چشمانداز تهدیدات امروز با کارایی و مقیاس بیرحمانه خود تعریف میشود. از کمین صبورانه و چندساله کمپین ShadyPanda برای آلوده کردن میلیونها مرورگر تا بهرهبرداری فعال و گسترده از یک آسیبپذیری بحرانی در زیرساخت اوراکل، مهاجمان با دقتی حسابشده در حال پیشروی هستند. در همین حال، اقدام قاطع نیروهای پلیس بینالمللی برای از کار انداختن سرویس پولشویی Cryptomixer، نشاندهنده نبردی بیوقفه در هر دو جبهه تهاجمی و دفاعی دنیای دیجیتال است.
۱. کمپین ShadyPanda: تهدیدی فعال که میلیونها کاربر کروم و اج را در معرض خطر قرار داده است
امنیت افزونههای مرورگر یکی از مهمترین و در عین حال نادیدهگرفتهشدهترین جنبههای امنیت سایبری شخصی است. مهاجمان با استفاده از تاکتیک “طعمه و جایگزینی” (bait-and-switch)، افزونههایی با ظاهر قانونی و کاربردی منتشر میکنند و پس از جلب اعتماد و کسب میلیونها کاربر، آنها را با یک بهروزرسانی مخفیانه به ابزارهای جاسوسی تبدیل میکنند. این رویکرد به آنها اجازه میدهد تا از سد بررسیهای اولیه فروشگاههای اپلیکیشن عبور کرده و به مقیاس عظیمی از آلودگی دست یابند.
نکته نگرانکننده در مورد کمپین “ShadyPanda” (شِیدی-پاندا) این است که این یک تهدید تاریخی نیست، بلکه یک خطر فعال و حاضر است. بر اساس گزارش The Register، در حال حاضر پنج افزونه مخرب با بیش از ۴ میلیون نصب، همچنان در فروشگاه افزونه مایکروسافت اج (Edge marketplace) فعال و قابل دانلود هستند. این گروه هکری در یک کمپین هفتساله، افزونههای قانونی منتشر کرده، صبورانه منتظر مانده تا میلیونها بار دانلود شوند و سپس بهروزرسانیهای حاوی بدافزار را برای کل پایگاه کاربری خود ارسال کرده است.
این بهروزرسانیها شامل بدافزارهایی از نوع بکدُر (Backdoor) و جاسوسافزار (Spyware) بودند که قابلیتهای خطرناکی را در اختیار مهاجمان قرار میدادند. این بدافزارها میتوانستند به طور کامل فعالیتهای مرورگر را زیر نظر بگیرند، محتوای مخرب را به هر وبسایتی (حتی وبسایتهای امن HTTPS) تزریق کنند و دادههای سرقتشده مانند تاریخچه وبگردی (URLها)، صفحات ارجاعدهنده، و اثرانگشت دیجیتال مرورگر را به سرورهای کنترل و فرماندهی در چین ارسال کنند.
در مجموع، این کمپین موفق شد بیش از ۴.۳ میلیون کاربر مرورگرهای گوگل کروم و مایکروسافت اج را آلوده کند، و با توجه به فعال بودن برخی از این افزونهها، این تهدید همچنان پابرجاست.
تاکتیک اصلی این مهاجمان، سوءاستفاده از فرآیند بررسی افزونهها در فروشگاههای رسمی است. محققان Koi این مشکل را اینگونه توصیف میکنند:
«آنها روی اتفاقاتِ بعد از تأیید، نظارتی ندارند.»
برای مثال، یک افزونه محبوب به نام “WeTab” که به عنوان ابزاری برای افزایش بهرهوری تبلیغ میشود، با بیش از ۳ میلیون نصب، همچنان در فروشگاه اج فعال است. این افزونه در حال حاضر به عنوان یک پلتفرم جاسوسی عمل میکند که تمام URLهای بازدید شده، جستجوها و حتی کلیکهای موس کاربر را رصد کرده و به سرورهای تحت کنترل ShadyPanda در چین ارسال میکند. کاربر بدون هیچ نشانه ظاهری از فعالیت مخرب، قربانی یک عملیات جاسوسی گسترده میشود.
برای محافظت از خود، کاربران باید حتی به افزونههایی با امتیاز بالا و میلیونها نصب نیز با احتیاط شدید نزدیک شوند. ضروری است که به طور منظم مجوزهای دسترسی افزونهها را بازبینی کرده و از خود بپرسید آیا یک افزونه واقعاً به دسترسی به تمام دادههای وبسایتهای شما نیاز دارد یا خیر. نسبت به افزونههایی که دسترسیهای گستردهای درخواست میکنند محتاط باشید و سازمانها نیز یک لیست مجاز (allowlist) از افزونههای تأیید شده برای کارمندان خود تهیه کنند.
“بذار خلاصه بگم 👇”
یک گروه هکری به اسم ShadyPanda میلیونها کاربر را با افزونههای مرورگر آلوده کرده که اول سالم به نظر میرسیدند ولی بعداً مخرب شدند. خطرناکتر اینکه، برخی از این افزونههای جاسوسی با میلیونها نصب هنوز در فروشگاه مایکروسافت فعال هستند.
منابع این بخش:
۲. عملیات بینالمللی پلیس: سرویس میکسکننده رمزارز Cryptomixer تعطیل شد
میکسرهای رمزارز که به آنها “تامبلر” (tumbler) نیز گفته میشود، نقشی حیاتی در اکوسیستم جرایم سایبری ایفا میکنند. این سرویسها با مخلوط کردن ارزهای دیجیتال حاصل از فعالیتهای غیرقانونی با حجم عظیمی از تراکنشهای دیگر، ردپای وجوه را محو کرده و به عنوان ابزاری برای پولشویی داراییهای دیجیتال عمل میکنند.
برای درک کارکرد میکسرهای رمزارز به این دو مثال توجه کنید:
مثال یک
«تصور کنید یک سارق، یک گردنبند طلای دزدی دارد که طرح خاصی دارد و پلیس دنبال آن است. او این گردنبند را به یک کارگاه طلاسازی زیرزمینی میبرد. در آنجا، گردنبند او را همراه با صدها انگشتر و دستبند دیگر (که متعلق به آدمهای دیگر است) داخل کوره میریزند و همه را ذوب میکنند. حالا یک دیگ بزرگ از طلای مذاب داریم. در نهایت، طلاساز از آن مواد مذاب، یک شوشه (شمش) طلا قالبگیری میکند و هموزن گردنبند اولیه، به سارق تحویل میدهد. این شمش جدید، همان ارزش مالی را دارد، اما دیگر هیچ شباهتی به آن گردنبند دزدی ندارد و پلیس نمیتواند ثابت کند که این طلا، همان گردنبند است.»
مثال دو
«میکسر مثل این است که ۱۰ نفر آدم، هر کدام یک سکه داخل یک صندوق بیندازند و صندوق را حسابی تکان دهند. سپس در صندوق را باز کنند و به هر نفر، تصادفی یک سکه برگردانند. شما هنوز یک سکه دارید، اما قطعاً این سکه، همان سکهای نیست که خودتان انداختید و هیچکس نمیتواند بگوید کدام سکه مال چه کسی بوده است.»
در یک عملیات بینالمللی بزرگ، سرویس Cryptomixer (کریپتو-میکسر) تعطیل و زیرساختهای آن توقیف شد. بر اساس گزارشهای منتشر شده، این عملیات با همکاری مقامات قضایی و پلیس سوئیس و آلمان و با پشتیبانی یوروپل (Europol) انجام شده است. این سرویس یکی از قدیمیترین و بزرگترین میکسرهای بیتکوین در دنیای جرایم سایبری بود.
یوروپل اعلام کرد که این سرویس از سال ۲۰۱۶، بیتکوینی به ارزش تخمینی بیش از ۱.۳ میلیارد یورو (معادل ۱.۵ میلیارد دلار) را پولشویی کرده است. در این عملیات، مقامات موفق به توقیف سه سرور، بیش از ۱۲ ترابایت داده و حدود ۲۴ میلیون یورو (۲۸ میلیون دلار) بیتکوین شدند.
Cryptomixer به عنوان “پلتفرم منتخب” برای گروههای باجافزاری، بازارهای دارک وب و حتی بازیگران دولتی مانند گروه لازاروس (Lazarus Group) وابسته به کره شمالی شناخته میشد. این گروهها از Cryptomixer برای پنهان کردن منشأ درآمدهای غیرقانونی خود و تبدیل آنها به پول نقد استفاده میکردند.
این اقدام بخشی از یک روند جهانی و رو به رشد برای مقابله با سرویسهای پولشویی رمزارز است. این عملیات یادآور تعطیلی سرویس بزرگ دیگری به نام ChipMixer در سال ۲۰۲۳ است که نشان میدهد نیروهای پلیس بینالمللی به طور فزایندهای بر روی از کار انداختن زیرساختهای مالی مجرمان سایبری متمرکز شدهاند.
“بذار خلاصه بگم 👇”
پلیس اروپا یک سرویس بزرگ پولشویی ارز دیجیتال به اسم Cryptomixer رو که توسط هکرها و گروههای باجافزاری استفاده میشد، از کار انداخت و کلی بیتکوین توقیف کرد.
منابع این بخش:
۳. افشای عملیات APTهای چینی: استفاده از شرکتهای پوششی برای توسعه تکنیکهای پنهاننگاری پیشرفته
پنهاننگاری یا استگانوگرافی (Steganography) یک تکنیک پیشرفته است که توسط مهاجمان حرفهای برای پنهان کردن کد مخرب یا دادههای سرقتشده در فایلهای به ظاهر بیضرر مانند تصاویر، ویدئوها یا فایلهای صوتی استفاده میشود. این روش شناسایی فعالیتهای مخرب را برای ابزارهای امنیتی بسیار دشوار میکند، زیرا فایل حامل کاملاً عادی به نظر میرسد.
گزارشهای اخیر نشان میدهد که دو شرکت فناوری چینی به نامهای BIETA (بی-یِ-تا) و CIII (سی-تری) به عنوان شرکتهای پوششی برای وزارت امنیت دولتی چین (MSS) فعالیت میکنند. این شرکتها با ظاهری قانونی، در حال تحقیق و توسعه گسترده برای ایجاد تکنیکهای پنهاننگاری پیشرفته هستند تا از عملیاتهای جاسوسی سایبری دولت چین پشتیبانی کنند.
نقش این شرکتها، پیشبرد مرزهای دانش در زمینه پنهانسازی داده است. آنها منابع قابل توجهی را به تحقیق و توسعه در این حوزه اختصاص دادهاند تا ابزارهایی بسازند که بتوانند بدافزارها و ارتباطات مخفی را از دید پیشرفتهترین سیستمهای امنیتی پنهان نگه دارند.
“تحلیل مقالات علمی نشان میدهد که تقریباً ۴۶ درصد از ۸۷ مقاله تحقیقاتی شرکت BIETA که بین سالهای ۱۹۹۱ تا ۲۰۲۳ منتشر شده، به طور خاص به موضوع پنهاننگاری پرداختهاند.”
این تکنیکها جدید نیستند و پیش از این توسط گروههای APT مرتبط با چین مانند APT1 (اِی-پی-تی-۱)، Leviathan (لِ-وای-اِ-تان) و Pirate Panda (پای-رِت-پاندا) استفاده شدهاند. این گروهها بکدرهایی مانند TClinet و Stegmap را در فایلهای تصویری پنهان میکردند تا بدون شناسایی شدن، به شبکههای هدف نفوذ کنند. نکته نگرانکننده این است که BIETA در حال تحقیق بر روی استفاده از شبکههای مولد تخاصمی (GANs) برای پنهاننگاری است. این موضوع نشان میدهد که عملیاتهای APT آینده ممکن است از روشهای مبتنی بر هوش مصنوعی برای ایجاد فایلهای حامل غیرقابل شناسایی استفاده کنند، زیرا GANها میتوانند تصاویر و ویدئوهای پیچیده و منحصربهفردی تولید کنند که تحلیلهای آماری مورد استفاده برای کشف دادههای پنهان را بیاثر میسازند.
برای درک بهتر این مفهوم، از یک مثال استفاده میکنیم:
- سناریوی عادی: ارسال یک کارت پستال را در نظر بگیرید. همه میتوانند عکس روی آن و متن پشت آن را ببینند. این یک انتقال داده عادی است.
- حمله: حالا یک جاسوس، نقشههای سری یک حمله را با جوهر نامرئی روی همان کارت پستال مینویسد. برای پستچی، این فقط یک یادداشت دوستانه درباره آب و هواست.
- فاجعه: وقتی گیرنده کارت پستال را دریافت میکند، یک ماده شیمیایی خاص (کد بدافزار) روی آن میزند. متن دوستانه ناپدید میشود و ناگهان نقشههای سری حمله آشکار میشوند و منجر به یک حمله غافلگیرکننده میگردد.
“بذار خلاصه بگم 👇”
دو شرکت فناوری چینی که برای وزارت امنیت چین کار میکنن، دارن روشهای خیلی پیشرفتهای برای قایم کردن بدافزار داخل عکس و فیلم درست میکنن تا جاسوسی سایبری رو غیرقابل ردیابی کنن.
منابع این بخش:
۴. نشت اطلاعاتی در شرکتهای بزرگ: ادعای هک مرسدس بنز آمریکا و نشت دادههای عظیم از Coupang کره جنوبی
برندهای بزرگ جهانی همواره با تهدید مداوم نشت دادهها روبرو هستند که میتواند خسارات مالی و اعتباری سنگینی به همراه داشته باشد. این تهدیدات چه به صورت یک ادعای تاییدنشده در فرومهای دارک وب باشند و چه یک نشت اطلاعاتی تاییدشده، نشاندهنده آسیبپذیری زنجیره تامین داده در شرکتهای بزرگ هستند.
در روزهای اخیر، دو حادثه بزرگ این موضوع را برجسته کردهاند. از یک سو، یک عامل تهدید با نام مستعار “zestix” (زِستیکس) ادعا کرده است که به دادههای حساس شرکت مرسدس بنز آمریکا دست یافته است. این حمله احتمالاً زیرساختهای خود مرسدس بنز را هدف قرار نداده، بلکه یک فروشنده شخص ثالث حقوقی را که دادههای حساس این شرکت را مدیریت میکند، قربانی کرده است. مهاجم ۱۸.۳ گیگابایت داده شامل استراتژیهای دفاعی شرکت در پروندههای حقوقی و اطلاعات شناسایی شخصی (PII) مشتریان را به قیمت ۵۰۰۰ دلار برای فروش گذاشته است. این حادثه بر ریسک حیاتی حملات زنجیره تامین تاکید دارد.
از سوی دیگر، Coupang (کوپانگ)، غول تجارت الکترونیک کره جنوبی، رسماً تأیید کرد که قربانی یک نشت اطلاعاتی عظیم شده است. این حادثه اطلاعات ۳۳.۷ میلیون مشتری را تحت تأثیر قرار داده که بیش از نیمی از جمعیت این کشور را شامل میشود. دادههای افشاشده شامل نام، ایمیل، شماره تلفن و آدرسهای پستی مشتریان است. گزارشهای اولیه حاکی از آن است که این نشت اطلاعاتی توسط یک عامل داخلی (insider) انجام شده است.
این نشت داده در Coupang یک یادآوری تلخ از یکی از پایهایترین اما خطرناکترین تهدیدات امنیتی است: تهدید داخلی (Insider Threat)، به ویژه از جانب کارمندان سابق. این رویداد نشان میدهد که فرآیندهای خروج کارکنان (offboarding) به اندازه فرآیندهای استخدام اهمیت دارند و یک خطای ساده در لغو دسترسیها میتواند به فاجعهای در مقیاس ملی منجر شود.
“دسترسی غیرمجاز در ۲۴ ژوئن ۲۰۲۵ آغاز شد، اما شرکت تا ۱۸ نوامبر ۲۰۲۵، یعنی تقریباً پنج ماه بعد، متوجه این فعالیت غیرعادی نشد.”
تأخیر پنج ماهه در شناسایی این نفوذ، یک ضعف بزرگ در سیستمهای نظارتی و پایش امنیتی شرکت را آشکار میسازد. اما ریشه اصلی مشکل، نقص در فرآیندهای مدیریت هویت و دسترسی (IAM) است. هر سازمانی باید یک رویه استاندارد و خودکار برای لغو فوری تمام دسترسیهای کارمندان در لحظه پایان همکاری داشته باشد. این حادثه ثابت میکند که اعتماد به اینکه “کسی از دسترسیهای قدیمی سوءاستفاده نمیکند” یک استراتژی امنیتی نیست، بلکه یک قمار پرخطر است.
این دو حادثه—یکی حمله به زنجیره تامین خارجی و دیگری نشت اطلاعاتی داخلی تأییدشده—به خوبی دو بُعد متفاوت از بردارهای تهدیدی را که دادههای ارزشمند شرکتهای بزرگ را هدف قرار میدهند، نشان میدهند.
به مشتریان هر دو شرکت توصیه میشود که نسبت به حملات فیشینگ هوشیار باشند. مهاجمان ممکن است از اطلاعات شخصی فاششده برای ایجاد ایمیلها و پیامهای جعلی اما بسیار متقاعدکننده استفاده کنند.
“بذار خلاصه بگم 👇”
هکرها ادعا میکنند اطلاعات حقوقی و مشتریان مرسدس بنز آمریکا را از طریق یکی از پیمانکارانش دزدیدهاند، و همزمان، یه کارمند سابق فروشگاه بزرگ Coupang کره جنوبی، با دسترسیهایی که هنوز داشت، اطلاعات شخصی ۳۳.۷ میلیون مشتری رو کِش رفت چون شرکت یادش رفته بود دسترسیهاشو ببنده.
منابع این بخش:
۵. تصمیم رادیکال سوئیس و جنجال در آمریکا: دولتها در برابر فناوریهای حریم خصوصی
تنش میان دولتها و فناوریهای تقویتکننده حریم خصوصی روزبهروز در حال افزایش است. دو رویداد اخیر در سوئیس و ایالات متحده، دو رویکرد کاملاً متفاوت دولتها را در قبال این فناوریها به نمایش میگذارد: یکی بر پایه محدودیت برای حفاظت از حاکمیت داده و دیگری بر پایه ممنوعیت کامل به بهانههایی که از سوی متخصصان امنیت زیر سوال رفته است.
در سوئیس، مسئولان حفاظت از داده این کشور از نهادهای دولتی خواستهاند که از استفاده از سرویسهای ابری بزرگ (hyperscale clouds) و نرمافزار به عنوان سرویس (SaaS) مانند Microsoft 365 برای ذخیره دادههای حساس خودداری کنند. دلیل این تصمیم، نگرانیهای امنیتی و از دست دادن کنترل بر دادهها، به ویژه با توجه به قانون CLOUD Act آمریکا است که به دولت ایالات متحده اجازه میدهد به دادههای ذخیرهشده توسط شرکتهای آمریکایی در هر کجای دنیا دسترسی پیدا کند.
همزمان در ایالات متحده، قانونگذاران در ایالت ویسکانسین (و چند ایالت دیگر) در حال پیشبرد لایحهای برای ممنوع کردن استفاده از VPN هستند. بهانه این اقدام “محافظت از کودکان” عنوان شده است. این لایحه وبسایتهای حاوی “محتوای جنسی” را ملزم میکند تا دسترسی کاربرانی که از طریق VPN متصل میشوند را مسدود کنند.
این دو رویکرد کاملاً متضاد هستند. دولت سوئیس با یک نگاه پیشگیرانه و متمرکز بر حاکمیت داده، به دنبال کاهش ریسکهای ناشی از وابستگی به زیرساختهای خارجی است. در مقابل، رویکرد قانونگذاران آمریکایی توسط کارشناسان برجستهای مانند بروس اشنایر به عنوان “ایدهای وحشتناک” محکوم شده است؛ آنها این اقدام را بهانهای ضعیف برای گسترش نظارت و غیرقانونی کردن ابزارهای حفظ حریم خصوصی میدانند.
“بذار خلاصه بگم 👇”
سوئیس استفاده از سرویسهای ابری مثل مایکروسافت ۳۶۵ رو برای اطلاعات حساس دولتی ممنوع کرده، درحالیکه در آمریکا، سیاستمداران به بهانه حفاظت از کودکان دنبال ممنوع کردن کامل VPN ها هستن.
منابع این بخش:
۶. بازگشت کرم خودتکثیرشونده Shai-hulud: حمله به اکوسیستمهای ابری از طریق npm
بازگشت کرم Shai-hulud (شای-هولود) با قابلیتهای جدید، نشاندهنده جهش خطرناکی در حملات زنجیره تأمین نرمافزار است. این تهدید دیگر فقط به آلوده کردن پکیجهای نرمافزاری محدود نمیشود؛ بلکه به طور فعال به دنبال پل زدن از محیط توسعه نرمافزار به زیرساختهای ابری سازمانها است. این حمله نشان میدهد که یک توسعهدهنده به خطر افتاده میتواند به نقطه شروعی برای یک نفوذ گسترده در کل اکوسیستم ابری یک شرکت تبدیل شود.
زنجیره حمله چندمرحلهای این کمپین به شرح زیر عمل میکند:
- دسترسی اولیه: این بدافزار نگهدارندگان بستههای نرمافزاری (package maintainers) را در پلتفرمهایی مانند
NPMهدف قرار میدهد تا به کد منبع پروژهها نفوذ کند. - اجرای آگاه از محیط: بدافزار دارای قابلیت دوگانهای است. در محیطهای یکپارچهسازی و تحویل مداوم (
CI/CD)، بلافاصله برای سرقت اطلاعات حساس (secrets) فعال میشود. اما در کامپیوتر توسعهدهندگان، به صورت یک فرآیند پسزمینه و مخفی اجرا میشود تا شناسایی نشود. - زیرساخت فرمان و کنترل (C2): با استفاده از یک تکنیک نوآورانه، حساب
GitHubقربانی را ربوده و یک مخزن (repository) خصوصی به همراه یک اجراکننده خودمیزبان (self-hosted runner) ایجاد میکند تا از آن به عنوان زیرساخت فرمان و کنترل خود استفاده کند. - سرقت اطلاعات ابری: این بدافزار طوری طراحی شده است که بتواند اطلاعات حساس و کلیدهای دسترسی را از هر سه ارائهدهنده بزرگ ابری یعنی
AWS،Google CloudوAzureسرقت کند. - انتشار:
Shai-huludمانند یک کرم کامپیوتری رفتار میکند. با انتشار آپدیتهای مخرب برای بستههای آلوده، به طور خودکار کاربران و سیستمهای پاییندستی را نیز آلوده میسازد.
بر اساس گزارشها، نسخه جدید این کرم خودتکثیرشونده که از طریق رجیستری پکیج npm منتشر میشود، با قابلیتهای پیشرفتهتری بازگشته است. زنجیره حمله با یک ایمیل فیشینگ هدفمند به یک توسعهدهنده آغاز میشود. پس از سرقت اعتبارنامههای توسعهدهنده، مهاجمان به حسابهای npm و GitHub او دسترسی پیدا کرده و تمام پکیجهای نرمافزاری تحت مدیریت او را با کد مخرب آلوده میکنند.
قابلیت جدید و خطرناک این نسخه، توانایی سرقت اعتبارنامهها و کلیدهای دسترسی (secrets) برای سرویسهای ابری بزرگ مانند AWS، Google Cloud و Azure است. این کرم از ابزارهایی مانند TruffleHog برای اسکن خودکار کدها و یافتن این اطلاعات حساس استفاده میکند.
دیدگاه کارشناسی
ویرانگری این نوع کرم در اثر دومینوی آن نهفته است. این حمله فقط یک پروژه را آلوده نمیکند؛ بلکه از پکیجهای معتبر و مورد اعتماد یک توسعهدهنده به خطر افتاده به عنوان وسیلهای برای انتشار خود به هزاران پروژه دیگر که از آن پکیجها استفاده میکنند، بهره میبرد. این امر یک “شعاع انفجار” (blast radius) عظیم ایجاد میکند و شناسایی و پاکسازی آن را فوقالعاده دشوار میسازد. هدف قرار دادن مستقیم کلیدهای دسترسی ابری، گام بعدی و منطقی مهاجمان است، زیرا کنترل زیرساخت ابری، جایزه نهایی است.
اقدام ضروری
تیمهای توسعه نرمافزار باید کنترلهای امنیتی سختگیرانهای را برای اعتبارنامههای توسعهدهندگان اعمال کنند. استفاده از احراز هویت چندعاملی (MFA) برای تمام پلتفرمهای Git و رجیستریهای پکیج، یک ضرورت است. همچنین، استفاده از ابزارهای اسکن کلیدهای دسترسی در خطوط لوله یکپارچهسازی و استقرار مداوم (CI/CD) برای جلوگیری از نشت این اطلاعات حیاتی، الزامی است.
“بذار خلاصه بگم 👇”
یک بدافزار فوقپیشرفته به نام شای-هولود کشف شده که مثل یک کرم در پروژههای نرمافزاری پخش میشه، هم از سیستم توسعهدهندهها و هم از زیرساختهای ابری (مثل AWS) اطلاعات حساس رو میدزده و از حساب گیتهاب قربانی برای کنترل خودش استفاده میکنه.
منابع این بخش:
۷. آسیبپذیری بحرانی در Apache bRPC: چگونه یک درخواست ساده میتواند سرورها را از کار بیندازد؟
درحالیکه سرقت دادهها معمولاً تیتر اخبار را به خود اختصاص میدهد، حملات «محرومسازی از سرویس» (Denial-of-Service یا DoS) تهدیدی حیاتی برای در دسترس بودن زیرساختهای کلیدی هستند. این حملات میتوانند سرویسهای آنلاین ضروری را از کار بیندازند و خسارات مالی و اعتباری هنگفتی به بار آورند، که این خود نوعی حمله به زیرساختهای حیاتی محسوب میشود.
یک آسیبپذیری بحرانی با شناسه CVE-2025-59789 در فریمورک Apache bRPC شناسایی شده است. این نقص در کامپوننت json2pb وجود دارد که از یک روش بازگشتی (recursive) برای تجزیه (parse) دادههای JSON استفاده میکند. یک مهاجم از راه دور و بدون نیاز به احراز هویت، میتواند با ارسال یک درخواست JSON با ساختار تودرتوی عمیق، باعث مصرف تمام حافظه پشته (stack exhaustion) شده و سرور را به طور کامل از کار بیندازد (حمله Denial-of-Service).
اهمیت این آسیبپذیری در ترکیب سه عامل نهفته است: امتیاز بحرانی CVSS، سهولت فوقالعاده در بهرهبرداری، و کاربرد گسترده فریمورک Apache bRPC در سیستمهای با کارایی بالا مانند موتورهای جستجو، سیستمهای ذخیرهسازی و پلتفرمهای یادگیری ماشین. این ترکیب به این معناست که یک مهاجم با دانش فنی اندک میتواند با ارسال یک درخواست ساده، سرویسهای حیاتی و پربار را از دسترس خارج کند.
برای درک این آسیبپذیری که «بازگشت کنترلنشده» (Uncontrolled Recursion) نام دارد، از یک مثال ساده استفاده میکنیم:
- سناریوی عادی: پردازش یک فایل JSON مانند باز کردن عروسکهای تودرتوی روسی است. شما عروسک بزرگ را باز میکنید تا به عروسک کوچکتر برسید و این کار را ادامه میدهید تا به جایزه نهایی در مرکز برسید. میز کار شما (که در اینجا حافظه پشته یا Stack سرور است) فضای محدودی برای قرار دادن عروسکهای باز شده دارد.
- حمله: مهاجم جعبهای حاوی تعداد بینهایت عروسک تودرتو برای شما ارسال میکند.
- فاجعه: با باز کردن مداوم عروسکها، فضای میز شما تمام میشود. عروسکها روی زمین میریزند و شما دیگر نمیتوانید به کار خود ادامه دهید. در دنیای واقعی، سرور به دلیل اتمام حافظه پشته (Stack Exhaustion) از کار میافتد و Crash میکند.
برای مثال، یک فروشگاه آنلاین بزرگ از Apache bRPC برای موتور پیشنهاددهنده محصولات خود استفاده میکند. یک مهاجم یک درخواست JSON کوچک اما با عمق تودرتوی بسیار زیاد به سرور ارسال میکند. سرور در تلاش برای پردازش آن، وارد یک حلقه بازگشتی بیپایان شده، تمام حافظه خود را مصرف کرده و از کار میافتد. این اتفاق باعث میشود موتور پیشنهاد محصولات در اوج فروش تعطیلات از دسترس خارج شود و ضرر مالی قابل توجهی به شرکت وارد کند.
اقدام فوری
تیمهای فنی که از Apache bRPC استفاده میکنند باید فوراً به نسخه ۱.۱۵.۰ یا بالاتر بهروزرسانی کنند.
“بذار خلاصه بگم 👇”
یک باگ خیلی بد در یک فریمورک پراستفاده به اسم Apache bRPC پیدا شده که هکرها میتونن با فرستادن یک درخواست خاص، کل سرور رو از کار بندازن.
منابع این بخش:
۸. انتشار کد اثبات مفهوم (PoC) برای آسیبپذیری خطرناک اجرای کد در Outlook (CVE-2024-21413)
آسیبپذیری "MonikerLink" با شناسه CVE-2024-21413 در مایکروسافت Outlook یک نقص امنیتی حیاتی است. انتشار عمومی کد اثبات مفهوم (Proof-of-Concept) برای این آسیبپذیری، خطر را به شدت افزایش میدهد، زیرا ابزاری آماده در اختیار مهاجمان با مهارت کمتر قرار میدهد.
این نقص با دور زدن ویژگی امنیتی “Protected View” در Outlook کار میکند. مهاجم یک لینک خاص با استفاده از پروتکل file:// و به دنبال آن یک علامت تعجب (!) ایجاد میکند. هنگامی که قربانی روی این لینک کلیک میکند، Outlook بدون نمایش هشدارهای امنیتی معمول، به منبع مورد نظر دسترسی پیدا میکند. این آسیبپذیری دو سناریوی حمله اصلی را ممکن میسازد:
- سرقت اطلاعات کاربری: لینک میتواند یک اتصال
SMBرا به سرور تحت کنترل مهاجم برقرار کند و باعث نشت هشNTLMکاربر شود. این هش میتواند شکسته شده یا در حملات بازپخشی (relay attacks) استفاده شود. - اجرای کد از راه دور: در سناریوهای شدیدتر، این آسیبپذیری میتواند منجر به اجرای کامل کد از راه دور بر روی دستگاه قربانی شود.
امتیاز CVSS 9.8 نشاندهنده یک آسیبپذیری فوقالعاده خطرناک است. انتشار کد PoC در GitHub، حتی اگر برای اهداف آموزشی باشد، به این معناست که گروههای تهدید به سرعت آن را به یک سلاح تبدیل خواهند کرد. این امر تهدید را از حالت نظری به یک خطر عملی و فوری برای بسیاری از سازمانها تبدیل میکند.
توصیههای کاربردی
- فوراً وصلههای امنیتی رسمی مایکروسافت برای
CVE-2024-21413را نصب کنید. - ترافیک ایمیل را برای لینکهای مشکوک حاوی
file:\نظارت کنید. - برای جلوگیری از نشت اطلاعات
NTLM، ترافیک خروجیSMB(پورت TCP 445) را در فایروال مسدود کنید.
“بذار خلاصه بگم 👇”
یک حفره امنیتی بسیار خطرناک (امتیاز ۹.۸ از ۱۰) در اوتلوک وجود داره که با کلیک روی یک لینک مخرب، هکر میتونه پسورد ویندوز شما رو بدزده یا کنترل کامپیوترتون رو به دست بگیره. الان کد آمادهی این حمله هم منتشر شده و خطرش بیشتر شده.
منابع این بخش:
۹. تکنیکهای “زندگی در سرزمین” (LotL): چگونه هکرها با ابزارهای خود ویندوز، EDR را دور میزنند
حملات سایبری مدرن شاهد یک تغییر استراتژیک بودهاند. برخلاف روشهای سنتی که بدافزارها فایلهای خارجی و ناشناس را وارد سیستم میکردند، تکنیکهای «زندگی با منابع موجود» (Living Off the Land) از ابزارهای قانونی و موجود در خود سیستمعامل برای انجام فعالیتهای مخرب سوءاستفاده میکنند. این رویکرد به مهاجمان اجازه میدهد تا با استفاده از زیرساختهای مورد اعتماد، از دید سیستمهای امنیتی پنهان بمانند.
گزارشها حاکی از روند فزایندهای است که در آن مهاجمان به طور گسترده از برنامههای قانونی و امضاشده توسط مایکروسافت، معروف به LOLBins (لال-بینز)، برای عملیات خود استفاده میکنند. ابزارهایی مانند PowerShell، WMI و Certutil به آنها اجازه میدهند تا فعالیتهای خود را در میان کارهای مدیریتی عادی سیستم پنهان کرده و بسیاری از راهحلهای تشخیص و پاسخ نقطه پایانی (EDR)، که نرمافزارهای امنیتی پیشرفته برای کامپیوترهای سازمانی هستند، را دور بزنند.
این تاکتیک به این دلیل بسیار مؤثر است که ابزارهای مذکور مورد اعتماد سیستمهای امنیتی هستند و روزانه توسط مدیران IT برای کارهای قانونی استفاده میشوند. در نتیجه، نرمافزارهای امنیتی نمیتوانند به سادگی آنها را مسدود کنند. فعالیتهای مخرب با استفاده از این ابزارها تقریباً مشابه وظایف مدیریتی قانونی به نظر میرسد و این امر تشخیص آنها را برای سیستمهای مبتنی بر امضا به یک کابوس تبدیل میکند. این رویکرد، مراکز عملیات امنیت (SOCs) را مجبور به یک تغییر پارادایم میکند؛ از صرفاً شکار فایلهای مخرب به سمت وظیفه بسیار دشوارترِ تعریف رفتار مدیریتی «عادی» برای شناسایی نیتهای مخرب.
یکی از منابع به تجربه یک اپراتور تیم قرمز اشاره میکند: مهاجم پس از دستیابی اولیه، به جای آپلود یک ابزار هک شناختهشده مانند Mimikatz (که در عرض ۱۵ دقیقه شناسایی میشود)، از PowerShell برای اجرای اسکریپتها، از WMI برای جستجوی سایر ماشینها در شبکه و از BitAdmin برای دانلود بدافزار بعدی خود استفاده میکند. با این روش، او به مدت سه هفته شناسایی نشده و در این مدت به ۱۵ سیستم مختلف نفوذ کرده است.
در جدول زیر، برخی از ابزارهای ویندوز که مورد سوءاستفاده قرار میگیرند، آورده شده است:
| ابزار / ویژگی | عملکرد مخرب | دلیل عدم شناسایی |
|---|---|---|
**PowerShell** | اجرای دستورات از راه دور، اجرای اسکریپتهای مخرب در حافظه. | ابزار اتوماسیون معتبر مایکروسافت؛ فعالیت آن با عملیات عادی IT ترکیب میشود. |
**WMI** | جستجوهای از راه دور، ایجاد فرآیند، استخراج دادهها، حرکت جانبی. | جزء اصلی مدیریت سیستم؛ مسدود کردن آن، مدیریت سیستم را فلج میکند. |
**Certutil.exe** | دانلود بدافزار از اینترنت. | ابزار قانونی مدیریت گواهی که معمولاً توسط کنترلهای امنیتی مجاز است. |
**BitsAdmin** | انتقال فایلها در پسزمینه برای دانلود بدافزار یا سرقت دادهها. | ابزار قانونی برای مدیریت انتقال فایل. |
**Scheduled Tasks** | دستیابی به ماندگاری با زمانبندی اجرای کدهای مخرب. | به عنوان یک کار تعمیر و نگهداری سیستمی قانونی پنهان میشود. |
**Windows Registry** | دستیابی به ماندگاری و تغییر تنظیمات سیستم. | به عنوان یک کار تعمیر و نگهداری سیستمی قانونی پنهان میشود. |
تیمهای امنیتی باید از تشخیص مبتنی بر امضا به سمت رویکردهای زیر حرکت کنند:
- ثبت جامع گزارشها (لاگها) و تحلیل رفتاری.
- فعالسازی ثبت گزارش بلوک اسکریپت
PowerShellو بازرسی خط فرمان. - استفاده از ابزارهایی مانند
Sysmonبرای ردیابی دقیق رفتار سیستم. - نظارت بر روابط غیرعادی بین فرآیندها (به عنوان مثال، اجرای
PowerShellتوسط نرمافزار Word).
“بذار خلاصه بگم 👇”
هکرها به جای استفاده از ابزارهای جدید، از ابزارهای خود ویندوز (مثل PowerShell) برای حمله استفاده میکنن. چون این ابزارها معتبر هستن، نرمافزارهای امنیتی بهشون شک نمیکنن و حمله مخفی میمونه.
منابع این بخش:
۱۰. حملات “Evil Twin” در وایفای عمومی: چگونه یک هکر استرالیایی مسافران را در فرودگاهها شکار میکرد
درک تهدیدات رایج در شبکههای وایفای عمومی از اهمیت بالایی برخوردار است، زیرا این حملات از تمایل طبیعی کاربران به اتصال به اینترنت در فضاهای عمومی سوءاستفاده میکنند. این حملات نشان میدهند که چگونه اعتماد کورکورانه به نامهای آشنا میتواند به راحتی مورد بهرهبرداری قرار گیرد.
بر اساس گزارشها، مایکل کلاپسیس، یک مرد ۴۴ ساله استرالیایی، به دلیل اجرای حملات “Evil Twin” به بیش از ۷ سال زندان محکوم شده است. او با استفاده از دستگاهی به نام Wi-Fi Pineapple، شبکههای وایفای جعلی ایجاد میکرد که نام آنها دقیقاً مشابه شبکههای قانونی در فرودگاههای بزرگ و در حین پروازها بود. او از این طریق اطلاعات ورود (credentials) و تصاویر خصوصی کاربرانی که به این شبکههای جعلی متصل میشدند را به سرقت میبرد.
حملات “Evil Twin” از نظر روانشناسی بسیار مؤثر هستند، زیرا کاربران به اعتماد کردن به نامهای شبکه (SSID) آشنا عادت کردهاند و اغلب دستگاههایشان به صورت خودکار و بدون تأیید صحت شبکه به آنها متصل میشوند. این خطر در مناطق پرتردد عمومی مانند فرودگاهها، که افراد به دنبال اتصال سریع به اینترنت هستند، دوچندان میشود.
برای درک بهتر این مفهوم، از یک مثال استفاده میکنیم:
- سناریوی عادی: شما به کافیشاپ همیشگی خود، «قهوه لمیز»، میروید و به وایفای آن با نام
lamizcoffee_WiFiوصل میشوید. گوشی شما آن را به خاطر میسپارد. - حمله: یک هکر در پارکینگ مینشیند و یک هاتاسپات وایفای با همان نام
lamizcoffee_WiFiراهاندازی میکند. گوشی شما نام آشنا را میبیند و به جای شبکه واقعی، به شبکه قلابی هکر وصل میشود. - فاجعه: حالا هر وبسایتی که باز میکنید و هر پسوردی که تایپ میکنید، مستقیماً از لپتاپ هکر عبور میکند. مثل این است که فکر میکردید دارید با باریستا صحبت میکنید، اما در واقع شماره کارت اعتباری خود را به یک دزد میگفتید.
نکات کاربردی
هرگز به شبکههای وایفای عمومی و بدون رمز عبور متصل نشوید. اگر مجبورید، برای ایمن ماندن در شبکههای وایفای عمومی، این نکات را رعایت کنید:
- همیشه از یک شبکه خصوصی مجازی (VPN) استفاده کنید.
- قابلیت “اتصال خودکار به شبکهها” را در دستگاههای خود غیرفعال کنید.
- از ورود به حسابهای حساس مانند بانکداری آنلاین در شبکههای عمومی خودداری نمایید.
“بذار خلاصه بگم 👇”
یه هکر با ساختن وایفایهای قلابی شبیه وایفای فرودگاه، اطلاعات مسافرها رو میدزدید. حواستون به وایفای عمومی باشه.
منابع این بخش:
۱۱. باجافزار Cl0p دانشگاههای تراز اول آمریکا را با حمله روز-صفر هدف قرار داد
گروه باجافزاری Cl0p بار دیگر نشان داد که در بهرهبرداری از آسیبپذیریهای روز-صفر (Zero-day) در نرمافزارهای پرکاربرد سازمانی، استاد است. این حمله به کالج دارتموث، نه یک رویداد تصادفی، بلکه بخشی از یک کمپین استراتژیک برای نفوذ به سازمانهایی است که به نرمافزارهای پیچیده و حیاتی متکی هستند. این رویکرد به مهاجمان اجازه میدهد تا با یک کلید، قفل چندین گنجینه ارزشمند را باز کنند.
بر اساس گزارش Check Point Research، کالج دارتموث، یکی از دانشگاههای معتبر Ivy League، قربانی یک نشت داده شده است. مهاجمان با بهرهبرداری از یک آسیبپذیری روز-صفر در سرورهای Oracle E-Business Suite این دانشگاه، موفق به سرقت اطلاعات شخصی و حساس شدهاند. گروه اخاذی Cl0p (کلاپ) مسئولیت این حمله را بر عهده گرفته است. دادههای به سرقت رفته شامل نام، شماره تأمین اجتماعی (SSN) و جزئیات مالی افراد بوده است.
“این حمله بخشی از یک کمپین گستردهتر بود که اهداف دیگری همچون دانشگاه هاروارد و Envoy Air را نیز شامل میشد.”
دیدگاه کارشناسی
نرمافزارهای برنامهریزی منابع سازمانی (ERP) مانند Oracle E-Business Suite، به دلیل اینکه قلب تپنده عملیات مالی و مدیریتی یک سازمان هستند، اهداف بسیار جذابی برای گروههای باجافزاری محسوب میشوند. این سیستمها حجم عظیمی از دادههای متمرکز و حساس را در خود جای دادهاند. توانایی Cl0p در کشف و استفاده از آسیبپذیریهای روز-صفر در چنین پلتفرمهایی، نشاندهنده سطح بالای منابع و تخصص فنی این گروه است و زنگ خطری جدی برای تمام سازمانهایی است که از این نوع نرمافزارها استفاده میکنند.
نمونهای از تأثیرات واقعی
یک دانشجوی دانشگاه را تصور کنید که چند ماه پس از این نشت داده، متوجه میشود چندین درخواست وام به نام او ثبت شده است. اطلاعات شخصی او، از جمله شماره تأمین اجتماعی، که از سرورهای دانشگاه به سرقت رفته، برای جعل هویت و کلاهبرداری مالی مورد استفاده قرار گرفته است. این سناریو نشان میدهد که چگونه یک حمله به زیرساخت فناوری اطلاعات یک سازمان میتواند زندگی شخصی افراد را برای سالها تحت تأثیر قرار دهد.
اقدام ضروری
سازمانهایی که از Oracle E-Business Suite استفاده میکنند، باید فوراً تمام وصلههای امنیتی منتشر شده را نصب کرده و شبکههای خود را برای هرگونه نشانه نفوذ (Indicators of Compromise) مرتبط با فعالیتهای گروه Cl0p به دقت پایش کنند.
“بذار خلاصه بگم 👇”
گروه معروف کلاپ با پیدا کردن یه حفره امنیتی جدید تو نرمافزار Oracle، به اطلاعات شخصی و مالی دانشگاههای معتبری مثل دارتموث و هاروارد دست پیدا کرد.
منابع این بخش:
۱۲. آسیبپذیری خطرناک در روترهای ASUS: امکان دور زدن احراز هویت از راه دور
تجهیزات شبکه خانگی، به ویژه روترها، اغلب به عنوان “دروازه فراموششده” به شبکههای شخصی و حتی سازمانی (در عصر دورکاری) عمل میکنند. این آسیبپذیری در روترهای محبوب ASUS نشان میدهد که چگونه یک نقص در یک ویژگی جانبی (AiCloud) میتواند به مهاجمان اجازه دهد تا کنترل کامل دروازه اصلی اینترنت یک کاربر را به دست بگیرند و از آن به عنوان سکوی پرتاب برای حملات بعدی استفاده کنند.
بر اساس گزارش Check Point Research، یک آسیبپذیری بحرانی دور زدن احراز هویت با شناسه CVE-2025-59366 در روترهای ASUS که ویژگی AiCloud در آنها فعال است، کشف شده است. این نقص به یک مهاجم از راه دور اجازه میدهد تا با زنجیر کردن آسیبپذیریهای پیمایش مسیر (Path Traversal) و تزریق دستور سیستمعامل (OS Command Injection)، توابع غیرمجاز را بدون هیچگونه تعاملی از سوی کاربر اجرا کند.
دیدگاه کارشناسی
به دست گرفتن کنترل یک روتر، یکی از بدترین سناریوهای ممکن برای امنیت یک شبکه است. مهاجمی که روتر را کنترل میکند، میتواند تمام ترافیک اینترنت شما را شنود کند (حمله Man-in-the-Middle)، شما را به وبسایتهای جعلی و فیشینگ هدایت کند (DNS Hijacking)، و به تمام دستگاههای دیگر متصل به شبکه شما (لپتاپها، گوشیها، دستگاههای هوشمند) حمله کند. این آسیبپذیری به دلیل اینکه نیازی به تعامل کاربر ندارد، به ویژه خطرناک است.
اقدام ضروری
صاحبان روترهای ASUS باید فوراً به پنل مدیریت روتر خود مراجعه کرده و وجود بهروزرسانی برای سیستمعامل (firmware) را بررسی و آن را نصب کنند. به عنوان یک اقدام پیشگیرانه، اگر از ویژگی AiCloud استفاده نمیکنید، آن را غیرفعال کنید.
“بذار خلاصه بگم 👇”
یه حفره امنیتی خطرناک تو روترهای ASUS پیدا شده که اگه قابلیت AiCloud فعال باشه، هکرها میتونن از راه دور کنترل روتر رو به دست بگیرن.
منابع این بخش:
۱۳. اخبار کوتاه از دنیای فروشندگان امنیت سایبری
در این بخش به طور خلاصه به آخرین تحولات شرکتهای پیشرو در حوزه امنیت سایبری میپردازیم:
**Cisco**: سیسکو در حال تقویت فایروال امن خود باAIOpsبرای ارائه بینشهای پیشبینیکننده است و ابزار جدیدی به نامFirewall Migration Tool (FMT)برای سادهسازی فرآیند انتقال به پلتفرمهای جدید منتشر کرده است.**CrowdStrike**: این شرکت قابلیتهای جدید تشخیص و واکنش ابری بلادرنگ (CDR) را راهاندازی کرده و یکپارچگی خود باAWSرا برای محصولFalcon Next-Gen SIEMعمیقتر کرده است.**Kaspersky**: کسپراسکی یک بهروزرسانی بزرگ برای راهکار امنیتی سیستمهای تعبیهشده (Embedded Systems Security) خود برای ویندوز و لینوکس منتشر کرده که شامل یک موتور تحلیل رفتاری و قابلیت جلوگیری از حملاتBadUSBاست.**Proofpoint**: این شرکت برای دومین سال متوالی به عنوان “پیشرو” (Leader) در گزارش Gartner Magic Quadrant 2025 برای امنیت ایمیل انتخاب شده است.**Arctic Wolf**&**BreachLock**: شرکتArctic Wolfجایزه محصول سال ۲۰۲۵ CRN را برای سرویس MDR خود دریافت کرد وBreachLockدر گزارش GigaOm Radar برای PTaaS به عنوان “پیشرو” معرفی شد.**Malwarebytes**: این شرکت به اتحاد جهانی ضد کلاهبرداری (GASA) پیوسته است تا در مبارزه با کلاهبرداریهای آنلاین مشارکت کند.
جمعبندی
اخبار امروز الگوهای غالبی را در چشمانداز تهدیدات سایبری آشکار میکند. ما شاهد ارتباطی روشن بین افزایش حملات زنجیره تأمین (مانند Shai-hulud) و سوءاستفاده فزاینده از ابزارها و پلتفرمهای قانونی (مانند تکنیکهای LotL و MS Teams) هستیم. این روندها نشان میدهد که مهاجمان به طور فزایندهای در حال فعالیت در درون سیستمها و زنجیرههای تأمین مورد اعتماد هستند که این امر اثربخشی امنیت سنتی مبتنی بر محیط پیرامونی را کاهش میدهد. این روندها نشان میدهد که میدان نبرد امنیت سایبری به طور فزایندهای به داخل مرزهای اعتماد ما منتقل شده است و دفاع از محیط پیرامونی به تنهایی دیگر کافی نیست؛ اکنون باید از درون محافظت کنیم.
“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec