OnHex
🔴 شروع رویداد Top 10 Web Hacking Techniques 2023 امسال هم مثله سال پیش، Portswigger رویداد Top 10 Web Hacking Techniques رو برای انتخاب بهترین مقالات سال 2023 در حوزه ی امنیت وب برگزار میکنه. اگه علاقمند بودید، میتونید در این نظرسنجی شرکت کنید. امسال محققین…
🔴 نتایج Top 10 web hacking techniques of 2024 منتشر شد. از ایران آقای Oxrz رتبه ی هشتم رو کسب کردن که بهشون تبریک عرض کرده و امیدوارم که سلامت باشن و همچنان بدرخشن.
1. Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server - Orange Tsai
2. SQL Injection Isn't Dead: Smuggling Queries at the Protocol Level - Paul Gerste
3. Unveiling TE.0 HTTP Request Smuggling - Paolo Arnolfo, Guillermo Gregorio, _medusa_1_
4. WorstFit: Unveiling Hidden Transformers in Windows ANSI - Orange Tsai , splitline
5. Exploring the DOMPurify library: Bypasses and Fixes - Mizu
6. DoubleClickjacking: A New Era of UI Redressing - Paulos Yibelo
7. CVE-2024-4367 - Arbitrary JavaScript execution in PDF.js - Thomas Rinsma
8. OAuth Non-Happy Path to ATO - Oxrz
9. ChatGPT Account Takeover - Wildcard Web Cache Deception - Harel
10. Hijacking OAuth flows via Cookie Tossing - Elliot Ward
#امنیت_سایبری
🆔 @onhex_ir
➡️ ALL Link
1. Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server - Orange Tsai
2. SQL Injection Isn't Dead: Smuggling Queries at the Protocol Level - Paul Gerste
3. Unveiling TE.0 HTTP Request Smuggling - Paolo Arnolfo, Guillermo Gregorio, _medusa_1_
4. WorstFit: Unveiling Hidden Transformers in Windows ANSI - Orange Tsai , splitline
5. Exploring the DOMPurify library: Bypasses and Fixes - Mizu
6. DoubleClickjacking: A New Era of UI Redressing - Paulos Yibelo
7. CVE-2024-4367 - Arbitrary JavaScript execution in PDF.js - Thomas Rinsma
8. OAuth Non-Happy Path to ATO - Oxrz
9. ChatGPT Account Takeover - Wildcard Web Cache Deception - Harel
10. Hijacking OAuth flows via Cookie Tossing - Elliot Ward
#امنیت_سایبری
🆔 @onhex_ir
➡️ ALL Link
❤26
🔴 برنامه ی رویدادهای BlackHat در سال 2025: (زمان بندی ها شامل بخش کنفرانس، آموزش و ... هستش.)
- رویداد Black Hat USA : از 2 تا 7 آگوست (11 تا 16 مرداد 1404) در لاس وگاس برگزار میشه. از 5 فوریه تا 2 آوریل (17 بهمن تا 13 فروردین) مهلت ارسال مقالات.
- رویداد Black Hat Europe : از 8 تا 11 دسامبر (17 تا 20 آذر) در لندن برگزار میشه. از 11 ژوئن تا 6 آگوست (21 خرداد تا 15 مرداد) مهلت ارسال مقالات هستش.
- رویداد Black Hat Asia : از یک تا 4 آوریل در سنگاپور برگزار میشه. مهلت ارسال مقالات تموم شده.
- رویداد BLACK HAT MEA : از 24 تا 26 نوامبر (3 تا 5 آذر) در عربستان برگزار میشه. مهلت ارسال مقالات باز شده و 31 آگوست (9 شهریور) بسته میشه.
در بین کنفرانس های بلک هت، کنفرانس BLACK HAT MEA نزدیکترین کنفرانس برای ما ایرانی هاست. یکی از همراهان کانال در مسابقات CTF رویداد BLACK HAT MEA 2024 شرکت کردن و تجربه خودشون رو با ما به اشتراک گذاشتن:
مشاهده ی سوالات CTF BLACK HAT MEA 2024
سایت رسمی بلک هت
سایت رسمی Black Hat MEA
دسترسی به اسلایدها
دسترسی به ویدیوهای رویداد آسیا - اروپا - آمریکا
دسترسی به ویدیوهای Black Hat MEA
#کنفرانس #بلک_هت
#Blackhat #CTF
🆔 @onhex_ir
➡️ ALL Link
- رویداد Black Hat USA : از 2 تا 7 آگوست (11 تا 16 مرداد 1404) در لاس وگاس برگزار میشه. از 5 فوریه تا 2 آوریل (17 بهمن تا 13 فروردین) مهلت ارسال مقالات.
- رویداد Black Hat Europe : از 8 تا 11 دسامبر (17 تا 20 آذر) در لندن برگزار میشه. از 11 ژوئن تا 6 آگوست (21 خرداد تا 15 مرداد) مهلت ارسال مقالات هستش.
- رویداد Black Hat Asia : از یک تا 4 آوریل در سنگاپور برگزار میشه. مهلت ارسال مقالات تموم شده.
- رویداد BLACK HAT MEA : از 24 تا 26 نوامبر (3 تا 5 آذر) در عربستان برگزار میشه. مهلت ارسال مقالات باز شده و 31 آگوست (9 شهریور) بسته میشه.
در بین کنفرانس های بلک هت، کنفرانس BLACK HAT MEA نزدیکترین کنفرانس برای ما ایرانی هاست. یکی از همراهان کانال در مسابقات CTF رویداد BLACK HAT MEA 2024 شرکت کردن و تجربه خودشون رو با ما به اشتراک گذاشتن:
مسابقات CTF رویداد BlackHat MEA 2024 مشابه سایر عناوین معمول طی دو مرحله انتخابی (مجازی) و فینال (حضوری) برگزار شد، فرمت مسابقات CTF Jeopardy بود
بصورت کلی ثبت نام مرحله انتخابی برای عموم بدون محدودیت آزاد بود و در صورتیکه در Top 250 قرار میگرفتین واسه فینال تاریخ 26-30 Nov حضوری دعوت میشدین ریاض (عربستان، شهر محل برگزاری رویداد)
سطح سوالات مرحله اول مشابه سایر رویدادهای بلک هت و بالاتر از حد متوسط بود (25 Weight) با این حال سختی سوالات پراکندگی داشت و بعضا برای برخی تاپیک ها سوالات نسبتاً ساده تر و برخی عناوین سوالات سخت تری مشاهده میشد (هرچند این مسئله وابسته به بکگراند افراد متفاوت سنجیده میشود)
از ویژگی های مثبت مسابقات بلک هت ایده دار بودن برخی چالش هاست که معمولا مشابه این کیفیت در سایر مسابقات CTF چالشی دیده نمیشه
نکته قابل توجه دیگر از مسابقات بلک هت استقبال گسترده و شدیدی هست که ازش میشه، بخصوص اینکه قهرمان امسالش هم مشابه سال پیش DiceGang شد (یکی از پرافتخارترین تیم های CTF جهان)، گرچه در رنکینگ انتخابیش DiceGang رتبه 5 شد و اسامی تیم های مشهور دیگری هم به چشم میخورد، عنوان قهرمانی فینال نصیب این تیم شد
در رابطه با سایر بخشهای رویداد هم میشه به Speaker های بخش Talks توجه داشت که مشابه سایر عناوین بلک هت از اشخاص مشهوری دعوت شده بود
مشاهده ی سوالات CTF BLACK HAT MEA 2024
سایت رسمی بلک هت
سایت رسمی Black Hat MEA
دسترسی به اسلایدها
دسترسی به ویدیوهای رویداد آسیا - اروپا - آمریکا
دسترسی به ویدیوهای Black Hat MEA
#کنفرانس #بلک_هت
#Blackhat #CTF
🆔 @onhex_ir
➡️ ALL Link
ctftime.org
CTFtime.org / BlackHat MEA CTF Qualification 2024 tasks and writeups
Capture The Flag, CTF teams, CTF ratings, CTF archive, CTF writeups
❤6
🔴 یکی از راههایی که باعث میشه، مهارتهامون در حوزه ی هک و امنیت بهتر بشه، حل چالشهای CTFها هستش.
مسابقات CTF معمولا در یک بازه ی زمانی شروع و در نهایت تموم میشن. همچنین با توجه به اینکه اغلب موضوعات مختلف رو پوشش میدن، مثلا وب و مهندسی معکوس و فارنزیک و ... ، معمولا برای کسب جایزه و امتیاز، نیاز که بصورت تیمی شرکت کنیم.
اما اگه صرفا هدفتون از حل چالش های CTF، بهتر کردن مهارتهاتون هستش و دنبال موضوعات خاص خودتون هستید، مثلا چالش های مهندسی معکوس یا چالش های سرریز بافر و ... ، میتونید از موتور جستجوی Search CTF Writeups استفاده کنید.
این موتور جستجو، بیش از 24 هزار Writeup رو پوشش میده که میتونید اونارو براساس موضوعات مختلف (وب، مهندسی معکوس و ...)، فیلتر کنید.
این موتور جستجو رو به لیست موتورهای جستجو برای محققین امنیت سایبری اضافه کردیم.
#CTF
🆔 @onhex_ir
➡️ ALL Link
مسابقات CTF معمولا در یک بازه ی زمانی شروع و در نهایت تموم میشن. همچنین با توجه به اینکه اغلب موضوعات مختلف رو پوشش میدن، مثلا وب و مهندسی معکوس و فارنزیک و ... ، معمولا برای کسب جایزه و امتیاز، نیاز که بصورت تیمی شرکت کنیم.
اما اگه صرفا هدفتون از حل چالش های CTF، بهتر کردن مهارتهاتون هستش و دنبال موضوعات خاص خودتون هستید، مثلا چالش های مهندسی معکوس یا چالش های سرریز بافر و ... ، میتونید از موتور جستجوی Search CTF Writeups استفاده کنید.
این موتور جستجو، بیش از 24 هزار Writeup رو پوشش میده که میتونید اونارو براساس موضوعات مختلف (وب، مهندسی معکوس و ...)، فیلتر کنید.
این موتور جستجو رو به لیست موتورهای جستجو برای محققین امنیت سایبری اضافه کردیم.
#CTF
🆔 @onhex_ir
➡️ ALL Link
ctfsearch.hackmap.win
Search CTF Writeups and Solutions
Search through 35,000+ CTF writeups and solutions with instant results and smart filtering. Find Web Exploitation, Buffer Overflow, Reverse Engineering writeups and more.
❤16
🔴 موضوع برنامه ی Off By One Security این هفته "Using an AI Chatbot to Help Solve a CTF Binary Challenge!" هستش.
بصورت کلی میخوان بررسی کنن که چت باتهای هوش مصنوعی تا چه اندازه میتونن به ما در حل چالش های باینری اکسپلویتینگ CTFها کمک کنن.
در این برنامه قرار به قید قرعه به 3 نفر ووچر آموزشی برای دوره ی Evilginx Mastery بدن. یکی برای اعضای کانال و 2 تا برای افراد حاضر در لایو.
این برنامه ساعت 30 : 22 به وقت ایران از طریق یوتیوب و توییتر پخش میشه.
اگه فرصت نکردید، برنامه ضبط میشه و بعدا هم از همون لینکها قابل دسترسه.
#هوش_مصنوعی #امنیت_سایبری
#ArtificialIntelligence #AI #CTF #OffByOneSecurity
🆔 @onhex_ir
➡️ ALL Link
بصورت کلی میخوان بررسی کنن که چت باتهای هوش مصنوعی تا چه اندازه میتونن به ما در حل چالش های باینری اکسپلویتینگ CTFها کمک کنن.
در این برنامه قرار به قید قرعه به 3 نفر ووچر آموزشی برای دوره ی Evilginx Mastery بدن. یکی برای اعضای کانال و 2 تا برای افراد حاضر در لایو.
این برنامه ساعت 30 : 22 به وقت ایران از طریق یوتیوب و توییتر پخش میشه.
اگه فرصت نکردید، برنامه ضبط میشه و بعدا هم از همون لینکها قابل دسترسه.
#هوش_مصنوعی #امنیت_سایبری
#ArtificialIntelligence #AI #CTF #OffByOneSecurity
🆔 @onhex_ir
➡️ ALL Link
BREAKDEV
Evilginx Mastery
Learn everything about the latest methods of phishing, using reverse proxying to bypass Multi-Factor Authentication. Learn to think like an attacker, during your red team engagements, and become the master of phishing with Evilginx.
❤6
🔴 نسخه ی 11.3 ابزار مهندسی معکوس Ghidra با اصلاح یسری باگ و بهبود یسری ویژگی ها منتشر شد.
- برای استفاده از این نسخه نیاز به حداقل JDK 21 دارید.
- برای استفاده از دیباگر یا بیلد کامل از سورس کد نیاز به پایتون 3 (نسخه های 3.9 تا 3.13 رو پشتیبانی میکنه) دارید.
برای مشاهده تغییرات جدید از این لینک و برای دانلود نسخه ی جدید از این لینک استفاده کنید.
#مهندسی_معکوس
#ReverseEngineering #Ghidra
🆔 @onhex_ir
➡️ ALL Link
- برای استفاده از این نسخه نیاز به حداقل JDK 21 دارید.
- برای استفاده از دیباگر یا بیلد کامل از سورس کد نیاز به پایتون 3 (نسخه های 3.9 تا 3.13 رو پشتیبانی میکنه) دارید.
برای مشاهده تغییرات جدید از این لینک و برای دانلود نسخه ی جدید از این لینک استفاده کنید.
#مهندسی_معکوس
#ReverseEngineering #Ghidra
🆔 @onhex_ir
➡️ ALL Link
GitHub
ghidra/Ghidra/Configurations/Public_Release/src/global/docs/WhatsNew.md at Ghidra_11.3_build · NationalSecurityAgency/ghidra
Ghidra is a software reverse engineering (SRE) framework - NationalSecurityAgency/ghidra
❤7
🔴 تغییر مدل کسب و کار در صنعت امنیت سایبری تهاجمی
در این پست، مقاله ی آقای Maor Shwartz ، در زمینه تغییرات مدل کسب و کار در صنعت امنیت سایبری تهاجمی رو بررسی کردیم.
این مقاله برای مدیران کسب و کارها، افراد فنی و علاقمند به حوزه ی امنیت سایبری تهاجمی بویژه محققین کشف آسیب پذیری و توسعه دهندگان اکسپلویت میتونه مفید باشه.
#امنیت_تهاجمی #توسعه_اکسپلویت #کشف_آسیب_پذیری
#OffensiveCyberSecurity #ExploitDevelopment #VulnerabilityResearch
🆔 @onhex_ir
➡️ ALL Link
در این پست، مقاله ی آقای Maor Shwartz ، در زمینه تغییرات مدل کسب و کار در صنعت امنیت سایبری تهاجمی رو بررسی کردیم.
این مقاله برای مدیران کسب و کارها، افراد فنی و علاقمند به حوزه ی امنیت سایبری تهاجمی بویژه محققین کشف آسیب پذیری و توسعه دهندگان اکسپلویت میتونه مفید باشه.
#امنیت_تهاجمی #توسعه_اکسپلویت #کشف_آسیب_پذیری
#OffensiveCyberSecurity #ExploitDevelopment #VulnerabilityResearch
🆔 @onhex_ir
➡️ ALL Link
❤12
🔴 معرفی پروژه ی vmi
پروژه ی vmi که در زبان Rust توسعه داده شده، یک ابزار برای Virtual Machine Introspection (VMI) هستش.
بصورت کلی Virtual Machine Introspection تکنیکی برای نظارت بر وضعیت اجرایی یک ماشین مجازی در سطح سیستم هستش و در دیباگینگ و فارنزیک و آنالیز بدافزار میتونه مورد استفاده قرار بگیره.
این ابزارهای Virtual Machine Introspection معمولا به دو صورت درونی و خارجی ارائه میشن. درونی اینجوریه که ابزارها داخل ماشین مجازی قرار میگیرن و رویدادها و موارد مختلف رو ضبط و در اختیار تحلیلگر قرار میدن. اما ابزارهای بیرونی، خارج از ماشین مجازی هستن و امکان تحلیل رو از بیرون میدن.
پروژه ی vmi از نوع بیرونی هستش، بصورت ماژولار طراحی شده و قابل توسعه هستش. از معماریهای مختلف پردازنده، هایپروایزر ها و سیستم عاملها پشتیبانی میکنه.
#مهندسی_معکوس #فارنزیک #آنالیز_بدافزار
#ReverseEngineering #forensic #MalwareAnalysis
🆔 @onhex_ir
➡️ ALL Link
پروژه ی vmi که در زبان Rust توسعه داده شده، یک ابزار برای Virtual Machine Introspection (VMI) هستش.
بصورت کلی Virtual Machine Introspection تکنیکی برای نظارت بر وضعیت اجرایی یک ماشین مجازی در سطح سیستم هستش و در دیباگینگ و فارنزیک و آنالیز بدافزار میتونه مورد استفاده قرار بگیره.
این ابزارهای Virtual Machine Introspection معمولا به دو صورت درونی و خارجی ارائه میشن. درونی اینجوریه که ابزارها داخل ماشین مجازی قرار میگیرن و رویدادها و موارد مختلف رو ضبط و در اختیار تحلیلگر قرار میدن. اما ابزارهای بیرونی، خارج از ماشین مجازی هستن و امکان تحلیل رو از بیرون میدن.
پروژه ی vmi از نوع بیرونی هستش، بصورت ماژولار طراحی شده و قابل توسعه هستش. از معماریهای مختلف پردازنده، هایپروایزر ها و سیستم عاملها پشتیبانی میکنه.
#مهندسی_معکوس #فارنزیک #آنالیز_بدافزار
#ReverseEngineering #forensic #MalwareAnalysis
🆔 @onhex_ir
➡️ ALL Link
GitHub
GitHub - vmi-rs/vmi: Modular and extensible library for Virtual Machine Introspection
Modular and extensible library for Virtual Machine Introspection - vmi-rs/vmi
❤11
OnHex
🔴 بیانیه شرکت قاصدک سامانه در پی حمله به سامانه ایمیل سازمانی شرکت مادرتخصصی تولید و توسعه انرژی اتمی در پی حمله به سامانه ایمیل سازمانی شرکت مادرتخصصی تولید و توسعه انرژی اتمی و بداخلاقی های صورت گرفته در فضای مجازی و انتساب اتهامات بی پایه و اکاذیب به…
🔴 اصلاح سه آسیب پذیری در محصولات Zimbra :
- آسیب پذیری CVE-2025-25064: آسیب پذیری از نوع SQL injection و امتیاز 9.8 داره. آسیب پذیری در نقطه پایانی ZimbraSyncService SOAP هستش. مهاجم احراز هویتشده میتونه کوئریهای SQL دلخواه رو تزریق کنه تا به متادیتای ایمیلها دسترسی پیدا کنه. این کار از طریق دستکاری یک پارامتر خاص در درخواست انجام میشه.
نسخه اصلاح شده:
10.0.12
10.1.4
- آسیب پذیری CVE-2025-25065: از نوع SSRF و دارای امتیاز 5.3 هستش. آسیب پذیری در تجزیه کننده RSS feed هستش که امکان ریدایرکت غیرمجاز به نقاط پایانی داخل شبکه رو میده.
نسخه ی اصلاح شده:
9.0.0 Patch 43
10.0.12
10.1.4
- آسیب پذیری سوم: آسیب پذیری از نوع stored XSS هستش و فعلا CVE نگرفته. آسیب پذیری در Zimbra Classic Web Client هستش.
نسخه ی اصلاح شده:
9.0.0 Patch 44
10.0.13
10.1.5
#آسیب_پذیری_امنیتی #زیمبرا
#CVE #Zimbra
🆔 @onhex_ir
➡️ ALL Link
- آسیب پذیری CVE-2025-25064: آسیب پذیری از نوع SQL injection و امتیاز 9.8 داره. آسیب پذیری در نقطه پایانی ZimbraSyncService SOAP هستش. مهاجم احراز هویتشده میتونه کوئریهای SQL دلخواه رو تزریق کنه تا به متادیتای ایمیلها دسترسی پیدا کنه. این کار از طریق دستکاری یک پارامتر خاص در درخواست انجام میشه.
نسخه اصلاح شده:
10.0.12
10.1.4
- آسیب پذیری CVE-2025-25065: از نوع SSRF و دارای امتیاز 5.3 هستش. آسیب پذیری در تجزیه کننده RSS feed هستش که امکان ریدایرکت غیرمجاز به نقاط پایانی داخل شبکه رو میده.
نسخه ی اصلاح شده:
9.0.0 Patch 43
10.0.12
10.1.4
- آسیب پذیری سوم: آسیب پذیری از نوع stored XSS هستش و فعلا CVE نگرفته. آسیب پذیری در Zimbra Classic Web Client هستش.
نسخه ی اصلاح شده:
9.0.0 Patch 44
10.0.13
10.1.5
#آسیب_پذیری_امنیتی #زیمبرا
#CVE #Zimbra
🆔 @onhex_ir
➡️ ALL Link
❤6
🔴 ردیابی تهدیدات سایبری در تلگرام: بررسی گروههای فیشینگ و تولیدکنندگان بدافزار
آقای DivDetector زحمت کشیدن گزارشی در خصوص تهدیدات سایبری در تلگرام و بصورت تخصصی اطلاعاتی در خصوص فعالیتهای گروه سایبری ایرانی با نام اختصاری لیدیا (Lydia) که در حوزه ی بانکی فعالیت میکنن رو منتشر کردن. اگه به تهدیدات سایبری، آنالیز بدافزار ، فیشینگ، علاقمند هستید، این گزارش رو از دست ندید.
#بازیگران_تهدید #هکرهای_ایرانی #لیدیا
#lydia
🆔 @onhex_ir
➡️ ALL Link
آقای DivDetector زحمت کشیدن گزارشی در خصوص تهدیدات سایبری در تلگرام و بصورت تخصصی اطلاعاتی در خصوص فعالیتهای گروه سایبری ایرانی با نام اختصاری لیدیا (Lydia) که در حوزه ی بانکی فعالیت میکنن رو منتشر کردن. اگه به تهدیدات سایبری، آنالیز بدافزار ، فیشینگ، علاقمند هستید، این گزارش رو از دست ندید.
#بازیگران_تهدید #هکرهای_ایرانی #لیدیا
#lydia
🆔 @onhex_ir
➡️ ALL Link
ویرگول
ردیابی تهدیدات سایبری در تلگرام: بررسی گروههای فیشینگ و تولیدکنندگان بدافزار - ویرگول
تولیدکننده بدافزارهای اندرویدی و رباتهای مخرب تلگرامی با تمرکز بر حملات بانکی. ببینید چطور اطلاعات کاربران سرقت میشود.
❤10
🔴 حمله ی زنجیره تامین روی اکوسیستم Golang
در این پست گزارش اخیر محققای Socket از حمله ی زنجیره تامین روی اکوسیستم گولنگ که به مدت 3 سال فعال بود رو بررسی کردیم.
#گولنگ #زنجیره_تامین
#golang #SupplyChainAttack
🆔 @onhex_ir
➡️ ALL Link
در این پست گزارش اخیر محققای Socket از حمله ی زنجیره تامین روی اکوسیستم گولنگ که به مدت 3 سال فعال بود رو بررسی کردیم.
#گولنگ #زنجیره_تامین
#golang #SupplyChainAttack
🆔 @onhex_ir
➡️ ALL Link
ONHEXGROUP
حمله ی زنجیره تامین روی اکوسیستم Golang
در این پست گزارش اخیر محققای Socket از حمله ی زنجیره تامین روی اکوسیستم گولنگ که به مدت 3 سال فعال بود رو بررسی کردیم.
❤9
🔴 استفاده Kimsuky از تاکتیک ClickFix برای دسترسی اولیه به اهداف:
گروه هکری Kimsuky که با نامهای Emerald Sleet و Velvet Chollima هم شناخته میشه و منتسب به کره شمالی میدونن، اخیرا از ClickFix در کمپین هاش استفاده میکنه.
تاکتیک ClickFix، یک نوع تاکتیک مهندسی اجتماعی هستش که در اون مهاجم با فریب کاربر، کاری میکنه که خود قربانی کدهای مخرب (اغلب پاورشل) رو اجرا کنه و معمولا در توزیع infostealerها بکار میره.
در این کمپین که توسط مایکروسافت شناسایی شده، هکرها خودشون رو بجای مقامات دولتی کره جنوبی جا میزدن و با قربانی ارتباط میگرفتن تا به یک سطحی از اعتماد برسن.
بعدش یک ایمیل نیزه ای همراه با PDF ضمیمه ارسال میکنن. افرادی که میخوان سند رو بخونن به یک لینک جعلی ثبت دستگاه هدایت میشن و اونجا ازشون خواسته میشه تا یک پاورشل با سطح ادمین باز و دستورات پاورشلی رو اجرا کنن.
با این کار یک ابزار Remote Desktop مبتنی بر مرورگر و یک گواهی روی دستگاه نصب میشه که منجر به ارتباط دستگاه قربانی با C2 مهاجم میشه.
مایکروسافت گفته که این تاکتیک رو بصورت محدود از ژانویه 2025 مشاهده کرده که هدف اونا افراد فعال در سازمانهای امور بینالملل، سازمانهای غیردولتی، سازمانهای دولتی و شرکتهای رسانهای در آمریکای شمالی، آمریکای جنوبی، اروپا و شرق آسیا بوده.
مایکروسافت نسبت به این تاکتیک هشدار داده و گفته که جدی بگیریدش. همچنین با توجه به اینکه یک بازیگر دولتی از این تاکتیک استفاده میکنه، نشون دهنده اثر بخشی این حمله هستش.
اخیرا محققای esentire هم گزارشی منتشر کردن که مهاجمین با استفاده از ClickFix، اقدام به توزیع NetSupport RAT کردن.
#بازیگران_تهدید
#APT #ClickFIX
🆔 @onhex_ir
➡️ ALL Link
گروه هکری Kimsuky که با نامهای Emerald Sleet و Velvet Chollima هم شناخته میشه و منتسب به کره شمالی میدونن، اخیرا از ClickFix در کمپین هاش استفاده میکنه.
تاکتیک ClickFix، یک نوع تاکتیک مهندسی اجتماعی هستش که در اون مهاجم با فریب کاربر، کاری میکنه که خود قربانی کدهای مخرب (اغلب پاورشل) رو اجرا کنه و معمولا در توزیع infostealerها بکار میره.
در این کمپین که توسط مایکروسافت شناسایی شده، هکرها خودشون رو بجای مقامات دولتی کره جنوبی جا میزدن و با قربانی ارتباط میگرفتن تا به یک سطحی از اعتماد برسن.
بعدش یک ایمیل نیزه ای همراه با PDF ضمیمه ارسال میکنن. افرادی که میخوان سند رو بخونن به یک لینک جعلی ثبت دستگاه هدایت میشن و اونجا ازشون خواسته میشه تا یک پاورشل با سطح ادمین باز و دستورات پاورشلی رو اجرا کنن.
با این کار یک ابزار Remote Desktop مبتنی بر مرورگر و یک گواهی روی دستگاه نصب میشه که منجر به ارتباط دستگاه قربانی با C2 مهاجم میشه.
مایکروسافت گفته که این تاکتیک رو بصورت محدود از ژانویه 2025 مشاهده کرده که هدف اونا افراد فعال در سازمانهای امور بینالملل، سازمانهای غیردولتی، سازمانهای دولتی و شرکتهای رسانهای در آمریکای شمالی، آمریکای جنوبی، اروپا و شرق آسیا بوده.
مایکروسافت نسبت به این تاکتیک هشدار داده و گفته که جدی بگیریدش. همچنین با توجه به اینکه یک بازیگر دولتی از این تاکتیک استفاده میکنه، نشون دهنده اثر بخشی این حمله هستش.
اخیرا محققای esentire هم گزارشی منتشر کردن که مهاجمین با استفاده از ClickFix، اقدام به توزیع NetSupport RAT کردن.
#بازیگران_تهدید
#APT #ClickFIX
🆔 @onhex_ir
➡️ ALL Link
eSentire
NetSupport RAT Clickfix Distribution
THE THREAT Beginning in early January 2025, eSentire Threat Response Unit (TRU) observed an increase in the number of incidents involving the…
❤4
Forwarded from ..: لیکفا | Leakfa :..
🚨 نقض جدید: اطلاعات میلیونها شهروند ایرانی تحت پوشش سازمان بیمه سلامت در خطر افشای گسترده
مهاجمان توانستهاند به اطلاعات شخصی و بیمهای شهروندان، کارکنان دولت و سایر بیمه شدگان "سازمان بیمه سلامت ایران" دسترسی پیدا کنند. هنوز جزئیات دقیقی از میزان اطلاعات به سرقت رفته و یا استفاده احتمالی از آنها منتشر نشده است. با این حال، تاکنون مجموعه بزرگی در حدود 1 میلیون خط نام، نام خانوادگی، تاریخ تولد، نام پدر، شماره ملی، شماره تلفن همراه، وضعیت حیات، شناسه بیمه گذار، نام بیمه گذار و اطلاعات دیگری از این دادهها توسط هکر/هکرها به صورت عمومی منتشر شده است.
📌 اطلاعات افشاشده میتواند پیامدهای جدی مانند سرقت هویت، افزایش کلاهبرداریهای فیشینگ و کاهش اعتماد عمومی را به دنبال داشته باشد. کاربران باید هوشیار بوده و از ارائه اطلاعات شخصی در تماسها یا پیامهای مشکوک خودداری کنند.
✅ صحت دادههای نمونه بررسی شده و قابل تایید است!
🆔 @leakfarsi
مهاجمان توانستهاند به اطلاعات شخصی و بیمهای شهروندان، کارکنان دولت و سایر بیمه شدگان "سازمان بیمه سلامت ایران" دسترسی پیدا کنند. هنوز جزئیات دقیقی از میزان اطلاعات به سرقت رفته و یا استفاده احتمالی از آنها منتشر نشده است. با این حال، تاکنون مجموعه بزرگی در حدود 1 میلیون خط نام، نام خانوادگی، تاریخ تولد، نام پدر، شماره ملی، شماره تلفن همراه، وضعیت حیات، شناسه بیمه گذار، نام بیمه گذار و اطلاعات دیگری از این دادهها توسط هکر/هکرها به صورت عمومی منتشر شده است.
📌 اطلاعات افشاشده میتواند پیامدهای جدی مانند سرقت هویت، افزایش کلاهبرداریهای فیشینگ و کاهش اعتماد عمومی را به دنبال داشته باشد. کاربران باید هوشیار بوده و از ارائه اطلاعات شخصی در تماسها یا پیامهای مشکوک خودداری کنند.
✅ صحت دادههای نمونه بررسی شده و قابل تایید است!
🆔 @leakfarsi
❤8
🔴 توقیف سرورهای ZServers/XHost توسط پلیس هلند
اوایل این هفته، مقاماتی از آمریکا، استرالیا و بریتانیا تحریمهایی رو علیه اپراتورهای Zservers، که دو تبعه روسی بنام های Alexander Igorevich Mishin و Aleksandr Sergeyevich Bolshakov هستن، اعلام کردن.
اپراتورهای Zservers متهم به تسهیل حملات باج افزاری لاک بیت و پولشویی شدن.
این سرویس ها بصورت ضدگلوله ارائه میشن. Bulletproof Hosting (BPH) یا میزبانی ضدگلوله نوعی سرویس میزبانی وب است که به کاربران خود سطح بالایی از ناشناس بودن، آزادی عمل، و تحمل بالا در برابر گزارشهای سوءاستفاده (Abuse Reports) و درخواستهای قانونی ارائه میده. این سرویسها معمولاً توسط مجرمان سایبری و هکرها استفاده میشن.
پلیس هلند گفته این هاستینگها، فقط شرکتی نیستن که قوانین رو رعایت نمیکنن بلکه ستون فقرات جرایم سایبری هستن. بدون این میزبانها هکرها پناهگاه امنی برای میزبانی ابزارهای هک، داده های سرقتی و وب سایت هاشون ندارن.
در سرورهای توقیف شده که تعدادشون 127 مورد هستش، ابزارهای هک مربوط به باجافزار Lockbit و همچنین باجافزار Conti رو پیدا کردن و بررسی روشون همچنان ادامه داره.
این سرورها در مرکز دادهی Paul van Vlissingenstraat در آمستردام قرار داشتن و مجرمان سایبری میتونستن بصورت ناشناس و با پرداخت ارز دیجیتال سرویس دلخواه رو خریداری کنن. در حال حاضر، هیچ وبسایتی که روی این سرورها میزبانی میشد، قابل دسترس نیست.
اپراتورها بدلیل اینکه هنوز اعلام جرمی علیه اشون نشده آزاد هستن و دستگیر نشدن، اما بدلیل تحریمها با مسدود شدن اموال و ممنوعیت سفر مواجه هستن./ منبع
#بازیگران_تهدید #هاست_ضدگلوله #لاک_بیت
#Lockbit #Conti #BulletproofHosting
🆔 @onhex_ir
➡️ ALL Link
اوایل این هفته، مقاماتی از آمریکا، استرالیا و بریتانیا تحریمهایی رو علیه اپراتورهای Zservers، که دو تبعه روسی بنام های Alexander Igorevich Mishin و Aleksandr Sergeyevich Bolshakov هستن، اعلام کردن.
اپراتورهای Zservers متهم به تسهیل حملات باج افزاری لاک بیت و پولشویی شدن.
این سرویس ها بصورت ضدگلوله ارائه میشن. Bulletproof Hosting (BPH) یا میزبانی ضدگلوله نوعی سرویس میزبانی وب است که به کاربران خود سطح بالایی از ناشناس بودن، آزادی عمل، و تحمل بالا در برابر گزارشهای سوءاستفاده (Abuse Reports) و درخواستهای قانونی ارائه میده. این سرویسها معمولاً توسط مجرمان سایبری و هکرها استفاده میشن.
پلیس هلند گفته این هاستینگها، فقط شرکتی نیستن که قوانین رو رعایت نمیکنن بلکه ستون فقرات جرایم سایبری هستن. بدون این میزبانها هکرها پناهگاه امنی برای میزبانی ابزارهای هک، داده های سرقتی و وب سایت هاشون ندارن.
در سرورهای توقیف شده که تعدادشون 127 مورد هستش، ابزارهای هک مربوط به باجافزار Lockbit و همچنین باجافزار Conti رو پیدا کردن و بررسی روشون همچنان ادامه داره.
این سرورها در مرکز دادهی Paul van Vlissingenstraat در آمستردام قرار داشتن و مجرمان سایبری میتونستن بصورت ناشناس و با پرداخت ارز دیجیتال سرویس دلخواه رو خریداری کنن. در حال حاضر، هیچ وبسایتی که روی این سرورها میزبانی میشد، قابل دسترس نیست.
اپراتورها بدلیل اینکه هنوز اعلام جرمی علیه اشون نشده آزاد هستن و دستگیر نشدن، اما بدلیل تحریمها با مسدود شدن اموال و ممنوعیت سفر مواجه هستن./ منبع
#بازیگران_تهدید #هاست_ضدگلوله #لاک_بیت
#Lockbit #Conti #BulletproofHosting
🆔 @onhex_ir
➡️ ALL Link
BleepingComputer
Dutch Police seizes 127 XHost servers, dismantles bulletproof hoster
The Dutch Police (Politie) dismantled the ZServers/XHost bulletproof hosting operation after taking offline 127 servers used by the illegal platform.
❤6
🔴 موضوع برنامه ی Off By One Security این هفته "A Practical Look at Windows Kernel Mode Shadow Stacks and the Secure Kernel!" هستش.
مهمان برنامه آقای Connor McGarr هستن.
ویژگی های Kernel Mode Shadow Stacks و Secure Kernel بخشی از مکانیزم امنیتی ویندوز هستش که کار اکسپلویت کردن رو سخت میکنن.
این برنامه ساعت 23 به وقت ایران از طریق یوتیوب و توییتر پخش میشه.
اگه فرصت نکردید، برنامه ضبط میشه و بعدا هم از همون لینکها قابل دسترسه.
#اکسپلویت
#ExploitDevelopment #windows #KernelModeShadowStacks #SecureKernel #OffByOneSecurity
🆔 @onhex_ir
➡️ ALL Link
مهمان برنامه آقای Connor McGarr هستن.
ویژگی های Kernel Mode Shadow Stacks و Secure Kernel بخشی از مکانیزم امنیتی ویندوز هستش که کار اکسپلویت کردن رو سخت میکنن.
این برنامه ساعت 23 به وقت ایران از طریق یوتیوب و توییتر پخش میشه.
اگه فرصت نکردید، برنامه ضبط میشه و بعدا هم از همون لینکها قابل دسترسه.
#اکسپلویت
#ExploitDevelopment #windows #KernelModeShadowStacks #SecureKernel #OffByOneSecurity
🆔 @onhex_ir
➡️ ALL Link
YouTube
A Practical Look at Windows Kernel Mode Shadow Stacks and the Secure Kernel! ...with Connor McGarr!
Note: There was a short period of time early on where my Internet dropped during the stream. Just skip past it.
In this stream we'll take a look at Microsoft's implementation of the Shadow Stack exploit mitigation in the Windows Kernel. Connor published…
In this stream we'll take a look at Microsoft's implementation of the Shadow Stack exploit mitigation in the Windows Kernel. Connor published…
❤6
🔴 تصویر بالا مربوط به مصاحبه ی اخیر Cyber Anarchy Squad و Ares در کانال HackYourMom هستش.
پوشش این دو هکر، در شبکه های اجتماعی مورد توجه قرار گرفته.
زبان گفتگو اوکراینی و در خصوص موضوعات امنیت سایبری مرتبط با اوکراین صحبت میکنن.
🆔 @onhex_ir
➡️ ALL Link
پوشش این دو هکر، در شبکه های اجتماعی مورد توجه قرار گرفته.
زبان گفتگو اوکراینی و در خصوص موضوعات امنیت سایبری مرتبط با اوکراین صحبت میکنن.
🆔 @onhex_ir
➡️ ALL Link
❤9
🔴 آسیب پذیری SQLi در PostgreSQL
در این پست آسیب پذیری CVE-2025-1094 در PostgreSQL و ارتباط اون با هک BeyondTrust و چندین سازمان و آژانس آمریکایی رو بررسی کردیم.
#آسیب_پذیری_امنیتی #بازیگران_تهدید
#PostgreSQL #CVE #APT #SaltTyphoon #sqlinjection #BeyondTrust
🆔 @onhex_ir
➡️ ALL Link
در این پست آسیب پذیری CVE-2025-1094 در PostgreSQL و ارتباط اون با هک BeyondTrust و چندین سازمان و آژانس آمریکایی رو بررسی کردیم.
#آسیب_پذیری_امنیتی #بازیگران_تهدید
#PostgreSQL #CVE #APT #SaltTyphoon #sqlinjection #BeyondTrust
🆔 @onhex_ir
➡️ ALL Link
❤8
🔴 آقای علی امینی مقاله ای نوشتن در خصوص یک مشکل در تابع wtoi که میتونه منجر به دور زدن AV/EDR بشه :
مقاله رو میتونید از لینک زیر بخونید: (زبانش انگلیسی)
https://aleeamini.com/overflow-in-wtoi-leads-attackers-bypass-avs
#مایکروسافت
#EDR #AV #Microsoft
🆔 @onhex_ir
➡️ ALL Link
چگونه یک اشتباه برنامه نویسی در تابع #wtoi ویندوز، باعث میشه که مهاجم بتونه AV/EDR رو دور بزنه؟
این مطلب به درد چه کسایی میخوره؟
این مطلب میتونه هم به برنامهنویسها مخصوصا کسایی که C/C++ کار میکنن و هم به کسایی که #redteam یا #blueteam کار میکنن یک دید خوبی بده.
یکی از راههایی که برای گرفتن #dump از #lsass استفاده میکنن، استفاده از کتابخونه #comsvcs که یکی از #LOLBAS ها هست.
توی این روش میان و تابع #MiniDump رو با استفاده از #rundll32 فراخوانی میکنن و از lsass یه دامپ میگیرن.
اما محصولات امنیتی این فراخوانی رو تشخیص میدن و جلوی این کار رو میگیرن.
توی مقاله جدیدی که نوشتم، یک اشتباه برنامهنویسی توی کتابخونه #msvcrt رو موشکافی کردم که مهاجم با استفاده از این مساله میتونه محصولات امنیتی رو دور بزنه.
البته نمونهای که اینجا بررسی کردم یکی از مواردی هست که مهاجم میتونه ازش سو استفاده بکنه.
ممکنه کلی کار دیگه با این سرریزی که موجود هست بشه انجام داد.
نکته قابل تأمل اینه که چرا #microsoft هنوز این مساله امنیتی رو توی rundll32 رفع نکرده.
مقاله رو میتونید از لینک زیر بخونید: (زبانش انگلیسی)
https://aleeamini.com/overflow-in-wtoi-leads-attackers-bypass-avs
#مایکروسافت
#EDR #AV #Microsoft
🆔 @onhex_ir
➡️ ALL Link
Binary Graveyard 🪦
How Overflow in wtoi leads Attackers to bypass AV/Edr - Binary Graveyard 🪦
How Overflow in wtoi leads Attackers to bypass AV/Edr: Attackers often attempt to access Windows credentials (Lsass Dump) using "mimikatz."
❤15
OnHex
🔴 شماره ی 71 از نشریه ی Phrack منتشر شد. #منابع #نشریه #phrack 🆔 @onhex_ir ➡️ ALL Link
phrack-71.pdf
29.8 MB
🔴 نسخه ی PDF شماره 71 نشریه Phrack منتشر شد.
همچنین ارسال مقاله برای شماره ی 72، همچنان امکان پذیره.
لینک دانلود مستقیم از سایتشون
#منابع #نشریه #phrack
🆔 @onhex_ir
➡️ ALL Link
همچنین ارسال مقاله برای شماره ی 72، همچنان امکان پذیره.
لینک دانلود مستقیم از سایتشون
#منابع #نشریه #phrack
🆔 @onhex_ir
➡️ ALL Link
❤6
🔴 نگاهی به مسابقه پلاگین نویسی Hex-Rays IDA 2024
در این پست نگاهی به نتایج مسابقه ی پلاگین نویسی Hex-Rays IDA 2024 انداختیم و در ادامه 20 پلاگین ارسالی به این مسابقه رو معرفی و بررسی کردیم.
#مهندسی_معکوس #اسمبلی
#ReverseEngineering #IDApro #HexRays #IDAPluginContest
🆔 @onhex_ir
➡️ ALL Link
در این پست نگاهی به نتایج مسابقه ی پلاگین نویسی Hex-Rays IDA 2024 انداختیم و در ادامه 20 پلاگین ارسالی به این مسابقه رو معرفی و بررسی کردیم.
#مهندسی_معکوس #اسمبلی
#ReverseEngineering #IDApro #HexRays #IDAPluginContest
🆔 @onhex_ir
➡️ ALL Link
❤7
Media is too big
VIEW IN TELEGRAM
🔴 مینی سریال جدید نتفلیکس با عنوان Zero Day به لیست "معرفی فیلمها و سریالهای مرتبط با هک و امنیت" اضافه شده.
#هک #فیلم #سریال
#ZeroDay
🆔 @onhex_ir
➡️ ALL Link
#هک #فیلم #سریال
#ZeroDay
🆔 @onhex_ir
➡️ ALL Link
❤28