🔴 اصلاح سه آسیب پذیری در محصولات Zimbra :

- آسیب پذیری CVE-2025-25064: آسیب پذیری از نوع SQL injection و امتیاز 9.8 داره. آسیب پذیری در نقطه پایانی ZimbraSyncService SOAP هستش. مهاجم احراز هویت‌شده میتونه کوئریهای SQL دلخواه رو تزریق کنه تا به متادیتای ایمیلها دسترسی پیدا کنه. این کار از طریق دستکاری یک پارامتر خاص در درخواست انجام میشه.
نسخه اصلاح شده:
10.0.12
10.1.4

- آسیب پذیری CVE-2025-25065: از نوع SSRF و دارای امتیاز 5.3 هستش. آسیب پذیری در تجزیه کننده RSS feed هستش که امکان ریدایرکت غیرمجاز به نقاط پایانی داخل شبکه رو میده.
نسخه ی اصلاح شده:
9.0.0 Patch 43
10.0.12
10.1.4

- آسیب پذیری سوم: آسیب پذیری از نوع stored XSS هستش و فعلا CVE نگرفته. آسیب پذیری در Zimbra Classic Web Client هستش.
نسخه ی اصلاح شده:
9.0.0 Patch 44
10.0.13
10.1.5

#آسیب_پذیری_امنیتی #زیمبرا
#CVE #Zimbra

🆔 @onhex_ir
➡️ ALL Link

🔴 ردیابی تهدیدات سایبری در تلگرام: بررسی گروه‌های فیشینگ و تولیدکنندگان بدافزار

آقای DivDetector زحمت کشیدن گزارشی در خصوص تهدیدات سایبری در تلگرام و بصورت تخصصی اطلاعاتی در خصوص فعالیتهای گروه سایبری ایرانی‌ با نام اختصاری لیدیا (Lydia) که در حوزه ی بانکی فعالیت میکنن رو منتشر کردن. اگه به تهدیدات سایبری، آنالیز بدافزار ، فیشینگ، علاقمند هستید، این گزارش رو از دست ندید.

#بازیگران_تهدید #هکرهای_ایرانی #لیدیا
#lydia

🆔 @onhex_ir
➡️ ALL Link

🔴 حمله ی زنجیره تامین روی اکوسیستم Golang

در این پست گزارش اخیر محققای Socket از حمله ی زنجیره تامین روی اکوسیستم گولنگ که به مدت 3 سال فعال بود رو بررسی کردیم.

#گولنگ #زنجیره_تامین
#golang #SupplyChainAttack

🆔 @onhex_ir
➡️ ALL Link

🔴 استفاده Kimsuky از تاکتیک ClickFix برای دسترسی اولیه به اهداف:

گروه هکری Kimsuky که با نامهای Emerald Sleet و Velvet Chollima هم شناخته میشه و منتسب به کره شمالی میدونن، اخیرا از ClickFix در کمپین هاش استفاده میکنه.

تاکتیک ClickFix، یک نوع تاکتیک مهندسی اجتماعی هستش که در اون مهاجم با فریب کاربر، کاری میکنه که خود قربانی کدهای مخرب (اغلب پاورشل) رو اجرا کنه و معمولا در توزیع infostealerها بکار میره.

در این کمپین که توسط مایکروسافت شناسایی شده، هکرها خودشون رو بجای مقامات دولتی کره جنوبی جا میزدن و با قربانی ارتباط میگرفتن تا به یک سطحی از اعتماد برسن.

بعدش یک ایمیل نیزه ای همراه با PDF ضمیمه ارسال میکنن. افرادی که میخوان سند رو بخونن به یک لینک جعلی ثبت دستگاه هدایت میشن و اونجا ازشون خواسته میشه تا یک پاورشل با سطح ادمین باز و دستورات پاورشلی رو اجرا کنن.

با این کار یک ابزار Remote Desktop مبتنی بر مرورگر و یک گواهی روی دستگاه نصب میشه که منجر به ارتباط دستگاه قربانی با C2 مهاجم میشه.

مایکروسافت گفته که این تاکتیک رو بصورت محدود از ژانویه 2025 مشاهده کرده که هدف اونا افراد فعال در سازمانهای امور بین‌الملل، سازمانهای غیردولتی، سازمانهای دولتی و شرکتهای رسانه‌ای در آمریکای شمالی، آمریکای جنوبی، اروپا و شرق آسیا بوده.

مایکروسافت نسبت به این تاکتیک هشدار داده و گفته که جدی بگیریدش. همچنین با توجه به اینکه یک بازیگر دولتی از این تاکتیک استفاده میکنه، نشون دهنده اثر بخشی این حمله هستش.

اخیرا محققای esentire هم گزارشی منتشر کردن که مهاجمین با استفاده از ClickFix، اقدام به توزیع NetSupport RAT کردن.

#بازیگران_تهدید
#APT #ClickFIX

🆔 @onhex_ir
➡️ ALL Link

🚨 نقض جدید: اطلاعات میلیون‌ها شهروند ایرانی تحت پوشش سازمان بیمه سلامت در خطر افشای گسترده

مهاجمان توانسته‌اند به اطلاعات شخصی و بیمه‌ای شهروندان، کارکنان دولت و سایر بیمه شدگان "سازمان بیمه سلامت ایران" دسترسی پیدا کنند. هنوز جزئیات دقیقی از میزان اطلاعات به سرقت رفته و یا استفاده احتمالی از آنها منتشر نشده است. با این حال، تاکنون مجموعه بزرگی در حدود 1 میلیون خط نام، نام خانوادگی، تاریخ تولد، نام پدر، شماره ملی، شماره تلفن همراه، وضعیت حیات، شناسه بیمه گذار، نام بیمه گذار و اطلاعات دیگری از این داده‌ها توسط هکر/هکر‌ها به صورت عمومی منتشر شده است.

📌 اطلاعات افشاشده می‌تواند پیامدهای جدی مانند سرقت هویت، افزایش کلاهبرداری‌های فیشینگ و کاهش اعتماد عمومی را به دنبال داشته باشد. کاربران باید هوشیار بوده و از ارائه اطلاعات شخصی در تماس‌ها یا پیام‌های مشکوک خودداری کنند.

✅ صحت داده‌های نمونه بررسی شده و قابل تایید است!

🆔 @leakfarsi

🔴 توقیف سرورهای ZServers/XHost توسط پلیس هلند

اوایل این هفته، مقاماتی از آمریکا، استرالیا و بریتانیا تحریمهایی رو علیه اپراتورهای Zservers، که دو تبعه روسی بنام های Alexander Igorevich Mishin و Aleksandr Sergeyevich Bolshakov هستن، اعلام کردن.

اپراتورهای Zservers متهم به تسهیل حملات باج افزاری لاک بیت و پولشویی شدن.

این سرویس ها بصورت ضدگلوله ارائه میشن. Bulletproof Hosting (BPH) یا میزبانی ضدگلوله نوعی سرویس میزبانی وب است که به کاربران خود سطح بالایی از ناشناس بودن، آزادی عمل، و تحمل بالا در برابر گزارش‌های سوءاستفاده (Abuse Reports) و درخواستهای قانونی ارائه میده. این سرویسها معمولاً توسط مجرمان سایبری و هکرها استفاده میشن.

پلیس هلند گفته این هاستینگها، فقط شرکتی نیستن که قوانین رو رعایت نمیکنن بلکه ستون فقرات جرایم سایبری هستن. بدون این میزبانها هکرها پناهگاه امنی برای میزبانی ابزارهای هک، داده های سرقتی و وب سایت هاشون ندارن.

در سرورهای توقیف شده که تعدادشون 127 مورد هستش، ابزارهای هک مربوط به باج‌افزار Lockbit و همچنین باج‌افزار Conti رو پیدا کردن و بررسی روشون همچنان ادامه داره.

این سرورها در مرکز داده‌ی Paul van Vlissingenstraat در آمستردام قرار داشتن و مجرمان سایبری میتونستن بصورت ناشناس و با پرداخت ارز دیجیتال سرویس دلخواه رو خریداری کنن. در حال حاضر، هیچ وب‌سایتی که روی این سرورها میزبانی میشد، قابل دسترس نیست.

اپراتورها بدلیل اینکه هنوز اعلام جرمی علیه اشون نشده آزاد هستن و دستگیر نشدن، اما بدلیل تحریمها با مسدود شدن اموال و ممنوعیت سفر مواجه هستن./ منبع

#بازیگران_تهدید #هاست_ضدگلوله #لاک_بیت
#Lockbit #Conti #BulletproofHosting

🆔 @onhex_ir
➡️ ALL Link

🔴 موضوع برنامه ی Off By One Security این هفته "A Practical Look at Windows Kernel Mode Shadow Stacks and the Secure Kernel!" هستش.

مهمان برنامه آقای Connor McGarr هستن.

ویژگی های Kernel Mode Shadow Stacks و Secure Kernel بخشی از مکانیزم امنیتی ویندوز هستش که کار اکسپلویت کردن رو سخت میکنن.

این برنامه ساعت 23 به وقت ایران از طریق یوتیوب و توییتر پخش میشه.

اگه فرصت نکردید، برنامه ضبط میشه و بعدا هم از همون لینکها قابل دسترسه.

#اکسپلویت
#ExploitDevelopment #windows #KernelModeShadowStacks #SecureKernel #OffByOneSecurity

🆔 @onhex_ir
➡️ ALL Link

🔴 تصویر بالا مربوط به مصاحبه ی اخیر Cyber Anarchy Squad و Ares در کانال HackYourMom هستش.

پوشش این دو هکر، در شبکه های اجتماعی مورد توجه قرار گرفته.

زبان گفتگو اوکراینی و در خصوص موضوعات امنیت سایبری مرتبط با اوکراین صحبت میکنن.

🆔 @onhex_ir
➡️ ALL Link

🔴 آسیب پذیری SQLi در PostgreSQL

در این پست آسیب پذیری CVE-2025-1094 در PostgreSQL و ارتباط اون با هک BeyondTrust و چندین سازمان و آژانس آمریکایی رو بررسی کردیم.

#آسیب_پذیری_امنیتی #بازیگران_تهدید
#PostgreSQL #CVE #APT #SaltTyphoon #sqlinjection #BeyondTrust

🆔 @onhex_ir
➡️ ALL Link

🔴 نگاهی به حملات DDOS

منبع

#طنز

🆔 @onhex_ir
➡️ ALL Link

🔴 آقای علی امینی مقاله ای نوشتن در خصوص یک مشکل در تابع wtoi که میتونه منجر به دور زدن AV/EDR بشه :

چگونه یک اشتباه برنامه نویسی در تابع #wtoi ویندوز، باعث میشه که مهاجم بتونه AV/EDR رو دور بزنه؟
این مطلب به درد چه کسایی میخوره؟
این مطلب میتونه هم به برنامه‌نویس‌ها مخصوصا کسایی که C/C++ کار میکنن و هم به کسایی که #redteam یا #blueteam کار میکنن یک دید خوبی بده.

یکی از راه‌هایی که برای گرفتن #dump از #lsass استفاده میکنن، استفاده از کتابخونه #comsvcs که یکی از #LOLBAS ها هست.
توی این روش میان و تابع #MiniDump رو با استفاده از #rundll32 فراخوانی میکنن و از lsass یه دامپ‌ میگیرن.
اما محصولات امنیتی این فراخوانی رو تشخیص میدن و جلوی این کار رو میگیرن.

توی مقاله جدیدی که نوشتم، یک اشتباه برنامه‌نویسی توی کتابخونه #msvcrt رو موشکافی کردم که مهاجم با استفاده از این مساله میتونه محصولات امنیتی رو دور بزنه.
البته نمونه‌ای که اینجا بررسی کردم یکی از مواردی هست که مهاجم میتونه ازش سو استفاده بکنه.
ممکنه کلی کار دیگه با این سرریزی که موجود هست بشه انجام داد.
نکته قابل تأمل اینه که چرا #microsoft هنوز این مساله امنیتی رو توی rundll32 رفع نکرده.

مقاله رو میتونید از لینک زیر بخونید: (زبانش انگلیسی)

https://aleeamini.com/overflow-in-wtoi-leads-attackers-bypass-avs

#مایکروسافت
#EDR #AV #Microsoft

🆔 @onhex_ir
➡️ ALL Link

🔴 نسخه ی PDF شماره 71 نشریه Phrack منتشر شد.

همچنین ارسال مقاله برای شماره ی 72، همچنان امکان پذیره.

لینک دانلود مستقیم از سایتشون

#منابع #نشریه #phrack

🆔 @onhex_ir
➡️ ALL Link

🔴 نگاهی به مسابقه پلاگین نویسی Hex-Rays IDA 2024

در این پست نگاهی به نتایج مسابقه ی پلاگین نویسی Hex-Rays IDA 2024 انداختیم و در ادامه 20 پلاگین ارسالی به این مسابقه رو معرفی و بررسی کردیم.

#مهندسی_معکوس #اسمبلی

#ReverseEngineering #IDApro #HexRays #IDAPluginContest

🆔 @onhex_ir
➡️ ALL Link

🔴 مینی سریال جدید نتفلیکس با عنوان Zero Day به لیست "معرفی فیلمها و سریالهای مرتبط با هک و امنیت" اضافه شده.

#هک #فیلم #سریال
#ZeroDay

🆔 @onhex_ir
➡️ ALL Link

🔴 نشت چت های داخلی گروه باج افزاری Black Basta

گروه Black Basta یک گروه باج افزاری هستش که فعالیتش رو از آوریل 2022 شروع کرد و قربانیان مختلفی از جمله Rheinmetall، BT Group و بخش اروپایی هیوندای و Ascension داشته.

چتهای داخلی این گروه 11 فوریه منتشر شده و شامل چتهاشون از 18 سپتامبر 2023 تا 28 سپتامبر 2024 هستش.

این گروه که با نام Vengeful Mantis هم شناخته میشه، بدلیل کلاهبرداری یکی از اعضا، دریافت باج بدون ارائه ی رمزگشا، از اوایل سال 2025 فعالیتش کم شده بود.

چتهای نشت شده، اطلاعاتی جالبی از جمله اختلافات داخلی، تاکتیکهای فیشینگ، تراکنش ارزهای دیجیتال و مذاکرات باج، در اختیار محققین قرار میده.

یکی از اعضای کلیدی این گروه با نام Tramp که با نام LARVA-18 هم شناخته میشه، یکی از مجرمین سایبری هستش که قبلا بدافزار Qakbot رو هم توزیع میکرده. براساس چتها، اقدامات ایشون باعث اختلاف بین اعضای کلیدی و همکاری با سایر باج افزارها از جمله Cactus (Nurturing Mantis) شده.

احتمالا اقدامات اخیر این گروه در هدف قرار دادن موسسات مالی روسی، باعث این نشت شده. اعضا با این کار مخالف بودن.

نکته جالب اینجاست که شرکت Hudson Rock اومده این چتهارو بعنوان داده های آموزشی به یک بات هوش مصنوعی با نام BlackBastaGPT داده و یک چت بات راه اندازی کرده. این ابزار به محققین امکان تشریح استراتژیهای باج افزار، معاملات مالی و ... رو میده. / منبع

⚠️ گویا علاقمند بودن که یسری از داده های دزدیده شده اشون رو به 🇮🇷 بفروشن.

#باج_افزار #نشت_داده #هوش_مصنوعی
#BlackBasta #leak #Ransomware #AI #HudsonRock

🆔 @onhex_ir
➡️ ALL Link

🔴 اگه علاقه به یادگیری زبان Rust دارید، تیم اندروید گوگل یک دوره رایگان یادگیری زبان Rust از مبتدی تا پیشرفته رو منتشر کرده.

قسمت قشنگش اینه که مطالب به فارسی هم ترجمه شده.

مشاهده آموزش به انگلیسی
مشاهده آموزش به فارسی
مخزن گیتهاب


#اندروید #گوگل
#Rust #google #Android

🆔 @onhex_ir
➡️ ALL Link

🔴 لیست موتورهای جستجو برای محققین امنیت سایبری با موارد زیر بروز شد :

- پروژه ی shadowmap: امکان مشاهده و شبیه سازی سایه های ایجاد شده توسط ساختمانهارو در هر نقطه از جهان میده. (مکان یابی عکسها و ویدیوها)

- پروژه ی whatsmyname: نام کاربری میگیره و در 633 سایت و شبکه اجتماعی، اون نام کاربری رو جستجو میکنه.

- پروژه ی mapchecking: ابزاری برای تخمین تعداد افرادی که میتونن در یک مکان خاص جمع بشن.

- پروژه ی openinframap: امکان جستجوی زیرساخت های کلیدی رو میده.

- پروژه ی Search4faces : امکان پیدا کردن یک فرد، در چند پلتفرم رو از طریق عکسش دارید.

- پروژه ی getdaytrends : امکان مشاهده ی تگ های ترند در توییتر رو در هر زمان و مکان میده.

- پروژه ی flightradar24 : امکان رهگیری پروازها رو میده.

- پروژه ی pimeyes : عکس میگیره، میگه کجا منتشر شده.

- پروژه ی openmeasures : به شما امکان میده ترندهارو در پلتفرمهای مختلف جستجو کنید.

- پروژه ی mattw youtube geofind: امکان جستجو براساس مکان آپلود برای ویدیوهای یوتیوبی که دارای location tag هستن رو میده.

- پروژه ی Geo Guesser: ابزاری مبتنی بر ChatGPT برای مکان یابی عکس ها.

- پروژه ی whopostedwhat :ابزاری که به شما کمک میکنه بدونید چه چیزی در یک تاریخ خاص در فیسبوک منتشر شده.

#اوسینت
#osint

🆔 @onhex_ir
➡️ ALL Link

🔴 سرویس اطلاع رسانی نقض داده Have I Been Pwned (HIBP) تعداد ۲۸۴,۱۳۲,۹۶۹ حساب کاربری که توسط بدافزارهای Infostealer دزدیده و در کانال تلگرامی ALIEN TXTBASE پیدا شدن رو به دیتابیس خودش اضافه کرده.

حجم این داده ها، 1.5 ترابایت و شامل ۲۳ میلیارد ردیف است که ۴۹۳ میلیون جفت سایت و آدرس ایمیل منحصربه‌فرد رو در بر میگیره و ۲۸۴ میلیون آدرس ایمیل منحصربه‌فرد رو تحت تأثیر قرار داده.

با توجه به تعداد زیاد اکانتها در این مجموعه، احتمالاً این داده‌ها شامل اعتبارنامه‌های قدیمی و جدید است که از طریق حملات Credential Stuffing و نقضهای داده‌ای، دزدیده شدن.

قبل از اضافه کردن این اکانتها به HIBP، با بررسی اینکه آیا تلاش برای بازنشانی رمز عبور با استفاده از آدرسهای ایمیل دزدیده‌ شده باعث میشه سرویس ایمیل بازنشانی رمز عبور رو ارسال کنه یا نه، صحت اونارو تأیید کردن.

همچنین این سرویس یسری API هم به سایتش اضافه کرده که امکان جستجو رو برای صاحبان سایتها فراهم میکنه.

برای اینکه بدونید، آیا تحت تاثیر این نقض بودید، فقط کافیه وارد سایت HIBP بشید و ایمیلتون رو برای جستجو وارد کنید.

اگه بخوایید بدونید که اطلاعات اکانتتون در کدوم سایتها تحت تاثیر بوده، باید اشتراک تهیه کنید. این کار برای جلوگیری از افشای اطلاعات حساس انجام دادن.

#نقض_داده
#Infostealer #HIBP #ALIENTXTBASE

🆔 @onhex_ir
➡️ ALL Link

🔴 لایو حدود 5 دقیقه ای هستش که شروع شده

یوتیوب

توییتر (اسپیس)

توییتر آقای حمید کشفی

گزارشهایی که در این لایو بررسی شدن:

- گزارش اول : Find my hacker: How Apple's network can be a potential tracking tool | Apple bleee

- گزارش دوم: هک Bybit | توییت Patrick Collins

- گزارش سوم: Iranian Messaging Apps – Security Audit

- گزارش چهارم: An inside look at NSA (Equation Group) TTPs from China’s lense

- گزارش پنجم: First analysis of Apple's USB Restricted Mode bypass (CVE-2025-24200)

- گزارش ششم: Decrypting RDP Traffic in Wireshark

- گزارش هفتم : ارتباطات VPNهای تجاری : یک | دو

- گزارش هشتم : Common OAuth Vulnerabilities

- گزارش نهم: محدود شدن US OTF (Open Technology Fund)

#لایو #اپل
#Apple #bybit #EquationGroup #redteam #RDP #VPN

🆔 @onhex_ir
➡️ ALL Link

🔴 دوره آموزشی کرک نرم افزار (313 جلسه - مدرس rastin28)

دیروز یکی از اعضای کانالمون درخواست این دوره رو کرده بودن. قبلا ما یک فرومی داشتیم که بسته شد و پست هم مربوط به اون فروم بود. با توجه به اینکه شاید دوره برای برخی کاربردی باشه، اینجا دوباره قرار میدم.

نکاتی در خصوص این دوره:
- استاد دوره آقای rastin28
- دوره 313 قسمت هستش. ( نمیدونم فایلهای فشرده 313 قسمت رو میدن یا نه - دانلود نکردم)
- دوره برای سال 1393 هستش.
- برخی آنتی ویروسها ممکنه گیر بدن بهش. (برای برخی برنامه های کرکش)
- چون دوره قدیمی هستش، شاید برخی برنامه هایی که کرک میکنه رو نتونید پیدا کنید.

لینک دانلود از MediaFire
لینک در فروم خاطره انگیز IranVig
اگه Cr4cK L245 Farsi.rar خطا داد، از اینجا حلش کنید.


#کرک #مهندسی_معکوس
#Crack #ReverseEngineering #Patching #keygenning #SerialPhishing

🆔 @onhex_ir
➡️ ALL Link

🔴 دور زدن AMSI در سال 2025

در این پست به مقاله ی اخیر آقای Fabian Mosch (S3cur3Th1sSh1t) پرداختیم که روش های موثر دور زدن AMSI در سال 2025 رو معرفی کردن.


#مایکروسافت #تیم_آبی #تیم_قرمز #ویندوز
#Windows #Microsoft #AMSI #BypassAmsi #redteam #Blueteam

🆔 @onhex_ir
➡️ ALL Link