حفره روز-صفر Oracle Identity Manager چیست؟

آسیبپذیری CVE-2025-61757 یک نقص اجرای کد از راه دور (RCE) است که به مهاجم اجازه میدهد با فریب فیلترهای امنیتی، کد Groovy را در زمان کامپایل اجرا کرده و کنترل کامل سرور را بدون احراز هویت در دست بگیرد.

آسیبپذیریهای CVSS 10.0 در Azure Bastion و Grafana کدامند؟

آسیبپذیری Azure Bastion (CVE-2025-49752) از نوع Capture-Replay است که مکانیزم احراز هویت را دور میزند. آسیبپذیری Grafana (CVE-2025-41115) به یک کاربر عادی اجازه جعل هویت ادمین را میدهد.

هکرها چگونه به دادههای Salesforce دسترسی پیدا کردند؟

مهاجمان با سرقت توکنهای OAuth از اپلیکیشن ثالث Gainsight، از زنجیره تأمین SaaS سوءاستفاده کرده و به دادههای مشتریان Salesforce دسترسی پیدا کردند و سپس یک کارمند CrowdStrike را برای جاسوسی خریدند.

گروه BlueNoroff چگونه با تماسهای جعلی حمله میکند؟

BlueNoroff با کمپینهای GhostCall و GhostHire از ویدیوهای ضبط شده از قربانیان قبلی و عکسهای تولید شده با هوش مصنوعی برای ایجاد جلسات آنلاین جعلی (Zoom/Teams) استفاده میکند تا کاربران را فریب دهد و کلیدهای ابری و رمزهای ارز آنها را سرقت کند.

امنیت سایبری، Zero-Day اوراکل، Azure Bastion و جاسوسی BlueNoroff

🕒 زمان مطالعه: حدود ۲۶ دقیقه

چشم‌انداز تهدیدات امروز نشان‌دهنده موجی از آسیب‌پذیری‌های روز-صفر حیاتی در محصولات سازمانی بزرگ مانند Grafana ،Oracle و Microsoft Azure است که به مهاجمان اجازه می‌دهد با کمترین تلاش، کنترل کامل زیرساخت‌ها را به دست گیرند. همزمان، گروه‌های تهدیدگر پیشرفته (APT) مانند BlueNoroff (بلو-نور-آف) و APT31 (اِی-پی-تی-۳۱) با استفاده از تکنیک‌های مهندسی اجتماعی فوق‌پیچیده و بهره‌برداری از سرویس‌های ابری قانونی، مرزهای پنهان‌کاری را جابجا می‌کنند. در کنار این‌ها، ریسک‌های زنجیره تأمین، همان‌طور که در حمله به Salesforce مشاهده شد، به وضوح نشان می‌دهد که امنیت یک سازمان تنها به اندازه امنیت ضعیف‌ترین شریک یکپارچه‌شده با آن است.

آنچه در این مطلب می‌خوانید

۱. کنترل کامل سرورهای Oracle با یک آسیب‌پذیری روز-صفر حیاتی (CVE-2025-61757)

آژانس امنیت سایبری و زیرساخت آمریکا (CISA)، یک آسیب‌پذیری اجرای کد از راه دور پیش از احراز هویت (Pre-auth RCE) با شناسه CVE-2025-61757 و امتیاز CVSS 9.8 را در محصول Oracle Identity Manager به لیست آسیب‌پذیری‌های فعالاً در حال بهره‌برداری (KEV) اضافه کرده است. این آسیب‌پذیری که توسط محققان Searchlight Cyber کشف شده، به عنوان یک روز-صفر (Zero-Day) مورد سوءاستفاده قرار گرفته و به مهاجمان اجازه می‌دهد کنترل کامل سیستم‌های مدیریت هویت را بدون نیاز به هیچ‌گونه اعتبارسنجی در دست بگیرند.

Oracle Identity Manager یک سیستم مرکزی برای مدیریت هویت و دسترسی در سازمان‌های بزرگ است و نفوذ به آن می‌تواند به کنترل کامل زیرساخت منجر شود. اهمیت این آسیب‌پذیری در سادگی بهره‌برداری از آن است. مکانیزم حمله به این صورت عمل می‌کند که مهاجم با اضافه کردن ?WSDL یا ;.wadl به انتهای یک URL، فیلترهای امنیتی مبتنی بر عبارت منظم (Regex) را فریب می‌دهد. این کار باعث می‌شود سیستم، یک نقطه پایانی (endpoint) محافظت‌شده را به عنوان یک مسیر عمومی و بدون نیاز به احراز هویت شناسایی کند. طنز تلخ ماجرا اینجاست که API آسیب‌پذیر داخلی که مهاجم به آن دسترسی پیدا می‌کند، در اصل فقط برای بررسی سینتکس کدهای Groovy طراحی شده و نه اجرای آن‌ها؛ اما مهاجم می‌تواند با سوءاستفاده از آن، کد مخرب خود را در زمان کامپایل اجرا کند.

برای درک بهتر این حمله، از یک مثال سه مرحله‌ای استفاده می‌کنیم:

۱. سناریوی عادی: تصور کنید یک ساختمان فوق امنیتی یک نگهبان دارد که لیستی از افراد مجاز برای ورود بدون هماهنگی را در دست دارد.
۲. بردار حمله: مهاجم با یک کارت شناسایی جعلی که روی آن نوشته شده “پیمانکار تحویل WSDL” نزدیک می‌شود. در دفترچه قوانین نگهبان یک loophole وجود دارد که می‌گوید هر فردی با عنوان “WSDL” خودکار در لیست مجاز قرار می‌گیرد. نگهبان بدون بررسی بیشتر به او اجازه ورود می‌دهد.
۳. فاجعه: مهاجم پس از ورود، یک کارگاه را پیدا می‌کند که ظاهراً فقط برای “بررسی ابزارها” است، اما با استفاده از همان ابزارها یک شاه‌کلید برای تمام درهای ساختمان می‌سازد.

توصیه می شود سازمان‌هایی که از Oracle Identity Manager نسخه 12.2.1.4.0 و 14.1.2.1.0 استفاده می‌کنند باید فوراً بسته به‌روزرسانی حیاتی (Critical Patch Update) ارائه شده توسط Oracle را نصب کنند.

بذار خلاصه بگم 👇

یک باگ خیلی ناجور در نرم‌افزار مدیریت هویت اوراکل پیدا شده که هکرها بدون نیاز به پسورد می‌تونن کل سیستم رو در اختیار بگیرن. CISA میگه این حفره از ماه‌ها قبل در حال استفاده بوده، پس سریعا آپدیت کنید.

منابع این بخش:

۲. دو آسیب‌پذیری با امتیاز ۱۰.۰: نقص‌های حیاتی در Azure Bastion و Grafana Enterprise

امروز روز امتیازهای کامل بود! دو آسیب‌پذیری کاملا مجزا با امتیاز وحشتناک ۱۰.۰ از ۱۰ وصله شدند که هر دو نشان‌دهنده‌ی خطرات جدی برای زیرساخت‌های ابری و مانیتورینگ هستند. اولین مورد، CVE-2025-49752، سرویس Azure Bastion مایکروسافت را تحت تأثیر قرار می‌دهد و دومین مورد، CVE-2025-41115، در Grafana Enterprise کشف شده است.

Azure Bastion یک سرویس مدیریت شده است که دسترسی امن از راه دور (RDP/SSH) به ماشین‌های مجازی را بدون نیاز به باز کردن پورت‌های آن‌ها در اینترنت عمومی فراهم می‌کند. این آسیب‌پذیری به مهاجم اجازه می‌دهد با استفاده از تکنیک Capture-Replay، مکانیزم‌های احراز هویت را به طور کامل دور بزند. مهاجم می‌تواند یک توکن احراز هویت معتبر را ضبط کرده و بارها از آن استفاده کند تا بدون نیاز به رمز عبور، کنترل کامل هاست Bastion و در نتیجه تمام ماشین‌های مجازی متصل به آن را به دست آورد.

فرض کنید درب گاوصندوق یک بانک (Azure Bastion) با یک کد دیجیتال یک‌بار مصرف باز می‌شود. مهاجم سیگنال الکترونیکی باز شدن در را یک بار ضبط می‌کند. به دلیل این نقص، سیستم قفل پس از استفاده، سیگنال را باطل نمی‌کند. حالا مهاجم می‌تواند همان سیگنال ضبط شده را بارها “پخش” کرده و هر زمان که خواست در را باز کند.

مدیران سیستم باید اطمینان حاصل کنند که وصله امنیتی اضطراری منتشر شده در تاریخ ۲۰ نوامبر ۲۰۲۵ روی تمام نمونه‌های Azure Bastion نصب شده است. همچنین، بررسی لاگ‌های دسترسی مدیریتی برای شناسایی فعالیت‌های مشکوک در بازه زمانی قبل از نصب وصله، اکیداً توصیه می‌شود.

آسیب‌پذیری Grafana (CVE-2025-41115):

این یک نقص ارتقاء سطح دسترسی است که تنها در صورتی رخ می‌دهد که قابلیت SCIM (سیستمی برای مدیریت هویت بین دامنه‌ای) فعال باشد. در این سناریو، یک کلاینت SCIM مخرب می‌تواند یک کاربر جدید با یک externalId عددی (مثلاً ‘1’) ایجاد کند. Grafana این شناسه را به اشتباه به عنوان شناسه‌ی کاربر داخلی تفسیر می‌کند و به طور بالقوه به کاربر جدید اجازه می‌دهد تا هویت کاربر پیش‌فرض ادمین (که معمولاً شناسه‌ی ‘1’ را دارد) را جعل کرده و کنترل کامل پلتفرم را به دست آورد.

چه باید کرد؟

برای Azure Bastion، آپدیت امنیتی مایکروسافت که در تاریخ ۲۰ نوامبر منتشر شده باید فوراً اعمال شود. برای Grafana، اگر از قابلیت SCIM استفاده می‌کنید، به نسخه‌های پچ‌شده ارتقا دهید.

“بذار خلاصه بگم 👇”

دو تا حفره امنیتی با امتیاز کامل ۱۰ از ۱۰! یکی در سرویس Azure مایکروسافت که به هکر اجازه میده بدون پسورد مدیر بشه، و اون یکی در Grafana که اگه یه قابلیتش فعال باشه، یه کاربر معمولی میتونه جای ادمین اصلی رو بگیره. جفتشون خیلی خطرناکن.

منابع این بخش:

GBHackers
– The Hacker News

۳. حمله زنجیره تأمین APT24 و بدافزار جدید BADAUDIO

بر اساس گزارش Google Threat Intelligence Group (GTIG)، گروه چینی APT24 (اِی-پی-تی-۲۴)، که با نام Pitty Tiger نیز شناخته می‌شود، از یک بدافزار جدید به نام BADAUDIO (بَد-آ-دی-یو) در یک کمپین جاسوسی سه‌ساله علیه اهدافی در تایوان استفاده کرده است.

این کمپین به شدت بر حمله زنجیره تأمین متمرکز است. مهاجمان با نفوذ به یک شرکت بازاریابی دیجیتال در تایوان، یک کتابخانه جاوااسکریپت پرکاربرد را که توسط این شرکت توزیع می‌شد، آلوده کردند. این اقدام به آن‌ها اجازه داد تا به بیش از ۱۰۰۰ دامنه دیگری که از این کتابخانه استفاده می‌کردند نفوذ کرده و بدافزار BADAUDIO را توزیع کنند. علاوه بر این، گروه از روش‌های دیگری مانند حملات Watering Hole (آلوده کردن وب‌سایت‌های پربازدید) و فیشینگ هدفمند نیز برای دستیابی اولیه به اهداف خود بهره برده است.
کد مخرب ابتدا مرورگر قربانی را انگشت‌نگاری (fingerprint) می‌کند و در صورت تطابق با معیارهای مهاجم، یک پاپ‌آپ جعلی آپدیت گوگل کروم نمایش می‌دهد. این پاپ‌آپ در واقع بدافزار BADAUDIO را روی سیستم قربانی نصب می‌کند.

این حمله شبیه آلوده کردن منبع آب یک شهر است. مهاجمان به جای حمله به تک‌تک خانه‌ها، به تصفیه‌خانه (شرکت بازاریابی) نفوذ کرده و ماده‌ای سمی (کد مخرب) را وارد آب لوله‌کشی (کتابخانه جاوااسکریپت) کرده‌اند که این آب آلوده به تمام خانه‌های متصل به آن (وب‌سایت‌ها) می‌رسد.

سازمان‌ها باید اسکریپت‌های (third-party) که در وب‌سایت‌های خود استفاده می‌کنند را به طور منظم ممیزی کنند. استفاده از مکانیزم‌های Subresource Integrity (SRI) می‌تواند با بررسی هش اسکریپت، از بارگذاری کدهای دستکاری شده جلوگیری کرده و امنیت زنجیره تأمین وب را افزایش دهد.

“بذار خلاصه بگم 👇”

یه گروه هکری چینی به اسم APT24، با هک کردن یه شرکت تبلیغاتی، به بیش از هزار تا سایت دیگه کد مخرب تزریق کرده. این کد یه پنجره آپدیت فیک گوگل کروم نشون میده که در واقع یه بدافزار جدید به اسم BADAUDIO رو نصب میکنه.

منابع این بخش:

The Hacker News

۴. از توکن‌های دزدیده شده تا نفوذ داخلی: چگونه هکرها به داده‌های Salesforce و CrowdStrike دسترسی پیدا کردند

شرکت Salesforce یک حادثه امنیتی بزرگ را فاش کرده که در آن مهاجمان (مرتبط با گروه ShinyHunters) با استفاده از توکن‌های دسترسی OAuth به سرقت رفته از اپلیکیشن ثالث Gainsight، به داده‌های مشتریان در بیش از ۲۰۰ سازمان دسترسی پیدا کرده‌اند.

این حمله یک نمونه کلاسیک از ریسک زنجیره تأمین در محیط‌های نرم‌افزار به عنوان سرویس (SaaS) است. مشکل اصلی از خود پلتفرم Salesforce نبوده، بلکه از یکپارچه‌سازی با یک برنامه ثالث (Gainsight) ناشی شده که دسترسی‌های سطح بالایی به داده‌های Salesforce داشته است. مهاجمان با سرقت توکن‌های OAuth این برنامه، توانسته‌اند به جای کاربران و با همان سطح دسترسی، وارد محیط Salesforce شوند. آن‌ها برای پنهان کردن فعالیت‌های خود از چندین سرویس VPN (مانند Mullvad و Surfshark) و User-Agent های سفارشی استفاده کرده‌اند.

فرض کنید شما به سرایدار ساختمان خود (Gainsight) یک کلید یدکی از آپارتمان‌تان (Salesforce) می‌دهید تا کارهای نظافت را انجام دهد. اگر یک دزد کلید را از سرایدار بدزدد، می‌تواند به راحتی وارد آپارتمان شما شود، حتی اگر قفل اصلی آپارتمان شما بسیار امن و غیرقابل نفوذ باشد.

این حمله به Salesforce پیامدهای گسترده‌تری داشت و نشان داد که چگونه نفوذ به یک شرکت ثالث می‌تواند به عنوان اهرمی برای هدف قرار دادن شرکای تجاری آن، حتی شرکت‌های امنیتی پیشرو، استفاده شود.

از طرفی شرکت پیشرو در امنیت سایبری، CrowdStrike، اعلام کرد که یکی از کارمندان خود را به دلیل به اشتراک‌گذاری اطلاعات حساس داخلی با یک گروه هکری اخراج کرده است. این کارمند تصاویر و اطلاعاتی از داشبوردهای داخلی شرکت را به بیرون درز داده بود.

این حادثه در چارچوب حمله بزرگ‌تر به Salesforce و Gainsight قرار می‌گیرد. گروه هکری Scattered Lapsus$ Hunters (یک “ابرگروه” متشکل از اعضای گروه‌های Scattered Spider، LAPSUS$ و ShinyHunters) پس از نفوذ اولیه از طریق Gainsight، با پرداخت ۲۵,۰۰۰ دلار به این کارمند CrowdStrike، سعی داشتند نفوذ خود را به داخل این شرکت امنیتی تعمیق بخشند. اگرچه CrowdStrike تأکید کرده که نفوذ کامل به سیستم‌های اصلی آن رخ نداده و مشتریان در امان بوده‌اند، اما این رویداد خطر جدی تهدیدات داخلی (Insider Threats) را، حتی در آماده‌ترین سازمان‌ها، به نمایش می‌گذارد.

این گروه هکری پس از عبور از دیوار بیرونی قلعه (Gainsight)، به جای تلاش برای شکستن دروازه اصلی (CrowdStrike)، یکی از نگهبانان داخل قلعه را با پول تطمیع کردند تا از داخل، اطلاعاتی را درباره نقاط ضعف و ساختار دفاعی قلعه به بیرون منتقل کند.

این رویداد یادآوری می‌کند که برنامه‌های مدیریت تهدیدات داخلی، نظارت بر رفتار کاربران (User Behavior Analytics) و برگزاری آموزش‌های امنیتی مستمر برای مقابله با مهندسی اجتماعی علیه کارمندان، بخش‌های حیاتی یک استراتژی دفاعی جامع هستند.
سازمان‌ها باید به طور جدی تمام اپلیکیشن‌های ثالث متصل به پلتفرم‌های SaaS خود (مانند Salesforce، Microsoft 365 و Google Workspace) را ممیزی کنند. دسترسی‌های اعطا شده به توکن‌های OAuth را بازبینی کرده و توکن‌های مربوط به برنامه‌های بلااستفاده یا مشکوک را فوراً باطل نمایند.

“بذار خلاصه بگم 👇”

یک گروه هکری معروف با دو روش به شرکت‌های بزرگ حمله کرده: اول با هک کردن یه نرم‌افزار جانبی به اطلاعات مشتریان Salesforce دست پیدا کرده، و بعد هم یه کارمند CrowdStrike رو خریده تا از داخل شرکت براشون جاسوسی کنه. این یعنی هم نرم‌افزارها و هم آدم‌ها هدف اصلی هستن.

منابع این بخش:

۵. امپراتوری بدافزاری BlueNoroff: از تماس‌های جعلی زوم تا استخدام‌های قلابی

بر اساس گزارش جامع Kaspersky، گروه BlueNoroff (بلو-نور-آف)، که به کره شمالی وابسته است، دو کمپین بزرگ و پیچیده را با نام‌های GhostCall (گُست-کال) و GhostHire (گُست-های-یِر) اجرا کرده است. در کمپین GhostCall، مدیران اجرایی در شرکت‌های فناوری و سرمایه‌گذاری خطرپذیر در پلتفرم macOS با استفاده از تماس‌های تصویری جعلی هدف قرار می‌گیرند. در کمپین GhostHire، توسعه‌دهندگان Web3 با آزمون‌های استخدامی و پروژه‌های کدنویسی مخرب فریب داده می‌شوند.

پیچیدگی تکنیک‌های مهندسی اجتماعی این گروه بسیار قابل توجه است. در GhostCall، مهاجمان از ویدیوهای ضبط شده از قربانیان قبلی برای ایجاد حس یک جلسه آنلاین واقعی استفاده می‌کنند. در GhostHire، از ربات‌های تلگرام برای ارسال فایل‌های مخرب تحت فشار زمانی استفاده می‌شود. این گروه همچنین از هوش مصنوعی (GPT-4o) برای بهبود تصاویر پروفایل‌های جعلی خود بهره می‌برد. اکوسیستم بدافزاری این گروه گسترده و شامل ابزارهای سرقت اطلاعات مانند SilentSiphon (سای-لِنت-سای-فِن) و بدافزارهای چندمرحله‌ای مانند DownTroy و CosmicDoor است. این مجموعه ابزار اطلاعات گسترده‌ای را از جمله کیف پول‌های ارز دیجیتال، داده‌های Keychain سیستم‌عامل، کلیدهای API برای سرویس‌هایی مانند OpenAI و تنظیمات زیرساخت ابری (AWS, Azure, Google Cloud) به سرقت می‌برد. یکی از تکنیک‌های پیشرفته‌ی آن‌ها “Task Injection” نام دارد که در ادامه با یک مثال ساده توضیح داده می‌شود:

سناریوی عادی: فرض کنید Task Injection مثل اینه که شما یه نامه مهم رو به یه پیک موتوری معتبر میدید تا به یه دفتر دیگه در همون ساختمون برسونه. همه چیز امن و قانونیه.
حمله: حالا مهاجم، با فریب دادن نگهبان، لباس پیک رو می‌دزده و قبل از اینکه نامه به مقصد برسه، یه دستورالعمل مخرب رو بهش اضافه میکنه.
فاجعه: وقتی کارمند دفتر نامه رو باز میکنه، بدون اینکه بدونه، اون دستور مخرب رو هم اجرا میکنه و ناخواسته کلید گاوصندوق دفتر رو به مهاجمی که بیرون منتظره، تحویل میده.

برای کمپین GhostCall می‌توان از این تشبیه استفاده کرد: مهاجمان مانند یک کارگردان فیلم عمل می‌کنند. آنها ابتدا صحنه‌ای از یک جلسه آنلاین واقعی را (با ضبط ویدیوی قربانیان قبلی) آماده می‌کنند. سپس شما را به این “فیلم” دعوت می‌کنند و در میانه نمایش، به بهانه بروز یک مشکل فنی، از شما می‌خواهند یک “نرم‌افزار” برای رفع مشکل نصب کنید که در واقع همان بدافزار است.

چه باید کرد؟

کاربران باید نسبت به پیشنهادات شغلی یا سرمایه‌گذاری غیرمنتظره، به ویژه در تلگرام، بسیار محتاط باشند. هرگز نباید اسکریپت یا برنامه‌ای را برای “رفع مشکل” در حین یک جلسه آنلاین نصب کنید، حتی اگر طرف مقابل بسیار متقاعدکننده به نظر برسد.

بذار خلاصه بگم 👇

هکرهای کره شمالی خیلی خلاق شدن: یا با ویدیوهای ضبط شده از قربانی‌های قبلی و عکس‌های ساخته شده با هوش مصنوعی، جلسه زوم تقلبی راه میندازن تا گولتون بزنن، یا به بهونه استخدام، یه پروژه برنامه‌نویسی آلوده براتون میفرستن تا خودتون سیستمتون رو هک کنید!

منابع این بخش:

Securelist

۶. زنجیره بهره‌برداری از دو آسیب‌پذیری روز-صفر در FortiWeb (CVE-2025-64446, CVE-2025-58034)

یک ماژول اکسپلویت جدید در فریمورک Metasploit منتشر شده که دو آسیب‌پذیری روز-صفر در فایروال وب اپلیکیشن (WAF) FortiWeb را به هم زنجیر کرده و به مهاجم اجازه می‌دهد تا به اجرای کد از راه دور (RCE) با بالاترین سطح دسترسی (root) دست یابد.

این حمله در دو مرحله اجرا می‌شود. ابتدا، آسیب‌پذیری CVE-2025-64446 که یک نقص دور زدن احراز هویت است، به مهاجم اجازه می‌دهد بدون نیاز به پسورد، یک حساب کاربری مدیر جدید روی دستگاه ایجاد کند. سپس، با استفاده از این حساب کاربری تازه ایجاد شده، آسیب‌پذیری دوم با شناسه CVE-2025-58034 که یک نقص تزریق دستور است، فعال می‌شود و به مهاجم امکان اجرای دستورات دلخواه روی سیستم عامل زیربنایی دستگاه را با دسترسی ریشه می‌دهد. شواهد نشان می‌دهد که این آسیب‌پذیری‌ها قبل از انتشار وصله، در حملات واقعی مورد استفاده قرار گرفته‌اند.

سازمان‌هایی که از نسخه‌های آسیب‌پذیر FortiWeb (شامل سری‌های 8.0، 7.6، 7.4 و قدیمی‌تر) استفاده می‌کنند، باید فوراً دستگاه‌های خود را به آخرین نسخه به‌روزرسانی کنند. همچنین، بررسی لاگ‌های سیستم برای شناسایی هرگونه ایجاد حساب کاربری مدیریتی مشکوک و غیرمنتظره ضروری است.

بذار خلاصه بگم 👇

هکرها با ترکیب دو باگ در فایروال‌های FortiWeb، ابتدا برای خود یک حساب مدیر می‌سازند و سپس با آن حساب، کنترل کامل دستگاه را به دست می‌گیرند.

منابع این بخش:

GBHackers

۷. کمپین جاسوسی پیشرفته APT31 علیه بخش IT روسیه با استفاده از سرویس‌های ابری

بر اساس گزارش Positive Technologies، گروه APT31 (اِی-پی-تی-۳۱) که به دولت چین وابسته است، یک کمپین جاسوسی طولانی‌مدت (بین سال‌های ۲۰۲۴ تا ۲۰۲۵) علیه شرکت‌های فناوری اطلاعات در روسیه اجرا کرده است. این حملات با هدف جمع‌آوری اطلاعات محرمانه از شرکت‌هایی که به عنوان پیمانکار برای نهادهای دولتی روسیه فعالیت می‌کنند، انجام شده است.

نوآوری اصلی این گروه، استفاده هوشمندانه از سرویس‌های ابری قانونی و محبوب در روسیه، مانند Yandex Cloud (یان-دِکس-کلاود) و Microsoft OneDrive، به عنوان زیرساخت فرمان و کنترل (C2) است. این رویکرد به مهاجمان اجازه می‌دهد تا فعالیت‌های مخرب خود را در ترافیک عادی و رمزگذاری‌شده شبکه پنهان کنند و از دید ابزارهای امنیتی سنتی دور بمانند. این گروه از مجموعه‌ای از ابزارهای سفارشی و عمومی مانند CloudyLoader (برای بارگذاری اولیه بدافزار) و YaLeak (برای استخراج داده به Yandex Cloud) استفاده کرده است.

مهاجمان با ارسال یک ایمیل فیشینگ حاوی یک فایل فشرده، بدافزار CloudyLoader را روی سیستم قربانی اجرا کرده‌اند. این بدافزار سپس برای دریافت دستورات و ارسال داده‌های سرقتی، به جای اتصال به یک سرور مشکوک در اینترنت، به یک حساب کاربری در Yandex Cloud متصل می‌شود. از دید ابزارهای نظارت بر شبکه، این فعالیت شبیه به یک کارمند عادی است که در حال آپلود فایل در فضای ابری خود می‌باشد و در نتیجه، هشداری ایجاد نمی‌کند.

تیم‌های امنیتی باید ترافیک خروجی به سرویس‌های ابری قانونی را برای الگوهای غیرعادی (مانند آپلودهای حجیم و مکرر از سرورها به جای سیستم‌های کاربران) به دقت نظارت کنند. صرفاً به دلیل قانونی بودن مقصد ترافیک، نباید آن را نادیده گرفت و به آن اعتماد کرد.

بذار خلاصه بگم 👇

هکرهای چینی با استفاده از سرویس‌های ابری معتبر روسی (مثل Yandex) به شرکت‌های IT روسیه نفوذ کرده و فعالیت‌های جاسوسی خود را در قالب ترافیک عادی شبکه پنهان می‌کنند.

منابع این بخش:

The Hacker News

۸. فیشینگ از طریق نوتیفیکیشن مرورگر: معرفی پلتفرم Matrix Push C2

یک پلتفرم فرمان و کنترل (C2) جدید به نام Matrix Push C2 (مِیت-ریکس-پوش-سی-تو) شناسایی شده است که از نوتیفیکیشن‌های مرورگر برای اجرای حملات فیشینگ بدون فایل (fileless) و چند-پلتفرمی استفاده می‌کند. این سرویس به صورت بدافزار-به-عنوان-سرویس (MaaS) به سایر مجرمان سایبری فروخته می‌شود. این کیت در پلتفرم‌هایی مانند تلگرام با مدل اشتراکی و با قیمت‌هایی حدود ۱۵۰ دلار برای یک ماه، ۴۰۵ دلار برای سه ماه و ۱۵۰۰ دلار برای یک سال عرضه می‌شود.

مکانیزم حمله به این صورت است که کاربران با تکنیک‌های مهندسی اجتماعی فریب داده می‌شوند تا اجازه ارسال نوتیفیکیشن از یک وب‌سایت مخرب یا به خطر افتاده را صادر کنند. پس از آن، مهاجمان می‌توانند در هر زمانی نوتیفیکیشن‌های جعلی با ظاهر هشدارهای سیستمی از برندهای معتبری مانند MetaMask، Netflix یا Cloudflare به نظر می‌رسند (مثلاً “یک لاگین مشکوک به حساب شما شناسایی شد”) ارسال کنند. این نوتیفیکیشن‌ها کاربر را به صفحات فیشینگ برای سرقت اطلاعات کاربری یا مالی هدایت می‌کنند. از آنجایی که این روش کاملاً مبتنی بر مرورگر است، روی تمام سیستم‌عامل‌ها (ویندوز، macOS، لینوکس، اندروید) کار می‌کند و نیازی به نصب بدافزار سنتی ندارد، که این امر شناسایی آن را دشوارتر می‌کند.

دکتر Darren Williams، بنیان‌گذار و مدیرعامل BlackFog، می گوید که ” Matrix Push برای اولین بار در ابتدای ماه اکتبر مشاهده شد و از آن زمان فعال بوده است… همه چیز نشان می‌دهد که این یک کیت تازه عرضه شده است.”

این روش مانند این است که یک کلاهبردار شما را متقاعد کند شماره تلفن او را به عنوان “بانک مرکزی” در گوشی خود ذخیره کنید. از آن پس، هر پیامی که از او دریافت می‌کنید، با نام “بانک مرکزی” نمایش داده می‌شود و شما به احتمال زیاد به آن اعتماد کرده و اطلاعات درخواستی را ارائه می‌دهید.

یک سناریوی فرضی دیگر را در نظر بگیرید: کارمندی در حال کار با کامپیوتر خود است که یک نوتیفیکیشن مرورگر با لوگوی رسمی شرکت و با عنوان «هشدار ورود مشکوک به حساب کاربری» دریافت می‌کند. در متن پیام از او خواسته می‌شود تا برای تأیید هویت خود روی دکمه «بررسی فعالیت» کلیک کند. کارمند با کلیک روی دکمه، به صفحه‌ای کاملاً مشابه صفحه لاگین شرکت هدایت شده و پس از وارد کردن نام کاربری و رمز عبور، ناآگاهانه اطلاعات حساب خود را در اختیار مهاجمان قرار می‌دهد.

برای مثالی دیگر، کارمندی که از خانه کار می‌کند، از یک وب‌سایت خبری ورزشی محبوب بازدید می‌کند که به خطر افتاده است. یک پاپ‌آپ از او می‌خواهد تا نوتیفیکیشن‌ها را برای دریافت نتایج زنده فعال کند. او این درخواست را می‌پذیرد. یک ساعت بعد، نوتیفیکیشنی دقیقاً شبیه به هشدار Microsoft 365 ظاهر می‌شود و از “تلاش برای ورود مشکوک از یک مکان جدید” خبر می‌دهد. کاربر روی “تأیید حساب” کلیک کرده، به یک کپی بی‌نقص از صفحه ورود مایکروسافت منتقل می‌شود و اطلاعات کاربری خود را وارد می‌کند. به این ترتیب، مهاجم به طور کامل به حساب سازمانی او دسترسی پیدا می‌کند.

به کاربران آموزش دهید که در پذیرش درخواست‌های نوتیفیکیشن از وب‌سایت‌های ناشناس یا غیرضروری بسیار احتیاط کنند. همچنین، باید به هشدارهای امنیتی که از طریق نوتیفیکیشن مرورگر ظاهر می‌شوند، با شک و تردید نگاه کنند و برای بررسی صحت آن‌ها، مستقیماً به وب‌سایت رسمی سرویس مورد نظر مراجعه نمایند.

بذار خلاصه بگم 👇

هکرها با فریب کاربران برای تایید نوتیفیکیشن‌های مرورگر، پیام‌های جعلی با ظاهر هشدار امنیتی ارسال می‌کنند تا اطلاعات آن‌ها را بدزدند.

منابع این بخش:

The Hacker News

۹. به‌روزرسانی ماه نوامبر مایکروسافت: وصله برای یک روز-صفر و یک آسیب‌پذیری حیاتی GDI+

مایکروسافت در به‌روزرسانی ماه نوامبر خود (Patch Tuesday)، بیش از ۶۰ آسیب‌پذیری امنیتی را وصله کرده است. دو مورد از مهم‌ترین آن‌ها عبارتند از: CVE-2025-62215، یک آسیب‌پذیری روز-صفر در هسته ویندوز که به طور فعال در حال بهره‌برداری است، و CVE-2025-60274، یک نقص حیاتی با امتیاز CVSS 9.8 در کتابخانه گرافیکی GDI+.

آسیب‌پذیری روز-صفر CVE-2025-62215 یک نقص ارتقاء سطح دسترسی است. اگرچه برای بهره‌برداری از آن، مهاجم نیاز به دسترسی اولیه به سیستم دارد، اما این نوع آسیب‌پذیری‌ها اغلب به عنوان حلقه‌ای کلیدی در زنجیره حملات پیچیده‌تر برای دستیابی به کنترل کامل سیستم استفاده می‌شوند. از سوی دیگر، آسیب‌پذیری CVE-2025-60274 در GDI+ بسیار خطرناک است، زیرا این کتابخانه یک جزء اساسی و گسترده در ویندوز است و توسط تعداد بی‌شماری از نرم‌افزارها (مانند مجموعه آفیس، مرورگرها و ابزارهای پردازش تصویر) برای رندر کردن گرافیک استفاده می‌شود.

آسیب‌پذیری GDI+ مانند یک نقص در فونداسیون یک برج است. شاید از بیرون مشخص نباشد، اما چون تمام طبقات روی آن ساخته شده‌اند، یک ترک کوچک در آن می‌تواند کل ساختمان را به خطر بیندازد و باعث فروریختن آن شود.

نصب فوری به‌روزرسانی‌های ماه نوامبر مایکروسافت برای تمام نسخه‌های ویندوز یک ضرورت مطلق است. این شامل ویندوز ۱۰ نیز می‌شود که کاربران آن می‌توانند با ثبت‌نام از طریق حساب مایکروسافت خود، یک سال پشتیبانی تمدید شده و به‌روزرسانی‌های امنیتی رایگان دریافت کنند.

بذار خلاصه بگم 👇

مایکروسافت یک باگ را که هکرها از آن استفاده می‌کردند و یک نقص بسیار خطرناک در بخش گرافیکی ویندوز را وصله کرده است؛ آپدیت کردن فوری ضروری است.

منابع این بخش:

KrebsonSecurity

۱۰.سایر اخبار مهم به صورت خلاصه

شکایت گوگل از گروه فیشینگ “Lighthouse”

گوگل علیه گردانندگان یک سرویس فیشینگ پیامکی (Smishing) بزرگ به نام Lighthouse (لایت-هاوس) که در چین مستقر است، شکایت کرده است. این گروه با جعل هویت پست و خدمات عوارض جاده‌ای، اطلاعات کارت‌های بانکی را سرقت می‌کند.

بازگشت Hacking Team با نام جدید و جاسوس‌افزار Dante

محققان Kaspersky گروه ForumTroll (فُروم-ترول) را که از یک روز-صفر در کروم استفاده کرده، به یک جاسوس‌افزار تجاری به نام Dante (دان-تِه) مرتبط کرده‌اند. این جاسوس‌افزار توسط شرکت Memento Labs (که همان Hacking Team سابق است) توسعه یافته و نام آن در کنفرانس “ISS World MEA 2023” فاش شده است.

##### پیشنهاد ممنوعیت فروش تجهیزات TP-Link در آمریکا
به طور خلاصه بیان می کند که دولت آمریکا به دلیل نگرانی‌های امنیت ملی و ارتباط با دولت چین، در حال بررسی ممنوعیت فروش روترها و تجهیزات شبکه TP-Link است.

بهره‌برداری از آسیب‌پذیری 7-Zip

یک آسیب‌پذیری قدیمی‌تر در نرم‌افزار محبوب 7-Zip با شناسه CVE-2025-11001 فعالانه در حملات مورد استفاده قرار می‌گیرد. به کاربران توصیه می‌شود فوراً نسخه نرم‌افزار خود را به نسخه 25.00 یا بالاتر به‌روزرسانی کنند.

پیامدهای امنیتی قطعی Cloudflare

قطعی اخیر Cloudflare باعث شد بسیاری از شرکت‌ها برای حفظ دسترسی، فایروال وب (WAF) این شرکت را موقتاً غیرفعال کنند. این کار زیرساخت‌های آن‌ها را مستقیماً در برابر حملاتی مانند SQL injection و credential stuffing آسیب‌پذیر کرد و اهمیت داشتن دفاع در عمق را نشان داد.

جمع‌بندی

این روندها نشان می‌دهد که مرزهای امنیتی سنتی در حال فروپاشی است و تمرکز مهاجمان از نفوذ به شبکه به سمت بهره‌برداری از اعتماد (چه اعتماد انسانی و چه اعتماد بین سیستم‌ها) تغییر کرده است. کمپین‌های BlueNoroff نشان‌دهنده پیچیدگی فزاینده حملات مهندسی اجتماعی با ابزارهای مدرن هستند، در حالی که نفوذ به Salesforce از طریق یک اپلیکیشن ثالث، بر این واقعیت تأکید می‌کند که مهاجمان به طور فزاینده‌ای نقاط ضعف در اکوسیستم یکپارچه‌سازی‌های ثالث را هدف قرار می‌دهند. در نهایت، روش‌های خلاقانه گروه‌هایی مانند APT31 و پلتفرم Matrix Push C2 برای استفاده از سرویس‌های ابری قانونی و نوتیفیکیشن‌های مرورگر، نشان می‌دهد که مهاجمان برای پنهان شدن در دیدرس همگان، هر روز مبتکرتر می‌شوند. در آینده، باید انتظار داشت که حملات مشابهی، یکپارچه‌سازی‌های نرم‌افزاری کمتر شناخته‌شده را هدف قرار دهند و هوشیاری دائمی، بیش از هر زمان دیگری برای بقای سازمان‌ها حیاتی است.

“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec

۱. کنترل کامل سرورهای Oracle با یک آسیب‌پذیری روز-صفر حیاتی (CVE-2025-61757)

برای درک بهتر این حمله، از یک مثال سه مرحله‌ای استفاده می‌کنیم:

۲. دو آسیب‌پذیری با امتیاز ۱۰.۰: نقص‌های حیاتی در Azure Bastion و Grafana Enterprise

آسیب‌پذیری Grafana (CVE-2025-41115):

چه باید کرد؟

۳. حمله زنجیره تأمین APT24 و بدافزار جدید BADAUDIO

۴. از توکن‌های دزدیده شده تا نفوذ داخلی: چگونه هکرها به داده‌های Salesforce و CrowdStrike دسترسی پیدا کردند

۵. امپراتوری بدافزاری BlueNoroff: از تماس‌های جعلی زوم تا استخدام‌های قلابی

چه باید کرد؟

۶. زنجیره بهره‌برداری از دو آسیب‌پذیری روز-صفر در FortiWeb (CVE-2025-64446, CVE-2025-58034)

۷. کمپین جاسوسی پیشرفته APT31 علیه بخش IT روسیه با استفاده از سرویس‌های ابری

۸. فیشینگ از طریق نوتیفیکیشن مرورگر: معرفی پلتفرم Matrix Push C2

۹. به‌روزرسانی ماه نوامبر مایکروسافت: وصله برای یک روز-صفر و یک آسیب‌پذیری حیاتی GDI+

۱۰.سایر اخبار مهم به صورت خلاصه

شکایت گوگل از گروه فیشینگ “Lighthouse”

بازگشت Hacking Team با نام جدید و جاسوس‌افزار Dante

بهره‌برداری از آسیب‌پذیری 7-Zip

پیامدهای امنیتی قطعی Cloudflare

جمع‌بندی

نوشته‌ای مرتبط

امروز در دنیای امنیت سایبری – آخرین اخبار امنیت – ۲۰ آذر ۱۴۰۴

امروز در دنیای امنیت سایبری – آخرین اخبار امنیت – ۱۹ آذر ۱۴۰۴

امروز در دنیای امنیت سایبری – آخرین اخبار امنیت – ۱۸ آذر ۱۴۰۴