بله | کانال Amn Pardazan Kavir (APK)

۲۹ مرداد

اهمیت Pivoting به عنوان سلاح پنهان تیم‌های SOC علیه APT‌ها
در بسیاری از موارد پس از شناسایی‌های انجام شده توسط تیم SOC بر روی IOC کشف شده، اقدامات Response انجام و Case بسته می‌شود؛ ولی آیا این پایان کار است؟
بگذارید با یک رویداد واقعی موضوع را شفاف‌تر کنیم: در سال ۲۰۲۴، گروه APT معروف به Ghostwriter (UNC1151) کارزار بزرگی اجرا کرد. ظاهر حمله ساده بود:

فایل اکسل آلوده با ماکرو

دانلود DLL مخرب

ارتباط با دامنه‌ای مثل:goudieelectric[.]shop
اما با کمی عمیق‌تر شدن، تیم فنی فهمید مهاجم فقط یک دامنه نساخته؛ بلکه بیش از ۲۰ دامنه با الگوی یکسان آماده کرده است.پس الان پاسخ این سوال که آیا این پایان کار است را می توان داد، اگر تیم دفاعی فقط همان دامنه اول را بلاک می‌کرد، مهاجم از دامنه‌های دیگر استفاده می‌کرد. اما با Pivoting (بررسی ویژگی‌های مشترک مثل رجیسترار، DNS ،TLD و…) کل زیرساخت مهاجم شناسایی شد.

Pivoting چیست؟یعنی از یک IOC (دامنه، IP، هش و …) شروع کنیم و با بررسی ویژگی‌های مشترک، زنجیره‌ای از IOCهای مرتبط را کشف کنیم.

*مراحل Pivoting در SOC*

شروع با یک IOC • مثل: دامنه، IP، هش فایل، گواهی TLS ،JA3/JARM.

استخراج ویژگی‌های IOC

Passive DNS Records (A/AAAA/CNAME history)

TLS (SAN/Serial/Issuer)

Website Attributes (favicon hash, Analytics ID, headers, URL paths)

Pivot افقی (Horizontal)‎

جستجوی دامنه‌ها/زیرساخت‌های دیگری که همین ویژگی‌ها را دارند.

استفاده از ابزارهایی مثل: PassiveDNS, DomainTools, crt.sh, Shodan,subfinder

Pivot عمودی (Vertical)

بررسی ارتباط IOCهای جدید با فایل‌ها یا بدافزارها (VirusTotal Relations/Graph).

بررسی اینکه چه فایل‌هایی با این دامنه‌ها در ارتباط هستند.

اعتبارسنجی یافته‌ها

بررسی چند ویژگی مشترک مثلاً در مثال بالا فقط Cloudflare کافی نبود و تیم تحقیقاتی موارد زیر را نیز در نظر گرفت:TLD: .shop Registrar: PublicDomainRegistryName Servers: CloudflareActive Robots.txt

امتیازدهی به IOCهای کشف‌شده (کم، متوسط، قوی).

گسترش و مستندسازی

رسم گراف ارتباطی (Maltego / VT Graph / Neo4j).

یادداشت زمان، الگوها و هم‌پوشانی‌ها.

دفاع

Block در Firewall/DNS/Proxy.

بارگذاری IOCها در SIEM برای جستجو در لاگ‌های گذشته.

شکار فعال (Threat Hunting) بر اساس IOCهای جدید.
نتیجه نهاییدر امنیت سایبری امروز، یک IOC پایان کار نیست؛ بلکه شروع Pivoting است. با Pivoting، تیم‌های SOC می‌توانند از حالت واکنشی به حالت پیشگیرانه تغییر کنند و جلوی حملات بعدی را قبل از وقوع بگیرند. در نتیجه می‌توان گفت انجام Pivoting در تیم های SOC می‌تواند به دلایل زیر مهم باشد:
🟢 پیشگیری به جای واکنش🟢 کاهش سطح حمله🟢 افزایش دقت Threat Hunting
.................‌...............جهت دریافت مشاوره یا پاسخ سوالاتتان، روی لینک زیر کلیک نمایید:

https://apk-group.porsline.ir/s/DAhH6Dem
لینک کانال: https://ble.ir/apkgroupآیدی کانال در اپلیکیشن بله: @apkgroupمرکز CERT شرکت امن‌پردازان کویر (APK)

۱۰:۲۴

۱ شهریور

اطلاعیه شماره سی و یکم
با توجه به کشف عمومی آسیب‌پذیری روز صفر CVE-2025-8088 در نرم‌افزار WinRAR و گزارش رسمی آن توسط تیم تحقیقاتی ESET;
به اطلاع می‌رساند این آسیب‌پذیری در نسخه 7.12 WinRAR وجود دارد و به مهاجم امکان می‌دهد با ارسال فایل‌های RAR مخرب در قالب رزومه‌های جعلی، فایل‌های مخفی DLL را بدون اطلاع کاربر اجرا نماید. در نتیجه، بک‌دورهایی نظیر Snip Bot، Rusty Claw و Mythic Agent روی سیستم قربانی مستقر شده و مهاجم قادر به حفظ دسترسی و کنترل سیستم می‌گردد.
تیم CERT شرکت امن‌پردازان کویر (APK) با توجه به اطلاعات منتشر شده اقدام به طراحی Attack Flow این حمله که در پیوست موجود است نموده تا روش کار کاملا شفاف شود.
در زیر مراحل گام به گام توضیح داده شده است:
1. دسترسی اولیه: Spear phishing Attachment (T1566.001)مهاجم ایمیل هدفمند ارسال می‌کند که حاوی فایل RAR مخرب است (معمولاً با موضوع «درخواست شغلی/رزومه»).هدف: ترغیب کاربر به دانلود و باز کردن پیوست.
2. بهره‌برداری از نقص: CVE-2025-8088 (WinRAR Zero-Day)کاربر فایل RAR را با WinRAR باز یا استخراج می‌کند و اکسپلویت فعال می‌شود.این ضعف اجازه می‌دهد فایل مخرب داخل آرشیو پنهان و هنگام استخراج بی‌سر‌وصدا اجرا شود.
3. سوءاستفاده از ابزار: WinRAR (abused)خود WinRAR به‌عنوان نقطه اجرای زنجیره مورد سوءاستفاده قرار می‌گیرد (نه الزاماً به‌عنوان بدافزار).مهاجم از رفتار نرم‌افزار در فرایند استخراج برای رهاسازی یا اجرای پیلود استفاده می‌کند.
4. پوشش‌دهی/جعل هویت: Masquerading (T1036)محتوا به شکل اسناد شغلی معتبر نمایش داده می‌شود (نام‌گذاری فریبنده، آیکن/پسوند گمراه‌کننده).هدف: کاهش تردید کاربر و افزایش نرخ اجرا.
5. گریز از تحلیل: Virtualization/Sandbox Evasion (T1497)پیلود بررسی می‌کند در Sandbox / VM هست یا خیر و رفتار خود را تطبیق می‌دهد (تأخیر، بررسی فرایندها/درایورها/منابع).نتیجه: کاهش کشف در محیط‌های تحلیل خودکار.
6. مخفی‌سازی ارتباطات: Encrypted Channels (T1573)پس از اجرا، ارتباط فرماندهی و کنترل از کانال‌های رمزگذاری‌شده برقرار می‌شود تا ترافیک عادی به‌ نظر برسد.هدف: پنهان‌سازی ردپا در شبکه و دورزدن نظارت.
7. تحویل و استقرار بدافزاردر انتها، بک‌دورها بر روی میزبان قربانی دریافت/نصب می‌شوند:Snip Bot – دسترسی پایداری و کنترل از راه دورRusty Claw – بک‌دور/لودر برای مراحل بعدیMythic Agent – عامل C2 ماژولار برای عملیات‌های بعدی مهاجم
این حمله با تکنیک‌های Phishing، Masquerading و Encrypted Channels انجام شده و در آن مهاجمان با دور زدن محیط‌های Sandbox موفق به استقرار بدافزار بر بستر قربانی می‌شوند.
با توجه به بهره‌برداری فعال از این ضعف در حملات هدفمند، انجام اقدامات پیشگیرانه زیر در سریع‌ترین زمان ممکن توصیه می‌شود:

به‌روزرسانی فوری WinRAR به نسخه امن 7.13

بازبینی و تقویت سیاست‌های امنیتی ایمیل و مسدودسازی ضمائم RAR ناشناس

آموزش کاربران برای اجتناب از باز کردن فایل‌های رزومه و اسناد ناشناس

پایش رفتار مشکوک در لاگ‌های امنیتی و مانیتورینگ ترافیک رمزگذاری‌شده

استفاده از IOCهای منتشرشده برای شکار تهدید در شبکه‌های سازمانی (در ادامه لیست IOCها مشخص شده است)

بروزرسانی Feedهای MISP سازمان به صورت دستی توسط SOC و یا اطمینان از دریافت آخرین Feedهای مرتبط با آسیب پذیری از CTI شرکت امن‌پردازان کویر (APK)
شاخص‌های نفوذ (IOCs):
Hashes:
01D32FE88ECDEA2B934A00805E138034BF85BF83371A5B8BA86FBCAB80D4E0087D2AA0D8FFDDC70BD43F49E6A586658B5422EDC647075FFD405D6741F77DBA76010A9988C9CEB8E420C96AEBC071B889676086860055F6591FED303B4799C725F8466CF41F25E062E8E9A4F1792C3EAC6462694410F0F1CAC340625C779911165E3983C77FD60855A2575275C94A6BD6EC88385E4E831B208FED2FA6FAED6666AE687BEF963CB30A3788E34CC18046F54C41FFBAAB79081D0E26EA278D3D45DA247335A545D0512E1AEA26A2E2A7711F89D06165E676E11769E2FD68IP Addresses List:162.19.175.44194.36.209.12785.158.108.62185.173.235.134
.................‌...............جهت دریافت مشاوره یا پاسخ سوالاتتان، روی لینک زیر کلیک نمایید:

۱۰:۰۶

۹ شهریور

PromptLock و پایان دوران دفاع سنتی؛ چرا زمان گذار به AI Security فرا رسیده است؟
کشف اخیر شرکت ESET نشان می‌دهد که ما در آستانهٔ ورود به نسل جدیدی از باج‌افزارها هستیم؛ باج‌افزارها که نه‌تنها توسط انسان نوشته نشده‌اند، بلکه خودشان با کمک مدل‌های زبانی (LLM) کد مخرب تولید می‌کنند. این نمونه با نام PromptLock شناخته شده و اولین گونه عمومی از باج‌افزار مبتنی بر هوش مصنوعی به‌شمار می‌رود.
این مدل بدون نیاز به دسترسی به اینترنت یا سرور ابری می‌تواند اسکریپت‌های Lua را در لحظه تولید کند و آن‌ها را اجرا نماید. این اسکریپت‌ها وظایفی مانند بررسی فایل‌ها، استخراج داده‌ها (exfiltration)، رمزنگاری فایل‌ها و حتی نابودی احتمالی آن‌ها را انجام می‌دهند، که این موضوع شناسایی و جلوگیری از این حمله را برای تیم‌های SOC دشوار می‌نماید. برای درک بهتر عملکرد این باج افزار یک Attack Flow تهیه شده است که مراحل کار را شفاف می‌نماید.

شرح حمله (Attack Flow)PromptLock بر اساس تکنیک‌های شناخته‌شده در چارچوب MITRE ATT&CK عمل می‌کند، اما تفاوت اصلی آن در استفاده از هوش مصنوعی محلی برای تولید کد است:1. Initial Access – T1189: Drive-by Compromise● PromptLock دسترسی اولیه را بدون تعامل خاص کاربر (یا با تعامل کم) به دست می‌آورد.
2. Malware Execution – PromptLock● این باج‌افزار از هوش مصنوعی برای تولید اسکریپت‌های مخرب Lua استفاده می‌کند.
3. Execution – T1059: Command and Scripting Interpreter● PromptLock از مدل gpt-oss-20b OpenAI و API محلی Ollama استفاده می‌کند تا بر اساس promptهای از پیش تعریف‌شده، اسکریپت‌های Lua تولید و اجرا کند.● تفاوت کلیدی: به‌جای کد ثابت، هر بار اسکریپت جدید ساخته می‌شود → IoC ثابت وجود ندارد.
4. Discovery – T1083: File and Directory Discovery● بدافزار کل فایل‌سیستم را جستجو کرده و فایل‌های ارزشمند (اسناد، پایگاه داده‌ها و…) را پیدا می‌کند. این مرحله قبل از رمزنگاری و خروج داده انجام می‌شود.
5. Exfiltration – T1020: Automated Exfiltration● داده‌های حساس کشف‌شده به سرور مهاجم ارسال می‌شود تا هم برای اخاذی دو مرحله‌ای (Double Extortion) استفاده شود و هم فشار بیشتری به قربانی وارد کند.
6. Impact – T1486: Data Encrypted for Impact● PromptLock فایل‌های سیستم را با الگوریتم SPECK 128-bit رمز می‌کند و آن‌ها را غیرقابل دسترسی می‌سازد.

چرا این حمله خطرناک است؟● عدم وجود IoC ثابت: به‌علت تولید پویا توسط LLM، هر بار نسخه‌ای متفاوت اجرا می‌شود.● خودکارسازی کامل: مهاجم نیازی به دانش عمیق برنامه‌نویسی ندارد. کافی است از مدل AI برای تولید کد مخرب استفاده کند.● اجرای محلی بدون نیاز به اینترنت: برخلاف بدافزارهای سنتی، PromptLock برای کار نیازی به C2 خارجی ندارد و همین موضوع رهگیری آن را سخت‌تر می‌کند.

راهکارهای دفاعیچون PromptLock اسکریپت‌ها را هر بار به‌طور متفاوت می‌سازد، راهکارهای سنتی مبتنی بر Signature بی‌اثر می‌شوند. لذا در برابر بدافزاری که توسط AI ساخته شده، استفاده از AI برای دفاع منطقی‌ترین راهکار است پس بهترین راهکار استفاده از Security Analyzer مبتنی بر AI است این محصولات می تواند فارق از روش های سنتی به سرعت نقش های زیر را ایفا و این مدل حملات را خنثی سازی نمایند.● تشخیص رفتاری (Behavioral Detection): شناسایی رمزنگاری دسته‌جمعی یا تولید اسکریپت غیرمعمول.● تشخیص آنومالی: مقایسه فعالیت‌های فعلی با baseline عادی کاربر/سیستم.● هوش ترکیبی (Threat Intelligence Fusion): ترکیب اطلاعات از منابع مختلف برای شناسایی تهدید حتی بدون IoC ثابت.● واکنش خودکار (Automated Response): قرنطینه پروسه مشکوک، قطع دسترسی شبکه یا Kill Process.

جمع‌بندیکشف PromptLock نقطه عطفی در تاریخ تهدیدات سایبری است. برای اولین‌بار، باج‌افزاری معرفی شده که به‌جای انسان، از هوش مصنوعی برای تولید و اجرای کد مخرب استفاده می‌کند. این تحول می‌تواند بازی امنیت سایبری را وارد مرحله‌ای تازه کند:● مهاجمان از AI برای حمله بهره می‌برند.● مدافعان باید از AI برای دفاع استفاده کنند.آیندهٔ امنیت سایبری، جدالی بین «هوش مصنوعی حمله» و «هوش مصنوعی دفاع» خواهد بود. سازمان‌هایی که سریع‌تر به سمت AI-Driven Defense حرکت کنند، شانس بیشتری برای مقابله با چنین تهدیدات نوظهوری خواهند داشت.
.................جهت دریافت مشاوره یا پاسخ سوالاتتان، روی لینک زیر کلیک نمایید:

۱۰:۲۱

۱۸ شهریور

Abuse_IP.pdf

۸۴۶.۵۴ کیلوبایت

🟢 گزارش ماهیانه IPهای مخرب شناسایی شده توسط تیم CERT

با افزایش روزافزون تهدیدات سایبری، تیم CERT شرکت امن‌پردازان کویر به‌صورت آنی و بلادرنگ اقدام به گردآوری، تحلیل و پایش IPهای مخرب شناسایی‌شده در مراکز تحت پوشش می‌کند.
این داده‌ها علاوه بر انتشار لحظه‌ای در زیرساخت اختصاصی CTI، در قالب گزارش‌های ماهانه نیز برای ارتقای آگاهی و تقویت دفاع سایبری سازمان‌ها ارائه می‌شود.

اقدامات پیشنهادی:

تیم‌های IT: به‌روزرسانی فایروال و IDS/IPS، مسدودسازی IPهای مخرب، بررسی لاگ‌ها و اطلاع‌رسانی داخلی.

تیم‌های SOC: مانیتورینگ مداوم، افزودن لیست به TIP/SIEM، تحلیل رفتار تهدیدات و اولویت‌دهی در Incident Response.
هدف ما، کمک به تصمیم‌گیری سریع‌تر، افزایش سطح امنیت و آمادگی در برابر تهدیدات است.
.................‌...............جهت دریافت مشاوره یا پاسخ سوالاتتان، روی لینک زیر کلیک نمایید:

۶:۵۷

Abuse_IP.txt

۴.۰۷ کیلوبایت

برای سهولت استفاده، لیست کامل IPها در یک فایل متنی جداگانه نیز ضمیمه شده تا تیم‌های فنی بتوانند آن را مستقیماً در سامانه‌های امنیتی بارگذاری کنند.
.................‌...............جهت دریافت مشاوره یا پاسخ سوالاتتان، روی لینک زیر کلیک نمایید:

۶:۵۷

۲۹ شهریور

*نمایشگاه الکامپ*فرصتی منحصربه‌فرد برای دیدار و گفت‌وگو با شما عزیزان

شرکت امن‌پردازان کویر (APK) با افتخار اعلام می‌نماید که در این رویداد، از آخرین محصولات و خدمات خود در حوزه هوش‌مصنوعی و خودکارسازی مرکز عملیات امنیت (SOC) رونمایی خواهد کرد.

تاریخ: ۳ الی ۶ مهر

محل: سالن ۶، نمایشگاه بین‌المللی تهران

منتظر حضور ارزشمند شما هستیم.

۱۲:۳۴

۵ مهر

تا تاریخ ۶ مهر در غرفه شرکت امن پردازان کویر (APK) در نمایشگاه الکامپ منتظر دیدار شما هستیم.
در این رویداد APK توضیح می‌دهد که چالش‌های اصلی سازمان‌ها در رسیدن به امنیتی اثربخش چیست و چه راهکارهایی با استفاده از هوش مصنوعی و خودکارسازی (به صورت در محل) برای مقابله با این چالش‌ها وجود دارد و این شرکت چگونه در حال ارائه این خدمات به مشتریان خود است.
در نهایت مسیر عبور از نسل سوم SOCها که بر پایه AI & Automation هست و رسیدن به نسل چهارم یعنی Autonomous SOC ترسیم خواهد شد.
منتظر دیدار شما هستیم

۷:۱۱

۱۳ مهر

تهدیدهای سایبری دیگر مانند گذشته نیستند؛ سریع، هوشمند و خطرناک‌تر شده‌اند.

*آیا SOCهای سنتی می‌توانند در برابر این موج از حملات دوام بیاورند؟*
SOCها قلب دفاع سایبری هر سازمانی هستند. اما با افزایش تهدیدها، کمبود نیروی متخصص و فشار هشدارها، SOCهای سنتی دیگر کافی نیستند.
اما جواب مهم این است که آینده‌ی امنیت سازمان‌ها در دستان Autonomous SOCها است و حرکت به سمت SOCهای خودمختار (Autonomous) یک سفر است نه یک مقصد.
سفر مراکز عملیات امنیت‌های سنتی تا تبدیل شدن به خودمختار به صورت زیر است:

Manual Operations

جمع‌آوری داده، بررسی و پاسخ به رخداد به صورت دستی

وابستگی کامل به تجربه تحلیل‌گرها

Rule-Based Operations

استفاده از قوانین (Rules) و پلی‌بوک‌های ساده

کاهش کارهای تکراری، ولی همچنان وابسته به تنظیمات انسانی

AI-Assisted SOC

استفاده از هوش مصنوعی برای کاهش False Positive و افزایش True Positive

پیشنهادهای تحلیلی، سرعت بیشتر در Incident Response

Partial Autonomy

سیستم قادر به پیش‌بینی تهدیدات و تولید Detection جدید

انجام واکنش‌های خودکار محدود (مثل Block کردن Session مشکوک)

انسان در نقش Supervisor

High Autonomy

SOC قادر به انجام End-to-End Response به‌صورت مستقل

انسان بیشتر در نقش استراتژیست و ناظر حضور دارد

هدف نهایی حذف انسان نیست، بلکه ترکیب قدرت انسان و AI برای رسیدن به سرعت و دقت بالاتر در دفاع سایبری است.
منبع: Sentinelone.................‌...............جهت دریافت مشاوره یا پاسخ سوالاتتان، روی لینک زیر کلیک نمایید:

https://apk-group.porsline.ir/s/DAhH6Dem
لینک کانال: https://ble.ir/apkgroupآیدی کانال در اپلیکیشن بله: @apkgroupشرکت امن‌پردازان کویر (APK)

۶:۵۰

۱۵ مهر

IP Abuse Shahrivar.pdf

۹۴۸.۸ کیلوبایت

🟢 گزارش ماهیانه IPهای مخرب شناسایی شده توسط تیم CERT

اقدامات پیشنهادی:

تیم‌های IT: به‌روزرسانی فایروال و IDS/IPS، مسدودسازی IPهای مخرب، بررسی لاگ‌ها و اطلاع‌رسانی داخلی.

۵:۳۴

IP Abuse Shahrivar.txt

۵.۷۱ کیلوبایت

۵:۴۰

۲۳ مهر

بحران امنیت سایبری OT: میراثی که خطوط دفاعی را می‌شکند!

آیا می‌دانستید حملات سایبری به محیط‌های عملیاتی (OT) در صنایع حیاتی (نفت و گاز، تولید، پزشکی) بیش از ۵۰٪ افزایش یافته و هزینه‌های اختلال ناشی از آن تا سال ۲۰۲۵ به ۱۰ تریلیون دلار می‌رسد؟ این یک دغدغه جهانی و فوق‌العاده جدی است!
تیم امن‌پردازان کویر (APK) با حضور فعال در نشست‌های بین‌المللی GITEX ۲۰۲۵*، خلاصه‌ای تحلیلی از مباحث مطرح شده در پنل تخصصی تهدیدات OT/IoT را برای شما آماده کرده است.

به دلیل رسالت ما در ارتقای سطح امنیت سایبری کشور، این مقاله ریشه‌های بحران را از نگاه جهانی بررسی می‌کند:

ریشه اصلی: همگرایی ناگزیر IT و OT.

بزرگترین چالش: سیستم‌های قدیمی (Legacy) که عمرشان ۲۰ تا ۲۵ سال است و پچ نمی‌شوند.

راهکار محوری: استفاده از هوش مصنوعی (AI) برای تشخیص تغییرات ظریف و بستن شکاف بین "امن بودن" و "منطبق بودن".

این نشست با حضور افراد سرشناسی مانند:
Dimitris Vergos (معاون مهندسی Splunk)
Amir Vashkover (رئیس امنیت داده‌ها Philips)
Darweesh Al-Buainain (مدیر فنی SATORP)
Bill Lapp (مدیر ارشد فناوری Zscaler) برگزار شد.

برای درک کامل دلایل بحران، چالش‌های میراث و استراتژی‌های دفاعی پیشرفته، حتماً این مقاله را مطالعه کنید.

لینک مقاله کامل:
https://apk-group.net/kb/network-security/ot-challenge

.................‌...............
*جهت دریافت مشاوره یا پاسخ سوالاتتان، روی لینک زیر کلیک نمایید:

https://apk-group.porsline.ir/s/DAhH6Dem
لینک کانال: https://ble.ir/apkgroupآیدی کانال در اپلیکیشن بله: @apkgroupشرکت امن‌پردازان کویر (APK)

۸:۰۰

۲۹ مهر

هشدار امنیتی جدی برای تمام کسب‌وکارها: هوش مصنوعی، کوانتوم و زیرساخت‌های قدیمی!

این دیگر یک پیش‌بینی نیست، یک واقعیت است!در نشست‌های اخیر مدیران ارشد امنیت سایبری جهان در GITEX ۲۰۲۵*، متخصصان به یک اجماع نگران‌کننده رسیدند: آینده مالی و سازمانی با یک *تهدید سه‌گانه روبروست که بقای سیستم‌های موجود را به خطر می‌اندازد.این دغدغه، اکنون به جدی‌ترین اولویت امنیتی در دنیا تبدیل شده است.
در یکی از نشست‌های مهم، افراد سرشناسی چون:

جاناتان اِی کوی (رئیس امنیت سایبری DFSA - رگولاتور مالی دبی)

آری (مدیرعامل بانک ملی بحرین)

لورنزو دامروسی (مسئول امنیت منطقه‌ای Rochester and Go Bank)

محمد زات (CISO گروه در PMO)حضور داشتند و استراتژی‌های دفاعی خود را در برابر چالش‌های زیر به اشتراک گذاشتند:🟢*قدرت گرفتن کلاهبرداری‌های مبتنی بر AI* (Deepfakes و فیشینگ هوشمند).🟢 نحوه مدیریت زیرساخت‌های Legacy (سیستم‌های قدیمی) که آسیب‌پذیرند.🟢 آمادگی برای تهدید "اکنون جمع‌آوری کن، بعداً رمزگشایی کن" کوانتومی*.

مقاله تحلیلی و راهکارهای کامل تیم CERT امن‌پردازان کویر را همین حالا مطالعه کنید.

لطفا برای خواندن مقاله اینجا کلیک کنید

.................‌...............
*جهت دریافت مشاوره یا پاسخ سوالاتتان، روی لینک زیر کلیک نمایید:

ارسال درخواست
لینک کانال: https://ble.ir/apkgroupآیدی کانال در اپلیکیشن بله: @apkgroupمرکز CERT شرکت امن‌پردازان کویر (APK)

۸:۵۱

۳۰ مهر

آیا می‌دانید کشورهای پیشرو جهان چگونه از زیرساخت‌های دیجیتال خود در مقیاس ملی محافظت می‌کنند؟
ما در تیم CERT امن‌پردازان کویر*، مهم‌ترین استراتژی‌های ملی دو کشور پیشرو — هند و امارات متحدهٔ عربی — را بررسی کرده‌ایم.

در این تحلیل، چهره‌های کلیدی امنیت سایبری این دو کشور از جمله:

• *سِری ناوین کومار سینگ – هماهنگ‌کنندهٔ امنیت سایبری ملی هند
•

دکتر محمد الکویتی – رئیس امنیت سایبری دولت امارات متحدهٔ عربی
دیدگاه‌های ارزشمندی را دربارهٔ موضوعات زیر ارائه داده‌اند:
•

ساختار «امنیت در طراحی» هند (Aadhaar و UPI) و تجربهٔ تحول دیجیتال ایمن
•

رویکرد «کلان‌ملی» امارات و پنج ستون اصلی امنیت سایبری این کشور
•

نقش اشتراک‌گذاری اطلاعات میان دولت، بخش خصوصی و جامعهٔ فنی در مقابله با تهدیدات محوشونده
این مطلب صرفاً یک گزارش نیست، بلکه نقشهٔ راهی برای هر سازمان ایرانی است که می‌خواهد در دنیای دیجیتال امروز، پایدار و انعطاف‌پذیر بماند.

مقالهٔ کامل و تحلیلی را بخوانید تا با استراتژی‌های ملی هند و امارات در مسیر تاب‌آوری سایبری آشنا شوید:

لینک مقاله کامل:لطفا برای خواندن مقاله اینجا کلیک کنید
.................‌...............جهت دریافت مشاوره یا پاسخ سوالاتتان، روی لینک زیر کلیک نمایید:

ارسال درخواست
لینک کانال: https://ble.ir/apkgroupآیدی کانال در اپلیکیشن بله: @apkgroupمرکز CERT شرکت امن‌پردازان کویر (APK)

۸:۲۳

۳ آبان

اطلاعیه شماره سی و دو
یک آسیب‌پذیری بحرانی با شناسه CVE-2025-59287 در تاریخ ۲ آبان ۱۴۰۴ (۲۴ اکتبر ۲۰۲۵) کشف شده است. این نقص در سرویس Windows Server Update Services (WSUS) وجود دارد و به مهاجم از راه دور اجازه می‌دهد بدون نیاز به احراز هویت، کد دلخواه خود را روی سرور اجرا کند. درجه اهمیت این آسیب‌پذیری توسط منابع رسمی «بحرانی (Critical)» اعلام شده است.
این آسیب‌پذیری از نوع Deserialization of Untrusted Data است؛ به بیان ساده، سرویس WSUS هنگام دریافت برخی داده‌ها از کلاینت‌ها یا دیگر سیستم‌ها، آن‌ها را بدون بررسی کافی پردازش می‌کند. مهاجم می‌تواند با ارسال داده‌ای دست‌کاری‌شده، باعث شود سرور WSUS در زمان پردازش، کد مخرب او را با سطح دسترسی SYSTEM اجرا کند.
به دلیل این‌که برای بهره‌برداری از این ضعف نیازی به ورود (نام کاربری یا رمز عبور) وجود ندارد و ارتباط WSUS معمولاً روی پورت‌های TCP 8530 و 8531 فعال است، در صورت در معرض بودن این پورت‌ها، مهاجم می‌تواند از راه دور کنترل کامل سرور را به دست گیرد.
طبق گزارش منابع، نمونه‌های اکسپلویت (PoC) منتشر شده و موارد بهره‌برداری واقعی نیز مشاهده شده است؛ بنابراین این نقص باید با اولویت بسیار بالا مدیریت و رفع شود.

لذا با توجه به ماهیت این آسیب‌پذیری و شواهد بهره‌برداری فعال، احتمال استفادهٔ آن در حملات هدفمند یا گسترده بسیار بالا ارزیابی می‌شود.

بنابراین انجام موارد زیر باید با اولویت بسیار بالا در دستور کار قرار گیرد:

️ به‌روزرسانی فوری تمامی سرورهای WSUS و سرورهای ویندوزی دارای نقش UpdateServices
• وصلهٔ امنیتی مربوط به CVE-2025-59287 را فوراً از مایکروسافت دریافت و نصب نمایید (Windows Update / Microsoft Update Catalog).

️ اگر امکان نصب پچ بلافاصله وجود ندارد — کاهش ریسک موقت:
• دسترسی شبکه‌ای به پورت‌های TCP 8530 و 8531 را از شبکه‌های غیرقابل‌اعتماد (از جمله اینترنت) مسدود کنید.
• تنها آدرس‌های IP/شبکه‌های داخلی مدیریت‌شده را مجاز نگه دارید (ACL / Firewall).
• در صورت ضرورت و تا زمان اعمال وصله، سرویس WSUS را موقتاً متوقف کنید:
Stop-Service -Name WsusService -Force
• بررسی کنید نقش WSUS نصب شده است یا خیر:
Get-WindowsFeature -Name UpdateServices

️ رصد و ایجاد داشبوردهای تشخیصی:
• داشبوردی برای شناسایی درخواست‌های غیرعادی به endpointهای WSUS (مانند /ClientWebService/ و /Selfupdate/) و پورت‌های 8530/8531 ایجاد کنید.
• تمرکز بر روی اتصالات از منابع ناشناس، درخواست‌های با User-Agent غیرمتعارف و رخدادهای خطا یا crash در سرویس WSUS باشد.
• لاگ‌های IIS، Event Viewer (Application/System) و EDR را برای رفتارهای پس از نفوذ (اجرای PowerShell مشکوک، دانلود فایل، ایجاد وب‌شل) بررسی کنید.

️ محدودسازی و سخت‌سازی دسترسی به سرویس‌های مدیریتی:
• از قرار دادن WSUS و دیگر سرویس‌های مدیریتی (SCCM، RDP و غیره) مستقیم در معرض اینترنت خودداری کنید.
• دسترسی مدیریتی را فقط از طریق شبکه‌های امن (VPN / Jump Host) مجاز نمایید.
• شبکه را بخش‌بندی (Network Segmentation) کنید و اصل Least-Privilege را برای بخش‌های مدیریتی اعمال نمایید.

️ اقدامات پس از بهره‌برداری احتمالی:
• در صورت مشاهده هرگونه نشانه نفوذ، فوراً فرایندهای IR را فعال کنید: ایزوله‌سازی سرور، جمع‌آوری لاگ‌ها و شواهد، تهیه تصویربرداری از حافظه/فایل‌ها و بررسی lateral movement.
• اسکن کامل فایل‌ها/فرایندها با EDR/AV و بررسی تغییرات پیکربندی انجام شود.
• در صورت نیاز به کمک فنی یا مشاوره در عملیات واکنش، با مرکز CERT تماس بگیرید.

نشانه‌های احتمالی حمله (IoCs)
• درخواست‌های غیرعادی یا پرتعداد به پورت‌های 8530 و 8531 از آدرس‌های خارجی/ناشناخته
• پردازه‌های مشکوک به‌سرعت ایجاد شده تحت w3wp.exe یا WsusService.exe
• افزایش ناگهانی در لاگ‌های خطا، کرش یا ری‌استارت سرویس WSUS
• رفتارهای پس از نفوذ: دانلود باینری از منابع ناشناس، اجرای PowerShell با دستورات مشکوک، ایجاد ارتباطات خروجی غیرمعمول
🧰 توصیه‌های تکمیلی
• فرآیند Patch Management را بازبینی کنید تا وصله‌های اضطراری در اولویت نصب قرار گیرند.
• از قرار دادن سرویس‌های به‌روزرسانی و مدیریتی در معرض اینترنت خودداری کنید؛ در صورت ضرورت از فیلترها و VPN استفاده نمایید.
• گزارش و اطلاع‌رسانی سریع هر مورد مشکوک برای جلوگیری از گسترش نفوذ در شبکه ضروری است..................‌...............
لینک کانال: https://ble.ir/apkgroupآیدی کانال در اپلیکیشن بله: @apkgroupمرکز CERT شرکت امن‌پردازان کویر

۵:۴۰

۵ آبان

بزرگ‌ترین دغدغهٔ مدیران عامل جهان در سال ۲۰۲۵: «بهای اطمینان» سایبری چقدر است؟

تیم CERT امن‌پردازان کویر محتوای کلیدی گفت‌وگوهای جهانی امنیت سایبری در سال ۲۰۲۵ را رمزگشایی کرد!
آیا می‌دانستید که امنیت سایبری برای بسیاری از مدیران اجرایی (CEOها) تبدیل به یک «بوگی‌من ناشناخته» شده است؟در تازه‌ترین نشست‌های بین‌المللی حوزهٔ فناوری و امنیت سایبری، کارشناسان برجسته‌ای از جمله کوری (Cory) از Rapid7 و همچنین وزرای فناوری و مدیران ارشد شرکت‌هایی مانند Siemens و Cisco، به‌صراحت دربارهٔ چالش‌های واقعی دفاع سایبری سخن گفتند.

مهم‌ترین نکات این گفت‌وگوهای تخصصی:
• انقلاب هوش مصنوعی: چگونه AI بهره‌وری تحلیل‌گران امنیتی را بیش از دو برابر کرده است؟• بحران اعتماد: چرا مدیران عامل هزینه می‌کنند اما به اطمینان نمی‌رسند؟ بهای واقعی این اطمینان چیست؟• راز انعطاف‌پذیری: بهترین راهکار برای تقویت تاب‌آوری سازمانی، فراتر از خرید ابزارهای گران‌قیمت چیست؟ (پاسخ در یک کلمه است: انضباط!)
این یک دغدغهٔ جهانی است و پاسخ آن در دل فرهنگ و مدیریت قوی سازمان‌ها نهفته است.

مقالهٔ کامل و تخصصی تیم CERT امن‌پردازان کویر را از دست ندهید.

لینک مقاله کامل:لطفا برای خواندن مقاله اینجا کلیک کنید
.................‌...............
لینک کانال: https://ble.ir/apkgroupآیدی کانال در اپلیکیشن بله: @apkgroupمرکز CERT شرکت امن‌پردازان کویر (APK)

۷:۳۷

۱۴ آبان

اخطار حیاتی: Word اطلاعات شما را بدون اجازه به Cloud می‌فرستد!

تغییر بزرگ و بی‌سروصدا در Microsoft Word: از این پس، اسناد جدید شما به صورت پیش‌فرض و خودکار در فضای ابری OneDrive ذخیره می‌شوند، حتی قبل از اینکه نامی برای فایل انتخاب کنید!

خطر کجاست؟
ریسک سازمانی: نقض جدی سیاست‌های محرمانگی و Compliance.نشت داده: هرگونه ضعف در امنیت حساب کاربری شما (مثل رمز عبور ضعیف) کل داده‌های ابری‌تان را در معرض خطر قرار می‌دهد.کنترل از دست رفته: اطلاعات محرمانه دیگر در کنترل محلی شما نیستند.
🟢 راهکار و اقدام فوری چیست؟
در این ویدیو، نحوه غیرفعال‌سازی فوری این قابلیت توسط مدیران IT ، تیم‌های SOC و کاربران عادی را گام به گام توضیح داده‌ایم.
.................‌...............
لینک کانال: https://ble.ir/apkgroupآیدی کانال در اپلیکیشن بله: @apkgroupمرکز CERT شرکت امن‌پردازان کویر (APK)

۱۰:۳۶

۱۸ آبان

IP Abuse Mehr.pdf

۴۸۹.۸۹ کیلوبایت

🟢 گزارش ماهیانه IPهای مخرب شناسایی شده توسط تیم CERT

اقدامات پیشنهادی:

تیم‌های IT: به‌روزرسانی فایروال و IDS/IPS، مسدودسازی IPهای مخرب، بررسی لاگ‌ها و اطلاع‌رسانی داخلی.

تیم‌های SOC: مانیتورینگ مداوم، افزودن لیست به TIP/SIEM، تحلیل رفتار تهدیدات و اولویت‌دهی در Incident Response.
هدف ما، کمک به تصمیم‌گیری سریع‌تر، افزایش سطح امنیت و آمادگی در برابر تهدیدات است.
.................‌...............
لینک کانال: https://ble.ir/apkgroupآیدی کانال در اپلیکیشن بله: @apkgroupمرکز CERT شرکت امن‌پردازان کویر (APK)

۹:۱۴

AbuseIP Mehr.txt

۲.۷۲ کیلوبایت

برای سهولت استفاده، لیست کامل IPها در یک فایل متنی جداگانه نیز ضمیمه شده تا تیم‌های فنی بتوانند آن را مستقیماً در سامانه‌های امنیتی بارگذاری کنند.
.................‌...............
لینک کانال: https://ble.ir/apkgroupآیدی کانال در اپلیکیشن بله: @apkgroupمرکز CERT شرکت امن‌پردازان کویر (APK)

۹:۱۸

۲۶ آبان

هشدار ۲۰۲۶: اعتماد شما، بزرگترین حفره امنیتی است!در عصری که هوش مصنوعی مرز میان انسان و ماشین را پاک کرده، دفاع سایبری دیگر کار ابزارهای قدیمی نیست. خطر، نه در فایروال، بلکه در اعتماد ما پنهان است.

دو چالش فنی حیاتی که بازی را عوض می‌کنند:
تهاجم Agentic AI: مهاجمان با Agentic AI، موانع فنی ورود را نابود کرده‌اند. انتظار موج عظیمی از حملات خودکار و سریع را داشته باشید که متوقف کردن آنها بدون پاسخ خودکار (Autonomous Response) غیرممکن است.
خطر کوانتوم: حتی اگر سیستم‌های شما امروز امن باشند، حمله HNDL (ذخیره کن، بعداً رمزگشایی کن) به معنای آن است که داده‌های رمزنگاری شده فعلی شما، هدف آینده کوانتومی هستند.

استراتژی کلان: استقرار سیستم فرماندهی سایبری AI.
بخوانید که چطور با یک استراتژی AI-First*، نه تنها فریب‌های Deepfake Vishing را خنثی کنید، بلکه با استفاده از مدل‌های رفتاری (Behavioral Models)، زمان واکنش را به صفر برسانید و زیرساخت خود را برای رمزنگاری پسا-کوانتومی (PQC) آماده کنید.

*آینده امنیت اینجاست. آماده باشید یا قربانی!

برای مشاهده ۴ پیش‌بینی تکان‌دهنده ۲۰۲۶ و استراتژی AI-محور*، همین حالا کلیک کنید:

*لینک مقاله کامل:لطفا برای خواندن مقاله اینجا کلیک کنید
.................‌...............
لینک کانال: https://ble.ir/apkgroupآیدی کانال در اپلیکیشن بله: @apkgroupشرکت امن‌پردازان کویر (APK)

۱۱:۲۵

۲۸ آبان

هشدار فوری امنیتی: رمزهای عبور و کدهای 2FA شما در خطرند!

آسیب‌پذیری بحرانی در افزونه‌های مدیریت رمز عبورتحقیقات امنیتی نشان می‌دهد که ده‌ها میلیون کاربر افزونه‌های پرکاربرد مدیریت رمز عبور (Password Managers)، هدف یک حمله خطرناک به نام "کلیک‌جکینگ" هستند.
این نقص امنیتی به هکرها اجازه می‌دهد تا با استفاده از یک فریب ساده (قرار دادن یک لایه نامرئی روی دکمه تکمیل خودکار افزونه)، کدهای احراز هویت دو عاملی (2FA) و رمزهای عبور شما را به سرقت ببرند.

سازوکار حمله:شما با کلیک روی یک عنصر فریبنده (مثل بنر کوکی‌ها)، در واقع به‌طور ناخواسته افزونه را مجبور به تکمیل خودکار اطلاعات حساس در فرم‌های مخفی‌شده می‌کنید.
۴ اقدام حیاتی برای حفاظت:

غیرفعال کردن تکمیل خودکار (Autofill): آن را کاملاً خاموش کنید و از کپی/پیست دستی استفاده کنید.

تفکیک 2FA: کدهای 2FA خود را در برنامه‌ها یا کلیدهای فیزیکی امنیتی جداگانه ذخیره کنید. هرگز 2FA و رمز عبور را در یک جا نگهداری نکنید!

به‌روزرسانی فوری: افزونه خود را به آخرین نسخه موجود به‌روزرسانی کنید.

محدود کردن دسترسی: در تنظیمات، دسترسی افزونه را به حالت "فقط با کلیک دستی" (On click) تنظیم کنید.
.................‌...............لینک کانال: https://ble.ir/apkgroupآیدی کانال در اپلیکیشن بله: @apkgroupشرکت امن‌پردازان کویر (APK)

۸:۰۸