🔴 هشدار امنیتی :شناسایی زنجیره اجرای بدافزار مبتنی بر PowerShell با طعمه مرتبط با زیرساخت انرژی - تکمیلی تاریخ: ۱۳ فروردین ۱۴۰۵ 🔶 بر اساس پایش‌های مستمر و تحلیل‌های انجام‌شده در مرکز هوش‌تهدیدات سایبری، نمونه‌ای از فعالیت مخرب مبتنی بر PowerShell شناسایی شده است که با بهره‌گیری از تکنیک‌های مبهم‌سازی کد (Obfuscation) اقدام به اجرای بدافزار در سامانه‌های هدف می‌کند. در این نمونه، مهاجم از فایل فشرده‌ای با عنوان «Energy Infrastructure Situation Note – Tehran Province 2026.zip» به عنوان طعمه مهندسی اجتماعی استفاده کرده است. بررسی کد نشان می‌دهد اسکریپت PowerShell با استفاده از متغیرهای مبهم و توابع سیستمی، داده‌های باینری را پردازش کرده و فایل مخرب را در مسیر کاربری سیستم ذخیره می‌کند. 🔶بر اساس تحلیل اولیه، زنجیره اجرای حمله شامل مراحل زیر است: • فراخوانی و اجرای اسکریپت PowerShell با ساختار مبهم‌سازی‌شده • خواندن داده‌های باینری و بازسازی فایل در سیستم قربانی • استخراج محتوای فایل فشرده در مسیر LocalAppData • اجرای فایل اجرایی با نام ErsChk.exe به عنوان Payload نهایی 🔶 استفاده از مسیرهای کاربری نظیر LocalAppData و نام‌گذاری متغیرهای تصادفی از جمله تکنیک‌هایی است که با هدف کاهش احتمال شناسایی توسط ابزارهای امنیتی به کار گرفته شده است. همچنین انتخاب موضوع مرتبط با زیرساخت انرژی می‌تواند نشان‌دهنده تلاش برای افزایش نرخ موفقیت حملات مهندسی اجتماعی در میان کاربران هدف باشد. 🔶 توصیه‌های عملیاتی: • پایش و ثبت رخدادهای مرتبط با اجرای PowerShell در سامانه‌های سازمانی • محدودسازی اجرای اسکریپت‌های ناشناس یا امضانشده • مانیتورینگ ایجاد یا اجرای فایل‌های اجرایی در مسیرهای کاربری به‌ویژه LocalAppData • بررسی رخدادهای مرتبط با استخراج فایل‌های فشرده و اجرای بلافاصله فایل‌های اجرایی • تقویت آگاهی کاربران نسبت به تهدیدات مهندسی اجتماعی #مرکز_هوش_تهدیدات_سایبری #مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری #مرکز_ملی‌_فضای_مجازی 🔗 https://ble.ir/CyberIR 🌐 https://cysp.ut.ac.ir 🌐 https://cysp.ir/links 🆔 @ut_cyber

🔴 گزارش درس‌آموخته‌های بررسی فارنزیکی رخداد امنیتی اخیر برای یک شرکت کسب و کار آنلاین و راهکارهای بهبود امنیت زیرساخت شبکه در بررسی یک رخداد امنیتی اخیر، موارد مهمی از تهدیدات و ضعف‌های امنیتی شناسایی شده که نیازمند توجه عمومی هستند: 🔶 تهدیدات اصلی: • نبود روال خروج امن پرسنل کلیدی • عدم تغییر دوره‌ای اطلاعات حساس • دسترسی متمرکز اطلاعات حساس به یک نفر • نبود سیستم پایش امنیتی متمرکز و واحد • عدم پیاده‌سازی امن زیرساخت و سامانه‌ها مطابق کنترل‌های امنیتی استاندارد 🔶 اقدامات پیشنهادی برای افزایش امنیت و جلوگیری از تکرار این رخدادها: • ایجاد نسخه پشتیبان کامل از تمامی سرورها و گردآوری لاگ‌های امنیتی به صورت متمرکز • حذف یا تغییر دوره‌ای کلیدهای رمزنگاری SSH • تغییر دوره‌ای رمزهای عبور کاربران مهم مانند root و ubuntu در سرورها • تغییر دوره‌ای رمز عبور کاربر sa در پایگاه داده • تنظیم دقیق Firewall برای سرور پایگاه‌داده به گونه‌ای که فقط سرور Application بتواند به آن دسترسی داشته باشد • انجام ممیزی امنیتی مستمر و جامع حداقل سالی یک بار بر روی زیرساخت شبکه و سامانه‌های حساس • استفاده از IP Whitelisting برای محدود کردن دسترسی تنها به آدرس‌های معتبر و مشخص • ثبت کامل لاگ‌های Syslog، Netflow، SNMP، SPAN و ارسال آن‌ها به سرور SIEM جهت تحلیل و مانیتورینگ پیشرفته 🔶 با اجرای این راهکارها، می‌توان امنیت زیرساخت شبکه را به طور چشمگیری ارتقاء داد و از بروز رخدادهای مشابه در آینده جلوگیری کرد. #مرکز_هوش_تهدیدات_سایبری #مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری #مرکز_ملی‌_فضای_مجازی 🔗 https://ble.ir/CyberIR 🌐 https://cysp.ut.ac.ir 🌐 https://cysp.ir/links 🆔 @ut_cyber

🔴 هشدار: VPN فروش‌ها زیر ضرب دستگاه‌های اطلاعاتی 🔶 در شرایطی که کشور با تهدیدات ترکیبی و جنگ در حوزه‌های مختلف از جمله فضای سایبری مواجه است، حفظ امنیت زیرساخت‌های ارتباطی و اطلاعاتی به یکی از اولویت‌های اساسی تبدیل شده است. در این میان، برخی فعالیت‌ها که در شرایط عادی ممکن است صرفاً در قالب یک تخلف یا فعالیت غیرقانونی تلقی شوند، در شرایط جنگی می‌توانند تبعات امنیتی جدی‌تری به همراه داشته باشند. 🔶 یکی از این موارد، فعالیت شبکه‌های فروش و توزیع VPNهای غیرمجاز است. بسیاری از این سرویس‌ها خارج از هرگونه چارچوب نظارتی فعالیت می‌کنند و مسیر ارتباطات کاربران را از بسترهایی عبور می‌دهند که مالکیت، مدیریت و سطح امنیت آن‌ها مشخص نیست. در چنین شرایطی، این زیرساخت‌ها می‌توانند به ابزاری برای جمع‌آوری داده، شنود ارتباطات، یا اجرای عملیات اطلاعاتی و سایبری توسط سرویس‌های بیگانه تبدیل شوند. 🔶 بر همین اساس، دستگاه‌های اطلاعاتی و امنیتی کشور در حال رصد و شناسایی شبکه‌های فعال در حوزه فروش VPNهای غیرمجاز هستند و برخورد قانونی با این فعالیت‌ها در دستور کار قرار دارد. لازم به تأکید است که در شرایط جنگی، تداوم چنین فعالیت‌هایی می‌تواند مصداق اخلال در امنیت سایبری کشور تلقی شده و پیامدهای حقوقی و قضایی سنگینی برای عاملان آن به همراه داشته باشد. 🔶 از سوی دیگر، به کاربران نیز توصیه می‌شود نسبت به مخاطرات استفاده از سرویس‌های ناشناس و غیرقابل اعتماد آگاه باشند. استفاده از این ابزارها علاوه بر افزایش احتمال سرقت اطلاعات شخصی، می‌تواند کاربران را در معرض تهدیدات امنیتی گسترده‌تری قرار دهد. 🔶 امنیت سایبری در شرایط کنونی صرفاً یک موضوع فنی نیست، بلکه بخشی جدایی‌ناپذیر از امنیت ملی به شمار می‌رود. رعایت الزامات امنیتی در استفاده از ابزارهای ارتباطی و پرهیز از فعالیت‌های پرخطر، می‌تواند نقش مهمی در کاهش آسیب‌پذیری‌ها و تقویت امنیت عمومی در فضای سایبری کشور ایفا کند. #مرکز_هوش_تهدیدات_سایبری #مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری #مرکز_ملی‌_فضای_مجازی 🔗 https://ble.ir/CyberIR 🌐 https://cysp.ut.ac.ir 🌐 https://cysp.ir/links 🆔 @ut_cyber

✡️ هوش مصنوعی و رژیم صهیونیستی 🚀 قسمت چهارم: کارخانه آتش (Fire Factory) و مدیریت لجستیک جنگ 🔹بخش مهمی از جنگ مدرن به تأمین مهمات و مدیریت حملات مربوط می‌شود که سیستم «کارخانه آتش» یا Fire Factory آن را هوشمند کرده است. ♦️این سیستم هوش مصنوعی به طور خاص برای محاسبه و برنامه‌ریزی حملات هوایی طراحی شده است. وقتی اهدافی توسط سیستم‌هایی مثل Gospel مشخص می‌شوند، Fire Factory وارد عمل می‌شود تا تعیین کند کدام سلاح، با چه مقدار بار انفجاری و توسط چه پهپادی/ جنگده‌ای باید به آن هدف حمله شود. این سیستم همچنین هزینه و لجستیک حملات را بهینه می‌سازد. 🔸این ابزار باعث می‌شود که چرخه «شناسایی و انهدام» با سرعتی باورنکردنی طی شود. به جای اینکه تحلیلگران ساعت‌ها وقت صرف برنامه‌ریزی برای یک حمله کنند، هوش مصنوعی در چند دقیقه یک طرح کامل را ارائه می‌دهد. این خودکارسازی باعث شده است که حجم آتش و تخریب در جنگ‌های اخیر به شدت بالا برود. Fire Factory نشان می‌دهد که هوش مصنوعی چگونه جنگ را به یک فرآیند صنعتی و کارخانه‌ای تبدیل کرده است، در آن تصمیمات حیاتی با محاسبات ریاضی سرد و بی‌روح گرفته می‌شوند در اکثر مواقع بدون دخالت انسانی. ✍️ محمدجواد خدمتی یاوند 🌐 https://cysp.ut.ac.ir 🌐 https://cysp.ir/links 🆔 @ut_cyber

✡️ هوش مصنوعی و رژیم صهیونیستی 🚀 قسمت پنجم: بابا کجاست؟ (?Where’s Daddy) و شکار لحظه بازگشت 🔹یکی از ترسناک‌ترین تاکتیک‌های مورد استفاده ارتش اسرائیل، سیستمی است که با نام مستعار «بابا کجاست؟» یا ?Where’s Daddy شناخته می‌شود. ♦️این روش بر اساس تحلیل داده‌ها با هوش مصنوعی است که رفتار اهداف را رصد می‌کند. هدف اصلی این سیستم، شناسایی لحظه‌ای است که یک فرد هدف (مثلاً یک فرمانده نظامی) به خانه خود بازمی‌گردد. استراتژی این سیستم بر این اساس است که زمانی که هدف وارد خانه می‌شود و در کنار خانواده خود است، حمله انجام شود. به این صورت که وقتی هدف وارد خانه خود می‌شود از طریق ارتباط تلفنی یا شبکه‌ای که اعضای خانواده با هم دارند از محل شخص مطلع‌ می‌شوند این شبکه اطلاعاتی شامل اعضای درجه یک فرد هدف و گاها تا ۲ الی۳ حلقه بعدی ارتباطات افراد نیز هست مثلا مادربزرگ هدف، مادرخانم هدف، پسرخاله/عمو هدف و ... که از طریق ارتباط آنها می‌توانند تحرکات فرد هدف را بررسی کنند و هنگامی که در خانه خود یا یکی از حلقه‌های ارتباطی قرار دارد عملیات را انجام دهند (نمونه آن شهید ایزدی، شهید باقری، شهدای هسته‌ای). 🔸این رویکرد غیراخلاقی و غیرانسانی، توجیه نظامی خاصی دارد: آن‌ها می‌خواهند مطمئن شوند که هدف در خانه است و همچنین تلاش می‌کنند با فشار آوردن روانی از نوع نگرانی و دلتنگی به خانواده‌ها، آن‌ها را وادار به همکاری کنند. اما نتیجه این روش، کشته شدن تعداد زیادی از زنان و کودکان است که در لحظه حمله در کنار هدف حضور دارند. ✍️ محمدجواد خدمتی یاوند 🌐 https://cysp.ut.ac.ir 🌐 https://cysp.ir/links 🆔 @ut_cyber

امنیت و پایداری شبکه صنعتی — سطح‌بندی Purdue 🔐 شبکه صنعتی شما چقدر در برابر حملات سایبری مقاوم است؟ در زیرساخت‌های صنعتی، یک ضعف کوچک می‌تواند به توقف کامل تولید، آسیب به تجهیزات یا حتی حادثه ایمنی منجر شود. در ادامه، الزامات امنیتی و پایداری شبکه صنعتی را بر اساس مدل Purdue مرور می‌کنیم. 🌐 اقدامات مشترک همه لایه‌ها ✅ پشتیبان‌گیری/Backup آفلاین از PLC، SCADA و تنظیمات شبکه در محل امن ✅ تست دوره‌ای سناریوی بحران: قطع IT، حمله سایبری، خرابی SCADA ✅ مستندسازی کامل توپولوژی شبکه، IPها و ارتباطات ✅ بازبینی و حذف دسترسی‌های غیرضروری در همه لایه‌ها #مرکز_امن‌سازی_سایبری #مرکز_آموزش_و_نوآوری_سایبری #مرکز_هوش_تهدیدات_سایبری #مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری #مرکز_ملی‌_فضای_مجازی 🔗 https://ble.ir/CyberIR 🌐 https://cysp.ut.ac.ir 🌐 https://cysp.ir/links 🆔 @ut_cyber

⚙️ سطح ۰ و ۱ — سنسورها و عملگرها این لایه، قلب فرایند است. هر اختلال در آن مستقیماً به عملیات آسیب می‌زند. 🔴 اسکن فعال شبکه در این لایه کاملاً ممنوع است — فقط پایش غیرفعال (Passive Monitoring) از نقاط تأییدشده مجاز است. 🔴 ایزوله‌سازی کامل (Air-Gap) الزامی است — ارتباط با لایه‌های بالاتر فقط از طریق PLC، RTU یا کنترلرهای اختصاصی. 🔴 کنترل دستی (Manual Override) برای تجهیزات حیاتی باید فعال و تست‌شده باشد. 🔴 وضعیت امن عملیاتی (Fail-Safe State) برای هر تجهیز حیاتی تعریف، مستند و آزمون شود. 🔴 هرگونه تغییر در Setpoint، Firmware یا منطق کنترلی فقط با مجوز اضطراری مصوب و ثبت کامل رویداد. 🔴 دسترسی فیزیکی به تابلوها، پنل‌ها و پورت‌های ارتباطی محدود، قفل‌گذاری و پلمب باشد. 🔴 سیگنال‌های حیاتی از نظر صحت، دامنه و سازگاری با فرایند واقعی تحت کنترل مستمر باشند. 🔴 مسیرهای Trip / Interlock / Permissive حیاتی باید سخت‌سیمی و مستقل از HMI/SCADA باقی بمانند. #مرکز_امن‌سازی_سایبری #مرکز_آموزش_و_نوآوری_سایبری #مرکز_هوش_تهدیدات_سایبری #مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری #مرکز_ملی‌_فضای_مجازی 🔗 https://ble.ir/CyberIR 🌐 https://cysp.ut.ac.ir 🌐 https://cysp.ir/links 🆔 @ut_cyber

🖥 سطح ۲ — PLC / HMI / SCADA لایه کنترل. باید در صورت قطع ارتباط، به‌تنهایی ایمن عمل کند. 🟠 کنترلر PLC باید در صورت قطع SCADA، منطق کنترلی و Interlockها را به‌صورت مستقل ادامه دهد. 🟠 ارتباطات بر اساس Allowlist تعریف شوند — فقط IP، Port، Protocol و Direction مجاز. 🟠 برای PLCهای بحرانی، کابینت یا رک شیلددار تعریف شود. 🟠 پورت‌های USB و CD/DVD روی HMI و سیستم‌های مهندسی غیرفعال یا محدود شوند. 🟠 لاگ‌ها روی خود HMI و SCADA ذخیره شوند — بدون وابستگی به سرور مرکزی. 🟠 هر خط تولید یک HMI مستقل داشته باشد. 🟠 همگام‌سازی زمان از طریق NTP محلی — استفاده از منابع اینترنتی ممنوع. 🟠 انجماد منطقی/ Logic Freeze: تغییرات اضطراری فقط با مجوز مشخص، ثبت کامل و امکان Rollback. 🟠 آخرین نسخه سالم PLC Logic، HMI/SCADA Project و Configها به‌صورت آفلاین نگهداری و Restore آن آزمون شده باشد. 🟠 روی تابلوهای میدانی و Junction Boxهای بحرانی، Tamper Switch و Door-Open Event فعال باشد. #مرکز_امن‌سازی_سایبری #مرکز_آموزش_و_نوآوری_سایبری #مرکز_هوش_تهدیدات_سایبری #مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری #مرکز_ملی‌_فضای_مجازی 🔗 https://ble.ir/CyberIR 🌐 https://cysp.ut.ac.ir 🌐 https://cysp.ir/links 🆔 @ut_cyber

🏭 سطح ۳ — عملیات سایت / MES لایه مدیریت تولید. نقطه تماس OT با دنیای بیرون — باید با دقت بیشتری کنترل شود. 🟡 هیچ ارتباط مستقیمی با IT مجاز نیست — تبادل داده فقط از طریق Industrial DMZ. 🟡 تمام دسترسی‌های ریموت فقط از طریق Jump Server. 🟡 مکانیزم Store-and-Forward برای MES و Historian فعال باشد تا داده‌ها در قطعی ارتباط از دست نروند. 🟡 دی.ام.زد. صنعتی/Industrial DMZ با دو فایروال مجزا به‌صورت Back-to-Back پیاده‌سازی شود. 🟡 فقط سرویس‌های ضروری (Historian، Remote Access، Patch Server) فعال باشند. 🟡 امکان قطع سریع DMZ از IT در زمان بحران فراهم باشد. 🟡 ورود به حالت PROGRAM روی کنترلر فقط با کلید فیزیکی، حضور محلی و ثبت رویداد. 🟡 پشتیبان/Backup آفلاین از MES، Historian، Scriptها و پایگاه‌های داده — با آزمون بازیابی. 🟡 حساب‌های پیش‌فرض و مشترک حذف یا غیرفعال شوند. 🟡 در صورت از دسترس خارج شدن MES، ادامه تولید به‌صورت محلی و کنترل‌شده ممکن باشد. 🟡 موارد Secure Boot، Firmware Authenticity و Trusted Boot Chain در تجهیزات پشتیبانی‌کننده فعال شوند. #مرکز_امن‌سازی_سایبری #مرکز_آموزش_و_نوآوری_سایبری #مرکز_هوش_تهدیدات_سایبری #مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری #مرکز_ملی‌_فضای_مجازی 🔗 https://ble.ir/CyberIR 🌐 https://cysp.ut.ac.ir 🌐 https://cysp.ir/links 🆔 @ut_cyber

💼 سطح ۴ و ۵ — IT / Enterprise / Cloud 🔵 جداسازی کامل از OT — هیچ دسترسی مستقیمی به PLC یا SCADA. 🔵 ام. اف. ای/ MFA برای هرنوع دسترسی به سیستم‌های حیاتی الزامی است. 🔵 هیچ Patch امنیتی بدون تست در محیط OT اعمال نشود. 🔵 تمام دسترسی‌ها به OT ثبت، مانیتور و در صورت امکان Session Recording شوند. #مرکز_امن‌سازی_سایبری #مرکز_آموزش_و_نوآوری_سایبری #مرکز_هوش_تهدیدات_سایبری #مرکز_فرماندهی‌_عملیات‌_امنیت_سایبری #مرکز_ملی‌_فضای_مجازی 🔗 https://ble.ir/CyberIR 🌐 https://cysp.ut.ac.ir 🌐 https://cysp.ir/links 🆔 @ut_cyber

✡️ هوش مصنوعی و رژیم صهیونیستی 🚀 قسمت ششم: پالانتیر (Palantir)؛ مغز متفکر داده‌ها 🔹شرکت آمریکایی پالانتیر (Palantir) نقش کلیدی در ارائه زیرساخت نرم‌افزاری برای ارتش اسرائیل ایفا می‌کند. ♦️این پلتفرم به عنوان یک سیستم یکپارچه عمل می‌کند که داده‌های مختلف را از منابع گوناگون جمع‌آوری و تجمیع می‌کند. پالانتیر اطلاعات حاصل از پهپادها، سنسورها، مخابرات و منابع اطلاعاتی را روی یک نقشه دیجیتال واحد قرار می‌دهد تا فرماندهان تصویر کاملی از میدان جنگ داشته باشند. این سیستم به ارتش اجازه می‌دهد تا ارتباطات را ردیابی و الگوهای شبکه‌های مقاومت را تحلیل کند. 🔸همکاری پالانتیر با ارتش اسرائیل بسیار عمیق است و این شرکت نرم‌افزارهای خود را برای استفاده در جنگ‌های شهری و شناسایی اهداف بهینه کرده است. قدرت اصلی پالانتیر در توانایی آن برای پردازش داده‌های بزرگ (شامل حسگر‌های سگنالی، تماس‌ها و پیام‌ها، تمامی اسناد و مدارک رسمی و غیر رسمی شخص مانند ثبت احوال، ملک‌ و ماشین و... ، داده‌های بیولوژیکی، داده‌های تصویری و به طور کلی تمام داده‌های ساختاریافته و غیر ساختاریافته) و پیدا کردن ارتباطات پنهان بین افراد و رویدادها نهفته است. این ابزار باعث می‌شود که تصمیم‌گیری نظامی بر اساس یک تصویر جامع از داده‌ها انجام شود. 🔹پالانتیر نمونه‌ای از همکاری صنعت فناوری غرب با ماشین جنگی اسرائیل است. که دیتاسنترهای این شرکت آمریکایی در کشورهای حاشیه خلیج فارس و همچنین حیفا و تل‌آویو در سرزمین‌های اشغالی هست. ✍️ محمدجواد خدمتی یاوند 🌐 https://cysp.ut.ac.ir 🌐 https://cysp.ir/links 🆔 @ut_cyber

🏴 ️ بعثت خون؛ شعار محوری اربعین شهادت رهبر انقلاب اسلامی 👈 عبارت «بعثت خون» به عنوان شعار محوری اربعین شهادت آقاجان ملّت ایران، رهبر عزیز و معظّم و شهید انقلاب اسلامی حضرت آیت‌الله العظمی امام سیّدعلی حسینی خامنه‌ای قدّس‌الله‌نفسه‌الزّکیه معرفی شد. ▪️ آحاد ملت و جریان‌های فرهنگی، هنری و رسانه‌ای می‌توانند از نشان «بعثت خون» در محصولات تبلیغی، تبیینی، ترویجی خود که به مناسبت اربعین رهبر شهید انقلاب اسلامی تولید و چاپ و منتشر می‌کنند، استفاده نمایند. 📝 رهبر شهید انقلاب اسلامی، کمتر از یک ماه پیش از شهادت خود فرمودند: چنانچه حادثه‌ای برای کشور پیش بیاید، خدای متعال این مردم را مبعوث خواهد کرد برای مقابله‌ی با حوادث، و کار را مردم تمام خواهند کرد. 📝از کاربران عزیز شبکه‌های اجتماعی نیز دعوت می‌شود تا ذیل مطالبشان درباره اربعین آقاجان شهیدمان از هشتگ #بعثت_خون استفاده کنند. 📥 دریافت نسخه باکیفیت | PDF | PNG 🖥 Farsi.khamenei.ir