امروز چشمانداز امنیت سایبری شاهد طوفانی از رویدادهای مهم است که بر زیرساختهای حیاتی اینترنت و سیستمهای عامل تأثیر گذاشته است. بهرهبرداری گسترده از یک آسیبپذیری بحرانی در فریمورک React وبسایتهای بیشماری را در معرض خطر قرار داده، در حالی که یک حفره امنیتی جدید و بدون پچ در ویندوز، مسیرهای جدیدی برای نفوذ به سیستمها باز کرده است. همزمان، بازیگران تهدید دولتی با تکامل تاکتیکهای خود، از فرآیندهای استخدام شغلی گرفته تا مذاکرات تجاری بینالمللی، امنیت سایبری را به چالش میکشند.
۱. آسیبپذیری بحرانی React2Shell: بهرهبرداری گسترده توسط گروههای APT و مجرمان سایبری
آسیبپذیری React2Shell با شناسه CVE-2025-55182 به دلیل اهمیت استراتژیک خود، به سرعت به یکی از بزرگترین تهدیدات فعلی تبدیل شده است. این حفره امنیتی با امتیاز بحرانی CVSS 10.0، امکان اجرای کد از راه دور (RCE) را بدون نیاز به احراز هویت فراهم میکند. با توجه به اینکه این آسیبپذیری یک جزء اصلی در اکوسیستم وب مدرن را تحت تأثیر قرار میدهد، بهرهبرداری از آن توسط گروههای مختلف در سراسر اینترنت به سرعت گسترش یافته است.
تحلیل فنی آسیبپذیری
این نقص امنیتی در فرآیند “Deserialization” پروتکل Flight که توسط کامپوننتهای سرور React (RSC) استفاده میشود، ریشه دارد. برای درک بهتر این مفهوم، از یک مثال استفاده میکنیم:
یک مثال از دنیای واقعی برای درک Deserialization
- سناریوی عادی: تصور کنید میخواهید مواد اولیه یک غذای پیچیده را به جایی دیگر منتقل کنید. شما هر ماده را در ظرفی جداگانه با برچسب مشخص قرار میدهید (Serialization). در مقصد، آشپز با خواندن برچسبها، مواد را از ظروف خارج کرده و غذا را دقیقاً طبق دستور آماده میکند (Deserialization).
- حمله: مهاجم مخفیانه برچسب یکی از مواد اصلی را با برچسب یک ظرف سم عوض میکند.
- فاجعه: آشپز که به برچسبها اعتماد دارد، ناآگاهانه سم را به غذا اضافه میکند. غذای نهایی هر کسی را که آن را مصرف کند، مسموم و به خطر میاندازد. این دقیقاً همان کاری است که React2Shell با سرورها انجام میدهد.
مقیاس گسترده و بهرهبرداری فعال
بر اساس گزارش Criminal IP، تنها در ایالات متحده حدود ۱۱۰,۰۰۰ سرویس مبتنی بر RSC در معرض اینترنت قرار دارند. محققان در VulnCheck، سیل اکسپلویتهای (PoC) منتشر شده را “سرگیجهآور” توصیف کردهاند و برخی از این اکسپلویتها حتی شامل روشهایی برای دور زدن فایروالهای وب (WAF) هستند.
مهاجمان شناساییشده
گروه تحلیل تهدیدات گوگل (GTIG) و AWS گروههای هکری وابسته به چین به طور فعال در حال بهرهبرداری از این آسیبپذیری هستند. گروه UNC6600 از آن برای نصب ابزار تونلزنی MINOCAT (مینو-کَت)، گروه UNC6586 برای نصب دانلودر SNOWLIGHT (اِسنو-لایت) و گروه UNC6588 برای نصب بکدور COMPOOD (کام-پود) استفاده کردهاند؛ و گروه Earth Lamia (که توسط GTIG با شناسه UNC5454 ردیابی میشود) در کنار Jackpot Panda هستند.
تأثیر در دنیای واقعی
در یک نمونه بسیار نگرانکننده، Cloudflare گزارش داد که یک نهاد دولتی مسئول واردات و صادرات اورانیوم و سوخت هستهای با استفاده از این آسیبپذیری مورد حمله قرار گرفته است که نشاندهنده خطر بالای آن برای زیرساختهای حیاتی است.
توصیههای کلیدی برای مقابله
- اعمال فوری پچها: بهروزرسانیهای ارائه شده توسط توسعهدهندگان فریمورک را بلافاصله نصب کنید.
- کاهش سطح دسترسی: دسترسی خارجی به نقاط پایانی RSC را با استفاده از WAF یا Reverse Proxy به حداقل برسانید.
- نظارت مستمر: از ابزارهایی مانند Criminal IP برای شناسایی و نظارت بر سرویسهای در معرض خطر استفاده کنید.
“بذار خلاصه بگم 👇”
یک حفره امنیتی خیلی خطرناک به اسم React2Shell در یکی از پراستفادهترین تکنولوژیهای وب پیدا شده که هکرها (از جمله گروههای دولتی چینی) دارن ازش برای نفوذ به سرورها، سرقت اطلاعات و حتی حمله به زیرساختهای حساس مثل مراکز هستهای استفاده میکنن.
منابع این بخش:
۲. اکسپلویت سامسونگ از طریق واتساپ: چگونه یک عکس ساده به یک جاسوسافزار تبدیل میشود
اکسپلویتهای “بدون کلیک” (Zero-click) یا “تککلیکی” (One-click) که با حداقل تعامل کاربر فعال میشوند، رویای هر مهاجمی هستند. در ادامه، یک نمونه واقعی از این حملات را بررسی میکنیم که میلیونها گوشی سامسونگ را هدف قرار داده است.
جاسوسی با یک کلیک: تحلیل اکسپلویت در دنیای واقعی (ITW) روی گوشیهای سامسونگ از طریق فایل عکس
بردار حمله و هدف
طبق گزارش پروژه صفر گوگل، مهاجم یک فایل عکس دستکاریشده را از طریق واتساپ برای قربانی ارسال میکرد. اگرچه واتساپ به طور خودکار فایلها را از مخاطبان ناشناس دانلود نمیکند، اما کافی بود کاربر تنها یک بار روی عکس کلیک کند تا فرآیند دانلود آغاز شود. آسیبپذیری اصلی در واتساپ نبود، بلکه در یک کتابخانه پردازش تصویر مخصوص سامسونگ به نام Quram (کوراَم) قرار داشت.
مکانیزم فنی حمله
این اکسپلویت با دستکاری حافظه دستگاه در حین فرآیند رمزگشایی تصویر کار میکند. مراحل کلیدی حمله به شرح زیر است:
- فایل DNG مخرب به جای چند دستور پردازشی (opcode) معمول، حاوی هزاران دستور مشکوک است.
- مهاجم از دستورات خاصی مانند
DeltaPerColumnوTrimBoundsبرای ایجاد یک “سرریز حافظه هیپ” (Heap Overflow) و به هم ریختن ساختار حافظه استفاده میکند. - این تخریب به مهاجم اجازه میدهد تا مقادیر حیاتی مانند فیلدهای
bottomوrightرا در یک شیءQuramDngImageتغییر دهد. - در نهایت، با استفاده از دستور
MapTableیک حمله “سردرگمی نوع” (Type Confusion) انجام میدهد. این کار با تغییر دادن اشارهگر vtable یک شیء، باعث میشود سیستم یک شیء بیخطر را با یک شیء مخرب اشتباه بگیرد و در نتیجه، کد دلخواه مهاجم برای نصب یک جاسوسافزار به نامLandfall (لَند-فال)بدون نیاز به دور زدن مکانیزمهای امنیتی مانند ASLR اجرا شود.
یک مثال از دنیای واقعی برای درک Heap Overflow و Type Confusion
- سناریوی عادی: حافظه گوشی را مانند یک انبار با قفسههایی با اندازههای دقیق برای اقلام خاص تصور کنید. وقتی یک تصویر پردازش میشود، دادههای آن در قفسه مخصوص خود قرار میگیرند.
- حمله: مهاجم تصویری را ارسال میکند که مانند دستوری به ربات انباردار است تا یک جعبه بسیار بزرگ (
DeltaPerColumn) را در قفسهای کوچک قرار دهد. جعبه سرریز کرده و برچسب قفسه کناری را از بین میبرد. - فاجعه: اکنون، برچسب “اسناد امن” روی جعبهای حاوی “یک بمب” قرار گرفته است (
Type Confusion). وقتی سیستم بعداً درخواست اسناد را میکند، ربات بمب را تحویل میدهد که منفجر شده و کنترل انبار را به مهاجم میدهد.
زمینه کشف آسیبپذیری
بین ژوئیه ۲۰۲۴ و فوریه ۲۰۲۵، فایلهای مشکوکی در VirusTotal آپلود شدند و با راهنمایی شرکت متا، توجه گروه تحلیل تهدیدات گوگل را به خود جلب کردند. این آسیبپذیری در آوریل ۲۰۲۵ توسط سامسونگ برطرف شد.
توصیه کاربردی برای کاربران
همیشه دستگاههای موبایل و اپلیکیشنهای خود را به آخرین نسخه بهروزرسانی کنید تا در برابر چنین آسیبپذیریهایی که پچ شدهاند، محافظت شوید.
“بذار خلاصه بگم 👇”
هکرها یک عکس مخرب از طریق واتساپ برای گوشیهای سامسونگ میفرستادند. به محض اینکه قربانی روی عکس کلیک میکرد، یک باگ در نرمافزار پردازش تصویر خود گوشی فعال شده و یک جاسوسافزار روی دستگاه نصب میشد.
منابع این بخش:
۳. حفره امنیتی روز-صفر (Zero-Day) در ویندوز: سرویس RasMan بدون پچ رسمی باقی مانده است
در حالی که آسیبپذیریهای بزرگ تیتر خبرها میشوند، گاهی یک نقص کوچک و بدون پچ میتواند کلیدی باشد که قفل یک حمله بسیار بزرگتر را باز میکند. آسیبپذیری روز-صفر جدید در سرویس RasMan ویندوز، قطعه گمشده پازل برای یک زنجیره حمله افزایش سطح دسترسی (Privilege Escalation) است.
زیرپوستی و خطرناک: یک زیرو-دی جدید در سرویس RasMan ویندوز، راه را برای هکرها باز میکند
محققان در 0patch یک آسیبپذیری روز-صفر (Zero-Day) جدید و بدون پچ از نوع “ممانعت از سرویس” (Denial-of-Service) را در سرویس Remote Access Connection Manager ویندوز با نام RasMan (رَز-مَن) کشف کردهاند. این نقص امنیتی تمامی نسخههای ویندوز از 7 تا 11 و ویندوز سرور از 2008 R2 تا 2025 را تحت تأثیر قرار میدهد.
این باگ DoS به خودی خود خطرناک به نظر نمیرسد، اما در واقع بسیار جدی است. این آسیبپذیری به یک کاربر با دسترسی محدود اجازه میدهد تا سرویس RasMan را از کار بیندازد (Crash کند). این همان قطعه گمشدهای است که مهاجمان برای بهرهبرداری از یک آسیبپذیری افزایش سطح دسترسی دیگر (CVE-2025-59230) که قبلاً پچ شده بود، نیاز داشتند. اکسپلویت مربوط به آن آسیبپذیری تنها زمانی کار میکند که سرویس RasMan در حال اجرا نباشد.
برای مثال، یک سناریوی واقعی را در نظر بگیرید: یک مهاجم از طریق یک ایمیل فیشینگ، به کامپیوتر یکی از کارمندان با دسترسی محدود نفوذ میکند. او نمیتواند به دادههای حساس دسترسی پیدا کند زیرا یک کاربر استاندارد است. مهاجم ابتدا از این آسیبپذیری روز-صفر جدید برای از کار انداختن سرویس RasMan استفاده میکند و بلافاصله پس از آن، اکسپلویت CVE-2025-59230 را اجرا کرده و سطح دسترسی خود را به SYSTEM (بالاترین سطح دسترسی) ارتقا میدهد. به این ترتیب، او عملاً به مدیر کل سیستم تبدیل میشود.
یک سناریوی فرضی برای درک زنجیره حمله
“یک خزانه بانک (سیستم) را تصور کنید که یک نگهبان اصلی (سرویس RasMan) و یک در کناری با قفل ضعیف (CVE-2025-59230) دارد که البته تقویت شده است. مهاجم نمیتواند قفل را در حضور نگهبان باز کند. این آسیبپذیری روز-صفر جدید مانند یک آژیر خطر است که مهاجم میتواند از راه دور آن را فعال کند و نگهبان را مجبور به ترک پست خود کند. با رفتن نگهبان، مهاجم اکنون میتواند با خیال راحت روی شکستن در تقویتشده تمرکز کند و عملاً پچ اولیه را دور بزند.”
راهکار مقابله موجود
در حالی که مایکروسافت هنوز پچ رسمی برای این باگ ارائه نکرده، شرکت 0patch یک میکروپچ رایگان برای آن منتشر کرده است. مایکروسافت نیز اعلام کرده که از این مشکل آگاه است و در آینده آن را برطرف خواهد کرد.
“بذار خلاصه بگم 👇”
یک باگ جدید و پچنشده در ویندوز پیدا شده که به هکرها اجازه میده یکی از سرویسهای مهم سیستم (RasMan) رو از کار بندازن. این کار بهشون کمک میکنه از یک آسیبپذیری قدیمیتر که مایکروسافت قبلاً پچ کرده بود، دوباره سوءاستفاده کنن و کنترل سیستم رو به دست بگیرن.
منابع این بخش:
۴. کلاهبرداری استخدامی گروه لازاروس: نگاهی به پشت صحنه عملیات APT کره شمالی
گسترش فرهنگ دورکاری، سطوح حمله جدیدی را برای سازمانها ایجاد کرده است. گروههای دولتی پیچیدهای مانند لازاروس (Lazarus Group) وابسته به کره شمالی، با مهارت بالایی از این فرصت از طریق کمپینهای مهندسی اجتماعی در پوشش آگهیهای شغلی قانونی، سوءاستفاده میکنند.
محققان امنیتی موفق شدند گروه APT کره شمالی، Lazarus Group (لا-زا-روس) را به صورت زنده حین عملیات شناسایی کنند. این مهاجمان در سیستمی که فکر میکردند متعلق به یک کارمند جدید است، فعالیت میکردند و به این ترتیب، متدولوژی نفوذ گامبهگام خود را فاش ساختند.
ابزارهای مورد استفاده
تاکتیک هوشمندانه این گروه، “زندگی با ابزارهای موجود” (Living off the Land) است. آنها به جای استفاده از بدافزارهای آشکار، از ابزارهای قانونی و روزمره برای حفظ کنترل خود استفاده میکنند. به طور مشخص، آنها با استفاده از اسکریپتهای PowerShell، نرمافزار Google Remote Desktop را نصب و پیکربندی کردند. این کار به آنها دسترسی دائمی و بیصدایی میداد که بسیاری از ابزارهای تشخیص امنیتی سنتی را دور میزند.
- Google Remote Desktop: آنها این ابزار را با استفاده از اسکریپتهای PowerShell نصب و با یک کد ورود دائمی پیکربندی میکنند تا دسترسی پایدار و بیصدا داشته باشند.
- Packet Puzzle: این گروه از ابزارهایی که در پلتفرمهایی مانند Hack The Box (مانند “Packet Puzzle”) یافت میشود، برای تست دسترسی و قابلیتهای خود استفاده میکنند تا فعالیتهایشان شبیه به یک تحلیلگر امنیتی به نظر برسد.
این رویکرد به دلیل بهرهبرداری از کاربران، ابزارها و فرآیندهای کاری کاملاً قانونی، به راحتی میتواند از مکانیزمهای تشخیص مرسوم عبور کند.
پس از نفوذ به سیستم، مهاجمان به طور سیستماتیک دستوراتی را برای بررسی نسخه ویندوز، بازبینی سطح دسترسی کاربر و تحلیل پروفایلهای مرورگر اجرا کردند. این شناسایی دقیق نشان میدهد که هدف آنها تخریب سریع نیست، بلکه جاسوسی بلندمدت یا کسب درآمد برای تأمین مالی دولت کره شمالی از طریق تصاحب کانالهای پرداخت حقوق است.
اهمیت این تهدید
این روش، دستگاههای کارمندان دورکار را به دروازهای برای نفوذ به شبکههای سازمانی تبدیل میکند و به مهاجمان اجازه میدهد تا کل جریان حقوق و دستمزد را برای تأمین مالی دولت کره شمالی تحت کنترل خود درآورند. این امر مرز بین جرایم سایبری و جاسوسی را کمرنگ میکند.
توصیههای کاربردی برای سازمانها
- تقویت فرآیندهای استخدامی: تیمهای منابع انسانی باید از مصاحبههای چندمرحلهای و ارزیابیهای فنی زنده برای تأیید هویت متقاضیان استفاده کنند.
- افزایش آگاهی امنیتی: کارمندان را آموزش دهید تا پیامهای استخدامی مشکوک، درخواستهای غیرمنتظره برای دسترسی دائمی به دستگاه و پیشنهادهای حقوقی غیرعادی بالا را شناسایی کنند.
- اعمال اصل حداقل دسترسی: این اصل را تقویت کنید که کارمندان تنها به سیستمهایی دسترسی داشته باشند که برای انجام وظایفشان ضروری است تا شعاع تخریب حمله محدود شود.
“بذار خلاصه بگم 👇”
یک گروه هکری وابسته به دولت کره شمالی، وانمود میکنند که نیروی کار دورکار هستند و در فرآیند استخدام شرکت میکنند. بعد از اینکه استخدام شدند، از ابزارهای عادی مثل Google Remote Desktop برای جاسوسی و سرقت اطلاعات از داخل شرکت استفاده میکنند.
منابع این بخش:
۵. دیپلماسی یا امنیت؟ توقف تحریمهای آمریکا علیه چین به دلیل حملات سایبری Salt Typhoon
این خبر در تقاطع پیچیده تجارت بینالملل، دیپلماسی و امنیت سایبری قرار میگیرد و این سؤال را مطرح میکند که آیا منافع اقتصادی بر پاسخگو کردن دولتها در قبال فعالیتهای سایبری مخرب اولویت یافته است یا خیر.
یافته اصلی گزارشها
گزارشها حاکی از آن است که دولت آمریکا برنامههای خود برای تحریم وزارت امنیت دولتی چین را به دلیل نقش آن در حملات Salt Typhoon (سالت-تایفون) که شرکتهای مخابراتی آمریکا را هدف قرار داده بود، لغو کرده است.
پیامدهای این تصمیم
به نقل از فایننشال تایمز، منتقدان ادعا میکنند که ایالات متحده در حال قربانی کردن امنیت سایبری به عنوان “شیرینی مذاکرات تجاری” است، به خصوص زمانی که این تصمیم در کنار اجازه صادرات تراشههای قدرتمند هوش مصنوعی H200 انویدیا به چین قرار میگیرد.
“تحریمها و کنترلهای صادراتی مرتبط با حوزه سایبری، در حال تبدیل شدن به بخشی از مذاکرات گستردهتر بر سر موضوعاتی چون فنتانیل، تراز تجاری و سیاستهای صنعتی هستند. این مسئله باعث میشود که ابزارهای سایبری به جای آنکه خط قرمزی برای رفتارهای قابل قبول در فضای آنلاین باشند، صرفاً به یک اهرم فشار دیگر در میز مذاکره تبدیل شوند.” – آنتوان هاردن، Sonatype (سوناتایپ).
گروه Salt Typhoon
این گروه APT در ابتدا با هدف سرقت دادههای حساس و ایجاد دسترسیهای مخفی به زیرساختهای حیاتی، حدود ۱۲ شرکت ارائهدهنده خدمات اینترنتی و مخابراتی در آمریکا را هدف قرار داد. اکنون تعداد قربانیان به بیش از ۲۰۰ شرکت در ۸۰ کشور افزایش یافته است.
استدلال مخالف
برخی کارشناسان معتقدند که تحریمهای موجود ابزار مؤثری برای بازدارندگی حملات دولتی نبوده و چین بدون توجه به تحریمها به کمپینهای جاسوسی سایبری تهاجمی خود ادامه خواهد داد.
“بذار خلاصه بگم 👇”
دولت آمریکا ظاهراً از تحریم چین به خاطر حملات سایبری گسترده گروه Salt Typhoon صرفنظر کرده تا مذاکرات تجاری رو خراب نکنه. این تصمیم باعث شده منتقدان بگن که امنیت سایبری داره فدای مسائل اقتصادی میشه.
منابع این بخش:
۶. بازگشت LockBit: پادشاه باجافزارها با ابزارهای جدید و خطرناکتر از همیشه
احتمالاً به یاد دارید که در اوایل سال جاری، گروه باجافزاری LockBit طی عملیات Cronos توسط نیروهای پلیس بینالمللی متلاشی شد. اما این گروه نه تنها از این ضربه جان سالم به در برده، بلکه با یک پلتفرم پیشرفتهتر و خطرناکتر بازگشته است.
LockBit 5.0 (لاک-بیت-۵) از خاکستر برمیخیزد: بازگشت گروه باجافزاری با قابلیتهای تخریب پنهانی
گروه باجافزاری LockBit (لاک-بیت) با نسخه جدیدی به نام LockBit 5.0 که در سپتامبر ۲۰۲۵ عرضه شد، دوباره ظهور کرده است. این نسخه جدید مبتنی بر .NET Core ساخته شده که آن را قادر میسازد بر روی پلتفرمهای مختلفی از جمله ویندوز، لینوکس و ESXi اجرا شود.
LockBit 5.0 دارای دو قابلیت فنی کلیدی است:
- حالت نامرئی (Invisible Mode): این باجافزار اکنون دارای حالتی است که فایلها را بدون تغییر پسوند یا ایجاد فایل باجگیری (Ransom Note) رمزگذاری میکند. این قابلیت صرفاً برای خرابکاری و تخریب پنهانی دادهها طراحی شده است.
- زندگی با ابزارهای موجود: این گروه از ابزارهای قانونی سیستمعامل مانند
defrag.exeبرای پوشاندن فرآیند رمزگذاری و گمراه کردن سیستمهای تشخیص رفتار مشکوک استفاده میکند.
این گروه همچنین به طور فعال از آسیبپذیریهای اخیر مانند نقص بحرانی در سرویس WSUS (CVE-2025–59287) و آسیبپذیریهای SharePoint (CVE-2025–49706) بهرهبرداری میکند. برای مثال، یکی از اعضای وابسته به این گروه میتواند با استفاده از آسیبپذیری WSUS، باجافزار را در قالب یک بهروزرسانی نرمافزاری جعلی، در سراسر شبکه یک سازمان منتشر کند.
نکته کاربردی
سیستمهای خود را برای آسیبپذیریهای اخیر، به خصوص WSUS و SharePoint، فوراً پچ کنید و قوانین SIEM را برای شناسایی استفاده مشکوک از ابزارهای سیستمی مانند defrag.exe تنظیم کنید.
“بذار خلاصه بگم 👇”
گروه باجافزاری معروف LockBit که پلیس قبلاً آن را از کار انداخته بود، با یک نسخه جدید و قویتر برگشته. این نسخه جدید میتواند فایلها را مخفیانه و بدون به جا گذاشتن ردپا تخریب کند و از ابزارهای خود ویندوز برای پنهان کردن فعالیتش استفاده میکند.
منابع این بخش:
جمعبندی
رویدادهای امروز تصویری واضح از یکپارچگی تهدیدات ارائه میدهند. از یک سو، آسیبپذیریهای بحرانی مانند React2Shell زیرساختهای اصلی وب را هدف قرار میدهند، و از سوی دیگر، مهندسی اجتماعی به سلاح اصلی برای نفوذ تبدیل شده است. چه در قالب آگهیهای شغلی فریبنده گروه لازاروس و چه در نتایج جستجوی آلوده برای توزیع بدافزار AMOS، مهاجمان در حال سوءاستفاده از اعتماد کاربران به پلتفرمهای قانونی هستند. این چشمانداز پیچیده، که با ملاحظات سیاسی جنگ سایبری نیز گره خورده است، نیازمند هوشیاری دائمی هم از سوی کاربران و هم سازمانها است.
“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec