امروز، چشمانداز امنیت سایبری تحت تأثیر چند رویداد کلیدی قرار گرفته است. اخبار عمدتاً حول محور سوءاستفاده از زیرساختهای معتبر میچرخد؛ از یک آسیبپذیری بحرانی به نام React2Shell که پایههای وب مدرن را به لرزه درآورده، تا حملات فیشینگ هوشمندانهای که از دامنههای رسمی پلتفرمهای هوش مصنوعی بهره میبرند. در همین حال، مایکروسافت با انتشار بستههای امنیتی ماهانه خود، دو آسیبپذیری «روز-صفر» (Zero-Day) را ترمیم کرده و فعالیتهای پیچیده گروههای هکری چین، تصویری کامل از تهدیدات چندوجهی امروز را ترسیم میکند.
۱. کلیدهای رمزنگاری ثابت در محصولات Gladinet: مسیری مستقیم به اجرای کد از راه دور
گاهی اوقات اشتباهات طراحی در یک نرمافزار آنقدر فاحش هستند که باورکردنی نیست. این هفته، یک نقص طراحی بحرانی در محصولات CentreStack و Triofox شرکت Gladinet کشف شده است که توسط مهاجمان به طور فعال برای به دست آوردن کنترل کامل سرورهای آسیبدیده مورد بهرهبرداری قرار میگیرد. این محصولات که برای دسترسی و اشتراکگذاری امن فایل استفاده میشوند، یک اشتباه کلاسیک امنیتی را مرتکب شدهاند.
ماهیت فنی آسیبپذیری
مشکل اصلی در استفاده از کلیدهای رمزنگاری ثابت (Hard-coded) نهفته است؛ به این معنی که این کلیدها در تمام نسخههای نصبشده این نرمافزارها یکسان هستند. تحقیقات نشان میدهد که این کلیدها از دو رشته متن ۱۰۰ بایتی ثابت به زبانهای چینی و ژاپنی که در فایل GladCtrl64.dll وجود دارند، مشتق شدهاند. این نقص به مهاجمان اجازه میدهد تا «بلیتهای دسترسی» (Access Tickets) جعلی بسازند و به هر فایلی روی سرور دسترسی پیدا کنند.
بذار ساده بگم: این معادل دیجیتالی آن است که کلید اصلی یک برج مسکونی برای تمام واحدها یکسان باشد و یک نسخه از آن زیر گلدان ورودی پنهان شده باشد. یک اشتباه طراحی فاحش.
زنجیره حمله مشاهدهشده
مهاجمان با بهرهبرداری از این ضعف، ابتدا فایل web.config را میخوانند. جالب اینجاست که مهاجمان این نقص جدید را با یک آسیبپذیری قدیمیتر (CVE-2025-11371) ترکیب میکنند تا به هدف خود برسند. سپس، با استخراج machineKey از این فایل، یک حمله «دیسریالایز کردن ViewState» را اجرا میکنند که در نهایت به اجرای کد از راه دور (RCE) منجر میشود. یکی از تکنیکهای هوشمندانه مهاجمان، تنظیم تاریخ انقضای بلیت دسترسی جعلی به سال ۹۹۹۹ است که عملاً یک بلیت دسترسی مادامالعمر ایجاد میکند. حملات مشاهدهشده از آدرس IP 147.124.216[.]205 سرچشمه گرفتهاند.
توصیه کلیدی
کاربران CentreStack و Triofox باید فوراً محصولات خود را به نسخه 16.12.10420.56791 یا بالاتر بهروزرسانی کنند. علاوه بر این، ضروری است که machineKey خود را تغییر داده و لاگهای سیستم را برای یافتن رشته vghpI7EToZUDIZDdprSubL3mTZ2 (که نشانه دسترسی به فایل web.config است) اسکن کنند.
“بذار خلاصه بگم 👇”
یک نرمافزار محبوب برای دسترسی به فایلها، از یک «شاه کلید» یکسان برای همه مشتریانش استفاده کرده. هکرها این کلید رو پیدا کردن و دارن ازش برای ورود به سرورها و اجرای کد مخرب استفاده میکنن. آپدیت فوری و تعویض کلیدها ضروریه.
منابع این بخش:
۲. از دانشآموزان سیسکو تا هکرهای دولتی چین: داستان گروه Salt Typhoon
در یک چرخش طعنهآمیز که شبیه فیلمنامه هالیوودی است، مشخص شده که دو هکر چینی که اکنون به گروه هکری پیشرفته دولتی Salt Typhoon (سالت تای-فون) مرتبط هستند، زمانی از دانشآموزان ممتاز یک برنامه آموزشی امنیت سایبری بودند که توسط شرکت سیسکو برگزار میشد؛ همان شرکتی که بعدها محصولاتش را هدف قرار دادند. این داستان نشان میدهد که دانشآموزان امروز میتوانند به دشمنان سایبری فردا تبدیل شوند.
هویت افراد و پیشینه آنها
این دو هکر، Yuyang و Qiu Daibing، در سال ۲۰۱۲ هنگامی که در دانشگاه نفت جنوب غربی چین تحصیل میکردند، در مسابقات Cisco Network Academy Cup شرکت کردند و به موفقیتهای چشمگیری دست یافتند. برنامه آموزشی سیسکو شامل مباحثی درباره محصولاتی بود که آنها بعدها برای حملات خود از آسیبپذیریهایشان استفاده کردند، از جمله سیستمعامل Cisco IOS و فایروالهای ASA.
تأثیر کمپین هکری آنها
عملیات Salt Typhoon که به این دو نفر نسبت داده میشود، موفق به نفوذ به بیش از ۸۰ شرکت مخابراتی در سراسر جهان شد. در یکی از مهمترین موارد، آنها تماسها و پیامکهای رمزنگارینشده بین نامزدهای ریاستجمهوری آمریکا، اعضای کلیدی ستاد آنها و کارشناسان سیاستگذاری چین را شنود کردهاند.
پیامدهای گستردهتر
این مورد، پیامدهای ناخواسته برنامههای آموزشی شرکتهای فناوری در مناطق حساس ژئوپلیتیکی را برجسته میکند. این اتفاق همچنین با استراتژی “حذف آمریکا” (Delete America) چین برای جایگزینی فناوریهای غربی با نمونههای داخلی همسو است و این سوال را مطرح میکند که آیا سرمایهگذاری روی آموزش نیروهای محلی، در نهایت به تربیت نسل بعدی مهاجمان دولتی منجر میشود؟
برای درک بهتر تأثیر این موضوع، یک سناریوی فرضی را تصور کنید:
یک شرکت مخابراتی جهانی را در نظر بگیرید که به زیرساخت امن خود مبتنی بر تجهیزات سیسکو افتخار میکند. مهاجمان در این سناریو به دنبال یک آسیبپذیری روز-صفر نیستند. در عوض، آنها از دانش عمیق و «داخلی» خود از معماری سیستم—که از دورههای آموزشی خود سازنده آموختهاند—برای یافتن پیکربندیهای نادرست و دور زدن کنترلهای امنیتی استفاده میکنند. به این ترتیب، آنها ماهها بدون شناسایی شدن در شبکه باقی میمانند و دادهها را به سرقت میبرند.
توصیه کلیدی
شرکتهای جهانی باید خطرات مرتبط با برگزاری برنامههای آموزشی فناوری در کشورهایی با منافع ژئوپلیتیکی رقیب را مجدداً ارزیابی کنند. ممکن است دانش امروز، به سلاح فردا تبدیل شود.
“بذار خلاصه بگم 👇”
دو هکر چینی که حالا برای دولت کار میکنن، قبلاً تو دورههای آموزشی خود شرکت سیسکو شاگرد زرنگ بودن و حالا از همون دانش برای هک کردن تجهیزات سیسکو و جاسوسی در سطح جهانی استفاده میکنن.
منابع این بخش:
۳. حملات زنجیره تأمین با طعم هوش مصنوعی: بدافزار PyStoreRAT در گیتهاب
یک کمپین حمله زنجیره تأمین (Supply Chain Attack) پیچیده و صبورانه شناسایی شده است که نشانگر تکامل هوشمندانه تهدیدات است. در این کمپین، مهاجمان با استفاده از کدهای تولیدشده توسط هوش مصنوعی و حسابهای کاربری غیرفعال گیتهاب، یک بکدور جدید به نام PyStoreRAT (پای-اِستور-رَت) را توزیع میکنند و از اعتماد جامعه متنباز سوءاستفاده میکنند.
روششناسی حمله
مهاجمان ابتدا حسابهای کاربری گیتهاب را که برای سالها غیرفعال بودند، دوباره فعال کردند. سپس پروژههایی ظاهراً معتبر و جذاب (مانند ابزارهای OSINT یا رباتهای مالی غیرمتمرکز) را با استفاده از هوش مصنوعی تولید و منتشر کردند تا اعتبار کسب کنند. برخی از این مخازن کد به قدری محبوب شدند که در فهرست “پروژههای پرطرفدار” (Trending) گیتهاب قرار گرفتند و توجه مخاطبان هدف، یعنی متخصصان IT و تحلیلگران امنیتی، را جلب کردند. تنها پس از جلب اعتماد و کسب محبوبیت، مهاجمان در قالب یک بهروزرسانی “تعمیر و نگهداری” (Maintenance)، بدافزار PyStoreRAT را به صورت مخفیانه به پروژهها اضافه کردند.
ویژگیهای بدافزار
PyStoreRAT یک لودر چندمنظوره است که برای عملیات پنهانی و دسترسی طولانیمدت به سیستم قربانی طراحی شده است. نکته قابل توجه، وجود رشتههای متنی به زبان روسی در کد این بدافزار است که سرنخهایی از منشأ احتمالی مهاجمان به دست میدهد.
اهمیت این کمپین
این حمله نشاندهنده تکامل حملات زنجیره تأمین است. مهاجمان با ترکیب اعتباربخشی جعلی از طریق هوش مصنوعی، مهندسی اجتماعی بلندمدت و اجرای انطباقی، مدلهای سنتی تشخیص بدافزار را دور میزنند. این یک بازی صبر و حوصله است که مهاجمان در آن مهارت یافتهاند.
توصیه کلیدی
به توسعهدهندگان و تیمهای امنیتی توصیه میشود هنگام استفاده از ابزارهای متنباز از گیتهاب، حتی اگر از مخازن معتبر یا پرطرفدار باشند، بسیار محتاط عمل کنند. قبل از بهروزرسانی هرگونه وابستگی نرمافزاری، تاریخچه تغییرات (Commit History) را برای یافتن تغییرات ناگهانی یا مشکوک به دقت بررسی کنید.
“بذار خلاصه بگم 👇”
هکرها با استفاده از هوش مصنوعی، پروژههای برنامهنویسی جذاب و جعلی در گیتهاب میسازن. بعد از اینکه کلی طرفدار پیدا کردن، بیسروصدا یک بدافزار رو در یک آپدیت مخفی میکنن تا به سیستم متخصصان امنیت نفوذ کنن.
منابع این بخش:
۴. فیشینگ با چتهای هوش مصنوعی: سرقت اطلاعات کاربران macOS با لینکهای جعلی ChatGPT
مهاجمان با هوشمندی تمام، از یکی از مفیدترین ویژگیهای پلتفرمهای هوش مصنوعی یعنی «اشتراکگذاری چت» برای اهداف مخرب خود استفاده میکنند. یک کمپین فیشینگ جدید، کاربران سیستمعامل macOS را با سوءاستفاده از قابلیت اشتراکگذاری در پلتفرمهایی مانند ChatGPT، DeepSeek و Grok هدف قرار داده است.
روند حمله
- طعمه (Lure): حمله با تبلیغات حمایتشده (Sponsored) در نتایج جستجوی گوگل برای عبارات رایج مربوط به عیبیابی macOS (مانند “چگونه حافظه مک را خالی کنیم”) آغاز میشود.
- تغییر مسیر (Redirect): این تبلیغات، کاربر را به یک لینک چت عمومی در دامنههای رسمی مانند
chatgpt.comهدایت میکنند که در نگاه اول کاملاً معتبر به نظر میرسد. - تله (The Trap): این صفحه چت، حاوی یک “راهنما” با دستورالعملهای گامبهگام است. اما در میان این دستورات، یک دستور مخرب جاسازی شده است.
- اجرا (Execution): این تکنیک که به سبک “ClickFix” شناخته میشود، کاربر را فریب میدهد تا دستور مخرب را کپی کرده و در ترمینال سیستم خود اجرا کند.
بدافزار و قابلیتهای آن
دستور مخرب، بدافزار سارق اطلاعات AMOS (اِی-ماس) یا Shamus (شِی-ماس) را دانلود و اجرا میکند. این بدافزار قادر است اطلاعات حساس زیر را به سرقت ببرد:
- رمزهای عبور و کوکیهای ذخیرهشده در مرورگرها.
- اطلاعات کیف پولهای ارز دیجیتال (از جمله Ledger Live، Trezor، Exodus و غیره).
- فایلهای موجود در پوشههای Desktop و Documents.
هوشمندی این حمله
نقطه قوت این حمله در استفاده از دامنه رسمی پلتفرم هوش مصنوعی برای میزبانی دستورالعملهای مخرب است. این کار باعث میشود کاربر به لینک اعتماد کرده و برخی از مکانیزمهای امنیتی نیز آن را به عنوان یک منبع امن شناسایی کنند. این یک نمونه کلاسیک از پنهان شدن در معرض دید است.
توصیه کلیدی
هرگز دستورات را کورکورانه از هیچ وبسایتی—حتی دامنههای قابل اعتمادی مانند chatgpt.com—در ترمینال یا command prompt خود کپی و اجرا نکنید. همیشه اسکریپتها را، بهویژه آنهایی که کدی را از URLهای خارجی دانلود و اجرا میکنند (مانند curl | bash)، به دقت بررسی کنید.
“بذار خلاصه بگم 👇”
هکرها با تبلیغات گوگل، شما رو به یک صفحه چت جعلی در سایت اصلی ChatGPT میفرستن که راهحل مشکل کامپیوترتون رو نوشته. اما وسط دستورات، یک کد مخرب جاسازی کردن که اگه کپیش کنید، تمام پسوردها و اطلاعاتتون دزدیده میشه.
منابع این بخش:
۵. باجافزار VolkLocker: وقتی هکرهای روس با یک اشتباه بزرگ، کلید رمزگشایی را جا میگذارند
در دنیای جرایم سایبری، گاهی اوقات حتی مهاجمان هم اشتباهات خندهداری مرتکب میشوند. VolkLocker (وُلک-لا-کِر) یک سرویس باجافزار جدید (RaaS) است که توسط گروه هکتیویست طرفدار روسیه CyberVolk ارائه شده است. این گروه با اتکای کامل به تلگرام برای تمام عملیاتهای خود، سعی در نوآوری داشته، اما یک نقص طراحی مرگبار، کل هدف این باجافزار را زیر سؤال برده است.
ویژگیهای باجافزار
این باجافزار با زبان برنامهنویسی Go نوشته شده و از سیستمعاملهای ویندوز و لینوکس پشتیبانی میکند. تمام جنبههای پلتفرم RaaS—از ساخت بدافزار تا ارتباط با سرور فرماندهی و کنترل (C2)—از طریق رباتهای تلگرام مدیریت میشود.
نقص طراحی مرگبار
تحلیل این باجافزار یک اشتباه فاحش را آشکار کرده است: کلید اصلی رمزگشایی به صورت ثابت (Hardcoded) درون خود فایل اجرایی باجافزار قرار داده شده است. اما فاجعه بزرگتر اینجاست که باجافزار همین کلید اصلی را در یک فایل متنی ساده به نام system_backup.key در پوشه %TEMP% سیستم قربانی ذخیره میکند.
به عبارت سادهتر، این باجافزار قبل از قفل کردن خانه، کلید را روی میز آشپزخانه جا میگذارد.
نمونهای از فایل کلید فاششده
فرمت فایل متنی که کلید اصلی در آن ذخیره میشود به شرح زیر است:
User: CV<16 hex characters>
Key: <64 hex characters - THE MASTER KEY>
BTC: <attacker's bitcoin address>تحلیل این اشتباه
به احتمال زیاد، این قابلیت یک ویژگی آزمایشی یا اشکالزدایی (Debug) بوده که به اشتباه در نسخههای نهایی باقی مانده است. این موضوع نشان میدهد که گروه CyberVolk همزمان با بزرگتر شدن عملیات خود، در کنترل کیفیت با چالشهای جدی مواجه است و شاید برای ورود به بازار عجله داشته است.
توصیه کلیدی
قربانیان باجافزار VolkLocker باید به عنوان اولین قدم، پوشه %TEMP% را برای یافتن فایل system_backup.key جستجو کنند. در صورت یافتن این فایل، میتوانند از کلید موجود در آن برای رمزگشایی فایلهای خود استفاده کرده و به هیچ وجه نباید باج را پرداخت کنند.
“بذار خلاصه بگم 👇”
یک گروه هکری روس یک باجافزار جدید ساخته که همه کارهاش با تلگرامه. اما یک اشتباه مرگبار کردن: کلید اصلی باز کردن فایلها رو در یک فایل متنی ساده روی کامپیوتر قربانی جا میذارن! یعنی قربانی میتونه بدون پرداخت پول، فایلهاش رو خودش باز کنه.
منابع این بخش:
۶. هک ۱۲۰ هزار دوربین IP در کره جنوبی: خطرات رمزهای عبور پیشفرض
یک یادآوری تلخ دیگر از اینکه چرا اصول اولیه امنیت سایبری اهمیت دارند: پلیس کره جنوبی از یک نفوذ امنیتی گسترده به حدود ۱۲۰,۰۰۰ دوربین IP در سراسر این کشور خبر داده است. این دوربینها در مکانهای حساسی مانند خانههای شخصی، کلینیکهای پزشکی، و استودیوهای ورزشی نصب شده بودند و حریم خصوصی افراد بیشماری را نقض کردهاند.
علت و پیامدهای حمله
علت اصلی این نفوذ، همان مشکل قدیمی و قابل پیشگیری است: استفاده از رمزهای عبور ساده و پیشفرض کارخانه توسط صاحبان دوربینها. مهاجمان با حدس زدن این رمزهای عبور ضعیف، به راحتی به تصاویر زنده دوربینها دسترسی پیدا کردهاند. در این رابطه، دو نفر از هکرهای دستگیرشده، فیلمهای خصوصی و غیراخلاقی ضبطشده از این دوربینها را در یک وبسایت بزرگسالان به فروش رساندهاند.
آسیبپذیریهای رایج دوربینهای IP
این حادثه دو مشکل رایج در امنیت دستگاههای اینترنت اشیاء (IoT) را برجسته میکند:
- عدم تغییر رمزهای عبور پیشفرض توسط کاربران.
- کوتاهی در نصب بهروزرسانیهای نرمافزاری برای رفع آسیبپذیریها.
توصیه کلیدی
این رویداد یک یادآوری جدی است: همیشه رمز عبور پیشفرض هر دستگاه جدیدی (اعم از دوربین، روتر، یا هر گجت متصل به اینترنت) را به یک رمز عبور قوی و منحصربهفرد تغییر دهید. برای مدیریت آسان این رمزهای عبور پیچیده، استفاده از یک نرمافزار مدیریت رمز عبور به شدت توصیه میشود.
“بذار خلاصه بگم 👇”
در کره جنوبی، هکرها با استفاده از پسوردهای ساده و پیشفرض کارخانه، به ۱۲۰ هزار دوربین مداربسته نفوذ کردن و فیلمهای خصوصی مردم رو فروختن. همیشه پسورد اولیه دستگاههاتون رو عوض کنید.
منابع این بخش:
جمعبندی نهایی
اتفاقات امروز، از آسیبپذیری فراگیری مانند React2Shell که زیرساختهای معتبر را هدف گرفت تا تکنیکهای هوشمندانه مهندسی اجتماعی در فیشینگ مبتنی بر هوش مصنوعی، نشان میدهد که مهاجمان بیوقفه در حال نوآوری هستند. این نوآوریها هم در سطح فنی و هم در سطح روانشناختی رخ میدهد و مرزهای دفاعی را دائماً به چالش میکشد. در مقابل این پیچیدگیها، رعایت اصول اولیه امنیت سایبری مانند بهروزرسانی مداوم، استفاده از رمزهای عبور قوی و هوشیاری دائمی در برابر تهدیدات، همچنان مؤثرترین سپر دفاعی باقی مانده است.
“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec