🔴 هشدار - تلاش برای دستیابی به سرویس‌های ارسال پیامک‌ انبوه 🔶 بر اساس پایش‌های مستمر و تحلیل داده‌های ترافیکی در سامانه‌های رصد تهدیدات، نشانه‌هایی از فعالیت مخرب از سوی نشانی اینترنتی زیر شناسایی شده است: IP: 94.232.174.1 🔶 بررسی‌های فنی نشان می‌دهد این نشانی در تلاش برای سوءاستفاده از آسیب‌پذیری‌های احتمالی در پنل پیامکی یکی از ارگان‌ها مورد استفاده قرار گرفته و اقدام به ارسال درخواست‌های غیرمجاز به زیرساخت مربوطه کرده است. الگوی ترافیکی ثبت‌شده حاکی از تلاش برای دسترسی یا بهره‌برداری غیرمجاز از سرویس پیامک سازمانی می‌باشد. 🔶 با توجه به ماهیت این فعالیت، به تمامی مدیران سامانه‌ها، تیم‌های امنیت اطلاعات و مسئولان زیرساخت‌های ارتباطی توصیه می‌شود: - ترافیک ورودی و خروجی از IP مذکور را به‌طور فوری بررسی و در صورت عدم نیاز مسدودسازی نمایند. - لاگ‌های دسترسی به پنل‌های پیامکی و سرویس‌های مرتبط با ارسال پیامک را بازبینی کنند. - از به‌روزبودن تنظیمات امنیتی، احراز هویت چندمرحله‌ای و محدودسازی دسترسی‌ها اطمینان حاصل نمایند. - هرگونه فعالیت مشکوک مرتبط با این نشانی را جهت تحلیل بیشتر به مرکز هوش تهدیدات گزارش دهند. #مرکز_هوش_تهدیدات_سایبری #مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری #مرکز_ملی‌_فضای_مجازی 🔗 https://ble.ir/CyberIR 🌐 https://cysp.ut.ac.ir 🌐 https://cysp.ir/links 🆔 @ut_cyber

🔴 نگاهی به تهدید XorBot 🔶 تحلیل فنی: بات‌نت Masjesu/XorBot یک بدافزار از خانواده Mirai/Gafgyt است که تحلیل فنی نشان می‌دهد این عامل مخرب ارتباط پایداری با سرور C2 روی پورت TCP 5855 برقرار می‌کند. این بدافزار علاوه بر حملات UDP Flood، قابلیت backdoor از طریق /bin/sh و شناسایی شبکه داخلی از طریق پروتکل RPC روی پورت UDP 111 را دارد. تکنیک‌های فرار از شناسایی مانند /proc را برای تشخیص هانی‌پات استفاده می‌کند، محیط‌های کانتینری لینوکس را از طریق /run/systemd/container شناسایی می‌کند و با بررسی متغیرهای EFI فریم‌ور ماشین‌های مجازی را از سخت‌افزار واقعی تشخیص می‌دهد. برای پنهان ماندن، نام پروسه خود را در خروجی دستوراتی مثل ps بازنویسی می‌کند، بلافاصله پس از اجرا فایل باینری خود را از دیسک حذف کرده و صرفاً در حافظه به اجرا ادامه می‌دهد. 🔶 قابلیت‌ها و گستره تهدید: این بدافزار ظرفیت حملات DDoS تا حدود ۲۹۰ گیگابیت بر ثانیه را دارد و از هفت پروتکل حمله شامل UDP، TCP، VSE، GRE، RDP، OSPF و ICMP پشتیبانی می‌کند. پیلودها برای ۱۷ معماری پردازنده از جمله ARM، MIPS، x86، PowerPC و SPARC کامپایل شده‌اند و از طریق آسیب‌پذیری‌های شناخته‌شده در روترهای D-Link، TP-Link، Netgear، دستگاه‌های GPON و گیت‌وی‌های Huawei منتشر می‌شود. ارتباطات C2 با رمزگذاری XOR پنهان می‌شود و محدوده IP‌های دولتی آمریکا به‌طور فعال نادیده گرفته می‌شود. حدود پنجاه درصد از ترافیک ربات‌های آلوده از ویتنام منشأ می‌گیرد و بقیه در اوکراین، ایران، برزیل، کنیا و هند پراکنده‌اند. C2 : 85[.]11[.]167[.]182 #مرکز_هوش_تهدیدات_سایبری #مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری #مرکز_ملی‌_فضای_مجازی 🔗 https://ble.ir/CyberIR 🌐 https://cysp.ut.ac.ir 🌐 https://cysp.ir/links 🆔 @ut_cyber

🌷 رهبر شهید انقلاب کمتر از یک ماه قبل از شهادت: ✏️ کسی مثل من با کسی مثل یزید بیعت نمیکند 🗓 انتشار به مناسبت انتخاب این جمله به عنوان مهم‌ترین جمله رهبر شهید در سال ۱۴۰۴ توسط کاربران 🖥 Farsi.Khamenei.ir

📹ببینید؛ 🖤 بیانات کمتر دیده شده حضرت آیت‌الله شهید خامنه‌ای رضوان‌الله‌علیه درباره سیره مبارزاتی امام صادق علیه‌السلام؛ خطبه‌های نماز جمعه تهران، ۱۴مرداد ۱۳۶۲ 📆 انتشار به مناسبت سالروز شهادت امام صادق علیه‌السلام 🖥 Farsi.Khamenei.ir

🔴 آسیب‌پذیری فعال در محصولات Adobe (CVE‑2026‑34621) 🔶مرکز هوش تهدیدات سایبری اعلام می‌کند که شرکت Adobe به‌تازگی یک به‌روزرسانی امنیتی اضطراری برای رسیدگی به یک آسیب‌پذیری بحرانی در نرم‌افزارهای Acrobat و Acrobat Reader منتشر کرده است. این نقص با شناسه CVE‑2026‑34621 و امتیاز CVSS 8.6 شناسایی شده و طبق گزارش‌ها، در فضای واقعی تحت بهره‌برداری فعال قرار دارد. 🔶این آسیب‌پذیری یک مورد Prototype Pollution در پردازش JavaScript محسوب می‌شود که امکان اجرای کد دلخواه (Arbitrary Code Execution) را فراهم می‌کند. این تهدید می‌تواند به مهاجم اجازه دهد تنها با باز شدن یک فایل PDF دستکاری‌شده، کد مخرب را روی سیستم قربانی اجرا کند. 🔶طبق اعلام Adobe و گزارش‌های پژوهشگران امنیتی، این آسیب‌پذیری احتمالاً از دسامبر 2025 مورد بهره‌برداری قرار گرفته است. بررسی‌های مستقل نیز تأیید می‌کنند که این نقص امنیتی فراتر از نشت اطلاعات بوده و قابلیت اجرای کد مخرب را داراست. 🔶 توصیه‌های امنیتی: - غیرفعال‌سازی اجرای JavaScript داخل PDF در سازمان‌هایی که امکان آن را دارند - پایش دقیق فایل‌های PDF ناشناس در زنجیره ایمیل و کانال‌های دریافت اسناد - فعال‌سازی Sandboxing و محدودسازی سطح دسترسی پردازش PDF در ایستگاه‌های کاری حساس #مرکز_هوش_تهدیدات_سایبری #مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری #مرکز_ملی‌_فضای_مجازی 🔗 https://ble.ir/CyberIR 🌐 https://cysp.ut.ac.ir 🌐 https://cysp.ir/links 🆔 @ut_cyber

🔴 افشای استفاده گسترده از سامانه Webloc برای ردیابی ۵۰۰ میلیون دستگاه از طریق داده‌های تبلیغاتی 🔶 مرکز هوش تهدیدات سایبری اعلام می‌کند که براساس گزارش جدید Citizen Lab، چندین نهاد امنیتی و پلیسی در کشورهای مختلف از جمله مجارستان، السالوادور و ایالات متحده از یک سامانه نظارتی مبتنی بر داده‌های تبلیغاتی با نام Webloc برای ردیابی و تحلیل موقعیت جغرافیایی تا ۵۰۰ میلیون دستگاه موبایل استفاده کرده‌اند. 🔶 سامانه Webloc توسط شرکت اسرائیلی Cobwebs Technologies توسعه یافته و پس از ادغام این شرکت در سال ۲۰۲۳ اکنون تحت مالکیت Penlink عرضه می‌شود. این ابزار به‌عنوان افزونه‌ای بر پلتفرم OSINT شرکت (Tangles) عمل کرده و دسترسی به جریان عظیمی از داده‌های جمع‌آوری‌شده از اپلیکیشن‌های موبایلی و شبکه‌های تبلیغاتی را فراهم می‌کند. 🔶 قابلیت‌های کلیدی Webloc: - تحلیل و ردیابی رفتار و تحرکات جمعیت در مقیاس جهانی - دسترسی به داده‌های پروفایلی و مکانی کاربران تا سه سال گذشته - پردازش مستمر داده‌های حاوی AdID، مختصات GPS، IPهای ژئولکال‌شده و الگوی اتصال دستگاه‌ها - استنتاج هویت کاربران از طریق مکان‌های رفت‌وآمد، محل کار و محل سکونت 🔶 بر اساس این گزارش، Webloc برای نظارت بدون نیاز به حکم قضایی نیز در برخی نهادها مورد استفاده قرار گرفته است. رسانه‌های معتبر از جمله Forbes، 404 Media و Texas Observer نیز پیش‌تر شواهدی از توانایی این سامانه برای ردیابی بدون مجوز قضایی منتشر کرده بودند. 🔶 سازمان‌های شناسایی‌شده در استفاده از Webloc (در ایالات متحده): - سازمان مهاجرت و گمرک (ICE) - واحدهای نظامی ایالات متحده - وزارت امنیت تگزاس - دادستانی‌های نیویورک - پلیس لس‌آنجلس، دالاس، بالتیمور، توسان، دورهام و چندین شهرستان کوچک 🔶 گزارش Citizen Lab همچنین ارتباط ساختاری Cobwebs را با فروشندگان ابزارهای جاسوسی مانند Quadream مطرح کرده و از شناسایی ۲۱۹ سرور فعال Webloc در کشورهای مختلف خبر داده است. اکثریت این زیرساخت در ایالات متحده، هلند، سنگاپور، آلمان، هنگ‌کنگ و بریتانیا قرار دارد. 🔶 شرکت Penlink در پاسخ به این گزارش اعلام کرده که یافته‌ها مبتنی بر برداشت‌های نادرست بوده و این شرکت فعالیت خود را مطابق قوانین حریم خصوصی ایالات متحده انجام می‌دهد. 🔶 مرکز هوش تهدیدات سایبری همچنان به رصد الگوهای نوظهور نظارت مبتنی بر داده‌های تبلیغاتی (Ad‑Based Surveillance) ادامه می‌دهد. #مرکز_هوش_تهدیدات_سایبری #مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری #مرکز_ملی‌_فضای_مجازی 🔗 https://ble.ir/CyberIR 🌐 https://cysp.ut.ac.ir 🌐 https://cysp.ir/links 🆔 @ut_cyber

🛑 روایت خبرگزاری فارس از ابعاد پنهان عملیات هوایی آمریکا در اصفهان: تجهیزات آمریکایی در ایران، در ساعت حمله از کار افتادند! 🚨 جزئیات جدید از هلی برن اصفهان/ زلزلهٔ خاموش در لایهٔ صفر شبکهٔ اصفهان؛ وقتی تجهیزات آمریکایی در ساعت حمله «از کار افتادند» 🔹 در لحظه‌ای که حمله به اصفهان آغاز شد، اتفاقی عجیب در عمق شبکه ارتباطی کشور رخ داد: تعداد زیادی از تجهیزات زیرساختی ناگهان از کار افتادند. سیستم‌عامل دستگاه‌ها «پرید» و اینترنت بین‌الملل قطع شد. 🔹 نکته قابل تأمل این است که تجهیزات خراب‌شده از برندهای سیسکو، فورتینت و جونیپر بودند، همه ساخت آمریکا. 👈 ۴ سناریوی محتمل کارشناسان امنیت شبکه، ۴ احتمال اصلی برای این خرابکاری را مطرح می‌کنند: 🔹 دسترسی‌های پنهان: بک‌دورهایی که حتی بدون اینترنت فعال می‌شوند و می‌توانند دستگاه‌ها را نابود کنند. 🔹 بسته‌های داده مخرب: ارسال داده‌های ویژه از داخل شبکه که سیستم‌ها را ناگهان از کار می‌اندازد. 🔹 بات‌نت‌های خفته: بدافزارهایی که سال‌ها مخفی مانده‌اند و با یک رویداد خاص فعال می‌شوند. 🔹 آلودگی در زنجیرهٔ تولید: دستکاری در سخت‌افزار و نرم‌افزار قبل از ورود به کشور که حتی تعویض سیستم‌عامل هم مشکل را حل نمی‌کند. 🔸 این حمله نشان داد که ستون فقرات امنیت سایبری کشور نمی‌تواند وابسته به تجهیزات خارجی باشد. امنیت واقعی از مالکیت و تولید فناوری بومی شروع می‌شود. توسعه تجهیزات داخلی دیگر شعار نیست؛ یک ضرورت حیاتی برای بقا در جنگ سایبری است. 🔹 منابع آگاه در حوزه امنیت سایبری به فارس اعلام کرده‌اند شواهد و اطلاعات بیشتر که نشان‌دهنده همکاری فنی شرکت‌های سازنده با دشمن آمریکایی صهیونی است در آینده نزدیک توسط آزمایشگاه‌های سایبری جمهوری اسلامی ایران اعلام خواهد شد. 🔗 https://eitaa.com/farsna/349174 🌐 https://cysp.ut.ac.ir 🌐 https://cysp.ir/links 🆔 @ut_cyber

اعداد و ارقامی که این روزها به‌عنوان خسارت‌های روزانه قطع بودن #اینترنت_آمریکا بیان می‌شود، در صورت صحت و دقت، در واقع خسارت‌های ناشی از عدم #استقلال ملی در موضوع سایبر است. کسانی که این #وابستگی را گسترش دادند و به توصیه دلسوزان کشور توجه نکردند، باید پاسخگو باشند. 🔗 https://virasty.com/r/D8G ✍️ دکتر کاظم فولادی قلعه @kfouladi_ir 🌐 پیوند کانال: https://eitaa.com/joinchat/2260009079C2fcc92c468

🔴 درس‌آموخته‌های سایبری جنگ رمضان در تحلیل موارد سایبری جنگ رمضان یک نکته کلیدی از منظر امنیت سایبری قابل‌توجه است: 🔶 هر میزان وابستگی کشور به سرویس‌ها، پروتکل‌ها و زیرساخت‌های دیجیتالی غیرخودی بیشتر باشد، دامنه و شدت خسارت‌ها در زمان اختلال نیز بزرگ‌تر خواهد بود. 🔶 این پدیده به‌عنوان «عدم استقلال عملیاتی در لایه‌های حیاتی» شناخته می‌شود و معمولاً به سه منبع ریسک بازمی‌گردد: 🔹 تکیه بر فناوری‌هایی که خارج از حوزه کنترل یا نظارت فناورانه کشور هستند 🔹عدم توسعه اکوسیستم نرم‌افزاری بومی پایدار و قابل‌اتکا 🔹 شکل‌گیری جریان‌هایی که به‌جای خلق ارزش واقعی، روی «خالی‌فروشی محصول» یا تکرار ساختارهای کم‌عمق نرم‌افزاری تحت عنوان محصولات‌بومی تمرکز داشته‌اند این نوع محصولات ظاهراً «داخلی» محسوب می‌شوند، اما در عمل به وابستگی بیشتر منجر می‌گردند، زیرا: 🔹 استانداردهای امنیتی و پایداری را به‌صورت کامل رعایت نمی‌کنند 🔹 موجب شکل‌گیری زنجیره تأمین ناسازگار و شکننده می‌شوند 🔹 امکان یکپارچه‌سازی با زیرساخت‌های حیاتی را کاهش می‌دهند 🔹در زمان بحران، توان جذب ضربه را ندارند 🔶 برای زیرساخت‌های کلیدی اقتصادی ــ از انرژی و فولاد گرفته تا حمل‌ونقل، مالی و پتروشیمی ــ تاب‌آوری سایبری نه یک انتخاب، بلکه بخشی از امنیت ملی و بقای اقتصادی است. هرگونه اختلال در این لایه‌ها، اگر با اتکای بیش از حد به فناوری‌های برون‌مرزی یا محصولات داخلی کم‌عمق همراه باشد، می‌تواند موجب توقف فرآیندهای صنعتی، اختلال زنجیره تأمین، و در نهایت فشار اقتصادی گسترده شود. 🔶 برای کاهش ریسک و ایجاد پایداری بلندمدت، سه محور ضروری است: 1️⃣ ایجاد استقلال عملیاتی در لایه‌های حیاتی سایبری 2️⃣ توسعه محصولات بومی با ارزش افزوده واقعی به‌جای تولیدات تکراری یا کم‌عمق و مقابله با خالی‌فروشی 3️⃣ بازسازی اکوسیستم نرم‌افزاری بر پایه استانداردهای امنیتی، مهندسی قابل‌سنجش و زنجیره تأمین قابل اعتماد 🔶 این مسیر نه سیاسی است و نه احساسی؛ یک ضرورت فنی برای حفظ امنیت، اقتصاد و پایداری زیرساخت‌های دیجیتال در دنیای امروز است که در آن قانون جنگل حاکم است. #مرکز_هوش_تهدیدات_سایبری #مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری #مرکز_ملی‌_فضای_مجازی 🔗 https://ble.ir/CyberIR 🌐 https://cysp.ut.ac.ir 🌐 https://cysp.ir/links 🆔 @ut_cyber

🔴 وی‌پی‌اس‌های/VPS کوتاه‌مدت؛ نقطه داغ سوءاستفاده مهاجمان 🔶 در بسیاری از حملات سایبری، بخش قابل‌توجهی از زیرساخت مخرب روی VPSهای کوتاه‌مدت بنا می‌شود؛ سرورهایی که ظرف چند ساعت تا چند روز راه‌اندازی، استفاده و سپس کنار گذاشته می‌شوند. 🔶 این VPSها معمولاً برای موارد زیر به‌کار می‌روند: - راه‌اندازی سریع C2 یک‌بارمصرف - اجرای اسکن خودکار گسترده - ایجاد Relay/Proxy برای پنهان‌سازی مبدأ - میزبانی فیشینگ کوتاه‌عمر - توزیع موقت فایل و Dropper 🔶 تحلیل مبتنی بر الگوی استفاده از VPSهای کوتاه‌مدت —نه صرفاً IOC— به تیم‌های دفاعی کمک می‌کند: - چرخه‌های تکرار زیرساخت مهاجم را کشف کنند - فراهم کننده‌های/Provider پرریسک را شناسایی کنند - استراتژی مسدودسازی دقیق‌تر طراحی کنند - تهدیدات سریع‌الظهور را زودتر شکار کنند 🔹 درک رفتار VPSهای کوتاه‌عمر، یکی از کلیدهای تولید هوش تهدید عملیاتی است. #مرکز_هوش_تهدیدات_سایبری #مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری #مرکز_ملی‌_فضای_مجازی 🔗 https://ble.ir/CyberIR 🌐 https://cysp.ut.ac.ir 🌐 https://cysp.ir/links 🆔 @ut_cyber