چشمانداز امنیت سایبری امروز تحت تأثیر دو جریان موازی اما متمایز قرار دارد. از یک سو، بهرهبرداری گسترده از یک آسیبپذیری حیاتی در فریمورکهای وب، موجی جهانی از حملات خودکار و فرصتطلبانه را به راه انداخته است. از سوی دیگر، افشای کمپینهای جاسوسی پیچیده و بلندمدت توسط گروههای وابسته به دولتها، نشاندهنده عمق و پیچیدگی تهدیداتی است که سازمانهای استراتژیک با آن روبرو هستند. این دو روند، نیاز مبرم به دفاع در عمق و هوشیاری دائمی را بیش از پیش نمایان میسازند.
۱. آسیبپذیری بحرانی React2Shell (CVE-2025-55182): موج حملات جهانی علیه سرورها
ظهور آسیبپذیری React2Shell یکی از مهمترین رخدادهای امنیتی اخیر است که به دلیل تأثیر مستقیم بر اجزای اصلی اپلیکیشنهای مدرن وب، موجی جهانی از حملات سایبری را به راه انداخته است. این نقص امنیتی که در قلب فریمورکهای محبوب جاوا اسکریپت قرار دارد، به مهاجمان اجازه میدهد تا با سهولت بیسابقهای کنترل کامل سرورهای آسیبپذیر را در دست بگیرند.
آسیبپذیری React2Shell با شناسه CVE-2025-55182، یک نقص فوق بحرانی از نوع «عدم مدیریت صحیح در فرآیند Deserialization» در کامپوننتهای سرور React (React Server Components) است که بالاترین امتیاز ممکن یعنی CVSS 10.0 را دریافت کرده است. به گفته مایکروسافت، Cloudflare و Threatsys، این آسیبپذیری به طور گسترده توسط طیف وسیعی از مهاجمان، از مجرمان سایبری فرصتطلب گرفته تا گروههای هکری وابسته به دولتها، برای اجرای کد از راه دور (RCE) بدون نیاز به احراز هویت، در حال بهرهبرداری است.
اهمیت استراتژیک این آسیبپذیری در این است که اساساً یکپارچگی فریمورکهای مدرن جاوا اسکریپت مانند Next.js، React Router و دیگر فریمورکهای مبتنی بر این تکنولوژی را زیر سوال میبرد. مهاجمان میتوانند بدون هیچگونه تعاملی از سوی کاربر، کدهای جاوا اسکریپت با دسترسی سطح بالا (privileged) را روی سرورهای آسیبدیده اجرا کنند. این امر به آنها اجازه میدهد تا از سدهای دفاعی سنتی عبور کرده و کنترل کامل سیستم را به دست آورند. تخمین زده میشود که بیش از ۱۳۷,۲۰۰ سیستم در سراسر جهان در معرض این تهدید قرار دارند.
فعالیتهای پس از بهرهبرداری مشاهده شده در حملات واقعی، یک زنجیره حمله مشخص را دنبال میکند:
- مهاجم با استفاده از ابزارهای خودکار، اینترنت را برای یافتن اپلیکیشنهای آسیبپذیر Next.js که به صورت عمومی در دسترس هستند، اسکن میکند.
- پس از یافتن یک هدف، تنها با ارسال یک درخواست HTTP مخرب، از آسیبپذیری CVE-2025-55182 بهرهبرداری میکند.
- مهاجم به قابلیت اجرای کد از راه دور (RCE) دست یافته و بدافزارهایی مانند استخراجکننده رمزارز (Cryptocurrency miners)، دانلودرهای مبتنی بر حافظه (memory-based downloaders)، بدافزارهای باتنت Mirai/Gafgyt یا بکدورهای سفارشی برای دسترسی پایدار را روی سرور نصب میکند.
- در حملات پیچیدهتر، همانطور که توسط شرکت S-RM گزارش شده است، این دسترسی اولیه به عنوان نقطه ورود برای حرکت در شبکه داخلی سازمان و نهایتاً اجرای باجافزار مورد استفاده قرار میگیرد.
سازمانها باید فوراً بستههای امنیتی ارائهشده توسط توسعهدهندگان را برای تمامی فریمورکها و کامپوننتهای آسیبپذیر اعمال کنند. توصیه میشود از فایروالهای برنامه وب (WAF) با قوانین مشخص برای مسدود کردن درخواستهای مخرب پروتکل RSC Flight استفاده کرده و لاگهای سرور را برای شناسایی هرگونه فعالیت غیرعادی به دقت نظارت کنند. سازمان امنیت سایبری و زیرساخت آمریکا (CISA) نیز یک دستورالعمل اضطراری برای نصب این بهروزرسانیها صادر کرده است.
“بذار خلاصه بگم 👇”
یک باگ فوق خطرناک در فریمورکهای محبوب وب (مثل Next.js) پیدا شده که به هکرها اجازه میدهد با یک درخواست ساده، کنترل کامل سرور را به دست بگیرند. الان به صورت گسترده برای نصب باجافزار و ماینر در حال استفاده است و باید فورا آپدیت کنید.
منابع این بخش:
۲. شاهزاده ایرانی (Prince of Persia): بازگشت یک گروه APT با ابزارهای جاسوسی پیشرفته
در حالی که برخی از گروههای هکری بر حملات پر سر و صدا و گسترده تمرکز دارند، برخی دیگر عملیاتهای جاسوسی بلندمدت و پنهانی را ترجیح میدهند. گروه APT ایرانی «شاهزاده ایرانی» نمونه بارز دسته دوم است که با تاکتیکهای پیچیده و پایدار خود، اهداف مشخصی را هدف قرار میدهد.
بر اساس گزارشهای جدید، گروه APT وابسته به دولت ایران با نام Prince of Persia (شاهزاده ایرانی) همچنان فعال است و مخالفان را هدف قرار میدهد. این گروه از دو ابزار سفارشی اصلی خود به نامهای "Foudre" (فودر) و "Tonnerre" (تونِر) استفاده میکند که در زبان فرانسوی به ترتیب به معنای «صاعقه» و «تندر» هستند.
آنچه این گروه را متمایز میکند، سطح فوقالعاده بالای امنیت عملیاتی (OPSEC) و روشهای پنهانکارانه برای ارتباط با سرورهای فرماندهی و کنترل (C2) است. دو تکنیک کلیدی آنها عبارتند از:
- استفاده هوشمندانه از تلگرام برای C2: در حالی که بسیاری از گروهها کلید API تلگرام را مستقیماً در کد بدافزار خود قرار میدهند، بدافزار
Tonnerreاین گروه، کلید API را تنها برای قربانیان خاص و فقط در زمان نیاز از سرور C2 خود دریافت میکند. این روش هیچ ردپای ثابتی برای تحلیلگران امنیتی باقی نمیگذارد. - تایید هویت رمزنگاریشده C2: ابزار
Foudreاز یک روش رمزنگاری پیشرفته مبتنی بر الگوریتم RSA برای محافظت از زیرساخت C2 خود استفاده میکند. به گفته محققان، این تکنیک بسیار غیرمعمول است و پیش از این تنها در کمپینهای سایبری دولتهای غربی مشاهده شده بود.
برای درک بهتر روش C2 این گروه، این سناریو را تصور کنید: یک جاسوس معمولی برای دریافت دستورالعمل، ممکن است فرکانس رادیوی مخفی خود را در دفترچهاش یادداشت کرده باشد (مانند یک کلید API جاسازی شده). اگر دستگیر شود، دفترچه او فرکانس را لو میدهد. اما جاسوس گروه «شاهزاده ایرانی» اینگونه عمل نمیکند؛ او پس از اثبات هویت خود در یک ملاقات مخفی، یک فرکانس موقت و یکبار مصرف را به صورت شفاهی دریافت میکند. پس از پایان ملاقات، آن فرکانس دیگر ارزشی ندارد و هیچ مدرک مکتوبی برای یافتن وجود نخواهد داشت.
“بذار خلاصه بگم 👇”
یک گروه هکری ایرانی به اسم «شاهزاده ایرانی» با ابزارهای جاسوسی خیلی پیشرفته برگشته. روشهای ارتباطیشون انقدر مخفیانه است که حتی متخصصان باتجربه هم از دیدنش تعجب کردن و ردیابیشون تقریبا غیرممکنه.
منابع این بخش:
۳. LongNosedGoblin: گروه هکری جدید چینی با هدف جاسوسی از دولتها
شناسایی گروههای تهدیدگر جدید وابسته به دولتها بخش مهمی از حوزه اطلاعات تهدید (Threat Intelligence) است. هر گروه جدید، تاکتیکها، اهداف و ابزارهای تازهای را به نمایش میگذارد که تیمهای دفاعی باید برای مقابله با آنها آماده شوند.
یک گروه APT جدید وابسته به چین با نام LongNosedGoblin (لانگ-نُوزد-گابلین) کشف شده است. این گروه حداقل از سپتامبر ۲۰۲۳ فعال بوده و عمدتاً نهادهای دولتی در جنوب شرقی آسیا و ژاپن را با هدف جاسوسی سایبری هدف قرار میدهد.
تاکتیکها، تکنیکها و رویههای (TTPs) این گروه قابل توجه است. روشهای اصلی آنها برای توزیع بدافزار و ارتباط با سرورهای فرماندهی عبارتند از:
- سوءاستفاده از Group Policy: مهاجمان از قابلیت مدیریتی و قانونی ویندوز به نام Group Policy برای توزیع بدافزارهای خود در شبکههای آلوده استفاده میکنند. این یک روش پنهانکارانه است که میتواند با فعالیتهای عادی مدیران شبکه ترکیب شده و شناسایی نشود.
- استفاده از سرویسهای ابری برای C2: گروه LongNosedGoblin از سرویسهای ابری محبوبی مانند Microsoft OneDrive و Google Drive به عنوان زیرساخت فرماندهی و کنترل خود استفاده میکند. این کار مسدود کردن ترافیک مخرب آنها را بدون ایجاد اختلال در عملیات تجاری قانونی، بسیار دشوار میسازد.
ابزارهای سفارشی این گروه برای اهداف مشخصی طراحی شدهاند:
- NosyHistorian (نوزی-هیستورین): یک ابزار شناسایی که برای جمعآوری تاریخچه مرورگرها و شناسایی اهداف باارزش در داخل شبکه به کار میرود.
- NosyDoor (نوزی-دُر): یک بکدور که روی ماشینهای منتخب قربانی نصب میشود تا فایلها را به سرقت برده و دستورات را اجرا کند.
- NosyStealer (نوزی-استیلر): ابزاری برای سرقت دادههای حساس.
- NosyDownloader: ابزاری برای دانلود و اجرای بدافزارهای بیشتر در مراحل بعدی حمله.
- NosyLogger: ابزاری برای ثبت فعالیتهای کاربر مانند کلیدهای فشرده شده (Keylogging) به منظور جمعآوری اطلاعات حساس.
مثال حمله
یک مهاجم از گروه LongNosedGoblin به شبکه داخلی یک وزارتخانه دولتی دسترسی اولیه پیدا میکند. او با استفاده از Group Policy، ابزار شناسایی NosyHistorian را بر روی چند کامپیوتر نصب میکند. این ابزار تاریخچه مرورگرها را جمعآوری کرده و به مهاجم کمک میکند تا یک هدف باارزش (مثلاً کامپیوتر یک دیپلمات) را شناسایی کند. سپس، مهاجم در پشتی NosyDoor را فقط بر روی آن ماشین خاص نصب کرده و اسناد حساس را به یک پوشه مخفی در یک حساب Google Drive به سرقترفته منتقل میکند.
توصیه کاربردی
- برای مدیران شبکه: بهطور منظم Group Policy Object (GPO) ها را برای اسکریپتها یا وظایف زمانبندیشدهی مشکوک بازبینی کنید و ترافیک خروجی به سرویسهای ذخیرهسازی ابری را برای ناهنجاریها کنترل نمایید.
“بذار خلاصه بگم 👇”
یک گروه هکری جدید وابسته به چین به اسم LongNosedGoblin کشف شده که از دولتها جاسوسی میکنه. اونا از ابزارهای مدیریتی خود ویندوز (Group Policy) برای پخش کردن بدافزارهاشون استفاده میکنن و سرورهای فرماندهیشون رو روی گوگل درایو و واندرایو مخفی کردن.
منابع این بخش:
۴. درهای باز در زیرساختها: آسیبپذیریهای حیاتی در Cisco، MongoDB و Gladinet
درحالیکه آسیبپذیریهای پر سر و صدایی مانند React2Shell توجهها را به خود جلب میکنند، چندین نقص حیاتی دیگر در نرمافزارهای ضروری سازمانی به طور فعال در حال بهرهبرداری هستند و ریسک قابل توجهی برای سازمانها ایجاد کردهاند. این آسیبپذیریها در سیستمهای ارتباطی، پایگاههای داده و ابزارهای به اشتراکگذاری فایل وجود دارند و میتوانند منجر به کنترل کامل سیستم توسط مهاجمان شوند.
آسیبپذیری ۱: Cisco Unified Contact Center (CVSS 9.8)
آسیبپذیریها در پلتفرمهای ارتباطی سازمانی که به طور گسترده استفاده میشوند، اهداف بسیار جذابی برای مهاجمان هستند. چنین نقصهایی میتوانند مسیری مستقیم به قلب شبکه یک سازمان فراهم کنند.
دو آسیبپذیری بحرانی در محصول Cisco Unified Contact Center Express (Unified CCX) کشف شده است. این آسیبپذیریها عبارتند از:
- CVE-2025-20354 (CVSS 9.8): یک آسیبپذیری اجرای کد از راه دور (RCE) بدون نیاز به احراز هویت در فرآیند Java RMI که به مهاجمان اجازه میدهد فایلهای مخرب را آپلود کرده و دستورات را با دسترسی root اجرا کنند.
- CVE-2025-20358 (CVSS 9.4): یک آسیبپذیری دور زدن احراز هویت در اپلیکیشن CCX Editor که به مهاجمان دسترسی در سطح مدیر سیستم (administrative) اعطا میکند.
ترکیب این دو آسیبپذیری یک تهدید فوقالعاده جدی ایجاد میکند. یک آسیبپذیری RCE بدون نیاز به احراز هویت با دسترسی root (CVE-2025-20354) یکی از شدیدترین انواع نقصهای امنیتی است، زیرا به مهاجم کنترل کامل یک سیستم را بدون نیاز به هیچگونه اعتباری میدهد. آسیبپذیری دوم (CVE-2025-20358) نیز یک مسیر دیگر برای به دست آوردن کنترل مدیریتی و اجرای اسکریپتهای مخرب فراهم میکند.
یک مهاجم اینترنت را برای یافتن سرورهای آسیبپذیر Cisco Unified CCX اسکن میکند. او یک هدف را در یک شرکت بزرگ خدمات مالی پیدا میکند. با استفاده از آسیبپذیری CVE-2025-20354، او بدون نیاز به رمز عبور یک وبشل (web shell) آپلود میکند. با دسترسی root، او سپس از سرور مرکز تماس به شبکه داخلی نفوذ کرده و به دنبال پایگاههای داده مالی و سوابق مشتریان برای سرقت اطلاعات میگردد.
سازمانهایی که از Cisco Unified Contact Center Express استفاده میکنند باید نصب بستههای امنیتی ارائه شده توسط سیسکو را برای کاهش این خطرات حیاتی در اولویت قرار دهند.
آسیبپذیری ۲: Gladinet CentreStack/Triofox (CVSS 7.1)
هنگامی که یک آسیبپذیری جدید به طور فعال مورد بهرهبرداری قرار میگیرد، سوال کلیدی برای تیمهای امنیتی این است: «چه کسی پشت این حملات است و انگیزه او چیست؟». پاسخ به این سوال، اولویتبندی اقدامات دفاعی را مشخص میکند.
آسیبپذیری با شناسه CVE-2025-14611 و امتیاز CVSS 7.1 در محصولات Gladinet CentreStack و Triofox به طور فعال در حال بهرهبرداری است. بر اساس گزارشهای شرکت Huntress و سایر شرکتهای اطلاعاتی، گمان میرود که گروه باجافزاری معروف cl0p (کلاپ) سرورهای آسیبپذیر به این نقص را هدف قرار داده است.
از نظر فنی، مهاجمان با زنجیر کردن یک آسیبپذیری قدیمیتر (CVE-2025-11371) با نقص جدید (CVE-2025-14611) که یک ضعف «رمزنگاری ناامن» است، حمله خود را اجرا میکنند که به حمله «Deserialization از طریق Viewstate» منجر میشود. هدف نهایی مهاجم، به دست آوردن فایل web.config است که حاوی کلیدهای حساس ماشین (machine keys) میباشد. با در اختیار داشتن این کلیدها، مهاجم میتواند کد دلخواه خود را روی سرور اجرا کند. مشاهدات نشان میدهد که حملات از آدرس IP 147.124.216[.]205 انجام شده است.
برای درک بهتر حمله Deserialization، این مثال فیزیکی را در نظر بگیرید:
- سناریوی عادی: تصور کنید یک قفسه کتاب بستهبندی شده سفارش میدهید. بسته شامل قطعات و یک دفترچه راهنما است. شما بسته را باز کرده، طبق دستورالعمل عمل میکنید و یک قفسه کتاب میسازید. این مانند سروری است که دادههای عادی و قابل اعتماد را دریافت و پردازش میکند (Deserialization).
- بردار حمله: حال تصور کنید یک خرابکار بسته شما را در مسیر رهگیری میکند. او دستورالعملهای واقعی را با یک مجموعه دستورالعمل جعلی که خودش نوشته، تعویض کرده و دوباره در جعبه قرار میدهد. از بیرون، جعبه کاملاً عادی به نظر میرسد.
- فاجعه: شما جعبه را باز میکنید و با پیروی از دستورالعملهای مخرب، به جای ساختن قفسه کتاب، ناخواسته یک بمب کوچک مونتاژ میکنید. این دقیقاً کاری است که حمله Deserialization انجام میدهد: سرور را فریب میدهد تا دستورات مخرب را که در قالب دادههای عادی پنهان شدهاند، پردازش کند و این امر به نفوذ و تخریب منجر میشود.
سازمانها باید لاگهای خود را برای یافتن رشته رمزنگاری شده vghpI7EToZUDIZDdprSubL3mTZ2 اسکن کنند. این رشته یک شاخص نفوذ (Indicator of Compromise) قابل اعتماد برای این حمله خاص است.
آسیبپذیری ۳: MongoDB “MongoBleed” (CVSS 9.8)
آسیبپذیری CVE-2025-14847 که با نام “MongoBleed” شناخته میشود، یک نقص خطرناک در پایگاه داده MongoDB است. این ضعف امکان افشای اطلاعات از حافظه سرور را از راه دور فراهم میکند. یک اکسپلویت عمومی برای آن منتشر شده، به طور فعال در حال بهرهبرداری است و بر اساس تحلیلها، امتیاز احتمال استفاده در حملات باجافزاری “بالا” را دریافت کرده است.
اقدامات دفاعی پیشنهادی
- اولویتبندی وصلهها: تیمهای امنیتی باید فورا این سه آسیبپذیری را در صدر لیست بهروزرسانیهای خود قرار دهند، به خصوص اگر این سیستمها به اینترنت متصل هستند.
“بذار خلاصه بگم 👇”
جدا از اون باگ بزرگ وب، سه حفره امنیتی خیلی جدی دیگه هم توی نرمافزارهای شرکتی (سیسکو، مانگودیبی و گلادینت) پیدا شده که هکرها دارن ازشون برای نفوذ کامل، سرقت اطلاعات و حملات باجافزاری استفاده میکنن.
منابع این بخش:
۵. کارمندان فناوری اطلاعات قلابی: کلاهبرداری کره شمالی برای تامین مالی برنامههای تسلیحاتی
برخی از دولتها برای تأمین مالی برنامههای خود به روشهای غیرمتعارف روی میآورند. فراتر از جاسوسی سنتی، برخی کشورها برای دور زدن تحریمها و تأمین بودجه رژیم خود، درگیر فعالیتهای مجرمانه در مقیاس بزرگ میشوند.
بر اساس گزارشها، کره شمالی در یک کلاهبرداری گسترده، از هویتهای جعلی یا دزدیده شده توسعهدهندگان نرمافزار واقعی برای استخدام در مشاغل از راه دور در شرکتهای آمریکایی و اروپایی استفاده میکند. این افراد بخش بزرگی از درآمد خود را برای دولت کره شمالی ارسال میکنند تا برای تأمین مالی برنامههای تسلیحاتی این کشور استفاده شود. تنها شرکت آمازون ۱۸۰۰ متقاضی مشکوک از این دست را مسدود کرده است.
تکنیکهای مورد استفاده در این کلاهبرداری بسیار پیچیده است و شامل موارد زیر میشود:
- استفاده از ابزارهای هوش مصنوعی برای تهیه رزومه و ساختن پروفایلهای شبکههای اجتماعی.
- استفاده از دیپفیک (deepfakes) در طول مصاحبههای ویدیویی.
- ربودن حسابهای کاربری غیرفعال لینکدین متعلق به مهندسان واقعی برای افزودن اعتبار به درخواستهای شغلی خود.
- همکاری با افرادی در داخل آمریکا که به “laptop farmers” معروف هستند. این افراد لپتاپهای شرکتی را دریافت و میزبانی میکنند تا به نظر برسد که کار از داخل خاک ایالات متحده انجام میشود.
شرکتها میتوانند با توجه به جزئیات کوچک، این متقاضیان را شناسایی کنند. نشانههایی مانند تأخیر در تایپ (keystroke lag) در طول جلسات از راه دور، نوشتن شماره تلفنهای آمریکا با پیششماره +1 به جای 1، یا ادعای داشتن مدرک از دانشگاههایی که آن رشته خاص را ارائه نمیدهند، میتوانند سرنخهای مهمی باشند.
“بذار خلاصه بگم 👇”
کره شمالی متخصصان IT قلابی رو با هویتهای دزدی و حتی دیپفیک برای کار از راه دور در شرکتهای غربی استخدام میکنه و حقوقشون رو برای ساخت سلاح خرج میکنه. آمازون به تنهایی ۱۸۰۰ نفر از این متقاضیان رو شناسایی و رد کرده.
منابع این بخش:
۶. سایر اخبار و تحولات مهم هفته
در ادامه به مروری کوتاه بر دیگر اخبار و تحولات مهم امنیتی این هفته میپردازیم.
- حمله به زیرساختهای صنعتی (OT): تحقیقات شرکت Forescout نشان میدهد که ۶۷٪ از حملات به سیستمهای OT، دستگاههای پیرامونی مانند روترهای صنعتی را هدف قرار می دهند. روش اصلی این حملات، حملات Brute-force برای حدس زدن رمزهای عبور پیشفرض و ساده است. همزمان، یک هشدار از سوی CISA نشان میدهد که هکتیویستهای با مهارت پایین با سوءاستفاده از اتصالات VNC که با رمزهای عبور ضعیف محافظت میشوند، به سیستمهای کنترل صنعتی (HMIs) دسترسی پیدا میکنند.
برای مثال یک کارخانه تولیدی کوچک را تصور کنید که یک HMI برای خط مونتاژ خود دارد و برای نظارت از راه دور، آن را از طریق VNC و با رمز عبور سادهای مانند “12345” به اینترنت متصل کرده است. یک گروه هکتیویست که اینترنت را اسکن میکند، این سیستم را پیدا کرده، وارد آن میشود و پارامترهای عملیاتی را به طور مخرب تغییر میدهد. این کار باعث توقف خط تولید و از بین رفتن یک بچ کامل از محصولات میشود. سپس، آنها برای افتخار به “هک” خود، اسکرینشاتهایی را به صورت آنلاین منتشر میکنند. - باجافزار RansomHouse: این سرویس باجافزاری که توسط گروه Jolly Scorpius اداره میشود، از استراتژی اخاذی دوگانه (سرقت و رمزگذاری داده) استفاده میکند و به طور خاص زیرساختهای مجازیسازی VMware ESXi را برای ایجاد حداکثر اختلال هدف قرار میدهد.
- بدافزار سرقت اطلاعات MacSync: این بدافزار جدید برای سیستمعامل macOS طراحی شده و اطلاعات حساس مانند رمزهای عبور، اطلاعات کارتهای بانکی و کیف پولهای رمزارزی را با استفاده از تکنیکهای هوشمندانه AppleScript به سرقت میبرد.
- هک واتساپ با GhostPairing: در این حمله که “GhostPairing” (
گُست-پِیرینگ) نام گرفته، مهاجم از یک حساب واتساپ هکشده برای ارسال یک لینک به قربانی استفاده میکند. این لینک قربانی را به صفحهای جعلی هدایت میکند که در آن از او خواسته میشود برای مشاهده یک محتوا، یک کد QR را اسکن کند. این کد QR در واقع همان کد مربوط به ویژگی قانونی “Linked Devices” واتساپ است. با اسکن آن، قربانی ناآگاهانه دستگاه مهاجم را به حساب واتساپ خود متصل کرده و دسترسی کامل به پیامهایش را به او میدهد. - نگرانی از امنیت نرمافزارهای متنباز (Open-Source): به دنبال حادثه XZ Utils، سناتورهای آمریکایی نگرانی خود را در مورد نفوذ توسعهدهندگان وابسته به دولتهای خارجی (مانند چین و روسیه) به پروژههای متنباز که در زیرساختهای حیاتی استفاده میشوند، ابراز کردهاند.
- مرورگرهای تاریخ مصرف گذشته در دستگاههای هوشمند: تحقیقات نشان میدهد که مرورگرهای وب در دستگاههایی مانند تلویزیونهای هوشمند، کتابخوانهای الکترونیکی و خودروها به ندرت بهروزرسانی میشوند و اغلب حاوی آسیبپذیریهای امنیتی شناختهشده هستند.
- رخنه اطلاعاتی دانشگاه سیدنی: هکرها با دسترسی به یکی از مخازن کد آنلاین این دانشگاه، اطلاعات شخصی دانشجویان و کارمندان را به سرقت بردهاند.
- بهروزرسانیهای امنیتی و صنعتی:
- NAKIVO v11.1: این نسخه جدید از نرمافزار پشتیبانگیری، قابلیتهای بازیابی از فاجعه (Disaster Recovery) پیشرفتهای را برای محیطهای مجازی Proxmox VE ارائه میدهد.
- Arctic Wolf: این شرکت در گزارش SPARK Matrix™ به عنوان یکی از رهبران در زمینه خدمات مدیریت شده شناسایی و پاسخ (MDR) در سال 2025 معرفی شد.
- دوره آموزشی رایگان Cisco CCNA: شرکت سیسکو یک دوره آموزشی ۱۲ روزه به نام “12 Days of Learning” را برای آمادگی آزمون CCNA برگزار میکند و به شرکتکنندگان شانس برنده شدن ووچر رایگان آزمون را میدهد.
جمعبندی
همانطور که دیدیم، حملات انسان-محور با انگیزههای مالی و جنایی همچنان قربانی میگیرند، اما تصویر بزرگتر امروز نشان میدهد که مرزهای بین این حملات و عملیاتهای دولتی در حال محو شدن است. این روندها نشان میدهد که میدان نبرد جدیدی در حال شکلگیری است: “اعتماد”. این نبرد بر سر اعتمادی است که ما به زنجیره تأمین نرمافزار خود داریم—از کامپوننتهای متنباز و افزونههای مرورگر گرفته تا خود ابزارهای هوش مصنوعی که برای کمک به ما طراحی شدهاند. امنیت پیشگیرانه دیگر فقط به معنای وصله کردن نقصها نیست، بلکه نیازمند راستیآزمایی دقیق و انتقادی هر لایه از دنیای دیجیتال به هم پیوسته ما است.
“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec