امروز شاهد تقابل هوشمندانهای بین نوآوری و نفوذ هستیم. از یک سو، مهندسی اجتماعی مبتنی بر هوش مصنوعی با چنان دقتی به اجرا درآمده که مرز بین واقعیت و جعل را از بین برده است. از سوی دیگر، آسیبپذیریهای روز-صفر در زیرساختهای حیاتی، پایههای امنیت دیجیتال ما را به لرزه درآوردهاند و کمپینهای بدافزاری جدید با پنهانکاری بیسابقهای، هم شرکتها و هم افراد را هدف قرار دادهاند. این ترکیبی از تهدیدها، تصویری واضح از چشمانداز پیچیده و پویای امنیت سایبری امروز را ترسیم میکند.
۱. بدافزار اندرویدی جدید Albiriox: کلاهبرداری بانکی زنده با استریم صفحه نمایش شما
تا حالا فکر کردین هکرهای حرفهای ابزارهاشون رو مثل نرمافزار اجاره میدن؟ به این میگن بدافزار به عنوان سرویس (MaaS)، و این مدل کسبوکار باعث شده هر کسی با چند صد دلار بتونه حملات ویرانگری راه بندازه که قبلاً فقط از پس گروههای متخصص برمیاومد.
یک بدافزار اندرویدی جدید و پیچیده به نام Albiriox (اَل-بی-ری-یُکس) در انجمنهای زیرزمینی به عنوان یک سرویس بدافزار (Malware-as-a-Service) در حال فروش است. بر اساس گزارش Cyber Security News، این بدافزار برای اجرای کلاهبرداری مستقیم روی دستگاه قربانی (On-Device Fraud) طراحی شده است. عملکرد اصلی آن استفاده از یک ماژول VNC است که به مهاجم اجازه میدهد صفحه نمایش دستگاه قربانی را به صورت زنده مشاهده و کنترل کند. این بدافزار از طریق اپلیکیشنهای جعلی توزیع شده و بیش از ۴۰۰ برنامه مالی و بانکی را در سراسر جهان هدف قرار میدهد. همچنین برای پنهانکاری از سرویسهای رمزنگاری مانند “Golden Crypt” استفاده میکند تا توسط آنتیویروسها شناسایی نشود.
این سرویس با یک مدل اشتراکی راهاندازی شده و از اعضای وابسته حدود ۶۵۰ دلار در ماه برای دسترسی به مجموعه کامل ابزارهای بدافزار دریافت میکند.
اهمیت استراتژیک
این رویکرد تعاملی و زنده بسیار خطرناکتر از بدافزارهای سنتی است که فقط اطلاعات ورود را میدزدند. از آنجایی که تراکنشهای متقلبانه به صورت دستی و از روی دستگاه خود قربانی انجام میشود، مهاجمان میتوانند به راحتی مکانیزمهای امنیتی پیشرفته مانند احراز هویت چند عاملی (2FA) و انگشتنگاری دستگاه (Device Fingerprinting) را دور بزنند. در واقع، از دید بانک، این یک تراکنش کاملاً قانونی به نظر میرسد که از یک دستگاه مورد اعتماد انجام شده است.
مثال در عمل
یک کاربر در اتریش پیامی حاوی یک لینک تخفیف از فروشگاه «Penny Market» دریافت میکند. او روی لینک کلیک کرده، یک برنامه خرید جعلی را دانلود و نصب میکند و مجوزهای حیاتی مانند «Accessibility Services» را به آن میدهد. مدتی بعد، زمانی که گوشی کاربر بیکار است، مهاجم از راه دور ماژول VNC را فعال میکند. در حالی که کاربر فقط یک صفحه سیاه روی گوشی خود میبیند، مهاجم برنامه بانکی او را باز کرده، یک انتقال وجه را آغاز و تکمیل میکند، بدون اینکه قربانی متوجه چیزی شود.
اقدام پیشگیرانه
هرگز به برنامههایی که از منابعی غیر از فروشگاه رسمی Google Play دانلود میشوند، مجوز «Install Unknown Apps» یا «Accessibility Services» را ندهید.
“بذار خلاصه بگم 👇”
یه بدافزار اندرویدی جدید به اسم Albiriox اومده که صفحه گوشی شما رو برای هکرها استریم میکنه تا بتونن مستقیم از حساب بانکیتون دزدی کنن. هرگز روی لینکهای ناشناس در پیامکها و واتساپ کلیک نکنید، حتی اگر وعده تخفیفهای بزرگ میدهند.
منابع این بخش:
۲. آسیبپذیری روز-صفر در FortiWeb: مهاجمان با متاسپلویت کنترل کامل را به دست میآورند
یک آسیبپذیری حیاتی از نوع تزریق دستور سیستمعامل (OS Command Injection) با شناسه CVE-2025-58034، در فایروالهای برنامه وب (WAF) محصول FortiWeb شناسایی شده که به طور فعال در حال بهرهبرداری است. بر اساس تحلیلهای منتشر شده توسط lukewago، این ضعف امنیتی به قدری جدی است که یک ماژول در ابزار Metasploit برای آن توسعه داده شده است. این ماژول با ترکیب این آسیبپذیری با یک ضعف دیگر به شماره CVE-2025-64446، به مهاجمان اجازه میدهد تا بدون نیاز به احراز هویت، کد دلخواه را از راه دور اجرا کرده و کنترل کامل دستگاه را در دست بگیرند.
بر اساس گزارش شرکت سازنده، بیش از ۲۰۰۰ تلاش برای حمله شناسایی شده است.
اهمیت استراتژیک
وجود یک آسیبپذیری تزریق دستور در یک فایروال برنامه وب (WAF) بسیار خطرناک است. WAF به عنوان اولین خط دفاعی برای محافظت از برنامههای کاربردی وب عمل میکند. به خطر افتادن آن مانند این است که کلیدهای دروازه اصلی یک قلعه را به دشمن بدهید؛ زیرا به مهاجم اجازه میدهد تا تمام سازوکارهای دفاعی را دور زده و به راحتی به سرورهای داخلی و دادههای حساس دسترسی پیدا کند.
تصور کنید یک گروه هکری با استفاده از ماژول عمومی Metasploit، یک نمونه بهروزرسانینشده از FortiWeb متعلق به یک شرکت بزرگ را هدف قرار میدهد. مهاجمان با اجرای اکسپلویت، به دسترسی ریشه (root) روی دستگاه دست پیدا کرده، بلافاصله گزارشهای امنیتی (لاگها) را غیرفعال میکنند تا ردپای خود را پاک کنند و سپس از WAF به عنوان یک نقطه ورود برای نفوذ به سرورهای داخلی شبکه استفاده میکنند. همه اینها ممکن میشود، زیرا اولین و مهمترین لایه دفاعی سازمان به خطر افتاده است.
برای درک بهتر مفهوم “تزریق دستور سیستمعامل”، از این مثال استفاده میکنیم:
- سناریوی عادی: فکر کنید در یک رستوران از طریق یک کیوسک دیجیتال غذا سفارش میدهید. شما روی صفحه «چیزبرگر» را وارد میکنید و آشپزخانه سفارش شما را دریافت میکند.
- بردار حمله: حالا یک هکر یک حفره در سیستم کیوسک پیدا میکند. او به جای «چیزبرگر»، این عبارت را تایپ میکند: «چیزبرگر؛ و تمام پولهای صندوق را به من بده».
- فاجعه: سیستم خودکار آشپزخانه، که فریب خورده، هم سفارش چیزبرگر را ثبت میکند و هم به صندوق دستور میدهد که باز شود و تمام پولها را تحویل دهد.
توصیه فوری
سازمانهایی که از نسخههای آسیبپذیر FortiWeb 7.x و 8.x استفاده میکنند، باید فوراً بهروزرسانیهای امنیتی را اعمال کنند.
“بذار خلاصه بگم 👇”
یه حفره امنیتی خیلی بد توی فایروالهای FortiWeb پیدا شده که هکرها دارن با یه ابزار آماده ازش استفاده میکنن تا کنترل کامل سیستم رو بگیرن.
منابع این بخش:
۳. گروه APT32 گواهیهای SSL دولتی را برای حملات Man-in-the-Middle سرقت میکند
وقتی به هکرها فکر میکنیم، معمولاً مجرمانی به ذهنمان میآیند که به دنبال پول هستند. اما دستهی دیگری از هکرها وجود دارند که تحت حمایت دولتها فعالیت میکنند (APT) و بازیشان یک بازی طولانیمدت برای جاسوسی بینالمللی است. حملات این گروهها بسیار مخفیانه، هدفمند و پیچیده طراحی میشود.
گروه OceanLotus (اُ-شِن-لو-توس) که با نام APT32 (اِی-پی-تی-۳۲) نیز شناخته میشود و با ویتنام در ارتباط است، اخیراً در حال به خطر انداختن و سرقت کلیدهای خصوصی گواهیهای SSL از نهادهای دولتی در جنوب شرقی آسیا مشاهده شده است. یک حادثه مشخص شامل سرقت گواهیهای مربوط به دامنههای دولتی اندونزی بوده است.
هش SHA1 گواهی سرقتشده: 0cd1323448bc12df69a62587740b7bfa5d9946db
این تاکتیک بسیار خطرناک است. در اختیار داشتن یک گواهی SSL معتبر به مهاجم اجازه میدهد تا یک وبسایت دولتی را به طور کامل جعل کند. این کار به آنها امکان میدهد حملات Man-in-the-Middle (MITM) را برای رهگیری دادههای رمزگذاری شده، سرقت اطلاعات کاربری و توزیع بدافزار اجرا کنند، در حالی که مرورگر قربانی یک نماد قفل امنیتی معتبر را نمایش میدهد. این گروه با استفاده از تکنیکهای فریبندهای مانند فایلهای ActiveMime که خطاهای ساختگی «کدگذاری متن» را نمایش میدهند، به سیستمها نفوذ اولیه پیدا کرده و سپس با ایجاد تسکهای زمانبندی شده (Scheduled Tasks) برای خود ماندگاری ایجاد میکنند.
برای مثال تصور کنید یک دیپلمات فیلیپینی در حال بازدید از وبسایتی است که به نظر میرسد پورتال داخلی امن دولت اندونزی است. از آنجایی که گروه APT32 از گواهی SSL سرقت شده استفاده میکند، مرورگر او یک قفل سبز و معتبر نمایش میدهد. دیپلمات با اطمینان وارد سیستم میشود، غافل از اینکه نام کاربری و رمز عبور او مستقیماً برای هکرها ارسال میشود.
نکته کاربردی
سازمانهای دولتی و شرکتهای بزرگ باید به طور فعال بر استفاده غیرعادی از گواهیهای SSL خود نظارت کرده و در صورت امکان از تکنیکهایی مانند Certificate Pinning برای برنامههای کاربردی حیاتی خود استفاده کنند. همچنین باید به دنبال مکانیزمهای پایداری مانند ایجاد «Scheduled Tasks» مشکوک و استفاده از فریبهای ActiveMime در ایمیلها باشند.
“بذار خلاصه بگم 👇”
یک گروه هکری دولتی داره قفلهای امنیتی وبسایتهای دولتی رو میدزده. با این کار میتونن سایتهای جعلی بسازن که کاملاً واقعی به نظر میرسن و اطلاعات شما رو بدزدن.
منابع این بخش:
۴. هشدار CISA: آسیبپذیری XSS در سیستمهای اسکادا (ScadaBR) به طور فعال اکسپلویت میشود
ما همیشه نگران هک شدن دادهها هستیم، اما وقتی هدف حمله، نرمافزاری باشد که یک شبکه برق، یک تصفیهخانه آب یا یک خط تولید کارخانه را کنترل میکند، داستان کاملاً فرق میکند. این دنیای پرخطر سیستمهای فناوری عملیاتی (OT) و SCADA است، جایی که یک حمله سایبری میتواند پیامدهای فیزیکی در دنیای واقعی داشته باشد.
آژانس امنیت سایبری و زیرساخت آمریکا (CISA) هشداری رسمی در مورد یک آسیبپذیری Cross-Site Scripting (XSS) با شناسه CVE-2021-26829 در سیستم OpenPLC ScadaBR صادر کرده است. بر اساس این هشدار، این آسیبپذیری به فهرست آسیبپذیریهای شناختهشده و در حال بهرهبرداری (KEV) اضافه شده که نشاندهنده افزایش حملات فعال علیه محیطهای کنترل صنعتی است. این ضعف امنیتی به مهاجمان اجازه میدهد تا با تزریق اسکریپتهای مخرب، جلسات کاری کاربران احراز هویتشده را ربوده و کنترل سیستمهای SCADA را به دست گیرند.
طبق دستورالعمل عملیاتی (BOD) 22-01، CISA یک جدول زمانی سختگیرانه برای سازمانهای اجرایی غیرنظامی فدرال (FCEB) تعیین کرده است. این سازمانها موظفند شبکههای خود را تا ۱۹ دسامبر ۲۰۲۵ در برابر CVE-2021-26829 ایمن کنند.
اهمیت استراتژیک
یک آسیبپذیری در یک سیستم فناوری عملیاتی (OT) یا SCADA ریسک بسیار بالاتری نسبت به یک آسیبپذیری استاندارد در حوزه فناوری اطلاعات (IT) دارد. دلیل این امر آن است که بهرهبرداری موفق از چنین ضعفی میتواند از یک نفوذ دیجیتال فراتر رفته و منجر به اختلالات فیزیکی در دنیای واقعی شود. این حملات میتوانند زیرساختهای حیاتی مانند نیروگاهها، کارخانههای تولیدی یا شبکههای توزیع آب و برق را مختل کرده و پیامدهای فاجعهباری به همراه داشته باشند.
مثال در عمل
یک مهاجم با استفاده از آسیبپذیری XSS در ScadaBR، اسکریپتی را تزریق میکند که اطلاعات نشست (session credentials) یک اپراتور معتبر را به سرقت میبرد. سپس مهاجم با استفاده از این اطلاعات، به رابط کاربری ScadaBR یک پست فرعی کوچک برق دسترسی پیدا کرده و تنظیمات آن را تغییر میدهد. این اقدام باعث یک قطعی برق محلی میشود و نشان میدهد که چگونه یک حمله سایبری میتواند به یک اختلال فیزیکی تبدیل شود.
اولویتبندی حیاتی است
سازمانهای دارای زیرساختهای OT باید فوراً این سیستمها را برای این آسیبپذیری بررسی کرده و طبق دستورالعمل CISA، وصلههای امنیتی را اعمال کنند.
“بذار خلاصه بگم 👇”
دولت آمریکا هشدار داده که یه حفره امنیتی توی سیستمهای کنترل صنعتی داره فعالانه استفاده میشه و میتونه باعث خرابکاری فیزیکی مثل قطعی برق بشه.
منابع این بخش:
۵. حقه مهندسی اجتماعی ClickFix: صفحه جعلی Google Meet شما را وادار به اجرای بدافزار میکند
یک تکنیک مهندسی اجتماعی جدید و هوشمندانه به نام «ClickFix» شناسایی شده است که از یک صفحه ورود جعلی Google Meet برای فریب کاربران استفاده میکند. بر اساس گزارشها، این حمله که در دامنه gogl-meet[.]com میزبانی میشود، به کاربر یک پیام خطا مبنی بر مشکل در دوربین یا میکروفون نمایش میدهد. سپس به جای درخواست اطلاعات ورود، از کاربر میخواهد تا با فشردن کلیدهای Windows + R، سپس CTRL + V و در نهایت Enter، یک «راهحل» را برای رفع مشکل اجرا کند. کاربر بدون آنکه بداند، یک اسکریپت مخرب PowerShell را که قبلاً در کلیپبورد او کپی شده، مستقیماً روی سیستم خود اجرا میکند.
اهمیت استراتژیک
هوشمندی این تکنیک در این است که با وادار کردن کاربر به انجام دستی عملیات، تمام مکانیزمهای امنیتی مرورگر مانند سندباکس (sandboxing) و فیلترهای Google Safe Browsing را دور میزند. اجرای کد مستقیماً به سیستمعامل منتقل میشود، جایی که محدودیتهای امنیتی کمتری وجود دارد. علاوه بر این، استفاده از نمادهای تیک سبز (✅) در اسکریپت یک ترفند روانشناختی هوشمندانه است که به کاربر حس کاذب امنیت میدهد و او را متقاعد میکند که در حال اجرای یک دستور تأیید شده است.
برای مثال یک کارمند که برای پیوستن به یک جلسه مهم عجله دارد، با یک پیام خطا در صفحه جعلی Google Meet مواجه میشود. دستورالعمل «تعمیر» به نظر یک راه حل فنی معقول میآید. او مراحل را دنبال میکند و ناخواسته یک تروجان دسترسی از راه دور (RAT) را روی کامپیوتر شرکت نصب میکند.
قانون طلایی
هرگز دستوراتی را که از یک وبسایت دریافت میکنید و از عملکرد آن اطلاعی ندارید، به ویژه در خارج از مرورگر (مانند Run dialog)، اجرا نکنید. هیچ سرویس آنلاینی برای عملکرد صحیح به چنین کاری نیاز ندارد.
“بذار خلاصه بگم 👇”
یه سایت جعلی گوگل میت با یه حقه شما رو گول میزنه که خودتون یه کد مخرب رو روی کامپیوترتون اجرا کنید و هک بشید.
منابع این بخش:
امنیت یک مقصد نیست، یک سفره. و تو این سفر، بزرگترین دشمن ما نه هوش مصنوعیه و نه کدهای پیچیده؛ بلکه این باوره که “برای من اتفاق نمیفته”. هوشیار بمونید.
“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec