امروز چشمانداز امنیت سایبری با روندهای متضاد اما قدرتمندی تعریف میشود. از یک سو، هوش مصنوعی هم به عنوان ابزاری برای حملات پیچیده و هم به عنوان سپری برای دفاع پیشرفته به کار گرفته میشود. از سوی دیگر، تاکتیکهای جاسوسی دولتها در حال تکامل است و شاهد یک تغییر اساسی در اقتصاد باجافزارها هستیم که مهاجمان را وادار به بازنگری در مدلهای کسبوکار خود کرده است.
۱. هوش مصنوعی: شمشیر دو لبه امنیت سایبری در سال ۲۰۲۵
هوش مصنوعی دیگر یک مفهوم تئوریک در امنیت سایبری نیست، بلکه به ابزاری عملی تبدیل شده که به سرعت توسط مهاجمان برای مهندسی اجتماعی مسلح میشود و همزمان توسط مدافعان برای کشف آسیبپذیریهای پیچیده توسعه مییابد. این فناوری به طور همزمان بزرگترین تهدید و قدرتمندترین متحد ماست.
ظهور جعل هویت و فریب با هوش مصنوعی
بر اساس هشدارهای FBI و گزارشهای LevelBlue، استفاده از ابزارهای هوش مصنوعی برای جعل هویت به شدت افزایش یافته است. مجرمان سایبری با استفاده از شبیهسازی صدای مبتنی بر هوش مصنوعی (AI voice cloning) و دیپفیک در کنفرانسهای ویدیویی، خود را به جای مقامات دولتی و مدیران ارشد شرکتها جا میزنند. در یکی از برجستهترین موارد، یک کارمند شرکت چندملیتی پس از شرکت در یک کنفرانس ویدیویی که در آن تمام شرکتکنندگان دیگر (از جمله مدیر مالی) دیپفیکهای واقعگرایانه بودند، فریب خورد و مبلغ ۲۵ میلیون دلار را منتقل کرد. مهاجمان ابتدا از طریق پیامک با قربانیان تماس گرفته و سپس مکالمه را به اپلیکیشنهای رمزنگاریشده مانند Signal منتقل میکنند. در آنجا، با صدای جعلی یک مقام بلندپایه، تحت عنوان بررسی صلاحیت برای ملاقات با شخصیتی مانند رئیسجمهور، درخواست اطلاعات حساس یا انتقال وجه میکنند.
استفاده دولتها از هوش مصنوعی برای جاسوسی
این فناوری فقط در دست کلاهبرداران مالی نیست. بر اساس گزارشها، کارمندان بخش IT کره شمالی از مدلهای زبان بزرگ (LLM) برای ایجاد «طعمههای فیشینگ بینقص» و حتی جعل هویت افراد در مصاحبههای ویدیویی زنده استفاده میکنند تا بتوانند در شرکتهای فناوری نفوذ کنند.
نقطه مقابل: هوش مصنوعی در خدمت دفاع
در آن سوی میدان، مدلهای پیشرفته هوش مصنوعی در حال تبدیل شدن به ابزارهای دفاعی قدرتمندی هستند. مدل جدید OpenAI، یعنی GPT-5.2-Codex، رکوردهای جدیدی را در بنچمارکهای کدنویسی خودکار ثبت کرده است (با دقت ۵۶.۴٪ در SWE-Bench Pro و ۶۴.۰٪ در Terminal-Bench 2.0). علاوه بر این، کاربرد عملی این مدلها در کشف ضعفهای امنیتی به اثبات رسیده است. اخیراً یک محقق امنیتی با استفاده از مدل قدیمیتر، یعنی GPT-5.1-Codex-Max، در حین بررسی یک آسیبپذیری شناختهشده (CVE-2025-55182) در کامپوننتهای سرور React، موفق به کشف سه آسیبپذیری جدید و مرتبط (CVE-2025-55183، CVE-2025-55184 و CVE-2025-67779) شد. این کشف نشان میدهد که هوش مصنوعی چگونه میتواند فرآیند شناسایی آسیبپذیری را تسریع کند.
سناریوی واقعی
تصور کنید یک مدیر مالی یک تماس ویدیویی فوری از مدیرعامل خود دریافت میکند که یک دیپفیک بینقص است و درخواست یک انتقال وجه اضطراری به یک تأمینکننده جدید برای نهایی کردن یک «ادغام محرمانه» را دارد. این تماس از نظر بصری و صوتی کاملاً قانونی به نظر میرسد و تمام بررسیهای اولیه را پشت سر میگذارد.
نکته کاربردی
برای تماسهای ویدیویی یا صوتی غیرمنتظره که درخواستهای مالی یا اطلاعاتی حساس دارند، یک کانال ارتباطی دوم (مانند تماس با شماره موبایل شخصی) برای تأیید هویت برقرار کنید.
بذار خلاصه بگم 👇
هوش مصنوعی هم برای کلاهبرداریهای خیلی واقعی (مثل جعل صدای مدیرعامل) استفاده میشه و هم برای پیدا کردن حفرههای امنیتی پیچیده. دیگه یه ابزار دوطرفه شده.
منابع این بخش:
۲. تکامل جاسوسی سایبری: گروههای APT با ابزارهای جدید وارد میدان میشوند
گروههای تهدید پایدار پیشرفته (APT) وابسته به دولتها به روشهای قدیمی بسنده نمیکنند، بلکه دائماً در حال نوآوری در ابزارها و مکانیسمهای نفوذ خود هستند تا به پنهانکاری و ماندگاری در شبکههای دولتی و شرکتی با ارزش دست یابند.
LongNosedGoblin: مخفیکاری در سیاستهای ویندوز
یک گروه تهدید جدید وابسته به چین با نام LongNosedGoblin (لانگ-نوزد-گابلین)، نهادهای دولتی در جنوب شرقی آسیا و ژاپن را هدف قرار داده است. تکنیک جدید آنها، پنهان کردن بدافزار سفارشی نوشتهشده با C#/.NET به نام NosyDoor (نوزی-دور) در داخل دایرکتوریهای کش Group Policy ویندوز است. با این روش، بدافزار خود را به عنوان فایلهای سیستمی قانونی مانند Registry.pol جا میزند تا از شناسایی فرار کند.
تصور کنید یک مدیر شبکه در یک وزارتخانه دولتی متوجه میشود که برخی تنظیمات امنیتی به طور خودکار تغییر میکنند. او در ابتدا این را به یک باگ یا خطای سیستمی نسبت میدهد، غافل از اینکه گروه LongNosedGoblin یک فایل مخرب را در پوشه SYSVOL قرار داده که با هر بار آپدیت Group Policy، بدافزار را روی دهها کامپیوتر اجرا میکند.
اقدام فوری
به طور منظم فایلهای موجود در پوشههای SYSVOL و مسیرهای کش Group Policy را برای هرگونه فایل غیرمنتظره یا اصلاح شده مانیتور کنید و دسترسی به این مسیرها را محدود نمایید.
Cloud Atlas: سوءاستفاده از یک ابزار محبوب
گروه APT شناختهشده Cloud Atlas نیز در سال ۲۰۲۵ ابزارهای خود را بهروز کرده است. این گروه اکنون از بکدورهای معروف خود مانند VBShower، VBCloud و PowerShower در کنار یک مکانیسم نفوذ پیچیده استفاده میکند. آنها با بهرهگیری از یک حمله DLL hijacking، از اپلیکیشن قانونی و محبوب VLC media player به عنوان یک لودر برای اجرای بدافزار خود سوءاستفاده میکنند.
BlueDelta: عملیات سرقت اطلاعات ورود (Credential Harvesting) در مقیاس بالا
گروه هکری BlueDelta (بلو-دلتا) وابسته به روسیه، بین ژوئن ۲۰۲۴ تا آوریل ۲۰۲۵، کاربران سرویس ایمیل محبوب اوکراینی UKR.NET را هدف قرار داد. روش آنها شامل ایجاد صفحات ورود جعلی بود که بر روی سرویسهای رایگان مانند Mocky و DNS EXIT میزبانی میشد تا نام کاربری، رمز عبور و کدهای احراز هویت دو عاملی (2FA) قربانیان را به سرقت ببرند. لینک این صفحات جعلی از طریق فایلهای PDF برای قربانیان ارسال میشد تا سیستمهای امنیتی خودکار ایمیل را دور بزنند. پس از مختل شدن زیرساخت اولیه، این گروه به سرعت تاکتیک خود را تغییر داد و به استفاده از پلتفرمهای تونلزنی پراکسی مانند ngrok (اِن-گِراک) و Serveo روی آورد تا مکان واقعی سرورهای خود را مخفی کند. آنها حتی از کد جاوا اسکریپت (ngrok-skip-browser-warning) برای غیرفعال کردن هشدارهای امنیتی مرورگر و معتبرتر جلوه دادن صفحات جعلی خود استفاده کردند.
یک کارمند دولت اوکراین فایلی PDF دریافت میکند که به نظر یک سند رسمی میرسد. با کلیک بر روی لینک داخل فایل، به یک کپی بینقص از صفحه ورود UKR.NET هدایت میشود. پس از وارد کردن اطلاعات ورود و کد 2FA، به سادگی به وبسایت واقعی هدایت میشود و هرگز متوجه نمیشود که حساب کاربریاش اکنون در اختیار هکرها قرار گرفته است.
اقدام فوری
همیشه آدرس URL را در نوار آدرس مرورگر به دقت بررسی کنید. هرگز روی لینکهای موجود در فایلهای PDF یا ایمیلهای مشکوک برای ورود به حسابهای کاربری خود کلیک نکنید. به جای آن، آدرس وبسایت را مستقیماً تایپ کنید.
توصیه کاربردی
به طور منظم لاگهای Group Policy Object (GPO) را برای تغییرات غیرمعمول مانیتور کنید و ترافیک خروجی به سرویسهای tunneling مانند ngrok را به شدت محدود و بررسی نمایید.
بذار خلاصه بگم 👇
هکرهای دولتی دارن حرفهایتر میشن. یکی داره بدافزارشو تو تنظیمات ویندوز قایم میکنه، اون یکی از نرمافزار VLC برای نفوذ استفاده میکنه. خلاصه خلاقیتشون زیاد شده.
منابع این بخش:
۳. اقتصاد باجافزارها در سال ۲۰۲۵: افزایش حملات، کاهش پرداختها و ظهور ۸۵ گروه فعال
سال ۲۰۲۵ سالی متناقض در دنیای باجافزار بود. در حالی که حجم حملات با افزایش ۳۴ درصدی نسبت به سال گذشته به شدت بالا رفت، اقتصاد باجافزار به دلیل کاهش نرخ پرداختها و اقدامات اجرایی قانون دچار تغییر شد. نرخ پرداخت باج به پایینترین سطح تاریخی خود، یعنی ۲۳ تا ۲۵ درصد، رسید. از هم پاشیدن گروههای بزرگی مانند LockBit و ALPHV/BlackCat منجر به تکهتکه شدن اکوسیستم و ظهور ۸۵ گروه باجافزاری فعال شد.
بر اساس این گزارش، «نرخ پرداخت باج به پایینترین حد تاریخی خود یعنی ۲۳-۲۵ درصد سقوط کرده است و این امر بازیگران تهدید را مجبور به بازنگری در مدلهای کسبوکار خود کرده است.»
در این میان، بازیگران کلیدی و تاکتیکهایشان به شرح زیر بود:
Cl0p (کلاپ): پرکارترین گروه در سه ماهه اول سال که یک نمونه برجسته از این تغییر استراتژی است. این گروه به جای رمزگذاری سنتی فایلها، به طور کامل بر روی اخاذی از طریق سرقت دادهها متمرکز شده است. آنها با بهرهبرداری از آسیبپذیریهای روز-صفر (zero-day) در نرمافزارهای پرکاربرد انتقال فایل مانند Cleo Harmony و VLTrader (بهویژه CVE-2024-50623 و CVE-2024-55956)، به دادههای هزاران سازمان به صورت همزمان دسترسی پیدا کرده و آنها را به افشای اطلاعات تهدید میکنند.RansomHub (رَنسامهاب): از فیشینگ و آسیبپذیریهای شناختهشده (CVEs) برای نفوذ اولیه استفاده میکرد و سپس ابزارهایی مانند Mimikatz و Cobalt Strike را برای حرکت در شبکه به کار میگرفت.BlackSuit (بلکسوت): با استفاده از فیشینگ صوتی (vishing)، اطلاعات ورود VPN را سرقت میکرد و از Ansible برای استقرار باجافزار بر روی هاستهای ESXi و رمزگذاری انبوه ماشینهای مجازی بهره میبرد.
یک روند غالب دیگر، استفاده گسترده از تکنیکهای “زندگی در سرزمین” (LOTL) و ربودن ابزارهای دسترسی از راه دور قانونی مانند AnyDesk و TeamViewer برای پنهان ماندن از دید سیستمهای امنیتی بود.
“بخش بهداشت و درمان با نرخ پرداخت ۵۳٪ و میانگین پرداخت باج ۴.۴ میلیون دلاری، یکی از اهداف اصلی باقی مانده است، زیرا اختلال در این بخش میتواند مستقیماً بر جان بیماران تأثیر بگذارد.”
نکته کاربردی
اولویت اصلی را بر روی پچ کردن فوری آسیبپذیریهای نرمافزارهای مدیریت انتقال فایل (MFT) و سایر نرمافزارهای متصل به اینترنت قرار دهید، زیرا اینها دروازههای اصلی ورود گروههایی مانند Cl0p هستند.
بذار خلاصه بگم 👇
تعداد حملات باجافزاری خیلی زیاد شده، ولی شرکتها کمتر پول میدن. برای همین، هکرها به جای قفل کردن فایلها، بیشتر روی دزدیدن اطلاعات و تهدید به افشای اونها تمرکز کردن.
با کاهش نرخ پرداخت باج، برخی از مجرمان سایبری به طور کامل از بهرهبرداریهای فنی فاصله گرفته و به روشی مستقیمتر روی آوردهاند: خرید دسترسی از داخل.
منابع این بخش:
۴. تهدید جدید: استخدام کارمندان داخلی از طریق دارکنت
مجرمان سایبری دیگر تنها به بهرهبرداری از آسیبپذیریهای فنی اکتفا نمیکنند؛ آنها اکنون به طور فعال در حال استخدام افراد داخلی—کارمندان سازمانهای معتبر—از طریق انجمنهای دارکنت هستند تا به طور مستقیم به شبکهها و دادههای حساس دسترسی پیدا کنند.
مکانیک استخدام داخلی
مهاجمان در دارکنت «آگهیهای شغلی» منتشر میکنند و به دنبال کارمندانی در صنایع هدف مانند بانکها، شرکتهای فناوری (اپل و سامسونگ)، صرافیهای ارز دیجیتال و ارائهدهندگان خدمات ابری هستند. پرداختهای پیشنهادی برای این همکاریها بین ۳,۰۰۰ تا ۱۵,۰۰۰ دلار متغیر است. برای مثال، در یک آگهی به دنبال فردی در صرافیهای Coinbase یا Binance برای یک «همکاری یکباره» جهت ارائه دسترسی یا توکنهای جلسه (session token) بودند. همچنین درخواستهایی برای کارمندان شرکتهای مخابراتی جهت انجام حملات تعویض سیمکارت (SIM-swapping) مشاهده شده است. برخی از این تبلیغات حتی از دستکاری عاطفی استفاده میکنند و کارمندان را تشویق میکنند تا با همکاری با مجرمان، “از چرخه کاری بیپایان فرار کنند.”
چرا این روند خطرناک است؟
این روش تهدیدی جدی محسوب میشود زیرا کنترلهای امنیتی محیطی سنتی (مانند فایروالها) را به طور کامل دور میزند. حمله از داخل شبکه مورد اعتماد آغاز میشود و این امر شناسایی آن را به مراتب دشوارتر میکند.
یک آگهی در دارکنت به کارمند یک شرکت مخابراتی ۱۵,۰۰۰ دلار پیشنهاد میدهد تا عملیات تعویض سیمکارت را روی یک هدف مشخص انجام دهد. این کار به مجرمان اجازه میدهد کدهای 2FA ارسال شده از طریق پیامک را رهگیری کرده و به حسابهای مالی یا ارز دیجیتال هدف دسترسی پیدا کنند.
نکته کاربردی
برنامههای آموزشی برای کارمندان را تقویت کنید تا از خطرات مهندسی اجتماعی و پیشنهادهای مالی غیرقانونی آگاه شوند و کنترلهای دسترسی سختگیرانه (principle of least privilege) را اعمال کنید.
بذار خلاصه بگم 👇
هکرها تو دارکنت آگهی استخدام میزنن و به کارمندای شرکتهای بزرگ پول میدن تا از داخل به شبکه دسترسی پیدا کنن. یعنی دیگه نیازی به هک کردن از بیرون ندارن.
چه مهاجمان از داخل حمله کنند و چه از بیرون، آنها به آسیبپذیریها تکیه میکنند. اکتشافات اخیر نشان میدهد که این ضعفها در بنیادیترین سطوح سختافزار و نرمافزار ما وجود دارند.
منابع این بخش:
۵. آپدیت اضطراری مایکروسافت برای رفع باگ MSMQ که وبسایتهای IIS را مختل کرده بود
انتشار یک وصله “خارج از برنامه” (out-of-band) نشاندهنده وجود یک مشکل حیاتی و پیشبینینشده است که نیازمند توجه فوری مدیران سیستم میباشد. مایکروسافت در ۱۸ دسامبر ۲۰۲۵، یک بهروزرسانی اضطراری برای ویندوز ۱۰ (نسخههای 22H2 و 21H2) منتشر کرد.
مشکل از آنجا ناشی شد که وصلههای امنیتی منتشر شده در ۹ دسامبر، یک باگ در سرویس صف پیام مایکروسافت (MSMQ) ایجاد کرده بودند. این باگ باعث غیرفعال شدن صفهای پیام و اختلال در عملکرد برنامههای کاربردی، بهویژه آنهایی که با سرویسهای اطلاعات اینترنتی (IIS) یکپارچه شده بودند، میشد. مایکروسافت تأکید کرده است که آپدیت جدید تجمعی بوده و شامل تمام اصلاحیههای آپدیت ۹ دسامبر نیز میباشد.
تحلیل کارشناس
سرویس MSMQ برای بسیاری از برنامههای سازمانی یک جزء بنیادین و حیاتی است. این سرویس برای ارتباطات ناهمزمان (asynchronous) استفاده میشود و خرابی آن میتواند فرآیندهای کسبوکار کلیدی را متوقف کند، بهخصوص در محیطهایی که برای خدمات وب به IIS متکی هستند.
اقدام فوری
مدیران سیستم باید این آپدیت اضطراری را فوراً در محیطهای خود نصب کنند. پیش از اعمال در محیط اصلی (Production)، حتماً آن را روی سیستمهای آزمایشی (Staging) تست کنید تا از سازگاری با برنامههایتان اطمینان حاصل نمایید.
“بذار خلاصه بگم 👇”
مایکروسافت یک آپدیت فوری برای ویندوز ۱۰ داد تا مشکلی را که آپدیت قبلی در سرویس پیامرسانی (MSMQ) ایجاد کرده بود و باعث از کار افتادن برخی وبسایتها شده بود، برطرف کند.
منابع این بخش:
۶. حفره امنیتی جدید در UEFI مادربردهای ASUS، Gigabyte، MSI و ASRock حملات پیش از بوت را ممکن میسازد
آسیبپذیریهای پیش از بوت (Pre-boot) از جدیترین تهدیدات امنیتی محسوب میشوند. نقص در فریمور UEFI میتواند تمام کنترلهای امنیتی سطح بالاتر که توسط سیستمعامل پیادهسازی شدهاند را تضعیف کند، زیرا این کد قبل از بارگذاری سیستمعامل اجرا میشود.
یک آسیبپذیری جدید در فریمور UEFI مادربردهای تولیدکنندگان بزرگ (ASUS، Gigabyte، MSI و ASRock) کشف شده که حملات دسترسی مستقیم به حافظه (DMA) را امکانپذیر میکند. حمله DMA به یک دستگاه سختافزاری متصل (مانند یک دستگاه PCIe یا Thunderbolt) اجازه میدهد تا بدون نظارت پردازنده (CPU) مستقیماً به حافظه رم سیستم دسترسی پیدا کرده و اطلاعات را بخواند یا بنویسد و بدین ترتیب، تمام محافظتهای امنیتی را دور بزند. این مشکل به دلیل پیادهسازیهای متفاوت توسط هر سازنده، چندین شناسه CVE (مانند CVE-2025-11901 و CVE-2025‑14302) دریافت کرده است.
تشریح حمله DMA با یک مثال ساده:
- سناریوی عادی: حافظه کامپیوتر شما (RAM) را یک انبار امن در نظر بگیرید و پردازنده اصلی (CPU) مدیر انباری است که تنها کلید را در اختیار دارد. هر بار که بستهای (داده) نیاز به جابجایی دارد، مدیر باید در را باز کرده و بر فرآیند نظارت کند.
- بردار حمله: DMA مانند این است که به رانندگان تحویل مورد اعتماد (مانند کارت گرافیک) یک کلید ویژه بدهید تا بتوانند بستهها را بدون مزاحمت برای مدیر جابجا کنند. در این حمله، یک دستگاه مخرب وانمود میکند که یک راننده مورد اعتماد است و کلید انبار را به دست میآورد.
- فاجعه: راننده قلابی پس از ورود، فقط بستهها را جابجا نمیکند؛ او نقشههای انبار را میدزدد، از تمام کلیدها کپی میگیرد و یک بمب مخفی جا میگذارد، همه اینها قبل از اینکه مدیر حتی متوجه حضور کسی شده باشد.
تحلیل کارشناس: این آسیبپذیری یک مدل تهدید بسیار خطرناک را ایجاد میکند. یک مهاجم با دسترسی فیزیکی لحظهای میتواند یک دستگاه مخرب را به سیستم متصل کرده و بدافزاری را تزریق کند که حتی پس از راهاندازی مجدد سیستم نیز باقی میماند و برای نرمافزارهای امنیتی سیستمعامل نامرئی است. این پایه و اساس حملات بسیار پایدار و پنهانکارانهای است که به “بوتکیت” (bootkit) معروف هستند.
اقدام فوری: کاربران باید به طور منظم وبسایت پشتیبانی سازنده مادربرد خود را برای آپدیتهای جدید BIOS/UEFI بررسی کرده و آخرین نسخه را نصب کنند. همچنین، پورتهای فیزیکی مانند Thunderbolt و PCIe را که به آنها نیاز ندارید، در تنظیمات UEFI غیرفعال کنید.
“بذار خلاصه بگم 👇”
یک حفره امنیتی در مادربردهای کامپیوترهای بسیاری از برندهای معروف پیدا شده که به هکر اجازه میدهد با وصل کردن یک دستگاه، قبل از بالا آمدن ویندوز، سیستم را هک کند.
منابع این بخش:
۷. بدافزار Ploutus: حملات جکپاتینگ ATM توسط یک گروه تبهکار ونزوئلایی
حملات “جکپاتینگ” (Jackpotting) نمونهای بارز از تلاقی دنیای دیجیتال و فیزیکی است. در این نوع حمله، یک بدافزار باعث میشود دستگاه خودپرداز (ATM) تمام پول نقد خود را به بیرون پرتاب کند. این حملات نشان میدهند که چگونه یک کد مخرب میتواند به سرقت فیزیکی مستقیم منجر شود.
یک گروه تبهکار ونزوئلایی به نام Tren de Aragua (TdA) (ترِن-دِ-آراگوآ) متهم به استفاده از بدافزار Ploutus (پلوتوس) برای اجرای این حملات شده است. بدافزار پلوتوس ماژول توزیع پول نقد دستگاه خودپرداز را هدف قرار میدهد و به مهاجمان اجازه میدهد با ارسال دستور، دستگاه را وادار به تخلیه تمام اسکناسهای موجود کنند. وزارت دادگستری آمریکا اعلام کرده که از سال ۲۰۲۰ بیش از ۴۰ میلیون دلار از طریق حملات جکپاتینگ به سرقت رفته است. مقامات آمریکایی، گروه TdA را یک “سازمان تروریستی بیرحم” توصیف کردهاند.
تحلیل کارشناس
این نوع حمله صرفاً یک هک از راه دور نیست و نیازمند یک عملیات هماهنگ و پیچیده است. این عملیات شامل توسعهدهندگانی برای ساخت بدافزار، افراد نفوذی یا تکنسینهایی برای نصب فیزیکی آن روی دستگاه خودپرداز، و “پادوهای پول” (cash mules) برای جمعآوری پول نقد از خیابان است. این ساختار نشاندهنده سطح بالای سازماندهی این گروههای مجرمانه است.
اقدام فوری
بانکها باید امنیت فیزیکی دستگاههای خودپرداز خود را تقویت کنند، نظارت بر یکپارچگی نرمافزار ATM را افزایش دهند و هشدارهای مربوط به دسترسیهای غیرمجاز به پورتهای USB یا باز شدن پنل دستگاه را به صورت آنی برای تیم امنیتی ارسال کنند.
“بذار خلاصه بگم 👇”
یک گروه تبهکار با نصب بدافزاری روی دستگاههای خودپرداز، آنها را مجبور به خالی کردن تمام پول نقدشان میکنند، حملهای که به آن «جکپاتینگ» میگویند.
منابع این بخش:
۸. کمپین تبلیغات مخرب GPUGate: فایلهای نصب جعلی Docker و GitHub با تکنیک گیتینگ GPU
تبلیغات مخرب (Malvertising) یک تهدید جدی است که در آن مهاجمان از پلتفرمهای تبلیغاتی معتبر مانند Google Ads برای توزیع بدافزار سوءاستفاده میکنند. این روش حتی کاربران فنی و آگاه را نیز فریب میدهد، زیرا تبلیغات در بالای نتایج جستجو ظاهر شده و کاملاً معتبر به نظر میرسند.
در یک کمپین جدید، مهاجمان از تبلیغات گوگل برای ترویج صفحات دانلود جعلی ابزارهای محبوب توسعهدهندگان مانند Docker Desktop، GitHub Desktop و Google Chrome استفاده میکنند. زنجیره آلودگی به این صورت است: کاربر یک ابزار را جستجو میکند، روی یک تبلیغ حمایتشده (Sponsored) گوگل کلیک میکند، به یک صفحه جعلی اما کاملاً مشابه صفحه اصلی در Docker Hub یا GitHub هدایت میشود و یک فایل .exe آلوده و امضاشده را دانلود میکند. این خانواده بدافزار که GPUGate (جیپییو-گیت) نام گرفته، از یک تکنیک فرار منحصربهفرد استفاده میکند: یک “گیت رمزگشایی مبتنی بر سختافزار”. بدافزار قبل از اجرای payload اصلی خود، وجود و مشخصات کارت گرافیک (GPU) قربانی را بررسی میکند. این روش برای دور زدن تحلیل در ماشینهای مجازی طراحی شده است که اغلب فاقد GPU قدرتمند هستند.
تحلیل کارشناس
تکنیک گیتینگ مبتنی بر GPU یک تکامل مهم در روشهای فرار از تشخیص بدافزارهاست. این روش از تفاوت بین کامپیوترهای کاربران عادی و محیطهای تحلیل امنیتی بهرهبرداری میکند و شناسایی خودکار بدافزار را بسیار دشوارتر میسازد.
اقدام فوری
همیشه نرمافزار را مستقیماً از وبسایت رسمی و اصلی شرکت سازنده دانلود کنید. از کلیک کردن روی نتایج اول جستجو که با برچسب «Sponsored» یا «Gesponsertes Ergebnis» مشخص شدهاند، خودداری کنید.
“بذار خلاصه بگم 👇”
هکرها با تبلیغات جعلی در گوگل، نسخههای آلوده نرمافزارهای معروف مثل داکر را پخش میکنند. این بدافزار جدید فقط روی کامپیوترهایی که کارت گرافیک دارند اجرا میشود تا تحلیلگران امنیتی را دور بزند.
منابع این بخش:
۹. کره شمالی در سال ۲۰۲۵ با سرقت بیش از ۲ میلیارد دلار ارز دیجیتال رکورد زد
جرائم سایبری دولت-محور کره شمالی ماهیتی منحصربهفرد دارد و به عنوان یکی از ابزارهای اصلی درآمدزایی برای این رژیم عمل میکند. بر اساس گزارش شرکت Chainalysis، گروههای هکری کره شمالی در سال ۲۰۲۵ با سرقت حداقل ۲.۰۲ میلیارد دلار ارز دیجیتال، رکورد جدیدی ثبت کردهاند. این رقم بخش عمدهای از کل ۳.۴ میلیارد دلار دارایی دیجیتال سرقت شده در این سال را تشکیل میدهد. یکی از بزرگترین حملات، سرقت ۱.۵ میلیارد دلار اتریوم از صرافی ByBit در ماه فوریه بود.
تاکتیکهای این گروهها نیز در حال تکامل است. آنها علاوه بر نفوذ به شرکتها از طریق جا زدن نیروهای فنی خود با هویتهای جعلی، اکنون از هوش مصنوعی و مدلهای زبان بزرگ (LLM) برای ساخت “طعمههای فیشینگ بینقص” و جعل هویت افراد در مصاحبههای ویدیویی استفاده میکنند.
“به گفته Kálnai، «کارگران آیتی کره شمالی از این فناوریها برای تقویت مهندسی اجتماعی خود استفاده کردهاند، از جمله برای ساخت طعمههای فیشینگ بینقص و حتی جعل هویت افراد در مصاحبههای ویدیویی زنده.»”
تحلیل کارشناس
برخلاف سایر بازیگران دولتی که بر جاسوسی یا ایجاد اختلال متمرکز هستند، عملیات سایبری کره شمالی بخش مهمی از اقتصاد این کشور را تشکیل میدهد. این انگیزه مالی باعث شده تا آنها در هدف قرار دادن بخش ارزهای دیجیتال به شدت تهاجمی و مصر باشند.
اقدام فوری
شرکتهای فعال در حوزه ارز دیجیتال و فناوری باید فرآیندهای استخدام و تأیید هویت خود را به شدت تقویت کنند، بهویژه برای کارکنان دورکار، و مصاحبههای چندمرحلهای تصویری و فنی را برای شناسایی هویتهای جعلی الزامی سازند.
“بذار خلاصه بگم 👇”
هکرهای دولتی کره شمالی امسال با جا زدن خود به عنوان کارمند و استفاده از هوش مصنوعی، بیش از ۲ میلیارد دلار ارز دیجیتال دزدیدهاند.
منابع این بخش:
۱۰. مروری بر سیاستهای سایبری دولت ترامپ: تضعیف CISA، توقف قوانین ضدفساد و شکاف با بخش خصوصی
سیاستهای فدرال و رهبری دولتی تأثیر عمیقی بر وضعیت امنیت سایبری یک کشور دارند و بر همه چیز، از دفاع از زیرساختهای حیاتی گرفته تا حفاظت از مصرفکنندگان، اثر میگذارند. بر اساس تحلیلهای اخیر، مجموعهای از تغییرات سیاستی در سال ۲۰۲۵، چشمانداز امنیت سایبری ایالات متحده را به طور قابل توجهی تغییر داده است.
یافتههای کلیدی این تغییرات به شرح زیر است:
- رهبری امنیت سایبری: اخراج کریس کربس، رئیس آژانس امنیت سایبری و زیرساخت (CISA)، و خالی ماندن سمتهای رهبری در آژانس امنیت ملی (NSA) و فرماندهی سایبری برای ماهها، باعث ایجاد خلأ در هماهنگیهای ملی شد.
- قوانین ضدفساد و شفافیت: توقف اجرای قانون اقدامات فاسد خارجی (FCPA) و قانون شفافیت شرکتها، به گفته کارشناسان، راه را برای پولشویی و جرائم مالی هموارتر کرده است.
- همکاری با بخش خصوصی: لغو چارچوب CIPAC، که به شرکتهای خصوصی اجازه میداد اطلاعات تهدیدات را بدون ترس از مجازات قانونی به اشتراک بگذارند، همکاری میان دولت و اپراتورهای زیرساختهای حیاتی را به شدت کاهش داد.
- حفاظت از مصرفکننده: توقف اکثر فعالیتهای اداره حفاظت مالی مصرفکننده (CFPB) و لغو قانون حمایت از دادهها در برابر دلالان اطلاعات، حقوق مصرفکنندگان را تضعیف کرد.
تحلیل کارشناس
این اقدامات پیامدهای استراتژیک جدی به همراه دارد. تضعیف آژانسهایی مانند CISA و دلسرد کردن مشارکتهای دولتی-خصوصی، یک دفاع ملی کمتر هماهنگ و آسیبپذیرتر در برابر حملات پیچیده دولت-محور ایجاد میکند. این تغییرات سیاستی، محیطی مطلوبتر برای جرائم یقه سفید فراهم کرده و پاسخگویی را کاهش میدهد.
به نوشته Eric Geller از Cybersecurity Dive، «رهبران دولتی جلسات با اپراتورهای زیرساخت را لغو کرده، رابطهای قدیمی خود را کنار گذاشته و برنامههای هماهنگی را که باعث میشد شرکتها در مورد حملات سایبری با آژانسهای فدرال صحبت کنند، از بین بردهاند.»
“بذار خلاصه بگم 👇”
سیاستهای جدید دولت آمریکا، آژانسهای کلیدی امنیت سایبری را تضعیف کرده، همکاری با شرکتهای خصوصی را کاهش داده و قوانین مبارزه با فساد مالی را متوقف کرده است که این امر امنیت ملی را در معرض خطر قرار میدهد.
منابع این بخش:
جمعبندی
چشمانداز تهدیدات امروز با خودکارسازی حملات (از طریق هوش مصنوعی و اسکریپتنویسی) و تمرکز فزاینده بر دور زدن دفاعهای سنتی از طریق هدف قرار دادن عنصر انسانی (کارمندان داخلی، فیشینگ) و زیرساختهای بنیادی (فریمور) شکل گرفته است. این شرایط بر نیاز به هوشیاری مداوم و دفاع پیشگیرانه تأکید میکند تا بتوان در برابر این تهدیدات پیچیده مقاومت کرد.
“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec