راستش را بخواهید، دنبال کردن اخبار امنیت سایبری این روزها شبیه تماشای یک سریال پیچیده است که هر هفته شخصیتهای جدید و شرور با قدرتهای عجیبوغریب وارد داستان میشوند. یک روز از هوش مصنوعی میشنویم که کد مینویسد، روز دیگر از باجافزاری که دیگر پول هم نمیخواهد! گیجکننده است، نه؟ اما نگران نباشید. در این مقاله قرار است از میان تمام این هیاهوها عبور کنیم و ۱۰ حقیقت شگفتانگیز، غیرمنتظره و البته بسیار مهم را که همین حالا در دنیای امنیت سایبری در حال وقوع است، به زبانی ساده و خودمانی برایتان تعریف کنم. پس یک فنجان چای برای خودتان بریزید و بیایید ببینیم پشت پرده چه خبر است.
۱. ابزارهای امنیتی شما، لباس مبدل جدید هکرها شدهاند – باجافزار Cephalus – باج افزار LockBit 5.0 – گروه Curly COMrades
فکرش را بکنید که دزد با لباس پلیس وارد خانهتان شود! این دقیقاً همان کاری است که هکرها یاد گرفتهاند با نرمافزارهای امنیتی و ابزارهای معتبر سیستم شما انجام دهند. آنها دیگر فقط به دنبال دور زدن آنتیویروس یا فایروال شما نیستند، بلکه هوشمندانهتر عمل کرده و از خودِ این ابزارها به عنوان یک نقاب برای پنهان کردن فعالیتهای مخربشان استفاده میکنند.
بر اساس گزارش جدید Huntress، باجافزار Cephalus یک تاکتیک بسیار زیرکانه دارد: این بدافزار از یک فایل اجرایی کاملاً قانونی و متعلق به شرکت امنیتی SentinelOne (به نام SentinelBrowserNativeHost.exe) برای اجرای یک تکنیک به نام DLL sideloading استفاده میکند. به زبان ساده، بدافزار کدهای مخرب خود را در کنار این فایل معتبر قرار میدهد و چون سیستم به فایل اصلی اعتماد دارد، کد مخرب هم بدون هیچ مشکلی اجرا میشود. در همین حال، تحلیل مشترک Flashpoint و Trend Micro که در gbhackers منتشر شده، نشان میدهد که باجافزار معروف LockBit 5.0 هم روش مشابهی دارد. این بدافزار با استفاده از تکنیکی به نام process hollowing، کدهای خود را به یک فرآیند بیخطر و استاندارد ویندوز، یعنی defrag.exe (ابزار یکپارچهسازی دیسک)، تزریق میکند و در واقع، این فرآیند را از درون خالی و با کدهای مخرب خود پر میکند.
این خلاقیتها به همینجا ختم نمیشود. طبق گزارش Bitdefender، یک گروه هکری همسو با روسیه به نام Curly COMrades، پا را از این هم فراتر گذاشته و با استفاده از قابلیت Hyper-V ویندوز، یک ماشین مجازی لینوکس بسیار سبک را روی سیستم قربانی نصب میکند. سپس بدافزار خود (مانند CurlyShell) را درون این ماشین مجازی مخفی میکند تا از دید ابزارهای تشخیص و پاسخ نقطه پایانی (EDR) که روی سیستمعامل اصلی ویندوز در حال اجرا هستند، کاملاً پنهان بماند. حتی گاهی اوقات این خود ما هستیم که با دست خودمان در را برایشان باز میکنیم؛ همانطور که در گزارش دفتر فناوری فرمانداری نوادا آمده، نفوذ به سیستمهای دولتی ایالت نوادا از جایی شروع شد که یک کارمند، یک “ابزار مدیریت سیستم آلوده به بدافزار” را از یک وبسایت جعلی دانلود کرد. این یعنی هکرها دقیقاً همان ابزارهایی را که متخصصان IT به آنها اعتماد دارند، به سلاح تبدیل کردهاند.
بذار خلاصه بگم 👇
هکرها دیگر فقط به دنبال دور زدن نرمافزارهای امنیتی شما نیستند؛ آنها دارند بدافزارهایشان را درون فایلهای اجرایی معتبر و ابزارهای سیستمی شما پنهان میکنند تا شناساییشان تقریباً غیرممکن شود.
۲. باجافزارها دیگر فقط دنبال پول نیستند؛ بعضیها فقط میخواهند همهچیز را نابود کنند
همیشه فکر میکردیم هدف اصلی باجافزارها پول است. فایلهایتان را قفل میکنند، یک یادداشت تهدیدآمیز میگذارند و در ازای کلید رمزگشایی، پول میخواهند. اما چه میشود اگر به شما بگویم که نسل جدیدی از باجافزارها ظهور کردهاند که اصلاً به پول شما اهمیتی نمیدهند؟ هدف آنها فقط یک چیز است: تخریب کامل و بیصدا.
بر اساس تحلیلی که Flashpoint و Trend Micro انجام دادهاند و در gbhackers گزارش شده، نسخه جدید باجافزار معروف LockBit 5.0 یک قابلیت ترسناک به نام “حالت تخریب” (destruction-only) دارد. وقتی این حالت فعال میشود، باجافزار تمام فایلهای شما را رمزگذاری میکند، اما هیچ کاری برای جلب توجه انجام نمیدهد. نه پسوند فایلها را تغییر میدهد، نه عکس پسزمینه دسکتاپ را عوض میکند و از همه مهمتر، هیچ یادداشت باجخواهیای باقی نمیگذارد. شما شاید تا هفتهها یا ماهها متوجه نشوید که تمام اطلاعاتتان از بین رفته است. این دیگر یک بازی اقتصادی نیست؛ این یک خرابکاری محض است. هدف میتواند انتقام، ایجاد اختلال در زیرساختهای یک رقیب یا حتی یک حمله با انگیزههای سیاسی باشد. این تغییر ماهیت، ریسک باجافزارها را از یک دردسر مالی به یک تهدید وجودی برای سازمانها تبدیل کرده است.
بذار خلاصه بگم 👇
نسل جدیدی از باجافزارها طراحی شدهاند تا بیسر و صدا اطلاعات شما را نابود کنند، بدون اینکه حتی یک ریال از شما پول بخواهند. هدف آنها دیگر باجگیری نیست، بلکه خرابکاری محض است.
۳. آن عکس بیضرری که در واتساپ دریافت کردید، شاید یک جاسوس تمامعیار باشد – جاسوسافزار LANDFALL – حمله Zero-click به واتساپ سامسونگ
ترسناکترین نوع حمله، حملهای است که برای فعال شدنش حتی نیازی به کلیک شما هم ندارد. به این نوع حملات “Zero-click” یا “بدون کلیک” میگویند و متأسفانه این روزها به لطف آسیبپذیریهای پیچیده، در حال تبدیل شدن به یک تهدید جدی روی گوشیهای هوشمند ما هستند. برنامههای روزمرهای مثل پیامرسانها میتوانند به دروازهای برای ورود جاسوسافزارهای قدرتمند تبدیل شوند.
گزارش اخیر Unit 42 از یک جاسوسافزار جدید به نام LANDFALL پرده برداشته که دقیقاً از همین روش استفاده میکند. این جاسوسافزار به طور خاص دستگاههای سامسونگ را هدف قرار میدهد و از طریق یک فایل عکس دستکاری شده (با فرمت DNG) منتشر میشود. به احتمال زیاد، این عکسهای آلوده از طریق واتساپ برای قربانیان ارسال شدهاند. با دریافت این عکس، یک آسیبپذیری روز-صفر (CVE-2025-21042) در کتابخانه پردازش تصویر سامسونگ فعال میشود و جاسوسافزار روی گوشی نصب میگردد—بدون اینکه کاربر حتی آن عکس را باز کرده باشد. پس از نصب، LANDFALL به یک ابزار نظارتی کامل تبدیل میشود: میتواند میکروفون را ضبط کند، موقعیت مکانی شما را ردیابی کند، عکسها و مخاطبین شما را بدزدد و همه این کارها را در سکوت کامل انجام دهد. جالب است بدانید که این تکنیک شباهت زیادی به حملاتی دارد که قبلاً روی دستگاههای اپل دیده شده بود، که نشان میدهد این یک روند رو به رشد در دنیای جاسوسافزارهای موبایلی است.
بذار خلاصه بگم 👇
هکرها میتوانند جاسوسافزارهای بسیار قدرتمندی را درون یک فایل عکس مخفی کنند و آن را از طریق اپلیکیشنهایی مانند واتساپ برای شما بفرستند. این جاسوسافزار میتواند بدون اینکه شما روی چیزی کلیک کنید، گوشی شما را آلوده کند.
۴. هوش مصنوعی هم کارآموز جدید هکرهاست و هم ابرقدرت مدافعان
هوش مصنوعی (AI) در دنیای امنیت سایبری مثل یک شمشیر دولبه است که هر دو طرف نبرد—هم مهاجمان و هم مدافعان—آن را به سرعت در حال تیز کردن هستند. این یک مسابقه تسلیحاتی تمامعیار است که در آن، هر طرف از هوش مصنوعی برای به دست آوردن برتریهای چشمگیر استفاده میکند.
از یک طرف، هکرها از هوش مصنوعی به عنوان یک کارآموز باهوش و خستگیناپذیر استفاده میکنند. همانطور که در یک ویدیوی یوتیوب از Cyb3rMaddy نشان داده شده، ابزارهایی مانند Burp AI میتوانند به طور خودکار و با سرعتی باورنکردنی، آسیبپذیریهای وبسایتها مانند SQL Injection را پیدا کنند. از سوی دیگر، گزارش Tenable در مورد آسیبپذیریهای ChatGPT نشان میدهد که میتوان با تکنیکی به نام “تزریق پرامپت” (prompt injection)، این چتباتها را فریب داد تا اطلاعات حساس از تاریخچه چت یک کاربر را فاش کنند.
اما در طرف دیگر میدان، مدافعان هم بیکار ننشستهاند. به گفته یکی از مدیران ارشد Palo Alto Networks، آنها از مفهومی به نام “هوش مصنوعی دقیق” (Precision AI) استفاده میکنند. این سیستمها میتوانند حجم عظیمی از هشدارهای امنیتی را تحلیل کرده و هشدارهای کاذب (false positives) را با دقت بالایی حذف کنند. این کار نه تنها به تیمهای امنیتی اجازه میدهد تا روی تهدیدات واقعی تمرکز کنند، بلکه طبق گفتههای این شرکت، میتواند فرآیند رسیدگی به حملات را بیش از ۵۰ درصد سریعتر کرده و بهرهوری تیم را ۵۰ تا ۶۰ درصد افزایش دهد. شرکتهای بزرگی مانند Microsoft، AWS، Kaspersky و Fortinet نیز در حال ادغام هوش مصنوعی در پلتفرمهای امنیتی خود (مانند CNAPP و MXDR) برای خودکارسازی فرآیندهای تشخیص و پاسخ به حملات هستند.
بذار خلاصه بگم 👇
هوش مصنوعی یک شمشیر دو لبه است: هکرها از آن برای پیدا کردن سریعتر حفرههای امنیتی استفاده میکنند، در حالی که مدافعان از آن برای شناسایی دقیقتر و سریعتر حملات بهره میبرند.
۵. بزرگترین تهدید شاید یک باگ ۱۰ ساله باشد، نه یک آسیبپذیری روز-صفر – بهرهبرداری از Log4j و Apache Struts
همیشه وقتی صحبت از هکهای بزرگ میشود، ذهنها به سمت آسیبپذیریهای “روز-صفر” (Zero-day) میرود؛ باگهای جدید و کشفنشدهای که هکرها قبل از همه از آنها باخبر میشوند. اما واقعیت این است که بسیاری از موفقترین حملات سایبری، به خصوص حملات دولتی، نه با استفاده از جادوی سیاه و تکنیکهای فوق پیشرفته، بلکه با بهرهبرداری از باگهای قدیمی و شناختهشدهای انجام میشوند که سازمانها فراموش کردهاند آنها را وصله (Patch) کنند.
بر اساس گزارشی که The Hacker News منتشر کرده، گروههای هکری وابسته به چین به طور فعال در حال اسکن کردن اینترنت برای یافتن سرورهایی هستند که هنوز در برابر آسیبپذیریهای قدیمی مانند Log4j (CVE-2021-44228) یا یک باگ مربوط به سال ۲۰۱۷ در Apache Struts (CVE-2017-9805) و حتی حفرههای امنیتی قدیمیتر در Microsoft IIS ضعیف هستند. این گروهها سازمانهای مختلفی را در سراسر جهان، از جمله یک سازمان غیرانتفاعی در آمریکا، هدف قرار دادهاند تا بتوانند برای مدتی طولانی و به صورت مخفیانه در شبکه آنها باقی بمانند. پیام اصلی این گزارش بسیار ساده و تکاندهنده است: رعایت اصول اولیه امنیت سایبری و نصب مداوم بهروزرسانیهای امنیتی، هنوز هم یکی از مؤثرترین راهها برای مقابله با حتی پیشرفتهترین گروههای هکری است.
بذار خلاصه بگم 👇
بسیاری از حملات سایبری پیچیده با استفاده از هکهای جدید و ناشناخته انجام نمیشوند، بلکه با بهرهبرداری از حفرههای امنیتی قدیمی و معروفی موفق میشوند که شرکتها به سادگی فراموش کردهاند آنها را ترمیم کنند.
۶. فایروال گرانقیمت شما ممکن است یک آبکش باشد – بازرسی ترافیک HTTPS
بسیاری از مدیران فکر میکنند با خرید و نصب یک فایروال سازمانی گرانقیمت، دژ مستحکمی دور تا دور شبکه خود ساختهاند و دیگر خیالشان راحت است. اما تحقیقات جدید نشان میدهد که این تصور میتواند به شکل خطرناکی اشتباه باشد. واقعیت این است که کارایی فایروالها میتواند به شدت متفاوت باشد و برخی از آنها تفاوت چندانی با یک آبکش ندارند!
یک آزمایش جامع که توسط CyberRatings.org روی فایروالهای سازمانی پیشرو در بازار انجام شده، نتایج تکاندهندهای را فاش کرده است. تکاندهندهترین آمار این گزارش این بود:
نرخ محافظت فایروالهای تستشده بین ۳۷.۰۱٪ تا ۹۹.۸۷٪ متغیر بود.
بگذارید این عدد را به زبان ساده ترجمه کنم: برخی از فایروالها تقریباً تمام تهدیدات را مسدود میکنند، در حالی که برخی دیگر به سختی جلوی یکسوم آنها را میگیرند! اما مشکل بزرگتر جای دیگری است. این گزارش نشان میدهد که حدود ۸۰٪ از ترافیک وب به صورت رمزگذاریشده (HTTPS) است، اما اکثر فایروالها به طور پیشفرض این ترافیک را بازرسی نمیکنند. این یعنی هکرها میتوانند حملات خود را در یک تونل رمزگذاریشده پنهان کنند و فایروال شما حتی متوجه عبور آنها هم نشود. علاوه بر این، هکرها از “تکنیکهای فرار” (evasion techniques) برای پنهان کردن حملات خود استفاده میکنند و اگر یک فایروال نتواند حتی یکی از این تکنیکها را شناسایی کند، عملاً بیفایده خواهد بود.
بذار خلاصه بگم 👇
همه فایروالها یکسان ساخته نشدهاند؛ برخی بسیار مؤثر و برخی دیگر به طرز شگفتآوری ضعیف هستند. علاوه بر این، بیشتر آنها ترافیک رمزگذاریشده را که بسیاری از حملات در آن پنهان میشوند، بررسی نمیکنند.
۷. هکرها یک سیستمعامل کامل را درون ویندوز شما پنهان میکنند – گروه Curly COMrades
هکرها همیشه به دنبال راههای جدیدی برای پنهان شدن از دید نرمافزارهای امنیتی هستند و به تازگی یک روش بسیار هوشمندانه و نگرانکننده پیدا کردهاند: استفاده از مجازیسازی برای ساختن یک مخفیگاه در دل سیستمعامل شما. این کار شبیه ساختن یک اتاق مخفی در خانهتان است که هیچکس از وجود آن خبر ندارد.
بر اساس گزارش Bitdefender، یک گروه هکری به نام Curly COMrades این تکنیک را به سطح جدیدی رسانده است. روش کار آنها به این صورت است: ابتدا روی یک سیستم ویندوزی که به آن نفوذ کردهاند، قابلیت Windows Hyper-V (ابزار مجازیسازی مایکروسافت) را فعال میکنند. سپس، با استفاده از آن، یک ماشین مجازی (VM) بسیار کوچک و مینیمال مبتنی بر Alpine Linux را نصب میکنند. این ماشین مجازی مخفی، میزبان بدافزارهای سفارشی آنها مانند CurlyShell (یک reverse shell) میشود.
اما چرا این روش اینقدر هوشمندانه و خطرناک است؟ چون با جدا کردن بدافزار در یک محیط کاملاً ایزوله (ماشین مجازی)، آنها میتوانند بسیاری از ابزارهای پیشرفته تشخیص و پاسخ نقطه پایانی (EDR) را که روی سیستمعامل اصلی ویندوز در حال اجرا هستند، دور بزنند. EDR به دنبال فعالیتهای مشکوک در ویندوز است، در حالی که بدافزار در یک دنیای موازی و کوچک لینوکسی زندگی میکند و از دید آن پنهان میماند.
بذار خلاصه بگم 👇
هکرها روش جدیدی برای پنهان شدن پیدا کردهاند: آنها یک سیستمعامل دوم و بسیار کوچک را درون کامپیوتر ویندوزی شما نصب میکنند و بدافزارشان را در آن قرار میدهند. این کار باعث میشود نرمافزارهای امنیتی شما تقریباً نتوانند آن را ببینند.
۸. جدیدترین حقه: “فایل ZIP شرودینگر” – بدافزار Gootloader
حتماً داستان گربه شرودینگر را شنیدهاید؛ گربهای که در یک جعبه، هم زنده است و هم مرده، تا زمانی که در جعبه را باز کنیم. حالا هکرها با الهام از این ایده، یک “فایل ZIP شرودینگر” ساختهاند که به طور همزمان هم مخرب است و هم بیخطر! این یک حقه خلاقانه برای فریب دادن همزمان کاربران و سیستمهای امنیتی خودکار است.
بر اساس مقالهای در gbhackers در مورد بازگشت بدافزار Gootloader، این بدافزار از یک فایل ZIP با “شخصیت دوگانه” استفاده میکند. روش کار به این صورت است: وقتی شما به عنوان یک کاربر عادی، این فایل ZIP را با استفاده از ابزار پیشفرض Windows Explorer باز میکنید، یک فایل جاوا اسکریپت مخرب از آن استخراج میشود. اما جادوی ماجرا اینجاست: وقتی یک ابزار امنیتی (مانند 7-Zip یا یک sandbox خودکار در VirusTotal) دقیقاً همان فایل را باز میکند، محتویات کاملاً متفاوتی را میبیند: چند فایل متنی بیخطر و بیاهمیت. این تکنیک به بدافزار اجازه میدهد تا از اسکنرهای خودکار عبور کند و زمان کافی برای آلوده کردن سیستم را به دست آورد، قبل از اینکه تحلیلگران امنیتی بتوانند ماهیت واقعی آن را کشف کنند.
بذار خلاصه بگم 👇
نوع جدیدی از بدافزار از یک فایل ZIP هوشمند استفاده میکند که محتوای مخرب خود را به شما نشان میدهد، اما به آنتیویروس شما فایلهای بیخطر را نشان میدهد و به این ترتیب اسکنرهای امنیتی را فریب میدهد.
۹. مسدود کردن IP یک هکر ممکن است اینترنت یک شهر کوچک را قطع کند – Carrier-Grade NAT (CGNAT)
در دنیای امنیت سایبری، یکی از اولین واکنشها به یک حمله، مسدود کردن آدرس IP مهاجم است. این کار منطقی به نظر میرسد، اما در دنیای امروز اینترنت، این اقدام ساده میتواند عواقب ناخواسته و بسیار گستردهای داشته باشد، به خصوص برای کاربرانی که در مناطق در حال توسعه زندگی میکنند.
بر اساس یک پست وبلاگ از Cloudflare، مشکل اصلی به یک فناوری به نام Carrier-Grade NAT (CGNAT) برمیگردد. به زبان ساده، CGNAT فناوریای است که توسط ارائهدهندگان خدمات اینترنت (ISPها)، به ویژه در مناطقی که با کمبود آدرس IPv4 مواجه هستند (مانند بسیاری از کشورهای آفریقا و جنوب آسیا)، استفاده میشود تا صدها یا حتی هزاران کاربر بتوانند از یک آدرس IP عمومی مشترک استفاده کنند. حالا تصور کنید چه اتفاقی میافتد: اگر یک سیستم امنیتی به دلیل فعالیت مخرب یک کاربر، آن آدرس IP مشترک را مسدود کند، ممکن است به طور ناخواسته دسترسی هزاران فرد بیگناه را به یک سرویس قطع کند. دادههای Cloudflare نشان میدهد که IPهای CGNAT سه برابر بیشتر از IPهای معمولی با محدودیت نرخ (rate-limited) مواجه میشوند، که ثابت میکند این “آسیب جانبی” یک مشکل واقعی است. این مسئله دیگر فقط یک چالش فنی نیست، بلکه یک موضوع مرتبط با عدالت دیجیتال است که در آن اقدامات امنیتی میتوانند ناخواسته کاربرانی را در بخشهای در حال توسعه جهان جریمه کنند.
بذار خلاصه بگم 👇
از آنجایی که بسیاری از کاربران در مناطق خاصی از جهان یک آدرس IP مشترک دارند، مسدود کردن یک هکر میتواند به طور تصادفی هزاران کاربر بیگناه را از دسترسی به اینترنت محروم کند.
۱۰. هک بزرگ بعدی همین الان در حال وقوع است؛ فقط هنوز نمیتوانیم آن را بخوانیم
یک تهدید بزرگ و آیندهنگرانه وجود دارد که همین حالا در حال وقوع است، اما نتایج آن را شاید سالها بعد ببینیم. این تهدید با نام “برداشت کن، بعداً رمزگشایی کن” (Harvest now, decrypt later) شناخته میشود و استانداردهای رمزنگاری امروزی ما را با یک چالش وجودی روبرو کرده است.
بر اساس مقالهای از Cloudflare در مورد رمزنگاری پساکوانتومی (PQC)، ماجرا از این قرار است: سازمانهای جاسوسی و هکرها در حال حاضر مشغول سرقت و ذخیرهسازی حجم عظیمی از دادههای رمزگذاریشده امروز هستند. آنها روی این موضوع شرطبندی کردهاند که در آیندهای نزدیک، با ظهور کامپیوترهای کوانتومی قدرتمند، خواهند توانست استانداردهای رمزنگاری فعلی (مانند RSA و ECC) را بشکنند. اگر این اتفاق بیفتد، تمام اطلاعات محرمانهای که امروز دزدیده شده—از اسرار دولتی گرفته تا اطلاعات مالی و شخصی—ناگهان افشا خواهند شد. این تهدید آنقدر جدی است که نهادهای استانداردسازی خواستار منسوخ شدن رمزنگاری فعلی تا سال ۲۰۳۰ شدهاند و شرکتهایی مانند Cloudflare از هم اکنون در حال پیادهسازی PQC هستند تا از دادههای امروزی در برابر تهدیدات محاسباتی فردا محافظت کنند.
بذار خلاصه بگم 👇
جاسوسها در حال سرقت دادههای رمزگذاریشده امروزی هستند و قصد دارند سالها بعد با استفاده از کامپیوترهای کوانتومی، رمز آنها را بشکنند. این یعنی اسرار امروزی ما در بلندمدت امن نیستند.
جمعبندی
همانطور که دیدیم، دنیای امنیت سایبری به سرعت در حال تغییر است و مهاجمان روز به روز خلاقتر میشوند. آنها دیگر فقط به دنبال شکستن قفلها نیستند؛ بلکه از ابزارها، اعتماد و حتی آیندهنگری ما علیه خودمان استفاده میکنند. از پنهان شدن در لباس مبدل نرمافزارهای امنیتی گرفته تا برنامهریزی برای شکستن رمزهای امروزی با کامپیوترهای فردا، یک پیام واضح وجود دارد: هوشیاری و سازگاری، کلید بقا در این دنیای دیجیتال است.
“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec