🚨 اطلاعیه شماره هشتادوچهار عملیات کالبدشکافی بدافزار در آزمایشگاه APKCERT منجر به شناسایی یک تهدید فعال در لایه سیستم‌عامل شده است که با هدف برقراری دسترسی زنده و استخراج محرمانه داده‌ها (Exfiltration) طراحی شده است. این بدافزار که با نام crackme.exe در زیرساخت رویت شده، نمونه‌ای بارز از حملات هدفمند برای دور زدن دیواره‌های آتش سازمانی است. 🔻 تحلیل آنتروپی و ساختار فایل crackme.exe با هش D797B6EFDECF3DD771B1AB315CB3DF68A18724A2DE0FFFA5C101A4C65BB9C2DC نشان می‌دهد که مهاجم با تعبیه ۵ بخش عملیاتی مجزا، به دنبال مخفی‌سازی بدنه اصلی کد مخرب از دید اسکنرهای آنتی‌ویروس بوده است. 🔻 مستندات فنی تایید می‌کنند که crackme.exe با موفقیت مکانیزم UAC ویندوز را پشت سر گذاشته و با سطح دسترسی High Integrity در حافظه مستقر شده است. خطرناک‌ترین رفتار رصد شده، تلاش مستقیم این فایل برای فلج کردن سرویس‌های حیاتی ویندوز از طریق دستور taskkill /IM svchost.exe /F است که عملاً سیستم را در برابر حملات بعدی بی‌دفاع می‌کند. خروجی تحلیل ترافیک شبکه نشان می‌دهد که مهاجم با استفاده از یک Reverse Shell تعاملی، موفق شده است از پورت غیرمعمول 37135 برای اتصال به سرور فرماندهی در استونی (IP: 213.109.192.63) استفاده کند. ✅ نقشه راه احتمالی مهاجم و تهدیدات ثانویه: برآورد فنی تیم CERT حاکی از آن است که حضور crackme.exe بر روی هر ایستگاه کاری، مقدمه‌ای برای سناریوهای بحرانی زیر خواهد بود: ▪️ تکمیل چرخه جاسوسی (Live Spying): با توجه به ارسال نام کاربری ادمین به صورت Cleartext، مهاجم هم‌اکنون در مرحله "مشاهده زنده" قرار دارد و می‌تواند هر لحظه فرمان استخراج دیتابیس‌ها یا مستندات حساس را صادر کند. ▪️ پیمایش عرضی در شبکه (Lateral Movement): سوءاستفاده از ابزارهای بومی نظیر netstat و findstr ثابت می‌کند که مهاجم در حال نقشه‌برداری از ارتباطات شبکه داخلی برای یافتن سرورهای حیاتی‌تر و تکرار زنجیره آلودگی است. ▪️ استفاده از ابزارهای قانونی به عنوان پوشش: اجرای notepad.exe توسط بدافزار، یک تکنیک Decoy برای استقرار موقت کدهای مرحله دوم در بستری است که معمولاً توسط تیم‌های SOC به عنوان رفتار مخرب شناسایی نمی‌شود. تیم CERT با تکیه بر این یافته‌ها، پروتکل‌های دفاعی زیر را الزامی می‌داند: ▪️ مسدودسازی بی‌درنگ فایل crackme.exe بر اساس هش SHA256 در تمامی لایه‌های EDR. ▪️ الگوهای پایش در تیم‌های SOC و شکار تهدید: 🔺 شناسایی و قطع ارتباط هرگونه پروسه که به سمت پورت‌های غیرمتعارف (مانند 37135) ترافیک ارسال می‌کند. 🔺 مانیتورینگ رفتاری (Behavioral Alert) برای دستور taskkill زمانی که هدف آن پروسه‌های سیستمی مانند svchost.exe یا آنتی‌ویروس‌ها باشد. 🔺 حساسیت نسبت به اجرای فایل‌های EXE از مسیر %Temp% که بلافاصله درخواست ارتقای دسترسی (Elevation) می‌دهند. 🔺 پایش فعالیت‌های "گشت‌زنی" در شبکه؛ مانند اجرای پیاپی netstat -anon که با الگوی کاری نرم‌افزارهای استاندارد سازمان همخوانی ندارد. 🔺 بازرسی کلیدهای رجیستری مربوط به تنظیمات Notepad در مسیر HKCU برای یافتن ردپای داده‌های تزریق شده. ▪️ ▪️ ▪️ آیدی کانال: @apkgroup مرکز CERT شرکت امن‌پردازان کویر (APK)

🚨 اطلاعیه شماره هشتادوپنج با توجه به فعالیت‌های مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد: ▪️ بلاک کردن کلیه موارد اعلامی ▪️ بررسی وضعیت لاگ‌های SIEM در خصوص فعالیت این IPها در شبکه ⚠️ لیست IPها: 78.39.35.83 109.230.68.191 5.117.7.187 185.192.114.181 2.190.178.243 5.117.20.133 5.239.123.101 47.103.54.202 45.141.215.110 185.244.192.184 107.189.10.175 45.141.215.200 45.141.215.40 157.245.243.118 185.247.137.109 217.219.228.97 92.42.207.252 37.156.153.9 85.133.182.247 2.189.114.213 🔺️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچ‌ها انجام شود. در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیت‌ها به واحد CERT اطلاع‌رسانی شود. ▪️ ▪️ ▪️ آیدی کانال: @apkgroup مرکز CERT شرکت امن‌پردازان کویر (APK)

🚨 اطلاعیه شماره هشتادوشش با توجه به فعالیت‌های مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد: ▪️ بلاک کردن کلیه موارد اعلامی ▪️ بررسی وضعیت لاگ‌های SIEM در خصوص فعالیت این IPها در شبکه ⚠️ لیست IPها: 31.25.92.169 5.202.51.50 217.219.68.163 37.156.159.214 31.25.92.192 195.178.110.162 139.162.3.141 45.59.163.167 91.224.92.121 62.171.158.50 187.110.175.195 45.156.128.113 217.219.163.1 25.2.115.62 🔺️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچ‌ها انجام شود. در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیت‌ها به واحد CERT اطلاع‌رسانی شود. ▪️ ▪️ ▪️ آیدی کانال: @apkgroup مرکز CERT شرکت امن‌پردازان کویر (APK)

🚨 اطلاعیه شماره هشتادوهفت در بررسی و معرفی روش‌های ترند مهاجمان برای آسیب به زیرساخت‌ها، امروز به بررسی عمیق بدافزار destoryed.exe می‌پردازیم. ▪️ این تهدید که در دسته‌‌ی «لودرهای چندمرحله‌ای» (Multi-stage Loaders) قرار دارد، با بهره‌گیری از فریم‌ورک دات‌نت و لایه‌های (Obfuscation)، برای ورود خانواده‌های خطرناکی مثل Amadey، Stealc و njRAT عمل می‌کند. 🔻 این بدافزار با هش اختصاصی 033729FE4F6AADC1BA38DE00013F7B0E5E1BF5D540DF00872931053488ED79BD، فراتر از یک ابزار مخرب ساده، قابلیت «آگاهی از محیط» (Environment Awareness) دارد؛ مهاجم با دستکاری استراتژیک رجیستری در مسیرهای زیر، سیستم مانیتورینگ ویندوز را مختل می‌کند: HKLM\SOFTWARE\Microsoft\Tracing\destoryed_RASMANCS HKLM\SOFTWARE\Microsoft\Tracing\destoryed_RASAPI32 با تغییر مقدار EnableFileTracing به صفر، بدافزار تمامی ردپاهای تعامل با سرویس‌های (Remote Access Services) را پاک و عملاً ارتباطات شبکه خود را از دید ابزارهای فارنزیک سیستمی مخفی می‌کند. 🔻 لایه عملیاتی این تهدید بر پایه مدل «تزریق زنجیره‌ای» است. این بدافزار، بعد از اجرای اولیه، با استخراج Machine GUID اقدام به انگشت‌نگاری (Fingerprinting) از سیستم قربانی می‌کند تا یک شناسه منحصر‌به‌فرد برای مدیریت در پنل C2 ایجاد کند. بلافاصله، فرآیند svchost.exe با سطح دسترسی SYSTEM مورد سوءاستفاده قرار می‌گیرد تا ماژول Stealc را بارگذاری کند. این ماژول با ارسال بیش از ۴۰۰ درخواست HTTP POST در بازه زمانی بسیار کوتاه، داده‌های حساسی‌مثل کوکی‌های مرورگر، اطلاعات تکمیل خودکار (Autofill) و کیف‌پول‌های ارز دیجیتال را به سرورهای مهاجم منتقل می‌کند. ✅ راهکارهای جامع شناسایی و مقابله (Detection & Mitigation) با توجه به پیچیدگی و رفتار ماژولار این بدافزار، اقدامات دفاعی باید در چندین لایه به شرح زیر پیاده‌سازی شوند: ▪️ پایش رفتاری و جرم‌شناسی فرآیندها (Process Forensic) ردیابی سوءاستفاده از svchost: ایجاد Alert برای هرگونه ترافیک شبکه خروجی از پروسه svchost.exe که توسط والد غیرمعمول (مانند یک فایل در مسیر Temp) ایجاد شده باشد. ترافیک خروجی این پروسه به سمت IPهای مشکوک (نظیر 82.26.74.80) باید منجر به قطع فوری دسترسی سیستم به شبکه شود. شناسایی Artifactهای موقت: مانیتورینگ مداوم مسیر %AppData%\Local\Temp\ برای شناسایی فایل‌هایی با الگوی نام‌گذاری __PSScriptPolicyTest_. این فایل‌ها نشان‌دهنده تلاش بدافزار برای تست سطح دسترسی PowerShell و دور زدن Execution Policyها هستند. تحلیل نرخ درخواست‌های شبکه: تنظیم قوانین شناسایی ناهنجاری (Anomaly Detection) بر روی تجهیزات امنیت شبکه (WAF/IPS) برای شناسایی نرخ غیرعادی درخواست‌های HTTP (بیش از ۱۰۰ درخواست در دقیقه) از یک کلاینت واحد به سمت مقاصد ناشناخته. ▪️ سخت‌گیری در لایه میزبان و سیستم‌عامل (Host Hardening) کنترل دسترسی به رجیستری: اعمال محدودیت بر روی کلیدهای رجیستری مرتبط با Tracing و Cryptography. هرگونه تلاش برای تغییر در مقادیر EnableFileTracing یا خواندن MachineGuid توسط پروسه‌های غیرسیستمی باید بلافاصله توسط ابزار EDR مسدود شود. ایزوله‌سازی مسیرهای اجرایی: فعال‌سازی قوانین Attack Surface Reduction (ASR) برای جلوگیری از اجرای فایل‌های اسکریپتی و اجرایی از پوشه‌های موقت (Temp) و دانلودهای کاربران. جلوگیری از جعل نام (Anti-Masquerading): اسکن دوره‌ای سیستم برای شناسایی فایل‌های اجرایی که از نام‌های معتبر سیستمی (مانند lsass.exe یا svchost.exe) استفاده می‌کنند اما در مسیرهای غیرسیستمی (مانند دسکتاپ یا Temp) مستقر شده‌اند. ▪️ مدیریت شاخص‌های آلودگی و پاسخ به حادثه پاکسازی و ایزوله کردن: به محض شناسایی هر یک از فایل‌های فرعی نظیر bot.exe یا ransomware.exe در مسیرهای ذکر شده، سیستم باید فوراً از شبکه جداسازی شود؛ چرا که وجود این فایل‌ها به معنای عبور بدافزار از فاز سرقت داده و ورود به فاز تخریب (Encryption) است. بررسی ترافیک C2: مسدودسازی تمامی ارتباطات به سمت دامنه‌ها و IPهای استخراج شده در لایه فایروال و بررسی لاگ‌های DNS برای شناسایی سایر سیستم‌هایی که ممکن است برای اتصال به این آدرس‌ها تلاش کرده باشند. بازرسی ابزارهای LotL: مانیتورینگ دقیق استفاده از PowerShell و ابزارهای مدیریت سیستم. هرگونه استفاده از سوئیچ‌های -ExecutionPolicy Bypass یا -WindowStyle Hidden در ترکیب با آدرس‌های IP خارجی باید به عنوان تهدید قطعی تلقی گردد. ▪️ ▪️ ▪️ آیدی کانال: @apkgroup مرکز CERT شرکت امن‌پردازان کویر (APK)

🟥 دانلود یکپارچه آی‌پی‌های (IP) مخرب منتشر شده در کانال بله شرکت APK کل آی‌پی‌های (IP) مخرب منتشر شده طی ۵۰ روز اخیر را می‌توانید در قالب یک فایل .txt دانلود کنید. ▪️ ▪️ ▪️ شرکت امن‌پردازان کویر (APK)

🚨 اطلاعیه شماره هشتادونه با توجه به فعالیت‌های مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد: ▪️ بلاک کردن کلیه موارد اعلامی ▪️ بررسی وضعیت لاگ‌های SIEM در خصوص فعالیت این IPها در شبکه ⚠️ لیست IPها: 5.125.136.203 37.255.59.228 91.212.174.83 185.7.172.104 37.156.158.7 37.148.66.229 5.119.200.11 87.248.154.43 109.162.252.19 37.148.79.185 109.162.252.28 151.235.237.53 🔺️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچ‌ها انجام شود. در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیت‌ها به واحد CERT اطلاع‌رسانی شود. ▪️ ▪️ ▪️ آیدی کانال: @apkgroup مرکز CERT شرکت امن‌پردازان کویر (APK)

🚨 اطلاعیه شماره نود بر اساس تحلیل‌های فنی و گزارش‌های منتشر شده از منابع معتبر امنیت سایبری در مارس ۲۰۲۶، یک حمله سازمان‌یافته و بسیار خطرناک در زنجیره تأمین اکوسیستم npm شناسایی شده است که نشان‌دهنده تمرکز ویژه عامل تهدید بر زیرساخت‌های داخل ایران است. این حمله که توسط گروه TeamPCP و در پی رخنه به ابزارهای امنیتی در خطوط لوله CI/CD (نظیر Trivy v0.69.4) اجرا شده، از طریق انتشار نسخه‌های آلوده در بسته‌های پرکاربرد (نظیر اسکوپ @opengov) در حال گسترش است. 🔻 بدافزار شناسایی شده با نام CanisterWorm، یک کرم خودتکثیر است که با سرقت توکن‌های انتشار، کدهای مخرب خود را در بسته‌های تحت اختیار قربانی تزریق و منتشر می‌کند. 🔻 این بدافزار با بهره‌گیری از اسکریپت‌های postinstall، کدهای اصلی خود را بلافاصله پس از نصب اجرا کرده و با ایجاد یک سرویس systemd به نام pgmon.serv در سطح کاربر، پایداری خود را بدون نیاز به دسترسی Root تضمین می‌نماید. ⚠️ تحلیل بخش بحرانی: مکانیزم تخریب هدفمند در ایران ▪️ تحلیل کدهای استخراج شده نشان می‌دهد که بدافزار مجهز به یک "بمب منطقی" (Logic Bomb) هوشمند با متغیر داخلی اختصاصی برای شناسایی هدف در ایران (IRAN_TARGET) است. ▪️ بدافزار پس از اجرا، ابتدا با فراخوانی توابعی نظیر getSystemTimezone() و بررسی آدرس‌های IP، موقعیت سیستم را پایش کرده و در صورت تشخیص جغرافیای ایران، واکنش‌های تخریبی زیر را فعال می‌کند: ▪️ در محیط‌های کلاستر (Kubernetes): بدافزار با استفاده از کتابخانه‌های کلاینت و دسترسی به API سرور، یک DaemonSet ویژه به نام host-provisioner-iran را مستقر می‌کند. این شیء مخرب با تنظیمات سطح بالا (privileged: true) و مگ‌نت کردن ریشه میزبان (hostPath: /) به داخل کانتینر، اجازه می‌یابد فراتر از ایزولاسیون کانتینری، کل فایل‌سیستم سرورهای فیزیکی کلاستر را پاک‌سازی کرده و با ریبوت اجباری، زیرساخت را نابود کند. ▪️ در سیستم‌های لینوکسی معمولی: چنانچه بدافزار تشخیص دهد که سیستم در ایران مستقر است اما محیط کوبرنتیز نیست، مستقیماً دستور مرگبار rm -rf / --no-preserve-root را جهت نابودی کامل سیستم و حذف تمامی فایل‌های ریشه اجرا می‌کند. لازم به ذکر است بدافزار برای سیستم‌های خارج از ایران تنها به نصب یک بک‌دور جهت جاسوسی بسنده می‌کند که نشان‌دهنده ماهیت کاملاً هدفمند این Wiper علیه ایران است. ✅ تحلیل رفتارهای احتمالی آتی و اقدامات پنهان: کارشناسان تحلیل تهدیدات بر این باورند که این اقدامات پیش‌زمینه‌ای برای حملات وسیع‌تر با مشخصات زیر است: ▪️ استفاده از C2 غیرقابل توقیف: ارتباط بر بستر بلاک‌چین ICP که به دلیل ساختار غیرمتمرکز، مسدودسازی آن ناممکن است. ▪️ سرقت گسترده اعتبارنامه‌ها: اسکن مداوم توکن‌های NPM جهت گسترش زنجیره‌ای حمله به سایر سازمان‌ها. 🟥 با توجه به موار فوق پیشنهاد می گردد اقدامات ذیل در اسرع وقت مورد بررسی قرار گیرند: ▪️ بررسی و پایش الگوهای زیر در لایه‌های SOC و زیرساخت: 🔺 پایش کلاستر (Kubernetes Monitoring): ▪️ جستجوی فوری برای شناسایی و حذف DaemonSet مخرب با نام host-provisioner-iran در تمامی فضاهای نام (به‌ویژه kube-system). ▪️ پایش ایجاد هرگونه شیء جدید در کوبرنتیز که دارای پارامتر privileged: true و hostPath به ریشه (/) باشد. 🔺️ مسدودسازی شبکه (Network Containment): ▪️ جلوگیری از ترافیک خروجی به دامنه‌ی مرکز فرماندهی بلاک‌چین: *tdtqy-oyaaa-aaaae-af2dq-cai.raw.icp0.io*. ▪️ مسدودسازی دامنه‌ی سرقت اطلاعات اولیه: *scan.aquasecurtiy.org*.* 🔺 بازرسی فایل‌سیستم (Host-based Hunting): ▪️ جستجو و حذف فایل ایمپلنت اصلی: ~/.local/share/pgmon/service.py و سرویس پایداری آن: ~/.config/systemd/user/pgmon.serv. ▪️ پایش دایرکتوری موقت برای فایل‌های وضعیت و پی‌لودهای مرحله دوم: /tmp/pglog و /tmp/.pg_state. 🔺 مدیریت اعتبارنامه‌ها و توکن‌ها (Credential Rotation): ▪️ ابطال و تعویض فوری تمامی توکن‌های موجود در فایل‌های .npmrc و متغیرهای محیطی محیط‌های CI/CD که احتمال آلودگی آن‌ها وجود دارد. 🔺 تحلیل زنجیره تأمین و بازرسی کد (Supply Chain Audit): ▪️ اسکن فایل‌های package.json: جستجوی اسکریپت‌های نصب مشکوک نظیر "postinstall": "node index.js" در بسته‌های اسکوپ @opengov و بسته‌های وابسته. ▪️ بررسی کدهای مبهم: شناسایی کدهای جاوااسکریپت حاوی رشته‌های طولانی Base64 که در زمان اجرا اقدام به ساخت فایل‌های پایتون (.py) در پس‌زمینه می‌کنند. 🔺 تثبیت نسخه‌ها (Version Pinning): ▪️ قفل کردن نسخه‌های تمامی بسته‌های npm بر روی آخرین نسخه‌ی پایدار تأیید شده (پیش از مارس ۲۰۲۶) جهت جلوگیری از دریافت آپدیت‌های آلوده. @apkgroup

🚨 اطلاعیه شماره نودویک با توجه به فعالیت‌های مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد: ▪️ بلاک کردن کلیه موارد اعلامی ▪️ بررسی وضعیت لاگ‌های SIEM در خصوص فعالیت این IPها در شبکه ⚠️ لیست IPها: 5.237.27.98 83.123.146.15 87.107.100.39 5.112.57.113 5.119.240.249 37.202.165.148 87.107.165.12 83.120.156.77 2.176.83.85 151.234.202.18 5.210.173.75 5.237.2.128 2.183.140.82 109.225.165.40 109.162.252.63 5.121.249.195 5.122.143.212 109.162.252.46 🔺️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچ‌ها انجام شود. در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیت‌ها به واحد CERT اطلاع‌رسانی شود. ▪️ ▪️ ▪️ آیدی کانال: @apkgroup مرکز CERT شرکت امن‌پردازان کویر (APK)

🚨 اطلاعیه شماره نود و دو با توجه به فعالیت‌های مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد: ▪️ بلاک کردن کلیه موارد اعلامی ▪️ بررسی وضعیت لاگ‌های SIEM در خصوص فعالیت این IPها در شبکه ⚠️ لیست IPها: 94.182.152.199 5.134.145.200 92.114.24.70 52.167.144.67 185.208.174.97 46.143.91.228 217.218.30.178 62.60.146.14 40.77.167.20 52.167.144.187 158.58.24.133 46.36.105.44 83.122.191.35 5.127.10.18 188.213.192.210 5.62.234.162 5.127.211.22 5.208.239.180 5.120.203.53 🔺️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچ‌ها انجام شود. در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیت‌ها به واحد CERT اطلاع‌رسانی شود. ▪️ ▪️ ▪️ آیدی کانال: @apkgroup مرکز CERT شرکت امن‌پردازان کویر (APK)

🚨 اطلاعیه شماره نود و سه بر اساس تحلیل‌های فنی و گزارش‌های منتشر شده از منابع معتبر امنیت سایبری در اواخر آوریل و اوایل می ۲۰۲۶، یک آسیب‌پذیری بسیار خطرناک در هسته لینوکس با شناسه CVE-2026-31431 ملقب به Copy Fail به‌صورت عمومی افشا شده و هم‌اکنون در حال بهره‌برداری فعال است. این آسیب‌پذیری که در زیرسیستم Crypto و ماژول algif_aead قرار دارد، امکان ارتقاء دسترسی محلی Local Privilege Escalation از کاربر عادی به root را با سطح اطمینان بالا فراهم می‌کند. 🚨 آخرین آپدیت کلیدی ۱ می ۲۰۲۶ انتشار تحلیل‌های Threat Intelligence توسط Microsoft و سایر وندورها مبنی‌بر: ▪️ ریسک بالا در محیط‌های Cloud و Kubernetes ▪️ امکان chain شدن در container escape 🔻 تحلیل بخش بحرانی: مکانیزم حمله (Copy-on-Write Abuse) این آسیب‌پذیری ناشی از نقص در مدیریت عملیات in-place در AF_ALG است که به مهاجم اجازه می‌دهد: ▪️ بدون تغییر فایل روی دیسک ▪️ بدون ثبت در مکانیزم‌های integrity ▪️ محتوای page cache را مستقیماً overwrite کند. در این سناریو، مهاجم می‌تواند: ▪️ باینری‌های حساس مثل SUID binariesرا فقط در حافظه تغییر دهد. ▪️ همان باینری را اجرا کند و به سطح root برسد. ⚠️ نکته حیاتی این رفتار باعث bypass کامل ابزارهای forensic مبتنی‌بر دیسک می‌شود. 🔻 ویژگی‌های خطرناک اکسپلویت ▪️ بدون نیاز به race condition (برخلاف Dirty COW) ▪️ بسیار پایدار و deterministic ▪️ حجم بسیار کم PoC (حدود ۷۳۲ بایت) ▪️ قابل اجرا روی طیف وسیعی از دیستروها (distro) ⚠️ تحلیل تهدید در زیرساخت‌های مدرن ❗در محیط‌های Containerized ▪️ سوءاستفاده از page cache مشترک بین container و host ▪️ امکان escape از container و دسترسی به node ❗در محیط‌های Cloud ▪️ Escalation از user-level access در VM به root ▪️ افزایش ریسک lateral movement در شبکه داخلی با توجه به توضیحات بالا، پیشنهاد می‌شود اقدامات زیر فوراً بررسی و اجرا شوند: Patch Management (بسیار حیاتی) ▪️ بروزرسانی فوری kernel به نسخه‌های patch شده (بعد از ۱ آوریل ۲۰۲۶) ▪️ بررسی وضعیت patch در distro (بعضی هنوز Fully Patched نیستند.) Hardening در سطح سیستم ▪️ غیرفعال‌سازی AF_ALG در صورت عدم نیاز ▪️ محدودسازی unprivileged user namespaces ▪️ کاهش دسترسی به سیسکال‌ها مرتبط مانند splice() Detection & Threat Hunting ▪️ پایش الگوهای غیرعادی 🔹استفاده همزمان از AF_ALG + splice () 🔹دسترسی غیرعادی به کریپتو سوکت‌ها (Crypto Socket) ▪️ استفاده از EDR با قابلیت memory analysis (نه فقط disk-based) Kubernetes Security Monitoring ▪️ بررسی رفتار کانتینرها برای سیسکال‌های غیرمعمول ▪️ اعمال seccomp و AppArmor profiles محدودکننده ▪️ مانیتورینگ دسترسی به host kernel interface Incident Response Readiness ▪️ فرض compromise در صورت وجود access محلی ▪️ بررسی integrity باینری‌ها در runtime (نه فقط روی دیسک) ▪️ Rotation دسترسی‌ها درصورت مشاهده رفتار مشکوک ▪️ ▪️ ▪️ آیدی کانال: @apkgroup مرکز CERT شرکت امن‌پردازان کویر (APK)

🚨 اطلاعیه شماره نودوچهار با توجه به فعالیت‌های مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد: ▪️ بلاک کردن کلیه موارد اعلامی ▪️ بررسی وضعیت لاگ‌های SIEM در خصوص فعالیت این IPها در شبکه ⚠️ لیست IPها: 37.221.27.52 188.253.67.40 46.143.92.235 5.10.248.155 188.136.220.71 93.126.40.22 91.236.168.167 212.80.18.11 185.18.213.22 80.210.47.42 87.236.208.94 🔺️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچ‌ها انجام شود. در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیت‌ها به واحد CERT اطلاع‌رسانی شود. ▪️ ▪️ ▪️ آیدی کانال: @apkgroup مرکز CERT شرکت امن‌پردازان کویر (APK)

🚨 اطلاعیه شماره نودوپنج با توجه به فعالیت‌های مخرب IPهای زیر در ساعات گذشته موارد زیر سریعا پیگیری گردد: ▪️ بلاک کردن کلیه موارد اعلامی ▪️ بررسی وضعیت لاگ‌های SIEM در خصوص فعالیت این IPها در شبکه ⚠️ لیست IPها: 80.191.185.128 5.122.233.193 94.177.75.104 94.182.214.91 2.147.172.213 142.250.202.174 5.62.176.102 77.237.163.206 🔺️ توجه: برای بررسی فعالیت در SIEM حتما هم به عنوان مبدا و هم به عنوان مقصد سرچ‌ها انجام شود. در صورت مشاهده فعالیت این IPها (حتی موارد عادی و قابل اعتماد) سریعا گزارش فعالیت‌ها به واحد CERT اطلاع‌رسانی شود. ▪️ ▪️ ▪️ آیدی کانال: @apkgroup مرکز CERT شرکت امن‌پردازان کویر (APK)