امروز در دنیای امنیت سایبری – آخرین اخبار امنیت – ۱۵ آبان ۱۴۰۴

🕒 زمان مطالعه: حدود ۱۶ دقیقه

اخبار امنیت سایبری بی‌وقفه و خسته‌کننده است. تلاش برای دنبال کردن همه آن‌ها شبیه به آب خوردن از شلنگ آتش‌نشانی است؛ غیرممکن و گیج‌کننده. اما نگران نباشید! ما اینجا هستیم تا این شلنگ را ببندیم و از میان این هیاهو، ۱۰ داستان شگفت‌انگیز، غیرمنتظره و واقعاً تأثیرگذار را که امروز اهمیت دارند، برایتان جدا کنیم. این گزارش، چکیده‌ای ساده و کمی طنزآمیز از اتفاقاتی است که واقعاً باید بدانید.

آنچه در این مطلب می‌خوانید

۱. هوش مصنوعی حالا شرلوک هلمز امنیت سایبری است، نه فقط موریارتی! – هوش مصنوعی Big Sleep

درحالی‌که بسیاری از هوش مصنوعی به‌عنوان ابزاری در دست هکرها می‌ترسند، یکی از شگفت‌انگیزترین روندهای اخیر، نقش روزافزون آن به‌عنوان یک سلاح دفاعی قدرتمند است. هوش مصنوعی اکنون قادر است آسیب‌پذیری‌های پیچیده را پیش از آنکه هکرها پیدایشان کنند، کشف کند.

نمونه بارز این ماجرا، همکاری ناخواسته گوگل و اپل است. به‌تازگی اپل در یک به‌روزرسانی بزرگ امنیتی، ۱۹ آسیب‌پذیری را در WebKit (موتور مرورگر سافاری) برطرف کرد که عامل هوش مصنوعی گوگل با نام “Big Sleep” موفق به کشف ۵ مورد از آن‌ها شده بود. این باگ‌ها می‌توانستند به خرابی حافظه (memory corruption) یا از کار افتادن مرورگر منجر شوند. این استفاده مثبت از هوش مصنوعی در تضاد کامل با کاربرد شرورانه آن است. برای مثال، گروه هکری BlueNoroff از مدل GPT-4o برای بهبود و واقعی‌تر جلوه دادن عکس پروفایل شخصیت‌های جعلی خود استفاده می‌کند. نکته جالب اینجاست که طبق استاندارد C2PA، این تصاویر دارای متادیتایی هستند که تولید آن‌ها توسط هوش مصنوعی را فاش می‌کند، اما مهاجمان همچنان از آن‌ها استفاده می‌کنند. در مقابل، مدافعان نیز بیکار ننشسته‌اند و طبق پیش‌بینی‌های Google Cloud، در آینده نزدیک شاهد ظهور “مرکز عملیات امنیت عامل‌محور” (Agentic SOC) خواهیم بود که در آن، هوش مصنوعی وظیفه دفاع را بر عهده می‌گیرد.

“بذار خلاصه بگم 👇” شرکت‌های بزرگی مثل گوگل حالا از هوش مصنوعی برای پیدا کردن خودکار حفره‌های امنیتی در محصولات رقبایی مثل اپل استفاده می‌کنند. این اتفاق، یک مسابقه تسلیحاتی هوش مصنوعی بین مهاجمان و مدافعان را آغاز کرده است.

پس هوش مصنوعی حالا برای هر دو تیم بازی می‌کند. اما درحالی‌که ماشین‌ها در حال نبرد با یکدیگر هستند، قدیمی‌ترین حقه دنیا یعنی فریب انسان، در حال هوشمندانه‌تر شدن است.

۲. آن درخواست شغلی بی‌خطر ممکن است یک اسب تروا باشد. – کمپین GhostCall – کمپین GhostHire

مهندسی اجتماعی قلب تپنده حملات سایبری مدرن است. مهاجمان دیگر به ایمیل‌های جعلی ساده بسنده نمی‌کنند و در حال ساخت سناریوهای پیچیده و فریبنده‌ای هستند که اعتماد حرفه‌ای افراد، به‌ویژه در صنایع فناوری و Web3 را هدف می‌گیرند.

گروه BlueNoroff در این زمینه استاد است و دو تاکتیک جدید و نگران‌کننده به نام‌های GhostCall و GhostHire را به کار گرفته است:

  • GhostCall: در این روش، مدیران اجرایی که از سیستم‌عامل macOS استفاده می‌کنند، هدف قرار می‌گیرند. شگفت‌انگیزترین بخش ماجرا این است که مهاجمان به‌جای استفاده از دیپ‌فیک (Deepfake)، از ویدیوهای ضبط‌شده واقعی از قربانیان قبلی برای جعل یک تماس زنده در Zoom یا Teams استفاده می‌کنند. سپس به بهانه وجود مشکل در صدا، قربانی را متقاعد می‌کنند تا یک اسکریپت مخرب را برای “تعمیر” مشکل اجرا کند.
  • GhostHire: در این سناریو، مهاجمان با توسعه‌دهندگان Web3 تماس گرفته و پیشنهاد مصاحبه شغلی جعلی می‌دهند. آن‌ها قربانی را فریب می‌دهند تا یک بدافزار را از یک مخزن GitHub که در قالب یک آزمون مهارتی پنهان شده، دانلود و اجرا کند.

“بذار خلاصه بگم 👇” هکرها در حال ساخت مصاحبه‌های شغلی و جلسات آنلاین جعلی هستند و حتی از ویدیوهای دزدیده‌شده از افراد واقعی استفاده می‌کنند تا شما را فریب دهند که بدافزار را روی کامپیوترتان نصب کنید.

این حملات نشان می‌دهد که اعتماد به افراد چقدر می‌تواند خطرناک باشد، اما اعتماد به نرم‌افزارها چطور؟

۳. بزرگترین ریسک امنیتی در فضای ابری؟ آن اپلیکیشن شخص ثالثی که پارسال تایید کردید. – حمله زنجیره تأمین SaaS – هک Salesforce از طریق Drift

امنیت یک سازمان دیگر تنها به دیوارهای خودش محدود نمی‌شود؛ بلکه عمیقاً به امنیت هر اپلیکیشن شخص ثالثی که با آن یکپارچه می‌شود، گره خورده است. این همان چیزی است که به آن حمله زنجیره تأمین در دنیای نرم‌افزار به عنوان سرویس (SaaS) می‌گویند.

در یک حمله اخیر توسط گروه UNC6395، مهاجمان به زیرساخت‌های Salesforce نفوذ نکردند؛ بلکه از یک مسیر غیرمستقیم و هوشمندانه استفاده کردند: یک اپلیکیشن ثالث قابل اعتماد. آن‌ها توکن‌های احراز هویت (OAuth tokens) را از یک ابزار چت‌بات شخص ثالث به نام Drift (متعلق به Salesloft) که به Salesforce متصل بود، به سرقت بردند. مقیاس این حادثه بسیار بزرگ بود و شرکت‌های غول‌پیکری مانند Cloudflare، Google، Palo Alto Networks و Zscaler تحت تأثیر قرار گرفتند. مهاجمان با استفاده از این توکن‌ها، به داده‌های حساس در محیط Salesforce دسترسی پیدا کرده و آن‌ها را استخراج کردند. هدف اصلی آن‌ها جستجو برای یافتن اطلاعات حساسی مانند کلیدهای AWS و رمزهای عبور VPN بود که کارمندان بی‌دقت آن‌ها را در تیکت‌های پشتیبانی ذخیره کرده بودند. کل این حمله از طریق رابط‌های برنامه‌نویسی نرم‌افزار (API) انجام شد، یعنی تمام ارتباطات به شکل کد و بدون نیاز به نصب بدافزار سنتی صورت گرفت.

“بذار خلاصه بگم 👇” یک ضعف امنیتی کوچک در یک اپلیکیشن متصل به پلتفرم بزرگی مانند Salesforce، به هکرها اجازه داد تا از صدها شرکت بزرگ داده سرقت کنند. این نشان می‌دهد که حتی ابزارهای مورد اعتماد هم می‌توانند یک در پشتی باشند.

این حمله نشان داد که حتی یک درِ پشتی کوچک می‌تواند منجر به سرقت بزرگی شود. اما گاهی اوقات، هکرها فقط در را می‌کوبند و امیدوارند شما از ترس، در را باز کنید.

۴. گروه‌های باج‌افزاری همیشه آن چیزی نیستند که به نظر می‌رسند. – باج‌افزار Akira – بلوف حمله به Apache OpenOffice

باج‌افزارها تهدیدی جدی هستند، اما قدرتشان اغلب بر پایه ایجاد ترس و فشار روانی است. گاهی اوقات، ادعاهای آن‌ها بخشی از یک بازی روانی است و ممکن است کاملاً واقعی نباشد.

اخیراً گروه باج‌افزاری Akira ادعا کرد که ۲۳ گیگابایت داده شرکتی، شامل اطلاعات کارمندان و داده‌های مالی را از پروژه Apache OpenOffice به سرقت برده است. اما بنیاد نرم‌افزار آپاچی به‌سرعت این ادعا را رد کرد. استدلال آن‌ها ساده و منطقی بود: Apache OpenOffice یک پروژه متن‌باز و رایگان است که مشارکت‌کنندگان آن داوطلبانه و بدون دستمزد فعالیت می‌کنند. به همین دلیل، آن‌ها اصلاً اطلاعاتی مانند شماره تأمین اجتماعی، اطلاعات کارت اعتباری و موارد مشابه را در اختیار ندارند. به قول خودشان:

"از آنجایی که Apache OpenOffice یک پروژه نرم‌افزاری متن‌باز است، هیچ‌یک از مشارکت‌کنندگان ما کارمندان حقوق‌بگیر پروژه یا بنیاد نیستند، بنابراین ما حتی مجموعه داده‌های توصیف‌شده در این ادعا را در اختیار نداریم."

تا لحظه تنظیم این گزارش، گروه Akira هیچ داده‌ای را منتشر نکرده است، که این احتمال را تقویت می‌کند که ادعای آن‌ها یک بلوف یا اشتباه بوده است.

“بذار خلاصه بگم 👇” یک گروه باج‌افزاری علناً ادعای سرقت بزرگی از یک شرکت نرم‌افزاری کرد، اما شرکت بلوف آن‌ها را رو کرد و گفت که اصلاً چنین داده‌هایی ندارد. گاهی اوقات، هکرها برای ترساندن شما دروغ می‌گویند.

پس فهمیدیم که گاهی هکرها بلوف می‌زنند. اما وقتی پای ابزارهای ارتباطی روزمره ما در میان باشد، تهدیدها کاملاً واقعی هستند.

۵. هکرها در حال خواندن پیام‌های واتس‌اپ شما (و چت‌های تیمز شرکت شما) هستند. – جاسوسی از واتس‌اپ و تیمز – گروه Mysterious Elephant – آسیب‌پذیری Caller ID

اعتماد ما به ابزارهای ارتباطی مدرن مانند واتس‌اپ و مایکروسافت تیمز در حال فرسایش است. این پلتفرم‌ها که برای ارتباطات روزمره به آن‌ها تکیه می‌کنیم، به اهدافی ارزشمند برای جاسوسان و مجرمان تبدیل شده‌اند.

دو گزارش اخیر این موضوع را به‌خوبی نشان می‌دهد:

  • بر اساس گزارش کسپرسکی، گروه Mysterious Elephant APT به‌طور خاص داده‌های واتس‌اپ را هدف قرار داده و اسناد، تصاویر و آرشیوهای به اشتراک گذاشته شده از طریق این اپلیکیشن را سرقت می‌کند.
  • تحقیقات Check Point نیز آسیب‌پذیری‌هایی (مانند CVE-2024-38197) را در مایکروسافت تیمز کشف کرده است که به مهاجمان اجازه می‌داد خود را جای همکاران جا بزنند، پیام‌ها را بدون باقی گذاشتن نشانه‌ی “Edited” ویرایش کنند و حتی شناسه تماس‌گیرنده (Caller ID) را جعل کنند. خود مایکروسافت نیز اعتراف کرده است که تیمز “یک هدف باارزش برای مجرمان سایبری و بازیگران دولتی” است.

“بذار خلاصه بگم 👇” حفره‌های امنیتی در اپ‌هایی مانند مایکروسافت تیمز و حملات هدفمند به واتس‌اپ به این معناست که هکرها به‌طور بالقوه می‌توانند مکالمات خصوصی و کاری شما را بخوانند، تغییر دهند یا جعل کنند.

بنابراین مکالمات خصوصی ما دیگر آنقدرها هم خصوصی نیستند. اما چه اتفاقی می‌افتد وقتی زیرساختی که این مکالمات را در سراسر جهان منتقل می‌کند، خودش هدف حمله قرار گیرد؟

۶. دولت‌های متخاصم فقط سرورها را هک نمی‌کنند؛ آنها در حال هک کردن لوله‌کشی اینترنت هستند. – جنگ زیرساخت فیزیکی – جمینگ GPS

جنگ‌های سایبری دیگر به دنیای دیجیتال محدود نمی‌شوند. درگیری‌های ژئوپلیتیکی اکنون به‌طور فعال در میدان نبرد زیرساخت‌های جهانی در جریان است و مرز بین دنیای فیزیکی و دیجیتال در حال محو شدن است.

گزارش “پیش‌بینی‌های CISO برای سال ۲۰۲۶” از Fortinet به تهدیدات نگران‌کننده‌ای اشاره می‌کند:

  • حملات به زیرساخت‌های فیزیکی: نمونه‌های واقعی از قطع شدن کابل‌های اینترنت و برق زیردریایی، مانند آنچه در دریای بالتیک و دریای سرخ رخ داد، نشان می‌دهد که این اقدامات با تنش‌های ژئوپلیتیکی مرتبط است.
  • جنگ GPS: مفاهیم جمینگ GPS (مسدود کردن سیگنال) و اسپوفینگ GPS (ارسال سیگنال‌های جعلی) به یک مشکل جهانی تبدیل شده‌اند. این پدیده به‌ویژه در اطراف مناطق درگیری شایع است و حتی هواپیمای رئیس کمیسیون اروپا نیز هدف چنین حمله‌ای قرار گرفته است.
  • جنگ سایبری به‌عنوان بخش اصلی درگیری: در درگیری اخیر بین ایران و اسرائیل، جنگ سایبری برای بی‌ثبات کردن زیرساخت‌های حیاتی مانند صرافی‌های ارز دیجیتال و بانک‌ها به کار گرفته شد.

“بذار خلاصه بگم 👇” جنگ سایبری اکنون شامل حملات فیزیکی به چیزهایی مانند کابل‌های زیرآبی که اینترنت ما را منتقل می‌کنند و همچنین ارسال پارازیت روی سیگنال‌های GPS می‌شود و درگیری‌های جهانی را مستقیماً به آستانه دیجیتال ما می‌آورد.

درحالی‌که دولت‌ها مشغول قطع کابل‌های زیر دریا هستند، نوع دیگری از سرقت فیزیکی-دیجیتال، بدون نیاز به زیردریایی و فقط با یک موبایل، در جیب ما در حال وقوع است.

۷. سرقت جدید از بانک به ماشین فرار نیاز ندارد، فقط یک رله NFC می‌خواهد. – بدافزار اندروید NGate – سرقت از ATM

مجرمان اکنون از فناوری‌های هوشمند برای سرقت مستقیم پول از کارت‌های بانکی، بدون حتی لمس فیزیکی آن‌ها، استفاده می‌کنند و تلفن خود قربانی را علیه او به کار می‌گیرند.

بدافزار اندرویدی جدیدی به نام NGate که توسط ESET کشف شده، این سناریوی منحصربه‌فرد را ممکن می‌سازد:

  • این بدافزار توانایی بی‌نظیری در رله کردن داده‌های ارتباط حوزه نزدیک (NFC) دارد.
  • قربانی فریب داده می‌شود تا اپلیکیشن مخرب را نصب کند. سپس از او خواسته می‌شود که کارت بانکی فیزیکی خود را به پشت تلفن خود نزدیک کند، ظاهراً برای “تأیید هویت”.
  • در پشت صحنه، بدافزار داده‌های NFC کارت را ضبط کرده و آن را به‌صورت آنی به دستگاه مهاجم که ممکن است کنار یک دستگاه خودپرداز ایستاده باشد، ارسال می‌کند.
  • مهاجم سپس می‌تواند با استفاده از دستگاه خود، کارت قربانی را شبیه‌سازی کرده و پول نقد برداشت کند. این روش با موفقیت علیه مشتریان سه بانک در جمهوری چک استفاده شده است.

“بذار خلاصه بگم 👇” نوع جدیدی از بدافزار می‌تواند گوشی شما را به دستگاهی تبدیل کند که سیگنال پرداخت تماسی (Tap-to-Pay) کارت اعتباری شما را می‌خواند و آن را برای یک هکر در کنار دستگاه خودپرداز ارسال می‌کند و به او اجازه می‌دهد پول شما را برداشت کند.

برداشت پول نقد با این روش هوشمندانه است، اما چرا به چند صد دلار بسنده کنیم وقتی می‌توان کل حقوق یک ماه را دزدید؟

۸. هکرها به دنبال فیش حقوقی شما هستند، نه فقط رمز عبورتان. – سرقت حقوق و دستمزد – حمله Storm-2657 به Workday

جرائم سایبری مالی در حال تکامل هستند. مهاجمان از حملات گسترده به سمت کمپین‌های بسیار هدفمند علیه فرآیندهای سودآور شرکتی مانند پرداخت حقوق حرکت کرده‌اند.

گزارش مایکروسافت از حملاتی به نام “دزدان دریایی حقوق و دستمزد” پرده برداشته است:

  • هدف: گروهی به نام Storm-2657 کارمندان دانشگاه‌های ایالات متحده را هدف قرار داده است.
  • مقصد: هدف اصلی، ربودن پرداخت‌های حقوق از طریق دسترسی به پلتفرم‌های منابع انسانی مانند Workday است.
  • روش: مهاجمان از فیشینگ پیچیده با لینک‌های adversary-in-the-middle (AITM) برای سرقت اطلاعات کاربری و حتی کدهای احراز هویت چندعاملی (MFA) استفاده می‌کنند.
  • اقدامات بعدی: پس از ورود، از طریق Single Sign-On (SSO) به پروفایل Workday قربانی دسترسی پیدا کرده، قوانینی در اینباکس ایمیل ایجاد می‌کنند تا ایمیل‌های هشدار را مخفی کنند و در نهایت، اطلاعات بانکی را تغییر می‌دهند تا حقوق قربانی را به حساب‌های تحت کنترل خودشان واریز کنند.

“بذار خلاصه بگم 👇” هکرها اکنون به حساب‌های کارمندان دانشگاه نفوذ می‌کنند تا اطلاعات پرداخت حقوق آن‌ها را تغییر داده و کل حقوقشان را به حساب‌های بانکی خودشان منتقل کنند.

دزدیدن حقوق یک نفر نیازمند سرقت هویت اوست. اما چه می‌شود اگر هویتی که هدف قرار می‌گیرد، متعلق به یک نفر نباشد، بلکه متعلق به هزاران نفر باشد که به اشتباه یک نفر پنداشته شده‌اند؟

۹. آن یک آدرس IP مزاحم؟ ممکن است یک محله کامل باشد. – Carrier-Grade NAT (CGNAT) – مسدود شدن ناعادلانه IPهای مشترک

ما اغلب تصور می‌کنیم که یک آدرس IP معادل یک کامپیوتر یا یک کاربر است، اما این تصور اشتباه می‌تواند منجر به عواقب ناعادلانه‌ای شود.

یک گزارش از Cloudflare این مفهوم غیرمنتظره را تحلیل می‌کند:

  • Carrier-Grade NAT (CGNAT): به زبان ساده، به دلیل کمبود آدرس‌های IPv4، ارائه‌دهندگان اینترنت اغلب صدها یا هزاران کاربر را مجبور می‌کنند که یک آدرس IP عمومی را به اشتراک بگذارند.
  • مشکل “آسیب جانبی”: وقتی یک سیستم امنیتی یک آدرس IP مخرب را مسدود یا محدود می‌کند، ممکن است ناخواسته هزاران کاربر بی‌گناه را که همان IP مشترک را دارند، مسدود کند.
  • تبعیض جغرافیایی: این مشکل به‌طور نامتناسبی کاربران مناطق در حال توسعه در آفریقا و جنوب آسیا را تحت تأثیر قرار می‌دهد، جایی که اشتراک‌گذاری IP شایع‌تر است.
  • به قول Cloudflare: "مسدود کردن IP مشترک، بسیاری از کاربران بی‌گناه را به همراه فرد متخلف مجازات می‌کند."

“بذار خلاصه بگم 👇” از آنجایی که بسیاری از مردم (به‌ویژه در مناطق خاصی از جهان) یک آدرس IP مشترک دارند، مسدود کردن یک کاربر “بد” می‌تواند به‌طور تصادفی هزاران نفر بی‌گناه را از اینترنت محروم کند.

درحالی‌که ما با آسیب‌های جانبی مسدود کردن IPها دست‌وپنجه نرم می‌کنیم، پیشرفته‌ترین هکرها دیگر حتی به IP شما هم کاری ندارند. آن‌ها از در اصلی عبور کرده و مستقیم به سراغ گاوصندوق رفته‌اند.

۱۰. تکامل مهاجمان حرفه‌ای: از ایمیل‌های فیشینگ تا کوئری مستقیم از پایگاه داده – حمله Phantom Taurus به پایگاه داده

گروه‌های تهدید پیشرفته و مستمر (APT) دائماً در حال تکامل تاکتیک‌های خود برای کارآمدتر، پنهان‌تر و مؤثرتر بودن هستند. آن‌ها اغلب از دفاع‌های مبتنی بر کاربر عبور کرده و مستقیماً به منابع داده حمله می‌کنند.

گزارش‌های اخیر در مورد گروه‌های APT مرتبط با چین این روند را تأیید می‌کنند:

  • Phantom Taurus (گزارش Unit 42): این گروه تاکتیک خود را از سرقت ایمیل به هدف قرار دادن و کوئری مستقیم از پایگاه‌های داده SQL با استفاده از اسکریپت‌های سفارشی مانند mssq.bat تغییر داده است.
  • Earth Lamia (گزارش Trend Micro): این گروه نیز با بهره‌برداری از آسیب‌پذیری‌های SQL injection در اپلیکیشن‌های وب، به پایگاه‌های داده حمله می‌کند. آن‌ها از ابزارهای هک سفارشی مانند بک‌دور PULSEPACK برای فرار از شناسایی استفاده می‌کنند. این روند نشان می‌دهد که مهاجمان پیشرفته مستقیم‌تر عمل کرده و به‌جای فریب دادن کاربران، مستقیماً به سراغ “جواهرات سلطنتی” یعنی پایگاه‌های داده می‌روند.

“بذار خلاصه بگم 👇” پیشرفته‌ترین هکرها اکنون مرحله فریب دادن افراد با ایمیل‌های فیشینگ را نادیده گرفته و در عوض راه‌هایی برای نفوذ مستقیم و سرقت اطلاعات از پایگاه‌های داده شرکت‌ها پیدا کرده‌اند.

نتیجه‌گیری

همان‌طور که دیدیم، مرزها در امنیت سایبری در حال محو شدن هستند: مرز بین دنیای فیزیکی و دیجیتال، بین دوست و دشمن (هوش مصنوعی) و بین شرکای قابل اعتماد و بردارهای حمله. این دیگر یک بازی ساده دفاع در برابر مهاجم نیست؛ بلکه یک معمای پیچیده از اعتماد، زیرساخت و روانشناسی انسانی است.

“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec

نوشته‌ای مرتبط

آنچه در این مطلب می‌خوانید

فهرست مطالب