احتمالاً شما هم هر روز با سیلی از اخبار ترسناک امنیتی روبرو میشوید؛ از هکرهای دولتی گرفته تا باجافزارهایی که کسبوکارها را فلج میکنند. راستش را بخواهید، این حجم از خبرهای بد میتواند هر کسی را کلافه کند. اما باید به شما بگویم در میان این همه هیاهو، حقایقی وجود دارد که حتی از تیترهای خبری هم غافلگیرکنندهتر هستند. این مقاله قرار است گرد و خاک را کنار بزند و ۱۰ حقیقت شگفتانگیز و تأثیرگذار درباره وضعیت فعلی امنیت سایبری را برایتان فاش کند. ما این نکات را از گزارشهای اخیر متخصصان برجستهای چون CISA، Sophos، MITRE و دیگران جمعآوری کردهایم. پس یک نفس عمیق بکشید و آماده سفری روشنگرانه به دنیای واقعی هکرها و مدافعان شوید.
۱. شاید آنتیویروس شما چشمبند زده باشد – AuKill – فرار از EDR – تکنیک BYOVD
در دنیای دیجیتال امروز، نرمافزارهای امنیتی پیشرفتهای به نام EDR (Endpoint Detection and Response) نقش نگهبانان هوشیار را روی کامپیوترها و سرورهای ما بازی میکنند. آنها هر حرکت مشکوکی را زیر نظر دارند و آمادهاند تا در برابر کوچکترین تهدیدی واکنش نشان دهند. اما چه اتفاقی میافتد اگر مهاجمان راهی پیدا کنند تا این نگهبانان را قبل از شروع حمله، کور کنند؟ اینجاست که مفهوم “فرار از EDR” یا EDR Evasion وارد میدان میشود، یک تاکتیک زیرکانه که به یکی از بزرگترین نگرانیهای تیمهای امنیتی تبدیل شده است.
مهاجمان دیگر به پنهان شدن راضی نیستند؛ آنها فعالانه ابزارهای امنیتی را از کار میاندازند. یکی از جدیدترین و نگرانکنندهترین نمونهها، ابزاری به نام AuKill است. این ابزار از تکنیکی به نام “آوردن درایور آسیبپذیر خود” (BYOVD) استفاده میکند. به زبان ساده، هکرها یک درایور قدیمی اما کاملاً معتبر و امضاشده توسط مایکروسافت (مربوط به ابزار Process Explorer) را به سیستم قربانی میآورند. از آنجایی که این درایور قدیمی و آسیبپذیر است، به آنها اجازه میدهد تا با اختیارات سطح بالا، فرآیندهای مربوط به نرمافزار EDR را قبل از اجرای بدافزار اصلی، از بین ببرند. ابزارهای دیگری مانند EDR-Redir نیز وجود دارند که با تغییر مسیر پوشههای EDR، عملکرد آن را مختل میکنند. در واقع، مهاجمان دیگر از کنار نگهبان یواشکی رد نمیشوند؛ آنها نگهبان را فریب میدهند تا به سمتی دیگر نگاه کند و سپس با خیال راحت وارد میشوند.
“بذار خلاصه بگم 👇” هکرها از ابزارهای هوشمندانهای استفاده میکنند تا نرمافزارهای امنیتی (EDR) روی کامپیوتر شما را از کار بیندازند. آنها این کار را با سوءاستفاده از یک درایور قدیمی و معتبر مایکروسافت انجام میدهند تا قبل از حمله، نگهبان امنیتی سیستم شما را کور کنند.
این تازه شروع ماجراست، زیرا هوش مصنوعی نیز در این بازی نقش دوگانهای ایفا میکند.
۲. هوش مصنوعی فقط قهرمان نیست—در حال تبدیل شدن به تبهکار هم هست – هوش مصنوعی Aardvark
هوش مصنوعی (AI) به سرعت در حال تبدیل شدن به یک شمشیر دولبه در دنیای امنیت سایبری است. در حالی که شرکتها با هیجان از آن برای تقویت دیوارهای دفاعی خود استفاده میکنند، مهاجمان نیز بیکار ننشستهاند و در حال ساخت سلاحهای هوشمند خود هستند. این فناوری که قرار بود ناجی ما باشد، حالا به ابزاری قدرتمند در دستان تبهکاران نیز تبدیل شده است.
بر اساس گزارش SSSCIP که در The Hacker News منتشر شده، هکرهای روسی از هوش مصنوعی برای تولید ایمیلهای فیشینگ بسیار متقاعدکنندهتر و حتی ساخت نمونههای بدافزاری مانند WRECKSTEEL استفاده میکنند. این یعنی حملات دیگر توسط ماشینهای ساده برنامهریزی نمیشوند، بلکه با خلاقیت و هوشمندی یک هوش مصنوعی طراحی میشوند. در طرف مقابل، شرکتهایی مانند OpenAI ابزار “Aardvark” را توسعه دادهاند؛ یک محقق امنیتی هوش مصنوعی که به طور مستقل آسیبپذیریها را پیدا کرده و برای آنها وصله تولید میکند.
اما داستان از این هم پیچیدهتر میشود. محققان در SPLX از مفهومی به نام “پنهانکاری هدفمند علیه هوش مصنوعی” (AI-targeted cloaking) پرده برداشتهاند. در این روش، یک وبسایت به خزندههای هوش مصنوعی (مانند خزنده ChatGPT) محتوایی متفاوت از آنچه به یک کاربر انسانی نشان میدهد، ارائه میکند. این کار شبیه حواسپرتی یک شعبدهباز است؛ در حالی که هوش مصنوعی در حال خواندن یک متن معتبر و بیخطر است، محتوای مخرب یا اطلاعات نادرست به کاربران انسانی نمایش داده میشود تا بتوانند افکار عمومی یا نتایج جستجوی هوش مصنوعی را دستکاری کنند.
“بذار خلاصه بگم 👇” هوش مصنوعی یک شمشیر دولبه است. در حالی که شرکتها از آن برای پیدا کردن حفرههای امنیتی استفاده میکنند، هکرها هم از آن برای ساخت بدافزار و ایمیلهای فیشینگ متقاعدکنندهتر و حتی فریب دادن هوش مصنوعی دیگران بهره میبرند.
با پیچیدهتر شدن ابزارها، ساختار گروههای مجرمانه نیز در حال تغییر است.
۳. جرایم سایبری در حال تبدیل شدن به اقتصاد گیگ (Gig Economy) است – مدل گیگ در هک
دنیای جرایم سایبری در حال تجربه یک تحول استراتژیک است. دیگر دوران گروههای هکری یکپارچه که تمام مراحل یک حمله را از صفر تا صد انجام میدادند، به سر آمده است. امروز، ما شاهد ظهور یک مدل تخصصی و مبتنی بر خدمات هستیم که بیشباهت به “اقتصاد گیگ” یا فریلنسری نیست.
بر اساس گزارش “پیشبینیهای تهدید برای سال ۲۰۲۵” از FortiGuard Labs، به جای هکرهای “همهفنحریف”، شاهد ظهور گروههایی خواهیم بود که فقط روی یک بخش از زنجیره حمله تمرکز میکنند. برای مثال، یک گروه ممکن است تنها در زمینه شناسایی اولیه (Reconnaissance) یا دستیابی به دسترسی اولیه (Initial Access) تخصص داشته باشد و خدمات خود را به گروههای دیگر بفروشد. این مدل را میتوان به یک پروژه ساختمانی تشبیه کرد: به جای استخدام یک نفر که همه کارها را به طور متوسط انجام دهد، شما یک لولهکش، یک برقکار و یک نجار متخصص استخدام میکنید. این تخصصگرایی باعث میشود حملات بسیار کارآمدتر، هدفمندتر و ردیابی آنها دشوارتر شود، زیرا هر قطعه از پازل توسط یک تیم متفاوت اجرا شده است.
“بذار خلاصه بگم 👇” گروههای هکری در حال تخصصی شدن هستند. به جای اینکه یک گروه همه کارها را انجام دهد، حالا تیمهای مختلفی وجود دارند که فقط در یک بخش از حمله، مثلاً جمعآوری اطلاعات اولیه، تخصص دارند و خدماتشان را به هکرهای دیگر میفروشند.
اما در حالی که مهاجمان در حال نوآوری هستند، بسیاری از آنها هنوز از روشهای قدیمی و آزمایششده سود میبرند.
۴. باگهای قدیمی هرگز نمیمیرند، فقط دوباره هک میکنند – آسیب پذیری CVE-2014-6278 – آلودگی BadCandy
بسیاری از ما تصور میکنیم که بزرگترین تهدیدات سایبری، حملات پیچیده و جدیدی به نام “روز صفر” (Zero-day) هستند؛ آسیبپذیریهایی که به تازگی کشف شده و هنوز هیچ وصلهای برایشان وجود ندارد. اما حقیقت این است که یکی از بزرگترین خطرات، درست جلوی چشم ما و در کمین سیستمهایی است که سالهاست بهروزرسانی نشدهاند.
نگاهی به فهرست “آسیبپذیریهای شناختهشده و مورد بهرهبرداری” (KEV) سازمان CISA این واقعیت را به خوبی نشان میدهد. این سازمان هنوز در حال اضافه کردن آسیبپذیریهایی از سالهای بسیار دور، مانند CVE-2014-6278، به این فهرست است. چرا؟ چون هکرها هنوز به طور فعال از آنها برای نفوذ به سیستمها استفاده میکنند. یک مثال عینی و اخیر، آلودگیهای “BadCandy” در استرالیاست. این وبشل (Webshell) هنوز هم از طریق یک آسیبپذیری در دستگاههای Cisco (که وصله آن در سال ۲۰۲۳ منتشر شد) در حال نفوذ به شبکههاست. این وضعیت مانند این است که شما سالها درِ ورودی خانه خود را قفل نکنید و بعد از اینکه یک روز دزد به خانهتان زد، تعجب کنید. این سهلانگاری در بهروزرسانی، یک دعوتنامه باز برای مهاجمان است.
“بذار خلاصه بگم 👇” بزرگترین خطر همیشه جدیدترین حفرههای امنیتی نیست. هکرها هنوز هم از آسیبپذیریهای قدیمی که سالها پیش کشف شدهاند اما توسط شرکتها وصله نشدهاند، برای نفوذ به سیستمها استفاده میکنند.
این بیتوجهی به امنیت، در محیطهای ابری میتواند عواقب جدیتری داشته باشد.
۵. ابرها قلعههای امن و پنبهای نیستند—آنها یک در پشتی جدید هستند – دستکاری اعتبارنامههای ابری
بسیاری از سازمانها مهاجرت به فضای ابری (Cloud) را یک گام بزرگ برای ارتقای امنیت خود میدانند. اما این تصور که ابرها قلعههایی امن و نفوذناپذیر هستند، یک اشتباه خطرناک است. در واقع، محیطهای ابری یک سطح حمله جدید و اغلب ناشناخته را معرفی میکنند که مهاجمان به خوبی یاد گرفتهاند چگونه از آن سوءاستفاده کنند.
یکی از خطرناکترین تکنیکها در این زمینه، دستکاری اعتبارنامههای ابری (Additional Cloud Credentials) است که در پایگاه دانش MITRE ATT&CK با کد T1098.001 ثبت شده است. وقتی مهاجمان به یک محیط ابری نفوذ میکنند، فقط به دنبال سرقت دادهها نیستند؛ آنها برای خودشان درهای پشتی میسازند. برای مثال، در AWS، آنها میتوانند کلیدهای SSH جدیدی برای خودشان تولید کنند یا در Azure، رمزهای عبور جدیدی به حسابهای سرویس (Service Principals) اضافه کنند.
نکته کلیدی اینجاست: این اعتبارنامههای جدید به مهاجمان یک دسترسی پایدار و دائمی میدهد. حتی اگر سازمان متوجه نفوذ اولیه شود و رمز عبور حساب اصلیِ هکشده را تغییر دهد، مهاجمان همچنان با کلیدهای پشتیبان خود میتوانند به سیستم دسترسی داشته باشند. گروه بدنام APT29 در جریان حمله معروف SolarWinds دقیقاً از همین تکنیک برای حفظ دسترسی بلندمدت خود استفاده کرد.
“بذار خلاصه بگم 👇” وقتی هکرها به محیط ابری (Cloud) شما نفوذ میکنند، فقط اطلاعات را نمیدزدند، بلکه برای خودشان کلیدهای پشتیبان میسازند. آنها میتوانند کلیدهای SSH یا رمزهای عبور جدیدی اضافه کنند تا حتی اگر شما رمز اصلی را عوض کنید، باز هم به سیستم شما دسترسی داشته باشند.
اما تهدید فقط به زیرساختهای شما محدود نمیشود؛ زنجیره تأمین نرمافزار شما نیز در خطر است.
۶. بهروزرسانیهای نرمافزاری شما ممکن است یک همزاد شیطانی داشته باشند – کرم Shai-Hulud
همه ما به بهروزرسانیهای نرمافزاری اعتماد میکنیم. وقتی یک توسعهدهنده از یک Package Manager مانند npm برای نصب یا بهروزرسانی یک کتابخانه کد استفاده میکند، فرض بر این است که بستهای که دریافت میکند، همان چیزی است که باید باشد. اما چه میشود اگر این اعتماد به یک سلاح تبدیل شود؟ حملات زنجیره تأمین نرمافزار دقیقاً همین اعتماد را هدف قرار میدهند.
یک نمونه هولناک اخیر، کرم “Shai-Hulud” است که در اکوسیستم npm پخش شد. این بدافزار یک قابلیت کرم-مانند دارد: ابتدا کامپیوتر یک توسعهدهنده را آلوده میکند، سپس اعتبارنامههای او (توکنهای npm و GitHub) را میدزدد. در مرحله بعد، از این اعتبارنامهها استفاده میکند تا به طور خودکار نسخههای آلودهای از بستههای نرمافزاری دیگری که آن توسعهدهنده نگهداری میکند، منتشر کند. این کار یک زنجیره از آلودگی ایجاد میکند و بستههای نرمافزاری معتبر را به ابزاری برای توزیع بدافزار تبدیل میکند. بر اساس گزارشها، بیش از ۵۰۰ بسته، از جمله بستههایی تحت حساب کاربری “crowdstrike-publisher”، به این روش آلوده شدند و این حمله به سرعت در سراسر اکوسیستم توسعهدهندگان پخش شد.
“بذار خلاصه بگم 👇” یک بدافزار جدید مثل یک کرم در کتابخانه کدنویسها (npm) پخش شده است. این بدافزار حساب توسعهدهندگان را هک میکند و بعد به طور خودکار نسخههای آلودهای از بستههای نرمافزاری آنها را منتشر میکند و به این ترتیب به سرعت در اکوسیستم پخش میشود.
وقتی مهاجمان وارد سیستم میشوند، استاد پنهان شدن هستند.
۷. مهاجمان استادان تغییر چهره هستند – پنهان شدن با نامهای سیستمی – کد T1036.005
یکی از هوشمندانهترین استراتژیهای مهاجمان پیشرفته، “پنهان شدن در معرض دید” است. آنها به جای استفاده از فایلهایی با نامهای عجیب و غریب که به راحتی شناسایی میشوند، بدافزارهای خود را در لباس فایلهای سیستمی معتبر و آشنا پنهان میکنند تا از چشم تیمهای امنیتی دور بمانند. این تکنیک که در پایگاه دانش MITRE ATT&CK با کد T1036.005 ثبت شده، “تطبیق نام یا مکان منابع قانونی” نام دارد.
نمونههای این تکنیک بسیار متنوع و غافلگیرکننده هستند:
- گروه Carbanak بدافزار خود را به نام
**svchost.exe**نامگذاری کرد، که نام یکی از حیاتیترین فرآیندهای ویندوز است. - گروه APT32 یک بدافزار Cobalt Strike را به
**install_flashplayers.exe**تغییر نام داد تا شبیه یک نصبکننده قانونی Flash Player به نظر برسد. - گروه BRONZE BUTLER بدافزار خود را با نام دقیقاً یکسان با یک فایل موجود در یک سرور اشتراکی قرار داد تا کاربران ناآگاهانه آن را اجرا کنند.
- بدافزار Cyclops Blink نام فرآیند خود را به
**[kworker:0/1]**تغییر داد تا شبیه یکی از رشتههای پردازشی هسته لینوکس (kernel thread) به نظر برسد.
این روش به این دلیل مؤثر است که تحلیلگران امنیتی برای پیدا کردن فایلهای عجیب و غریب آموزش دیدهاند، نه فایلهایی با نامهای آشنا که کارهای مخرب انجام میدهند.
“بذار خلاصه بگم 👇” هکرها بدافزارهای خود را با نامهای فایلهای سیستمی و معتبر مثل svchost.exe یا install_flash_player.exe مخفی میکنند. با این کار، آنها در میان انبوهی از فرآیندهای قانونی پنهان میشوند و شناسایی آنها برای تیمهای امنیتی بسیار دشوارتر میشود.
اما این تکنیکهای پیشرفته چه کسانی را هدف قرار میدهند؟ پاسخ ممکن است شما را شگفتزده کند.
۸. آنها فقط به دنبال شرکتهای بزرگ نیستند—به دنبال شما هستند – نشت داده SMB
رسانهها معمولاً روی نشتهای اطلاعاتی عظیم در شرکتهای غولپیکر تمرکز میکنند و این تصور را ایجاد میکنند که کسبوکارهای کوچک و متوسط (SMBs) هدف جذابی برای هکرها نیستند. اما دادههای واقعی داستان کاملاً متفاوتی را روایت میکنند.
بر اساس یافتههای “رصدخانه نشت داده پروتون” (Proton’s Data Breach Observatory)، که دادههای خود را مستقیماً از دارک وب جمعآوری میکند، هدف اصلی هکرها اصلاً شرکتهای بزرگ نیستند. آمار شگفتانگیز است: کسبوکارهای کوچک و متوسط با ۱ تا ۲۴۹ کارمند، ۷۰.۵ درصد از کل نشتهای اطلاعاتی گزارششده را به خود اختصاص دادهاند.
چرا؟ پاسخ ساده است: اگرچه درآمد حاصل از حمله به یک شرکت بزرگ ممکن است بیشتر باشد، اما نفوذ به SMBها بسیار آسانتر است، زیرا آنها معمولاً منابع و تدابیر امنیتی کمتری دارند. این کسبوکارها “میوههای دم دست” برای مجرمان سایبری هستند. این گزارش همچنین نشان میدهد که بخش خردهفروشی (Retail) با ۲۵.۳ درصد، بیشترین هدف حملات بوده است که مستقیماً بر اطلاعات مصرفکنندگان تأثیر میگذارد.
“بذار خلاصه بگم 👇” برخلاف تصور عمومی، هدف اصلی هکرها شرکتهای غولپیکر نیستند، بلکه کسبوکارهای کوچک و متوسط هستند. بیش از ۷۰ درصد از نشتهای اطلاعاتی مربوط به این شرکتهاست، چون امنیت ضعیفتری دارند و هدفهای آسانتری محسوب میشوند.
و وقتی هکرها وارد سیستم شما میشوند، به دنبال چیزی فراتر از رمز عبور شما هستند.
۹. وقتی میتوانند “روح” شما را بدزدند، به رمز عبورتان نیازی ندارند – دستکاری توکن دسترسی – Token Manipulation
همه ما روی محافظت از رمزهای عبور خود تمرکز کردهایم، اما مهاجمان راهی پیدا کردهاند تا این لایه امنیتی را به طور کامل دور بزنند. آنها به جای دزدیدن رمز عبور، چیزی بسیار قدرتمندتر را هدف قرار میدهند، توکنهای دسترسی (Access Tokens).
در پایگاه دانش MITRE ATT&CK، این تکنیک با کد T1134 به نام “دستکاری توکن دسترسی” شناخته میشود. توکن دسترسی را میتوان مانند یک کارت شناسایی یا نشان امنیتی موقت در نظر گرفت. وقتی یک برنامه در سیستم شما اجرا میشود، این توکن ثابت میکند که آن برنامه اجازه انجام چه کارهایی را دارد. هکرها از روشی به نام “دزدی توکن” (Token Stealing) استفاده میکنند. در این روش، یک مهاجم که قبلاً به سطح دسترسی مدیر (Administrator) رسیده است، میتواند توکن دسترسی یک فرآیند با اختیارات بسیار بالا (مانند فرآیندهای سیستمی یا SYSTEM) را کپی کند.
نکته تکاندهنده اینجاست: با این کار، مهاجم میتواند بدون نیاز به هیچ رمز عبوری، سطح دسترسی خود را از “مدیر” به “SYSTEM” ارتقا دهد که بالاترین سطح کنترل در یک کامپیوتر ویندوزی است. این مانند این است که یک نگهبان کارت ورود مدیرعامل را کپی کند و به تمام اتاقهای محرمانه دسترسی پیدا کند. گروههایی مانند Duqu و Cuba به طور مؤثری از این تکنیک برای به دست آوردن کنترل کامل سیستمهای قربانی استفاده کردهاند.
“بذار خلاصه بگم 👇” هکرها به جای دزدیدن رمز عبور شما، یک “کارت شناسایی” موقت و قدرتمند (Access Token) را از فرآیندهای سیستمی کپی میکنند. این کار به آنها اجازه میدهد تا از سطح دسترسی ادمین به بالاترین سطح دسترسی (SYSTEM) برسند و کنترل کامل کامپیوتر را به دست بگیرند.
این سرعت و هوشمندی در حملات، ما را به آخرین نکته میرساند.
۱۰. آن آسیبپذیری کاملاً جدید؟ همین الان در حال هک شدن است. – حمله Zero-day VMware – آسیب پذیری CVE-2025-41244
سرعت حملات سایبری مدرن سرسامآور است. فاصلهی زمانی بین اعلام عمومی یک آسیبپذیری و شروع بهرهبرداری از آن توسط هکرها، تقریباً به صفر رسیده است. در بسیاری از موارد، این فاصله حتی منفی است؛ یعنی هکرها قبل از اینکه ما حتی از وجود یک حفره امنیتی باخبر شویم، در حال استفاده از آن هستند.
هشدارهای مداوم CISA در مورد “آسیبپذیریهای شناختهشده و مورد بهرهبرداری” (KEV) گواه این مدعاست. به عنوان یک نمونه، آسیبپذیری اخیر در VMware (با کد CVE-2025-41244) را در نظر بگیرید. هکرهای تحت حمایت دولت چین (گروه UNC5174) از اکتبر ۲۰۲۴، یعنی ماهها قبل از انتشار وصله امنیتی و اضافه شدن آن به فهرست CISA، از این حفره به عنوان یک “روز صفر” (Zero-day) برای نفوذ به شبکهها استفاده میکردند.
نمونه دیگر، بهروزرسانی عظیم “Patch Tuesday” مایکروسافت در اکتبر ۲۰۲۵ است. در این بهروزرسانی، ۱۷۲ آسیبپذیری برطرف شد که شامل شش آسیبپذیری روز صفر بود و سه مورد از آنها از قبل به طور فعال توسط هکرها مورد بهرهبرداری قرار گرفته بودند. این واقعیت تلخ نشان میدهد که تا زمانی که خبر یک آسیبپذیری به گوش عموم میرسد، مهاجمان اغلب کار خود را کردهاند و در حال نفوذ به سیستمهای وصلهنشده هستند.
“بذار خلاصه بگم 👇” فاصله بین اعلام یک آسیبپذیری جدید و شروع حملات هکرها تقریباً صفر شده است. در بسیاری از موارد، مثل یک حفره امنیتی اخیر در VMware، هکرها ماهها قبل از اینکه حتی وصله امنیتی آن منتشر شود، از آن برای نفوذ به شبکهها استفاده میکردند.
نتیجهگیری
بله، چشمانداز امنیت سایبری دلهرهآور است، اما ناامیدکننده نیست. آگاهی از این تاکتیکهای غافلگیرکننده—از حملات مبتنی بر هوش مصنوعی گرفته تا بهرهبرداری از باگهای قدیمی و فراموششده—اولین و مهمترین قدم برای دفاع است. دانستن اینکه مهاجمان چگونه فکر میکنند و عمل میکنند، به ما این قدرت را میدهد که یک گام جلوتر از آنها باشیم. این گزارش فقط مجموعهای از حقایق ترسناک نبود، بلکه یک نقشه از زمین بازی بود.
“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec