امروز انگار همه جا صحبت از دو چیز است: یک آسیبپذیری بسیار خطرناک در قلب بسیاری از وبسایتهای مدرن و جهش هوش مصنوعی از یک ابزار کمکی به یک سلاح تمامعیار در دست مجرمان سایبری. از یک طرف، یک حفره امنیتی با امتیاز بحرانی در کتابخانه کدنویسی React کشف شده که میتواند کل اینترنت را تحت تأثیر قرار دهد. از طرف دیگر، مهاجمان با استفاده از ابزارهای هوش مصنوعی، حملاتی را طراحی میکنند که تشخیص آنها از ارتباطات واقعی تقریباً غیرممکن شده است.
۱. آسیبپذیری بحرانی RCE در React و Next.js: اینترنت در معرض خطر جدی
یک آسیبپذیری با حداکثر شدت خطر (CVSS 10.0) در React، یکی از بنیادیترین تکنولوژیهای وب که توسط میلیونها وبسایت و اپلیکیشن از جمله فیسبوک، نتفلیکس و شاپیفای استفاده میشود، کشف شده است. این نقص یک ریسک سیستمی برای بخش بزرگی از اینترنت محسوب میشود و نیازمند اقدام فوری از سوی توسعهدهندگان است.
بر اساس گزارش محققان امنیتی در Wiz، این آسیبپذیری اجرای کد از راه دور (RCE) بدون نیاز به احراز هویت، با کد React2shell و شناسهی CVE-2025-55182 ردیابی میشود. این حفره در کامپوننتهای سرور React (React Server Components) وجود دارد و به دلیل تکرار آن در فریمورک محبوب Next.js، شناسهی دیگری با عنوان CVE-2025-66478 نیز به آن اختصاص داده شده است. طبق گزارشها، بهرهبرداری از این نقص بسیار آسان است و انتظار میرود که مهاجمان به زودی حملات گستردهای را آغاز کنند.
علت فنی این آسیبپذیری، Deserialization ناامن (Unsafe Deserialization) است. این یعنی برنامه به دادههای بستهبندیشدهای که از سمت کاربر میآید، کورکورانه اعتماد کرده و آنها را پردازش میکند، که به مهاجم اجازه میدهد کدهای مخرب خود را در این فرآیند تزریق کند.
بذار سادهتر بگم…
تصور کنید به یک نجار ماهر یک جعبه قطعات چوب و یک دفترچه راهنما برای ساخت یک قفسه کتاب میدهید. این یک فرآیند عادی و امن است.
حالا یک مهاجم مخفیانه وارد میشود و دفترچه راهنمای اصلی را با یک دفترچه راهنمای جعلی تعویض میکند. این راهنمای جدید، با استفاده از همان قطعات چوب، به نجار دستور میدهد که به جای قفسه، یک بمب بسازد.
وقتی نجار (سرور) با اعتماد کامل، دستورالعملهای مخرب (دادههای سریالیشدهی آلوده) را دنبال میکند، ناآگاهانه به جای محصول مورد انتظار، یک فاجعه (اجرای کد از راه دور) خلق میکند.
اهمیت این موضوع زمانی مشخص میشود که بدانیم، بر اساس دادههای Wiz، حدود ۳۹ درصد از تمام محیطهای ابری در جهان دارای نسخههای آسیبپذیر React یا Next.js هستند. این آمار شرکتهای بزرگی مانند متا (فیسبوک و اینستاگرام)، نتفلیکس، Airbnb و شاپیفای را نیز شامل میشود.
این حفره امنیتی فقط به خود React محدود نمیشود و فریمورکهای محبوبی مانند Next.js، Waku، و پلاگین Vite RSC را نیز تحت تأثیر قرار میدهد. این یعنی یک سطح حمله بسیار گسترده.
کارشناسان امنیتی فقط نگران نیستند؛ عملاً دارند از پشتبامها فریاد میزنند. به قول مدیرعامل watchTowr: «شکی نیست که بهرهبرداری گسترده از این آسیبپذیری قریبالوقوع است.»
شرکتهای امنیتی مانند Rapid7 و Wiz هم هشدار دادهاند که بهرهبرداری از این آسیبپذیری «بسیار ساده» است و نرخ موفقیت آن نزدیک به ۱۰۰٪ تخمین زده میشود.
نسخههای آسیبپذیر و وصلهها:
- بستههای npm آسیبپذیر:
react-server-dom-webpackreact-server-dom-parcelreact-server-dom-turbopack- نسخههای آلوده: 19.0, 19.1.0, 19.1.1, 19.2.0
- نسخههای امن: 19.0.1, 19.1.2, 19.2.1
- فریمورک Next.js:
- نسخههای آلوده: >=14.3.0-canary.77, >=15, >=16
- نسخههای امن: 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9, 15.0.5
توصیه کاربردی
توصیه اصلی، نصب فوری وصلهها است. به عنوان یک راهحل موقت، شرکتهایی مانند Cloudflare، Akamai و AWS در حال ارائه قوانینی برای فایروالهای برنامه وب (WAF) خود هستند تا از بهرهبرداری این آسیبپذیری جلوگیری کنند.
“بذار خلاصه بگم 👇”
یه باگ خیلی خطرناک با امتیاز ۱۰ از ۱۰ توی React پیدا شده که به هکرها اجازه میده سرور شما رو از راه دور کنترل کنن. چون ۳۹٪ محیطهای ابری آسیبپذیرن، باید فوراً آپدیت کنید.
منابع این بخش:
۲. جاسوسافزار Predator و بهرهبرداریهای روز-صفر: چگونه شرکت Intellexa با وجود تحریمها همچنان فعال است
فروشندگان تجاری ابزارهای نظارتی (CSVs) نقشی حیاتی در مسلح کردن دولتها به ابزارهای هک در سطح ملی دارند. این شرکتها تهدیدی جدی برای روزنامهنگاران، فعالان حقوق بشر و مخالفان سیاسی در سراسر جهان به شمار میروند و با فروش بهرهبرداریهای روز-صفر (Zero-day)، حریم خصوصی و امنیت افراد را به خطر میاندازند.
با وجود اینکه شرکت Intellexa (این-تِ-لِک-سا) توسط دولت آمریکا تحریم شده، همچنان یکی از فعالترین بهرهبرداران آسیبپذیریهای روز-صفر برای جاسوسافزار معروف خود یعنی Predator است. بر اساس گزارش گروه تحلیل تهدیدات گوگل (GTIG)، این شرکت از سال ۲۰۲۱ مسئول بهرهبرداری از ۱۵ آسیبپذیری روز-صفر منحصربهفرد علیه مرورگرهای موبایل (کروم و iOS) بوده است.
تاکتیکها، تکنیکها و رویهها (TTPs):
- تهیه بهرهبرداری: شواهد نشان میدهد که Intellexa بخشهایی از زنجیره حمله خود، مانند فریمورک “JSKit” برای iOS، را از منابع خارجی خریداری میکند.
- روش انتشار: اصلیترین روش آنها ارسال لینکهای یکبار مصرف از طریق اپلیکیشنهای پیامرسان رمزنگاریشده است. با این حال، از تبلیغات مخرب نیز برای شناسایی و هدفگیری کاربران استفاده میکنند.
- بار نهایی (Payload): در یکی از زنجیرههای حمله کشفشده علیه iOS، بدافزار مرحلهنهایی (که توسط GTIG با نام PREYHUNTER ردیابی میشود) قابلیتهایی مانند ضبط تماسهای VoIP، کیلاگینگ (ثبت کلیدهای فشردهشده) و گرفتن عکس را قبل از نصب کامل جاسوسافزار Predator داشته است.
طبق متادیتای کشفشده، Intellexa این زنجیره حمله را در داخل شرکت با نام “smack” میشناخته است.
نمونهای از یک سناریوی حمله
تصور کنید یک وکیل حقوق بشر در تاجیکستان پیامی از طرف شخصی که به نظر همکارش میآید دریافت میکند. این پیام حاوی لینکی به یک مقاله خبری است. با کلیک بر روی لینک، جاسوسافزار Predator بیسروصدا روی گوشی او نصب میشود. سپس این جاسوسافزار مکالمات خصوصی او با منابعش را ضبط میکند، مخاطبینش را میدزدد و موقعیت مکانی او را ردیابی میکند؛ همه اینها بدون اطلاع او انجام میشود.
توصیه کاربردی
دستگاههای موبایل و مرورگرهای خود را همیشه بهروز نگه دارید. نسبت به لینکهای دریافتی از منابع ناشناس یا حتی آشنا بسیار محتاط باشید. همچنین، راهاندازی مجدد (Reboot) منظم گوشی میتواند مفید باشد، زیرا برخی از جاسوسافزارها قابلیت ماندگاری پس از ریاستارت را ندارند.
“بذار خلاصه بگم 👇”
یه شرکت جاسوسی به اسم Intellexa با وجود تحریمها، داره با استفاده از حفرههای امنیتی روز-صفر (zero-day) موبایلها رو هک میکنه. گوگل میگه این شرکت خیلی فعاله و ابزار جاسوسی قدرتمندی به اسم Predator رو میفروشه.
منابع این بخش:
۳. حملات فعال علیه افزونه وردپرس: چگونه هکرها در یک لحظه مدیر سایت شما میشوند
وردپرس به دلیل محبوبیتش همیشه هدف جذابی برای مهاجمان بوده است. اما چیزی که این تهدید را برجسته میکند، سادگی وحشتناک آن است. یک نقص کوچک در یک افزونه میتواند به یک مهاجم ناشناس اجازه دهد تا بدون هیچ مانعی، کنترل کامل دهها هزار وبسایت را به دست بگیرد. این یادآوری تلخی است که امنیت کل یک سیستم، به اندازه ضعیفترین حلقه آن است.
جزئیات و منشأ آسیبپذیری
بر اساس گزارشهای BleepingComputer، Security Affairs و The Hacker News، مهاجمان در حال بهرهبرداری فعال از یک آسیبپذیری حیاتی با شناسه CVE-2025-8489 و امتیاز CVSS 9.8 هستند. این آسیبپذیری در افزونه “King Addons for Elementor” وردپرس وجود دارد که روی بیش از ۱۰,۰۰۰ وبسایت فعال است.
تحلیل فنی
مشکل اصلی در فرآیند ثبتنام کاربر این افزونه نهفته است. این افزونه هنگام ثبتنام یک کاربر جدید، نقش کاربری (user role) را اعتبارسنجی نمیکند. این یعنی یک کاربر ناشناس میتواند با ارسال یک درخواست دستکاریشده به admin-ajax.php، نقش خود را به سادگی administrator تعیین کند و فوراً به مدیر کل سایت تبدیل شود.
سناریوی نمونه
یک صاحب کسبوکار کوچک را تصور کن که برای زیباتر کردن وبسایت فروشگاهی خود، افزونه King Addons را نصب میکند. یک مهاجم که در حال اسکن اینترنت برای یافتن سایتهای آسیبپذیر است، سایت او را پیدا میکند. مهاجم با استفاده از این آسیبپذیری، یک حساب کاربری مدیر مخفی برای خود ایجاد میکند. سپس کدی مخرب را در سایت تزریق میکند که مشتریان فروشگاه را به یک صفحه فیشینگ هدایت کرده و اطلاعات پرداخت آنها را به سرقت میبرد. همه اینها در سکوت و بدون هیچ هشداری اتفاق میافتد.
اطلاعات تهدید
مقیاس این حملات بسیار گسترده است. شرکت امنیتی Wordfence گزارش داده:
«فایروال Wordfence تاکنون بیش از ۴۸,۴۰۰ تلاش برای بهرهبرداری از این آسیبپذیری را مسدود کرده است.»
به نظر میرسد بهرهبرداری گسترده از این آسیبپذیری از حدود ۹ نوامبر ۲۰۲۵ آغاز شده است.
برخی از آدرسهای IP اصلی مهاجمان عبارتند از:
45.61.157.120182.8.226.228138.199.21.230206.238.221.252602:fa59:3:424::1
اقدام فوری
صاحبان وبسایتها باید فوراً افزونه “King Addons for Elementor” را به نسخه ۵۱.۱.۳۵ یا بالاتر بهروزرسانی کنند. همچنین، بررسی لیست کاربران وردپرس برای شناسایی هرگونه حساب مدیر غیرمجاز، یک اقدام ضروری است.
“بذار خلاصه بگم 👇”
یک افزونه محبوب وردپرس باگی دارد که به هر کسی اجازه میدهد بدون رمز عبور به عنوان مدیر ثبتنام کند. هکرها به طور گسترده از آن استفاده میکنند، پس همین الان بهروزرسانی کنید و حسابهای مدیر عجیب را بررسی کنید.
منابع این بخش:
۴. فیشینگ با هوش مصنوعی و ابزارهای قانونی: مهاجمان باهوشتر شدهاند
دوران ایمیلهای فیشینگ با غلطهای املایی فاحش به سر آمده است. مهاجمان امروزی دیگر به ترفندهای ساده متکی نیستند. آنها ترکیبی از هوش مصنوعی پیشرفته برای ساخت پیامهای بینقص و نرمافزارهای قانونی فناوری اطلاعات برای دسترسی به سیستمها را به کار میگیرند. این رویکرد جدید، حملاتی بسیار قانعکننده و سختگیر ایجاد میکند که به راحتی از سد دفاعی سنتی عبور میکنند.
ظهور فیشینگ مبتنی بر هوش مصنوعی
گزارشهای The Hacker News از “صنعتی شدن جرایم سایبری” با ابزارهایی مانند WormGPT (وُرم-جی-پی-تی)، FraudGPT (فِراد-جی-پی-تی) و SpamGPT (اِسپَم-جی-پی-تی) خبر میدهند. این ابزارها میتوانند ایمیلهای کلاهبرداری تجاری (BEC) بینقصی بنویسند که لحن و سبک مدیران ارشد را تقلید میکنند، کد مخرب تولید کرده و حتی کمپینهای کلاهبرداری را در مقیاس وسیع آزمایش و بهینهسازی کنند. تأثیر استراتژیک این ابزارها این است که موانع ورود را از بین بردهاند و به افراد غیرفنی اجازه میدهند حملات پیچیدهای را با کمترین تلاش راهاندازی کنند.
سوءاستفاده از ابزارهای قانونی IT
بر اساس مقاله Malwarebytes، مهاجمان تاکتیک هوشمندانهای را به کار میگیرند: فریب دادن کاربران برای نصب ابزارهای قانونی مدیریت و نظارت از راه دور (RMM) مانند LogMeIn Resolve. قربانیان از طریق صفحات دانلود جعلی برای نرمافزارهای محبوب (مانند Notepad++) فریب داده میشوند. چیزی که آنها نصب میکنند یک ایجنت RMM است که از قبل با شناسه مهاجم پیکربندی شده و به او دسترسی کامل از راه دور میدهد. چرا این روش مؤثر است؟ چون ترافیک شبکه از یک برنامه قانونی و امضاشده دیجیتالی عبور میکند و بسیاری از ابزارهای امنیتی و فایروالها آن را نادیده میگیرند.
دور زدن MFA با سرقت نشست (Session Stealing)
حتی احراز هویت چندمرحلهای (MFA) نیز در برابر حملات مدرن مصون نیست. ابزاری به نام Evilginx (اِویل-جینکس) این کار را ممکن میسازد. این ابزار به عنوان یک پروکسی بین کاربر و وبسایت واقعی عمل میکند. وقتی نام کاربری، رمز عبور و کد MFA خود را وارد میکنی، Evilginx نه تنها این اطلاعات را ضبط میکند، بلکه مهمتر از آن، کوکی نشست (session cookie) را که پس از ورود موفقیتآمیز ایجاد میشود، به سرقت میبرد. مهاجم با استفاده از این کوکی میتواند بدون نیاز به کد MFA جدید، هویت شما را جعل کرده و وارد حساب کاربریتان شود. این حملات به طور خاص مؤسسات آموزشی را هدف قرار دادهاند.
Evilginx چگونه کار میکند؟
- طعمه: مهاجم یک لینک فیشینگ به یک صفحه ورود جعلی ارسال میکند که کاملاً شبیه به صفحه واقعی است (مثلاً صفحه SSO شرکت).
- پراکسی: این صفحه جعلی در واقع یک پراکسی زنده به وبسایت واقعی است. این صفحه ورودیهای کاربر (نام کاربری، رمز عبور، کد MFA) را به سرویس قانونی منتقل میکند.
- سرقت: هنگامی که سایت واقعی کاربر را احراز هویت کرده و یک کوکی نشست صادر میکند، Evilginx این کوکی را رهگیری و ضبط میکند.
اقدام فوری
سازمانها باید استراتژی دفاعی خود را از تمرکز صرف بر شناسایی ایمیلهای مخرب، به سمت حفاظت از هویت تغییر دهند. استفاده از روشهای MFA مقاوم در برابر فیشینگ (مانند کلیدهای سختافزاری یا Passkeys)، آموزش کاربران در مورد این تاکتیکهای پیشرفته مهندسی اجتماعی، و استفاده از ابزارهای امنیتی endpoint که میتوانند استفاده مشکوک از نرمافزارهای دسترسی از راه دور را شناسایی کنند، ضروری است.
“بذار خلاصه بگم 👇”
هکرها اکنون از هوش مصنوعی برای نوشتن ایمیلهای جعلی بینقص استفاده میکنند و مردم را فریب میدهند تا نرمافزارهای پشتیبانی IT واقعی را نصب کنند تا کامپیوترهایشان را در دست بگیرند، حتی از سد احراز هویت دو مرحلهای هم عبور میکنند.
منابع این بخش:
۵. طرح نفوذ گروه Lazarus: استخدام کارمندان IT از راه دور برای جاسوسی
مهندسی اجتماعی و عملیاتهای مبتنی بر انسان توسط گروههای تهدید پیشرفته (APT) نشان میدهد که بهرهبرداریهای فنی تنها راه نفوذ به یک شبکه امن نیستند.
گروه APT کره شمالی، Lazarus (لا-زا-رُس)، در یک کمپین مداوم، عوامل خود را به عنوان کارمندان دورکار IT در شرکتهای غربی استخدام میکند. این تحقیقات توسط Mauro Eldritch، NorthScan و ANY.RUN انجام شده است.
روششناسی مهاجم:
- سرقت هویت: عاملان، هویت یک توسعهدهنده را میدزدند یا از هویتهای سرقتی قبلی استفاده میکنند.
- گذراندن مصاحبهها: آنها با استفاده از ابزارهای هوش مصنوعی (مانند Simplify Copilot و AiApply) و برگههای پاسخ آماده، مصاحبههای شغلی را با موفقیت پشت سر میگذارند.
- کسب دسترسی: پس از “استخدام”، آنها شخص اصلی (توسعهدهنده قانونی اما ناآگاه) را متقاعد میکنند که دسترسی ۲۴/۷ از راه دور به لپتاپ کاری او را فراهم کند.
- حفظ دسترسی: ابزارهایی مانند Google Remote Desktop را برای کنترل مداوم نصب میکنند.
- هدف نهایی: هدف نهایی، به دست آوردن یک جای پای داخلی در شرکتهای غربی در حوزههای مالی، ارزهای دیجیتال و بهداشت و درمان برای انتقال پول به کره شمالی است.
محققان برای افشای این طرح، یک “مزرعه لپتاپ” از ماشینهای مجازی ایزوله (sandboxed) که به شکل ایستگاههای کاری توسعهدهندگان پیکربندی شده بودند، راهاندازی کردند. این کار به آنها اجازه داد تا اقدامات عاملان را در زمان واقعی و بدون آگاه کردن آنها مشاهده کنند.
نمونهای از یک سناریوی حمله
یک توسعهدهنده فریلنسر در آمریکا یک پیشنهاد شغلی پردرآمد دریافت میکند که در آن فقط باید بر کار یک “توسعهدهنده تازهکار” نظارت کند. او دسترسی به لپتاپ کاری خود را فراهم میکند. این “توسعهدهنده تازهکار” در واقع یک عامل Lazarus است که اکنون دسترسی قانونی به شبکه داخلی شرکت، مخازن کد و کانالهای ارتباطی از طریق یک دستگاه مورد اعتماد را در اختیار دارد.
توصیه کاربردی
به مدیران منابع انسانی و استخدامکنندگان توصیه میشود فرآیندهای vetting دقیقتری برای پیمانکاران دورکار، از جمله مصاحبههای ویدیویی زنده و بررسیهای تأیید هویت، اجرا کنند. به کارمندان نیز توصیه میشود هرگونه درخواست دسترسی غیرمعمول از سوی شخص ثالث به دستگاههای شخصی یا کاری خود را گزارش دهند.
“بذار خلاصه بگم 👇”
گروه هکری کره شمالی (Lazarus) داره هکرهاش رو به عنوان کارمند IT دورکار در شرکتهای غربی جا میزنه. اونها هویت افراد رو میدزدن، با کمک هوش مصنوعی مصاحبهها رو قبول میشن و بعد به سیستمهای شرکت نفوذ میکنن.
منابع این بخش:
۶. سوءاستفاده از ابزار قانونی Velociraptor: تاکتیک جدید گروه باجافزار Warlock
مفهوم “Living off the Land” به تاکتیکی اشاره دارد که در آن مهاجمان از ابزارهای قانونی و موجود در یک محیط برای جلوگیری از شناسایی استفاده میکنند، زیرا نرمافزارهای امنیتی کمتر احتمال دارد برنامههای مورد اعتماد را پرچمگذاری کنند.
بر اساس تحقیقات Huntress، مهاجمان، از جمله گروهی که پشت باجافزار Warlock قرار دارد (شناساییشده به عنوان Storm-2603)، در حال سوءاستفاده فعال از ابزار قانونی بررسی جرایم دیجیتال و پاسخ به حوادث (DFIR) به نام Velociraptor (وِ-لا-سی-رَپ-تور) برای ارتباطات فرماندهی و کنترل (C2) خود هستند.
زنجیره حمله
- نفوذ اولیه: نقاط ورود متفاوت است، از جمله بهرهبرداری از آسیبپذیریها در Windows Server Update Services (WSUS) و SharePoint (مانند ToolShell).
- پس از بهرهبرداری: پس از به دست آوردن دسترسی، مهاجمان عامل (agent) قانونی Velociraptor را نصب میکنند که از قبل برای اتصال به سرور C2 خودشان پیکربندی شده است.
- اقدامات بعدی: سپس از Velociraptor برای اجرای دستورات، نصب ابزارهای دیگر مانند OpenSSH و ایجاد دسترسی مداوم از طریق تونلهای Cloudflare یا VS Code استفاده میکنند.
“یکی از حوادث شامل باجافزار Warlock بود و یک نام میزبان (hostname) را در بر میگرفت که قبلاً در ماه آگوست در یک مشاوره امنیتی دولت سنگاپور شناسایی شده بود و به فعالیت Storm-2603، یک گروه با انگیزه مالی، اشاره داشت.”
توصیه کاربردی
به مدیران IT توصیه میشود که یک فهرست دقیق از نرمافزارهای مجاز را نگهداری کنند. اگر Velociraptor توسط تیم امنیتی آنها استفاده نمیشود، حضور آن باید به عنوان یک شاخص نفوذ (indicator of compromise) با اولویت بالا در نظر گرفته شود. همچنین بر اهمیت وصله کردن سرورهایی مانند WSUS و SharePoint تأکید میشود.
“بذار خلاصه بگم 👇”
هکرها دارن از یه ابزار قانونی و معتبر امنیتی به اسم Velociraptor برای کنترل سیستمهای هکشده استفاده میکنن. اینجوری خودشون رو از دید نرمافزارهای امنیتی مخفی نگه میدارن.
منابع این بخش:
۷. حفره امنیتی LNK ویندوز پس از سالها بهرهبرداری توسط هکرهای دولتی، بیسروصدا وصله شد
تکنیکهای “Living-off-the-land” که در آن مهاجمان از ویژگیهای قانونی خود سیستمعامل برای اهداف مخرب سوءاستفاده میکنند، یکی از روشهای کلاسیک برای نفوذ اولیه به سیستمهاست. فایلهای میانبر (LNK) در ویندوز سالهاست که به عنوان یکی از همین ابزارها توسط گروههای هکری استفاده میشود.
آسیبپذیری CVE-2025-9491 نقصی در نحوه مدیریت فایلهای LNK توسط ویندوز است. مهاجمان میتوانند یک فایل میانبر طراحی کنند که دستور مخرب آن در پنجره “Properties” قابل مشاهده نباشد. دلیل این امر آن است که این پنجره تنها ۲۶۰ کاراکتر اول مسیر هدف را نمایش میدهد، در حالی که فرمت LNK به رشتههای بسیار طولانیتری اجازه میدهد. در نتیجه، بخش مخرب دستور پس از صدها کاراکتر فاصله یا کاراکترهای بیاهمیت پنهان میشود.
این نقص حداقل از سال ۲۰۱۷ به طور فعال توسط گروههای تحت حمایت دولتهای چین، ایران، کره شمالی و روسیه و همچنین گروه جاسوسی سایبری XDSpy مورد بهرهبرداری قرار گرفته است. این روش برای توزیع بدافزارهایی مانند PlugX و همچنین توسط گروه جاسوسی سایبری XDSpy برای انتشار بدافزار XDigo به کار رفته است.
جالب اینجاست که مایکروسافت در ابتدا از وصله کردن این آسیبپذیری خودداری کرد و معتقد بود که این نقص معیار لازم برای رسیدگی فوری را ندارد. با این حال، در بهروزرسانیهای Patch Tuesday ماه نوامبر ۲۰۲۴، این شرکت بیسروصدا این حفره را برطرف کرد. اکنون، پنجره Properties کل رشته دستور را بدون هیچگونه کوتاهسازی نمایش میدهد و بخش پنهان را آشکار میسازد.
نمونهای از یک سناریوی حمله
یک مهاجم فایلی فشرده (ZIP) حاوی یک PDF و یک فایل میانبر با نام “Employee Bonuses.pdf.lnk” برای کارمندی ارسال میکند. آیکون این فایل شبیه به یک PDF است. کارمند کنجکاو، با بررسی Properties فایل، تنها مسیری قانونی مانند “C:Windowsexplorer.exe” را میبیند. او از دستور مخرب PowerShell که پس از صدها کاراکتر فاصله پنهان شده و با دو بار کلیک اجرا میشود، بیخبر است.
توصیه کاربردی
سازمانها باید اطمینان حاصل کنند که تمام سیستمهای ویندوز با آخرین بهروزرسانیهای Patch Tuesday آپدیت شدهاند. آموزش کاربران برای مشکوک بودن به فایلهای LNK، بهویژه فایلهای دریافتی از طریق ایمیل یا آرشیوهای ZIP، باید تقویت شود.
“بذار خلاصه بگم 👇”
مایکروسافت بالاخره یه باگ قدیمی توی فایلهای شورتکات (LNK) ویندوز رو درست کرد که هکرهای دولتی سالها ازش برای مخفی کردن کدهای مخرب استفاده میکردن. حتما ویندوزتون رو آپدیت کنید.
منابع این بخش:
۸. خلاصهی اخبار هفته: از باجافزارها در تعطیلات تا قوانین جدید برای اپلیکیشنهای پیامرسان
علاوه بر آسیبپذیریهای بزرگ و تاکتیکهای APT، چشمانداز امنیت سایبری دائماً تحت تأثیر نشت دادهها، مقررات دولتی جدید و استراتژیهای در حال تحول مهاجمان قرار دارد. این بخش خلاصهای سریع از دیگر رویدادهای کلیدی را پوشش میدهد.
باجافزارها تعطیلات را دوست دارند
بر اساس گزارشهای Semperis و Cybereason، گروههای باجافزار عمداً سازمانها را در طول تعطیلات و آخر هفتهها که تیمهای امنیتی با کمبود نیرو مواجه هستند، هدف قرار میدهند. آمارها نشان میدهد که ۵۲٪ از حملات در سال گذشته در این بازههای زمانی رخ داده است.
شکایت از اپلیکیشن Temu به دلیل جاسوسی
دادستان کل آریزونا از اپلیکیشن خرید Temu (تِ-مو) شکایت کرده و آن را متهم به جاسوسافزار بودن کرده است. این شکایت ادعا میکند که برنامه به طور مخفیانه حجم عظیمی از دادههای کاربر (موقعیت مکانی، میکروفون، دوربین) را جمعآوری کرده و به شرکت مادر چینی خود ارسال میکند.
قانون جدید هند برای پیامرسانها
قانون جدید دپارتمان مخابرات هند، اپلیکیشنهای پیامرسان مانند واتساپ و تلگرام را ملزم میکند که حسابهای کاربری را به یک سیمکارت فعال متصل کنند و جلسات وب را پس از شش ساعت به طور خودکار خارج کنند تا با کلاهبرداری مبارزه شود.
سیل دادههای به سرقت رفته (Data Breaches)
- Marquis Software: یک حمله باجافزاری به این ارائهدهنده نرمافزار مالی، دادههای بیش از ۴۰۰,۰۰۰ مشتری از ۷۴ بانک آمریکایی را افشا کرد.
- دانشگاهها: دانشگاه پنسیلوانیا و دانشگاه فینیکس نشت اطلاعاتی را به دلیل حمله به Oracle E-Business Suite تأیید کردند که اطلاعات شخصی و مالی دانشجویان و کارکنان را در معرض خطر قرار داد.
- Freedom Mobile: دادههای مشتریان این شرکت پس از آنکه یک مهاجم با استفاده از حساب یک پیمانکار فرعی به سیستمهای آنها دسترسی پیدا کرد، افشا شد.
“بذار خلاصه بگم 👇”
این هفته خیلی شلوغ بود: هکرهای باجافزار موقع تعطیلات حمله میکنن، اپلیکیشن خرید Temu به جاسوسی متهم شده، هند قوانین سفت و سختی برای واتساپ و تلگرام گذاشته و کلی بانک و دانشگاه هم هک شدن و اطلاعاتشون لو رفته.
منابع این بخش:
موضوعات اصلی این هفته شکنندگی زنجیره تأمین نرمافزار و پیچیدگی روزافزون حملات، چه به صورت خودکار و چه با محوریت انسان، را برجسته میسازد. این رویدادها نشان میدهد که مهاجمان به طور مداوم در حال نوآوری هستند و از هر فرصتی، از یک خطای برنامهنویسی کوچک گرفته تا یک فرآیند استخدامی ضعیف، برای نفوذ استفاده میکنند. هوشیاری مداوم، اولویتبندی در نصب وصلهها و افزایش آگاهی کاربران، سنگبنای دفاع در برابر این تهدیدات پیچیده باقی میماند.
“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec