بر اساس گزارش‌های منتشر شده، وزارت خزانه‌داری ایالات متحده بهروز پاسارداد (با نام‌های مستعار بهروز پائین‌شهری و بهروز پارسا)، شهروند ایرانی را به دلیل مدیریت بازار دارک وب «نمسیس» تحریم کرده است. طبق اطلاعات منتشر شده، پاسارداد متولد ۲ جولای ۱۹۸۸ و ساکن تهران - خیابان توحید، خیابان شهید بختیاری، بهار، پلاک ۸، شماره ۱۸ است.

این بازار دارک وب که در سال ۲۰۲۴ توسط عملیات مشترک نیروهای امنیتی آمریکا، آلمان و لیتوانی مسدود شد، بستری برای فروش مواد مخدر، خدمات هک و اسناد جعلی بوده است. طبق اعلام خزانه‌داری آمریکا، پاسارداد مدیر اصلی و تنها گرداننده این بازار بوده که بیش از ۳۰،۰۰۰ کاربر فعال و ۱،۰۰۰ فروشنده داشته و در فاصله سال‌های ۲۰۲۱ تا ۲۰۲۴ نزدیک به ۳۰ میلیون دلار مواد مخدر از جمله فنتانیل در سراسر جهان به فروش رسانده است.

پاسارداد از طریق ایمیل‌های متعددی از جمله hernes[at]tutanota[dot]com، m3vda[at]protonmail[dot]com، lazyyytrader[at]gmail[dot]com و چند آدرس ایمیل دیگر، و همچنین شماره‌های تلفن 989190900020، 989330219108 و 989334445690 با مشتریان و فروشندگان در ارتباط بوده است. شماره پاسپورت او M56769976 ذکر شده است. این تحریم‌ها شامل شناسایی ۴۹ آدرس ارز دیجیتال متعلق به پاسارداد می‌شود که برای پولشویی و ذخیره درآمدهای حاصل از فعالیت‌های غیرقانونی استفاده می‌شده است.

مقامات آمریکایی اعلام کرده‌اند که پاسارداد از طریق اخذ کارمزد از تراکنش‌های صورت گرفته در بازار نمسیس، میلیون‌ها دلار درآمد کسب کرده و همچنین در پولشویی ارزهای دیجیتال برای قاچاقچیان مواد مخدر و مجرمان سایبری فعال بوده است. پس از مسدود شدن این پلتفرم در مارس ۲۰۲۴، بر اساس گزارش‌ها، پاسارداد در تلاش برای راه‌اندازی بازار دارک وب جدیدی با همکاری فروشندگان سابق نمسیس بوده است.

این تحریم‌ها بر اساس فرمان اجرایی ۱۴۰۵۹ صورت گرفته که گسترش‌دهندگان مواد مخدر و ابزارهای تولید آن‌ها را هدف قرار می‌دهد. اقدام دیروز، اولین عملیات دفتر کنترل دارایی‌های خارجی (OFAC) وزارت خزانه‌داری آمریکا به عنوان عضوی از تیم مشترک مبارزه با مواد مخدر و دارک وب (JCODE) به رهبری اف‌بی‌آی است.

https://home.treasury.gov/news/press-releases/sb0040
@NarimanGharib

بر اساس گزارش منتشر شده، یک حمله سایبری با منشأ ایرانی به شبکه درمانگاهی Bikuropa اسراییل صورت گرفته است. این شبکه درمانگاهی خدمات خود را به بیمه‌های سلامت و همچنین ارتش اسرائیل (IDF) ارائه می‌دهد و سربازان برای درخواست مرخصی استعلاجی از جمله به این مراکز مراجعه می‌کنند.

اداره ملی سایبری اسرائیل و تیم امنیت اطلاعات شبکه بیکوروپا در حال بررسی این حادثه هستند که در اوایل این هفته رخ داده است. آنها در حال بررسی احتمال نشت اطلاعات و ماهیت آن هستند، اما در این مرحله برای تعیین دقیق وضعیت خیلی زود است. با این حال، تمامی طرف‌ها از جمله وزارت بهداشت اسرائیل خود را برای هر سناریویی آماده می‌کنند.

شرکت Bikrofa اعلام کرده است: «در اوایل این هفته، شرکت نشانه‌هایی از یک حادثه سایبری که توسط مهاجمان ایرانی انجام شده بود را شناسایی کرد. این کشف در مرحله اولیه انجام شد. شرکت بلافاصله اقدامات مهارکننده از جمله قطع پیشگیرانه شبکه سازمانی را برای کاهش خطرات و حفظ امنیت اطلاعات انجام داد. تاکنون هیچ نشانه‌ای از نشت اطلاعات محرمانه یا مهم کشف نشده است.»

شبکه کلینیک‌های بیکوروپا سالانه به بیش از یک میلیون بیمار خدمات ارائه می‌دهد و همچنین با ارتش اسرائیل همکاری می‌کند.

@NarimanGharib
https://www.ynet.co.il/health/article/sksvprdoke

اگر در چند روز گذشته چنین پیامی دریافت کرده‌اید، این اقدام از سوی هکرهای سپاه پاسداران انجام شده است. آنها با استفاده از آدرس جدید (hxxps://spam-telegram[.]org) سعی دارند حساب تلگرام فعالان حقوق بشر و روزنامه‌نگاران را هک کنند. در لینک زیر، نحوه عملکرد این حمله فیشینگ را به‌طور خلاصه توضیح داده‌ام:

https://TelegramAware.com/

@NarimanGharib

اگر در چند روز اخیر ایمیلی دریافت کردید که حاوی یک فایل PDF پیوست شده بود و مشابه تصویر نمونه به نظر می‌رسید، باید احتیاط کنید. کلیک روی آیکون گوگل درایو داخل این فایل، شما را به یک سایت فیشینگ هدایت می‌کند که توسط هکرهای وابسته به جمهوری اسلامی برای سرقت اطلاعات حساب جیمیل طراحی شده است. در ادامه، شاخص‌های مرتبط با این حمله (IoCs) را منتشر کرده‌ام:

hjrd49gj40s32ttu597f9q7udoi49dh29ahqifaaws8u22q[.]site
drives[.]googles[.]com-id-sddsdssd[.]fu58di30d8u8u2t976kg90i4fuj48duy7398wa73ahfd398a3suhyu456eh2q[.]site
hjrd49gj4dh54sj28917eryfg8ajudoi49dh29ahqifaaws8u22q[.]site
drives[.]googles[.]com[.]hjrd49gj4dh54sj28917eryfg8ajudoi49dh29ahqifaaws8u22q[.]site
accent-going-session[.]bond
cheking-panel[.]site
cheking-panel-step[.]site
human-queer-write[.]cyou
forward-goal-inner[.]digital
join-room-host[.]site

@NarimanGharib

از ژانویه امسال، گروه هکری دارک‌بیت (Storm-1084)، که توسط حسین فرد سیاهپوش، معروف به پارسا صرافیان از آوای هوشمند راوین (آکادمی راوین) در ایران هدایت می‌شود، چندین حمله سایبری علیه کالج میوْخار (Mivchar College)، یک مؤسسه آموزش عالی در اسرائیل، انجام داده است. در حال حاضر، اطلاعات و شاخص‌های مرتبط با این حملات (IoCs) میان شرکت‌های فناوری در حال تبادل است.

کالج میوْخار در سال ۲۰۰۰ توسط دکتر خاخام آبراهام فورس تأسیس شد. این مؤسسه با همکاری دانشگاه‌های برجسته‌ای مانند دانشگاه حیفا، مؤسسه فناوری تخنیون، و کالج فناوری اورشلیم (JCT)، برنامه‌های دانشگاهی متنوعی از جمله مددکاری اجتماعی، نقشه‌برداری و اطلاعات جغرافیایی، و علوم کامپیوتر ارائه می‌دهد.

-594c32f87323aafe857b72feb54639ea8ee1b12ab2bc8a52964911805cf93fb5
-b29b46e8ce76f8d8065455c205c82184a30f1fe0f2e8e2e224add2b02f2b4019
-3e6857907931eacc843a593d8fddccbb7660b0cc253b78e163cb3e854df72a89
-5b0f412e997b8826e06daee46b8778a97ffa40f4a2327d321e19744503ac73b5
-a5eb836e76c00b610509f4e8a18bd3bd7efe3db33b2711be5838c9fa455a05be

@NarimanGharib

حمله سایبری گسترده به شبکه ارتباطی ناوگان دریایی ایران

🔴 شب گذشته، گروه «لب‌دوختگان» موفق شد شبکه ارتباطی دو شرکت کشتیرانی بزرگ ایران را که تحت تحریم‌های آمریکا، بریتانیا و اتحادیه اروپا قرار دارند، فلج کند. در این عملیات، ارتباطات ۱۱۶ کشتی متعلق به شرکت ملی نفت‌کش ایران (NITC) و شرکت کشتیرانی جمهوری اسلامی ایران (IRISL) مورد هدف قرار گرفت. این شرکت‌ها در ارسال محموله‌های تسلیحاتی به حوثی‌های یمن نقش دارند.

📡 در نتیجه این حمله، از بامداد امروز پرسنل این کشتی‌ها قادر به ارتباط با یکدیگر نبوده و اتصال آنها با بنادر و جهان خارج قطع شده است. پیش‌بینی می‌شود که بازگرداندن کامل این ارتباطات چندین هفته زمان ببرد و در حال حاضر تنها برخی روش‌های محدود ارتباطی در دسترس باشد.

بررسی‌های فنی نشان می‌دهد که هکرها توانسته‌اند به سامانه‌های ارتباط ماهواره‌ای این شرکت‌ها نفوذ کنند و با دسترسی به سرورهای آنها، از طریق اجرای دستورات مخرب، ذخیره‌سازهای اطلاعات را از کار بیندازند و اطلاعات را نابود کنند. این عملیات یکی از بزرگ‌ترین حملات سایبری علیه زیرساخت‌های دریایی ایران محسوب می‌شود.

@NarimanGharib

پس از این حمله سایبری، گروه لب‌دوختگان اطلاعات ویژه‌ای را در اختیار خبرنگاران و محققان امنیتی قرار داده است. می‌توانید فهرست کشتی‌های ایرانی را که در حال حاضر با اختلال در ارتباطات ماهواره‌ای مواجه شده‌اند، را اینجا برای اولین بار مشاهده کنید.

@NarimanGharib

هم‌میهنان گرامی و دوستان عزیز،

سال پرفرازونشیبی را پشت سر گذاشتید؛ سالی که در ادامهٔ چالش‌های چندین ساله، همچنان برای کسب حقوقتان جنگیدید و حتی زندان را به جان خریدید. معلمان، کارگران و بازنشستگان در کوچه‌پس‌کوچه‌های ایران تلاش کردند صدای خود را به گوش حاکمان برسانند: این‌که سوریه، یمن و حزب‌الله اولویت ندارد، بلکه مردم ایران مقدم‌اند. در این سال، بسیاری از همراهان توییتری، سیاسی و عاشقان میهن را از دست دادیم. اما اکنون از شمال تا جنوب و از شرق تا غرب کشور، خواسته‌ای مشترک در میان مردم شکل گرفته است: سرنگونی رژیم جمهوری اسلامی، چرا که برای بسیاری، کارد به استخوان رسیده است.

وقتی در برابر زن و فرزندمان مجبوریم سر را پایین بیندازیم یا زمانی که کودکمان از ما لباس یا دوچرخهٔ نو می‌خواهد و ما از تأمین آن ناتوانیم، دیگر این چه زندگی‌ای است؟ چهار دهه است که بر همهٔ ما زور گفته‌اند، و اکنون هرکسی در هر گوشهٔ جهان تلاش می‌کند، با هر نفوذ و قدرتی که دارد، یک: صدای مردم ایران باشد و دو: در راه سرنگونی این رژیم یاری برساند. اگر کسی غیر از این عمل می‌کند و به بحث و حاشیه می‌پردازد، قلبش با وطن نیست.

از صمیم قلب، فرارسیدن نوروز و سال نو را به همهٔ شما شادباش می‌گویم و سپاسگزارم که با وجود محدودیت‌ها همچنان در این کانال تلگرام حضور دارید.

پیروز و سربلند باشید
نریمان غریب

گزارش جدیدی در مورد تهدیدات سایبری جمهوری اسلامی در ThreatBook منتشر شده. گروه APT34 (تحت حمایت جمهوری اسلامی) کمپین جدیدی را علیه نهادهای دولتی عراق راه انداخته است.

این گروه از سال ۲۰۱۲ فعال بوده و عمدتاً در خاورمیانه با استفاده از حملات فیشینگ هدفمند، به جمع‌آوری اطلاعات با ارزش و کنترل از راه دور سیستم‌ها می‌پردازد. صنایع مورد هدف آنها شامل دولت، انرژی، مالی، مخابرات، هوانوردی، دفاع ملی، آموزش و صنایع شیمیایی است.

آنها از فایل‌های PDF حاوی بدافزار که به عنوان فایل‌های مرتبط با حقوق و دستمزد است، برای فریب قربانیان استفاده می‌کنند. وقتی فایل اجرا می‌شود، یک بکدور نصب می‌شود که قادر به جمع‌آوری اطلاعات سیستم، اجرای دستورات از راه دور، آپلود و دانلود فایل‌ها و ایجاد پایداری در سیستم از طریق رجیستری است.

برای مخفی ماندن، این گروه هم از پروتکل HTTP و هم از ارتباطات ایمیلی با استفاده از صندوق‌های پستی دولتی هک‌شده عراقی استفاده می‌کند. همچنین سرورهای C2 خود را در کشورهای اروپایی مستقر کرده و صفحات ۴۰۴ جعلی برای پنهان کردن فعالیت‌های خود ایجاد می‌کنند.

برای اطلاعات بیشتر می‌توانید گزارش کامل را در لینک‌های زیر مطالعه کنید:
https://threatbook.io/blog/id/1101
https://threatbook.io/ip/89.46.233.239

#APT34 #OilRig

@NarimanGharib

🚨 Major Data Breach at Iran's Largest Mobile Operator (MCI) Exposes 30 Million Customers' Personal Information

هک اطلاعات ۳۰ میلیون مشترک در بزرگترین اپراتور تلفن همراه ایران (همراه اول) 🚨

تحقیقات ما تأیید می‌کند که اطلاعات مشتریان شرکت ارتباطات سیار ایران (همراه اول) در یک حمله سایبری قابل توجه به خطر افتاده است. این نقض امنیتی حدود ۳۰ میلیون مشترک منحصر به فرد و ۶۱ میلیون شماره تلفن را تحت تأثیر قرار داده است.

از طریق ارتباط مستقیم با عاملان این حمله، ما صحت این نقض امنیتی را با درخواست و دریافت نمونه‌های داده خاص تأیید کرده‌ایم. پایگاه داده به خطر افتاده که بر روی فناوری Oracle اجرا می‌شود، اصلاً رمزگذاری نشده بود.

اطلاعات بیشتر در :
https://blog.narimangharib.com/posts/2025%2F04%2F1744661548227?lang=fa

#همراه_اول #نشت_داده #حمله_سایبری
@NarimanGharib

واکنش وزیر ارتباطات!!! به خبر هک شدن یکی از بزرگترین اپراتورهای موبایل کشور، یعنی همراه اول، مثل همیشه با پاسکاری و رفع مسئولیت همراه بود. هر نهاد مسئولیت را به دیگری واگذار می‌کند؛ افتا موضوع را به پدافند واگذار می‌کند، پدافند به قرارگاه مربوطه، قرارگاه به شورای عالی امنیت ملی و در نهایت همه سعی می‌کنند ماجرا را کم اهمیت جلوه دهند و می‌گویند پیگیری نکنید تا نهادهای امنیتی ناراحت نشوند.

@NarimanGharib

در روز ۱۴ مارس ۲۰۲۵، گروهی در تلگرام مدعی شدند که بیش از ۱۲ ترابایت داده حساس مشتریان بانک سپه و همچنین اطلاعات کامل مشتریان بانک‌های قوامین، انصار، مهر اقتصاد، حکمت، کوثر و ثامن را در اختیار دارند. در آن زمان، بسیاری از کارشناسان امنیت سایبری با بررسی نمونه‌های منتشرشده توسط این گروه، نسبت به صحت ادعای هک یک بانک تردید داشتند، چرا که ساختار داده‌ها به‌گونه‌ای نبود که به‌طور قطع بتوان وقوع یک نفوذ مستقیم به بانک را تأیید کرد.

با این حال، شب گذشته برای نخستین بار محمدامین آقامیری، رئیس مرکز ملی فضای مجازی، در یک برنامه تلویزیونی به‌طور رسمی اعلام کرد که اتفاق رخ‌داده نه هک بلکه سرقت داده بوده است. این اظهارنظر، نخستین تأیید رسمی از سوی یک مقام دولتی درباره وقوع نفوذ و لیک اطلاعات مشتریان بانک سپه محسوب می‌شود؛ موضوعی که پیش‌تر همواره توسط روابط عمومی بانک سپه رد شده بود.

با توجه به اینکه حالا برای اولین بار یک مقام رسمی وقوع سرقت داده و نشت اطلاعات مشتریان بانک سپه را تأیید کرده، این سؤال جدی مطرح است که آیا بانک سپه بالاخره به صورت شفاف به مشتریان خود اطلاع‌رسانی خواهد کرد یا مطابق رویه‌های همیشگی در جمهوری اسلامی، موضوع را کتمان و لاپوشانی می‌کنند؟ هنوز مشخص نیست آیا بانک سپه بیانیه‌ای منتشر خواهد کرد یا همچنان ترجیح می‌دهد سکوت کند و مسئولیتی به عهده نگیرد.

@NarimanGharib

ضربه‌ای دیگر از هکرهای آنانیموس!

این بار گروه Anonymous به شرکت «سپهر انرژی جهان‌نما پارس» نفوذ کرده و حدود ۷۰۰۰ ایمیل متعلق به این مجموعه که اخیراً توسط ایالات متحده تحریم شده است را در وب‌سایت simorgh[.]io منتشر کرده‌اند.

پیش از این نیز این گروه اطلاعات شرکت پوششی «تندر صحرا» (وابسته به وزارت دفاع) را افشا کرده بود.

اعضای این گروه همچنین با ارسال ایمیل‌هایی از دامنه رسمی شرکت به رسانه‌های خارجی و من، دسترسی خود به سامانه‌های این شرکت را تأیید کردند.

جالب اینجاست که مقامات رژیم تنها چند روز پیش از «دفع موفق حملات سایبری» خبر داده بودند، اما حالا یکی پس از دیگری حساس‌ترین سیستم‌های امنیتی‌شان در حال فروپاشی است.

@NarimanGharib