عکس پروفایل Amn Pardazan Kavir (APK)A

Amn Pardazan Kavir (APK)

۱.۹ هزار عضو
لوگوی پیام رسان بلهدانلود «بله»
دسترسی یکپارچه به بانک آی‌پی‌های (IP) مخرب منتشر شده ۵۰ روز اخیر
همراهان گرامی
undefined لیست تمامی آی‌پی‌های مخرب که در ۵۰ روز گذشته به‌صورت روزانه در این کانال معرفی شده بودند، در قالب یک فایل جامع تدوین و دسته‌بندی شد.
این لیست که شامل ۸۵۷ آی‌پی مخرب است، همین ‌حالا در کانال‌های رسمی «امن‌پردازان کویر» در پیام‌رسان‌های ایتا و روبیکا بارگذاری شده است تا بتوانید به‌صورت یکجا از این دیتابیس برای به‌روزرسانی سیستم‌های امنیتی خود استفاده کنید.
undefined همین حالا روی لینک ورود به کانال روبیکا و ایتای شرکت APK کلیک و فایل را دانلود کنید: undefined
undefined در پیام‌رسان ایتا
undefined در پیام‌رسان روبیکا
undefinedundefinedundefinedشرکت امن‌پردازان کویر (APK)

۲.۸K

۱۴:۰۲

undefined اطلاعیه شماره هشتادونه
با توجه به فعالیت‌های مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
undefined بلاک کردن کلیه موارد اعلامیundefined بررسی وضعیت لاگ‌های SIEM در خصوص فعالیت این IPها در شبکه
undefined لیست IPها:5.125.136.20337.255.59.22891.212.174.83185.7.172.10437.156.158.737.148.66.2295.119.200.1187.248.154.43109.162.252.1937.148.79.185109.162.252.28151.235.237.53

undefinedتوجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچ‌ها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیت‌ها به واحد CERT اطلاع‌رسانی شود.undefinedundefinedundefinedآیدی کانال: @apkgroupمرکز CERT شرکت امن‌پردازان کویر (APK)

۲.۸K

۵:۲۶

undefined اطلاعیه شماره نود
بر اساس تحلیل‌های فنی و گزارش‌های منتشر شده از منابع معتبر امنیت سایبری در مارس ۲۰۲۶، یک حمله سازمان‌یافته و بسیار خطرناک در زنجیره تأمین اکوسیستم npm شناسایی شده است که نشان‌دهنده تمرکز ویژه عامل تهدید بر زیرساخت‌های داخل ایران است.
این حمله که توسط گروه TeamPCP و در پی رخنه به ابزارهای امنیتی در خطوط لوله CI/CD (نظیر Trivy v0.69.4) اجرا شده، از طریق انتشار نسخه‌های آلوده در بسته‌های پرکاربرد (نظیر اسکوپ @opengov) در حال گسترش است.
undefined بدافزار شناسایی شده با نام CanisterWorm، یک کرم خودتکثیر است که با سرقت توکن‌های انتشار، کدهای مخرب خود را در بسته‌های تحت اختیار قربانی تزریق و منتشر می‌کند.
undefined این بدافزار با بهره‌گیری از اسکریپت‌های postinstall، کدهای اصلی خود را بلافاصله پس از نصب اجرا کرده و با ایجاد یک سرویس systemd به نام pgmon.serv در سطح کاربر، پایداری خود را بدون نیاز به دسترسی Root تضمین می‌نماید.
undefined تحلیل بخش بحرانی: مکانیزم تخریب هدفمند در ایران
undefined تحلیل کدهای استخراج شده نشان می‌دهد که بدافزار مجهز به یک "بمب منطقی" (Logic Bomb) هوشمند با متغیر داخلی اختصاصی برای شناسایی هدف در ایران (IRAN_TARGET) است.
undefined بدافزار پس از اجرا، ابتدا با فراخوانی توابعی نظیر getSystemTimezone() و بررسی آدرس‌های IP، موقعیت سیستم را پایش کرده و در صورت تشخیص جغرافیای ایران، واکنش‌های تخریبی زیر را فعال می‌کند:
undefined در محیط‌های کلاستر (Kubernetes):
بدافزار با استفاده از کتابخانه‌های کلاینت و دسترسی به API سرور، یک DaemonSet ویژه به نام host-provisioner-iran را مستقر می‌کند. این شیء مخرب با تنظیمات سطح بالا (privileged: true) و مگ‌نت کردن ریشه میزبان (hostPath: /) به داخل کانتینر، اجازه می‌یابد فراتر از ایزولاسیون کانتینری، کل فایل‌سیستم سرورهای فیزیکی کلاستر را پاک‌سازی کرده و با ریبوت اجباری، زیرساخت را نابود کند.
undefined در سیستم‌های لینوکسی معمولی:
چنانچه بدافزار تشخیص دهد که سیستم در ایران مستقر است اما محیط کوبرنتیز نیست، مستقیماً دستور مرگبار rm -rf / --no-preserve-root را جهت نابودی کامل سیستم و حذف تمامی فایل‌های ریشه اجرا می‌کند.
لازم به ذکر است بدافزار برای سیستم‌های خارج از ایران تنها به نصب یک بک‌دور جهت جاسوسی بسنده می‌کند که نشان‌دهنده ماهیت کاملاً هدفمند این Wiper علیه ایران است.
undefined تحلیل رفتارهای احتمالی آتی و اقدامات پنهان:
کارشناسان تحلیل تهدیدات بر این باورند که این اقدامات پیش‌زمینه‌ای برای حملات وسیع‌تر با مشخصات زیر است:
undefined استفاده از C2 غیرقابل توقیف:
ارتباط بر بستر بلاک‌چین ICP که به دلیل ساختار غیرمتمرکز، مسدودسازی آن ناممکن است.
undefined سرقت گسترده اعتبارنامه‌ها:
اسکن مداوم توکن‌های NPM جهت گسترش زنجیره‌ای حمله به سایر سازمان‌ها.
🟥 با توجه به موار فوق پیشنهاد می گردد اقدامات ذیل در اسرع وقت مورد بررسی قرار گیرند:
undefined بررسی و پایش الگوهای زیر در لایه‌های SOC و زیرساخت:
undefined پایش کلاستر (Kubernetes Monitoring):
undefined جستجوی فوری برای شناسایی و حذف DaemonSet مخرب با نام host-provisioner-iran در تمامی فضاهای نام (به‌ویژه kube-system).
undefined پایش ایجاد هرگونه شیء جدید در کوبرنتیز که دارای پارامتر privileged: true و hostPath به ریشه (/) باشد.
undefinedمسدودسازی شبکه (Network Containment):
undefined جلوگیری از ترافیک خروجی به دامنه‌ی مرکز فرماندهی بلاک‌چین: tdtqy-oyaaa-aaaae-af2dq-cai.raw.icp0.io.
undefined مسدودسازی دامنه‌ی سرقت اطلاعات اولیه: scan.aquasecurtiy.org*.*
undefined بازرسی فایل‌سیستم (Host-based Hunting):
undefined جستجو و حذف فایل ایمپلنت اصلی: ~/.local/share/pgmon/service.py و سرویس پایداری آن: ~/.config/systemd/user/pgmon.serv.
undefined پایش دایرکتوری موقت برای فایل‌های وضعیت و پی‌لودهای مرحله دوم: /tmp/pglog و /tmp/.pg_state.
undefined مدیریت اعتبارنامه‌ها و توکن‌ها (Credential Rotation):
undefined ابطال و تعویض فوری تمامی توکن‌های موجود در فایل‌های .npmrc و متغیرهای محیطی محیط‌های CI/CD که احتمال آلودگی آن‌ها وجود دارد.
undefined تحلیل زنجیره تأمین و بازرسی کد (Supply Chain Audit):
undefined اسکن فایل‌های package.json: جستجوی اسکریپت‌های نصب مشکوک نظیر "postinstall": "node index.js" در بسته‌های اسکوپ @opengov و بسته‌های وابسته.
undefined بررسی کدهای مبهم: شناسایی کدهای جاوااسکریپت حاوی رشته‌های طولانی Base64 که در زمان اجرا اقدام به ساخت فایل‌های پایتون (.py) در پس‌زمینه می‌کنند.
undefined تثبیت نسخه‌ها (Version Pinning):
undefined قفل کردن نسخه‌های تمامی بسته‌های npm بر روی آخرین نسخه‌ی پایدار تأیید شده (پیش از مارس ۲۰۲۶) جهت جلوگیری از دریافت آپدیت‌های آلوده.@apkgroup

۳.۲K

۶:۴۸

undefined اطلاعیه شماره نودویک
با توجه به فعالیت‌های مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
undefined بلاک کردن کلیه موارد اعلامیundefined بررسی وضعیت لاگ‌های SIEM در خصوص فعالیت این IPها در شبکه
undefined لیست IPها:
5.237.27.9883.123.146.1587.107.100.395.112.57.1135.119.240.24937.202.165.14887.107.165.1283.120.156.772.176.83.85151.234.202.185.210.173.755.237.2.1282.183.140.82109.225.165.40109.162.252.635.121.249.1955.122.143.212109.162.252.46
undefinedتوجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچ‌ها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیت‌ها به واحد CERT اطلاع‌رسانی شود.undefinedundefinedundefinedآیدی کانال: @apkgroupمرکز CERT شرکت امن‌پردازان کویر (APK)

۲.۷K

۵:۵۶

undefined اطلاعیه شماره نود و دو
با توجه به فعالیت‌های مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
undefined بلاک کردن کلیه موارد اعلامیundefined بررسی وضعیت لاگ‌های SIEM در خصوص فعالیت این IPها در شبکه
undefined لیست IPها:
94.182.152.1995.134.145.20092.114.24.7052.167.144.67185.208.174.9746.143.91.228217.218.30.17862.60.146.1440.77.167.2052.167.144.187158.58.24.13346.36.105.4483.122.191.355.127.10.18188.213.192.2105.62.234.1625.127.211.225.208.239.1805.120.203.53
undefinedتوجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچ‌ها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیت‌ها به واحد CERT اطلاع‌رسانی شود.undefinedundefinedundefinedآیدی کانال: @apkgroupمرکز CERT شرکت امن‌پردازان کویر (APK)

۲.۶K

۱۳:۳۸

undefined اطلاعیه شماره نود و سه
بر اساس تحلیل‌های فنی و گزارش‌های منتشر شده از منابع معتبر امنیت سایبری در اواخر آوریل و اوایل می ۲۰۲۶، یک آسیب‌پذیری بسیار خطرناک در هسته لینوکس با شناسه CVE-2026-31431 ملقب به Copy Fail به‌صورت عمومی افشا شده و هم‌اکنون در حال بهره‌برداری فعال است.
این آسیب‌پذیری که در زیرسیستم Crypto و ماژول algif_aead قرار دارد، امکان ارتقاء دسترسی محلی Local Privilege Escalation از کاربر عادی به root را با سطح اطمینان بالا فراهم می‌کند.
undefinedآخرین آپدیت کلیدی ۱ می ۲۰۲۶انتشار تحلیل‌های Threat Intelligence توسط Microsoft و سایر وندورها مبنی‌بر:undefined ریسک بالا در محیط‌های Cloud و Kubernetesundefined امکان chain شدن در container escape
undefined تحلیل بخش بحرانی: مکانیزم حمله (Copy-on-Write Abuse)این آسیب‌پذیری ناشی از نقص در مدیریت عملیات in-place در AF_ALG است که به مهاجم اجازه می‌دهد:undefined بدون تغییر فایل روی دیسکundefined بدون ثبت در مکانیزم‌های integrityundefined محتوای page cache را مستقیماً overwrite کند.
در این سناریو، مهاجم می‌تواند:undefined باینری‌های حساس مثل SUID binariesرا فقط در حافظه تغییر دهد.undefined همان باینری را اجرا کند و به سطح root برسد.
undefined نکته حیاتیاین رفتار باعث bypass کامل ابزارهای forensic مبتنی‌بر دیسک می‌شود.
undefined ویژگی‌های خطرناک اکسپلویتundefined بدون نیاز به race condition (برخلاف Dirty COW)undefined بسیار پایدار و deterministicundefined حجم بسیار کم PoC (حدود ۷۳۲ بایت)undefined قابل اجرا روی طیف وسیعی از دیستروها (distro)
undefined تحلیل تهدید در زیرساخت‌های مدرن
undefinedدر محیط‌های Containerizedundefined سوءاستفاده از page cache مشترک بین container و hostundefined امکان escape از container و دسترسی به node
undefinedدر محیط‌های Cloud undefined Escalation از user-level access در VM به rootundefined افزایش ریسک lateral movement در شبکه داخلی
با توجه به توضیحات بالا، پیشنهاد می‌شود اقدامات زیر فوراً بررسی و اجرا شوند:
Patch Management (بسیار حیاتی)undefined بروزرسانی فوری kernel به نسخه‌های patch شده (بعد از ۱ آوریل ۲۰۲۶)undefined بررسی وضعیت patch در distro (بعضی هنوز Fully Patched نیستند.)
Hardening در سطح سیستمundefined غیرفعال‌سازی AF_ALG در صورت عدم نیازundefined محدودسازی unprivileged user namespacesundefined کاهش دسترسی به سیسکال‌ها مرتبط مانند splice()
Detection & Threat Huntingundefined پایش الگوهای غیرعادی undefinedاستفاده همزمان از AF_ALG + splice () undefinedدسترسی غیرعادی به کریپتو سوکت‌ها (Crypto Socket)undefined استفاده از EDR با قابلیت memory analysis (نه فقط disk-based)
Kubernetes Security Monitoringundefined بررسی رفتار کانتینرها برای سیسکال‌های غیرمعمولundefined اعمال seccomp و AppArmor profiles محدودکنندهundefined مانیتورینگ دسترسی به host kernel interface
Incident Response Readinessundefined فرض compromise در صورت وجود access محلیundefined بررسی integrity باینری‌ها در runtime (نه فقط روی دیسک)undefined Rotation دسترسی‌ها درصورت مشاهده رفتار مشکوک
undefinedundefinedundefinedآیدی کانال: @apkgroupمرکز CERT شرکت امن‌پردازان کویر (APK)

۲.۴K

۵:۴۳

undefined اطلاعیه شماره نودوچهار
با توجه به فعالیت‌های مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
undefined بلاک کردن کلیه موارد اعلامیundefined بررسی وضعیت لاگ‌های SIEM در خصوص فعالیت این IPها در شبکه
undefined لیست IPها:
37.221.27.52188.253.67.4046.143.92.2355.10.248.155188.136.220.7193.126.40.2291.236.168.167212.80.18.11185.18.213.2280.210.47.4287.236.208.94
undefinedتوجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچ‌ها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیت‌ها به واحد CERT اطلاع‌رسانی شود.undefinedundefinedundefinedآیدی کانال: @apkgroupمرکز CERT شرکت امن‌پردازان کویر (APK)

۲.۷K

۱۰:۰۶

undefined اطلاعیه شماره نودوپنج
با توجه به فعالیت‌های مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
undefined بلاک کردن کلیه موارد اعلامیundefined بررسی وضعیت لاگ‌های SIEM در خصوص فعالیت این IPها در شبکه
undefined لیست IPها:
80.191.185.1285.122.233.19394.177.75.10494.182.214.912.147.172.213142.250.202.1745.62.176.10277.237.163.206
undefinedتوجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچ‌ها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیت‌ها به واحد CERT اطلاع‌رسانی شود.undefinedundefinedundefinedآیدی کانال: @apkgroupمرکز CERT شرکت امن‌پردازان کویر (APK)

۲.۶K

۶:۴۰

undefined اطلاعیه شماره نودوشش
با توجه به فعالیت‌های مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد:
undefined بلاک کردن کلیه موارد اعلامیundefined بررسی وضعیت لاگ‌های SIEM در خصوص فعالیت این IPها در شبکه
undefined لیست IPها:
37.148.70.118142.250.202.238188.121.120.148185.129.228.26142.250.202.46217.218.31.1125.10.248.478.157.51.8937.32.10.1632.176.110.75.122.211.7277.237.166.139
undefinedتوجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچ‌ها انجام شود.
در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیت‌ها به واحد CERT اطلاع‌رسانی شود.undefinedundefinedundefinedآیدی کانال: @apkgroupمرکز CERT شرکت امن‌پردازان کویر (APK)

۳.۲K

۱۵:۳۱

undefined اطلاعیه شماره نودوهفت
کشف باگ ۱۸ساله در NGINXبر اساس تحلیل‌های فنی و گزارش‌های منتشر شده از منابع معتبر امنیت سایبری، یک آسیب‌پذیری بسیار خطرناک و تاریخی با قدمت ۱۸ ساله در وب‌سرور محبوب NGINX با شناسه CVE-2026-42945 و نام NGINX Rift به‌صورت عمومی افشا شده است.
این آسیب‌پذیری با امتیاز بحرانی ۹.۲ در ماژول rewrite قرار می‌گیرد و امکان سوءاستفاده، بدون نیاز به لاگین یا احراز هویت قبلی (Unauthenticated) را با سطح اطمینان بالا فراهم می‌کند.
undefined تحلیل بخش بحرانی: مکانیزم حمله این ضعف به مهاجم اجازه می‌دهد:undefined تنها با ارسال یک درخواست HTTP مخرب (Malicious Request)undefined بدون نیاز به دسترسی قبلی به سرورundefined سرور‌ را از کار بیندازدundefined ورکرهای NGINX را وارد Crash Loop‌کندundefined و در برخی سناریوها حتی کد مخرب اجرا کند. (RCE)

undefined نکته حیاتیریشه این باگ به نحوه مدیریت کاراکترها در ساختارهای بدون نام (Unnamed Captures) مانند $1 و $2 در عبارات منظم (Regex) بازمی‌گردد.
undefined ویژگی‌های خطرناک آسیب‌پذیریundefined پنهان ماندن ضعف امنیتی به مدت نزدیک به ۱۸ سال در سورس‌کدundefined تحت تأثیر قرار دادن هر دو نسخه Open Source و NGINX Plusundefined امتیاز شدت اثر بحرانی (Critical CVSS: 9.2)
undefined تحلیل تهدید در زیرساخت‌های تحت تأثیروب‌سرورها و لودبالانسرهایی که از رول‌های پیچیده بازنویسی آدرس (URL Rewrite) بدون تعریف نامِ متغیر استفاده می‌کنند، به شدت در معرض ریسک ریزش سرویس و قطع دسترسی کاربران قرار دارند.
با توجه به توضیحات بالا، پیشنهاد می‌شود اقدامات زیر فوراً بررسی و اجرا شوند:
undefined Patch Management (بسیار حیاتی)undefined به‌روزرسانی فوری وب‌سرور NGINX به آخرین نسخه‌های رسمی و Patch شده.
undefined Hardening و تغییر پیکربندی موقتundefined بررسی دقیق تمامی کانفیگ‌ها و رول‌های مچ‌شده با ماژول rewrite.undefined جایگزینی نمونه‌های بدون نام مانند $1 و $2 با ساختارهای نام‌گذاری‌شده ( Named Captures ) در عبارات منظم برای بی‌اثر کردن وکتور حمله.
undefinedundefinedundefinedآیدی کانال: @apkgroupمرکز CERT شرکت امن‌پردازان کویر (APK)

۲.۱K

۱۶:۱۶