🔴 یک محقق امنیتی بنام Jatin Banga متوجه شده که اینستاگرام، برای اکانتهای خصوصی، برخی تصاویر و توضیحاتشون رو، بصورت عمومی در کد HTML نشت میده.
وقتی کاربری به یک اکانت خصوصی مراجعه میکنه، اینستاگرام پیام استاندارد " این حساب خصوصی است. برای دیدن عکسها و ویدیوهای او، او را دنبال کنید. " رو نمایش میده. با این حال، در سورس کد HTML پروفایلهای آسیب دیده، لینکهایی به برخی از عکسهای خصوصی و همچنین توضیحات وجود داره. (در شی json با عنوان polaris_timeline_connection)
این محقق 12 اکتبر 2025، آسیب پذیری رو به متا گزارش کرده اما این شرکت بعد از بررسی، بدلیل عدم بازتولید آسیب پذیری، اون رو رد کرده. نکته کنکوری این هستش که، اکسپلویت از 16 اکتبر دیگه کار نکرده و گویا متا بصورت مخفی اون رو اصلاح کرده.
این محقق هم برای شفافیت، بعد از 102 روز، آسیب پذیری رو عمومی کرده.
با توجه به اینکه پیدا کردن این آسیب پذیری ساده بوده، مشخص نیست چه مدتی مورد سوء استفاده قرار گرفته.
#باگ_بانتی #اینستاگرام
#bugbounty #Instagram
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
وقتی کاربری به یک اکانت خصوصی مراجعه میکنه، اینستاگرام پیام استاندارد " این حساب خصوصی است. برای دیدن عکسها و ویدیوهای او، او را دنبال کنید. " رو نمایش میده. با این حال، در سورس کد HTML پروفایلهای آسیب دیده، لینکهایی به برخی از عکسهای خصوصی و همچنین توضیحات وجود داره. (در شی json با عنوان polaris_timeline_connection)
این محقق 12 اکتبر 2025، آسیب پذیری رو به متا گزارش کرده اما این شرکت بعد از بررسی، بدلیل عدم بازتولید آسیب پذیری، اون رو رد کرده. نکته کنکوری این هستش که، اکسپلویت از 16 اکتبر دیگه کار نکرده و گویا متا بصورت مخفی اون رو اصلاح کرده.
این محقق هم برای شفافیت، بعد از 102 روز، آسیب پذیری رو عمومی کرده.
با توجه به اینکه پیدا کردن این آسیب پذیری ساده بوده، مشخص نیست چه مدتی مورد سوء استفاده قرار گرفته.
#باگ_بانتی #اینستاگرام
#bugbounty #Instagram
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
Medium
I Found a Bug That Exposed Private Instagram Posts to Anyone.
In October 2025, I discovered a server-side vulnerability in Instagram that allowed completely unauthenticated access to private account…
❤2
🔴 مایکروسافت اعلام کرده که به دلیل آسیبپذیریهای امنیتی که سازمانها رو در معرض حملات سایبری قرار میده، پروتکل احراز هویت NTLM، که ۳۰ سال قدمت داره رو، در نسخههای بعدی ویندوز بصورت پیشفرض غیرفعال خواهد کرد.
پروتکل NTLM (مخفف New Technology LAN Manager) یک پروتکل احراز هویت challenge-response هستش که در سال ۱۹۹۳ با ویندوز NT 3.1 معرفی و جانشین پروتکل LAN Manager (LM) شد.
پروتکل کربروس (Kerberos) جایگزین NTLM شده و حالا پروتکل پیشفرض برای دستگاههای متصل به دامنه هستش که از ویندوز ۲۰۰۰ یا نسخههای جدیدتر استفاده میکنن.
اگرچه NTLM پروتکل پیشفرض در نسخههای قدیمیتر ویندوز بود، اما امروزه به عنوان روش احراز هویت پشتیبان در مواقعی که کربروس در دسترس نیست، مورد استفاده قرار میگیره، حتی با وجود اینکه از رمزنگاری ضعیف استفاده میکنه و در برابر حملات آسیبپذیر هستش.
از زمان معرفی، NTLM بطور گسترده در حملات NTLM relay مورد سوءاستفاده قرار گرفته. در این حملات، دستگاههای شبکه آسیبدیده رو مجبور میکنن تا در برابر سرورهای تحت کنترل مهاجم احراز هویت کنن تا بتونن سطح دسترسی خودشون رو ارتقا داده و کنترل کامل دامنه رو بدست بیارن. با وجود این، NTLM همچنان در سرورهای ویندوز استفاده میشه و به مهاجمان اجازه میده تا از آسیبپذیریهایی مانند PetitPotam، ShadowCoerce، DFSCoerce و RemotePotato0 برای دور زدن اقدامات کاهشی حملات NTLM relay استفاده کنن.
این پروتکل همچنین هدف حملات pass-the-hash بوده، که در آن از آسیبپذیریهای سیستمی یا بدافزار، برای سرقت هشهای NTLM از سیستمهای هدف استفاده میکنن. این پسوردهای هششده برای احراز هویت مورد استفاده قرار میگیره و به مهاجمان اجازه میده تا دادههای حساس رو سرقت کرده و در شبکه، حرکت جانبی کنن.
مایکروسافت یک برنامه گذار سهمرحلهای رو برای کاهش خطرات مرتبط با NTLM و در عین حال به حداقل رساندن اختلالات، تشریح کرده:
مرحله اول: مدیران سیستم میتونن از ابزارهای موجود در Windows 11 24H2 و Windows Server 2025 برای شناسایی مکانهایی که NTLM همچنان استفاده میشه، استفاده کنن.
مرحله دوم (برنامهریزی شده برای نیمه دوم ۲۰۲۶): ویژگیهای جدیدی مانند IAKerb و یک Local Key Distribution Center برای رسیدگی به سناریوهای رایجی که باعث بازگشت به NTLM میشه، معرفی خواهد شد.
مرحله سوم: احراز هویت شبکه NTLM بطور پیشفرض در نسخههای بعدی غیرفعال خواهد شد، اگرچه پروتکل همچنان در سیستمعامل وجود خواهد داشت و در صورت لزوم میشه اون رو بطور صریح از طریق کنترلهای سیاست (policy controls) مجددا فعال کرد.
#مایکروسافت #ویندوز
#Microsoft #Windows #NTLM
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
پروتکل NTLM (مخفف New Technology LAN Manager) یک پروتکل احراز هویت challenge-response هستش که در سال ۱۹۹۳ با ویندوز NT 3.1 معرفی و جانشین پروتکل LAN Manager (LM) شد.
پروتکل کربروس (Kerberos) جایگزین NTLM شده و حالا پروتکل پیشفرض برای دستگاههای متصل به دامنه هستش که از ویندوز ۲۰۰۰ یا نسخههای جدیدتر استفاده میکنن.
اگرچه NTLM پروتکل پیشفرض در نسخههای قدیمیتر ویندوز بود، اما امروزه به عنوان روش احراز هویت پشتیبان در مواقعی که کربروس در دسترس نیست، مورد استفاده قرار میگیره، حتی با وجود اینکه از رمزنگاری ضعیف استفاده میکنه و در برابر حملات آسیبپذیر هستش.
از زمان معرفی، NTLM بطور گسترده در حملات NTLM relay مورد سوءاستفاده قرار گرفته. در این حملات، دستگاههای شبکه آسیبدیده رو مجبور میکنن تا در برابر سرورهای تحت کنترل مهاجم احراز هویت کنن تا بتونن سطح دسترسی خودشون رو ارتقا داده و کنترل کامل دامنه رو بدست بیارن. با وجود این، NTLM همچنان در سرورهای ویندوز استفاده میشه و به مهاجمان اجازه میده تا از آسیبپذیریهایی مانند PetitPotam، ShadowCoerce، DFSCoerce و RemotePotato0 برای دور زدن اقدامات کاهشی حملات NTLM relay استفاده کنن.
این پروتکل همچنین هدف حملات pass-the-hash بوده، که در آن از آسیبپذیریهای سیستمی یا بدافزار، برای سرقت هشهای NTLM از سیستمهای هدف استفاده میکنن. این پسوردهای هششده برای احراز هویت مورد استفاده قرار میگیره و به مهاجمان اجازه میده تا دادههای حساس رو سرقت کرده و در شبکه، حرکت جانبی کنن.
مایکروسافت یک برنامه گذار سهمرحلهای رو برای کاهش خطرات مرتبط با NTLM و در عین حال به حداقل رساندن اختلالات، تشریح کرده:
مرحله اول: مدیران سیستم میتونن از ابزارهای موجود در Windows 11 24H2 و Windows Server 2025 برای شناسایی مکانهایی که NTLM همچنان استفاده میشه، استفاده کنن.
مرحله دوم (برنامهریزی شده برای نیمه دوم ۲۰۲۶): ویژگیهای جدیدی مانند IAKerb و یک Local Key Distribution Center برای رسیدگی به سناریوهای رایجی که باعث بازگشت به NTLM میشه، معرفی خواهد شد.
مرحله سوم: احراز هویت شبکه NTLM بطور پیشفرض در نسخههای بعدی غیرفعال خواهد شد، اگرچه پروتکل همچنان در سیستمعامل وجود خواهد داشت و در صورت لزوم میشه اون رو بطور صریح از طریق کنترلهای سیاست (policy controls) مجددا فعال کرد.
#مایکروسافت #ویندوز
#Microsoft #Windows #NTLM
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
TECHCOMMUNITY.MICROSOFT.COM
Advancing Windows security: Disabling NTLM by default - Windows IT Pro Blog
Learn how Windows is moving toward an NTLM-independent future with enhanced auditing, Kerberos enhancements, and a phased roadmap.
❤5
🔴 مجریان قانون از یوروپل، Eurojust، اینترپل و به رهبری ایتالیا، عملیاتی علیه 3 سرویس ارائه دهنده ی IPTV محبوب با عناوین IPTVItalia، migliorIPTV و DarkTV انجام دادن. تمرکز عملیات در ایتالیا بوده، چون میزبان بازیهای المپیک زمستانی 2026 هستش.
علاوه بر توقیف زیرساختها، 31 نفر دستگیر شدن و عملیات در ۱۱ شهر و ۱۴ کشور انجام شده.
این سرویسها، محتوای Sky، DAZN، Mediaset، Amazon Prime، Netflix، Paramount و Disney+ رو بصورت غیرقانونی ارائه میدادن.
وزارت دادگستری آمریکا هم از انهدام سه سرویس Pirate در بلغارستان خبر داده که روی دامنههای توقیف شده zamunda\net، arenabg\com و zelka\org فعال بودن. این سایتها کپیهای غیرقانونی آثار شرکتهای آمریکایی، از جمله فیلمها، سریالهای تلویزیونی، بازیهای ویدیویی، نرمافزار و کتب الکترونیکی رو توزیع میکردن.
این سه پورتال در بلغارستان بسیار محبوب بودن و در میان ۱۰ دامنه پربازدید کشور قرار داشتن و ترافیک اینترنتی عظیمی رو ایجاد میکردن که به اپراتورهاشون کمک میکرد تا از طریق تبلیغات درآمد کسب کنن.
#Pirate #IPTV
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
علاوه بر توقیف زیرساختها، 31 نفر دستگیر شدن و عملیات در ۱۱ شهر و ۱۴ کشور انجام شده.
این سرویسها، محتوای Sky، DAZN، Mediaset، Amazon Prime، Netflix، Paramount و Disney+ رو بصورت غیرقانونی ارائه میدادن.
وزارت دادگستری آمریکا هم از انهدام سه سرویس Pirate در بلغارستان خبر داده که روی دامنههای توقیف شده zamunda\net، arenabg\com و zelka\org فعال بودن. این سایتها کپیهای غیرقانونی آثار شرکتهای آمریکایی، از جمله فیلمها، سریالهای تلویزیونی، بازیهای ویدیویی، نرمافزار و کتب الکترونیکی رو توزیع میکردن.
این سه پورتال در بلغارستان بسیار محبوب بودن و در میان ۱۰ دامنه پربازدید کشور قرار داشتن و ترافیک اینترنتی عظیمی رو ایجاد میکردن که به اپراتورهاشون کمک میکرد تا از طریق تبلیغات درآمد کسب کنن.
#Pirate #IPTV
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
BleepingComputer
Operation Switch Off dismantles major pirate TV streaming services
The latest phase of the global law enforcement action resulted in seizing three industrial-scale illegal IPTV services.
❤8
🔴 یک هکر هلندی، یکی از کارکنان بندر رو متقاعد کرده که یک کیلاگر سخت افزاری (AirDrive USB Keylogger) رو وارد سیستم کنه، 15 ثانیه منتظر بشه و بعدش خارج کنه. با این کار هکر میتونسته کنترل از راه دور روی سیستمهای ورود کالا، باز کردن گیتها و ... داشته باشه .
با این دسترسی اقدام به قاچاق مواد مخدر از طریق بنادر، سرقت اسناد حساس و موارد دیگه کرده.
تیمهای امنیتی که بعدا سیستمها رو بررسی کردن، ادعا کردن که این بدافزار ماهها فعال بوده و قابلیتهای زیادی به مهاجم داده.
ایشون 210 کیلوگرم کوکائین قاچاق کرده و در مجموعه به 7 سال زندان محکوم شده.
#هلند #کیلاگر_سخت_افزاری
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
با این دسترسی اقدام به قاچاق مواد مخدر از طریق بنادر، سرقت اسناد حساس و موارد دیگه کرده.
تیمهای امنیتی که بعدا سیستمها رو بررسی کردن، ادعا کردن که این بدافزار ماهها فعال بوده و قابلیتهای زیادی به مهاجم داده.
ایشون 210 کیلوگرم کوکائین قاچاق کرده و در مجموعه به 7 سال زندان محکوم شده.
#هلند #کیلاگر_سخت_افزاری
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
❤20
🔴 اگر در زمینه ی توسعه ی اکسپلویت در ویندوز فعالیت کرده باشید یا به این حوزه علاقمند باشید، حتما اسم Corelan رو شنیدید.
آقای Peter Van Eeckhoutte (corelanc0d3r) بنیانگذار این موسسه هستن و یکسری آموزش و ابزار در زمینه ی توسعه اکسپلویت منتشر کردن.
یکی از کلاسهای معروفی که ایشون داره، HEAP MASTERCLASS هستش که قراره برای اولین بار در شهر استانبول ترکیه برگزار بشه.
کلاس طی 4 روز (23 الی 26 مارس/3 تا 6 فروردین 1405) برگزار میشه و بیش از 32 ساعت و هزینه ی 4,477 یورو داره. (بیش از 800 میلیون تومان 😭)
برای مشاهده ی سرفصلها، جزییات و شرایط ثبت نام، از سایت رسمی دوره دیدن کنید.
#توسعه_اکسپلویت
#Corelan #ExploitDev
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
آقای Peter Van Eeckhoutte (corelanc0d3r) بنیانگذار این موسسه هستن و یکسری آموزش و ابزار در زمینه ی توسعه اکسپلویت منتشر کردن.
یکی از کلاسهای معروفی که ایشون داره، HEAP MASTERCLASS هستش که قراره برای اولین بار در شهر استانبول ترکیه برگزار بشه.
کلاس طی 4 روز (23 الی 26 مارس/3 تا 6 فروردین 1405) برگزار میشه و بیش از 32 ساعت و هزینه ی 4,477 یورو داره. (بیش از 800 میلیون تومان 😭)
برای مشاهده ی سرفصلها، جزییات و شرایط ثبت نام، از سایت رسمی دوره دیدن کنید.
#توسعه_اکسپلویت
#Corelan #ExploitDev
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
Hackersacademy
Corelan Heap Exploit Development Masterclass
❤14
OnHex
🔴 ضعف امنیتی در بروزرسانی ++Notepad نرم افزار ++Notepad برای بروزرسانی خودش از GUP.exe (WinGUp) استفاده میکنه. فرایند بروزرسانی هم اینطوریه که درخواستی به این آدرس ارسال میکنه: https://notepad-plus-plus.org/update/getDownloadUrl.php?version=<versionnumber>…
🔴 همانطور که قبلا اطلاع رسانی کرده بودم، مکانیزم بروزرسانی ++Notepad مورد سوء استفاده قرار گرفته بود و مهاجمین از این طریق اقدام به انتشار بدافزار کرده بودن. توسعه دهنده یکسری اقدامات امنیتی انجام داد و اعلام کرد که تحقیقاتی در این خصوص در حال انجام هستش و قرار شد، نتیجه رو اطلاع رسانی کنن.
حالا یک گزارشی منتشر کردن که مشخص شده نفوذ در سطح ارائه دهنده هاستینگ و احتمالا توسط یک گروه هکری چینی انجام شده. براساس بررسی لاگها احتمال میدن که هکرها از ژوئن تا ۲ دسامبر ۲۰۲۵ (6 ماه) به زیرساخت ++Notepad دسترسی داشتن و اقدام به توزیع بدافزار کردن.
اقدامات امنیتی که انجام دادن، به یک هاستینگ بهتر مهاجرت کردن. در خود برنامه هم، گواهی و امضای بروزرسانی رو بررسی میکنن. همچنین XML برگشتی از سرور بروزرسانی، حالا امضا شده (XMLDSig) و تأیید گواهی و امضا از نسخه آینده، v8.9.2 که حدود یک ماه دیگه منتشر میشه، اعمال خواهد شد.
در نهایت عذرخواهی کردن و توصیه کردن، نصب کننده v8.9.1 رو از سایت دانلود و دستی نصب کنید.
محققای کسپرسکی هم گزارشی منتشر و یکسری IOC ارائه کردن. در گزارش اشاره شده که در این حمله از یک آسیب پذیری که برای سال 2010 در ProShow هستش، استفاده کردن. همچنین در مجموع سه زنجیره آلودگی برای هدف قرار دادن موارد زیر رو مشاهده کردن:
- افراد واقع در ویتنام، السالوادور و استرالیا
- یک سازمان دولتی واقع در فیلیپین
- یک سازمان مالی واقع در السالوادور
- یک سازمان ارائهدهنده خدمات فناوری اطلاعات واقع در ویتنام
#بازیگران_تهدید
#NotepadPlusPlus
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
حالا یک گزارشی منتشر کردن که مشخص شده نفوذ در سطح ارائه دهنده هاستینگ و احتمالا توسط یک گروه هکری چینی انجام شده. براساس بررسی لاگها احتمال میدن که هکرها از ژوئن تا ۲ دسامبر ۲۰۲۵ (6 ماه) به زیرساخت ++Notepad دسترسی داشتن و اقدام به توزیع بدافزار کردن.
اقدامات امنیتی که انجام دادن، به یک هاستینگ بهتر مهاجرت کردن. در خود برنامه هم، گواهی و امضای بروزرسانی رو بررسی میکنن. همچنین XML برگشتی از سرور بروزرسانی، حالا امضا شده (XMLDSig) و تأیید گواهی و امضا از نسخه آینده، v8.9.2 که حدود یک ماه دیگه منتشر میشه، اعمال خواهد شد.
در نهایت عذرخواهی کردن و توصیه کردن، نصب کننده v8.9.1 رو از سایت دانلود و دستی نصب کنید.
محققای کسپرسکی هم گزارشی منتشر و یکسری IOC ارائه کردن. در گزارش اشاره شده که در این حمله از یک آسیب پذیری که برای سال 2010 در ProShow هستش، استفاده کردن. همچنین در مجموع سه زنجیره آلودگی برای هدف قرار دادن موارد زیر رو مشاهده کردن:
- افراد واقع در ویتنام، السالوادور و استرالیا
- یک سازمان دولتی واقع در فیلیپین
- یک سازمان مالی واقع در السالوادور
- یک سازمان ارائهدهنده خدمات فناوری اطلاعات واقع در ویتنام
#بازیگران_تهدید
#NotepadPlusPlus
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
Securelist
The Notepad++ supply chain attack – unnoticed execution chains and new IoCs
Kaspersky GReAT experts discovered previously undocumented infection chains used in the Notepad++ supply chain attacks. The article provides new IoCs related to those incidents which employ DLL sideloading and Cobalt Strike Beacon delivery.
❤6
🔴 گوگل یکسری ویژگی های امنیتی جدید به اندروید اضافه کرده:
قابلیت Failed Authentication Lock رو بهتر کرده. قابلیتی که در صورت تلاشهای مکرر و ناموفق برای باز کردن دستگاه، اون رو بطور خودکار قفل میکنه. حالا کاربران میتونن این قابلیت رو بصورت دستی از طریق تنظیمات فعال یا غیرفعال کنن.
قابلیت Identity Check رو گسترش دادن و در حال حاضر شامل تمام برنامهها و ویژگیهایی است که از سیستم تشخیص چهره یا اثر انگشت اندروید استفاده میکنن. این تغییر بطور خودکار از Google Password Manager و اپلیکیشنهای بانکی شخص ثالث محافظت میکنه.
گوگل همچنین سعی کرده از قفل شدن اشتباهی گوشی، مثلا وقتی که بچه ها از روی کنجکاوی چندین بار رمز اشتباه وارد میکنن، جلوگیری کنه. در این نسخه، تلاشهای اشتباه تصادفی در شمارش محدودیت تلاش لحاظ نمیشن و مدت زمان قفل اجباری پس از ورود اشتباه رمز افزایش یافته تا حدس زدن پسورد، الگو یا پین برای سارق دشوارتر بشه.
ابزار Remote Lock هم بروزرسانی شده. این ابزار به کاربران امکان میده گوشی گمشده یا دزدیده شده رو از هر مرورگری در آدرس android.com/lock قفل کنن. در نسخه جدید، گوگل یک مرحلهی امنیتی اضافی برای تأیید مالکیت دستگاه قبل از قفل کردناش اضافه کرده.
ابزارهای بازیابی پیشرفته برای دستگاههایی با سیستمعامل اندروید ۱۰ یا بالاتر در دسترس خواهند بود و ویژگیهای جدید احراز هویت نیازمند اندروید ۱۶ یا جدیدتر هستن.
#گوگل #اندروید
#Google #Android
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
قابلیت Failed Authentication Lock رو بهتر کرده. قابلیتی که در صورت تلاشهای مکرر و ناموفق برای باز کردن دستگاه، اون رو بطور خودکار قفل میکنه. حالا کاربران میتونن این قابلیت رو بصورت دستی از طریق تنظیمات فعال یا غیرفعال کنن.
قابلیت Identity Check رو گسترش دادن و در حال حاضر شامل تمام برنامهها و ویژگیهایی است که از سیستم تشخیص چهره یا اثر انگشت اندروید استفاده میکنن. این تغییر بطور خودکار از Google Password Manager و اپلیکیشنهای بانکی شخص ثالث محافظت میکنه.
گوگل همچنین سعی کرده از قفل شدن اشتباهی گوشی، مثلا وقتی که بچه ها از روی کنجکاوی چندین بار رمز اشتباه وارد میکنن، جلوگیری کنه. در این نسخه، تلاشهای اشتباه تصادفی در شمارش محدودیت تلاش لحاظ نمیشن و مدت زمان قفل اجباری پس از ورود اشتباه رمز افزایش یافته تا حدس زدن پسورد، الگو یا پین برای سارق دشوارتر بشه.
ابزار Remote Lock هم بروزرسانی شده. این ابزار به کاربران امکان میده گوشی گمشده یا دزدیده شده رو از هر مرورگری در آدرس android.com/lock قفل کنن. در نسخه جدید، گوگل یک مرحلهی امنیتی اضافی برای تأیید مالکیت دستگاه قبل از قفل کردناش اضافه کرده.
ابزارهای بازیابی پیشرفته برای دستگاههایی با سیستمعامل اندروید ۱۰ یا بالاتر در دسترس خواهند بود و ویژگیهای جدید احراز هویت نیازمند اندروید ۱۶ یا جدیدتر هستن.
#گوگل #اندروید
#Google #Android
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
❤4
🔴 اپل ویژگی امنیتی Limit Precise Location رو معرفی کرده که از iOS 26.3 یا نسخههای جدیدتر قابل دسترس هستش.
این ویژگی با محدود کردن اطلاعاتی که اپراتورهای تلفن همراه از طریق دکلها برای تشخیص موقعیت دستگاه استفاده میکنن، عمل میکنه. وقتی این گزینه فعال باشه، شبکه تلفن همراه فقط میتونه محل تقریبی دستگاه رو تشخیص بده.
این تنظیم فقط بر اطلاعات مکانیای که برای شبکههای تلفن همراه قابل دسترس است اثر میزاره و روی اطلاعات مکانی که شما از طریق Location Services با برنامهها به اشتراک میذارید تأثیری نداره. برای مثال، این قابلیت روی اشتراک موقعیت شما با دوستان یا خانواده از طریق Find My تأثیری نداره.
کاربران برای فعال کردن این گزینه باید مسیر زیر رو طی کنن:
پس از فعاسازی، ممکن دستگاه برای تکمیل فرآیند نیاز به ریستارت داشته باشه.
در حال حاضر، این قابلیت فقط روی مدلهای زیر کار میکنه (iOS 26.3 یا بالاتر):
iPhone Air
iPhone 16e
iPad Pro (M5) Wi Fi + Cellular
در دسترس بودن این قابلیت به پشتیبانی اپراتور بستگی داره. در حال حاضر شبکههای تلفن همراه زیر ازش پشتیبانی میکنن:
Telekom (آلمان)
EE و BT (بریتانیا)
Boost Mobile (آمریکا)
AIS و True (تایلند)
اگرچه اپل هنوز توضیح نداده چرا این قابلیت رو اضافه کرده، اما احتمالا این اقدام بیارتباط با جریمههای سنگینی نیست که FCC در آوریل ۲۰۲۴ برای اپراتورهای بزرگ آمریکایی در نظر گرفت. مبالغ این جریمهها عبارتند از:
۸۰ میلیون دلار برای T Mobile
۱۲ میلیون دلار برای Sprint (که اکنون با T Mobile ادغام شده)
بیش از ۵۷ میلیون دلار برای AT&T
نزدیک به ۴۷ میلیون دلار برای Verizon
#اپل
#Apple
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
این ویژگی با محدود کردن اطلاعاتی که اپراتورهای تلفن همراه از طریق دکلها برای تشخیص موقعیت دستگاه استفاده میکنن، عمل میکنه. وقتی این گزینه فعال باشه، شبکه تلفن همراه فقط میتونه محل تقریبی دستگاه رو تشخیص بده.
این تنظیم فقط بر اطلاعات مکانیای که برای شبکههای تلفن همراه قابل دسترس است اثر میزاره و روی اطلاعات مکانی که شما از طریق Location Services با برنامهها به اشتراک میذارید تأثیری نداره. برای مثال، این قابلیت روی اشتراک موقعیت شما با دوستان یا خانواده از طریق Find My تأثیری نداره.
کاربران برای فعال کردن این گزینه باید مسیر زیر رو طی کنن:
Settings → Cellular → Cellular Data Options → Limit Precise Location
پس از فعاسازی، ممکن دستگاه برای تکمیل فرآیند نیاز به ریستارت داشته باشه.
در حال حاضر، این قابلیت فقط روی مدلهای زیر کار میکنه (iOS 26.3 یا بالاتر):
iPhone Air
iPhone 16e
iPad Pro (M5) Wi Fi + Cellular
در دسترس بودن این قابلیت به پشتیبانی اپراتور بستگی داره. در حال حاضر شبکههای تلفن همراه زیر ازش پشتیبانی میکنن:
Telekom (آلمان)
EE و BT (بریتانیا)
Boost Mobile (آمریکا)
AIS و True (تایلند)
اگرچه اپل هنوز توضیح نداده چرا این قابلیت رو اضافه کرده، اما احتمالا این اقدام بیارتباط با جریمههای سنگینی نیست که FCC در آوریل ۲۰۲۴ برای اپراتورهای بزرگ آمریکایی در نظر گرفت. مبالغ این جریمهها عبارتند از:
۸۰ میلیون دلار برای T Mobile
۱۲ میلیون دلار برای Sprint (که اکنون با T Mobile ادغام شده)
بیش از ۵۷ میلیون دلار برای AT&T
نزدیک به ۴۷ میلیون دلار برای Verizon
#اپل
#Apple
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
Apple Support
Limit precise location from cellular networks - Apple Support
With the limit precise location setting, you can limit some information that cellular networks may use to determine your location. Available on compatible iPhone and iPad models with supported carriers.
❤4
OnHex
🔴 اینترنت بینالملل در ایران مدتی با اختلال شدید و قطع و وصلهای مکرر همراه بود و چند روزی هست که تا حدی در دسترس قرار گرفته. این مدت، بدلیل همین شرایط فعالیتی در کانال نداشتیم. راستش بیشتر از هر چیز، دلودماغش نبود؛ اینترنت و این مسائل شاید بهانهای باشه،…
🔴 بالاخره بعد از چند روز و کلی پست گذاشتن، اخبار مهم امنیت سایبری برای ماه ژانویه رو تکمیل کردم وکم کم وارد اخبار مرتبط با فوریه میشیم. یک چند روزی هم تحمل کنید، هم اخبار بروزتر میشه و هم پستها کمتر.
حالا کانال من، یک کانال رسمی نیست و صرفا فقط موضوع امنیت سایبری رو پوشش میده و وابستگی درآمدی هم به اون ندارم، وضعام اینه، خدا به داد تولید کننده های محتوا، خبرگزاری های حوزه فناوری و تکنوژلوژی برسه که چندین موضوع رو پوشش میدن، کارمند و ... دارن. انشالله این دوستان هم سریعتر سرپا بشن.
البته باز وضعیت اینترنت به شرایط قبل برنگشته و این روزا حالمون داغون، اعصاب داغون، اینترنت داغون و ... .
تنها چیزی که شاید یکمی دلمون رو خوش میکنه، بارندگی های اخیر باشه، که نشون میده خدا داره کارش میکنه و حواسش به ما هم هست.
مراقبت کنید🖤
#ایران
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
حالا کانال من، یک کانال رسمی نیست و صرفا فقط موضوع امنیت سایبری رو پوشش میده و وابستگی درآمدی هم به اون ندارم، وضعام اینه، خدا به داد تولید کننده های محتوا، خبرگزاری های حوزه فناوری و تکنوژلوژی برسه که چندین موضوع رو پوشش میدن، کارمند و ... دارن. انشالله این دوستان هم سریعتر سرپا بشن.
البته باز وضعیت اینترنت به شرایط قبل برنگشته و این روزا حالمون داغون، اعصاب داغون، اینترنت داغون و ... .
تنها چیزی که شاید یکمی دلمون رو خوش میکنه، بارندگی های اخیر باشه، که نشون میده خدا داره کارش میکنه و حواسش به ما هم هست.
مراقبت کنید🖤
#ایران
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
❤34
🔴 فردا دومین دوشنبه ماه فوریه هستش و در آمریکا، این روز رو بعنوان National Clean Out Your Computer Day در نظر میگیرن و در این روز کامپیوتر، لپ تاپ و ... رو از لحاظ فیزیکی و دیجیتالی پاکسازی میکنن.
چون یک کار پسندیده ای هستش، در برخی جاها همین روال رو اجرا میکنن یا یک روزی مشابه این روز رو برای خودشون دارن.
از لحاظ فیزیکی، مثلا :
- گرد و غبار رو از داخل کیس و کیبورد و ... پاک میکنن.
- سیمها و کابلها رو تمیز و مرتب میکنن.
- یک دستی به صفحه مونیتور میکشن.
- و ...
از لحاظ دیجیتالی هم:
- فایلها و برنامه هایی که نیاز ندارن رو پاک یا انتقال میدن.
- تاریخچه، Autofill، پسوردهای ذخیره شده در برنامه ها و مرورگرها رو پاک میکنن. (ایده بهتر استفاده Password Manager هستش)
- یک سر و سامانی به فولدر دانلود میدن.
- و ... .
این کارها هم باعث میشه، سیستم کمی سبک تر بشه و در نتیجه پردازش رو بهتر انجام بده و هم این واقعیت که شما هر چقدر داده شخصی و مهم در سیستم داشته باشید، در صورت نقض امنیتی، باج افزار، سرقت و ... ، بیشتر متضرر میشید. بنابراین پاکسازی یا انتقال اونا، میتونه در آینده کمک کننده باشه.
⚠️ اگه اقدام به پاکسازی کردید، مراقب باشید تا به سیستم، خودتون و داده ها آسیب نزنید.
#NationalCleanOutYourComputerDay
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
چون یک کار پسندیده ای هستش، در برخی جاها همین روال رو اجرا میکنن یا یک روزی مشابه این روز رو برای خودشون دارن.
از لحاظ فیزیکی، مثلا :
- گرد و غبار رو از داخل کیس و کیبورد و ... پاک میکنن.
- سیمها و کابلها رو تمیز و مرتب میکنن.
- یک دستی به صفحه مونیتور میکشن.
- و ...
از لحاظ دیجیتالی هم:
- فایلها و برنامه هایی که نیاز ندارن رو پاک یا انتقال میدن.
- تاریخچه، Autofill، پسوردهای ذخیره شده در برنامه ها و مرورگرها رو پاک میکنن. (ایده بهتر استفاده Password Manager هستش)
- یک سر و سامانی به فولدر دانلود میدن.
- و ... .
این کارها هم باعث میشه، سیستم کمی سبک تر بشه و در نتیجه پردازش رو بهتر انجام بده و هم این واقعیت که شما هر چقدر داده شخصی و مهم در سیستم داشته باشید، در صورت نقض امنیتی، باج افزار، سرقت و ... ، بیشتر متضرر میشید. بنابراین پاکسازی یا انتقال اونا، میتونه در آینده کمک کننده باشه.
⚠️ اگه اقدام به پاکسازی کردید، مراقب باشید تا به سیستم، خودتون و داده ها آسیب نزنید.
#NationalCleanOutYourComputerDay
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
❤13
Forwarded from Zoomit | زومیت
زومیت در دسترس قرار گرفت
پساز پنج روز قطعی، زومیت آنلاین شد و سایر رسانههای گروه قلم آینده ایرانیان، شامل زومجی، زومان، پدال، کجارو، زوبین و فیلمزی نیز طی ساعات آینده در دسترس خواهند بود.
حمله به زیرساخت شبکه از ۱۴ بهمن آغاز شد؛ اما خوشبختانه هیچ نفوذی به لایهی داده صورت نگرفته است. گزارش فنی این رخداد جهت پیشگیری از موارد مشابه در سایر شرکتها، بهزودی منتشر میشود.
از دلایل زمانبر شدن بازگشت سرویسها میتوان به ایمنسازی و بازسازی کامل زیرساخت، حجم بالای اطلاعات و اختلالات اینترنت دیتاسنتر اشاره کرد.
بابت بروز این اختلال از شما همراهان همیشگی پوزش میطلبیم.
با احترام، مجموعهی رسانهای قلم آینده ایرانیان
#زومیت #قلم_آینده_ایرانیان
@thezoomit | zoomit.ir
پساز پنج روز قطعی، زومیت آنلاین شد و سایر رسانههای گروه قلم آینده ایرانیان، شامل زومجی، زومان، پدال، کجارو، زوبین و فیلمزی نیز طی ساعات آینده در دسترس خواهند بود.
حمله به زیرساخت شبکه از ۱۴ بهمن آغاز شد؛ اما خوشبختانه هیچ نفوذی به لایهی داده صورت نگرفته است. گزارش فنی این رخداد جهت پیشگیری از موارد مشابه در سایر شرکتها، بهزودی منتشر میشود.
از دلایل زمانبر شدن بازگشت سرویسها میتوان به ایمنسازی و بازسازی کامل زیرساخت، حجم بالای اطلاعات و اختلالات اینترنت دیتاسنتر اشاره کرد.
بابت بروز این اختلال از شما همراهان همیشگی پوزش میطلبیم.
با احترام، مجموعهی رسانهای قلم آینده ایرانیان
#زومیت #قلم_آینده_ایرانیان
@thezoomit | zoomit.ir
❤10
OnHex
🔴 اخیرا گروه هکری Scattered Lapsus$ Hunters اسکرین شاتهایی از سیستمهای داخلی CrowdStrike، در تلگرام منتشر کرده بود. در واکنش به این قضیه، شرکت CrowdStrike اعلام کرده که ماه گذشته به یکی از کارمنداش مشکوک و اخراج کرده، چون بعد از تحقیقات مشخص شده تصاویر صفحه…
🔴 صرافی Coinbase اعلام کرده، در دسامبر سال گذشته، تیم امنیتیاشون متوجه شده که یکی از پیمانکاران شون بطور غیرمجاز به اطلاعات مشتریاش دسترسی پیدا کرده و تعداد بسیار کمی از کاربران (حدود ۳۰ نفر) تحت تأثیر این اقدام قرار گرفتن.
این فرد دیگه هیچ همکاریای با Coinbase نداره و صرافی به کاربران آسیبدیده اطلاع داده، خدمات محافظت از سرقت هویت و راهنماییهای لازم رو ارائه کرده و طبق روال معمول، موضوع رو به نهادهای نظارتی مربوطه گزارش داده.
کمی قبل از این اعلام، گروه Scattered Lapsus Hunters (SLH) در تلگرام برای مدتی کوتاه تصاویر رابط داخلی پشتیبانی Coinbase رو منتشر و سپس حذف کردن.
تصاویر نشان میداد که در این پنل پشتیبانی، اطلاعات حساس مشتریان از جمله ایمیل، نام، تاریخ تولد، شماره تلفن، دادههای احراز هویت (KYC)، موجودی کیف پول رمزارز و سوابق تراکنشها قابل مشاهده است.
هنوز مشخص نیست این گروه مستقیما در این نفوذ نقش داشته یا دادهها از سوی بازیگران تهدید دیگه به اونا رسیده، چون معمولا اسکرینشاتها و دادههای سرقتشده بین چندین بازیگر تهدید رد و بدل میشه. همچنین این گروه قبلا مدعی شده بود که به یکی از کارکنان داخلی شرکت CrowdStrike، برای دریافت تصاویر از نرمافزارهای داخلی شرکت، رشوه داده.
در چند سال اخیر، شرکتهای برونسپاری فرآیندهای کسبوکار (BPO) به هدف اصلی مهاجمان سایبری تبدیل شدن. این شرکتها معمولا وظایفی مانند پشتیبانی مشتریان، احراز هویت، خدمات IT و مدیریت اکانتها رو برای سازمانهای دیگه انجام میدن. با توجه به اینکه کارکنان این شرکتها به سیستمهای حساس داخلی و اطلاعات کاربران دسترسی دارن، هدف ارزشمندی برای مهاجمان محسوب میشن.
#بازیگران_تهدید #ارز_دیجیتال
##ScatteredLapsusHunters #Coinbase
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
این فرد دیگه هیچ همکاریای با Coinbase نداره و صرافی به کاربران آسیبدیده اطلاع داده، خدمات محافظت از سرقت هویت و راهنماییهای لازم رو ارائه کرده و طبق روال معمول، موضوع رو به نهادهای نظارتی مربوطه گزارش داده.
کمی قبل از این اعلام، گروه Scattered Lapsus Hunters (SLH) در تلگرام برای مدتی کوتاه تصاویر رابط داخلی پشتیبانی Coinbase رو منتشر و سپس حذف کردن.
تصاویر نشان میداد که در این پنل پشتیبانی، اطلاعات حساس مشتریان از جمله ایمیل، نام، تاریخ تولد، شماره تلفن، دادههای احراز هویت (KYC)، موجودی کیف پول رمزارز و سوابق تراکنشها قابل مشاهده است.
هنوز مشخص نیست این گروه مستقیما در این نفوذ نقش داشته یا دادهها از سوی بازیگران تهدید دیگه به اونا رسیده، چون معمولا اسکرینشاتها و دادههای سرقتشده بین چندین بازیگر تهدید رد و بدل میشه. همچنین این گروه قبلا مدعی شده بود که به یکی از کارکنان داخلی شرکت CrowdStrike، برای دریافت تصاویر از نرمافزارهای داخلی شرکت، رشوه داده.
در چند سال اخیر، شرکتهای برونسپاری فرآیندهای کسبوکار (BPO) به هدف اصلی مهاجمان سایبری تبدیل شدن. این شرکتها معمولا وظایفی مانند پشتیبانی مشتریان، احراز هویت، خدمات IT و مدیریت اکانتها رو برای سازمانهای دیگه انجام میدن. با توجه به اینکه کارکنان این شرکتها به سیستمهای حساس داخلی و اطلاعات کاربران دسترسی دارن، هدف ارزشمندی برای مهاجمان محسوب میشن.
#بازیگران_تهدید #ارز_دیجیتال
##ScatteredLapsusHunters #Coinbase
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
BleepingComputer
Coinbase confirms insider breach linked to leaked support tool screenshots
Coinbase has confirmed an insider breach after a contractor improperly accessed the data of approximately thirty customers, which BleepingComputer has learned is a new incident that occurred in December.
❤2
🔴 تیم Cert اوکراین (CERT-UA) اعلام کرده که هکرهای روسی، APT28 (با نامهای دیگه Fancy Bear و Sofacy)، تونستن آسیب پذیری CVE-2026-21509 در آفیس رو اکسپلویت و در حملاتی ازش استفاده کنن.
آسیب پذیری CVE-2026-21509 در 26 ژانویه و بصورت اضطراری، توسط مایکروسافت اصلاح شد و این شرکت این آسیب پذیری رو بعنوان زیرودی معرفی کرد. سه روز بعد از اصلاح، فایلهای مخرب با پسوند doc از طریق ایمیلهای فیشینگ منتشر شدن.
نکته جالب این هستش که براساس متادیتای فایلها، این فایلها یک روز بعد از هشدار و اصلاح مایکروسافت، ایجاد شدن.
باز کردن سند آلوده باعث شروع زنجیرهای از دانلودهای مخرب مبتنی بر WebDAV میشه که در نهایت بدافزاری رو از طریق COM hijacking نصب میکنه. این فرآیند شامل فایل DLL آلوده ای با نام EhStoreShell.dll، شلکد مخفی شده در تصویری با نام SplashScreen.png و یک scheduled task با نام OneDriveHealth است.
وقتی OneDriveHealth اجرا میشه، منجر به توقف و اجرای پروسس explorer.exe میشه. با این کار از طریق COM hijacking میتونن EhStoreShell.dl رو لوود کنن که این DLL هم منجر به اجرای شلکد موجود در تصویر و در نهایت اجرای فریمورک COVENANT میشه. این همان ابزاری است که CERT-UA در جولای ۲۰۲۵ هم اون رو به حملات APT28 مرتبط د,نسته بود، حملاتی که از طریق چتهای Signal ، بدافزارهای BeardShell و SlimAgent رو به سازمانهای دولتی اوکراین منتقل میکرد.
به گفته CERT-UA، بدافزار COVENANT برای ارتباطات C2 از خدمات ذخیرهسازی ابری Filen (filen.io) استفاده میکنه. بنابراین، مونیتور یا مسدود کردن ترافیک مرتبط با این سرویس میتونه از نفوذ جلوگیری کنه.
علاوه بر اوکراین، روسها، سه سند دیگه رو برای هدف قرار دادن سازمانهایی در اتحادیه اروپا توزیع کردن. دامنه های مورد استفاده در این حملات، در همون روز ثبت شدن.
#بازیگران_تهدید #فیشینگ
#APT #APT28 #COVENANT #Phishing
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
آسیب پذیری CVE-2026-21509 در 26 ژانویه و بصورت اضطراری، توسط مایکروسافت اصلاح شد و این شرکت این آسیب پذیری رو بعنوان زیرودی معرفی کرد. سه روز بعد از اصلاح، فایلهای مخرب با پسوند doc از طریق ایمیلهای فیشینگ منتشر شدن.
نکته جالب این هستش که براساس متادیتای فایلها، این فایلها یک روز بعد از هشدار و اصلاح مایکروسافت، ایجاد شدن.
باز کردن سند آلوده باعث شروع زنجیرهای از دانلودهای مخرب مبتنی بر WebDAV میشه که در نهایت بدافزاری رو از طریق COM hijacking نصب میکنه. این فرآیند شامل فایل DLL آلوده ای با نام EhStoreShell.dll، شلکد مخفی شده در تصویری با نام SplashScreen.png و یک scheduled task با نام OneDriveHealth است.
وقتی OneDriveHealth اجرا میشه، منجر به توقف و اجرای پروسس explorer.exe میشه. با این کار از طریق COM hijacking میتونن EhStoreShell.dl رو لوود کنن که این DLL هم منجر به اجرای شلکد موجود در تصویر و در نهایت اجرای فریمورک COVENANT میشه. این همان ابزاری است که CERT-UA در جولای ۲۰۲۵ هم اون رو به حملات APT28 مرتبط د,نسته بود، حملاتی که از طریق چتهای Signal ، بدافزارهای BeardShell و SlimAgent رو به سازمانهای دولتی اوکراین منتقل میکرد.
به گفته CERT-UA، بدافزار COVENANT برای ارتباطات C2 از خدمات ذخیرهسازی ابری Filen (filen.io) استفاده میکنه. بنابراین، مونیتور یا مسدود کردن ترافیک مرتبط با این سرویس میتونه از نفوذ جلوگیری کنه.
علاوه بر اوکراین، روسها، سه سند دیگه رو برای هدف قرار دادن سازمانهایی در اتحادیه اروپا توزیع کردن. دامنه های مورد استفاده در این حملات، در همون روز ثبت شدن.
#بازیگران_تهدید #فیشینگ
#APT #APT28 #COVENANT #Phishing
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
BleepingComputer
Russian hackers exploit recently patched Microsoft Office bug in attacks
Ukraine's Computer Emergency Response Team (CERT) says that Russian hackers are exploiting CVE-2026-21509, a recently patched vulnerability in multiple versions of Microsoft Office.
❤3
🔴 محققای Cisco Talos گزارشی منتشر کردن در خصوص یک بدافزاری لینوکسی با نام DKnife که میتونه ترافیک رو در سطح دستگاههای لبه سرقت کنه و همچنین در توزیع بدافزار هم استفاده بشه.
براساس توضیحات و نام فایلها و همچنین اهداف، که عمدتا ارائه دهندگان ایمیل، اپلیکیشن های موبایل و کاربران WeChat رو هدف قرار داده، این حملات رو با احتمال بالا به بازیگران چینی نسبت دادن.
محققا نحوه ی نفوذ این بدافزار به دستگاهای شبکه رو شناسایی نکردن، اما متوجه شدن با بکدورهای ShadowPad و DarkNimbus که هر دو به بازیگران چینی نسبت داده شده، تعامل مستقیم داره.
این ابزار یک فریمورک مبتنی بر ELF هستش که از 7 ماژول تشکیل شده:
- ماژول dknife.bin: مسئول بازرسی بستهها، منطق حمله، گزارش وضعیت و ارسال دادههای جمعآوریشده.
- ماژولpostapi.bin : ماژول واسط بین DKnife.bin و سرورهای C2
- ماژولsslmm.bin : سرور Reverse Proxy که از HAProxy گرفته شده.
- ماژول yitiji.bin: مسئول ایجاد Ethernet interface (TAP) مجازی روی روتر و اتصال اون به LAN برای هدایت ترافیک به مهاجم
- ماژول remote.bin : یک کلاینت VPN P2P مبتنی بر n2n
- ماژول mmdown.bin: دانلودر و بروزرسان بدافزار مخصوص فایلهای APK اندروید
- ماژول dkupdate.bin: مسئول دانلود، استقرار و بروزرسانی کلی DKnife
قابلیتهای کلیدی DKnife شامل بروزرسانی بکدور از طریق C2، قابلیت DNS Hijacking ، دستکاری در بروزرسانی اپهای اندروید و فایلهای باینری ویندوز، انتقال بکدورهای ShadowPad و DarkNimbus، مختلکردن ارتباط محصولات امنیتی، میزبانی صفحات فیشینگ و نظارت بر فعالیت کاربران شامل پیامرسانها (WeChat و Signal)، اپلیکیشنهای نقشه، اخبار، تماسها، سفارش تاکسی و خرید آنلاین
پس از استقرار در دستگاه، مؤلفهی yitiji.bin یک رابط شبکه مجازی TAP با آدرس IP خصوصی 10.3.3.3 روی روتر ایجاد میکنه. این کار اجازه میده مهاجم بستههای شبکه رو در مسیر ارسال تغییر یا بازنویسی کنه. به این ترتیب، DKnife میتونه فایلهای APK آلوده رو به دستگاههای اندرویدی یا سیستمهای ویندوزی در همان شبکه تحویل بده.
محققا همچنین مشاهده کردن، DKnife در برخی موارد بکدور ShadowPad رو روی سیستمهای ویندوزی، با امضای دیجیتالی یک شرکت چینـی، نصب و بعدش DarkNimbus رو مستقر میکنه. در دستگاههای اندرویدی، بدافزار مستقیما توسط خود DKnife نصب میشه.
همچنین روی زیرساخت مرتبط با DKnife، بدافزار دیگه ای به نام WizardNet هم بوده؛ ابزاری که قبلا محققای ESET اون رو با فریمورک Spellbinder AitM مرتبط دونسته بودن.
داده های جمع آوری شده از طریق درخواستهای HTTP POST به نقاط پایانی C2 API ارسال میشن.
با توجه به اینکه DKnife در دستگاههای gateway نصب میشه و هنگام عبور بستهها از اون، فعالیتها رو لاگ میکنه، میتونه اطلاعات کاربران رو بصورت لحظهای و real-time مانیتور کنه.
به گفتهی محققا، تا ژانویه ۲۰۲۶، سرورهای C2 این بدافزار همچنان فعال بودن.
محققا برای شناسایی فعالیت های این بدافزار، یکسری IoC هم منتشر کردن.
#بازیگران_تهدید #چین #بدافزار #لینوکس
#DKnife #Linux #Malware
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
براساس توضیحات و نام فایلها و همچنین اهداف، که عمدتا ارائه دهندگان ایمیل، اپلیکیشن های موبایل و کاربران WeChat رو هدف قرار داده، این حملات رو با احتمال بالا به بازیگران چینی نسبت دادن.
محققا نحوه ی نفوذ این بدافزار به دستگاهای شبکه رو شناسایی نکردن، اما متوجه شدن با بکدورهای ShadowPad و DarkNimbus که هر دو به بازیگران چینی نسبت داده شده، تعامل مستقیم داره.
این ابزار یک فریمورک مبتنی بر ELF هستش که از 7 ماژول تشکیل شده:
- ماژول dknife.bin: مسئول بازرسی بستهها، منطق حمله، گزارش وضعیت و ارسال دادههای جمعآوریشده.
- ماژولpostapi.bin : ماژول واسط بین DKnife.bin و سرورهای C2
- ماژولsslmm.bin : سرور Reverse Proxy که از HAProxy گرفته شده.
- ماژول yitiji.bin: مسئول ایجاد Ethernet interface (TAP) مجازی روی روتر و اتصال اون به LAN برای هدایت ترافیک به مهاجم
- ماژول remote.bin : یک کلاینت VPN P2P مبتنی بر n2n
- ماژول mmdown.bin: دانلودر و بروزرسان بدافزار مخصوص فایلهای APK اندروید
- ماژول dkupdate.bin: مسئول دانلود، استقرار و بروزرسانی کلی DKnife
قابلیتهای کلیدی DKnife شامل بروزرسانی بکدور از طریق C2، قابلیت DNS Hijacking ، دستکاری در بروزرسانی اپهای اندروید و فایلهای باینری ویندوز، انتقال بکدورهای ShadowPad و DarkNimbus، مختلکردن ارتباط محصولات امنیتی، میزبانی صفحات فیشینگ و نظارت بر فعالیت کاربران شامل پیامرسانها (WeChat و Signal)، اپلیکیشنهای نقشه، اخبار، تماسها، سفارش تاکسی و خرید آنلاین
پس از استقرار در دستگاه، مؤلفهی yitiji.bin یک رابط شبکه مجازی TAP با آدرس IP خصوصی 10.3.3.3 روی روتر ایجاد میکنه. این کار اجازه میده مهاجم بستههای شبکه رو در مسیر ارسال تغییر یا بازنویسی کنه. به این ترتیب، DKnife میتونه فایلهای APK آلوده رو به دستگاههای اندرویدی یا سیستمهای ویندوزی در همان شبکه تحویل بده.
محققا همچنین مشاهده کردن، DKnife در برخی موارد بکدور ShadowPad رو روی سیستمهای ویندوزی، با امضای دیجیتالی یک شرکت چینـی، نصب و بعدش DarkNimbus رو مستقر میکنه. در دستگاههای اندرویدی، بدافزار مستقیما توسط خود DKnife نصب میشه.
همچنین روی زیرساخت مرتبط با DKnife، بدافزار دیگه ای به نام WizardNet هم بوده؛ ابزاری که قبلا محققای ESET اون رو با فریمورک Spellbinder AitM مرتبط دونسته بودن.
داده های جمع آوری شده از طریق درخواستهای HTTP POST به نقاط پایانی C2 API ارسال میشن.
با توجه به اینکه DKnife در دستگاههای gateway نصب میشه و هنگام عبور بستهها از اون، فعالیتها رو لاگ میکنه، میتونه اطلاعات کاربران رو بصورت لحظهای و real-time مانیتور کنه.
به گفتهی محققا، تا ژانویه ۲۰۲۶، سرورهای C2 این بدافزار همچنان فعال بودن.
محققا برای شناسایی فعالیت های این بدافزار، یکسری IoC هم منتشر کردن.
#بازیگران_تهدید #چین #بدافزار #لینوکس
#DKnife #Linux #Malware
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
Cisco Talos
Knife Cutting the Edge: Disclosing a China-nexus gateway-monitoring AitM framework
Cisco Talos uncovered “DKnife,” a fully featured gateway-monitoring and adversary-in-the-middle (AitM) framework comprising seven Linux-based implants.
❤4
🔴 در سپتامبر 2019، آقای Gary DeMercurio و Justin Wynn که اون زمان برای شرکت امنیت سایبری Coalfire کار میکردن، طبق یک قرارداد رسمی، برای ارزیابی کنترلهای دسترسی فیزیکی در ساختمان دادگاه شهرستان دالاس در آیووا اقدام میکنن.
هنگام ورود متوجه میشن که درب باز هستش. برای ارزیابی صحیح سیستم آژیر و رویههای واکنش، درب رو بستن تا آژیر فعال بشه و بعدش با استفاده از یک تخته پلاستیکی (تکنیک مورد استفاده در تست نفوذ فیزیکی)، درب رو باز کردن و طبق روال، آژیر به صدا دراومده.
پلیسها ریختن که اینجا چیکار میکنید و این دو نفر هم قرارداد و مجوزها رو نشون دادن، اما پلیس قانع نشده و این دو نفر، به دلیل ورود غیرقانونی بازداشت شدن. حدود 20 ساعت در بازداشت بودن و در نهایت بدون اتهام کیفری آزاد شدن.
این دستگیری پیامدهایی برای این دو نفر داشته، از جمله اینکه چون عکسهای دستگیرشون عمومی شده، روی اعتبار کاری و فرصتهای شغلیشون تاثیر گذاشته. سر همین موضوع, شکایتی داشتن که بعد از 5 سال به توافق رسیدن و 600 هزار دلار غرامت گرفتن.
این دو نفر بعدها، شرکت امنیت سایبری خودشون، Kaiju Security رو تاسیس کردن.
این موضوع در شبکه های اجتماعی مورد توجه قرار گرفت. یکی اهمیت داشتن مجوز کافی و قانونی برای انجام پروژه های تست نفوذ و تیم قرمز و همچنین این که نواقص قانونی در برخورد با کارشناسان امنیت سایبری میتونه مشکلاتی برای اونا حتی در صورت داشتن مجوز، داشته باشه./منبع
#تیم_قرمز #تست_نفوذ
#Redteam #Pentest
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
هنگام ورود متوجه میشن که درب باز هستش. برای ارزیابی صحیح سیستم آژیر و رویههای واکنش، درب رو بستن تا آژیر فعال بشه و بعدش با استفاده از یک تخته پلاستیکی (تکنیک مورد استفاده در تست نفوذ فیزیکی)، درب رو باز کردن و طبق روال، آژیر به صدا دراومده.
پلیسها ریختن که اینجا چیکار میکنید و این دو نفر هم قرارداد و مجوزها رو نشون دادن، اما پلیس قانع نشده و این دو نفر، به دلیل ورود غیرقانونی بازداشت شدن. حدود 20 ساعت در بازداشت بودن و در نهایت بدون اتهام کیفری آزاد شدن.
این دستگیری پیامدهایی برای این دو نفر داشته، از جمله اینکه چون عکسهای دستگیرشون عمومی شده، روی اعتبار کاری و فرصتهای شغلیشون تاثیر گذاشته. سر همین موضوع, شکایتی داشتن که بعد از 5 سال به توافق رسیدن و 600 هزار دلار غرامت گرفتن.
این دو نفر بعدها، شرکت امنیت سایبری خودشون، Kaiju Security رو تاسیس کردن.
این موضوع در شبکه های اجتماعی مورد توجه قرار گرفت. یکی اهمیت داشتن مجوز کافی و قانونی برای انجام پروژه های تست نفوذ و تیم قرمز و همچنین این که نواقص قانونی در برخورد با کارشناسان امنیت سایبری میتونه مشکلاتی برای اونا حتی در صورت داشتن مجوز، داشته باشه./منبع
#تیم_قرمز #تست_نفوذ
#Redteam #Pentest
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
The Cyber Express
Cybersecurity Experts Arrested In Dallas County Settle
Cybersecurity experts arrested during an authorized courthouse security test in Dallas County reached a $600,000 settlement after five years.
❤5
🔴 یک بنده خدایی بنام Kyle Svara به جرم نفوذ، سرقت و فروش تصاویر خصوصی زنان در Snapchat متهم شده.
ایشون از طریق مهندسی اجتماعی، ایمیل و شماره تلفن و نام کاربری 4500 نفر رو بدست آورده و بعدش باهاشون ارتباط گرفته و خودش رو بعنوان نماینده Snapchat جا زده. با این کار در مجموع حدود 570 اکانت رو هک کرده که حداقل 59 موردش، خصوصی بودن. بعد از هک، اقدام به فروش تصاویر موجود در این اکانتها میکرده.
علاوه بر فروش تصاویر، خدمات هک اکانتهای Snapchat دختران رو هم ارائه میداد. یکی از مشتریاش Steve Waithe، مربی سابق تیم دو و میدانی دانشگاه Northeastern بود که Svara رو برای هککردن اکانتهای دانشجویان دختر و اعضای تیمهای دو و میدانی و فوتبال استخدام کرده بود.
این مربی، در مارس ۲۰۲۴ به جرم تعقیب و آزار سایبری (cyberstalking)، کلاهبرداری اینترنتی و اخاذی جنسی به پنج سال زندان محکوم شد. ایشون حداقل ۱۲۸ زن رو هدف قرار داده بود.
اگه جرایم Svara ثابت بشه، حداکثر به 35 سال زندان، محکوم میشه.
#بازیگران_تهدید
#Snapchat
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
ایشون از طریق مهندسی اجتماعی، ایمیل و شماره تلفن و نام کاربری 4500 نفر رو بدست آورده و بعدش باهاشون ارتباط گرفته و خودش رو بعنوان نماینده Snapchat جا زده. با این کار در مجموع حدود 570 اکانت رو هک کرده که حداقل 59 موردش، خصوصی بودن. بعد از هک، اقدام به فروش تصاویر موجود در این اکانتها میکرده.
علاوه بر فروش تصاویر، خدمات هک اکانتهای Snapchat دختران رو هم ارائه میداد. یکی از مشتریاش Steve Waithe، مربی سابق تیم دو و میدانی دانشگاه Northeastern بود که Svara رو برای هککردن اکانتهای دانشجویان دختر و اعضای تیمهای دو و میدانی و فوتبال استخدام کرده بود.
این مربی، در مارس ۲۰۲۴ به جرم تعقیب و آزار سایبری (cyberstalking)، کلاهبرداری اینترنتی و اخاذی جنسی به پنج سال زندان محکوم شد. ایشون حداقل ۱۲۸ زن رو هدف قرار داده بود.
اگه جرایم Svara ثابت بشه، حداکثر به 35 سال زندان، محکوم میشه.
#بازیگران_تهدید
#Snapchat
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
BleepingComputer
Man pleads guilty to hacking nearly 600 women’s Snapchat accounts
An Illinois man pleaded guilty to hacking nearly 600 women's Snapchat accounts to steal nude photos that he kept, sold, or traded online, including accounts he compromised at the request of a former university track coach who was later convicted of sextortion.
❤4
🔴 پلتفرم اشتراکگذاری عکس، فلیکر (Flickr) بدلیل آسیب پذیری در یک ارائه دهنده ایمیل شخص ثالث، به کاربراش هشدار نقض دیتا، داده.
پلتفرم Flickr در سال ۲۰۰۴ تأسیس شد، یکی از بزرگترین جوامع و سایتهای اشتراک گذاری عکس و ویدیو در جهان و میزبان بیش از ۲۸ میلیارد عکس و ویدیو هستش. طبق ادعای شرکت، ۳۵ میلیون کاربر ماهانه و ۸۰۰ میلیون بازدید صفحه در ماه داره.
اشارهای به اینکه، کدوم ارائه دهنده یا چه تعداد کاربر تحت تاثیر این نقض قرار گرفتن، نشده.
این شرکت در 5 فوریه متوجه این آسیب پذیری در سیستم شخص ثالث شده، که میتونسته احتمال دسترسی غیرمجاز به داده های کاربران رو فراهم کنه.
این نقض داده شامل نام اعضا، آدرس ایمیل، نام کاربری، انواع اکانت، آدرس IP، اطلاعات کلی موقعیت مکانی و فعالیت کاربران در پلتفرم است. پسورد و اطلاعات پرداخت، تحت تاثیر نبودن.
توصیه شده تنظیمات اکانت رو بررسی کنید تا دستکاری نشده باشن، مراقب حملات فیشینگ باشید، بخصوص این که پسورد رو هرگز از طریق ایمیل درخواست نمیکنن. همچنین اگه از اعتبارنامه های اکانت فلیکر در سایر پلتفرمها استفاده کردید، پسورد اونهارو هم عوض کنید.
در نهایت بابت این نقض، عذرخواهی کردن و مکانیسم های امنیتی و حریم خصوصی شون رو ارتقاء دادن.
#نقض_داده
#Flickr
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
پلتفرم Flickr در سال ۲۰۰۴ تأسیس شد، یکی از بزرگترین جوامع و سایتهای اشتراک گذاری عکس و ویدیو در جهان و میزبان بیش از ۲۸ میلیارد عکس و ویدیو هستش. طبق ادعای شرکت، ۳۵ میلیون کاربر ماهانه و ۸۰۰ میلیون بازدید صفحه در ماه داره.
اشارهای به اینکه، کدوم ارائه دهنده یا چه تعداد کاربر تحت تاثیر این نقض قرار گرفتن، نشده.
این شرکت در 5 فوریه متوجه این آسیب پذیری در سیستم شخص ثالث شده، که میتونسته احتمال دسترسی غیرمجاز به داده های کاربران رو فراهم کنه.
این نقض داده شامل نام اعضا، آدرس ایمیل، نام کاربری، انواع اکانت، آدرس IP، اطلاعات کلی موقعیت مکانی و فعالیت کاربران در پلتفرم است. پسورد و اطلاعات پرداخت، تحت تاثیر نبودن.
توصیه شده تنظیمات اکانت رو بررسی کنید تا دستکاری نشده باشن، مراقب حملات فیشینگ باشید، بخصوص این که پسورد رو هرگز از طریق ایمیل درخواست نمیکنن. همچنین اگه از اعتبارنامه های اکانت فلیکر در سایر پلتفرمها استفاده کردید، پسورد اونهارو هم عوض کنید.
در نهایت بابت این نقض، عذرخواهی کردن و مکانیسم های امنیتی و حریم خصوصی شون رو ارتقاء دادن.
#نقض_داده
#Flickr
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
BleepingComputer
Flickr discloses potential data breach exposing users' names, emails
Photo-sharing platform Flickr is notifying users of a potential data breach after a vulnerability at a third-party email service provider exposed their real names, email addresses, IP addresses, and account activity.
❤6
🔴 شرکت ISPsystem ابزاری برای مجازی سازی بنام VMmanager داره که امکان راهاندازی ماشینهای مجازی ویندوز یا لینوکس رو فراهم میکنه. مشکلی که این ابزار داره، این هستش که موقع راه اندازی ماشین مجازی از قالب پیش فرض استفاده میکنه که منجر به ایجاد ماشین مجازی با نامهای میزبان (hostnames) و شناسه سیستمی یکسان میشه.
ارائهدهندگان هاستینگ ضدگلوله (Bulletproof hosting providers) که عمدا از عملیات سایبری مجرمانه حمایت میکنن و درخواستهای مسدودسازی رو نادیده میگیرن، از این نقص طراحی سوء استفاده میکنن و به بازیگران تهدید اجازه میدن تا از طریق VMmanager ماشینهای مجازی رو راهاندازی کنن که برای زیرساختهای C2 و تحویل پیلودهای مخرب استفاده میشن.
این کار باعث میشه سیستمهای مخرب در میان هزاران سیستم بیضرر مخفی بشن، انتساب پیچیده بشه و امکان مسدودسازی سریع نباشه.
این موضوع توسط محققای Sophos موقع بررسی حملات مربوط به باج افزار WantToCry کشف شده.
بیشترین VMهای مخرب متعلق به یک خوشه کوچک از ارائهدهندگان با سابقه بد یا تحت تحریم بودن، از جمله:
محققا همچنین یک ارائهدهنده با کنترل مستقیم زیرساخت فیزیکی به نام MasterRDP رو کشف کردن که از VMmanager برای فرار از شناسایی استفاده کرده و خدمات VPS و RDP ارائه میده که مطابق با درخواستهای قانونی عمل نمیکنه.
بر اساس گزارش محققا، چهار مورد از رایجترین نامهای میزبانی که بیش از ۹۵٪ از کل VMهای VMmanager رو تشکیل میدن و از طریق اینترنت قابل مشاهده هستن، موارد زیر هستن:
علاوه بر WantToCry ، محققان متوجه شدن که این نامهای میزبان یکسان در زیرساخت چندین اپراتور باجافزار، از جمله LockBit، Qilin، Conti، BlackCat/ALPHV و همچنین کمپینهای مختلف بدافزاری مرتبط با سارقان اطلاعات مانند RedLine و Lummar، هم وجود داشته.
در گزارش اشاره شده که از WIN-J9D866ESIJ2، به تعداد 51 مورد در ایران هستش.
بعد از این گزارش، ISPsystem از نامهای تصادفی استفاده میکنه.
#بازیگران_تهدید
#ISPsystem #VMmanager
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
ارائهدهندگان هاستینگ ضدگلوله (Bulletproof hosting providers) که عمدا از عملیات سایبری مجرمانه حمایت میکنن و درخواستهای مسدودسازی رو نادیده میگیرن، از این نقص طراحی سوء استفاده میکنن و به بازیگران تهدید اجازه میدن تا از طریق VMmanager ماشینهای مجازی رو راهاندازی کنن که برای زیرساختهای C2 و تحویل پیلودهای مخرب استفاده میشن.
این کار باعث میشه سیستمهای مخرب در میان هزاران سیستم بیضرر مخفی بشن، انتساب پیچیده بشه و امکان مسدودسازی سریع نباشه.
این موضوع توسط محققای Sophos موقع بررسی حملات مربوط به باج افزار WantToCry کشف شده.
بیشترین VMهای مخرب متعلق به یک خوشه کوچک از ارائهدهندگان با سابقه بد یا تحت تحریم بودن، از جمله:
Stark Industries Solutions Ltd.، Zomro B.V.، First Server Limited، Partner Hosting LTD , JSC IOT
محققا همچنین یک ارائهدهنده با کنترل مستقیم زیرساخت فیزیکی به نام MasterRDP رو کشف کردن که از VMmanager برای فرار از شناسایی استفاده کرده و خدمات VPS و RDP ارائه میده که مطابق با درخواستهای قانونی عمل نمیکنه.
بر اساس گزارش محققا، چهار مورد از رایجترین نامهای میزبانی که بیش از ۹۵٪ از کل VMهای VMmanager رو تشکیل میدن و از طریق اینترنت قابل مشاهده هستن، موارد زیر هستن:
WIN-LIVFRVQFMKO
WIN-LIVFRVQFMKO
WIN-344VU98D3RU
WIN-J9D866ESIJ2
علاوه بر WantToCry ، محققان متوجه شدن که این نامهای میزبان یکسان در زیرساخت چندین اپراتور باجافزار، از جمله LockBit، Qilin، Conti، BlackCat/ALPHV و همچنین کمپینهای مختلف بدافزاری مرتبط با سارقان اطلاعات مانند RedLine و Lummar، هم وجود داشته.
در گزارش اشاره شده که از WIN-J9D866ESIJ2، به تعداد 51 مورد در ایران هستش.
بعد از این گزارش، ISPsystem از نامهای تصادفی استفاده میکنه.
#بازیگران_تهدید
#ISPsystem #VMmanager
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
Sophos News
Malicious use of virtual machine infrastructure
Bulletproof hosting providers are abusing the legitimate ISPsystem infrastructure to supply virtual machines to cybercriminals
❤4
🔴 معرفی ابزار scfw
این ابزار امکان ساخت شلکد برای ویندوز رو فراهم میکنه. در زبان ++C توسعه داده شده و امکان توسعه ی شلکد در محیط لینوکس و macOS و ویندوز رو فراهم میکنه.
شلکدی که میده، امکان اجرا در کرنل و یوزر و برای معماری های 32 و 64 بیتی رو داره. همچنین موقع اجرا، مشکل وابستگی هاش رو هم حل میکنه.
نحوه ی کارش هم به این صورت هستش که:
- کد سی پلاس شما رو به یک فایل PE تبدیل میکنه. اگه نمیدونید PE چی هستش، میتونید از دوره ی رایگان بررسی ساختار فایلهای PE دیدن کنید.
- بعدش سکشن text رو از این فایل PE استخراج میکنه.
- نکته ی کلیدی این هستش که این ابزار کدهارو جوری سازماندهی میکنه که همه ی بخش ها و موارد مورد نیاز برای اجرا، در یک بخش قرار بگیره. در نتیجه، خروجی نهایی یک فایل باینری خام هستش که همون شلکد هستش.
#شلکد #ویندوز
#PE #ShellCode #scfw
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
این ابزار امکان ساخت شلکد برای ویندوز رو فراهم میکنه. در زبان ++C توسعه داده شده و امکان توسعه ی شلکد در محیط لینوکس و macOS و ویندوز رو فراهم میکنه.
شلکدی که میده، امکان اجرا در کرنل و یوزر و برای معماری های 32 و 64 بیتی رو داره. همچنین موقع اجرا، مشکل وابستگی هاش رو هم حل میکنه.
نحوه ی کارش هم به این صورت هستش که:
- کد سی پلاس شما رو به یک فایل PE تبدیل میکنه. اگه نمیدونید PE چی هستش، میتونید از دوره ی رایگان بررسی ساختار فایلهای PE دیدن کنید.
- بعدش سکشن text رو از این فایل PE استخراج میکنه.
- نکته ی کلیدی این هستش که این ابزار کدهارو جوری سازماندهی میکنه که همه ی بخش ها و موارد مورد نیاز برای اجرا، در یک بخش قرار بگیره. در نتیجه، خروجی نهایی یک فایل باینری خام هستش که همون شلکد هستش.
#شلکد #ویندوز
#PE #ShellCode #scfw
🆔 @onhex_ir
🌍 ONHEXGROUP (Official Links)
GitHub
GitHub - wbenny/scfw: A cross-platform C++ framework for building Windows shellcode
A cross-platform C++ framework for building Windows shellcode - wbenny/scfw
❤6