مصنوعی (AI) برای تشخیص تغییرات ظریف و بستن شکاف بین "امن بودن" و "منطبق بودن".

این نشست با حضور افراد سرشناسی مانند:
✔️ Dimitris Vergos (معاون مهندسی Splunk)

✔️ Amir Vashkover (رئیس امنیت داده‌ها Philips)

✔️ Darweesh Al-Buainain (مدیر فنی SATORP)

✔️ Bill Lapp (مدیر ارشد فناوری Zscaler) برگزار شد.

⚠️ برای درک کامل دلایل بحران، چالش‌های میراث و استراتژی‌های دفاعی پیشرفته، حتماً این مقاله را مطالعه کنید.

لینک مقاله کامل:
https://apk-group.net/kb/network-security/ot-challenge

.................‌...............
🔴 جهت دریافت مشاوره یا پاسخ سوالاتتان، روی لینک زیر کلیک نمایید:

🔗https://apk-group.porsline.ir/s/DAhH6Dem🌐

آیدی کانال:@apkgroup_ir

شرکت امن‌پردازان کویر (APK)

🚨 هشدار امنیتی جدی برای تمام کسب‌وکارها: هوش مصنوعی، کوانتوم و زیرساخت‌های قدیمی!

🔴 این دیگر یک پیش‌بینی نیست، یک واقعیت است!
در نشست‌های اخیر مدیران ارشد امنیت سایبری جهان در GITEX ۲۰۲۵، متخصصان به یک اجماع نگران‌کننده رسیدند: آینده مالی و سازمانی با یک تهدید سه‌گانه روبروست که بقای سیستم‌های موجود را به خطر می‌اندازد.
این دغدغه، اکنون به جدی‌ترین اولویت امنیتی در دنیا تبدیل شده است.

در یکی از نشست‌های مهم، افراد سرشناسی چون:

✔️جاناتان اِی کوی (رئیس امنیت سایبری DFSA - رگولاتور مالی دبی)

✔️آری (مدیرعامل بانک ملی بحرین)

✔️لورنزو دامروسی (مسئول امنیت منطقه‌ای Rochester and Go Bank)

✔️محمد زات (CISO گروه در PMO)

حضور داشتند و استراتژی‌های دفاعی خود را در برابر چالش‌های زیر به اشتراک گذاشتند:

🟢قدرت گرفتن کلاهبرداری‌های مبتنی بر AI (Deepfakes و فیشینگ هوشمند).

🟢 نحوه مدیریت زیرساخت‌های Legacy (سیستم‌های قدیمی) که آسیب‌پذیرند.

🟢 آمادگی برای تهدید "اکنون جمع‌آوری کن، بعداً رمزگشایی کن" کوانتومی.

⚠️ مقاله تحلیلی و راهکارهای کامل تیم CERT امن‌پردازان کویر را همین حالا مطالعه کنید.

🔗 لطفا برای خواندن مقاله اینجا کلیک کنید

.................‌...............
جهت دریافت مشاوره یا پاسخ سوالاتتان، روی لینک زیر کلیک نمایید:
🔗 ارسال درخواست

آیدی کانال:@apkgroup_ir

مرکز CERT شرکت امن‌پردازان کویر (APK)

🚨 آیا می‌دانید کشورهای پیشرو جهان چگونه از زیرساخت‌های دیجیتال خود در مقیاس ملی محافظت می‌کنند؟

ما در تیم CERT امن‌پردازان کویر، مهم‌ترین استراتژی‌های ملی دو کشور پیشرو — هند و امارات متحدهٔ عربی — را بررسی کرده‌ایم.

در این تحلیل، چهره‌های کلیدی امنیت سایبری این دو کشور از جمله:

• 🇮🇳 سِری ناوین کومار سینگ – هماهنگ‌کنندهٔ امنیت سایبری ملی هند

• 🇦🇪 دکتر محمد الکویتی – رئیس امنیت سایبری دولت امارات متحدهٔ عربی

دیدگاه‌های ارزشمندی را دربارهٔ موضوعات زیر ارائه داده‌اند:

• 🔒 ساختار «امنیت در طراحی» هند (Aadhaar و UPI) و تجربهٔ تحول دیجیتال ایمن

• 🌐 رویکرد «کلان‌ملی» امارات و پنج ستون اصلی امنیت سایبری این کشور

• 🤝 نقش اشتراک‌گذاری اطلاعات میان دولت، بخش خصوصی و جامعهٔ فنی در مقابله با تهدیدات محوشونده

این مطلب صرفاً یک گزارش نیست، بلکه نقشهٔ راهی برای هر سازمان ایرانی است که می‌خواهد در دنیای دیجیتال امروز، پایدار و انعطاف‌پذیر بماند.

⚠️ مقالهٔ کامل و تحلیلی را بخوانید تا با استراتژی‌های ملی هند و امارات در مسیر تاب‌آوری سایبری آشنا شوید:
🔗 لینک مقاله کامل:
لطفا برای خواندن مقاله اینجا کلیک کنید

.................‌...............
آیدی کانال:@apkgroup_ir

مرکز CERT شرکت امن‌پردازان کویر (APK)

🚨 اطلاعیه شماره سی و دو

یک آسیب‌پذیری بحرانی با شناسه CVE-2025-59287 در تاریخ ۲ آبان ۱۴۰۴ (۲۴ اکتبر ۲۰۲۵) کشف شده است. این نقص در سرویس Windows Server Update Services (WSUS) وجود دارد و به مهاجم از راه دور اجازه می‌دهد بدون نیاز به احراز هویت، کد دلخواه خود را روی سرور اجرا کند. درجه اهمیت این آسیب‌پذیری توسط منابع رسمی «بحرانی (Critical)» اعلام شده است.

این آسیب‌پذیری از نوع Deserialization of Untrusted Data است؛ به بیان ساده، سرویس WSUS هنگام دریافت برخی داده‌ها از کلاینت‌ها یا دیگر سیستم‌ها، آن‌ها را بدون بررسی کافی پردازش می‌کند. مهاجم می‌تواند با ارسال داده‌ای دست‌کاری‌شده، باعث شود سرور WSUS در زمان پردازش، کد مخرب او را با سطح دسترسی SYSTEM اجرا کند.

به دلیل این‌که برای بهره‌برداری از این ضعف نیازی به ورود (نام کاربری یا رمز عبور) وجود ندارد و ارتباط WSUS معمولاً روی پورت‌های TCP 8530 و 8531 فعال است، در صورت در معرض بودن این پورت‌ها، مهاجم می‌تواند از راه دور کنترل کامل سرور را به دست گیرد.

طبق گزارش منابع، نمونه‌های اکسپلویت (PoC) منتشر شده و موارد بهره‌برداری واقعی نیز مشاهده شده است؛ بنابراین این نقص باید با اولویت بسیار بالا مدیریت و رفع شود.

⚠️ لذا با توجه به ماهیت این آسیب‌پذیری و شواهد بهره‌برداری فعال، احتمال استفادهٔ آن در حملات هدفمند یا گسترده بسیار بالا ارزیابی می‌شود.

🔴 بنابراین انجام موارد زیر باید با اولویت بسیار بالا در دستور کار قرار گیرد:

🔹️ به‌روزرسانی فوری تمامی سرورهای WSUS و سرورهای ویندوزی دارای نقش UpdateServices

• وصلهٔ امنیتی مربوط به CVE-2025-59287 را فوراً از مایکروسافت دریافت و نصب نمایید (Windows Update / Microsoft Update Catalog).

🔹️ اگر امکان نصب پچ بلافاصله وجود ندارد — کاهش ریسک موقت:

• دسترسی شبکه‌ای به پورت‌های TCP 8530 و 8531 را از شبکه‌های غیرقابل‌اعتماد (از جمله اینترنت) مسدود کنید.

• تنها آدرس‌های IP/شبکه‌های داخلی مدیریت‌شده را مجاز نگه دارید (ACL / Firewall).

• در صورت ضرورت و تا زمان اعمال وصله، سرویس WSUS را موقتاً متوقف کنید:

Stop-Service -Name WsusService -Force

• بررسی کنید نقش WSUS نصب شده است یا خیر:

Get-WindowsFeature -Name UpdateServices

🔹️ رصد و ایجاد داشبوردهای تشخیصی:

• داشبوردی برای شناسایی درخواست‌های غیرعادی به endpointهای WSUS (مانند /ClientWebService/ و /Selfupdate/) و پورت‌های 8530/8531 ایجاد کنید.

• تمرکز بر روی اتصالات از منابع ناشناس، درخواست‌های با User-Agent غیرمتعارف و رخدادهای خطا یا crash در سرویس WSUS باشد.

• لاگ‌های IIS، Event Viewer (Application/System) و EDR را برای رفتارهای پس از نفوذ (اجرای PowerShell مشکوک، دانلود فایل، ایجاد وب‌شل) بررسی کنید.

🔹️ محدودسازی و سخت‌سازی دسترسی به سرویس‌های مدیریتی:

• از قرار دادن WSUS و دیگر سرویس‌های مدیریتی (SCCM، RDP و غیره) مستقیم در معرض اینترنت خودداری کنید.

• دسترسی مدیریتی را فقط از طریق شبکه‌های امن (VPN / Jump Host) مجاز نمایید.

• شبکه را بخش‌بندی (Network Segmentation) کنید و اصل Least-Privilege را برای بخش‌های مدیریتی اعمال نمایید.

🔹️ اقدامات پس از بهره‌برداری احتمالی:

• در صورت مشاهده هرگونه نشانه نفوذ، فوراً فرایندهای IR را فعال کنید: ایزوله‌سازی سرور، جمع‌آوری لاگ‌ها و شواهد، تهیه تصویربرداری از حافظه/فایل‌ها و بررسی lateral movement.

• اسکن کامل فایل‌ها/فرایندها با EDR/AV و بررسی تغییرات پیکربندی انجام شود.

• در صورت نیاز به کمک فنی یا مشاوره در عملیات واکنش، با مرکز CERT تماس بگیرید.

🔍 نشانه‌های احتمالی حمله (IoCs)

• درخواست‌های غیرعادی یا پرتعداد به پورت‌های 8530 و 8531 از آدرس‌های خارجی/ناشناخته

• پردازه‌های مشکوک به‌سرعت ایجاد شده تحت w3wp.exe یا WsusService.exe

• افزایش ناگهانی در لاگ‌های خطا، کرش یا ری‌استارت سرویس WSUS

• رفتارهای پس از نفوذ: دانلود باینری از منابع ناشناس، اجرای PowerShell با دستورات مشکوک، ایجاد ارتباطات خروجی غیرمعمول

🧰 توصیه‌های تکمیلی

• فرآیند Patch Management را بازبینی کنید تا وصله‌های اضطراری در اولویت نصب قرار گیرند.

• از قرار دادن سرویس‌های به‌روزرسانی و مدیریتی در معرض اینترنت خودداری کنید؛ در صورت ضرورت از فیلترها و VPN استفاده نمایید.

• گزارش و اطلاع‌رسانی سریع هر مورد مشکوک برای جلوگیری از گسترش نفوذ در شبکه ضروری است.
.................‌...............

آیدی کانال:@apkgroup_ir

مرکز CERT شرکت امن‌پردازان کویر (APK)

🚨 بزرگ‌ترین دغدغهٔ مدیران عامل جهان در سال ۲۰۲۵: «بهای اطمینان» سایبری چقدر است؟

⚠️ تیم CERT امن‌پردازان کویر محتوای کلیدی گفت‌وگوهای جهانی امنیت سایبری در سال ۲۰۲۵ را رمزگشایی کرد!

آیا می‌دانستید که امنیت سایبری برای بسیاری از مدیران اجرایی (CEOها) تبدیل به یک «بوگی‌من ناشناخته» شده است؟
در تازه‌ترین نشست‌های بین‌المللی حوزهٔ فناوری و امنیت سایبری، کارشناسان برجسته‌ای از جمله کوری (Cory) از Rapid7 و همچنین وزرای فناوری و مدیران ارشد شرکت‌هایی مانند Siemens و Cisco، به‌صراحت دربارهٔ چالش‌های واقعی دفاع سایبری سخن گفتند.

🔹 مهم‌ترین نکات این گفت‌وگوهای تخصصی:

• انقلاب هوش مصنوعی: چگونه AI بهره‌وری تحلیل‌گران امنیتی را بیش از دو برابر کرده است؟
• بحران اعتماد: چرا مدیران عامل هزینه می‌کنند اما به اطمینان نمی‌رسند؟ بهای واقعی این اطمینان چیست؟
• راز انعطاف‌پذیری: بهترین راهکار برای تقویت تاب‌آوری سازمانی، فراتر از خرید ابزارهای گران‌قیمت چیست؟ (پاسخ در یک کلمه است: انضباط!)

این یک دغدغهٔ جهانی است و پاسخ آن در دل فرهنگ و مدیریت قوی سازمان‌ها نهفته است.

📘 مقالهٔ کامل و تخصصی تیم CERT امن‌پردازان کویر را از دست ندهید.

🔗 لینک مقاله کامل:
لطفا برای خواندن مقاله اینجا کلیک کنید

.................‌...............

آیدی کانال:@apkgroup_ir

مرکز CERT شرکت امن‌پردازان کویر (APK)

🚨 اخطار حیاتی: Word اطلاعات شما را بدون اجازه به Cloud می‌فرستد!

🔴 تغییر بزرگ و بی‌سروصدا در Microsoft Word: از این پس، اسناد جدید شما به صورت پیش‌فرض و خودکار در فضای ابری OneDrive ذخیره می‌شوند، حتی قبل از اینکه نامی برای فایل انتخاب کنید!

در این ویدیو، نحوه غیرفعال‌سازی فوری این قابلیت توسط مدیران IT ، تیم‌های SOC و کاربران عادی را گام به گام توضیح داده‌ایم.

.................‌...............

آیدی کانال:@apkgroup_ir

شرکت امن‌پردازان کویر (APK)

🟢 گزارش ماهیانه IPهای مخرب شناسایی شده توسط تیم CERT

⚠️ با افزایش روزافزون تهدیدات سایبری، تیم CERT شرکت امن‌پردازان کویر به‌صورت آنی و بلادرنگ اقدام به گردآوری، تحلیل و پایش IPهای مخرب شناسایی‌شده در مراکز تحت پوشش می‌کند.

این داده‌ها علاوه بر انتشار لحظه‌ای در زیرساخت اختصاصی CTI، در قالب گزارش‌های ماهانه نیز برای ارتقای آگاهی و تقویت دفاع سایبری سازمان‌ها ارائه می‌شود.

🔵 اقدامات پیشنهادی:

📌 تیم‌های IT: به‌روزرسانی فایروال و IDS/IPS، مسدودسازی IPهای مخرب، بررسی لاگ‌ها و اطلاع‌رسانی داخلی.

📌 تیم‌های SOC: مانیتورینگ مداوم، افزودن لیست به TIP/SIEM، تحلیل رفتار تهدیدات و اولویت‌دهی در Incident Response.

هدف ما، کمک به تصمیم‌گیری سریع‌تر، افزایش سطح امنیت و آمادگی در برابر تهدیدات است.

.................‌...............

آیدی کانال:@apkgroup_ir

مرکز CERT شرکت امن‌پردازان کویر (APK)

🔗 برای سهولت استفاده، لیست کامل IPها در یک فایل متنی جداگانه نیز ضمیمه شده تا تیم‌های فنی بتوانند آن را مستقیماً در سامانه‌های امنیتی بارگذاری کنند.

.................‌...............

آیدی کانال:@apkgroup_ir

مرکز CERT شرکت امن‌پردازان کویر (APK)

🚨 هشدار ۲۰۲۶: اعتماد شما، بزرگترین حفره امنیتی است!
در عصری که هوش مصنوعی مرز میان انسان و ماشین را پاک کرده، دفاع سایبری دیگر کار ابزارهای قدیمی نیست. خطر، نه در فایروال، بلکه در اعتماد ما پنهان است.

⚠️ دو چالش فنی حیاتی که بازی را عوض می‌کنند:

تهاجم Agentic AI: مهاجمان با Agentic AI، موانع فنی ورود را نابود کرده‌اند. انتظار موج عظیمی از حملات خودکار و سریع را داشته باشید که متوقف کردن آنها بدون پاسخ خودکار (Autonomous Response) غیرممکن است.

خطر کوانتوم: حتی اگر سیستم‌های شما امروز امن باشند، حمله HNDL (ذخیره کن، بعداً رمزگشایی کن) به معنای آن است که داده‌های رمزنگاری شده فعلی شما، هدف آینده کوانتومی هستند.

🛡️ استراتژی کلان: استقرار سیستم فرماندهی سایبری AI.

بخوانید که چطور با یک استراتژی AI-First، نه تنها فریب‌های Deepfake Vishing را خنثی کنید، بلکه با استفاده از مدل‌های رفتاری (Behavioral Models)، زمان واکنش را به صفر برسانید و زیرساخت خود را برای رمزنگاری پسا-کوانتومی (PQC) آماده کنید.

آینده امنیت اینجاست. آماده باشید یا قربانی!

📘 برای مشاهده ۴ پیش‌بینی تکان‌دهنده ۲۰۲۶ و استراتژی AI-محور، همین حالا کلیک کنید:

🔗 لینک مقاله کامل:
لطفا برای خواندن مقاله اینجا کلیک کنید

..................‌...............

آیدی کانال:@apkgroup_ir

شرکت امن‌پردازان کویر (APK)

🚨 هشدار فوری امنیتی: رمزهای عبور و کدهای 2FA شما در خطرند!

⚠️ آسیب‌پذیری بحرانی در افزونه‌های مدیریت رمز عبور
تحقیقات امنیتی نشان می‌دهد که ده‌ها میلیون کاربر افزونه‌های پرکاربرد مدیریت رمز عبور (Password Managers)، هدف یک حمله خطرناک به نام "کلیک‌جکینگ" هستند.

این نقص امنیتی به هکرها اجازه می‌دهد تا با استفاده از یک فریب ساده (قرار دادن یک لایه نامرئی روی دکمه تکمیل خودکار افزونه)، کدهای احراز هویت دو عاملی (2FA) و رمزهای عبور شما را به سرقت ببرند.

💥 سازوکار حمله:
شما با کلیک روی یک عنصر فریبنده (مثل بنر کوکی‌ها)، در واقع به‌طور ناخواسته افزونه را مجبور به تکمیل خودکار اطلاعات حساس در فرم‌های مخفی‌شده می‌کنید.

۴ اقدام حیاتی برای حفاظت:

🚫 غیرفعال کردن تکمیل خودکار (Autofill): آن را کاملاً خاموش کنید و از کپی/پیست دستی استفاده کنید.

🔑 تفکیک 2FA: کدهای 2FA خود را در برنامه‌ها یا کلیدهای فیزیکی امنیتی جداگانه ذخیره کنید. هرگز 2FA و رمز عبور را در یک جا نگهداری نکنید!

🔄 به‌روزرسانی فوری: افزونه خود را به آخرین نسخه موجود به‌روزرسانی کنید.

🔒 محدود کردن دسترسی: در تنظیمات، دسترسی افزونه را به حالت "فقط با کلیک دستی" (On click) تنظیم کنید.

.................‌...............

آیدی کانال:@apkgroup_ir

شرکت امن‌پردازان کویر (APK)