GoAnywhere MFT یک ابزار انتقال فایل مدیریت‌شده مبتنی بر وب است که به سازمان‌ها کمک می‌کند فایل‌ها را به‌ صورت امن به اشتراک بگذارند و گزارش‌های حسابرسی افرادی که به همه فایل‌های مشترک دسترسی داشته‌اند را نگه دارند.
آسیب‌پذیری دورزدن احراز هویت با شناسه CVE-2024-0204  و شدت 9.8 (بحرانی) در نرم‌افزار Fortra's GoAnywhere MFT شناسایی شده است که به مهاجمان اجازه می‌دهد تا از طریق پورتال مدیریت، کاربران جدیدی با سطح دسترسی مدیر، روی نسخه‌های آسیب‌پذیر ایجاد کنند.
بر اساس بردار حمله این آسیب‌پذیری ( CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) بهره‌برداری از طریق شبکه مجاور امکان‌پذیر نیست (AV:N)، نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز  نیست (AC:L)، مهاجم برای انجام حمله نیاز به حساب ‌کاربری با سطح دسترسی پایین و یا بالا ندارد (PR:N)، به تعامل با کاربر نیز نیاز ندارد (UI:N)، بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و با بهره‌برداری از این آسیب‌پذیری، هر سه ضلع امنیت با شدت زیادی تحت تأثیر قرار می‌گیرد.

محصولات تحت تأثیر
Fortra's GoAnywhere MFT نسخه‌های قبل از 7.4.1 نسبت به نقص امنیتی ذکرشده، آسیب‌پذیر هستند.

توصیه‌های امنیتی
جهت رفع آسیب‌پذیری مذکور، ابزار GoAnywhere MFT را به نسخه 7.4.1 یا بالاتر ارتقاء دهید.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-0204

آسیب‌پذیری با شناسه CVE-2023-31037 و شدت بالا (7.2) در برخی از محصولات NVIDIA امکان تزریق کد در  ipmitool را هنگام ارتباط با شبکه برای مهاجم با سطح دسترسی root فراهم می‌آورد. بهره‌برداری از این آسیب‌پذیری منجر به اجرای کد در سیستم‌عامل می‌شود و محرمانگی، یکپارچگی و دسترس‌پذیری دستگاه آسیب‌دیده را تحت تأثیر قرار می‌دهد.

محصولات تحت تأثیر
محصولات NVIDIA Bluefield 2 و Bluefield 3 DPU BMC نسخه‌های LTS:2.8.2-46، 23.04، 23.07 و 23.09 در معرض این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء NVIDIA Bluefield 2  و Bluefield 3 DPU BMC به نسخه‌های LTS: 2.8.2-51 و 23.10 اقدام نمایند.

منابع خبر:

[1] https://nvidia.custhelp.com/app/answers/detail/a_id/5511
[2] https://nvd.nist.gov/vuln/detail/CVE-2023-31037

محققان سایبری یک فعالیت مشکوک در چند روز گذشته کشف کرده‌اند که هزاران وب‌سایت دارای افزونه وردپرس Better Search Replace را مورد هدف قرار داده است. این افزونه دارای بیش از یک میلیون نصب فعال می‌باشد و هنگام انتقال وب‌سایت به دامنه یا سرور جدید به کاربران کمک می‌کند تا بتوان عملیات جستجو و جایگزینی در پایگاه‌های داده را انجام داد. سازنده این افزونه هفته گذشته نسخه 1.4.5 را منتشر کرد که در آن یک آسیب‌پذیری بحرانی PHP object injection با شناسه CVE-2023-6933 و شدت 9.8 برطرف شده است. این نقص امنیتی به دلیل deserialize شدن ورودی غیر قابل اطمینان به وجود می‌آید و به مهاجمان کمک می‌کند تا یک PHP object را به وب‌سایت مورد نظر تزریق نمایند. بهره‌برداری موفق از این آسیب‌پذیری در نهایت منجر به اجرای کد از راه دور، دسترسی به داده‌های حساس، تغییر و حذف فایل‌ها و منع دسترسی به منابع خواهد شد.

محصولات تحت تأثیر
این نقص امنیتی تمام نسخه‌های افزونه وردپرس Better Search Replace تا 1.4.4 را تحت تأثیر قرار می‌دهد. 

توصیه‌های امنیتی
آسیب‌پذیری مذکور در نسخه 1.4.5 برطرف شده است و توصیه می‌شود در اسرع وقت نسبت به نصب آن اقدام نمایید.

منابع خبر:

https://securityonline.info/over-a-million-sites-at-risk-hackers-are-exploiting-cve-2023-6933-flaw-…
https://www.bleepingcomputer.com/news/security/hackers-target-wordpress-database-plugin-active-on-1…

یک آسیب‌پذیری با شناسه CVE-2023-49657 و شدت بحرانی 9.6 در Apache Superset کشف شد که امکان حمله Stored XSS را برای مهاجم احراز هویت شده فراهم می‌آورد. در این آسیب‌پذیری مهاجم می‌تواند با استفاده از مجوزهای ایجاد/به‌روزرسانی در عنوان داشبورد (Dashboard Title) و عنوان نمودار(Chart Title) یک کد اسکریپت یا یک قطعه کد HTML خاص را برای اجرای Stored XSS اضافه کند.

محصولات تحت تأثیر
این آسیب‌پذیری محصول Apache Superset نسخه‌های قبل از 3.0.3 را تحت تأثیر قرار می‌دهد. 

توصیه‌های امنیتی
به کاربران توصیه می‌شود برای نسخه‌های 2.X، پیکربندی خود را به‌صورت زیر تغییر دهند:

TALISMAN_CONFIG = {
    "content_security_policy": {
        "base-uri": ["'self'"],
        "default-src": ["'self'"],
        "img-src": ["'self'", "blob:", "data:"],
        "worker-src": ["'self'", "blob:"],
        "connect-src": [
            "'self'",
            " https://api.mapbox.com" https://api.mapbox.com" ;,
            " https://events.mapbox.com" https://events.mapbox.com" ;,
        ],
        "object-src": "'none'",
        "style-src": [
            "'self'",
            "'unsafe-inline'",
        ],
        "script-src": ["'self'", "'strict-dynamic'"],
    },
    "content_security_policy_nonce_in": ["script-src"],
    "force_https": False,
    "session_cookie_secure": False,
}

منبع خبر:

https://lists.apache.org/thread/wjyvz8om9nwd396lh0bt156mtwjxpsvx

یک آسیب‌پذیری با شناسه  CVE-2024-0587 و شدت 6.1 (متوسط) برای افزونه AMP for WP کشف شده  که این افزونه به طور خودکار قابلیت Accelerated Mobile Pages  را به سایت وردپرس اضافه می‌کند و وب سایت شما را برای بازدیدکنندگان موبایل سریع‌تر می‌کند. این افزونه از طریق پارامتر «disqus_name» در معرض آسیب‌پذیری Reflected Cross-Site Scripting (XSS) قرار دارد. این آسیب‌پذیری ناشی از پاکسازی ناکافی ورودی و خروجی در فایل جاوا اسکریپت می‌باشد. در نتیجه، مهاجمان احرازهویت نشده می‌توانند اسکریپت‌های وب دلخواه را به صفحات تزریق‌کنند. استفاده از این نقص مستلزم فریب کاربر جهت انجام اقداماتی مانند کلیک‌کردن بر روی یک پیوند دستکاری شده‌است.
بر اساس بردار حمله این آسیب‌پذیری(CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N) بهره‌برداری از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N)، نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌راحتی قابل تکرار است و چندان به شرایط خاصی نیاز  نیست (AC:L)، مهاجم برای انجام حمله نیاز به حساب‌کاربری با سطح دسترسی بالا ندارد (PR:N) اما به تعامل با کاربر نیز نیاز دارد (UI:R)، بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر می‌گذارد (S:C) و دو ضلع از سه ضلع امنیت با شدت پایینی تحت تأثیر قرار می‌گیرند (C:L/I:L/A:N).

محصولات تحت تأثیر
نسخه‌ 1.0.92.1 و نسخه‌های قبل از آن در برابر نقص‌ امنیتی مذکور، آسیب‌پذیر هستند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود در اسرع وقت افزونه خود را به نسخه 1.0.93یا نسخه‌های وصله شده به‌روزرسانی کنند.

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2024-0587 

محققان امنیتی اخیراً یک آسیب‌پذیری با شناسه‌ CVE-2024-0717 و شدت 5.3 را در روترهای D-Link شناسایی کرده‌اند. این آسیب‌پذیری منجر به افشای ‌اطلاعات حساس مانند نام کاربری، رمز عبور و آدرس IP می‌شود. این نقص در فایل /devinfo از روترهای D-Link وجود دارد و مهاجم می‌تواند با ارسال یک درخواست HTTP GET از راه دور و دستکاری ناحیه آرگومان با ورودی notice|net|version، این آسیب‌پذیری را مورد بهره‌برداری قرار دهد و از این اطلاعات برای اهداف مختلفی از جمله شناسایی شبکه‌های آسیب‌پذیر، جمع‌آوری اطلاعات برای حملات بعدی و دستکاری تنظیمات شبکه استفاده کند.

محصولات تحت تأثیر
آسیب‌پذیری مذکور دستگاه‌های زیر را تحت تأثیر قرار می‌دهد:
 

 
منابع خبر:

[1] https://avd.aquasec.com/nvd/2024/cve-2024ve-2-0717/
[2] https://yanac.hu/2024/01/19/cve-2024-0717-d-link-good-line-router-v2-up-to-20240112-http-get-reques…

CloudLinux CageFS (محیط گرافیکی فایل سیستم با دسترسی کنترل شده) یک فایل‌سیستم مجازی و یک ویژگی امنیتی است که جهت افزایش امنیت محیط‌های میزبانی مشترک (shared hosting)، به ویژه در زمینه سرورهای میزبانی وب، طراحی شده ‌است.
CageFS با ایجاد یک فایل‌سیستم مجازی برای هرکاربر در سرور، تضمین می‌کند که فایل‌ها و فرآیندهای هر کاربر در "Cage" خود کپسوله می‌شوند و از دسترسی یا تداخل آنها با فایل‌ها و فرآیندهای متعلق به سایر کاربران در همان سرور جلوگیری کرده که این امر به افزایش امنیت سرور کمک می‌کند.
دو آسیب‌پذیری با شناسه های CVE-2020-36772 و CVE-2020-36771 در CloudLinux CageFS  کشف شده‌‌اند. در اولین آسیب‌پذیری با شناسه CVE-2020-36771، توکن احراز هویت به عنوان آرگومان خط فرمان (command line) منتقل می‌شود که در برخی از تنظیمات، کاربران محلی می‌توانند آن را از طریق لیست فرآیند مشاهده‌ کرده و کد را به عنوان کاربر دیگر اجرا کنند.
در دومین آسیب‌پذیری با شناسه CVE-2020-36772 ،CloudLinux CageFS مسیرهای فایل ارائه شده به دستور sendmail proxy را به اندازه کافی کنترل و محدود نمی‌کند که این امر به کاربران محلی اجازه می‌دهد تا فایل‌های دلخواه خارج از محیط CageFS را به صورت محدود بخوانند و بنویسند.

محصولات تحت تأثیر
CageFS 7.0.8-2 و نسخه‌های قبل از آن نسبت به آسیب‌پذیری با شناسه CVE-2020-36772 و CageFS 7.1.1-1 و نسخه‌های پیشین آن در برابر نقص CVE-2020-36771 آسیب‌پذیر هستند.

توصیه‌های امنیتی
کاربران می‌توانند با دو دستور زیر محصول خود را به آخرین نسخه به‌روزرسانی کنند:

•    yum update cagefs lve-wrappers
•    # yum update lvemanager lve-utils lve-stats alt-python27-cllib

منابع خبر:

[1] https://nvd.nist.gov/vuln/detail/CVE-2020-6771
[2] https://nvd.nist.gov/vuln/detail/CVE-2020-6772

آسیب‌پذیری با شناسه CVE-2024-22233 و شدت بالا 7.5 در Spring Framework VMware کشف شد که امکان انکار سرویس (DoS) از طریق ارائه و ارسال درخواست‌های HTTP مخرب و ساختگی را برای مهاجم فراهم می‌آورد. این آسیب‌پذیری دسترس‌پذیری را تحت تأثیر قرار داده و بر محرمانگی و یکپارچگی تاثیری ندارد. 

برنامه هنگامی آسیب‌پذیر است که شامل تمام موارد زیر باشد:
1.    برنامه از Spring MVC استفاده کند.
2.    Spring Security 6.1.6+ یا  6.2.1+ در مسیر کلاس (classpath) باشد.
*به طور معمول، برنامه‌های Spring Boot به وابستگی‌های org.springframework.boot:spring-boot-starter-web و org.springframework.boot:spring-boot-starter-security نیاز دارند تا همه شرایط را فراهم کنند.

محصولات تحت تأثیر
این آسیب‌پذیری محصول VMware شامل Spring Framework نسخه‌های 6.0.15 و 6.1.2 را تحت تأثیر قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Spring Framework به نسخه‌های 6.0.16 و 6.1.3 اقدام نمایند. 
منبع خبر:

https://spring.io/security/cve-2024-22233

آسیب‌پذیری با شناسه CVE-2024-23678 و شدت بالا (7.5) در نسخه ویندوز Splunk Enterprise، به درستی داده‌های ورودی مسیر را پاکسازی نمی‌کند که این امر منجر به  سریال‌زایی ناامن داده‌های مخرب در یک پارتیشن دیسک جداگانه در دستگاه آسیب‌دیده خواهد شد.

محصولات تحت تأثیر
این آسیب‌پذیری نسخه‌های 9.0.0 تا 9.0.7 مؤلفه Splunk Web در نسخه‌ 9.0 محصول Splunk Enterprise برای ویندوز، و نسخه‌های 9.1.0 تا 9.1.2 مؤلفه Splunk Web در نسخه 9.1 Splunk Enterprise برای ویندوز را تحت تأثیر قرار می‌دهد.

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Splunk Enterprise به نسخه‌های 9.0.8 و 9.1.3 و بالاتر اقدام نمایند.
 

منبع خبر:

[1] https://advisory.splunk.com/advisories/SVD-2024-0108

یک گروه هکری جدید به نام Phemedrone Stealer، یک بدافزار جدید را توسعه داده اند که می‌تواند اطلاعات حساس کاربران را از جمله نام کاربری، رمز عبور، آدرس ایمیل و شماره تلفن آن‌ها را سرقت کند. این بدافزار از طریق ایمیل‌های فیشینگ توزیع می‌شود که حاوی یک لینک آلوده هستند. هنگامی که کاربر روی لینک کلیک می‌کند، بدافزار بر روی سیستم او بارگیری شده و شروع به جمع‌آوری اطلاعات می‌کند. بدافزار Phemedrone Stealer از چند تکنیک جهت سرقت اطلاعات استفاده می‌کند که یکی از این تکنیک‌ها، استفاده از جاسوس‌افزار است. این جاسوس‌افزار می‌تواند کلیدهای فشرده‌شده توسط کاربر را ثبت کند و از این طریق رمزهای عبور آن‌ها را به دست آورد.
تکنیک دیگری که بدافزار Phemedrone Stealer از آن استفاده می‌کند، استفاده از اسکنر پورت است. اسکنرِ پورت، می‌تواند پورت‌های باز را در یک رایانه شناسایی کند. در این مورد، اسکنرِ پورت به دنبال پورت‌های بازی می‌گردد که می‌تواند از آن‌ها جهت دسترسی به اطلاعات حساس استفاده کند. محققان یک نسخه اصلاح شده از بدافزار Phemedrone Stealer را که در یک حمله استفاده شده است، مورد تجزیه و تحلیل قرار دادند.
برای آلوده کردن قربانیان به این بدافزار، مهاجم از فایل‌های مخرب URL استفاده کرده است که در دیسکورد یا سرویس‌های ابری مانند FileTransfer.io نگهداری می‌شوند. برای فریب، از کوتاه‌کننده‌های لینک مانند shorturl.at نیز استفاده شده است تا فایل‌های مخرب را پشت آن‌ها پنهان کند. اگر کاربری به دلیل ناآگاهی یا فریب، فایل‌های مخرب را باز کند، منجر به اکسپلویت آسیب‌پذیری CVE-2023-36025 می‌شود.

شکل 1 سلسله آلودگی Phemedrone Stealer

بدافزار طیف وسیعی از برنامه‌ها و سرویس‌هایی که ممکن است در سیستم قربانی وجود داشته باشد را هدف قرار میدهد و اطلاعات خاصی را استخراج می‌کند :
•    مرورگرهای مبتنی بر Chromium: داده‌هایی مانند پسوردها، کوکی‌ها و اطلاعات Autofill ذخیره شده در برنامه‌هایی مانند LastPass، KeePass، NordPass، Google Authenticator، Duo Mobile و Microsoft Authenticator را به سرقت می‌برد.
•    کیف پول ارزهای دیجیتال: فایل‌های حساس را از برنامه‌های کیف پول ارزهای دیجیتالی مانند Armory، Atomic، Bytecoin، Coninomi، Jaxx، Electrum، Exodus و Guarda به سرقت می‌برد.
•    دیسکورد: توکن‌های احراز هویت را به سرقت می‌برد که امکان دسترسی غیرمجاز به اکانت را فراهم می‌کند.
•    FileGrabber: بدافزار از این سرویس جهت جمع‌آوری فایل‌ها از پوشه‌های خاصی مانند Documents و Desktop استفاده می‌کند.
•    FileZilla: جزییات اتصال و اعتبارنامه‌های FTP را از این برنامه به سرقت می‌برد.
•    Gecko: مرورگرهای مبتنی بر Gecko را مورد هدف قرار می‌دهد.
•    اطلاعات سیستم: جزییاتی از سیستم، مانند موقعیت مکانی، مشخصات سخت‌افزاری و اطلاعاتی از سیستم عامل را جمع‌آوری می‌کند. همچنین امکان گرفتن اسکرین‌شات را هم دارد.
•    Steam: امکان دسترسی به فایل‌های پلتفرم بازی Steam را دارد.
•    تلگرام: داده‌های کاربران در پوشه نصب برنامه از جمله فایل‌های مرتبط با احراز هویت در tdata را استخراج می‌کند. این فایل‌ها را هم می‌تواند براساس سایز یا الگوی نام‌گذاری جستجو کند.
بدافزار از یک متد سفارشی با عنوان RuntimeResolver.GetInheritedClasses<IService>() جهت پیدا کردن زیر کلاس‌های IService بصورت داینامیک استفاده می‌کند. این متد از reflection جهت اسکن Assembly استفاده می‌کند. سرویس‌ها براساس سطوح اولویت خودشان، گروه‌بندی می‌شوند که به آن‌ها این امکان را خواهد داد تا با ترتیب خاصی پردازش شوند. برای هر سرویس در لیست گروه‌بندی شده، بدافزار یک Thread جدید ایجاد و استارت می‌کند. این کار به هر سرویسی این امکان را می‌دهد تا متد Run خودش را بصورت همزمان شروع و متد Collect تعریف شده در هر سرویس را اجرا کند.

•    C2 برای استخراج داده
پس از اجرای همه‌ی رشته‌ها، کد از طریق سرویس‌ها دوباره اجرا می‌شود و داده‌های جمع‌آوری‌شده توسط هر سرویس را جمع‌آوری می‌کند. سپس از کلاس‌های MemoryStream و ZipStorage برای مدیریت و فشرده‌سازی این اطلاعات استفاده می‌کند. MemoryStream یک بافر درون‌حافظه‌ای انعطاف‌پذیر است که می‌تواند داده‌ها را به‌صورت موقت ذخیره کند و امکان مدیریت سریع و کارآمد اطلاعات را بدون نیاز به عملیات I/O دیسک می‌دهد. سپس ZipStorage برای فشرده‌سازی مستقیم داده‌های داخل MemoryStream، در قالب فایل ZIP استفاده می‌شود. شکل  2 نشان‌دهنده اجرای داینامیک سرویس‌هاست.
 

شکل 2  سرویس‌های Phemedrone به صورت پویا اجرا می‌شوند

شکل 3 پیاده سازی سرویس FileZilla

شکل 4  اجرای سرویس FileZilla را نشان می‌دهد:

شکل 4  اجرای سرویس FileZilla را نشان می‌دهد

شکل 5، کلاس IService را نشان می‌دهد که جهت مدیریت و فشرده‌سازی داده‌های جمع‌آوری‌شده استفاده می‌شود.

شکل 5  اعتبارسنجی توکن تلگرام

قبل از شروع استخراج داده‌ها، بدافزار توکن Telegram API را با استفاده از متد TokenIsValid و ایجاد یک API call به نقطه پایانی getMe تلگرام بررسی می‌کند. این API call از طریق توکن Telegram API ذخیره شده ساخته می‌شود. اگر پاسخ با {"ok":true شروع شود، نشان‌دهنده یک توکن معتبر است. اگر در طول این فرایند استثنایی رخ دهد، آن استثناء لاگ شده و متد false را برمی‌گرداند که نشان‌دهنده معتبر نبودن توکن است. در این صورت، با فراخوانی متد Environment.Exit(0) به اجرای فرآیند خاتمه می‌دهد.
کد زیر نشان دهنده فرآیند بررسی اعتبار توکن است.
 

شکل 6 پیاده سازی TokenIsValid

شکل 7، درخواست بررسی معتبر بودن توکن را نشان می دهد

شکل 7 مثالی از درخواست اعتبارسنجی توکن شبکه

پس از تأیید توکن تلگرام، بدافزار شروع به ارسال داده‌های جمع‌آوری‌شده به مهاجم می‌کند. این کار توسط متد SendMessage() در کلاس global::Telegram.Telegram انجام می‌شود. متد Collect() اطلاعات گسترده‌ای از سیستم را جمع‌آوری می‌کند، از جمله:
•    داده‌های موقعیت مکانی مانند: IP، کشور، شهر، کدپستی
•    اطلاعات سخت‌افزاری مانند: نام کاربری، نام ماشین، سیستم‌عامل، ID سخت‌افزار، GPU، CPU، RAM
•    داده جمع‌آوری شده از مرورگرهای وب مانند: رمزهای عبور، کوکی‌ها، کارت‌های اعتباری، autofillها، افزونه‌ها، کیف‌های پول، فایل‌ها

شکل 8 گزارش جمع‌آوری داده‌های بدافزار، تعداد گذرواژه‌ها، کوکی‌ها و کارت‌های اعتباری را در میان سایر موارد ردیابی می‌کند

شکل 9 خلاصه‌ای از داده‌های جمع‌آوری شده جهت ارسال به مهاجم می‌باشد.

شکل 9 خلاصه رمزگشایی شده URL داده‌های استخراج شده

مرحله بعدی، استخراج داده‌های فشرده است. این کار توسط متد SendZip و درخواست HTTP POST برای اتصال از طریق Telegram API انجام می‌شود. فایل فشرده شده، به عنوان document ارسال می‌شود.
متدهای SendZip و MakeFormRequest2 مسئول ایجاد درخواست multipart/form-data هستند. این متد‌ها اطمینان حاصل می‌کنند که هدر و داده‌های فایل به درستی تنظیم شده‌اند. این درخواست توسط token بات و chat ID و از طریق Telegram sendDocument API ارسال می‌شود. فرایند ارسال شامل مدیریت خطا و تلاش مجدد است تا از ارسال فایل مطمئن شود. شکل زیر نشان‌دهنده نحوه ارسال فایل فشرده از طریق Telegram API است:
 

شکل 10 بدافزاری که داده‌های فشرده را از طریق API تلگرام استخراج می‌کند

شکل 11 نشان‌دهنده ترافیک ارسال فایل است:
 

شکل 11 ترافیک شبکه استخراج داده

منابع خبر:

[1]https://www.trendmicro.com/en_us/research/24/a/cve-2023-36025-exploited-for-defense-evasion-in-phem…
[2]https://infosecwriteups.com/cve-2023-36025-an-in-depth-analysis-of-circumventing-windows-smartscree…
[3] https://onhexgroup.ir/phemedrone-cve-2023-36025/