امروز چشمانداز امنیت سایبری تحت سلطهی وصلههای امنیتی حیاتی برای آسیبپذیریهای روز-صفر (Zero-day)، بهرهبرداری گسترده از کتابخانههای نرمافزاری بزرگ و کمپینهای بدافزاری پیچیدهتر از همیشه است. این موج جدید حملات نشان میدهد که مهاجمان دیگر فقط به دنبال حفرههای پنهان نیستند، بلکه زیرساختهای اصلی و حتی اعتمادی که ما به ابزارهای روزمرهمان داریم را هدف گرفتهاند.
۱. سهشنبه وصلهها: مایکروسافت یک آسیبپذیری روز-صفر تحت حمله فعال را وصله میکند
سهشنبه وصلههای (Patch Tuesday) ماه دسامبر مایکروسافت همیشه یکی از رویدادهای مهم تقویم امنیتی است، اما این ماه اهمیت آن دوچندان شده. دلیل؟ انتشار یک وصله برای یک آسیبپذیری روز-صفر (Zero-day) که مهاجمان همین حالا به طور فعال در حال بهرهبرداری از آن هستند. این حفره یک مسیر مستقیم برای مهاجمان فراهم میکند تا در سیستمهای ویندوز، دسترسی خود را به بالاترین سطح ممکن برسانند و کنترل کامل را در دست بگیرند.
تحلیل آسیبپذیری روز-صفر فعال (CVE-2025-62221)
- مشکل اصلی: یک آسیبپذیری از نوع «ارتقاء سطح دسترسی» (Elevation of Privilege) در درایور
Windows Cloud Files Mini Filter Driver (cldflt.sys)است. این درایور توسط سرویسهایی مانند OneDrive و Google Drive برای همگامسازی فایلها استفاده میشود. - تأثیر: این آسیبپذیری به مهاجمی که از قبل به سیستم دسترسی محلی (هرچند با دسترسی محدود) دارد، اجازه میدهد تا به سطح دسترسی کامل
SYSTEMبرسد. وقتی مهاجمی به این سطح از دسترسی میرسد، میتواند هر کاری روی سیستم انجام دهد: بدافزار نصب کند، آنتیویروس را غیرفعال کند و یا به کل شبکه نفوذ کند. - اهمیت: به دلیل بهرهبرداری فعال از این حفره، آژانس امنیت سایبری و زیرساخت آمریکا (CISA) آن را به کاتالوگ آسیبپذیریهای شناختهشده و مورد بهرهبرداری (KEV) اضافه کرده و به تمام آژانسهای فدرال دستور داده است که تا تاریخ ۳۰ دسامبر ۲۰۲۵، این آسیبپذیری را وصله کنند.
آسیبپذیریهای روز-صفر که عمومی شدهاند
علاوه بر این مورد، مایکروسافت دو آسیبپذیری روز-صفر دیگر را نیز وصله کرده که جزئیات آنها قبل از انتشار وصله، عمومی شده بود اما هنوز بهرهبرداری فعالی از آنها گزارش نشده است:
CVE-2025-64671: این یک آسیبپذیری اجرای کد از راه دور (RCE) در GitHub Copilot برای JetBrains است که برای بهرهبرداری نیاز به تعامل کاربر با یک فایل مخرب یا پرامپت دستکاریشده دارد.CVE-2025-54100: یک حفره RCE دیگر در Windows PowerShell که آن هم عمومی شده بود.
حفرههای حیاتی اجرای کد از راه دور (RCE)
در این آپدیت، چند آسیبپذیری حیاتی دیگر نیز وجود دارد که باید جدی گرفته شوند:
- Microsoft Office (
**CVE-2025-62554**,**CVE-2025-62557**): این حفرهها به مهاجم اجازه میدهند تا با فریب دادن کاربر برای باز کردن یک فایل آفیس مخرب، کد دلخواه را روی سیستم اجرا کند. - Microsoft Outlook (
**CVE-2025-62562**): در این مورد، کافیست کاربر به یک ایمیل دستکاریشده پاسخ دهد تا زنجیرهی حمله فعال شود. حتی باز کردن ایمیل در حالت Preview Pane خطری ندارد، اما عمل پاسخ دادن، ماشه را میچکاند.
مروری بر کل بسته امنیتی
در مجموع، این بسته بین ۵۶ تا ۵۷ آسیبپذیری را برطرف میکند (بر اساس گزارشهای مختلف)، که دستهبندی آنها به شرح زیر است:
- اجرای کد از راه دور (RCE): ۱۹ مورد
- ارتقاء سطح دسترسی (EoP): ۲۸ مورد
- افشای اطلاعات (Information Disclosure): ۴ مورد
- محرومسازی از سرویس (Denial of Service): ۳ مورد
- جعل هویت (Spoofing): ۲ مورد
اقدام فوری
آپدیتهای ماه دسامبر را بلافاصله نصب کنید و وصلهی مربوط به CVE-2025-62221 را در اولویت قرار دهید.
“بذار خلاصه بگم 👇”
مایکروسافت یه آپدیت امنیتی خیلی مهم داده بیرون که سه تا حفره خطرناک رو میبنده. یکی از این حفرهها همین الان توسط هکرها داره استفاده میشه تا کنترل کامل کامپیوترها رو به دست بگیرن. همین الان ویندوزت رو آپدیت کن.
منابع این بخش:
۲. آسیبپذیری بحرانی React2Shell: بهرهبرداری گسترده توسط هکرهای کره شمالی و انتشار بدافزارهای جدید
آسیبپذیریهای زنجیره تأمین در فریمورکهای پرکاربردی مانند React، اهمیت استراتژیک فوقالعادهای دارند، زیرا یک حفره امنیتی میتواند هزاران برنامه و سرویس را به خطر بیندازد. بر اساس اطلاعات جمعآوریشده از منابع متعدد، یک آسیبپذیری بحرانی اجرای کد از راه دور (RCE) با شناسه CVE-2025-55182 که به React2Shell معروف است، به طور گسترده توسط گروههای مختلف، از جمله هکرهای مرتبط با کره شمالی، در حال بهرهبرداری است. آژانس امنیت سایبری و زیرساخت آمریکا (CISA) به دلیل ریسک بالای این آسیبپذیری، مهلت وصله کردن آن را برای سازمانهای فدرال تا روز جمعه کوتاه کرده است.
طبق گزارش Shadowserver، بیش از ۱۶۵,۰۰۰ آدرس IP و ۶۴۴,۰۰۰ دامنه حاوی کد آسیبپذیر هستند که تقریباً دو سوم آنها در ایالات متحده قرار دارند.
این آسیبپذیری به این دلیل بسیار خطرناک است که چندین فریمورک مبتنی بر React مانند Next.js را تحت تأثیر قرار میدهد و به مهاجم اجازه میدهد تا بدون نیاز به احراز هویت، کد دلخواه خود را از راه دور اجرا کند. به گفته کلی شورتریج از شرکت Fastly، این یک “آسیبپذیری از نوع ‘یک کلیک و تمام'” است. مهاجمان از گروههای فرصتطلب که به دنبال استخراج رمزارز هستند تا بازیگران دولتی، در حال بهرهبرداری از این ضعف هستند و محققان پتانسیل تخریب آن را با آسیبپذیری معروف Log4Shell مقایسه میکنند.
سناریوی حمله
گروه هکری مرتبط با کره شمالی که با نام Contagious Interview (کان-تِی-جِس این-تِر-ویو) شناخته میشود، از React2Shell برای نصب یک بکدور جدید و پیشرفته به نام EtherRAT (اِ-تِر-رَت) استفاده میکند. ویژگیهای منحصربهفرد EtherRAT شامل استفاده از قراردادهای هوشمند اتریوم برای یافتن آدرس سرور کنترل و فرماندهی (C2)، استقرار پنج مکانیزم ماندگاری مجزا در لینوکس، و دانلود و نصب نسخه مستقل Node.js برای اجرای خود است. علاوه بر این، بدافزارهای دیگری مانند PeerBlight (پیر-بِلایت)، CowTunnel (کاو-تا-نِل)، ZinFoq (زین-فاک)، BPFDoor و Mirai نیز در این حملات مشاهده شدهاند.
اقدام فوری
سازمانهایی که از react-server-dom-webpack, react-server-dom-parcel, یا react-server-dom-turbopack استفاده میکنند باید فوراً بهروزرسانی کنند. این یک “وضعیت وصله-فوری” است.
“بذار خلاصه بگم 👇”
یه حفره امنیتی خیلی بزرگ توی یکی از ابزارهای محبوب برنامهنویسی وب پیدا شده و هکرها، از جمله گروههای دولتی، دارن ازش برای نصب بدافزارهای پیشرفته روی سرورها استفاده میکنن. اگه از React استفاده میکنید، همین الان آپدیت کنید.
منابع این بخش:
۳. جاسوسان در کمین فایلهای فشرده: آسیبپذیری WinRAR توسط گروههای APT استفاده میشود
حتی آسیبپذیریهایی که وصله شدهاند، اگر به طور گسترده اعمال نشوند، میتوانند در ابزارهای همهگیری مانند WinRAR به یک تهدید بزرگ تبدیل شوند. آژانس CISA آسیبپذیری CVE-2025-6218، یک ضعف از نوع “پیمایش مسیر” (Path Traversal) در WinRAR را به دلیل بهرهبرداری فعال توسط چندین گروه هکری، به کاتالوگ آسیبپذیریهای شناختهشده و تحت بهرهبرداری (KEV) خود اضافه کرده است.
تحلیل آسیبپذیری و مهاجمان
آسیبپذیری پیمایش مسیر به مهاجم اجازه میدهد یک فایل آرشیو مخرب (.rar یا .zip) بسازد که هنگام باز شدن توسط کاربر، فایلها را خارج از پوشه استخراج مورد نظر، مثلاً در پوشه Startup ویندوز، کپی کند. این کار منجر به اجرای کد دلخواه در دفعه بعدی که سیستم راهاندازی میشود، میگردد. این حفره در ژوئن ۲۰۲۵ در نسخه 7.12 نرمافزار WinRAR وصله شد، اما همچنان در سیستمهای بهروزنشده یک تهدید جدی محسوب میشود. در حالی که وصله از ژوئن ۲۰۲۵ در دسترس بوده، بهرهبرداری گسترده از آن در سیستمهای بهروزنشده، تأثیری معادل یک تهدید روز-صفر (zero-day) به آن بخشیده است. مهاجمان در حال سرمایهگذاری روی شکاف زمانی بین انتشار وصله و اعمال آن در سطح سازمانها هستند؛ چالشی رایج برای ابزارهای فراگیری مانند WinRAR.
برای اینکه درک بهتری از این مفهوم داشته باشیم، بیایید از یک مثال ساده استفاده کنیم:
- سناریوی عادی: باز کردن یک فایل فشرده (RAR) مثل این است که یک بسته پستی دریافت کنید و محتویات آن را مرتب روی قفسهی مشخصی در اتاق خودتان بچینید.
- حمله: حالا تصور کنید داخل این بسته، یک فایل مخرب وجود دارد که روی آن یک برچسب نوشته شده: «این را در جعبه فیوز اصلی در زیرزمین قرار بده». WinRAR، بدون اینکه بررسی کند آیا این دستور منطقی است یا نه، کورکورانه از آن پیروی میکند.
- فاجعه: به جای اینکه یک کتاب روی قفسه قرار بگیرد، شما یک دستگاه مخرب را درست کنار کنترلهای برق خانهتان گذاشتهاید و به مهاجم کنترل کل خانهتان را دادهاید.
گروههای APT که از این حفره استفاده میکنند عبارتند از:
Gamaredon (گَ-ما-رِ-دون):یک گروه روسی که از این آسیبپذیری در کمپینهای فیشینگ علیه نهادهای نظامی و دولتی اوکراین برای نصب بدافزارPteranodon (تِ-را-نو-دون)استفاده میکند.Bitter (بیتِر):گروهی متمرکز بر جنوب آسیا که از آن برای قرار دادن یک قالب ماکروی مخرب در مسیر قالب سراسری Microsoft Word برای ماندگاری استفاده میکند و در نهایت یک تروجان C# را اجرا میکند.GOFFEE (گافی):این گروه که با نام Paper Werewolf نیز شناخته میشود، از این حفره در حملاتی علیه سازمانهای روسی بهرهبرداری کرده است.
اقدام فوری
فوراً WinRAR را به نسخه 7.12 یا بالاتر آپدیت کنید. اگر امکان آپدیت ندارید، استفاده از این نرمافزار را متوقف کنید.
“بذار خلاصه بگم 👇”
هکرهای حرفهای دارن از یک باگ قدیمی در WinRAR استفاده میکنن تا با یک فایل فشرده ساده، بدافزار رو در کامپیوتر شما نصب کنن. اگه هنوز از نسخه قدیمی استفاده میکنید، حتما آپدیتش کنید.
منابع این بخش:
۴. مسمومیت هوش مصنوعی: چگونه جستجوی گوگل و ChatGPT به سرقت اطلاعات کاربران مک منجر میشود
مهندسی اجتماعی در حال تکامل است. مهاجمان دیگر نیازی به ارسال ایمیلهای فیشینگ پر از غلط املایی ندارند. آنها اکنون اعتمادی که کاربران به چتباتهای هوش مصنوعی و موتورهای جستجو دارند را به یک سلاح تبدیل کردهاند و یک بردار حمله جدید و بسیار مؤثر ایجاد کردهاند که تشخیص آن تقریباً غیرممکن است.
تشریح زنجیره حمله
این حمله هوشمندانه از چندین مرحله تشکیل شده است:
- مسموم کردن نتایج جستجو: مهاجم از تکنیکهای سئو (SEO Poisoning) یا تبلیغات گوگل استفاده میکند تا مکالمات مخرب و از پیش ساختهشدهی خود در ChatGPT یا Grok را در صدر نتایج جستجو برای عبارات رایجی مانند «چگونه فضای دیسک مک را خالی کنیم Clear disk space on macOS» قرار دهد.
- ارائه راهنمای مفید: کاربر روی لینک کلیک کرده و به یک مکالمه در سایت رسمی
chatgpt.comیاgrok.comهدایت میشود. این مکالمه ظاهراً راهنماییهای مفیدی برای حل مشکل کاربر ارائه میدهد و در نهایت یک دستور را برای کپی و پیست کردن در ترمینال (Terminal) سیستمعامل macOS پیشنهاد میکند. - اجرای دستور مخرب: کاربر که به گوگل، پلتفرم ChatGPT و محتوای مفید مکالمه اعتماد کرده، دستور را در ترمینال خود اجرا میکند. غافل از اینکه این دستور، بدافزار سرقت اطلاعات
Atomic macOS Stealer (AMOS) (اَ-تا-میک مک-او-اس اِس-تی-لِر)را دانلود و اجرا میکند.
چرا این حمله اینقدر مؤثر است؟
این روش به دلیل بهرهبرداری همزمان از چندین لایه اعتماد، بسیار موفق عمل میکند:
- اعتماد به گوگل: کاربران به نتایج برتر جستجو اعتماد دارند.
- اعتماد به پلتفرم: مکالمات روی دامنههای معتبر
chatgpt.comوgrok.comمیزبانی میشوند. - اعتماد به قالب: ظاهر مکالمه کاملاً شبیه یک گفتگوی عادی و مفید با هوش مصنوعی است.
همانطور که در یکی از گزارشها آمده: «این حمله از کمکی که تظاهر به آن میکند، قابل تشخیص نیست.» این یعنی کاربر هیچ نشانهی مشکوکی نمیبیند و با دست خود، سیستمش را آلوده میکند.
اقدام فوری
هرگز دستوراتی را از هیچ منبعی، حتی یک هوش مصنوعی معتبر، در ترمینال اجرا نکنید، مگر اینکه کاملاً بفهمید هر بخش از آن دستور چه کاری انجام میدهد. به هر اسکریپتی که رمز عبور سیستمتان را میخواهد، به شدت مشکوک باشید.
“بذار خلاصه بگم 👇”
هکرها دارن از ChatGPT و موتور جستجوی گوگل سواستفاده میکنن. اونا جوابهای جعلی برای سوالات فنی (مثل خالی کردن حافظه مک) درست میکنن که شما رو گول میزنه تا یه کد خطرناک رو اجرا کنید و اطلاعاتتون دزدیده بشه.
منابع این بخش:
۵. اشتباه مرگبار یک هکر: وقتی یک جاسوس کره شمالی خودش را هک میکند
حتی هکرهای دولتی هم روزهای بدی دارند. آنها هم ممکن است اشتباهات فاحشی در امنیت عملیاتی (OPSEC) خود مرتکب شوند که به مدافعان اجازه میدهد نگاهی بیواسطه به دنیای پنهان آنها بیندازند. این دقیقاً همان اتفاقی است که برای یکی از عوامل کره شمالی رخ داد و گنجینهای از اطلاعات را در اختیار محققان امنیتی قرار داد.
روایتی از یک اشتباه
شخصیتی به نام Trevor Greer (تِرِ-وُر گِ-ریر)، که یک عامل عملیاتی مرتبط با کره شمالی است، به طور تصادفی کامپیوتر خود را با یک بدافزار سرقت اطلاعات (infostealer) آلوده کرد. این اشتباه باعث شد تا تمام فعالیتها، ابزارها و تکنیکهای او که در کمپین «Contagious Interview» (همان کمپینی که از آسیبپذیری React2Shell استفاده میکرد) به کار گرفته بود، فاش شود.
گنجینهی اطلاعاتی فاش شده
لاگهای به دست آمده از کامپیوتر این هکر، تصویری دقیق از روش کار آنها ارائه میدهد:
- وابستگی به هوش مصنوعی: استفاده مکرر از ChatGPT و Quillbot برای نوشتن ایمیلها و رزومههای متقاعدکننده برای فریب دادن شرکتها.
- استفاده از پلتفرمهای فریلنسری: ایجاد هویتهای جعلی در سایتهایی مانند Upwork و Freelancer برای نفوذ به شرکتهای غربی به عنوان کارمند دورکار در بخش IT.
- ایجاد شرکتهای جعلی: ساخت وبسایتهای شرکتی قلابی مانند
Block Bounceبرای موجه جلوه دادن فعالیتهای خود. - خرید اطلاعات هویتی: استفاده از سایتهای دارک وب مانند
SSNDOB24[.]comبرای خرید شمارههای تأمین اجتماعی (SSN) و سایر اطلاعات شخصی.
این نوع اطلاعات برای مدافعان بسیار ارزشمند است. تحلیل این دادهها فراتر از بررسی یک بدافزار است و زیرساخت انسانی، تاکتیکها، تکنیکها و رویههای (TTPs) یک دشمن پیشرفته را آشکار میکند. این اطلاعات به سازمانها اجازه میدهد تا به جای واکنش به حملات، به طور پیشگیرانه از خود دفاع کنند.
“بذار خلاصه بگم 👇”
یکی از هکرهای کره شمالی تصادفاً کامپیوتر خودش را با یک بدافزار آلوده کرد و تمام اسرار عملیاتیاش لو رفت. حالا ما میدانیم که آنها برای فریب دادن شرکتها از هوش مصنوعی برای نوشتن رزومه و از سایتهای فریلنسری برای نفوذ استفاده میکنند.
منابع این بخش:
۶. آسیبپذیری در Gladinet CentreStack: کلیدهای رمزنگاری ثابت، دروازهای برای اجرای کد از راه دور
نگاهی عمیق و تحلیل
استفاده از کلیدها و رمزهای ثابت (Hardcoded Secrets) در نرمافزارها یکی از پرخطرترین اشتباهات امنیتی است. بر اساس گزارش Huntress، آسیبپذیری CVE-2025-14611 در محصولات CentreStack و Triofox شرکت Gladinet به طور فعال در حال بهرهبرداری است.
تحلیل تخصصی
هسته اصلی این آسیبپذیری به استفاده از کلیدهای رمزنگاری ثابت برمیگردد. این نرمافزار از یک رشته متن چینی به عنوان کلید و یک متن تبلیغاتی ژاپنی به عنوان IV (بردار اولیه) برای رمزگذاری “بلیتهای دسترسی” (Access Tickets) استفاده میکند. از آنجایی که این کلیدها هرگز تغییر نمیکنند، مهاجم میتواند بلیتهای مخرب خود را رمزگذاری کرده و از آنها برای دسترسی به فایلهای حساس، به ویژه فایل web.config، استفاده کند.
اقدام فوری
کاربران CentreStack/Triofox باید فوراً به آخرین نسخه (16.12.10420.56791 یا جدیدتر) بهروزرسانی کرده و کلید machineKey را بچرخانند.
“بذار خلاصه بگم 👇”
یه نرمافزار محبوب برای اشتراک فایل، از رمزهای عبور ثابتی استفاده میکرده که هکرها پیداشون کردن. حالا دارن از این ضعف برای خوندن فایلهای حساس و اجرای کد از راه دور روی سرورها استفاده میکنن. آپدیت کردن فوری ضروریه.
منابع این بخش:
۷. باجافزار جدید 01flip: نوشته شده با Rust، چندسکویی و با هدف زیرساختهای حیاتی در آسیا
نگاهی عمیق و تحلیل
استفاده از زبانهای برنامهنویسی مدرن و ایمن از نظر حافظه مانند Rust، به یک روند در حال رشد در میان نویسندگان بدافزار تبدیل شده است. یک خانواده باجافزار جدید به نام 01flip (صفر-یک-فلیپ) که کاملاً با Rust نوشته شده، شناسایی شده است. به گفته Unit 42، این باجافزار سازمانها را در منطقه آسیا-اقیانوسیه، از جمله زیرساختهای حیاتی، هدف قرار داده است.
تحلیل تخصصی
ویژگی کلیدی این باجافزار، قابلیت چندسکویی بودن آن است. نوشته شدن با زبان Rust به مهاجمان اجازه میدهد تا به راحتی آن را برای پلتفرمهای مختلف کامپایل کنند و نسخههای ویندوز و لینوکس آن کشف شده است. مهاجمان با انگیزههای مالی، این باجافزار را به صورت دستی در شبکهها مستقر میکنند. فعالیت این گروه که با شناسه CL-CRI-1036 ردیابی میشود، با نشت دادهها در انجمنهای دارک وب مرتبط است.
سناریوی حمله
مهاجمان با بهرهبرداری از آسیبپذیریهای قدیمی (مانند CVE-2019-11580) در برنامههای متصل به اینترنت مانند Zimbra Server، به شبکه دسترسی اولیه پیدا کردهاند. سپس، یک نسخه لینوکسی از Sliver (اِس-لی-وِر)، که یک فریمورک شبیهسازی حملات است، برای حرکت جانبی در شبکه مستقر کرده و در نهایت باجافزار 01flip را روی دستگاههای متعدد ویندوزی و لینوکسی اجرا کردهاند.
در حین تحلیل، محققان دریافتند که 01flip طوری کدنویسی شده که از رمزگذاری فایلهایی با پسوند .lockbit خودداری کند. این موضوع به یک ارتباط احتمالی، هرچند تایید نشده، با گروه باجافزار بدنام LockBit اشاره دارد.
اقدام فوری
هیچ اقدام مشخصی برای این باجافزار وجود ندارد جز رعایت اصول امنیتی پایه مانند بهروزرسانی مداوم نرمافزارها و استفاده از راهکارهای امنیتی چندلایه.
“بذار خلاصه بگم 👇”
یه باجافزار جدید و پیشرفته به اسم 01flip پیدا شده که با زبان برنامهنویسی Rust نوشته شده و هم ویندوز و هم لینوکس رو هدف قرار میده. این باجافزار به زیرساختهای مهم در آسیا حمله کرده و اطلاعات سرقت شده رو در دارک وب میفروشه.
منابع این بخش
جمعبندی
روندهایی که امروز مشاهده کردیم—از بهرهبرداری از کتابخانههای نرمافزاری بنیادی گرفته تا مسلح کردن اعتماد به هوش مصنوعی—نشان میدهد که مهاجمان بیش از پیش در ابزارهایی که ما هر روز استفاده میکنیم، ادغام میشوند. وصله کردن پیشگیرانه، امنیت در فرآیند توسعه نرمافزار، و داشتن میزانی سالم از شک و تردید، کلیدیترین خطوط دفاعی ما در سال پیش رو خواهند بود.
“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec