آسیبپذیری React2Shell چیست و چه خطری دارد؟

React2Shell (CVE-2025-55182) یک آسیبپذیری با امتیاز ۱۰.۰ است که به مهاجمان اجازه میدهد بدون احراز هویت، کدهای مخرب را روی سرورهای React و Next.js اجرا کنند و گروههای دولتی فعالانه از آن برای نصب بکدور استفاده میکنند.

آسیبپذیریهای روز-صفر جدید اپل کدامند؟

اپل دو آسیبپذیری بحرانی در WebKit (CVE-2025-14174 و CVE-2025-43529) را وصله کرده است که به مهاجمان اجازه میداد با بازدید کاربر از یک وبسایت مخرب، کد دلخواه را روی دستگاههای iOS و macOS اجرا کنند.

تکنیک ConsentFix چگونه عمل میکند؟

این یک روش فیشینگ جدید است که در آن مهاجمان کاربر را فریب میدهند تا پس از ورود قانونی به حساب مایکروسافت، URL حاوی کد مجوز OAuth را کپی کرده و در یک سایت جعلی وارد کنند، که منجر به سرقت دسترسی حساب ابری میشود.

ویژگیهای جدید باجافزار LockBit 5.0 چیست؟

نسخه جدید LockBit 5.0 علاوه بر ویندوز، اکنون لینوکس و VMware ESXi را نیز هدف قرار میدهد تا بتواند کل زیرساخت مجازیسازی سازمانها را رمزگذاری و فلج کند.

امنیت سایبری، React2Shell، اپل و LockBit 5.0

🕒 زمان مطالعه: حدود ۳۱ دقیقه

چشم‌انداز تهدیدات امروز ترکیبی از سرعت و پیچیدگی است. از یک سو، بهره‌برداری گسترده از آسیب‌پذیری‌های بحرانی در ابزارهای بنیادی وب، سازمان‌ها را در معرض خطر فوری قرار داده است و از سوی دیگر، افشاگری‌های جدید در مورد عملیات سایبری دولت-ملت‌ها، مرزهای بین جاسوسی دیجیتال و جنگ اطلاعاتی را بیش از پیش محو می‌کند. این گزارش به بررسی عمیق این روندهای کلیدی می‌پردازد، از حملات فنی گسترده گرفته تا عملیات‌های پنهانی که با دقت و حوصله مدیریت می‌شوند.

آنچه در این مطلب می‌خوانید

۱. آسیب‌پذیری بحرانی React2Shell: بهره‌برداری گسترده برای نصب بک‌دورهای لینوکس (CVE-2025-55182)

وقتی یک آسیب‌پذیری امتیاز CVSS کامل یعنی 10.0 را دریافت می‌کند، به این معناست که ما با یک تهدید فاجعه‌بار روبرو هستیم. مؤلفه‌های سرور React (React Server Components) یک فناوری کلیدی در توسعه وب مدرن هستند، اما یک نقص در این لایه، به مثابه ترک در فونداسیون یک آسمان‌خراش است. این از آن آسیب‌پذیری‌هاست که خواب را از چشم مدیران ارشد امنیت (CISO) می‌گیرد، چون یک مؤلفه فراگیر و معتبر در توسعه وب را به یک درِ باز برای مهاجمان تبدیل می‌کند.

آسیب‌پذیری CVE-2025-55182، که با نام React2Shell شناخته می‌شود، به طور فعال توسط طیف گسترده‌ای از مهاجمان، از گروه‌های تحت حمایت دولت‌ها گرفته تا مجرمان سایبری، مورد بهره‌برداری قرار گرفته است. زنجیره حمله معمولاً با بهره‌برداری از این آسیب‌پذیری برای دسترسی اولیه آغاز می‌شود و به سرعت به فعالیت‌های پس از نفوذ منجر می‌شود. گروه‌های تهدید شناسایی‌شده عبارتند از: UNC6600، UNC6586، UNC6588، UNC6603 و UNC6595. این گروه‌ها از این آسیب‌پذیری برای نصب طیف گسترده‌ای از بدافزارها و بک‌دُرها استفاده کرده‌اند، از جمله: KSwapDoor (کِی-سواپ-دُر)، ZnDoor، MINOCAT، SNOWLIGHT، COMPOOD، HISONIC، ANGRYREBEL (که با نام Noodle RAT نیز شناخته می‌شود)، VShell، EtherRAT، ShadowPad (شَدو-پَد) (همان بدافزار مورد استفاده گروه Ink Dragon) و حتی ابزار استخراج ارز دیجیتال XMRig.

مایکروسافت جزئیات تکنیک‌های پس از نفوذ مهاجمان را تشریح کرده است که شامل برقراری شل معکوس (reverse shells) به سرورهای Cobalt Strike، استفاده از ابزارهای مدیریت از راه دور مانند MeshAgent و دستکاری فایل authorized_keys برای حفظ دسترسی پایدار می‌شود.

یکی از خطرناک‌ترین بدافزارهای مشاهده شده در این حملات، بک‌دور KSwapDoor (کِی-سواپ-دور) است. طبق تحلیل‌های Unit 42، این بدافزار با ویژگی‌های پنهان‌کاری پیشرفته‌ای طراحی شده است. KSwapDoor از یک شبکه مش همتا-به-همتا (peer-to-peer) برای ارتباط استفاده می‌کند که ردیابی آن را دشوار می‌سازد و دارای یک “حالت خواب” است که به مهاجم اجازه می‌دهد بدافزار را با یک سیگنال مخفی و نامرئی فعال کند. گوگل نیز تأیید کرده که حداقل پنج گروه مرتبط با چین، از جمله UNC6600 (یو-اِن-سی-۶۶۰۰)، از این نقص برای نفوذ به اهداف خود استفاده کرده‌اند.

برای مثال، شرکتی را تصور کنید که یک اپلیکیشن عمومی مبتنی بر Next.js را اجرا می‌کند. یک مهاجم با ارسال یک درخواست دستکاری‌شده، از آسیب‌پذیری CVE-2025-55182 بهره‌برداری کرده و یک reverse shell به سرور Cobalt Strike خود برقرار می‌کند. پس از نفوذ، مهاجم بک‌دور KSwapDoor را نصب می‌کند. این بدافزار خود را به عنوان یک فرآیند قانونی هسته لینوکس جا می‌زند تا شناسایی نشود و در پس‌زمینه، به آرامی داده‌های حساس شرکت را به سرور مهاجم منتقل می‌کند.

توصیه کارشناسی

فوراً تمام برنامه‌هایی که از React Server Components استفاده می‌کنند را به نسخه‌های وصله‌شده به‌روزرسانی کنید و شبکه‌های خود را برای علائم پس از نفوذ، مانند اتصالات شبکه غیرمنتظره یا وجود ابزارهای نظارت از راه دور مانند MeshAgent (مِش-اِیجِنت)، به دقت پایش کنید.

بذار خلاصه بگم 👇
یه باگ خیلی خطرناک توی یکی از ابزارهای محبوب وب پیدا شده که هکرها دارن ازش برای نصب بک‌دور روی سرورهای لینوکس و سرقت اطلاعات استفاده می‌کنن. آپدیت کردن فوری، مسئله مرگ و زندگیه.

منابع این بخش:

۲. آسیب‌پذیری‌های روز-صفر WebKit اپل: حمله هدفمند به تمام دستگاه‌های اپل (CVE-2025-14174)

برای یک مهاجم، بهره‌برداری از موتور مرورگر ارزش استراتژیک فوق‌العاده‌ای دارد. از آنجایی که اپل استفاده از موتور WebKit را برای تمام مرورگرها در iOS و iPadOS اجباری کرده است در نتیجه کاربران نمی‌توانند با تغییر مرورگر خود این خطر را کاهش دهند، کشف یک آسیب‌پذیری قابل بهره‌برداری در آن، به مهاجمان یک کلید جهانی برای ورود به اکوسیستم عظیمی از کاربران می‌دهد. اپل به تازگی وصله‌های امنیتی اضطراری برای دو آسیب‌پذیری روز-صفر (Zero-day) در WebKit با شناسه‌های CVE-2025-14174 و CVE-2025-43529 منتشر کرده و تأیید نموده که هر دو به طور فعال در حملات هدفمند مورد سوءاستفاده قرار گرفته‌اند.

آسیب‌پذیری CVE-2025-14174 یک نقص خرابی حافظه (memory corruption) با امتیاز CVSS 8.8 است و CVE-2025-43529 یک آسیب‌پذیری استفاده پس از آزادسازی (use-after-free) می‌باشد. بهره‌برداری از این نقص‌ها نیازی به تعامل کاربر جز بازدید از یک صفحه وب مخرب ندارد و بر روی مرورگر سافاری و تمام مرورگرهای دیگر در iOS و iPadOS تأثیر می‌گذارد. با این دو مورد، تعداد کل آسیب‌پذیری‌های روز-صفری که اپل در سال ۲۰۲۵ وصله کرده به ۹ مورد رسیده است که نشان‌دهنده سرمایه‌گذاری سنگین مهاجمان بر روی این بخش از دستگاه‌هاست.

به عنوان یک مثال، یک روزنامه‌نگار برجسته را در نظر بگیرید که لینکی به یک مقاله خبری ظاهراً معتبر دریافت می‌کند. به محض کلیک روی لینک در آیفون خود، صفحه وب مخرب به صورت پنهانی از آسیب‌پذیری CVE-2025-14174 برای تخریب حافظه در مرورگر استفاده می‌کند. این کار به مهاجم اجازه می‌دهد تا کد دلخواه اجرا کرده، از سندباکس مرورگر خارج شود و یک جاسوس‌افزار برای نظارت بر ارتباطات روزنامه‌نگار نصب کند.

توصیه کارشناس

تمام کاربران دستگاه‌های اپل (آیفون، آیپد، مک) باید فوراً سیستم‌عامل و مرورگرهای خود را ‌بروزرسانی کنند. سازمان‌ها باید از راه‌حل‌های مدیریت دستگاه‌های موبایل (MDM) برای اجبار این ‌بروزرسانی‌ها و جلوگیری از به تعویق انداختن وصله‌ها استفاده کنند.

بذار خلاصه بگم 👇
دو تا حفره امنیتی جدید و خطرناک توی موتور مرورگر تمام دستگاه‌های اپل پیدا شده که هکرها دارن ازشون سوءاستفاده می‌کنن. فقط با باز کردن یه سایت آلوده، دستگاهتون هک می‌شه. همین الان آپدیت کنید.

منابع این بخش:

SOC Prime

۳. گروه Ink Dragon: تبدیل قربانیان به بخشی از زیرساخت حمله

مفهوم “پایداری پس از نفوذ” (post-exploitation persistence) یکی از اهداف اصلی گروه‌های تهدید پیشرفته است. این گروه‌ها دیگر تنها به سرقت داده‌ها راضی نیستند؛ هدف نهایی آن‌ها تبدیل سیستم‌های آلوده به زیرساختی دائمی و پنهان برای پشتیبانی از حملات آینده است.
بر اساس گزارش‌های Check Point Research، گروه APT موسوم به Ink Dragon (اینک-دِرَگِن) به طور سیستماتیک در حال تبدیل سازمان‌های هک‌شده به یک شبکه رله توزیع‌شده برای بدافزار معروف خود، ShadowPad (شَدو-پَد)، است.

تحلیل فرایند

مولفه اصلی این استراتژی، ماژول شنود ShadowPad برای IIS است. این ماژول به طور کاملاً پنهانی ترافیک وب را روی یک سرور آلوده رهگیری می‌کند، بدون اینکه خدمات قانونی سرور را مختل کند. به این ترتیب، سرور قربانی به یک گره فرمان و کنترل (C2) برای مهاجمان تبدیل می‌شود.

مجموعه ابزار Ink Dragon شامل اجزای تخصصی دیگری نیز می‌شود:

**CDBLoader**: از دیباگر مایکروسافت (cdb.exe) برای اجرای بدافزارها به صورت مستقیم در حافظه استفاده می‌کند.
**LalsDumper**: ابزاری سفارشی که با ثبت یک DLL مخرب در فرآیند lsass.exe، اطلاعات اعتباری کاربران را استخراج می‌کند.
**FinalDraft**: یک تروجان با دسترسی از راه دور (RAT) ماژولار که از API مایکروسافت گراف برای ارتباط C2 استفاده کرده و امکان جاسوسی بلندمدت را فراهم می‌کند.

تحلیل کارشناسی

مزیت استراتژیک این رویکرد “زندگی با امکانات قربانی” (living off the victim) چیست؟
با ساختن یک شبکه مش از سرورهای آلوده، Ink Dragon ردیابی ترافیک فرمان و کنترل خود را فوق‌العاده دشوار می‌کند. دستورات بین قربانیان مختلف رله می‌شوند و این امر باعث پنهان ماندن منبع اصلی حمله می‌شود.

به عنوان مثال، گروه Ink Dragon یک سرور IIS عمومی متعلق به یک دانشگاه را هک می‌کند و ماژول شنونده ShadowPad را روی آن نصب می‌کند. هفته‌ها بعد، این گروه به یک سازمان دولتی حمله می‌کند و ترافیک فرماندهی و کنترل خود را از طریق سرور دانشگاه مسیریابی می‌کند. برای ابزارهای امنیتی سازمان دولتی، ترافیک مخرب به نظر می‌رسد که از یک دانشگاه معتبر می‌آید، که این امر مکان و نیت واقعی مهاجمان را به طور کامل پنهان می‌کند.

بذار خلاصه بگم 👇
یه گروه هکری پیشرفته به اسم Ink Dragon، سرورهایی که هک می‌کنه رو به حال خودشون رها نمی‌کنه. با ابزارهای خاص، اون‌ها رو تبدیل به بخشی از شبکه حمله خودش می‌کنه تا حملات بعدیش رو از طریق اون‌ها انجام بده و ردپای خودش رو پنهان کنه.

منابع این بخش:

۴. باج‌افزار LockBit 5.0: ظهور نمونه‌های جدید برای ویندوز، لینوکس و ESXi

گروه‌های بزرگ باج‌افزار به عنوان سرویس (RaaS) مانند LockBit، تکاملی شبیه به کسب‌وکارها را تجربه می‌کنند. گسترش فعالیت آن‌ها به سیستم‌عامل‌های مختلف مانند لینوکس و ESXi نشان‌دهنده یک حرکت استراتژیک برای فلج کردن کل زیرساخت‌های سازمانی است، نه فقط ایستگاه‌های کاری منفرد. این رویکرد به آن‌ها اجازه می‌دهد تا با یک حمله، حداکثر آسیب را وارد کنند.

بر اساس تحلیل تیم OSINT، نمونه‌های جدیدی از رمزگذار LockBit 5.0 (لاک-بیت-۵) در سطح اینترنت شناسایی شده‌اند که نشان از بازگشت قدرتمند این گروه دارد.

تحلیل دقیق

یک نمونه ویندوزی با هش MD5 95daa771a28eaed76eb01e1e8f403f7c پیدا شده که در یادداشت باج‌خواهی آن به صراحت ذکر شده است: “شما توسط LockBit 5.0 مورد حمله قرار گرفته‌اید…”.
اما مهم‌ترین پیشرفت، کشف نمونه‌هایی است که لینوکس (با هش MD5 ca93d47bcc55e2e1bd4a679afc8e2e25) و VMware ESXi (با هش MD5 a1539b21e5d6849a3e0cf87a4dc70335) را هدف قرار می‌دهند.
امضاهای شناسایی از Kaspersky TIP مانند "HEUR:Trojan-Ransom.Win32.Lockbit.pef" و قوانین YARA مانند "win_ransom_Lockbit5" نیز وجود این نسخه جدید را تأیید می‌کنند.

یک مدیر IT در یک بیمارستان را تصور کنید که متوجه می‌شود چندین سرور اصلی از دسترس خارج شده‌اند. تحقیقات نشان می‌دهد که یک مهاجم به سرور VMware vCenter آن‌ها دسترسی پیدا کرده است. مهاجم با استفاده از نسخه جدید LockBit 5.0 سازگار با ESXi، ده‌ها ماشین مجازی را به طور همزمان رمزگذاری کرده است، از جمله سیستم‌های پرونده بیماران و نرم‌افزارهای زمان‌بندی، و عملاً عملیات بیمارستان را متوقف کرده است.

بذار خلاصه بگم 👇
نسخه جدید باج‌افزار معروف LockBit از راه رسیده و این‌بار فقط سراغ ویندوز نمی‌ره. نسخه‌هایی برای لینوکس و سرورهای مجازی ESXi هم ساخته تا بتونه کل زیرساخت یک شرکت رو با هم قفل کنه.

منابع این بخش:

Threat Intelligence on Medium

۵. تکنیک حمله جدید “ConsentFix”: سرقت دسترسی به حساب‌های ابری با فیشینگ OAuth

پروتکل OAuth و مکانیزم‌های اعطای رضایت (Consent Grants) برای فراهم کردن دسترسی امن و تفویض‌شده به اپلیکیشن‌ها طراحی شده‌اند. با این حال، مهاجمان می‌توانند با استفاده از مهندسی اجتماعی هوشمندانه، این مکانیزم‌های امن را علیه کاربران به کار گیرند. برخلاف سرقت رمز عبور، ربودن یک توکن OAuth می‌تواند به مهاجم دسترسی دائمی و مجاز به سرویس‌های ابری کاربر را بدهد، بدون اینکه هرگز به رمز عبور او نیاز داشته باشد. این مانند دزدیدن کلید اصلی یک ساختمان است، نه فقط کلید یک اتاق. بر اساس گزارش امنیتی Arctic Wolf، یک تکنیک فیشینگ جدید به نام ConsentFix (کانسِنت-فیکس) برای ربودن این مجوزها مورد استفاده قرار می‌گیرد.

تحلیل حمله

جریان حمله گام به گام به این صورت است:
1. قربانی به یک صفحه فیشینگ هدفمند (مثلاً با ظاهری شبیه به صفحه تأیید Cloudflare) هدایت می‌شود که فقط برای آدرس ایمیل خاص او کار می‌کند.
2. با کلیک روی دکمه “Sign In”، یک تب جدید با آدرس URL واقعی و قانونی مایکروسافت باز می‌شود.
3. پس از اینکه کاربر در صفحه مایکروسافت احراز هویت می‌کند، مرورگر به یک آدرس localhost هدایت می‌شود که حاوی کد مجوز حساس OAuth است.
4. صفحه فیشینگ اصلی به قربانی دستور می‌دهد که کل این آدرس localhost را کپی کرده و در فرم صفحه فیشینگ پیست کند.
5. مهاجم این کد را دریافت کرده و آن را با توکن‌های دسترسی به فضای ابری کاربر مبادله می‌کند.

برای مثال، کارمندی در بخش مالی ایمیلی هدفمند در مورد “تأیید یک فاکتور” دریافت می‌کند. لینک او را به صفحه‌ای می‌برد که شبیه یک پورتال امن است. پس از وارد کردن ایمیل، به صفحه واقعی ورود به حساب مایکروسافت هدایت می‌شود. پس از احراز هویت، صفحه به یک URL طولانی هدایت می‌شود و در صفحه فیشینگ اصلی پیامی نمایش داده می‌شود که می‌گوید: “برای امنیت، لطفاً URL کامل را از تب جدید کپی کرده و برای تکمیل تأیید در اینجا وارد کنید.” کارمند این کار را انجام می‌دهد و ناآگاهانه یک توکن معتبر برای دسترسی به کل حساب Microsoft 365 خود را به مهاجم تحویل می‌دهد.

تحلیل کارشناسی

این حمله به این دلیل بسیار مؤثر است که از اعتماد کاربر به صفحه ورود قانونی مایکروسافت سوءاستفاده می‌کند. اقدام مخرب – یعنی پیست کردن یک URL – برای یک کاربر آموزش‌ندیده، بی‌خطر به نظر می‌رسد، به خصوص که او به تازگی یک فرآیند احراز هویت معتبر را به پایان رسانده است.

توصیه کارشناسی

هرگز URLهای احراز هویت، کدها یا هر لینکی را از فرآیند ورود یک سرویس قانونی کپی و در وب‌سایت دیگری وارد نکنید. فرآیندهای احراز هویت قانونی هرگز از شما نمی‌خواهند که URLها را به صورت دستی بین تب‌ها منتقل کنید.

بذار خلاصه بگم 👇
هکرها روش جدیدی پیدا کردن که شما رو گول می‌زنن تا بعد از اینکه وارد حساب مایکروسافت خودتون شدید، یک آدرس طولانی رو کپی کرده و در سایت فیشینگ وارد کنید. با این کار، کلید ورود به حساب ابری‌تون رو دودستی تقدیم هکر می‌کنید.

منابع این بخش:

۶. هوش مصنوعی در بدافزار: واقعیت یا هیاهوی تبلیغاتی؟

هیاهوی شدیدی پیرامون هوش مصنوعی در تمام زمینه‌ها، از جمله امنیت سایبری، وجود دارد. درحالی‌که ایده “بدافزار مجهز به هوش مصنوعی” برای بازاریابی جذاب است، برای متخصصان امنیت ضروری است که بین پیشرفت‌های عملی در حملات و احتمالات نظری تفاوت قائل شوند. یافته‌های اخیر دو روی سکه را به خوبی نشان می‌دهند: درحالی‌که باج‌افزار آزمایشی مجهز به هوش مصنوعی مانند PromptLock (پرامپت-لاک) توسط ESET کشف شده است، بسیاری از کارشناسان معتقدند که قرار دادن مدل‌های زبان بزرگ (LLMs) به طور مستقیم در بدافزارها در حال حاضر برای حملات واقعی غیرعملی است.

از یک سو، بدافزار PromptLock که توسط ESET کشف شده، اثبات می‌کند که مفهوم امکان‌پذیر است. این بدافزار از یک ماژول مبتنی بر Go تشکیل شده که با یک سرور دارای مدل OpenAI از طریق Ollama API ارتباط برقرار می‌کند تا اسکریپت‌های مخرب Lua را برای رمزگذاری و سرقت داده‌ها به صورت آنی و دینامیک تولید کند. از سوی دیگر، تحلیلگرانی مانند Oliver Rochford استدلال می‌کنند که قرار دادن LLM در بدافزار یک “ابداع بازاریابی” است. دلایل این امر واضح است: این کار مشکلات اصلی مهاجمان (دسترسی اولیه و پنهان‌کاری) را حل نمی‌کند، قابلیت شناسایی را افزایش می‌دهد (به دلیل فراخوانی‌های API و مصرف بالای منابع) و با نیاز به بدافزارهای قطعی و قابل اعتماد در تضاد است. مهاجمان از هوش مصنوعی در مراحل قبل از حمله برای کارهایی مانند نوشتن ایمیل‌های فیشینگ یا تحقیق در مورد آسیب‌پذیری‌ها استفاده می‌کنند، نه درون خود بدافزار.

برای درک تفاوت، این دو سناریو را مقایسه کنید.

سناریوی الف (PromptLock)

یک مهاجم PromptLock را اجرا می‌کند. بدافزار به یک مدل هوش مصنوعی متصل می‌شود تا یک اسکریپت رمزگذاری سفارشی برای انواع فایل‌های خاص قربانی ایجاد کند.

###### تحلیل PromptLock
ساختار PromptLock از دو بخش تشکیل شده است: یک ماژول اصلی استاتیک که به زبان Go نوشته شده و با مدل هوش مصنوعی ارتباط برقرار می‌کند و اسکریپت‌های Lua که به صورت دینامیک تولید می‌شوند و اقدامات مخرب (رمزگذاری، سرقت اطلاعات و تخریب) را انجام می‌دهند.
جریان حمله به این صورت است که ماژول اصلی، پرامپت‌های از پیش آماده‌شده را به مدل AI ارسال می‌کند. سپس مدل AI کدهای مخرب را برمی‌گرداند و این کدها روی دستگاه قربانی اجرا می‌شوند. مهاجمان با طراحی پرامپت‌هایی که شبیه درخواست‌های محققان امنیت سایبری به نظر می‌رسند، محدودیت‌ها و محافظ‌های ایمنی مدل‌های هوش مصنوعی را دور می‌زنند.

یک مثال برای درک بهتر

سناریوی عادی: یک آشپز حرفه‌ای را تصور کنید که یک کتاب آشپزی ثابت با ۱۰ دستور غذا دارد. او فقط می‌تواند غذاهایی را بپزد که در کتابش نوشته شده است.
روش حمله: PromptLock مانند آشپزی است که به جای کتاب، یک خط تلفن مستقیم به گوردون رمزی (مدل هوش مصنوعی) دارد. او به جای یک دستور پخت ثابت، فقط وضعیت را توصیف می‌کند (“من مرغ، لیمو و یک مشعل دارم”) و هوش مصنوعی در لحظه یک دستور پخت جدید و سفارشی ابداع می‌کند.
نتیجه فاجعه‌بار: نتیجه، یک غذا (یک حمله) است که کاملاً متناسب با محیط قربانی طراحی شده و آن را در مقایسه با دستورهای پخت شناخته‌شده یک کتاب، بسیار غیرقابل پیش‌بینی و دفاع در برابر آن را دشوارتر می‌کند.

سناریوی ب (AI پیش از حمله)

یک مهاجم از یک LLM برای ایجاد یک ایمیل فیشینگ بسیار متقاعدکننده و شخصی‌سازی شده برای یک مدیرعامل استفاده می‌کند. هوش مصنوعی علایق مدیرعامل و سبک ارتباطی شرکت را تحلیل کرده و ایمیلی می‌نویسد که با موفقیت او را فریب می‌دهد تا روی لینکی کلیک کند که یک بدافزار ساده و قابل اعتماد را اجرا می‌کند. در حال حاضر، سناریوی ب بسیار رایج‌تر و مؤثرتر است.

بذار خلاصه بگم 👇
با اینکه بدافزارهای آزمایشی که از هوش مصنوعی استفاده می‌کنن پیدا شده، اکثر متخصصان معتقدن که گذاشتن هوش مصنوعی داخل خود بدافزار هنوز غیرعملی و پر سر و صداست. هکرها فعلا ترجیح می‌دن از هوش مصنوعی برای نوشتن ایمیل‌های فیشینگ بهتر استفاده کنن، نه برای ساختن ویروس‌های خودکار.

منابع این بخش:

۷. عملیات PCPcat: سرقت گسترده اطلاعات از ۵۹ هزار سرور Next.js

این بخش صرفاً یک گزارش آسیب‌پذیری دیگر نیست، بلکه یک تحلیل عمیق از یک کمپین فعال و در مقیاس صنعتی برای برداشت اطلاعات محرمانه است که ریسک فوری برای زیرساخت‌های مدرن وب ایجاد کرده است.

یافته‌ها و تحلیل

ماریو کاندلا، محقق امنیتی، در گزارشی در ITNEXT جزئیات کمپین PCPcat (پی-سی-پی-کَت) را فاش کرده است. این کمپین با بهره‌برداری از آسیب‌پذیری‌های موجود در اپلیکیشن‌های مبتنی بر Next.js/React، امکان اجرای کد از راه دور (Remote Code Execution) را برای مهاجمان فراهم می‌کند. مقیاس این عملیات تکان‌دهنده است:

“از طریق شناسایی مستقیم سرور کنترل و فرمان (C2) فعال، تأیید کردیم که این کمپین در کمتر از ۴۸ ساعت، ۵۹,۱۲۸ سرور را با موفقیت ۶۴.۶ درصدی آلوده کرده است.”

تحلیل عمق خطر: چرا PCPcat یک تهدید استراتژیک است؟

این کمپین فقط به دنبال از کار انداختن وب‌سایت‌ها نیست؛ هدف آن سرقت «کلیدهای پادشاهی» (keys to the kingdom) زیرساخت دیجیتال سازمان‌هاست. این حمله به معنای یک نفوذ استراتژیک است که به مهاجمان امکان دسترسی کامل به دارایی‌های حیاتی یک شرکت را می‌دهد. مهاجمان در یک فرآیند سه‌مرحله‌ای عمل می‌کنند:

شناسایی و بهره‌برداری: با استفاده از آسیب‌پذیری‌های CVE-2025–29927 و CVE-2025–66478، به اجرای کد از راه دور بر روی سرور دست پیدا می‌کنند.
استخراج داده: به طور سیستماتیک به دنبال فایل‌های حساس مانند فایل‌های .env (که حاوی کلیدهای API و اطلاعات پایگاه داده است)، کلیدهای SSH، و گواهی‌نامه‌های سرویس‌های ابری (اطلاعات دسترسی به سرویس‌های ابری مانند ~/.aws/credentials و ~/.docker/config.json) می‌گردند و آن‌ها را سرقت می‌کنند.
ایجاد پایداری: مکانیسم پایداری این بدافزار شامل دانلود فایلی به نام proxy.sh است که ابزارهای GOST (یک پراکسی SOCKS5) و FRP (پراکسی معکوس سریع) را برای حفظ دسترسی بلندمدت نصب می‌کند.

زیرساخت فرمان و کنترل (C2) این گروه شامل آدرس‌های IP و پورت‌های مشخصی است: 67.217.57.240:666 برای توزیع بدافزار، 67.217.57.240:888 برای تونل معکوس و 67.217.57.240:5656 به عنوان API اصلی C2.
اهمیت فاش شدن اندپوینت /stats در سرور C2 مهاجمان بسیار زیاد است. این اشتباه فاحش در امنیت عملیاتی (OPSEC) از سوی مهاجمان، به مدافعان یک دید کامل و آنی از مقیاس و موفقیت این کمپین داده است که یک پیروزی اطلاعاتی نادر محسوب می‌شود.

سناریوی فرضی حمله

یک استارتاپ کوچک را تصور کنید که وب‌سایت خود را با Next.js ساخته است. یک مهاجم با استفاده از روش PCPcat، سرور آسیب‌پذیر آن‌ها را هک می‌کند. مهاجم فایل .env را پیدا کرده و کلیدهای دسترسی AWS شرکت را می‌دزدد. سپس با استفاده از این کلیدها، به پایگاه داده مشتریان دسترسی پیدا کرده، اطلاعات حساس را کپی می‌کند و همزمان چندین سرور مجازی برای استخراج رمزارز راه‌اندازی می‌کند. در نهایت، این استارتاپ هم با یک نشت اطلاعاتی بزرگ و هم با یک قبض چند هزار دلاری از سوی AWS مواجه می‌شود.

توصیه‌های عملی برای مقابله

به‌روزرسانی فوری: نصب‌های Next.js خود را فوراً به‌روزرسانی کنید تا در برابر آسیب‌پذیری‌های CVE-2025–29927 و CVE-2025–66478 محافظت شوید.
مسدودسازی شبکه: تمام ترافیک ورودی و خروجی به آدرس IP سرور C2 مهاجمان را مسدود کنید: 67.217.57.240.
اسکن سیستم: سیستم‌های خود را برای یافتن فایل‌ها و فرآیندهای مشکوک مرتبط با این حمله اسکن کنید. دنبال فایل‌هایی در مسیرهای /opt/pcpcat/ یا ~/.local/pcpcat/ و سرویس‌های systemd با نام‌های pcpcat-gost.service و pcpcat-frp.service بگردید.
چرخش گواهی‌نامه‌ها: اگر احتمال هک شدن وجود دارد، فوراً تمام گواهی‌نامه‌ها، از جمله کلیدهای SSH، کلیدهای API و رمزهای عبور سرویس‌های ابری را تغییر دهید.

“بذار خلاصه بگم 👇”
یک گروه هکری به اسم PCPcat داره با استفاده از دو تا باگ جدید توی Next.js به سرورها حمله می‌کنه، فایل‌های حساس مثل کلیدهای AWS و SSH رو می‌دزده و تا الان نزدیک ۶۰ هزار سرور رو هک کرده.

منابع این بخش:

Medium

۸. دامنه‌های پارک‌شده: تله‌های جدید اینترنت برای بدافزار و کلاهبرداری

گوشه‌ای از اینترنت که زمانی بی‌خطر به نظر می‌رسید—دامنه‌های پارک‌شده یا آن‌هایی که با غلط املایی تایپ می‌شوند—از یک مزاحمت جزئی به یکی از بردارهای اصلی تهدید برای کاربران عادی تبدیل شده است. دیگر اشتباه تایپی در آدرس یک وب‌سایت، شما را به یک صفحه تبلیغاتی ساده نمی‌برد؛ بلکه ممکن است مستقیم شما را به دام بدافزارها و کلاهبرداران بیندازد.

“دامنه پارک‌شده” به دامنه‌های منقضی‌شده، دامنه‌های غیرفعال یا اشتباهات تایپی رایج وب‌سایت‌های محبوب اطلاق می‌شود. مدل کسب درآمد به این صورت است که شرکت پارک‌کننده دامنه، “کلیک” یا ترافیک را به تبلیغ‌کنندگان می‌فروشد، که آن‌ها نیز اغلب دوباره آن را می‌فروشند و کاربر را در زنجیره‌ای قرار می‌دهند که غالباً به یک مقصد مخرب ختم می‌شود.

یافته‌ها و تحلیل

شرکت امنیتی Infoblox در گزارشی که توسط Krebs on Security منتشر شده، نشان می‌دهد که وضعیت نسبت به یک دهه قبل کاملاً معکوس شده است. در گذشته، دامنه‌های پارک‌شده عمدتاً بی‌خطر بودند، اما امروز به ابزاری برای جرایم سایبری تبدیل شده‌اند.

“در آزمایش‌های گسترده، ما دریافتیم که در بیش از ۹۰ درصد موارد، بازدیدکنندگان یک دامنه پارک‌شده به محتوای غیرقانونی، کلاهبرداری، نرم‌افزارهای ترس‌افزار (scareware)، اشتراک‌های آنتی‌ویروس جعلی یا بدافزار هدایت می‌شوند.”

چرا این موضوع اهمیت دارد؟

مهاجمان از تکنیکی به نام “typosquatting” (اشتباه‌نویسی) استفاده می‌کنند. آن‌ها بازدیدکنندگان را بر اساس آدرس IP (خانگی یا VPN)، مشخصات دستگاه و کوکی‌ها پروفایل‌بندی می‌کنند تا تصمیم بگیرند که یک صفحه بی‌خطر نمایش دهند یا کاربر را به یک مقصد مخرب هدایت کنند. این فرآیند تنها یک تغییر مسیر ساده نیست؛ ترافیک کاربر در یک زنجیره از شبکه‌های تبلیغاتی فروخته و بازفروخته می‌شود و در هر مرحله، دستگاه کاربر مجدداً پروفایل‌بندی می‌شود تا در نهایت به سودآورترین مقصد مخرب (یا یک صفحه بی‌خطر به عنوان طعمه) هدایت شود. عامل مؤثری که در این گزارش شناسایی شده، تغییر سیاست Google Adsense در سال ۲۰۲۵ است که تبلیغ‌کنندگان را ملزم به انتخاب فعال برای نمایش تبلیغات در دامنه‌های پارک‌شده کرد (نمایش تبلیغات در دامنه‌های پارک‌شده را محدود کرد). این امر صاحبان دامنه‌ها را به سمت طرح‌های کسب درآمد تهاجمی‌تر و مستعد سوءاستفاده مانند “جستجوی مستقیم” سوق داد.

یک مثال واقعی

برای درک بهتر خطر، این سناریو را در نظر بگیرید: یکی از محققان این گزارش قصد داشت از وب‌سایت مرکز شکایات جرایم اینترنتی FBI به آدرس ic3.gov بازدید کند. او به اشتباه آدرس ic3.org را تایپ کرد و بلافاصله تلفن همراهش به یک صفحه کلاهبرداری با عنوان «اشتراک درایو شما منقضی شده است» هدایت شد. این یک مثال واضح از این است که چگونه یک اشتباه کوچک می‌تواند به یک تهدید امنیتی بزرگ منجر شود. مثال‌های دیگر شامل دامنه‌هایی مانند scotaibank[.]com است که مشتریان بانک Scotiabank را هدف قرار می‌دهد.

توصیه‌های عملی برای کاربران

از بوکمارک‌ها استفاده کنید: برای وب‌سایت‌های مهم و پربازدید (مانند سایت‌های بانکی)، به جای تایپ کردن آدرس در هر بار مراجعه، از بوکمارک‌های مرورگر خود استفاده کنید.
از VPN معتبر استفاده کنید: از آنجایی که این حملات اغلب آدرس‌های IP مسکونی را هدف قرار می‌دهند، استفاده از یک VPN می‌تواند به محافظت از شما کمک کند.
از مدیر رمز عبور استفاده کنید (Password Managers): این ابزارها URL صحیح وب‌سایت را ذخیره می‌کنند و مانع از وارد کردن اطلاعات ورود شما در یک سایت جعلی می‌شوند.
افزونه‌های امنیتی نصب کنید: از افزونه‌های مسدودکننده اسکریپت (مانند NoScript) یا مسدودکننده‌های تبلیغات و بدافزار استفاده کنید تا از اجرای کدهای مخرب در صفحات تغییر مسیر جلوگیری کنند.
قبل از وارد کردن هرگونه اطلاعات، آدرس دامنه را دوباره چک کنید.

“بذار خلاصه بگم 👇”
مراقب اشتباهات تایپی در آدرس‌های وب باشید. اکثر دامنه‌هایی که به اشتباه تایپ می‌شوند، شما را به سمت کلاهبرداری یا بدافزار هدایت می‌کنند. برای سایت‌های مهم از بوکمارک استفاده کنید.

منابع این بخش:

Krebs on Security

۹. هوش مصنوعی در خدمت کنترل: نگاهی به استراتژی نظارتی چین

فراتر از بدافزارها و کلاهبرداری‌های روزمره، یکی از جبهه‌های اصلی در امنیت سایبری، استفاده استراتژیک از فناوری برای کنترل سیاسی است و هوش مصنوعی به سلاح جدید این میدان تبدیل شده است. چین پیشگام استفاده از AI برای تقویت دستگاه نظارتی خود است و این روند پیامدهای جهانی عمیقی دارد.

یافته‌ها و تحلیل

گزارشی با عنوان “The Party’s AI: How China’s New AI Systems are Reshaping Human Rights” (هوش مصنوعی حزب: چگونه سیستم‌های جدید هوش مصنوعی چین در حال تغییر شکل حقوق بشر هستند) نشان می‌دهد که چین بزرگترین صادرکننده فناوری نظارتی مبتنی بر هوش مصنوعی در جهان است. این کشور در حال ادغام این سیستم‌ها برای شکل‌دهی به اطلاعات، رفتار و نتایج اقتصادی، هم در داخل و هم در خارج از مرزهای خود است. یافته کلیدی این است که قابلیت‌های جدید هوش مصنوعی در حوزه‌های مختلفی در حال پیاده‌سازی است تا توانایی حزب کمونیست چین (CCP) را برای شکل دادن به اطلاعات و رفتارها، هم در داخل و هم در خارج از کشور، تقویت کند.

“چین در حال حاضر بزرگترین صادرکننده فناوری نظارتی مبتنی بر هوش مصنوعی در جهان است؛ و فناوری‌ها و پلتفرم‌های نظارتی جدیدی که در چین توسعه می‌یابند، احتمالاً فقط در آنجا باقی نخواهند ماند. یکی از نظرات در این وبلاگ اشاره می‌کند که این فناوری در حال ریشه دواندن عمیق در آفریقا است، زیرا چین تأمین‌کننده اصلی زیرساخت‌های فناوری اطلاعات و ارتباطات این قاره است.”

چرا این موضوع اهمیت دارد؟

این گزارش بر چهار حوزه کلیدی تمرکز دارد: سانسور چندوجهی (multimodal censorship) تصاویر حساس سیاسی، ادغام AI در سیستم قضایی کیفری، صنعتی‌سازی کنترل اطلاعات آنلاین، و استفاده از پلتفرم‌های مبتنی بر AI توسط شرکت‌های چینی در خارج از کشور. نکته قابل تامل، شکاف عمیق فلسفی در تعریف «ایمنی هوش مصنوعی» است. در چین، این مفهوم به معنای حفاظت از دولت در برابر مردم است و به حفظ «ارزش‌های اصلی سوسیالیستی» کمک می‌کند. در حالی که در دموکراسی‌های لیبرال، هدف (حداقل در تئوری) حفاظت از مردم در برابر آسیب است. این فناوری‌ها و زیرساخت‌ها به مناطق دیگر جهان، به ویژه آفریقا، نیز صادر می‌شوند.

این فقط یک مشکل محدود به چین نیست

این یک روند جهانی است و تحلیل آن نیازمند نگاهی فراتر از یک کشور است. تعریف «ایمنی هوش مصنوعی» در چین (خدمت به دولت) با تعریف آن در دموکراسی‌های لیبرال (حفاظت از فرد) کاملاً متفاوت است. نگرانی‌های جدی وجود دارد که کشورهای غربی نیز در حال توسعه و استقرار فناوری‌ها و قوانین نظارتی گسترده‌ای هستند. به عنوان مثال، لایحه نظارت الکترونیکی استرالیا (Australia’s Electronic Surveillance Bill) و قانون تروریسم بریتانیا (UK’s Terrorism Act) اختیارات گسترده‌ای را برای نظارت دولتی فراهم می‌کنند.

موضوع نگران‌کننده‌تر، همکاری نهادهای غربی در توسعه این فناوری‌هاست. بر اساس گزارش‌ها، «نهادهای غربی، از جمله دانشگاه‌ها و با بودجه وزارت دفاع [آمریکا]، به مؤسسه تحقیقاتی سوم [وزارت امنیت عمومی چین] در توسعه پروژه‌ها کمک کرده‌اند». این واقعیت نشان می‌دهد که توسعه ابزارهای کنترل دیجیتال، یک چالش جهانی با بازیگران متعدد است.

یک مثال فرضی

برای درک بهتر این موضوع، سناریوی زیر را تصور کنید: یک کاربر در چین تلاش می‌کند عکسی از یک تظاهرات تاریخی را منتشر کند. یک ابزار سانسور مبتنی بر هوش مصنوعی بلافاصله آن را نه بر اساس کلمات کلیدی، بلکه بر اساس تشخیص بصری (سانسور چندوجهی) شناسایی می‌کند. پست مسدود شده و امتیاز اعتبار اجتماعی کاربر بی‌سروصدا کسر می‌شود. همزمان، یک کاربر در یک کشور غربی همان تصویر را منتشر می‌کند و هوش مصنوعی ممکن است آن را به عنوان «محتوای حساس» علامت‌گذاری کند، اما آن را مسدود نمی‌کند. این مثال، تفاوت فلسفی در کاربرد این فناوری را به خوبی نشان می‌دهد.

آگاهی عملی برای شهروندان

از آنجایی که این یک مسئله سیاستی و آگاهی عمومی است، نکات زیر می‌تواند به شما کمک کند تا مطلع بمانید و از حریم خصوصی خود محافظت کنید:

نسبت به منابع فناوری خود منتقد باشید: بدانید که دستگاه‌ها و نرم‌افزارهای شما (از جمله VPN) از کجا می‌آیند و شرکت‌های مادر آن‌ها تابع چه قوانینی برای به اشتراک‌گذاری داده‌ها هستند.
از سازمان‌های حامی حریم خصوصی حمایت کنید: از سازمان‌ها و سیاست‌هایی که از حریم خصوصی دیجیتال، شفافیت در استفاده دولتی از هوش مصنوعی و حقوق بشر دفاع می‌کنند، حمایت کنید.
آگاه باشید که نظارت یک مشکل جهانی است: در مورد قوانین محلی در منطقه خود که می‌تواند بر حریم خصوصی شما تأثیر بگذارد، مطلع بمانید.

“بذار خلاصه بگم 👇”
دولت‌ها، به ویژه چین، از هوش مصنوعی پیشرفته برای سانسور محتوا و کنترل اطلاعات استفاده می‌کنند و این فناوری را در سطح جهانی به فروش می‌رسانند.

منابع این بخش:

Schneier on Security

جمع‌بندی

گزارش امروز نشان‌دهنده سرعت بی‌امان بهره‌برداری از آسیب‌پذیری‌های با شدت بالا و کم‌رنگ شدن مرزهای بین عملیات‌های دولت-ملت و جرایم سایبری است. از حملات گسترده به زیرساخت‌های وب گرفته تا عملیات‌های اطلاعاتی که با دقت یک پروژه تجاری مدیریت می‌شوند، مشخص است که دفاع مؤثر نیازمند رویکردی چندلایه است. وصله‌کاری سریع، افزایش آگاهی کاربران و بررسی دقیق نرم‌افزارهای شخص ثالث و فناوری‌های نوظهور مانند هوش مصنوعی، دیگر یک انتخاب نیست، بلکه یک ضرورت حیاتی برای بقا در این چشم‌انداز دیجیتال پرخطر است.

“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec

۱. آسیب‌پذیری بحرانی React2Shell: بهره‌برداری گسترده برای نصب بک‌دورهای لینوکس (CVE-2025-55182)

توصیه کارشناسی

۲. آسیب‌پذیری‌های روز-صفر WebKit اپل: حمله هدفمند به تمام دستگاه‌های اپل (CVE-2025-14174)

توصیه کارشناس

۳. گروه Ink Dragon: تبدیل قربانیان به بخشی از زیرساخت حمله

تحلیل فرایند

تحلیل کارشناسی

۴. باج‌افزار LockBit 5.0: ظهور نمونه‌های جدید برای ویندوز، لینوکس و ESXi

تحلیل دقیق

۵. تکنیک حمله جدید “ConsentFix”: سرقت دسترسی به حساب‌های ابری با فیشینگ OAuth

تحلیل حمله

تحلیل کارشناسی

توصیه کارشناسی

۶. هوش مصنوعی در بدافزار: واقعیت یا هیاهوی تبلیغاتی؟

برای درک تفاوت، این دو سناریو را مقایسه کنید.

سناریوی الف (PromptLock)

یک مثال برای درک بهتر

سناریوی ب (AI پیش از حمله)

۷. عملیات PCPcat: سرقت گسترده اطلاعات از ۵۹ هزار سرور Next.js

یافته‌ها و تحلیل

تحلیل عمق خطر: چرا PCPcat یک تهدید استراتژیک است؟

سناریوی فرضی حمله

توصیه‌های عملی برای مقابله

۸. دامنه‌های پارک‌شده: تله‌های جدید اینترنت برای بدافزار و کلاهبرداری

یافته‌ها و تحلیل

چرا این موضوع اهمیت دارد؟

یک مثال واقعی

توصیه‌های عملی برای کاربران

۹. هوش مصنوعی در خدمت کنترل: نگاهی به استراتژی نظارتی چین

یافته‌ها و تحلیل

چرا این موضوع اهمیت دارد؟

یک مثال فرضی

آگاهی عملی برای شهروندان

جمع‌بندی

نوشته‌ای مرتبط

امروز در دنیای امنیت سایبری – آخرین اخبار امنیت – ۲۸ آذر ۱۴۰۴

امروز در دنیای امنیت سایبری – آخرین اخبار امنیت – ۲۷ آذر ۱۴۰۴

امروز در دنیای امنیت سایبری – آخرین اخبار امنیت – ۲۶ آذر ۱۴۰۴