⛔ این IP ها را به صورت ثابت بلاک کنید⛔️ 152.32.227.68 165.154.162.102 184.105.139.67 66.240.236.116 45.33.109.18 147.182.241.81 206.168.34.51 2.57.122.210 ⚠️ این 8 آی پی از سال 1402 تا کنون در همه لیست های آلوده وجود دارند. بهتر است این آی پی ها را به صورت ثابت بلاک کنید. #امنیت_سایبری @GreenBuffer

⭕️ کد منبع هوش مصنوعی جنجالی Claude Code فاش شد ‌ 🧠 کد منبع ابزار هوشمند برنامه‌نویسی Claude Code به‌طور ناخواسته پس از انتشار آپدیت جدید فاش شد. این نشت اطلاعاتی شامل بیش از ۵۰۰ هزار خط کد TypeScript است و به کاربران اجازه می‌دهد تا عملکرد داخلی این پلتفرم را بررسی کنند. ‌ 🔹بررسی کد نشان داده که ویژگی‌های آتی، دستورالعمل‌های آنتروپیک برای چت‌بات هوشمند و جزئیاتی درباره‌ی معماری حافظه‌ی آن قابل مشاهده است. با وجود خطرات احتمالی دور زدن محافظت‌ها، تحلیلگران معتقدند این اتفاق می‌تواند سرمایه‌گذاری بیشتر در فرآیندهای عملیاتی را به دنبال داشته باشد. ‌ #امنیت_سایبری @GreenBuffer

⭕️ اگر قفل گوشی شما به‌طور خودکار باز می‌شود، احتمالاً هک شده‌اید! 🔹مجرمان سایبری همیشه راهکارهای جدیدی برای ورود به گوشی هوشمند شما می‌یابند. 🔹همه‌ ما در مورد بدافزارها، کلاهبرداری‌های فیشینگ و آسیب‌پذیری‌های نرم‌افزاری شنیده‌ایم، اما محققان دانشگاه ژجیانگ چین و دانشگاه دارمتشات آلمان، روش مبتنی‌بر سخت‌افزار جدیدی را شناسایی کرده‌اند که هکرها از آن برای کنترل گوشی‌های هوشمند بهره می‌برند. 🔹در این روش افراد سودجو می‌توانند با استفاده از سیگنال‌های الکترومغناطیسی برای شبیه‌سازی حرکاتی مثل ضربه‌زدن روی نمایشگر گوشی برای باز کردن قفل گوشی‌های هوشمند استفاده کنند. 🔹این روش GhostTouch نام دارد و به هکرها اجازه می‌دهد قفل دستگاه قربانیان خود را باز کرده و به داده‌های حساسی مثل گذرواژه‌ها و حتی برنامه‌های بانکی دسترسی داشته باشند. 🔹آنان همچنین می‌توانند برای دسترسی گسترده‌تر، روی گوشی افراد بدافزار نصب کنند. 🔹تنها کاری که مهاجم برای اجرای روش GhostTouch باید انجام دهد، نزدیک شدن به محل حضور هدف است. 🔹مهاجمان می‌توانند تجهیزات خود را در مکان‌های عمومی قرار داده تا سیگنال‌های الکترومغناطیسی را به‌ گوشی افراد ارسال کنند. / مرکز افتا #امنیت_سایبری @GreenBuffer

🔴هشدار امنیتی :شناسایی زنجیره اجرای بدافزار مبتنی بر PowerShell با طعمه مرتبط با زیرساخت انرژی - تکمیلی تاریخ: ۱۳ فروردین ۱۴۰۵ 🔶بر اساس پایش‌های مستمر و تحلیل‌های انجام‌شده در مرکز هوش‌تهدیدات سایبری، نمونه‌ای از فعالیت مخرب مبتنی بر PowerShell شناسایی شده است که با بهره‌گیری از تکنیک‌های مبهم‌سازی کد (Obfuscation) اقدام به اجرای بدافزار در سامانه‌های هدف می‌کند. در این نمونه، مهاجم از فایل فشرده‌ای با عنوان «Energy Infrastructure Situation Note – Tehran Province 2026.zip» به عنوان طعمه مهندسی اجتماعی استفاده کرده است. بررسی کد نشان می‌دهد اسکریپت PowerShell با استفاده از متغیرهای مبهم و توابع سیستمی، داده‌های باینری را پردازش کرده و فایل مخرب را در مسیر کاربری سیستم ذخیره می‌کند. 🔶بر اساس تحلیل اولیه، زنجیره اجرای حمله شامل مراحل زیر است: • فراخوانی و اجرای اسکریپت PowerShell با ساختار مبهم‌سازی‌شده • خواندن داده‌های باینری و بازسازی فایل در سیستم قربانی • استخراج محتوای فایل فشرده در مسیر LocalAppData • اجرای فایل اجرایی با نام ErsChk.exe به عنوان Payload نهایی 🔶استفاده از مسیرهای کاربری نظیر LocalAppData و نام‌گذاری متغیرهای تصادفی از جمله تکنیک‌هایی است که با هدف کاهش احتمال شناسایی توسط ابزارهای امنیتی به کار گرفته شده است. همچنین انتخاب موضوع مرتبط با زیرساخت انرژی می‌تواند نشان‌دهنده تلاش برای افزایش نرخ موفقیت حملات مهندسی اجتماعی در میان کاربران هدف باشد. 🔶توصیه‌های عملیاتی: • پایش و ثبت رخدادهای مرتبط با اجرای PowerShell در سامانه‌های سازمانی • محدودسازی اجرای اسکریپت‌های ناشناس یا امضانشده • مانیتورینگ ایجاد یا اجرای فایل‌های اجرایی در مسیرهای کاربری به‌ویژه LocalAppData • بررسی رخدادهای مرتبط با استخراج فایل‌های فشرده و اجرای بلافاصله فایل‌های اجرایی • تقویت آگاهی کاربران نسبت به تهدیدات مهندسی اجتماعی #امنیت_سایبری @GreenBuffer

🖼 نیروی دریایی سپاه: دیتاسنتر شرکت‌های آمریکایی اوراکل و آمازون را هدف قرار دادیم 🔹فرماندهی نیروی دریایی سپاه: دیتاسنتر دو شرکت امریکایی اوراکل در دوبی و آمازون در بحرین را هدف قرار دادیم. 🔹قبلا هشدار داده بودیم که اقدام ما در پاسخ به ترور ایرانی‌ها، از کار انداختن ماشین ترور است. 🔹حماقت‌های ترامپ هزینه‌های بزرگی روی دست ارتش امریکا می‌گذارد. #حکمرانی_سایبری @GreenBuffer

🔴 گزارش درس‌آموخته‌های بررسی فارنزیکی رخداد امنیتی اخیر برای یک شرکت کسب و کار آنلاین و راهکارهای بهبود امنیت زیرساخت شبکه در بررسی یک رخداد امنیتی اخیر، موارد مهمی از تهدیدات و ضعف‌های امنیتی شناسایی شده که نیازمند توجه عمومی هستند: 🔶 تهدیدات اصلی: • نبود روال خروج امن پرسنل کلیدی • عدم تغییر دوره‌ای اطلاعات حساس • دسترسی متمرکز اطلاعات حساس به یک نفر • نبود سیستم پایش امنیتی متمرکز و واحد • عدم پیاده‌سازی امن زیرساخت و سامانه‌ها مطابق کنترل‌های امنیتی استاندارد 🔶اقدامات پیشنهادی برای افزایش امنیت و جلوگیری از تکرار این رخدادها: • ایجاد نسخه پشتیبان کامل از تمامی سرورها و گردآوری لاگ‌های امنیتی به صورت متمرکز • حذف یا تغییر دوره‌ای کلیدهای رمزنگاری SSH • تغییر دوره‌ای رمزهای عبور کاربران مهم مانند root و ubuntu در سرورها • تغییر دوره‌ای رمز عبور کاربر sa در پایگاه داده • تنظیم دقیق Firewall برای سرور پایگاه‌داده به گونه‌ای که فقط سرور Application بتواند به آن دسترسی داشته باشد • انجام ممیزی امنیتی مستمر و جامع حداقل سالی یک بار بر روی زیرساخت شبکه و سامانه‌های حساس • استفاده از IP Whitelisting برای محدود کردن دسترسی تنها به آدرس‌های معتبر و مشخص • ثبت کامل لاگ‌های Syslog، Netflow، SNMP، SPAN و ارسال آن‌ها به سرور SIEM جهت تحلیل و مانیتورینگ پیشرفته 🔶 با اجرای این راهکارها، می‌توان امنیت زیرساخت شبکه را به طور چشمگیری ارتقاء داد و از بروز رخدادهای مشابه در آینده جلوگیری کرد. #مرکز_هوش‌تهدیدات_سایبری #مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری @GreenBuffer

رادار کلاد فلر: سرویس وب‌سرویس آمازون(AWS) در بحرین پس از حمله ایران از کار افتاده است. @GreenBuffer

📣 کد منبع هوش مصنوعی Claude آنتروپیک فاش شد! 🔹️ شرکت آنتروپیک، با یک اشتباه غیرمنتظره غافلگیر شد. به‌دلیل باقی ماندن یک فایل Source Map در یکی از پکیج‌های npm این شرکت، تمام سورس‌کد ابزار Claude (بیش از ۵۰۰ هزار خط کد TypeScript) پس از انتشار آپدیت جدید به صورت عمومی در دسترس قرار گرفت و به کاربران اجازه می‌دهد تا عملکرد داخلی این پلتفرم را بررسی کنند. برنامه‌نویسان به‌سرعت از فایل‌ها بکاپ گرفتند و موجی از مخازن جدید در GitHub ایجاد شد. ‌ 🔹بررسی کد نشان داده که ویژگی‌های آتی، دستورالعمل‌های آنتروپیک برای چت‌بات هوشمند و جزئیاتی درباره‌ی معماری حافظه‌ی آن قابل مشاهده است. با وجود خطرات احتمالی دور زدن محافظت‌ها، تحلیلگران معتقدند این اتفاق می‌تواند سرمایه‌گذاری بیشتر در فرآیندهای عملیاتی را به دنبال داشته باشد. 🟢 این کد منبع در فایل ZIP پیوست و در کانال بله قابل دانلود است. #امنیت_سایبری #هوش_مصنوعی @GreenBuffer

💫 یک محصول بومی با کیفیت برای دسترسی به مدل های هوش مصنوعی در شرایط کنونی کشور هوش مصنوعی AIA (آیا) 🔗 لینک دسترسی: https://aiaplus.com با امکان استفاده رایگان تا سطح 20 پیام در روز #هوش_مصنوعی @GreenBuffer

👆 فهرست شاخص‌های آلودگی(آی‌پی و دامنه)- جمعه چهاردهم فروردین 1405 - در دو فرمت جداگانه اما اطلاعات یکسان - برای دانلود فهرست شاخص‌های آلودگی(آی‌پی و دامنه)- جمعه 14 فروردین 1405 - با قابلیت اجرا در مرورگرها👇 👉 afta.gov.ir/uploads/Shakhes/AFTA_IOC.txt یادآوری: شاخص‌های آلودگی 👆👇 شامل آی‌پی و دامنه‌های آلوده‌ای هستند که باید برای مسدودسازی در لیست سیاه تجهیزات امنیتی لبه شبکه سازمان قرار بگیرند. مرکز مدیریت راهبردی افتای ریاست جمهوری توجه مخاطبان محترم را به این نکته مهم جلب می کند که برخی از آی‌پی‌ها، هاست‌های اشتراکی هستند که علاوه بر فعالیت مخرب، میزبان سرویس‌های مجاز نیز هستند لذا در صورت سرویس‌گیری از دامنه‌های ضروری آنها، لازم است مسدودسازی آنها را با ملاحظه و مستثنی‌کردن دامنه‌های ضروری انجام دهید. #امنیت_سایبری @GreenBuffer

⭕️ شناسایی یک APT در زیرساخت‌های کشور 🔹تیم امداد سایبری #مرکز_افتا، با انجام عملیات #شکار_تهدید در سازمان‌ها #بدافزاری را کشف کرد که با توجه به شواهد و بررسی‌های انجام‌شده متعلق به یک #گروه_هکری_سازمان‌یافته (APT#) ناشناخته بوده که در حال حاضر اطلاعاتی از نام و ماهیت این گروه در دست نیست. 🔹این گروه هکری معمولاً سازمان‌های دولتی را به قصد #جمع_آوری_اطلاعات هدف قرار می‌دهد و ورود آن از طریق #سوءاستفاده از #آسیب‌پذیری‌های سامانه‌های لبه شبکه (اینترنت) و همچنین از طریق خرید دسترسی اولیه و اکانت معتبر بوده است. 🔹برای افزایش سطح آگاهی راجع به روش عملکرد این گروه گزارش تحلیل بدافزار و TTP حمله و همچنین شاخص‌های آلودگی و قواعد شکارتهدید (IOC) مربوط به این گروه در اختیار عموم قرار داده می‌شود. 🔹با اینکه روش حمله این گروه اشتراکاتی با حملات APT41# و همچنین گروه Oneclik# دارد ولی در نوع خود منحصربه‌فرد بوده است و در گزارش‌های بررسی‌شده با هیچ‌کدام از گروه‌های شناخته‌شده مطابقت ندارد. 🔹این گروه از تکنیک پیشرفته AppDomainManager Hijacking (T1574.014) برای #اجرای_کد_مخرب در بستر یک پروسه معتبر ویندوزی استفاده کرده است. #زنجیره_حمله با اجرای فرآیند dfsvc.exe آغاز می‌شود و در انتها با استفاده از ابزار Cobalt اقدام به پایداری دسترسی و اجرای کد مخرب و همچنین استخراج اطلاعات از سازمان‌ها می‌کند. 🔹این گروه هکری معمولاً سازمان‌های دولتی را به قصد جمع_آوری اطلاعات هدف قرار می‌دهد و ورود آن از طریق سوءاستفاده از آسیب‌پذیری‌های سامانه‌های لبه شبکه (اینترنت) و همچنین از طریق خرید دسترسی اولیه و اکانت معتبر بوده است. 🔹 این گروه با استفاده از ابزارهایی مانند dfsvc.exe که دارای امضای دیجیتال معتبر مایکروسافت است و همچنین استفاده از dll¬های رمز شده تودرتو برای پایداری دسترسی و اجرای شل کد بر روی memory خود را از دید آنتی‌ویروس‌ها مخفی نگه می‌دارد. #تکنیک AppDomainManager Hijacking با استفاده از dfsvc.exe را در گذشته گروه‌های APT41 و #گروه Oneclik استفاده کرده بودند ولی در روش پیاده سازی این تکنیک تفاوت‌هایی وجود دارد و به این دلیل نمی‌توان این حملات را به این گروه‌ها نسبت داد. #مرکز_افتا بر اساس نتایج حاصل از مهندسی معکوس لایه‌های بدافزار، استخراج پیکربندی از حافظه و تحلیل ترافیک شبکه، مجموعه‌ای از #شاخص‌های_آلودگی را با دقت بالا (High-Fidelity) استخراج کرده است. این شاخص‌ها به چهار دسته فایل سیستم، شبکه، میزبان و الگوهای شکار تقسیم می‌شوند، توصیه مرکز افتا این است که این شاخص‌ها بلافاصله در سامانه‌های SIEM، EDR و فایروال‌ها اعمال شوند. 👈برای آشنایی و بهره‌برداری متخصصان، کارشناسان و مدیران فناوری اطلاعات و امنیت سامانه‌های دستگاه‌های دارای زیرساخت حیاتی، #مشروح #گزارش_فنی #مرکز_افتا در باره شناسایی یک APT در زیرساخت‌های کشور در #فایل_پیوست تقدیم شده است. #امنیت_سایبری @GreenBuffer

فایل پیوست APT کشف شده #امنیت_سایبری @GreenBuffer