امروز در دنیای امنیت سایبری – آخرین اخبار امنیت – ۲۳ آذر ۱۴۰۴

🕒 زمان مطالعه: حدود ۱۷ دقیقه

اگر منتظر یک پایان سال آرام برای ۲۰۲۵ بودید، دنیای امنیت سایبری برنامه‌های دیگری داشت. چند هفته گذشته با رگباری از آسیب‌پذیری‌های روز-صفر حیاتی از طرف سه غول بزرگ – مایکروسافت، گوگل و اپل – همراه بود، در حالی که بدافزارهای پیچیده ترفندهای جدیدی برای غافلگیر کردن ما یاد می‌گرفتند و یک نشت اطلاعاتی عظیم، سوخت لازم برای نسل بعدی حملات را فراهم کرد. این گزارش، نگاهی است به مهم‌ترین تهدیدهایی که باید بشناسید و کارهایی که برای در امان ماندن باید انجام دهید.

۱. موج آسیب‌پذیری‌های روز-صفر: مایکروسافت، گوگل و اپل زیر آتش حملات فعال

آسیب‌پذیری‌های روز-صفر (Zero-day) بالاترین سطح تهدید در دنیای امنیت سایبری هستند، چون قبل از اینکه شرکت سازنده فرصتی برای ارائه وصله (Patch) داشته باشد، توسط مهاجمان کشف و مورد سوءاستفاده قرار می‌گیرند. در واقع، مدافعان در روز صفرِ حمله، هیچ دفاع از پیش آماده‌ای ندارند. به ندرت پیش می‌آید که کل اکوسیستم سیستم‌عامل‌های مصرفی و سازمانی – ویندوز، کروم/اندروید و اپل – به طور همزمان زیر آتش حملات روز-صفر فعال قرار بگیرند. این‌ها حوادثی جداگانه نبودند؛ یک جبهه طوفانی هماهنگ بود که تمام پلتفرم‌های دیجیتال اصلی را همزمان در هم کوبید و به هشداری حیاتی در پایان سال برای متخصصان IT و کاربران آگاه تبدیل شد.

بر اساس گزارش‌های متعدد، چندین نقص امنیتی حیاتی به صورت همزمان در حال بهره‌برداری فعال هستند:
  • آسیب‌پذیری Microsoft Windows: یک نقص امنیتی با شناسه CVE-2025-62221 در درایور Windows Cloud Files Mini Filter کشف شده است. این آسیب‌پذیری از نوع “Use-After-Free” است و به مهاجمی که از قبل به سیستم دسترسی محدودی داشته، اجازه می‌دهد تا سطح دسترسی خود را به مدیر سیستم (Administrator) ارتقا دهد. آژانس امنیت سایبری و زیرساخت آمریکا (CISA)، این مورد را به فهرست آسیب‌پذیری‌های شناخته‌شده در حال بهره‌برداری (KEV) اضافه کرده و به سازمان‌های دولتی تا ۳۰ دسامبر ۲۰۲۵ برای رفع آن مهلت داده است.
  • آسیب‌پذیری Google Chromium: یک باگ با شناسه CVE-2025-14174 در لایه گرافیکی ANGLE مرورگر کروم شناسایی شده است. این نقص که از نوع “دسترسی به حافظه خارج از محدوده” (Out-of-Bounds Memory Access) است، به مهاجمان اجازه می‌دهد تا با فریب کاربر برای بازدید از یک صفحه وب مخرب، کد دلخواه خود را روی سیستم قربانی اجرا کنند. این آسیب‌پذیری نیز توسط CISA به فهرست KEV اضافه شده است.
  • آسیب‌پذیری‌های Apple: شرکت اپل به‌روزرسانی‌های اضطراری برای سیستم‌عامل‌های iOS، iPadOS، macOS و مرورگر Safari منتشر کرد تا چندین آسیب‌پذیری روز-صفر را که به صورت فعال برای اجرای کد و احتمالاً نصب نرم‌افزارهای جاسوسی استفاده می‌شدند، برطرف کند.
توضیح یک مفهوم پیچیده: آسیب‌پذیری Use-After-Free چیست؟

برای درک بهتر خطری مانند CVE-2025-62221، از یک مثال ساده استفاده می‌کنیم:

  1. سناریوی عادی (هتل): تصور کنید از یک هتل خارج می‌شوید. شما از اتاق خود استفاده کرده‌اید و هنگام خروج، کلید را به پذیرش تحویل می‌دهید. کارکنان هتل اتاق را تمیز کرده و آن را برای مهمان بعدی آماده می‌کنند. سیستم هتل، آن اتاق را به عنوان “آزاد” علامت‌گذاری می‌کند.
  2. سناریوی حمله (کپی کلید): حالا فرض کنید قبل از تحویل دادن کلید اصلی، مخفیانه یک کپی از آن تهیه کرده‌اید. شما منتظر می‌مانید تا هتل آن اتاق را به یک مهمان جدید و مهم (مثلاً یک مدیرعامل) اختصاص دهد. از آنجا که سیستم هتل اتاق را “آزاد” نشان می‌دهد، شما با استفاده از کلید کپی‌شده خود، قبل از ورود مهمان جدید، به داخل اتاق می‌روید.
  3. فاجعه (دسترسی غیرمجاز): وقتی وارد شدید، می‌توانید یک دستگاه شنود یا یک دوربین مخفی در اتاق کار بگذارید. زمانی که مهمان جدید وارد می‌شود، شما به تمام کارها و مکالمات او در آن اتاق دسترسی کامل و غیرمجاز دارید، در حالی که تیم امنیتی هتل کاملاً بی‌خبر است. این دقیقاً کاری است که یک مهاجم با استفاده از آسیب‌پذیری Use-After-Free با حافظه کامپیوتر شما انجام می‌دهد.
توصیه امنیتی

تمامی به‌روزرسانی‌های منتشر شده توسط مایکروسافت، گوگل و اپل را فوراً نصب کنید. اولویت با سیستم‌های عمومی و درگاه‌های ورودی سازمان است.

“بذار خلاصه بگم 👇”
شرکت‌های بزرگ فناوری در حال مسابقه با زمان برای وصله کردن حفره‌های امنیتی خطرناکی هستند که هکرها همین الان در حال سوءاستفاده از آن‌ها هستند. سیستم‌هاتون رو آپدیت کنید، همین الان.

منابع این بخش:

۲. بدافزار RoningLoader: سلاح جدید گروه DragonBreath برای خلع سلاح آنتی‌ویروس‌ها

مؤثرترین بدافزارها صرفاً به آلوده کردن سیستم فکر نمی‌کنند، بلکه بخش اصلی عملیات خود را به آماده‌سازی میدان نبرد و غیرفعال کردن سیستم‌های دفاعی اختصاص می‌دهند. بدافزار RoningLoader (رو-نینگ-لو-دِر) نمونه بارز این رویکرد مدرن است؛ ابزاری که مانند یک تیم عملیات ویژه و مخفی، قبل از حمله اصلی، تمام موانع را از سر راه برمی‌دارد.

این بدافزار که به گروه DragonBreath (دِ-رَ-گُن-بِ-رِث) (شناخته‌شده با نام APT-Q-27) نسبت داده می‌شود، یک لودر (Loader) چندمرحله‌ای است که برای نصب نسخه اصلاح‌شده‌ای از تروجان دسترسی از راه دور gh0st RAT (گُست رَت) طراحی شده است. زنجیره آلودگی آن بسیار هوشمندانه عمل می‌کند: حمله با یک نصب‌کننده تروجان‌شده NSIS آغاز می‌شود، سپس با یک ترفند زیرکانه، کد مخرب را از یک فایل که خود را به شکل عکس PNG جا زده، مستقیماً در حافظه بارگذاری می‌کند تا از شناسایی مبتنی بر فایل فرار کند و در نهایت، قبل از اجرای بدافزار نهایی، از چندین تکنیک پیچیده برای فرار از شناسایی و غیرفعال کردن آنتی‌ویروس استفاده می‌کند.

نگران‌کننده‌ترین بخش ماجرا، استفاده از درایورهای دارای امضای دیجیتال قانونی است. این بدافزار فایلی به نام ollama.sys را که گواهی معتبری دارد، روی سیستم نصب می‌کند. زمانی که این درایور در سطح هسته (Kernel) فعال شود، می‌تواند فرآیندهای آنتی‌ویروس را با قدرتی که از فضای کاربری ممکن نیست، خاتمه دهد و تمام سپرهای دفاعی را به طور کامل دور بزند.

توضیح یک مفهوم پیچیده: سوءاستفاده از درایور امضاشده در سطح هسته چیست؟

بیایید این تکنیک را با یک مثال از دنیای واقعی مقایسه کنیم:

  1. سناریوی عادی (ساختمان امن): یک ساختمان با امنیت بالا را تصور کنید که در آن نگهبانان (آنتی‌ویروس شما) در ورودی، کارت شناسایی هر فردی که وارد می‌شود را به دقت بررسی می‌کنند. “هسته” یا “کرنل” سیستم‌عامل، اتاق فرمان مرکزی است که کل امنیت ساختمان را کنترل می‌کند.
  2. سناریوی حمله (جاسوس با کارت اصلی): حمله مانند جاسوسی است که یونیفرم و کارت شناسایی رسمی و سطح بالای یک سرپرست تعمیر و نگهداری مورد اعتماد (درایور امضاشده) را دزدیده است. این کارت شناسایی کاملاً قانونی است و از تمام بازرسی‌ها عبور می‌کند.
  3. فاجعه (خاموش کردن امنیت از داخل): جاسوس که خود را به جای سرپرست جا زده، به راحتی از کنار نگهبانان عبور می‌کند. او مستقیماً به اتاق فرمان مرکزی (کرنل) می‌رود و از اختیارات خود برای خاموش کردن تمام دوربین‌های امنیتی و آژیرهای خطر (آنتی‌ویروس) از داخل استفاده می‌کند. ساختمان اکنون کاملاً بی‌دفاع است و هیچ‌کدام از نگهبانان در ورودی متوجه هیچ چیز مشکوکی نشده‌اند.
توصیه امنیتی

تیم‌های امنیتی باید بارگذاری درایورهای جدید یا غیرمعمول با امضای معتبر، به ویژه ollama.sys، را به دقت زیر نظر داشته باشند. اعمال سیاست‌های سختگیرانه برای بارگذاری درایور و نظارت بر نشانه‌های بارگذاری بازتابی و خاتمه فرآیندهای آنتی‌ویروس برای شناسایی این تهدید حیاتی است.

“بذار خلاصه بگم 👇”

یک بدافزار جدید و هوشمند، با استفاده از یک درایور قانونی و امضاشده، آنتی‌ویروس شما را از داخل خاموش می‌کند و سپس کنترل کامل کامپیوترتان را به دست می‌گیرد.

منابع این بخش:

۳. نشت داده عظیم: ۴.۳ میلیارد رکورد حرفه‌ای در یک دیتابیس ناامن ۱۶ ترابایتی

نشت داده‌ها فقط یک مشکل حریم خصوصی نیست، بلکه یک توانمندساز حیاتی برای حملات سایبری آینده است. داده‌های حرفه‌ای فاش‌شده، معدن طلایی برای مهاجمانی است که قصد دارند حملات فیشینگ پیچیده، مهندسی اجتماعی و جاسوسی شرکتی را طراحی کنند.

اخیراً محققان امنیتی یک پایگاه داده MongoDB با حجم ۱۶ ترابایت را کشف کردند که بدون هیچ‌گونه رمز عبور یا حفاظتی، در اینترنت قابل دسترس بود. این پایگاه داده حاوی ۴.۳ میلیارد رکورد از اطلاعات حرفه‌ای افراد، شبیه به داده‌های لینکدین، بود.

  • حجم داده: ۱۶ ترابایت داده شامل ۴.۳ میلیارد رکورد.
  • نوع داده: نام، ایمیل، شماره تلفن، عنوان شغلی، سابقه کاری، کارفرما، مهارت‌ها و پیوند به حساب‌های شبکه‌های اجتماعی.
  • کشف: این پایگاه داده در تاریخ ۲۳ نوامبر ۲۰۲۵ کشف و دو روز بعد امن‌سازی شد.
  • مالکیت: اگرچه مالکیت آن به طور قطعی تأیید نشده، اما شواهد به یک شرکت فعال در زمینه تولید سرنخ فروش (Lead Generation) اشاره دارد.

اهمیت استراتژیک این نشت در این است که داده‌های فاش شده شامل نام، ایمیل، شماره تلفن، عنوان شغلی و سابقه کاری، یک معدن طلا برای مهاجمان است. این اطلاعات به آن‌ها اجازه می‌دهد کمپین‌های مهندسی اجتماعی، فیشینگ هدفمند (spear-phishing) و کلاهبرداری از مدیران عامل (CEO fraud) را در مقیاسی بی‌سابقه و با درجه‌ای بالا از باورپذیری اجرا کنند. مهاجمان حتی می‌توانند از این داده‌ها برای آموزش مدل‌های هوش مصنوعی جهت خودکارسازی کلاهبرداری‌های شخصی‌سازی شده استفاده کنند.

این پایگاه داده شامل مجموعه‌هایی با نام “profiles” و “people” بود که حاوی اطلاعات شناسایی شخصی (PII) بودند. حجم عظیم و ساختاریافته این داده‌ها به مجرمان اجازه می‌دهد تا شناسایی سازمانی را خودکار کرده و روی اهداف باارزش مانند کارمندان شرکت‌های Fortune 500 تمرکز کنند.

برای مثال، یک سناریوی واقعی را تصور کنید

مدیر مالی یک شرکت ایمیلی بسیار متقاعدکننده دریافت می‌کند که به نظر می‌رسد از طرف مدیرعامل ارسال شده است. این ایمیل به پروژه قبلی مدیر مالی در یک شرکت دیگر اشاره کرده و نام یکی از همکاران سابق او را ذکر می‌کند—تمام جزئیاتی که از همین داده‌های فاش‌شده استخراج شده است. در ایمیل، یک درخواست انتقال وجه فوری برای یک “قرارداد محرمانه” مطرح می‌شود؛ یک کلاهبرداری کلاسیک که با استفاده از این داده‌های شخصی‌سازی‌شده، مقاومت در برابر آن تقریباً غیرممکن می‌شود. و همانطور که در بخش بعدی خواهیم دید، مهاجمان حتی راه‌هایی پیدا کرده‌اند که این ایمیل‌های متقاعدکننده را از آدرس‌های کاملاً قانونی ارسال کنند.

توصیه امنیتی

سازمان‌ها باید فرض کنند که اطلاعات کارمندانشان بخشی از این نشت است و سطح هوشیاری خود را در برابر حملات فیشینگ پیچیده افزایش دهند. افراد نیز باید نسبت به پیام‌های ناخواسته که به عنوان شغلی یا سابقه کاری خاص آن‌ها اشاره دارد، محتاط باشند. برای درخواست‌های حساس، هویت فرستنده را از طریق یک کانال ارتباطی دیگر (مانند تماس تلفنی) تأیید کنید.

“بذار خلاصه بگم 👇”
اطلاعات کاری و حرفه‌ای (شبیه لینکدین) بیش از ۴ میلیارد نفر، شامل ایمیل و شماره تلفن، به دلیل یک اشتباه امنیتی ساده لو رفت. منتظر ایمیل‌های فیشینگ بسیار متقاعدکننده باشید.

منابع این بخش:

۵. کلاهبرداری جدید پی‌پال: سوءاستفاده از ایمیل‌های قانونی برای ارسال صورت‌حساب‌های جعلی

مهاجمان همواره به دنبال راه‌های خلاقانه برای سوءاستفاده از کانال‌های ارتباطی مورد اعتماد هستند. یک کمپین کلاهبرداری اخیر با بهره‌برداری از سیستم‌های خود پی‌پال، فیلترهای امنیتی را دور زده و کاربران را فریب می‌دهد.

بر اساس گزارش BleepingComputer، کلاهبرداران در حال سوءاستفاده از قابلیت صورتحساب “Subscriptions” پی‌پال هستند. این ویژگی به آن‌ها اجازه می‌دهد ایمیل‌هایی را ارسال کنند که مستقیماً از آدرس رسمی پی‌پال (service@paypal.com) نشأت می‌گیرند.

این حمله به این دلیل بسیار مؤثر است که ایمیل‌ها کاملاً قانونی هستند و تمام بررسی‌های امنیتی مانند DKIM و SPF را با موفقیت پشت سر می‌گذارند، در نتیجه مستقیماً وارد اینباکس کاربر شده و توسط فیلترهای اسپم شناسایی نمی‌شوند. پیام کلاهبرداری، که شامل یک اعلان خرید جعلی برای یک کالای گران‌قیمت و یک شماره تلفن برای “پشتیبانی” است، به طرز هوشمندانه‌ای در فیلد “Customer service URL” در اطلاعیه لغو اشتراک گنجانده شده است. هدف این است که قربانی را دچار وحشت کرده و او را وادار به تماس با شماره تلفن کلاهبردار کنند تا اطلاعات بانکی او را سرقت کرده یا بدافزار روی سیستمش نصب کنند.

متن نمونه‌ای که در این کلاهبرداری استفاده شده به این شکل است:
"http://[domain] [domain] A payment of $1346.99 has been successfully processed. For cancel and inquiries, Contact PayPal support at +1-805-500-6377".
در این متن از کاراکترهای یونیکد برای فرار از شناسایی مبتنی بر کلمات کلیدی استفاده شده است.

اقدام فوری

اگر یک ایمیل غیرمنتظره از پی‌پال در مورد لغو یک پرداخت خودکار دریافت کردید که حاوی اعلان خرید است، آن را نادیده بگیرید و با شماره تلفن ارائه شده تماس نگیرید. برای بررسی وضعیت حساب خود، مستقیماً وارد وب‌سایت رسمی پی‌پال شوید.

“بذار خلاصه بگم 👇”
کلاهبردارها راهی پیدا کردن که از خودِ پی‌پال ایمیل‌های واقعی برای شما بفرستن. توی ایمیل یه خرید جعلی گرون‌قیمت رو جا میدن و یه شماره تلفن میذارن که زنگ بزنید. به هیچ وجه زنگ نزنید، کلاهبرداریه.

منابع این بخش:

۶. گشت و گذار در دنیای بدافزارها: از تروجان‌های بانکی تا سارقان اطلاعات در کمین کاربران

فراتر از آسیب‌پذیری‌های روز-صفر که تیتر خبرها را به خود اختصاص می‌دهند، یک اکوسیستم متنوع از بدافزارها به طور مداوم کاربران را از طریق بردارهای مختلفی مانند فروشگاه‌های اپلیکیشن و مهندسی اجتماعی هدف قرار می‌دهد. در ادامه نگاهی سریع به چند تهدید بدافزاری برجسته دیگر می‌اندازیم:

  • تروجان بانکی **Anatsa (آناتسا)** (TeaBot): این بدافزار در یک اپلیکیشن به نام “Document Reader – File Manager” در فروشگاه Google Play پیدا شد که بیش از ۵۰,۰۰۰ بار نصب شده بود. این برنامه پس از نصب، با سوءاستفاده از مجوزهای دسترسی‌پذیری (Accessibility Permissions) اندروید، اطلاعات ورود به حساب‌های بانکی کاربران را سرقت می‌کند.
  • سارق اطلاعات **AMOS (اِیموس)** برای macOS: در این کمپین، مهاجمان از لینک‌های گفتگوی جعلی ChatGPT و Grok و همچنین تبلیغات پولی در گوگل استفاده می‌کنند. قربانیان فریب داده می‌شوند تا دستورات مخربی را در ترمینال سیستم خود اجرا کنند که منجر به نصب این بدافزار می‌شود. AMOS داده‌های مرورگر، رمزهای عبور و کوکی‌ها را می‌دزدد.
  • کیت فیشینگ **Spiderman (اِسپایدرمن)**: این یک چارچوب جدید است که به مهاجمان با مهارت پایین اجازه می‌دهد تا به راحتی صفحات ورود کاملاً مشابه پورتال‌های بانکی و صرافی‌های ارز دیجیتال اروپایی بسازند. این کیت قادر است رمزهای عبور و کدهای تأیید دو مرحله‌ای (2FA) را به صورت زنده سرقت کند.
توصیه امنیتی

قبل از نصب هر اپلیکیشن، حتی از فروشگاه‌های رسمی، نظرات کاربران و سطح دسترسی‌های درخواستی آن را به دقت بررسی کنید. هرگز دستوراتی را که از منابع نامعتبر در اینترنت پیدا می‌کنید، در ترمینال یا Command Prompt خود اجرا نکنید.

“بذار خلاصه بگم 👇”
بدافزارها در همه جا هستند: در اپ‌های گوگل پلی، در لینک‌های جعلی ChatGPT و در صفحات لاگین بانکی تقلبی. روی هر چیزی کلیک نکنید و هر برنامه‌ای را نصب نکنید.

منابع این بخش:

۷. گزارش MITRE و CISA: رایج‌ترین و خطرناک‌ترین ضعف‌های نرم‌افزاری در سال ۲۰۲۵

درک اشتباهات رایج در کدنویسی که منجر به آسیب‌پذیری می‌شوند، برای ساختن نرم‌افزارهای امن‌تر حیاتی است. لیست سالانه ۲۵ ضعف برتر نرم‌افزاری (CWE Top 25) که توسط MITRE و CISA منتشر می‌شود، یک منبع ضروری برای توسعه‌دهندگان و متخصصان امنیتی است تا تلاش‌های خود را اولویت‌بندی کنند.

MITRE با همکاری CISA، لیست “۲۵ ضعف خطرناک نرم‌افزاری سال ۲۰۲۵” را منتشر کرده است. بر اساس گزارش‌های The Register و Cybersecurity News، این لیست بر اساس تحلیل ده‌ها هزار آسیب‌پذیری واقعی در دنیای نرم‌افزار تهیه شده است.

یافته‌های کلیدی این لیست نشان می‌دهد که “Cross-Site Scripting” (XSS) برای دومین سال متوالی در صدر قرار دارد و پس از آن “SQL Injection” قرار گرفته است. افزایش ضعف‌های مربوط به کنترل دسترسی (مانند نبود بررسی‌های لازم برای احراز هویت) و پایداری خطاهای مربوط به ایمنی حافظه (مانند نوشتن خارج از محدوده و سرریز بافر) از موضوعات برجسته این لیست هستند. این گزارش به عنوان یک نقشه راه عملی برای ساختن نرم‌افزارهای امن از پایه عمل می‌کند.

دسته‌بندی‌های خاصی مانند “Cross-Site Request Forgery” (CSRF)، “Missing Authorization” (نبود کنترل دسترسی) و “Out-of-Bounds Writes” (نوشتن خارج از محدوده حافظه) نمونه‌هایی از نقص‌هایی هستند که سازمان‌ها باید بر روی آن‌ها تمرکز کنند.

اقدام فوری

تیم‌های توسعه و امنیت باید لیست CWE Top 25 را بررسی کرده و از آن برای هدایت آموزش‌های کدنویسی امن، بازبینی کد و ابزارهای تست امنیت خودکار خود استفاده کنند. اولویت‌بندی رفع این ضعف‌های رایج می‌تواند به طور قابل توجهی سطح حمله یک سازمان را کاهش دهد.

“بذار خلاصه بگم 👇”
یه لیست از ۲۵ تا از بدترین و رایج‌ترین اشتباهات برنامه‌نویسی که باعث هک میشن منتشر شده. چیزایی مثل XSS و SQL Injection هنوز صدر جدولن. این لیست یه جور نقشه راهه برای اینکه بدونیم روی چی باید بیشتر تمرکز کنیم تا نرم‌افزار امن‌تری بسازیم.

منابع این بخش:

جمع‌بندی

اخبار امروز، از آسیب‌پذیری‌های روز-صفر در نرم‌افزارهای فراگیر گرفته تا نشت‌های اطلاعاتی عظیم و بدافزارهای پیشرفته، بار دیگر نشان می‌دهد که هیچ سازمانی از خطر مصون نیست. این رویدادها بر نیاز حیاتی به هوشیاری مداوم، اعمال سریع به‌روزرسانی‌ها، و پیاده‌سازی یک استراتژی دفاعی عمیق و چندلایه برای محافظت از دارایی‌های دیجیتال تأکید می‌کنند.

“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec

نوشته‌ای مرتبط

آنچه در این مطلب می‌خوانید

فهرست مطالب