‫ khozestan_salamat بلاگ

 پایگاه اطلاع رسانی پلیس فتا: سرهنگ کارآگاه علی حسینی در تشریح این خبر بیان داشت: با مراجعه یکی از شهروندان خانم به پلیس فتا شهرستان دزفول، وی مدعی شد شخصی در یکی از شبکه اجتماعی، ضمن اخاذی و تهدید به انتشار تصاویر خصوصی‌، قصد ریختن آبروی وی را داشته است. به همین دلیل موضوع در دستور کار این پلیس قرار گرفت.

وی افزود: کارشناسان پلیس فتا با انجام اقدامات فنی اطلاعاتی و ضمن هماهنگی با مقام قضایی، موفق به شناسایی متهم شده و او را دستگیر کردند. 

این مقام انتظامی ادامه داد: متهم پس از مشاهده مستندات و ادله دیجیتال جمع‌آوری شده، به بزه ارتکابی اعتراف و هدف خود را از اخاذی و سوءاستفاده مالی عنوان کرد. در نتیجه به همراه پرونده تکمیلی به دادسرا معرفی شد.

سرهنگ حسینی ضمن هشدار به مجرمان سایبری یادآور شد: انتشار تصاویر خصوصی و هتک حیثیت در فضای مجازی جزء مصادیق مجرمانه بوده و با خاطیان در این‌گونه جرائم برابر قانون به‌ شدت برخورد می‌شود.

رئیس پلیس فتا استان خوزستان خاطرنشان کرد: شهروندان عزیز توجه داشته باشند تصاویر شخصی و خانوادگی خود را حتی المقدور در فضای مجازی به اشتراک نگذارند.

یک پلتفرم PhaaS چینی به نام Haozi جرایم سایبری را بدون نیاز به مهارت فنی آسان می‌کند. کشف کنید که چگونه این سرویس plug-and-play بیش از 280،000 دلار تراکنش غیرقانونی را تسهیل کرده است.

گزارش جدیدی از شرکت امنیت سایبری Netcraft نشان می‌دهد که افزایش فیشینگ به عنوان سرویس (PhaaS) به زبان چینی به نام Haozi افزایش یافته است. این سرویس، انجام حملات فیشینگ پیچیده را برای مجرمان، حتی کسانی که مهارت فنی ندارند، بسیار آسان می‌کند. راب دانکن، محقق امنیتی در Netcraft، این افزایش را در پنج ماه گذشته کشف کرد.

طبق پست وبلاگ Netcraft که با Hackread.com به اشتراک گذاشته شده است، Haozi به دلیل کاربرپسند بودن، بازاریابی خود با یک ماوس کارتونی و تأکید بر سهولت استفاده و پشتیبانی قوی، برجسته است. برخلاف روش‌های قدیمی‌تر که نیاز به دانش کدنویسی دارند، Haozi یک پنل وب ساده ارائه می‌دهد.

هنگامی که یک مجرم سروری را خریداری و جزئیات را وارد می‌کند، کیت فیشینگ به طور خودکار خود را تنظیم می‌کند. این رویکرد plug-and-play حتی از سایر ابزارهای مدرن PhaaS که هنوز به برخی اقدامات خط فرمان نیاز دارند، پیشی می‌گیرد. Netcraft پنل‌های کنترل Haozi را در هزاران وب‌سایت فیشینگ پیدا کرده است که نشان دهنده کاربرد گسترده آن است.

Haozi فراتر از ارائه کیت‌های فیشینگ، مانند یک تجارت تمام عیار عمل می‌کند. این شرکت فضای تبلیغاتی را برای اتصال خریداران کیت فیشینگ به سایر خدمات، مانند آنهایی که پیام‌های متنی ارسال می‌کنند، می‌فروشد. Haozi همچنین به عنوان واسطه در این معاملات عمل می‌کند. کیف پول دیجیتالی مورد استفاده برای این تبلیغات و خدمات واسطه‌ای، که از تتر (USDT) استفاده می‌کند، بیش از 280،000 دلار درآمد داشته است.

اخیراً، برداشت‌ها از این کیف پول اغلب هزاران دلار بوده است. این سرویس همچنین از طریق کانال‌های تلگرام، پشتیبانی اختصاصی از مشتریان ارائه می‌دهد، آموزش‌ها را ارائه می‌دهد، به سوالات پاسخ می‌دهد و حتی به کاربران اجازه می‌دهد صفحات فیشینگ سفارشی درخواست کنند.

این سیستم پشتیبانی قوی، همراه با تنظیمات خودکار، Haozi را برای افراد تازه‌کار در حوزه جرایم سایبری بسیار جذاب می‌کند. انجمن اصلی تلگرام Haozi قبل از تعطیلی تقریباً 7000 عضو داشت، اما از 28 آوریل 2025، یک انجمن جدید به سرعت بیش از 1700 دنبال‌کننده به دست آورده است. Haozi برای اشتراک سالانه حدود 2000 دلار دریافت می‌کند و گزینه‌هایی برای مدت زمان کوتاه‌تر نیز وجود دارد.

درک فیشینگ به عنوان سرویس (PhaaS)
فیشینگ به عنوان سرویس (PhaaS) به پلتفرم‌های آنلاینی اشاره دارد که تمام ابزارها و پشتیبانی لازم برای انجام حملات فیشینگ را، اغلب از طریق مدل اشتراک، ارائه می‌دهند. فیشینگ خود نوعی حمله سایبری است که در آن مجرمان سعی می‌کنند افراد را فریب دهند تا اطلاعات حساسی مانند رمزهای عبور یا جزئیات کارت اعتباری را با تظاهر به اینکه یک نهاد قابل اعتماد هستند، فاش کنند.

Hackread.com نیز به این تهدید رو به رشد شبکه‌های PhaaS اشاره کرده است. در ژانویه 2025، ما در مورد Sneaky 2FA، یک PhaaS که مایکروسافت 365 را از طریق یک ربات تلگرام هدف قرار می‌دهد، گزارش دادیم. در مارس 2025، Morphing Meerkat، عملیاتی پیچیده که سال‌ها از آسیب‌پذیری‌های DNS استفاده می‌کرد، کشف شد و در آوریل 2025، Netcraft در مورد ارتقاء Darcula-Suite هشدار داد که اکنون از هوش مصنوعی برای ایجاد صفحات کلاهبرداری چندزبانه استفاده می‌کند.

ظهور PhaaS مانند Haozi نشان می‌دهد که ارتکاب جرایم سایبری چقدر آسان شده است. در حالی که شرکت‌ها در حال بهبود امنیت خود هستند، مهاجمان به طور فزاینده‌ای از مهندسی اجتماعی و فیشینگ استفاده می‌کنند زیرا این روش‌ها نیازی به نفوذ به زیرساخت‌های محافظت‌شده ندارند. تنها چیزی که لازم است یک خطای انسانی است که نیاز فوری به آموزش امنیت سایبری کارکنان را نشان می‌دهد.

ایمیل‌های جعلی کانتاس در یک کلاهبرداری فیشینگ پیچیده، اطلاعات کارت اعتباری و شخصی استرالیایی‌ها را سرقت می‌کنند و فیلترهای امنیتی اصلی ایمیل را دور می‌زنند.

شرکت هواپیمایی کانتاس استرالیا توسط مجرمان با ایمیل‌های جعلی که ادعا می‌کنند از طرف این شرکت هواپیمایی هستند، هدف قرار گرفته است. کارشناسان امنیتی در Cofense Intelligence که این حمله را کشف کردند، دریافتند که این ایمیل‌های متقاعدکننده، کاربران را فریب می‌دهند تا اطلاعات کارت اعتباری و اطلاعات شخصی خود مانند شماره تلفن و آدرس را فاش کنند.

این ایمیل‌های جعلی کانتاس، ایمیل‌های بازاریابی واقعی را تقلید می‌کنند و از همان رنگ‌ها و طرح‌بندی ایمیل‌های واقعی استفاده می‌کنند و "با برندسازی مناسب و لینک‌های کاربردی" همراه هستند. یکی از ترفندهای هوشمندانه‌ای که مجرمان استفاده کردند، قرار دادن یک لینک "لغو اشتراک" در ایمیل‌ها بود، درست مانند ایمیل‌های بازاریابی واقعی.

با این حال، لینک‌های موجود در ایمیل‌های جعلی به وب‌سایت رسمی کانتاس نمی‌رفتند. در عوض، به وب‌سایت‌های دیگری می‌رفتند. کارشناسان معتقدند که مجرمان ممکن است از این لینک‌های لغو اشتراک جعلی برای دیدن آدرس‌های ایمیل واقعی و فعال استفاده کرده باشند.

جالب اینجاست که طبق گزارش کافنس، ایمیل‌های جعلی اشاره می‌کردند که کانتاس صد و سومین سالگرد تأسیس خود را جشن می‌گیرد. با این حال، صد و سومین سالگرد کانتاس در واقع دو سال پیش، یعنی در سال 2023 بود. این یکی از معدود اشتباهات در ایمیل‌های بسیار متقاعدکننده بود. این ایمیل‌ها افراد را فریب می‌دادند تا روی لینک‌هایی به وب‌سایت‌های جعلی کلیک کنند که اغلب حاوی عبارت "auth/auhs1" و به دنبال آن کلمات تصادفی مربوط به کانتاس یا کوپن‌ها بودند. این وب‌سایت‌ها معمولاً ظرف یک روز ناپدید می‌شدند و در یک فرآیند چند مرحله‌ای، اطلاعات شخصی، از جمله نام، شماره تلفن، آدرس ایمیل و آدرس منزل را درخواست می‌کردند. این اطلاعات تماس جمع‌آوری‌شده، همراه با تاریخ تولد، می‌توانست برای کلاهبرداری‌های هدفمند یا حدس رمز عبور استفاده شود.

این وب‌سایت‌های جعلی ظاهراً پس از وارد کردن اطلاعات کارت اعتباری توسط کاربر، سعی در راه‌اندازی احراز هویت چند عاملی داشتند، اما این کار با شکست مواجه شد. کارشناسان معتقدند که این مرحله اضافی برای فریب قربانیان اضافه شده است تا باور کنند که مشکل از سمت آنها است، نه وب‌سایت.

محققان مشاهده کردند که به نظر می‌رسد مجرمان سایبری پشت این کمپین، به ویژه افراد در استرالیا را هدف قرار می‌دهند. اگرچه برخی از افراد در ایالات متحده نیز این ایمیل‌ها را دریافت کردند، اما پیشنهادها به دلار استرالیا بود و شرکت کانتاس در استرالیا مستقر است.

این نشان می‌دهد که مهاجمان قربانیان استرالیایی را ترجیح می‌دادند. علاوه بر این، آنها تأکید کردند که این کمپین با موفقیت چندین دروازه ایمیل امن (SEG) از جمله Microsoft APT، Proofpoint و Mimecast را دور زده است که نشان دهنده رویکرد پیچیده مهاجمان است.

این کمپین حدود فوریه 2025 آغاز شد اما به نظر می‌رسید که در اواسط مارس 2025 کند شد. این نشان می‌دهد که چگونه مجرمان دائماً روش‌های جدید و پیچیده‌ای را برای فریب مردم به صورت آنلاین امتحان می‌کنند، و این امر باعث می‌شود که همه افراد در مورد ایمیل‌هایی که دریافت می‌کنند و وب‌سایت‌هایی که بازدید می‌کنند بسیار مراقب باشند.

Secure Ideas، ارائه‌دهنده برتر تست نفوذ و خدمات مشاوره امنیتی، با افتخار دستاوردهای اخیر خود در مورد اعتبار CREST و انطباق با سطح 1 CMMC را اعلام می‌کند و تعهد خود را برای ارائه بالاترین استانداردهای ارزیابی امنیتی و انطباق با مقررات برای مشتریان خود تقویت می‌کند.

با این گواهی‌نامه‌ها، ایده‌های امن توانایی خود را برای ارائه خدمات امنیتی تهاجمی مبتنی بر استانداردهای جهانی، با تخصص در شناسایی آسیب‌پذیری‌ها، بهره‌برداری از نقاط ضعف، و افشای شکاف‌ها در سیستم‌های حیاتی تقویت می‌کند.

اعتبار CREST: برتری در تست نفوذ
دستیابی Secure Ideas به اعتبار CREST (شورای ثبت شده آزمایش کنندگان امنیت اخلاقی) بر پایبندی آن به بالاترین استانداردهای قانونی، اخلاقی و فنی در تست نفوذ تاکید دارد. سازمان‌های دارای اعتبار CREST تحت ارزیابی‌های دقیق فرآیندهای تجاری، روش‌های امنیتی و چارچوب‌های تضمین کیفیت خود قرار می‌گیرند.

Secure Ideas به‌عنوان یک ارائه‌دهنده تست نفوذ دارای گواهینامه CREST، تضمین می‌کند که همه آزمایش‌های نفوذ - اعم از شبکه، برنامه وب، API یا امنیت فیزیکی - طبق بهترین شیوه‌های تثبیت‌شده در محدوده، شناسایی، ارزیابی، بهره‌برداری و گزارش‌دهی انجام می‌شوند. این گواهی به مشتریان اطمینان بیشتری می دهد که وضعیت امنیتی آنها با استفاده از روش های اثبات شده توسط متخصصان با تجربه ارزیابی می شود.

انطباق سطح 1 CMMC: حفاظت از اطلاعات وزارت دفاع
علاوه بر گواهینامه CREST، Secure Ideas به گواهینامه مدل بلوغ امنیت سایبری (CMMC) سطح 1 نیز دست یافته است. توسط وزارت دفاع (DoD) برای محافظت از اطلاعات قرارداد فدرال (FCI) و اطلاعات طبقه بندی نشده کنترل شده (CUI) توسعه یافته است، CMMC به پیمانکاران دفاعی و پیمانکاران فرعی نیاز دارد تا استانداردهای پیشرفته سایبری را به طور پیشرونده اجرا کنند.
CMMC سطح 1 با اطمینان از انطباق با 15 الزامات امنیتی مندرج در بند 52.204-21 FAR بر حفاظت اساسی FCI تمرکز می کند. این الزامات شامل اقدامات ضروری مانند:

محدود کردن دسترسی به کاربران مجاز
حفاظت از دسترسی فیزیکی و دیجیتالی به اطلاعات.
پیاده سازی تنظیمات ایمن برای دستگاه ها و سیستم ها.
انطباق با CMMC به یک الزام اجباری برای سازمان هایی که با وزارت دفاع کار می کنند تبدیل شده است. با دستیابی به انطباق با سطح 1، ایده های امن موقعیت خود را برای حمایت از پیمانکاران دفاعی و پیمانکاران فرعی در انجام تعهدات مربوط به انطباق خود تقویت می کند.

مزایای کلیدی برای مشتریان:

استانداردهای جهانی به رسمیت شناخته شده: تست و خدمات امنیتی همسو با چارچوب های بین المللی شناخته شده.
تضمین امنیت پیشرفته: انطباق با CREST و CMMC حفاظت قوی از داده های حساس را تضمین می کند.
پشتیبانی از انطباق با مقررات: گواهینامه ها با مقررات GDPR، ISO 27001، PCI DSS و NIS مطابقت دارند و به مشتریان کمک می کنند تا الزامات قانونی را برآورده کنند.
درباره ایده های امن

Secure Ideas ارائه‌دهنده پیشرو راه‌حل‌ها و خدمات امنیت سایبری متخاصم است که به کسب‌وکارها در هر اندازه‌ای کمک می‌کند تا از اطلاعات و دارایی‌های خود در برابر تهدیدات سایبری محافظت کنند. Secure Ideas با تیمی از متخصصان با تجربه و ماهر، محصولات و خدمات نوآورانه ای را ارائه می دهد که برای رفع نیازهای امنیتی منحصر به فرد سازمان ها در یک چشم انداز دیجیتال به سرعت در حال تحول طراحی شده اند.

NSA و آژانس‌های امنیت سایبری جهانی هشدار می‌دهند که تاکتیک جریان سریع DNS یک تهدید امنیت ملی در حال رشد است که در فیشینگ، بات‌نت و باج‌افزار استفاده می‌شود.
 

تلاش‌های مشترک آژانس‌های امنیت سایبری بین‌المللی، از جمله آژانس امنیت ملی (NSA)، آژانس امنیت سایبری و امنیت زیرساخت (CISA)، دفتر تحقیقات فدرال (FBI)، مرکز امنیت سایبری استرالیا اداره سیگنال‌های استرالیا (ASD’s ACSC)، مرکز کانادایی برای امنیت سایبری (CCCS)، و مرکز امنیت سایبری کانادا (CCCS) و نیوزیلند دارای امنیت سایبری بالا (CCCS) است. به عنوان Fast Flux.

بر اساس یک مشاوره مشترک، هم مجرمان سایبری و هم بازیگران تحت حمایت دولت از این تکنیک جدید استفاده می‌کنند که به آنها امکان می‌دهد مکان‌های سرور مخرب را پنهان کنند و زیرساخت‌های فرماندهی و کنترل (C2) را حفظ کنند و به عنوان یک تهدید امنیت ملی اعلام شده است.

درک شار سریع
مکانیسم اصلی Fast Flux در دستکاری دینامیک رکوردهای سیستم نام دامنه (DNS) نهفته است. مهاجمان با تغییر سریع آدرس‌های IP مرتبط با یک دامنه، مکان واقعی سرورهای مخرب خود را به طور مؤثر مخفی می‌کنند. این چرخش سریع روش‌های سنتی مسدودسازی مبتنی بر IP را بی‌اثر می‌کند، زیرا آدرس IP هدف تقریباً بلافاصله منسوخ می‌شود.

تحقیقات نشان می‌دهد که مجرمان سایبری از دو روش جریان سریع استفاده می‌کنند: یک شار و دو شار. Single Flux شامل پیوند یک نام دامنه واحد به آدرس‌های IP متعدد و اغلب چرخش شده است، و تضمین می‌کند که حتی اگر یک IP مسدود شود، دامنه در دسترس باقی می‌ماند.
برعکس، Double flux با تغییر مکرر سرورهای نام DNS که مسئول حل دامنه هستند، این ابهام را بیشتر می‌کند و لایه دیگری از ناشناس بودن را اضافه می‌کند. CISA خاطرنشان می‌کند: «این تکنیک‌ها از تعداد زیادی میزبان در معرض خطر استفاده می‌کنند،» اغلب بات‌نت‌هایی را تشکیل می‌دهند که به عنوان پراکسی برای پنهان کردن منشاء ترافیک مخرب عمل می‌کنند.

برنامه های مخرب و نقش میزبانی ضد گلوله
CISA تاکید می کند که Fast Flux تنها برای حفظ ارتباطات C2 استفاده نمی شود. این نقش مهمی در کمپین های فیشینگ ایفا می کند و حذف وب سایت های مهندسی اجتماعی را دشوار می کند.

علاوه بر این، ارائه دهندگان "میزبان ضد گلوله" (BPH)، که درخواست های اجرای قانون را نادیده می گیرند، به طور فزاینده ای آن را به عنوان یک سرویس به مشتریان خود ارائه می دهند. این اجازه می دهد تا عملکرد یکپارچه فعالیت های مخرب مانند مدیریت بات نت، فروشگاه های آنلاین جعلی و سرقت اطلاعات اعتباری را انجام دهد، در حالی که لایه ای از محافظت در برابر شناسایی و حذف را فراهم می کند، و در حملات باج افزار Hive و Nefilim استفاده شده است. حتی یکی از ارائه دهندگان BPH توانایی این سرویس را برای دور زدن لیست های مسدود Spamhaus تبلیغ کرد و جذابیت آن را برای مجرمان سایبری برجسته کرد.

تشخیص و کاهش
آژانس‌ها به شدت یک رویکرد چند لایه را برای شناسایی و کاهش حملات "شار سریع" توصیه می کنند. این شامل استفاده از فیدهای اطلاعاتی تهدید، اجرای تشخیص ناهنجاری برای گزارش‌های جستجوی DNS، تجزیه و تحلیل مقادیر رکورد DNS (TTL)، نظارت بر موقعیت جغرافیایی ناسازگار، و استفاده از داده‌های جریان برای شناسایی الگوهای ارتباطی غیرعادی است.

برای سازمان‌ها، آژانس‌ها مسدود کردن DNS و IP، فیلتر کردن شهرت، نظارت و گزارش پیشرفته و آموزش آگاهی از فیشینگ را به عنوان استراتژی‌های کاهش قوی توصیه می‌کنند. این مشاوره نتیجه گیری می کند که برای سازمان ها بسیار مهم است که با ارائه دهندگان خدمات اینترنتی و ارائه دهندگان امنیت سایبری خود، به ویژه ارائه دهندگان DNS حفاظتی (PDNS) برای اجرای این اقدامات هماهنگ شوند.

جان دی لولو، مدیرعامل Deepwatch، یک پلتفرم AI+Human Cyber ​​Resilience سایبری مستقر در سانفرانسیسکو در کالیفرنیا، در مورد آخرین پیشرفت اظهار داشت: این توصیه اخیر به بسیاری از سازمان ها مانند یک اسپرسو دوبل ضربه می زند. هر شرکتی که به شهرت IP به عنوان وسیله ای معتبر برای ایمن سازی زیرساخت یا داده های اختصاصی خود متکی باشد، هدف نرمی برای این نوع سوء استفاده است.
او هشدار داد: "خوشبختانه، تکنیک‌های تشخیص همبستگی، به ویژه آنهایی که از روش‌های یادگیری ماشینی "کم و کند" استفاده می‌کنند، می‌توانند به راحتی این نفوذها را شکست دهند. با این حال، زیرساخت‌های بسیاری از شرکت‌ها به سادگی هنوز وجود ندارد. این یک زنگ هشدار مهم است.

یک هکر که قبلاً با نفوذ Tracelo مرتبط بود، اکنون ادعا می کند که SendGrid Twilio را نقض کرده و اطلاعات 848000 مشتری از جمله اطلاعات تماس و شرکت را به بیرون درز کرده و به فروش رسانده است.
 

هکری که از نام مستعار Satanic استفاده می کند، مسئولیت آنچه را که می تواند یک رخنه بزرگ مربوط به SendGrid، یک پلت فرم تحویل ایمیل مبتنی بر ابر متعلق به Twilio باشد، بر عهده می گیرد.

طبق پستی که در اوایل امروز، پنجشنبه، 3 آوریل 2025، در Breach Forums، یک پلتفرم معروف جرایم سایبری منتشر شد، Satanic داده‌های به سرقت رفته را به قیمت 2000 دلار ارائه می‌کند و نمونه‌ای را برای حمایت از این ادعا به اشتراک گذاشته است. هکر در این پست اعلام کرد:

"ما می خواهیم نقض بزرگترین ارائه دهنده میزبانی ایمیل را اعلام کنیم - SendGrid زیرساخت ایمیل مبتنی بر ابر است که مدیریت تحویل ایمیل را به مشاغل ارائه می دهد. (3 آوریل 2025)."
چه چیزی در نقض ادعا شده است؟

Satanic ادعا می کند که پایگاه داده شامل اطلاعات کامل مشتری و شرکت برای 848960 نهاد است. تیم تحقیقاتی Hackread.com داده های نمونه ارائه شده توسط هکر را تجزیه و تحلیل کرد که شامل اطلاعات زیر بود:

ایمیل مشتری، شماره تلفن، آدرس فیزیکی، شهرها، ایالت ها، کشورها، نمایه های رسانه های اجتماعی و شناسه های لینکدین
داده های سطح شرکت مانند نام دامنه، درآمد، تعداد کارمندان، عملکرد سئو، ارائه دهندگان هاست و رتبه بندی خدماتی مانند Cloudflare و Tranco
امور مالی مانند درآمد، درآمد عملیاتی، درآمد خالص و سایر معیارهای تجاری
داده‌های کارکنان و برخی جزئیات اجرایی عمومی
اطلاعات مربوط به پشته های فناوری شرکت، از جمله پلتفرم های CMS، راه حل های پرداخت، و ابزارهای CRM
علاوه بر این، در میان شرکت‌های فهرست‌شده در داده‌های نمونه می‌توان به بانک آمریکا، بازاروویس و بی‌بی‌سی اشاره کرد. به نظر می‌رسد که داده‌ها ساختار یافته و بسیار دقیق هستند و شامل ده‌ها فیلد فراداده است که بسیار فراتر از اطلاعات تماس است.

هر ورودی دارای معیارهای تجزیه و تحلیل وب، آدرس‌های ایمیل داخلی (شامل آدرس‌های کارکنان سطح بالا)، شماره تلفن، داده‌های موقعیت جغرافیایی، و حتی بینش‌هایی در مورد فن‌آوری‌های Backend و مطابقت با دسترسی است. اگر داده ها معتبر باشند، این می تواند بیش از یک نشت سنتی باشد.
سابقه شیطان

این اولین بار نیست که Satanic به یک نقض بزرگ داده مرتبط می شود. در سپتامبر 2024، همان هکر پشت حادثه Tracelo بود، جایی که اطلاعات شخصی 1.4 میلیون کاربر یک سرویس ردیابی موقعیت جغرافیایی تلفن هوشمند به صورت آنلاین به بیرون درز کرد. فراتر از نفوذهای پرمخاطب، Satanic در جوامع زیرزمینی نیز به دلیل توزیع گزارش های اطلاعات دزدی از طریق تلگرام شناخته شده است.

سابقه نقض اخیر Twilio
همچنین این اولین باری نیست که Twilio، شرکت مادر SendGrid، با قرار گرفتن در معرض داده‌ها مرتبط می‌شود. در 4 ژوئیه 2024، گروه هکری ShinyHunters مجموعه داده ای حاوی 33 میلیون شماره تلفن متعلق به کاربران Twilio Authy، یک برنامه احراز هویت دو مرحله ای را فاش کرد.

سپس، در سپتامبر 2024، یک نقض جداگانه، 12000 رکورد تماس را از طریق ابزار شخص ثالثی که توسط یک مشتری Twilio استفاده می‌شد، افشا کرد. در حالی که هیچ یک از این رویدادها به خطر افتادن مستقیم زیرساخت های Twilio را تأیید نکردند، آنها سؤالاتی را در مورد امنیت داده ها مطرح کردند.

کیسی الیس، بنیانگذار Bugcrowd، یک رهبر مستقر در سانفرانسیسکو، کالیفرنیا در امنیت سایبری جمع‌سپاری شده، در مورد نقض ادعایی اظهار نظر کرد و گفت: «این مورد به‌خاطر اندازه و غنای محتوای ادعا شده بسیار پایین به نظر می‌رسد. جامعیت مجموعه داده قطعاً دلیلی برای نگرانی است.

در بیانیه‌ای به Hackread.com، سخنگوی Twilio گفت که این شرکت هیچ مدرکی دال بر نقض Twilio یا Twilio SendGrid پیدا نکرده است.
"هیچ مدرکی وجود ندارد که نشان دهد Twilio یا Twilio SendGrid نقض شده است. تا آنجا که ما می دانیم، پس از بررسی نمونه ای از این داده ها، ما معتقدیم که هیچ یک از این داده ها از SendGrid نشات گرفته است."

Hackread.com سعی کرد از طریق تلگرام و سیگنال به Satanic برسد اما پاسخی دریافت نکرد. با این حال، در فروم های نقض، هکر یک نمونه داده بزرگتر، 10000 خط اضافی را به اشتراک گذاشت، در حالی که همچنان ادعا می کند که داده ها مشروع هستند و SendGrid با نقض مواجه شده است. این بازیگر تهدید بیان کرد:

"آنها گفتند پایگاه داده مستقیماً از سرورهای Sendgrid گرفته نشده است. پاسخ من این بود که یک نمونه عظیم برای آنها ارسال کنم تا دوباره بررسی شود. هر چه باشد، من به دنبال تایید کسی نیستم زیرا داده ها قانونی هستند. به نفع من نیست که منبع و نحوه هک شدن آن را به اشتراک بگذارم."

مایکروسافت Storm-2139 را افشا کرد، یک شبکه جرایم سایبری که از هوش مصنوعی Azure از طریق LLMjacking بهره برداری می کند.

مایکروسافت اقدام قانونی علیه یک شبکه مجرم سایبری به نام Storm-2139 انجام داده است که مسئول سوء استفاده از آسیب‌پذیری‌ها در سرویس‌های هوش مصنوعی Azure است. این شرکت علناً چهار نفر را در این عملیات غیرقانونی شناسایی و محکوم کرد.

طبق گزارش رسمی مایکروسافت که به طور انحصاری با Hackread.com به اشتراک گذاشته شده است، این افراد از نام‌های مستعار آنلاین مختلف برای اجرای طرحی به نام LLMjacking استفاده می‌کنند. این عمل ربودن مدل های زبان بزرگ (LLM) با سرقت کلیدهای API (رابط برنامه نویسی برنامه) است که به عنوان اعتبار دیجیتال برای دسترسی به خدمات هوش مصنوعی عمل می کند. در صورت به دست آوردن، کلیدهای API می توانند به مجرمان سایبری اجازه دهند تا LLM ها را برای تولید محتوای مضر دستکاری کنند.

فعالیت اصلی Storm-2139 شامل استفاده از اعتبارنامه‌های مشتری سرقت شده، به دست آمده از منابع عمومی، برای دسترسی غیرمجاز به پلتفرم‌های هوش مصنوعی، اصلاح قابلیت‌های این سرویس‌ها، دور زدن اقدامات ایمنی داخلی، و سپس فروش مجدد دسترسی به سایر عوامل مخرب بود. آنها دستورالعمل های دقیقی را در مورد چگونگی تولید محتوای غیرقانونی، از جمله تصاویر صمیمی غیرمجاز و مطالب صریح جنسی، که اغلب افراد مشهور را هدف قرار می دهند، ارائه کردند.

واحد جرایم دیجیتال مایکروسافت (DCU) در دسامبر 2024 اقدامات قانونی را آغاز کرد و در ابتدا ده فرد ناشناس را هدف قرار داد. از طریق تحقیقات بعدی، آنها اعضای کلیدی Storm-2139 را شناسایی کردند. این شبکه از طریق یک مدل ساختاریافته عمل می‌کرد که سازندگان ابزارهای مخرب را توسعه می‌دادند، ارائه‌دهندگان آن‌ها را اصلاح و توزیع می‌کردند و کاربران محتوای توهین‌آمیز را تولید می‌کردند.

Storm-2139 به سه دسته اصلی سازماندهی شده است: سازندگان، ارائه دهندگان و کاربران. سازندگان ابزارهای غیرقانونی را توسعه دادند که امکان سوء استفاده از خدمات تولید شده توسط هوش مصنوعی را فراهم می کرد. سپس ارائه دهندگان این ابزارها را اغلب با سطوح مختلف خدمات و پرداخت برای کاربران نهایی اصلاح و عرضه کردند. در نهایت، کاربران از این ابزارها برای تولید محتوای مصنوعی متخلف استفاده کردند.» پست وبلاگ مایکروسافت نشان داد.
اقدامات قانونی انجام شده توسط مایکروسافت، از جمله توقیف یک وب سایت کلیدی، منجر به اختلال قابل توجهی در شبکه شد. اعضای گروه با هشدار، درگیر شدن در چت آنلاین، تلاش برای شناسایی سایر اعضا، و حتی متوسل شدن به وکیل حقوقی مایکروسافت واکنش نشان دادند و کارآمدی استراتژی مایکروسافت در خنثی کردن عملیات جنایی را برجسته کردند.

مایکروسافت یک استراتژی حقوقی چند وجهی را به کار گرفت و دعوی حقوقی مدنی را برای مختل کردن عملیات شبکه و پیگیری ارجاع جنایی به سازمان های مجری قانون آغاز کرد. هدف این رویکرد هم توقف تهدید فوری و هم ایجاد یک عامل بازدارنده در برابر سوء استفاده از هوش مصنوعی در آینده بود.

این شرکت همچنین در حال رسیدگی به موضوع سوء استفاده از هوش مصنوعی برای تولید محتوای مضر، اجرای نرده‌های محافظ سخت‌گیرانه و توسعه روش‌های جدید برای محافظت از کاربران است. همچنین از نوسازی قوانین کیفری برای تجهیز مجریان قانون به ابزارهای لازم برای مبارزه با سوء استفاده از هوش مصنوعی دفاع می کند.

کارشناسان امنیتی بر اهمیت حفاظت از اعتبار قوی تر و نظارت مستمر در جلوگیری از چنین حملاتی تاکید کرده اند. رام کارمل، بنیانگذار و مدیر عامل آپونو به هکرید گفت که شرکت‌هایی که از هوش مصنوعی و ابزارهای ابری برای رشد استفاده می کنند، باید دسترسی به داده های حساس را محدود کنند تا خطرات امنیتی را کاهش دهند.

از آنجایی که سازمان‌ها ابزارهای هوش مصنوعی را برای پیشبرد رشد به کار می‌گیرند، سطح حمله خود را با برنامه‌هایی که داده‌های حساس را در خود نگه می‌دارند نیز گسترش می‌دهند. برای استفاده ایمن از هوش مصنوعی و ابر، دسترسی به سیستم‌های حساس باید بر اساس نیاز به استفاده محدود شود و فرصت‌ها را برای عوامل مخرب به حداقل برساند.

کمپین 360XSS از Krpano XSS برای ربودن نتایج جستجو و توزیع تبلیغات هرزنامه در بیش از 350 سایت، از جمله دولت، دانشگاه‌ها و رسانه‌های خبری سوء استفاده می‌کند.
 

یک کمپین گسترده که از یک آسیب‌پذیری در چارچوب تور مجازی Krpano سوء استفاده می‌کند توسط محقق امنیت سایبری اولگ زایتسف کشف شده است. این حمله که "360XSS" نامیده شد، شامل دستکاری موتورهای جستجو و توزیع انبوه تبلیغات بود.

 Krpano یک ابزار نرم افزاری پرکاربرد است که امکان ایجاد تجربیات 360 درجه همهجانبه را فراهم می کند و به کاربران امکان می دهد تصاویر و ویدیوهای پانوراما را در یک محیط مجازی کاوش کنند.

تحقیقات Zaytsev که با Hackread.com به اشتراک گذاشته شده است، نشان داد که این حمله از یک نقص اسکریپت نویسی متقابل (XSS) منعکس شده در کتابخانه Krpano VR که به عنوان CVE-2020-24901 ردیابی شده است، استفاده می کند. این آسیب‌پذیری در یک تنظیمات پیکربندی در چارچوب Krpano (passQueryParameter) قرار داشت که به‌طور پیش‌فرض، اجازه می‌داد تا پارامترهای پرس و جو مستقیماً به پیکربندی چارچوب ارسال شوند.

این مهاجمان را قادر می سازد تا XML دلخواه را تزریق کنند که منجر به XSS منعکس شده می شود. تنظیمات پیش‌فرض این نقص را فعال کرده و منجر به بهره‌برداری گسترده تا زمان انتشار وصله‌ها شد. متأسفانه، در بسیاری از وب‌سایت‌ها، از جمله سایت توسعه‌دهنده فریم‌ورک، بدون اصلاح باقی ماند.

کشف این کمپین با یک نتیجه جستجوی غیرمنتظره برای محتوای بزرگسالان شروع شد که در دامنه یک دانشگاه معتبر ظاهر شد. تحقیقات بیشتر نشان داد که سایت از چارچوب Krpano برای تورهای مجازی استفاده می‌کند و یک پارامتر خاص در URL برای تزریق کد مخرب مورد سوء استفاده قرار می‌گیرد. این کد کاربران را به سمت تبلیغات اسپم هدایت می‌کرد که نشان‌دهنده یک حمله پیچیده فراتر از تخریب ساده وب‌سایت است.

مقیاس این کمپین با صدها وب سایت، از جمله پورتال های دولتی، مؤسسات آموزشی، رسانه های خبری و شرکت های بزرگ، قابل توجه بود. مهاجمان از آسیب‌پذیری XSS برای تزریق اسکریپت‌های مخربی استفاده کردند که نتایج موتورهای جستجو را دستکاری می‌کردند و تبلیغات هرزنامه‌ها را به بالای فهرست‌های جستجو هدایت می‌کردند. این تکنیک که به عنوان مسمومیت سئو شناخته می‌شود، به آن‌ها این امکان را می‌دهد تا از اعتبار دامنه‌های در معرض خطر برای افزایش دیده شدن تبلیغات خود استفاده کنند.

این کمپین تأثیر گسترده ای داشت و بیش از 350 وب سایت را در بخش های مختلف به خطر انداخت. این شامل پورتال‌های حساس دولتی و سایت‌های دولتی ایالتی، دانشگاه‌های بزرگ آمریکا، هتل‌های زنجیره‌ای برجسته، رسانه‌های خبری معتبر مانند CNN و Geo.tv، نمایندگی‌های خودرو و شرکت‌های Fortune 500 بود. تمرکز مهاجمان بر توزیع تبلیغات، به جای حمله مستقیم به داده های کاربران، رویکردی حساب شده را احتمالاً توسط یک گروه عرب پیشنهاد می کند.

زایتسف در پست وبلاگ خود خاطرنشان کرد: "افراد پشت این کمپین یک راز باقی مانده اند، اما از آنچه من دیده ام، بسیاری از سرنخ ها حاکی از آن است که این کمپین توسط یک گروه عرب اداره شده است - بر اساس تبلیغات، الگوها و خرده نان های تصادفی که در طول تحقیقات خود پیدا کردم."

او همچنین خاطرنشان می‌کند که تلاش‌ها برای گزارش آسیب‌پذیری به سازمان‌های آسیب‌دیده چالش‌برانگیز بود و بسیاری از آنها فاقد برنامه‌های رسمی افشا بودند. با این حال، برخی از سازمان‌ها پاسخ مثبت دادند و توسعه‌دهندگان Krpano این مشکل را با یک وصله در نسخه بعدی حل کردند. به سازمان‌هایی که از چارچوب Krpano استفاده می‌کنند توصیه می‌شود که به آخرین نسخه به‌روزرسانی شده و تنظیمات پیکربندی آسیب‌پذیر را غیرفعال کنند.

Eran Elshech، Field CTO در Seraphic Security، تأکید می‌کند که مهاجمان از بدافزار به سوء استفاده از آسیب‌پذیری‌های مرورگر و چارچوب‌های وب روی آورده‌اند. کمپین 360XSS نشان می دهد که چگونه به راحتی از یک نقص شناخته شده XSS برای به خطر انداختن سایت های قابل اعتماد، دستکاری نتایج جستجو و ربودن ویژگی های وب برای تبلیغات هرزنامه استفاده شده است.

او هشدار می دهد که مقیاس پذیری و مخفی بودن چنین حملاتی آنها را بسیار مؤثر می کند، زیرا مهاجمان با کمترین تلاش به سایت های پربازدید نفوذ می کنند و بدون دسترسی مستقیم به دستگاه های کاربر به مخاطبان زیادی دسترسی پیدا می کنند.

Morphisec یک نوع بدافزار جدید ValleyRAT را با تاکتیک‌های پیشرفته فرار، زنجیره‌های عفونت چند مرحله‌ای و روش‌های تحویل جدید سیستم‌های هدف‌گیری کشف می‌کند.
 

محققان امنیت سایبری در Morphisec Threat Lab نسخه جدیدی از بدافزار پیچیده ValleyRAT را کشف کرده‌اند که از طریق کانال‌های مختلف از جمله ایمیل‌های فیشینگ، پلت‌فرم‌های پیام‌رسانی فوری و وب‌سایت‌های در معرض خطر توزیع شده است. ValleyRAT یک بدافزار چند مرحله ای است که به گروه بدنام Silver Fox APT مرتبط است.

بر اساس تحقیقات Morphisec که با Hackread.com به اشتراک گذاشته شده است، اهداف کلیدی این کمپین افراد با ارزش بالا در سازمان ها، به ویژه افرادی که در امور مالی، حسابداری و فروش هستند، هستند و هدف سرقت داده های حساس است.

نسخه‌های قبلی ValleyRAT از اسکریپت‌های PowerShell استفاده می‌کردند که به‌عنوان نصب‌کننده‌های نرم‌افزار قانونی پنهان شده بودند، که اغلب از ربودن DLL برای تزریق بار خود به فایل‌های اجرایی امضاشده از برنامه‌هایی مانند WPS Office و حتی Firefox استفاده می‌کردند. در آگوست 2024، Hackread.com در مورد یک نسخه ValleyRAT با استفاده از کد پوسته برای تزریق اجزای بدافزار به طور مستقیم به حافظه گزارش داد.

برعکس، نسخه فعلی از یک وب‌سایت جعلی شرکت مخابراتی چینی «Karlos» (karlostclub/) برای توزیع بدافزار استفاده می‌کند که مجموعه‌ای از فایل‌ها، از جمله یک فایل اجرایی NET را دانلود می‌کند که امتیازات سرپرست را بررسی می‌کند و اجزای اضافی، از جمله یک فایل DLL را دانلود می‌کند.

محققان در این پست وبلاگ نوشتند: «جالب است که بازیگر از همان URL برای هر دو نسخه قدیمی و جدیدتر حمله خود استفاده مجدد کرد.

به گفته محققان، دانلود جعلی مرورگر کروم از anizomcom/ ناقل عفونت اولیه در زنجیره حمله است که قربانی را فریب می دهد تا بدافزار را دانلود و اجرا کند. فایل sscronet.dll که عمداً با یک شناسه با صدای قانونی نامگذاری شده است تا از مشکوک شدن جلوگیری شود، کد را به فرآیند قانونی svchost.exe تزریق می کند، به عنوان یک مانیتور عمل می کند و برای جلوگیری از تداخل با عملکرد بدافزار، هر فرآیندی را در یک لیست محرومیت از پیش تعریف شده خاتمه می دهد.

در مرحله بعد، این بدافزار از نسخه اصلاح شده Douyin (TikTok چینی) قابل اجرا برای بارگذاری جانبی DLL و یک Tier0.dll قانونی از بازی های Valve (مخصوصاً Left 4 Dead 2 و Killing Floor 2) برای اجرای کدهای پنهان در فرآیند nslookup.exe استفاده می کند. این فرآیند بار اصلی ValleyRAT را از mpclient.dat بازیابی و رمزگشایی می کند.

محموله رمزگشایی شده از کد پوسته Donut برای اجرای بدافزار در حافظه استفاده می کند و روش های سنتی تشخیص مبتنی بر دیسک را دور می زند. همچنین سعی می کند مکانیسم های امنیتی مانند AMSI و ETW را غیرفعال کند.

برای اطلاع شما، ValleyRAT یک تروجان دسترسی از راه دور مبتنی بر C ++ با عملکردهای RAT اساسی مانند دسترسی به ایستگاه پنجره WinSta0 برای تعامل صفحه نمایش، صفحه کلید و ماوس و نظارت بر صفحه نمایش قربانی است. این دارای بررسی های گسترده ضد VMware برای فرار از شناسایی در محیط های مجازی است و با سرور C2 خود با استفاده از آدرس های IP و پورت هایی که در هنگام نصب در کد آن مقدار دهی اولیه می شوند، متصل می شود.

محققان خاطرنشان کردند: «اگر بدافزار تشخیص ندهد که در داخل یک ماشین مجازی (VM) در حال اجرا است، سعی می‌کند به عنوان بخشی از بررسی ارتباط شبکه خود با baidu.com ارتباط برقرار کند.

تغییر تاکتیک‌ها/تکنیک‌های فرار گروه Silver Fox APT، پیچیدگی روزافزون حملات جدید را نشان می‌دهد. سازمان ها باید یک استراتژی امنیتی مناسب، از جمله حفاظت از نقطه پایانی سخت گیرانه تر، آموزش کارکنان و نظارت مستمر، برای کاهش خطرات اتخاذ کنند.

اگر عکس‌های شما حاوی اطلاعات حساسی هستند که نمی‌خواهید دیگران آن‌ها را ببینند، آن قسمت‌ها را با استفاده از ابزاری که در اختیار دارید پنهان کنید. برای انجام این کار می توانید از یک برنامه داخلی یا یک برنامه شخص ثالث در رایانه شخصی ویندوز 11 خود استفاده کنید.
 

اگر می‌خواهید اطلاعات را در تصویرتان تار یا پیکسل‌سازی کنید، توجه داشته باشید که به دلایل ایمنی، ما در اینجا به آن نمی‌پردازیم. اطلاعات تار و پیکسلی را می توان پنهان کرد، در حالی که یک بلوک تک رنگ نمی تواند. این چیزی است که در زیر بر روی آن تمرکز خواهیم کرد.

پر کردن مناطق در یک عکس با رنگ های ثابت با استفاده از رنگ
اپلیکیشن Paint داخلی برای بسیاری از کاربران برای روتوش های اولیه عکس، از جمله پنهان کردن قطعات در عکس ها، ابزاری کاربردی بوده است. می‌توانید از ابزار پر کردن این برنامه برای پر کردن یک رنگ ثابت در قسمتی از عکس که می‌خواهید پنهان کنید استفاده کنید.

برای انجام این کار، File Explorer را باز کنید (ویندوز + E را فشار دهید) و محل عکس را برای ویرایش پیدا کنید. روی عکس کلیک راست کرده و Open With > Paint را انتخاب کنید. همچنین، برنامه Paint را اجرا کنید، File > Open را انتخاب کنید و عکس خود را انتخاب کنید.

وقتی عکس شما در Paint راه اندازی شد، از قسمت Colors در بالا، روی "Color 2" کلیک کنید. در پالت رنگ، رنگ ثابتی را که می‌خواهید برای پنهان کردن اطلاعات استفاده کنید، انتخاب کنید.

برای استفاده از رنگ سفارشی که قبلاً در پالت نیست، روی «ویرایش رنگ‌ها» (چرخ رنگ) کلیک کنید و رنگ مورد استفاده را انتخاب کنید. با وارد کردن کد HEX می توانید رنگی را انتخاب کنید. سپس، روی "OK" کلیک کنید.

از بخش Shapes در بالا، شکلی را که می‌خواهید برای پنهان کردن قسمت‌های عکس خود استفاده کنید، انتخاب کنید. سپس، روی عکس، شکل را طوری بکشید که اطلاعات را برای پنهان کردن بپوشاند.

رنگ، شکل را با رنگ انتخابی شما پر می کند و آن قسمت از عکس را پنهان می کند. برای اطمینان از پر شدن جامد، روی شکل کلیک راست کرده و Fill > Solid Fill را انتخاب کنید. اگر نوع پرکننده دیگری مانند مداد رنگی انتخاب کنید، برخی از قسمت‌های پشت شکل همچنان قابل مشاهده خواهند بود.

اطمینان حاصل کنید که اطلاعاتی که می خواهید پنهان کنید واقعاً در عکس پنهان است. اکنون برای ذخیره عکس به عنوان یک کپی از نسخه اصلی، از نوار منوی Paint، File > Save As را انتخاب کنید و فرمت تصویر مورد نظر را انتخاب کنید. در پنجره Save As، پوشه ای را برای ذخیره عکس انتخاب کنید، در قسمت "File Name" نامی برای عکس تایپ کنید و روی "Save" کلیک کنید.

مخفی کردن اطلاعات در عکس ها با استفاده از GIMP
GIMP یک برنامه رایگان و منبع باز است که به شما امکان ویرایش و روتوش عکس‌ها را در رایانه می دهد. برای استفاده از آن برای پنهان کردن عناصر حساس عکس های خود، سایت GIMP را راه اندازی کنید و برنامه را دانلود و بر روی رایانه شخصی خود نصب کنید.

برنامه را اجرا کنید و File > Open را انتخاب کنید یا Ctrl+O را فشار دهید. به پوشه حاوی عکس خود بروید و عکس را انتخاب کنید.

از قسمت ابزار در سمت چپ، کادر رنگ پیش زمینه (بالا) را انتخاب کنید. در پنجره Change Foreground Color که باز می شود، رنگی را که می خواهید برای پنهان کردن اطلاعات در عکس خود استفاده کنید، انتخاب کنید. سپس، روی "OK" کلیک کنید.

در بخش ابزارها در سمت چپ، روی "ابزار انتخاب مستطیل" (R را فشار دهید) یا "ابزار انتخاب بیضی" (E را فشار دهید) کلیک کنید. روی عکس خود، شکلی را بکشید که قسمتی را که می خواهید پنهان کنید، بپوشانید. روی شکل کلیک راست کرده و Edit > Fill With FG Color را انتخاب کنید (یا Ctrl+، را فشار دهید).

GIMP شکل انتخاب شده را با رنگ پیش زمینه انتخاب شده پر می کند. اکنون قسمت انتخاب شده در عکس پنهان شده است. اکنون برای ذخیره عکس به عنوان یک کپی از نسخه اصلی، از نوار منوی GIMP، File > Export As را انتخاب کنید (یا Shift+Ctrl+E را فشار دهید).

در پنجره Export Image، پوشه ای را برای ذخیره عکس ویرایش شده انتخاب کنید. روی فیلد "Name" کلیک کنید و یک نام برای عکس تایپ کنید. گزینه "Select File Type (By Extension)" را انتخاب کنید و یک قالب برای عکس خود انتخاب کنید. سپس روی «صادرات» کلیک کنید.