بله | کانال CyberIR

۲۳ فروردین

نگاهی به تهدید XorBot

تحلیل فنی:بات‌نت Masjesu/XorBot یک بدافزار از خانواده Mirai/Gafgyt است که تحلیل فنی نشان می‌دهد این عامل مخرب ارتباط پایداری با سرور C2 روی پورت TCP 5855 برقرار می‌کند. این بدافزار علاوه بر حملات UDP Flood، قابلیت backdoor از طریق /bin/sh و شناسایی شبکه داخلی از طریق پروتکل RPC روی پورت UDP 111 را دارد. تکنیک‌های فرار از شناسایی مانند /proc را برای تشخیص هانی‌پات استفاده می‌کند، محیط‌های کانتینری لینوکس را از طریق /run/systemd/container شناسایی می‌کند و با بررسی متغیرهای EFI فریم‌ور ماشین‌های مجازی را از سخت‌افزار واقعی تشخیص می‌دهد. برای پنهان ماندن، نام پروسه خود را در خروجی دستوراتی مثل ps بازنویسی می‌کند، بلافاصله پس از اجرا فایل باینری خود را از دیسک حذف کرده و صرفاً در حافظه به اجرا ادامه می‌دهد.

قابلیت‌ها و گستره تهدید:این بدافزار ظرفیت حملات DDoS تا حدود ۲۹۰ گیگابیت بر ثانیه را دارد و از هفت پروتکل حمله شامل UDP، TCP، VSE، GRE، RDP، OSPF و ICMP پشتیبانی می‌کند. پیلودها برای ۱۷ معماری پردازنده از جمله ARM، MIPS، x86، PowerPC و SPARC کامپایل شده‌اند و از طریق آسیب‌پذیری‌های شناخته‌شده در روترهای D-Link، TP-Link، Netgear، دستگاه‌های GPON و گیت‌وی‌های Huawei منتشر می‌شود. ارتباطات C2 با رمزگذاری XOR پنهان می‌شود و محدوده IP‌های دولتی آمریکا به‌طور فعال نادیده گرفته می‌شود. حدود پنجاه درصد از ترافیک ربات‌های آلوده از ویتنام منشأ می‌گیرد و بقیه در اوکراین، ایران، برزیل، کنیا و هند پراکنده‌اند.
C2 : 85[.]11[.]167[.]182

#مرکز_هوش‌تهدیدات_سایبری#مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری#مرکز_ملی‌_فضای‌مجازی‌https://ble.ir/CyberIR

۶:۴۳

سامانه‌های «گرگ»؛ معماری نظارت بیومتریک مبتنی بر هوش مصنوعی اسرائیلسامانه‌های «گرگ» (Ze'ev, Blue Wolf, Red Wolf) مجموعه‌ای از ابزارهای نظارتی مبتنی بر هوش مصنوعی و بیومتریک هستند که اسرائیل از حدود سال ۲۰۲۱ در کرانه باختری و بیت‌المقدس شرقی به کار گرفته است. این سامانه‌ها که عمدتاً توسط واحد ۸۲۰۰ توسعه یافته‌اند، یک «پانون اپتیکون دیجیتال» ایجاد کرده‌اند که با بهره‌گیری از فناوری‌های پیشرفته، زندگی روزمره فلسطینیان را تحت نظارت و کنترل الگوریتمی قرار می‌دهد.

«Wolf Pack» (گله گرگ): مغز متفکر پشت پردهWolf Pack هسته مرکزی و سیستم مادر این معماری نظارتی است. این پایگاه داده عظیم بیومتریک به عنوان حافظه اصلی عمل می‌کند و داده‌های جمع‌آوری‌شده توسط ابزارهای مختلف را ذخیره و مدیریت می‌نماید.این سامانه به طور ویژه بر روی جمعیت فلسطینی متمرکز شده و داده‌های آن‌ها را بدون رضایتشان ضبط و ذخیره می‌کند. اطلاعاتی نظیر چهره، محل سکونت، محل کار، فعالیت‌های روزانه و سوابق امنیتی افراد در این بانک اطلاعاتی ثبت می‌شود و در اختیار ارتش و نهادهای امنیتی اسرائیل قرار می‌گیرد.

«Blue Wolf» (گرگ آبی): اپلیکیشن پاداش‌محور سربازانBlue Wolf یک اپلیکیشن موبایل است که بر روی دستگاه‌های همراه سربازان اسرائیلی نصب می‌شود. این برنامه به سربازان این امکان را می‌دهد تا در هر زمان و مکانی (از ایست‌های بازرسی گرفته تا بازرسی‌های خانگی)، از چهره و کارت شناسایی هر فلسطینی، بدون نیاز به وجود هرگونه ظن یا اتهامی، عکس بگیرند.هنگامی که یک سرباز با استفاده از Blue Wolf از یک فرد عکس می‌گیرد، الگوریتم‌های هوش مصنوعی مستقر در پس‌زمینه در لحظه، تصویر را پردازش کرده و با پایگاه داده مرکزی Wolf Pack مقایسه می‌کنند. سپس، نتیجه این تطبیق به صورت یک کد رنگی ساده بر روی صفحه گوشی سرباز نمایش داده می‌شود که تصمیم نهایی را به او دیکته می‌کند.یکی از جنبه‌های کثیف و غیر‌اخلاقی Blue Wolf، طراحی آن به صورت یک بازی (gamification) است. بر اساس گزارش‌ها، به سربازان بر اساس تعداد عکس‌هایی که می‌گیرند، امتیاز و پاداش تعلق می‌گیرد و یگان‌هایی که بیشترین عکس را ثبت می‌کنند، جایزه دریافت می‌کنند.

«Red Wolf» (گرگ قرمز): دروازه‌بان خودکار ایست‌های بازرسیRed Wolf یک سیستم نظارتی ثابت است که عمدتاً در ایست‌های بازرسی در کرانه باختری، به ویژه در شهر الخلیل، مستقر شده است. این سیستم از دوربین‌های پرمدار مجهز به فناوری تشخیص چهره استفاده می‌کند.هنگامی که فلسطینی‌ها برای عبور از ایست بازرسی به قفس‌های فلزی وارد می‌شوند، Red Wolf به طور خودکار و بدون آگاهی یا رضایت آن‌ها، چهره‌شان را اسکن می‌کند. سپس، تصویر استخراج‌شده با پایگاه داده Wolf Pack مقایسه شده و نتیجه به صورت کد رنگی روی صفحه مانیتور سرباز حاضر در ایستگاه نمایش داده می‌شود و مشخص می‌کند که آیا فرد اجازه عبور دارد یا باید بازداشت شود. این فرآیند، تصمیم‌گیری انسانی را حذف و عبور و مرور را کاملاً خودکار کرده است.

«White Wolf» (گرگ سفید): ابزار شهرک‌نشینانWhite Wolf نسخه‌ای از این سامانه است که در اختیار شهرک‌نشینان اسرائیلی در کرانه باختری قرار داده شده است. این اپلیکیشن کارکردی مشابه Blue Wolf دارد اما با دسترسی محدودتر به پایگاه داده مرکزی Wolf Pack. وجود White Wolf نشان‌دهنده گسترش دامنه نظارت فراتر از نیروهای نظامی و مشارکت مستقیم غیرنظامیان در فرآیند کنترل و سرکوب است.

لایه گسترده‌تر نظارت: شبکه «Mabat 2000»سیستم‌های گرگ بخشی از یک شبکه بزرگ‌تر تحت عنوان Mabat 2000 هستند؛ یک شبکه گسترده از دوربین‌های مداربسته که توسط اسرائیل در سراسر کرانه باختری و بیت‌المقدس شرقی نصب شده است. برای درک عمق این نظارت، بد نیست بدانید که گزارش‌ها حاکی از وجود حداکثر دو دوربین در هر پنج متر در برخی مناطق کلیدی هستند. این دوربین‌ها مجهز به فناوری‌های پیشرفته هستند و می‌توانند افراد را از فواصل دور شناسایی و ردیابی کنند. Mabat 2000 و سیستم‌های گرگ یک شبکه نظارتی یکپارچه را شکل می‌دهند.
#مرکز_آموزش_و_نوآوری_سایبری#مرکز_هوش‌تهدیدات_سایبری#مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری#مرکز_ملی‌_فضای‌مجازی
https://ble.ir/CyberIR

۱۰:۰۲

۲۴ فروردین

آسیب‌پذیری فعال در محصولات Adobe (CVE‑2026‑34621)

مرکز هوش تهدیدات سایبری اعلام می‌کند که شرکت Adobe به‌تازگی یک به‌روزرسانی امنیتی اضطراری برای رسیدگی به یک آسیب‌پذیری بحرانی در نرم‌افزارهای Acrobat و Acrobat Reader منتشر کرده است. این نقص با شناسه CVE‑2026‑34621 و امتیاز CVSS 8.6 شناسایی شده و طبق گزارش‌ها، در فضای واقعی تحت بهره‌برداری فعال قرار دارد.

این آسیب‌پذیری یک مورد Prototype Pollution در پردازش JavaScript محسوب می‌شود که امکان اجرای کد دلخواه (Arbitrary Code Execution) را فراهم می‌کند. این تهدید می‌تواند به مهاجم اجازه دهد تنها با باز شدن یک فایل PDF دستکاری‌شده، کد مخرب را روی سیستم قربانی اجرا کند.

طبق اعلام Adobe و گزارش‌های پژوهشگران امنیتی، این آسیب‌پذیری احتمالاً از دسامبر 2025 مورد بهره‌برداری قرار گرفته است. بررسی‌های مستقل نیز تأیید می‌کنند که این نقص امنیتی فراتر از نشت اطلاعات بوده و قابلیت اجرای کد مخرب را داراست.

توصیه‌های امنیتی:- غیرفعال‌سازی اجرای JavaScript داخل PDF در سازمان‌هایی که امکان آن را دارند - پایش دقیق فایل‌های PDF ناشناس در زنجیره ایمیل و کانال‌های دریافت اسناد - فعال‌سازی Sandboxing و محدودسازی سطح دسترسی پردازش PDF در ایستگاه‌های کاری حساس
#مرکز_هوش‌تهدیدات_سایبری#مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری#مرکز_ملی‌_فضای‌مجازی‌https://ble.ir/CyberIR

۱۷:۰۳

افشای استفاده گسترده از سامانه Webloc برای ردیابی ۵۰۰ میلیون دستگاه از طریق داده‌های تبلیغاتی

مرکز هوش تهدیدات سایبری اعلام می‌کند که براساس گزارش جدید Citizen Lab، چندین نهاد امنیتی و پلیسی در کشورهای مختلف از جمله مجارستان، السالوادور و ایالات متحده از یک سامانه نظارتی مبتنی بر داده‌های تبلیغاتی با نام Webloc برای ردیابی و تحلیل موقعیت جغرافیایی تا ۵۰۰ میلیون دستگاه موبایل استفاده کرده‌اند.

Webloc توسط شرکت اسرائیلی Cobwebs Technologies توسعه یافته و پس از ادغام این شرکت در سال ۲۰۲۳ اکنون تحت مالکیت Penlink عرضه می‌شود. این ابزار به‌عنوان افزونه‌ای بر پلتفرم OSINT شرکت (Tangles) عمل کرده و دسترسی به جریان عظیمی از داده‌های جمع‌آوری‌شده از اپلیکیشن‌های موبایلی و شبکه‌های تبلیغاتی را فراهم می‌کند.

قابلیت‌های کلیدی Webloc:- تحلیل و ردیابی رفتار و تحرکات جمعیت در مقیاس جهانی - دسترسی به داده‌های پروفایلی و مکانی کاربران تا سه سال گذشته- پردازش مستمر داده‌های حاوی AdID، مختصات GPS، IPهای ژئولکال‌شده و الگوی اتصال دستگاه‌ها - استنتاج هویت کاربران از طریق مکان‌های رفت‌وآمد، محل کار و محل سکونت

بر اساس این گزارش، Webloc برای نظارت بدون نیاز به حکم قضایی نیز در برخی نهادها مورد استفاده قرار گرفته است. رسانه‌های معتبر از جمله Forbes، 404 Media و Texas Observer نیز پیش‌تر شواهدی از توانایی این سامانه برای ردیابی بدون مجوز قضایی منتشر کرده بودند.

سازمان‌های شناسایی‌شده در استفاده از Webloc (در ایالات متحده):- سازمان مهاجرت و گمرک (ICE) - واحدهای نظامی ایالات متحده - وزارت امنیت تگزاس - دادستانی‌های نیویورک - پلیس لس‌آنجلس، دالاس، بالتیمور، توسان، دورهام و چندین شهرستان کوچک

Citizen Lab همچنین ارتباط ساختاری Cobwebs را با فروشندگان ابزارهای جاسوسی مانند Quadream مطرح کرده و از شناسایی ۲۱۹ سرور فعال Webloc در کشورهای مختلف خبر داده است. اکثریت این زیرساخت در ایالات متحده، هلند، سنگاپور، آلمان، هنگ‌کنگ و بریتانیا قرار دارد.

شرکت Penlink در پاسخ به این گزارش اعلام کرده که یافته‌ها مبتنی بر برداشت‌های نادرست بوده و این شرکت فعالیت خود را مطابق قوانین حریم خصوصی ایالات متحده انجام می‌دهد.

مرکز هوش تهدیدات سایبری همچنان به رصد الگوهای نوظهور نظارت مبتنی بر داده‌های تبلیغاتی (Ad‑Based Surveillance) ادامه می‌دهد.
#مرکز_هوش‌تهدیدات_سایبری#مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری#مرکز_ملی‌_فضای‌مجازی‌https://ble.ir/CyberIR

۱۸:۱۷

۲۵ فروردین

یک گروه کلاهبردار با ادعای "هک زیرساخت اینترنت ایران" در حال فریب کاربران است.

ادعای آن‌ها چیست؟این گروه ادعا می‌کند که زیرساخت اینترنت ایران را هک کرده و در حال جذب کمک های مالی برای اقدامات بیشتر هستند اما در واقعیت یک ربات تلگرامی ۱۰۰ دلار دریافت می‌کند و وعده ۴۰۰ دلار سود می‌دهد. نتیجه؟ پول شما ناپدید می‌شود.این همان مدل کلاسیک پانزی است — هیچ‌کس سودی دریافت نکرده است.

طرح چنین ادعاهایی در شرایط فعلی اقدام علیه امنیت ملی تلقی خواهد شد و عواقب جبران‌ناپذیری خواهد داشت.

#مرکز_هوش‌تهدیدات_سایبری#مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری#مرکز_ملی‌_فضای‌مجازی
https://ble.ir/CyberIRhttps://rubika.ir/CyberIR

۱۴:۳۲

۲۸ فروردین

درس آموخته‌های سایبری جنگ رمضان در تحلیل موارد سایبری جنگ رمضان یک نکته کلیدی از منظر امنیت سایبری قابل‌توجه است:

هر میزان وابستگی کشور به سرویس‌ها، پروتکل‌ها و زیرساخت‌های دیجیتالی غیرخودی بیشتر باشد، دامنه و شدت خسارت‌ها در زمان اختلال نیز بزرگ‌تر خواهد بود.

این پدیده به عنوان «عدم استقلال عملیاتی در لایه‌های حیاتی» شناخته می‌شود و معمولاً به سه منبع ریسک بازمی‌گردد:• تکیه بر فناوری‌هایی که خارج از حوزه کنترل یا نظارت فناورانه کشور هستند • عدم توسعه اکوسیستم نرم‌افزاری بومی پایدار و قابل‌اتکا • شکل‌گیری جریان‌هایی که به‌جای خلق ارزش واقعی، روی «خالی‌فروشی محصول» یا تکرار ساختارهای کم‌عمق نرم‌افزاری تحت عنوان محصولات‌بومی تمرکز داشته‌اند
این نوع محصولات ظاهراً «داخلی» محسوب می‌شوند، اما در عمل به وابستگی بیشتر منجر می‌گردند، زیرا:• استانداردهای امنیتی و پایداری را به‌صورت کامل رعایت نمی‌کنند • موجب شکل‌گیری زنجیره تأمین ناسازگار و شکننده می‌شوند • امکان یکپارچه‌سازی با زیرساخت‌های حیاتی را کاهش می‌دهند • در زمان بحران، توان جذب ضربه را ندارند

برای زیرساخت‌های کلیدی اقتصادی ــ از انرژی و فولاد گرفته تا حمل‌ونقل، مالی و پتروشیمی ــ *تاب‌آوری سایبری نه یک انتخاب، بلکه بخشی از امنیت ملی و بقای اقتصادی است.
هرگونه اختلال در این لایه‌ها، اگر با اتکای بیش از حد به فناوری‌های برون‌مرزی یا محصولات داخلی کم‌عمق همراه باشد، می‌تواند موجب توقف فرآیندهای صنعتی، اختلال زنجیره تأمین، و در نهایت فشار اقتصادی گسترده شود.

برای کاهش ریسک و ایجاد پایداری بلندمدت، سه محور ضروری است:
1) ایجاد استقلال عملیاتی در لایه‌های حیاتی سایبری
2) توسعه محصولات بومی با ارزش افزوده واقعی به‌جای تولیدات تکراری یا کم‌عمق و مقابله با خالی فروشی*3) بازسازی اکوسیستم نرم‌افزاری بر پایه استانداردهای امنیتی، مهندسی قابل‌سنجش و زنجیره تأمین قابل اعتماد

این مسیر نه سیاسی است و نه احساسی؛ یک ضرورت فنی برای حفظ امنیت، اقتصاد و پایداری زیرساخت‌های دیجیتال در دنیای امروز است که در آن قانون جنگل حاکم است.
#مرکز_هوش‌تهدیدات_سایبری#مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری#مرکز_ملی‌_فضای‌مجازی
‌https://ble.ir/CyberIRhttps://rubika.ir/CyberIR

۷:۱۳

VPSهای کوتاه‌مدت؛ نقطه داغ سوءاستفاده مهاجمان

در بسیاری از حملات سایبری، بخش قابل‌توجهی از زیرساخت مخرب روی VPSهای کوتاه‌مدت بنا می‌شود؛ سرورهایی که ظرف چند ساعت تا چند روز راه‌اندازی، استفاده و سپس کنار گذاشته می‌شوند.

این VPSها معمولاً برای موارد زیر به‌کار می‌روند: - راه‌اندازی سریع C2 یک‌بارمصرف- اجرای اسکن خودکار گسترده- ایجاد Relay/Proxy برای پنهان‌سازی مبدأ - میزبانی فیشینگ کوتاه‌عمر - توزیع موقت فایل و Dropper

تحلیل مبتنی بر الگوی استفاده از VPSهای کوتاه‌مدت—نه صرفاً IOC—به تیم‌های دفاعی کمک می‌کند:- چرخه‌های تکرار زیرساخت مهاجم را کشف کنند - Providerهای پرریسک را شناسایی کنند - استراتژی مسدودسازی دقیق‌تر طراحی کنند - تهدیدات سریع‌الظهور را زودتر شکار کنند

درک رفتار VPSهای کوتاه‌عمر، یکی از کلیدهای تولید هوش تهدید عملیاتی است.
#مرکز_هوش‌تهدیدات_سایبری#مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری#مرکز_ملی‌_فضای‌مجازی
‌https://ble.ir/CyberIRhttps://rubika.ir/CyberIR

۱۸:۴۵

۲۹ فروردین

هشدار : شناسایی کمپین فیشینگ هدفمند با استفاده از تایپواسکآتینگ و جعل برند در المپیادهای هوش مصنوعی

در جریان نظارت و پایش مداوم فعالیت‌های سایبری، دامنه ioai-official[.]org به عنوان یکی از لینک‌های اصلی در یک کمپین فیشینگ هدفمند شناسایی گردید. این دامنه با هدف جمع‌آوری اطلاعات حساس شخصی (مانند نام، آدرس ایمیل، جزئیات هویتی و اطلاعات پرداخت) از طریق فرم ثبت‌نام گوگل، در حال فعالیت است. بررسی‌های فنی و اسناد رسمی نشان می‌دهد که این دامنه فاقد اعتبار لازم بوده و به طور قابل توجهی خطرناک و غیرقابل اعتماد ارزیابی می‌شود.

شواهد اصلی عدم اعتبار دامنه1- ادعای نادرست حمایت یونسکو: سایت ioai-official[.]org به صراحت اعلام کرده است که «دومین دوره المپیاد بین‌المللی هوش مصنوعی تحت حمایت (patronage) یونسکو برگزار شده است». با این حال، جستجوی گسترده و دقیق در پایگاه‌های داده، اسناد رسمی و صفحات مرتبط سایت unesco[.]org هیچ اشاره، تأییدیه، سند همکاری یا حمایت رسمی برای دامنه ioai-official[.]org یا رویداد IOAI نشان نمی‌دهد. این تناقض آشکار، الگوی رایج جعل اعتبار از سوی سازمان‌های بین‌المللی معتبر است.2- مقایسه فنی با دامنه معتبر: دامنه واقعی و تأییدشده iaio-official[.]org بر روی زیرساخت آکادمیک معتبر مؤسسه تحقیقاتی Jožef Stefan در اسلوونی (با نام‌سرورهای niobe[.]ijs[.]si و pelops[.]ijs[.]si) میزبانی می‌شود. این دامنه در اسناد رسمی مربوط به مرکز بین‌المللی پژوهش در هوش مصنوعی (IRCAI) تحت نظر یونسکو مورد اشاره قرار گرفته است. در مقابل، دامنه ioai-official[.]org بر روی نام‌سرورهای اشتراکی و ارزان‌قیمت superdnsserver[.]net قرار دارد. این الگو در گزارش‌های متعدد مراکز CERT و تحلیل‌های تهدید سایبری، به عنوان نشانه‌ای از typosquatting و brand hijacking شناخته می‌شود.3- الگوی عملیاتی فیشینگ: این کمپین با بهره‌برداری از شباهت نام‌ها (IOAI در برابر IAIO)، ادعای حمایت بین‌المللی جعلی و فرآیند ثبت‌نام و پرداخت : (فرم گوگل → فاکتور خصوصی → انتقال بانکی) طراحی شده است تا داده‌های حساس کاربران را جمع‌آوری کند. این روش کاملاً با الگوهای شناخته‌شده سوءاستفاده از برندهای آموزشی هم‌خوانی دارد و فاقد شفافیت مالی عمومی است.

#مرکز_هوش‌تهدیدات_سایبری#مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری#مرکز_ملی‌_فضای‌مجازی
‌https://ble.ir/CyberIRhttps://rubika.ir/CyberIR

۱۴:۴۶

۳۰ فروردین

همبستگی میان دسترسی به اینترنت و افزایش آلودگی‌های مرتبط با بدافزارهای سرقت داده در ایران

این نمودار چه چیزی را نشان می‌دهد؟این نمودار یک مقایسه 3 ساله با بازه هفتگی بین سطح دسترسی به اینترنت و حجم آلودگی به بدافزارهای خانواده سرقت داده را در ایران ارائه می‌دهد.نتایج نشان می‌دهد که اگرچه قطعی یا محدودیت اینترنت می‌تواند به‌صورت موقت عملیات‌های سایبری را کاهش دهد، اما اثر آن صرفاً کاهشی نیست و معمولاً پیامدهای تأخیری به همراه دارد.به‌عنوان مثال، در بازه آوریل تا مه ۲۰۲۳، محدودیت اینترنت باعث شد نرخ آلودگی تقریباً در سطح هفته‌های قبل باقی بماند. با این حال، پس از بازگشت دسترسی، در ماه‌های بعد افزایش قابل‌توجهی در تعداد آلودگی‌ها مشاهده می‌شود که در ادامه سال ۲۰۲۳ به یک اوج چشمگیر می‌رسد. این الگو نشان‌دهنده یک همبستگی با تأخیر است؛ به این معنا که قطعی اینترنت در کوتاه‌مدت فعالیت‌های مخرب را مختل می‌کند، اما در ادامه شرایطی ایجاد می‌شود که منجر به افزایش آلودگی‌ها می‌گردد. این افزایش می‌تواند ناشی از اجرای با تأخیر حملات، کاهش توانمندی نگهداری زیرساخت و به‌روزرسانی سیستم‌ها در زمان قطعی، یا تشدید فعالیت مهاجمان پس از بازگشت اینترنت باشد.

1-منشأ این آلودگی‌ها چیست؟در زمان قطعی یا محدودیت اینترنت، عوامل مختلفی باعث افزایش آسیب‌پذیری می‌شوند:

1.1-از دست رفتن دسترسی به منابع رسمی نرم‌افزارکاربران و سازمان‌ها ممکن است به وب‌سایت‌ها و مخازن رسمی دسترسی نداشته باشند و به منابع غیررسمی روی بیاورند.

1.2-به‌روز نشدن ابزارهای امنیتینبود دسترسی به اینترنت باعث می‌شود نرم‌افزارهای امنیتی به‌روزرسانی نشوند و در برابر تهدیدات جدید آسیب‌پذیر بمانند.

1.3-رفتارهای پرریسک کاربرانکاربران برای دور زدن محدودیت‌ها یا دسترسی به اینترنت، ممکن است هر نرم‌افزار پیشنهادی از منابع غیرمعتبر را نصب کنند.

1.4-افزایش فعالیت مهاجمان در زمان بحرانقطعی اینترنت معمولاً هم‌زمان با رویدادهای سیاسی یا درگیری‌ها رخ می‌دهد. این شرایط برای مهاجمان بسیار ارزشمند است و آن‌ها ممکن است:کمپین‌های بدافزاری جدید راه‌اندازی کننددسترسی‌های قدیمی (مانند بک‌دورها) را دوباره فعال کننداز کاهش نظارت و ضعف دفاعی سوءاستفاده کنند

2-راهکارها؟

2.1-نقش رویکردهای #متن_باز در کاهش ریسککاهش ریسک زنجیره تأمیننرم‌افزارهای متن‌باز قابلیت بررسی و توزیع از طریق کانال‌های قابل اعتماد یا داخلی را دارند و وابستگی به وب‌سایت‌های غیررسمی آلوده را کاهش می‌دهند.

2.2-امکان ایجاد مخازن محلیسازمان‌ها می‌توانند نسخه‌های محلی از مخازن نرم‌افزاری ایجاد کنند تا حتی در زمان اختلال اینترنت نیز به‌روزرسانی‌ها در دسترس باشند.

2.3-کاهش وابستگی به اکوسیستم‌های انحصاریکاهش وابستگی به پلتفرم‌های خارجی (مانند سیستم‌عامل‌های انحصاری) باعث افزایش تاب‌آوری و کاهش هزینه‌های عملیاتی می‌شود.

2.4-انعطاف‌پذیری و شفافیت بیشترنرم‌افزارهای متن‌باز امکان بررسی، اصلاح و نگهداری مستقل را فراهم می‌کنند که در شرایط قطعی اینترنت بسیار حیاتی است.

3-امنیت حساب‌های کاربری و رفتار کاربران

3.1-تغییر دوره‌ای رمزهای عبوراعمال سیاست تغییر منظم رمز عبور، ریسک سوءاستفاده از اطلاعات لو رفته را کاهش می‌دهد، به‌ویژه پس از دوره‌های قطعی اینترنت.

3.2-اجباری کردن احراز هویت چندمرحله‌ای (2FA)استفاده از 2FA حتی در صورت افشای رمز عبور، مانع دسترسی غیرمجاز می‌شود.

3.3-استفاده از ابزارهای مدیریت رمز عبور امناستفاده از ابزارهایی مانند KeePass به کاربران کمک می‌کند رمزهای قوی و منحصربه‌فرد ایجاد و نگهداری کنند و از روش‌های ناامن جلوگیری شود.

#مرکز_هوش‌تهدیدات_سایبری#مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری#مرکز_ملی‌_فضای‌مجازی
‌https://ble.ir/CyberIRhttps://rubika.ir/CyberIR

۱۹:۳۶

۳۱ فروردین

معرفی مدل جدید OpenAI برای دفاع سایبری: GPT-5.4-Cyber

شرکت OpenAI از مدل تخصصی GPT-5.4-Cyber رونمایی کرد؛ نسخه‌ای بهینه‌شده از GPT-5.4 که مخصوص موارد استفاده دفاع سایبری طراحی شده است. لازم به ذکر است که این اقدام تنها چند روز پس از معرفی مدل رقیب «میتوس» توسط شرکت Anthropic انجام می‌شود.

هدف اصلی از این مدل: کمک به مدافعان سایبری برای شناسایی و رفع سریع‌تر آسیب‌پذیری‌ها در زیرساخت‌های دیجیتال.

برنامه دسترسی ویژه: OpenAI برنامه «دسترسی قابل اعتماد برای سایبر (TAC)» را برای افراد متخصص احراز هویت‌شده و تیم‌های مسئول امنیت نرم‌افزارهای حیاتی گسترش می‌دهد.

چالش دوگانگی هوش مصنوعی: آنطور که ذکر شده است، با توجه به اینکه مدل‌های هوش مصنوعی ذاتاً دوکاربرده هستند و ممکن است افراد با نیت آفندی از آن‌ها برای کشف و سوءاستفاده از حفره‌های امنیتی استفاده کنند. به همین دلیل، دسترسی به این مدل به صورت کنترل‌شده و تدریجی انجام می‌شود.

سابقه موفقیت: طبق گزارش‌ها، ابزار قبلی OpenAI یعنی Codex Security تاکنون به رفع بیش از ۳,۰۰۰ آسیب‌پذیری بحرانی و مهم کمک کرده است.

رقابت با Anthropic: این حرکت در حالی است که مدل «میتوس» شرکت رقیب نیز موفق به کشف هزاران آسیب‌پذیری در سیستم‌عامل‌ها، مرورگرها و نرم‌افزارهای دیگر شده است.
#مرکز_هوش‌تهدیدات_سایبری#مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری#مرکز_ملی‌_فضای‌مجازی
‌https://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR

۹:۰۳

آسیب‌پذیری بحرانی در Docker Engine (CVE‑2026‑34040) و امکان دور زدن کنترل‌های امنیتی

بر اساس رصد و پایش مستمر فضای تهدیدات سایبری، یک آسیب‌پذیری با شدت بالا (CVSS: 8.8) در Docker Engine و فریم‌ورک Moby با شناسه CVE‑2026‑34040 شناسایی شده است که می‌تواند منجر به دور زدن مکانیزم‌های کنترل دسترسی و تصرف کامل میزبان شود.

تحلیل‌های فنی نشان می‌دهد این آسیب‌پذیری ناشی از رفع ناقص آسیب‌پذیری پیشین CVE‑2024‑41110 بوده و در سناریوهایی که از پلاگین‌های Authorization (AuthZ Plugins) برای اعمال سیاست‌های امنیتی استفاده می‌شود، قابل بهره‌برداری است. در این حمله، مهاجم با ارسال درخواست‌های HTTP حجیم (بیش از ۱ مگابایت) باعث ایجاد ناهماهنگی در پردازش درخواست میان Docker daemon و AuthZ plugin می‌شود؛ به‌گونه‌ای که بدنه درخواست به پلاگین امنیتی ارسال نشده اما daemon درخواست کامل را پردازش می‌کند. این وضعیت عملاً امکان عبور از سیاست‌های امنیتی تعریف‌شده را فراهم می‌سازد.

در صورت موفقیت‌آمیز بودن بهره‌برداری، مهاجم قادر خواهد بود:- کانتینرهای privileged ایجاد کرده و به فایل‌سیستم میزبان دسترسی کامل کسب کند.- کد مخرب با سطح دسترسی root اجرا نماید.- داده‌های حساس را استخراج یا دستکاری کند.- بدافزار یا backdoor در زیرساخت کانتینری مستقر سازد.- در محیط‌های containerized اقدام به حرکت جانبی (Lateral Movement) نماید.- در سناریوی بدبینانه، کنترل کامل زیرساخت cloud‑native سازمان را به دست گیرد.- با توجه به سادگی نسبی بهره‌برداری و گستردگی استفاده از Docker در محیط‌های عملیاتی، این آسیب‌پذیری به‌ویژه برای زیرساخت‌های تولیدی و محیط‌های با تراکم بالای کانتینر تهدیدی جدی محسوب می‌شود.

اقدامات فوری پیشنهادی:ارتقای فوری Docker Engine به نسخه 29.3.1 یا بالاتر (همراه با Docker Desktop نسخه 4.66.1).در صورت استفاده از AuthZ Plugins (از جمله OPA، Prisma Cloud یا پلاگین‌های سفارشی)، تا زمان اعمال وصله امنیتی:محدودسازی حجم درخواست‌های HTTP در سطح Reverse Proxy یا WAF.اجتناب از اجرای کانتینرها در حالت privileged و اعمال سیاست‌های سخت‌گیرانه امنیتی نظیر:seccompAppArmorSELinuxمحدودسازی دسترسی به Docker daemon صرفاً برای کاربران و سرویس‌های مجاز.پایش مستمر لاگ‌های Docker daemon و سامانه‌های مانیتورینگ جهت شناسایی رفتارهای غیرعادی.با توجه به احتمال بهره‌برداری فعال از این آسیب‌پذیری در حملات هدفمند علیه زیرساخت‌های کانتینری، توصیه می‌شود تیم‌های امنیت اطلاعات و عملیات فناوری اطلاعات در کوتاه‌ترین زمان ممکن نسبت به اعمال وصله‌ها و کنترل‌های کاهنده ریسک اقدام نمایند.

منابع فنی:https://nvd.nist.gov/vuln/detail/CVE-2026-34040https://access.redhat.com/security/cve/cve-2026-34040https://thehackernews.com/2026/04/docker-cve-2026-34040-lets-attackers.html

#مرکز_هوش‌تهدیدات_سایبری#مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری#مرکز_ملی‌_فضای‌مجازی
‌https://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR

۱۲:۱۱

۲ اردیبهشت

وقتی یک کارت‌پستال و یک اپلیکیشن ورزشی، OPSEC را به چالش می‌کشند

امنیت عملیاتی (OPSEC) در سال ۲۰۲۶ دیگر فقط دربارهٔ بدافزار، زیرو-دی‌ و APT نیست. گاهی یک ردیاب بلوتوث ۵ دلاری یا یک اپلیکیشن ورزشی می‌تواند از هر حمله سایبری پیچیده‌تر مؤثر باشد.

در یک سناریوی مطرح‌شده در میان پژوهشگران امنیت، نشان داده شد که اگر یک ردیاب کوچک را داخل یک کارت‌پستال قرار دهید و آن را از طریق پست نظامی به یک یگان دریایی بفرستید، می‌توان تحرکات شناور را تقریباً در زمان واقعی رصد کرد — بدون هیچ نفوذ سایبری؛ فقط با سوءاستفاده از یک حلقهٔ ساده در زنجیرهٔ لجستیک.

این سناریو، حتی اگر صرفاً اثبات مفهومی باشد، دقیقاً همان نقطه‌ضعفی را هدف قرار می‌دهد که OPSEC سنتی معمولاً نادیده می‌گیرد: «اشیای کوچک» — کارت‌پستال، گجت ارزان، یک سنسور بی‌اهمیت.

این یادآور یک نمونهٔ کاملاً مستندتر است: در سال‌های ۲۰۱۷–۲۰۱۸، انتشار نقشهٔ حرارتی Strava باعث شد محل و الگوی تردد نیروهای نظامی در پایگاه‌های حساس نمایان شود. تحلیلگران OSINT نشان دادند که:- مسیر دویدن سربازان، - الگوهای رفت‌وآمد روزانه، - و حتی فعالیت روی عرشهٔ شناورها، روی نقشه ثبت و ناخواسته منتشر شده است.

امنیت عملیاتی امروز نه فقط دربارهٔ اسناد محرمانه است، نه حتی دربارهٔ سیستم‌های طبقه‌بندی‌شده؛ امروز هر سنسور، هر گجت و هر دادهٔ ظاهراً بی‌اهمیت می‌تواند تبدیل به یک سیگنال اطلاعاتی حساس شود.
#مرکز_هوش‌تهدیدات_سایبری#مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری#مرکز_ملی‌_فضای‌مجازی
‌https://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR

۹:۵۴

۳ اردیبهشت

CyberIR

اطلاعیه فنی – فعال‌سازی طرح تداوم کسب‌وکار (BCP) در پی اختلال در تجهیزات امنیت لبه شبکه

در پی گزارش‌های دریافتی از بروز اختلال در بخشی از تجهیزات امنیتی لبه شبکه، به‌ویژه فایروال‌های مبتنی بر محصولات سیسکو، فورتی‌گیت و میکروتیک، در برخی زیرساخت‌های ارتباطی، تیم‌های عملیات امنیت و مدیریت زیرساخت اقدام به فعال‌سازی رویه‌های «تداوم کسب‌وکار» نموده‌اند.

در چارچوب اجرای BCP، اقدامات فنی و عملیاتی زیر در دستور کار قرار گرفته است: ۱. پایش و ارزیابی وضعیت - پایش لحظه‌ای سلامت تجهیزات لبه شبکه و سامانه‌های امنیتی مرتبط - تحلیل لاگ‌های امنیتی فایروال‌ها، سیستم‌های IDS/IPS و سامانه‌های SIEM - شناسایی الگوهای غیرعادی در ترافیک شبکه، افزایش خطاهای پردازشی یا رفتارهای مشکوک ۲. ایزوله‌سازی و مهار اختلال - محدودسازی دسترسی‌های مدیریتی به تجهیزات امنیتی صرفاً از شبکه‌های امن داخلی - اعمال سیاست‌های موقت برای کاهش بار ترافیکی در تجهیزات آسیب‌دیده - جداسازی بخش‌های متاثر از شبکه در صورت مشاهده رفتار غیرعادی ۳. تداوم ارائه سرویس‌های حیاتی ۴. بازیابی و بازگردانی - بررسی صحت نسخه‌های پشتیبان پیکربندی تجهیزات (Configuration Backup) - بازگردانی تنظیمات پایدار در صورت بروز خطای پیکربندی یا خرابی نرم‌افزار - بررسی و نصب به‌روزرسانی‌های امنیتی و Firmware در صورت شناسایی نقص فنی ۵. مستندسازی و تحلیل پساحادثه - ثبت کامل رخدادها و شاخص‌های عملکردی تجهیزات در طول اختلال - تحلیل ریشه‌ای حادثه (Root Cause Analysis) پس از پایدارسازی شبکه - به‌روزرسانی سناریوهای BCP و برنامه پاسخ به رخداد بر اساس یافته‌های فنی

هم‌زمان از مدیران شبکه و مسئولان امنیت اطلاعات در سازمان‌ها درخواست می‌شود ضمن بررسی وضعیت تجهیزات امنیتی خود، هرگونه رفتار غیرعادی در ترافیک شبکه، خطاهای پردازشی یا اختلال در عملکرد فایروال‌ها را در سریع‌ترین زمان ممکن به مراکز مسئول گزارش دهند. #مرکز_هوش‌تهدیدات_سایبری #مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری #مرکز_ملی‌_فضای‌مجازی https://ble.ir/CyberIR

دانشگاه‌ها و زیرساخت‌های انرژی هدف جدید حملات در سطح سوییچ‌ها و فایروال‌ها
بنابر اخبار واصله به مرکز هوش‌تهدیدات سایبری، دانشگاه‌ها و زیرساخت‌های انرژی مورد حملات جدید این لایه قرار گرفته‌اند و لزوم اولویت اجرای BCP در این سطح باید در اولویت سازمان‌ها و نهاد‌ها قرارگيرد.
در صورت مشاهده حادثه سایبری در این سطح فورا موارد را به این مرکز اعلام فرمایید.
همچنین قابلیت بازگردانی دستگاه‌های آسیب‌دیده محیا شده است.
#مرکز_هوش‌تهدیدات_سایبری#مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری#مرکز_ملی‌_فضای‌مجازی
‌https://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR

۹:۱۳

۵ اردیبهشت

کشف بدافزاری که ۵ سال قبل از Stuxnet توسعه یافته بود

محققان SentinelOne بدافزاری به نام fast16 کشف کرده‌اند که قدمت آن به سال ۲۰۰۵ بازمی‌گردد؛ یعنی ۵ سال قبل از استاکس‌نت!

هدف اصلی: دستکاری نتایج محاسبات دقیق در نرم‌افزارهای مهندسی

ویژگی‌های مهم:- اولین بدافزار ویندوزی با موتور Lua جاسازی‌شده- قابلیت انتشار خودکار در شبکه (مثل کرم)- مجهز به درایور کرنل برای sabotaging دقیق- هدف‌گیری نرم‌افزارهای شبیه‌ساز فیزیک و مهندسی مثل LS-DYNA و PKPM

نحوه عملکرد:بدافزار با تزریق خطاهای کوچک اما سیستماتیک در محاسبات دنیای واقعی، می‌توانست- برنامه‌های تحقیقات علمی را مختل کند- سیستم‌های مهندسی را به مرور تخریب نماید- بعضاً منجر به خسارات فاجعه‌بار گردد

ارتباط با Shadow Brokers:این بدافزار از طریق لیکی از گروه هکری Shadow Brokers در سال ۲۰۱۷ شناسایی شد که ادعا می‌شد متعلق به Equation Group (مرتبط با NSA آمریکا) است.

اهمیت تاریخی:این کشف نشان می‌دهد که عملیات sabotage سایبری علیه اهداف فیزیکی از اواسط دهه ۲۰۰۰ شروع شده بود؛ خیلی زودتر از آنچه قبلاً تصور می‌شد.
#مرکز_هوش‌تهدیدات_سایبری#مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری#مرکز_ملی‌_فضای‌مجازی
‌https://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR

۱۱:۴۱

۶ اردیبهشت

گزارش حملات سایبری سال 1404 در سطح راهبردی و چشم‌انداز تهدیدات سایبری سال جدید به زودی منتشر خواهد شد
#مرکز_هوش‌تهدیدات_سایبری#مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری#مرکز_ملی‌_فضای‌مجازی
https://ble.ir/cyberirhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR

۲۲:۰۴

۸ اردیبهشت

دفاع مؤثر و پیش‌دستانه در برابر تهدیدات نوین، نیازمند اتخاذ رویکردی جامع و مبتنی بر دانش است. هوش تهدیدات سایبری باید در سه محور اساسی و به هم پیوسته مستقر و عملیاتی گردد:

سطح راهبردی (استراتژیک): شناخت روندهای کلان، سیاست‌گذاری و هدایت تصمیمات امنیتی مدیریت ارشد برای محافظت از دارایی‌های حیاتی.

سطح عملیاتی: رصد مستمر کمپین‌های سایبری، تحلیل رفتار گروه‌های تهدید و شناسایی الگوهای پیچیده حمله.

سطح میدانی و تکنیکی: پردازش بلادرنگ داده‌ها، استخراج شاخص‌های سازش (IoC) و پیاده‌سازی اقدامات کنترلی فوری در لایه‌های شبکه و نقاط پایانی.

تنها با اتصال دقیق این سه سطح است که یک چرخه دفاعی یکپارچه، هوشمند و مقاوم شکل می‌گیرد. هوشیاری مستمر و ارتقای توان تشخیص و پاسخ، الزام قطعی در معماری امنیت پایدار است.
#مرکز_هوش‌تهدیدات_سایبری#مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری#مرکز_ملی‌_فضای‌مجازی
https://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR

۱۰:۴۱

۱۰ اردیبهشت

هشدار امنیتی فوری – آسیب‌پذیری بحرانی در cPanel

گزارش‌ها حاکی از آن است که آسیب‌پذیری بحرانی CVE‑2026‑41940 با امتیاز ۹.۸ CVSS (Authentication Bypass) سرورهای cPanel را هدف قرار داده است.

جزئیات فنی و کد بهره‌برداری (PoC) این نقص در فضای عمومی منتشر شده و گزارش‌ها از سوء‌استفاده فعال است.

این آسیب‌پذیری امکان تسلط کامل مهاجم بر سرور را در صورت عدم نصب وصله فراهم می‌کند.

توصیه فوری:مدیران سامانه‌ها و شرکت‌های میزبانی وب باید در اسرع وقت به‌روزرسانی امنیتی cPanel را نصب نمایند و دسترسی‌های مدیریتی را تا زمان اطمینان از ایمن‌سازی محدود کنند.
#مرکز_هوش‌تهدیدات_سایبری#مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری#مرکز_ملی‌_فضای‌مجازی
https://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR

۱۲:۲۷

۱۳ اردیبهشت

هشدار امنیتی فوری: آسیب‌پذیری بحرانی ارتقاء سطح دسترسی در لینوکس (CVE-2026-31431)

به کلیه مدیران سیستم، متخصصان امنیت و سازمان‌ها در خصوص یک آسیب‌پذیری ارتقاء سطح دسترسی محلی (LPE) با نام Copy Fail و شناسه CVE-2026-31431 در کرنل لینوکس هشدار می‌دهد.

بر اساس تحلیل‌های فنی و رصدهای اخیر، یک پیاده‌سازی پیشرفته، بدون وابستگی (Dependency-free) و قابل حمل به زبان C برای این آسیب‌پذیری منتشر شده است. این اکسپلویت با سوءاستفاده از سیستم‌کال `splice` و رابط `AF_ALG`، حافظه نهان صفحات (Page Cache) را دستکاری کرده و امکان بازنویسی فایل‌های فقط-خواندنی را در حافظه فراهم می‌کند.

نکات کلیدی تهدید: گستردگی: نسخه‌های کرنل لینوکس از آگوست ۲۰۱۷ (نسخه ۴.۱۴) تا آوریل ۲۰۲۶ تحت تأثیر این آسیب‌پذیری قرار دارند. بسیاری از توزیع‌های اصلی پیش از دریافت وصله، آسیب‌پذیر محسوب می‌شوند.روش‌های نفوذ: مهاجمان می‌توانند با تغییر حافظه نهان باینری‌های `setuid` یا دستکاری مستقیم فایل `/etc/passwd` (تغییر UID به "0000")، دسترسی کامل Root را به دست آورند.قابلیت حمل بالا: کد مخرب با استفاده از `nolibc` بسیار سبک‌وزن شده (حدود ۱.۷ کیلوبایت) و روی معماری‌های مختلف (x86_64، aarch64، ARM و...) بدون نیاز به تغییرات پیچیده قابل اجراست.

اقدامات دفاعی و توصیه‌شده:

بروزرسانی فوری: در اسرع وقت نسبت به اعمال آخرین وصله‌های امنیتی و بروزرسانی کرنل لینوکس سیستم‌های خود اقدام نمایید.

محدودسازی: در محیط‌های حساس، دسترسی به باینری‌های `setuid` را به حداقل رسانده و نظارت دقیقی بر آن‌ها داشته باشید.

پاکسازی حافظه نهان: در صورت انجام تست‌های امنیتی محلی، حتماً با دستور `echo 3 > /proc/sys/vm/drop_caches` حافظه نهان سیستم را پاکسازی کنید تا از باقی ماندن تغییرات مخرب در حافظه جلوگیری شود.
#مرکز_هوش‌تهدیدات_سایبری#مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری#مرکز_ملی‌_فضای‌مجازی
https://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR

۹:۳۹

۱۴ اردیبهشت

پشت‌پرده توییتر فارسی: شبکه‌ای پیچیده، عملیات هماهنگ به نقل از مرکز تحقیقاتی Social Forensics

در سال‌های اخیر دنیای توییتر فارسی شاهد موجی بی‌سابقه از حمله، سیلاب اطلاعاتی و عملیات حساب‌های جعلی بوده است. تحلیل‌های پژوهشی نشان می‌دهد این پدیده تنها یک بحث آزاد و طبیعی نبود، بلکه کارزار هماهنگی از طرف بازیگران سازمان‌یافته برای شکل دادن روایت‌ها، تهدید فعالان و تخریب اعتبار افراد بوده است.

داده‌هایی که به واقعیت جدید توییتر فارسی اشاره دارند
مطالعات روی دیتا ست منشن‌های توییتر نشان می‌دهد:در سه ماه ۱.۶ میلیون منشن درباره NIAC ثبت شده، با پیک‌هایی تا ۱۲۰ هزار منشن در روز؛

ویژگی‌های حساب‌های مشارکت‌کننده، نشان‌دهنده عملیات سازمان‌یافته است:
تقریبا نیمی از حساب‌ها کم‌دنبال‌کننده (زیر ۱۰۰ فالوئر)

۴۶٪ حساب‌ها تازه‌ساخت بوده‌اند، و ۲۴٪ پس از حادثه مهسا امینی

بخش قابل ‌توجهی از این حساب‌ها حتی بیش از ۱۰۰ توییت در روز منتشر می‌کنند؛ امری که برای یک فرد معمولی غیرممکن است.

کلیدواژه‌های Astroturfing(جنبش اجتماعی پلاستیکی) و عملیات Sockpuppet(حساب عروسکی)حساب‌های سلطنت‌طلب هسته‌ای، با نشانه‌های خاصی مانند ایموجی تاج

و تکرار پیام‌های مشابه به حمایت از رضا پهلوی، نشانی از اِستراتژی Astroturfing دارند: ایجاد توهم حمایت مردمی گسترده با تکرار ساختگی پیام‌ها.

پژوهشگران گزارش می‌دهد:

بیش از ۳٬۴۰۰ حساب با ایموجی تاج وجود داشته‌؛ عمدتاً غیرواقعی و برای بزرگ‌نمایی حمایت

اتصال شبکه‌ای حساب‌ها در جامعه سلطنت‌طلب، غیرارگانیک و نشانه عملیات هماهنگ است

حساب‌هایی جعلی با میانگین ۱۰۰ توییت در روز طی سه سال، نمونه‌ای از چنین الگو هستند

ردی از دولت‌ها و بازیگران خارجیتحلیل داده‌ها، ارتباط قابل‌توجهی میان حساب‌های جعلی سلطنت‌طلب و حساب رسمی فارسی دولت اسرائیل نشان می‌دهد؛ به طوری که ۱۸ هزار حساب از ۲۱۳ هزار حسابِ بررسی‌شده، دنبال‌کننده این اکانت هستند.

مقیاس و پیچیدگی؛ نشانه‌ای از دخالت دولتیاعداد نجومی، تکرار پیام‌ها و عملیات حساب‌هایی که بعد از تعلیق دوباره با نام‌های جدید می‌آیند، نشان‌دهنده کارزارهای سازمان‌یافته دولتی است؛ عملیات‌هایی که با مفاهیمی چون دیپلماسی الگوریتمی، propaganda دیجیتال و استفاده از داده‌ها و شبکه‌های اجتماعی برای اثرگذاری بر افکار عمومی تعریف می‌شوند.

آزادی بیان و حقوق بشر به سبک آمریکا:این پروپاگاندای رژیم صهیونیستی با ابزار سلطنت طلبی برای تخریب چهره جمهوری اسلامی، با همکاری مسئولین پلتفرم توئیتر همراه بوده، به طوریکه این پلتفرم اکانت رسمی مقامات ایران را که برای روشنگری افکار عمومی ایجاد شده بود را اغلب مسدود نموده و پرچم ایران را با نمادهای جعلی جایگزین کرده است.

جمع‌بندی: بازنگری در امنیت اطلاعات و شفافیتآنچه در توییتر فارسی رخ داده، هشدار بزرگی برای جامعه در خصوص آسیب‌پذیری در برابر عملیات دستکاری است، پدیده‌ای که نه‌تنها اعتبار افراد را هدف می‌گیرد، بلکه فضا را برای همگرایی واقعی و بحث آزاد دشوارتر می‌کند.

اگر نگران سلامت اکوسیستم رسانه‌ای هستید، با دقت بیشتری روایت‌ها و موج‌های اطلاعاتی را پیگیری و تحلیل کنید.
#مرکز_هوش‌تهدیدات_سایبری#مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری#مرکز_ملی‌_فضای‌مجازی
https://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR

۸:۴۶

۱۵ اردیبهشت

خلاصه مهم‌ترین اخبار امنیت سایبری این هفته

آسیب‌پذیری بحرانی cPanel (CVE‑2026‑41940) در حال بهره‌برداری فعال است و در برخی حملات باعث پاک شدن کامل سایت‌ها و بکاپ‌ها شده است.

آسیب‌پذیری Copy Fail در کرنل لینوکس (CVE‑2026‑31431) با یک اکسپلویت کوچک پایتون امکان Privilege Escalation و حتی Container Escape در Kubernetes را می‌دهد و تقریباً همیشه موفق عمل می‌کند.

باگ بحرانی GitHub (CVE‑2026‑3854) می‌توانست تنها با یک `git push` باعث Remote Code Execution شود؛ پچ آن سریع منتشر شد.

حملات Supply Chain به npm، PyPI و Packagist ادامه دارد و مهاجمان از CI/CDهای واقعی برای انتشار نسخه‌های آلوده استفاده می‌کنند.

استفاده از AI در فیشینگ و کلاهبرداری‌ها به سرعت در حال افزایش است.

جمع‌بندی: فاصله بین انتشار آسیب‌پذیری و سوءاستفاده از آن بسیار کوتاه شده؛ Patch سریع، کنترل دسترسی SaaS و مدیریت دقیق توکن‌های CI/CD حیاتی است

#مرکز_هوش‌تهدیدات_سایبری#مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری#مرکز_ملی‌_فضای‌مجازی
https://ble.ir/CyberIRhttps://rubika.ir/CyberIRhttps://virasty.com/CyberIR

۱۴:۵۶