امروز در دنیای امنیت سایبری – آخرین اخبار امنیت – ۲۵ آبان ۱۴۰۴

اگر فکر می‌کردید در دنیای امنیت سایبری می‌توان نفسی تازه کرد، سخت در اشتباهید. امروز، طوفان‌های دیجیتال نه تنها فروکش نکرده‌اند، بلکه با سوخت ترکیبی از روز-صفرهای جدید و هوش مصنوعی تهاجمی در حال قدرتمندتر شدن هستند. از یک سو، باگ‌های حیاتی در سنگرهای دفاعی ما یعنی Fortinet و Windows دهان باز کرده‌اند و از سوی دیگر، بازیگران دولتی مانند ای‌پی‌تی چهل و دو (APT42) ایران و فانتوم تاروس (Phantom Taurus) چین، با تاکتیک‌های پیچیده‌تر و ابزارهای مخفی‌تر، قواعد بازی را از نو می‌نویسند. در این میان، هوش مصنوعی که قرار بود ناجی ما باشد، به سلاحی در دست دشمن تبدیل شده است. این گزارش فقط یک لیست از تهدیدات نیست؛ بلکه نقشه راهی برای زنده ماندن در این میدان نبرد است.

۱. آسیب‌پذیری روز-صفر در FortiWeb: دسترسی کامل به سیستم بدون نیاز به احراز هویت (CVE-2025-64446)

آسیب‌پذیری‌های حیاتی در دستگاه‌های امنیتی لبه شبکه، مانند فایروال‌های برنامه وب (WAF)، به شکل ویژه‌ای خطرناک هستند، زیرا این دستگاه‌ها اولین خط دفاعی سازمان در برابر تهدیدات اینترنتی محسوب می‌شوند. وقتی چنین دستگاهی دچار نقص شود، تمام لایه‌های امنیتی پشت آن بی‌اثر می‌شوند. به همین دلیل، رسیدگی فوری به این نوع حفره‌های امنیتی، یک اولویت استراتژیک و حیاتی است.

مرور فنی آسیب‌پذیری CVE-2025-64446 این آسیب‌پذیری که با شناسه CVE-2025-64446 شناخته می‌شود، یک نقص حیاتی از نوع “پیمایش مسیر نسبی” (Relative Path Traversal) با امتیاز CVSS 9.8 است که فایروال برنامه وب فورتی‌وب (FortiWeb) شرکت Fortinet را تحت تأثیر قرار می‌دهد. بر اساس تحلیل‌های منتشر شده توسط watchTowr Labs، حمله برای بهره‌برداری از این آسیب‌پذیری در دو مرحله انجام می‌شود:

1. مرحله اول (پیمایش مسیر): مهاجم با سوءاستفاده از یک نقص پیمایش مسیر در API دستگاه، به فایل اجرایی fwbcgi دسترسی پیدا می‌کند.
2. مرحله دوم (جعل هویت): مهاجم یک هدر HTTP دستکاری‌شده به نام CGIINFO ارسال می‌کند که حاوی اطلاعات کاربر admin است. این کار به او اجازه می‌دهد تا هویت مدیر سیستم را جعل کرده و بدون نیاز به هیچ‌گونه احراز هویتی، دستورات مدیریتی را روی دستگاه اجرا کند.

تأثیر در دنیای واقعی و بهره‌برداری فعال آژانس امنیت سایبری و زیرساخت آمریکا (CISA) با تأیید خطر این آسیب‌پذیری، آن را به کاتالوگ آسیب‌پذیری‌های شناخته‌شده و در حال بهره‌برداری (KEV) خود اضافه کرده است. این اقدام نشان می‌دهد که مهاجمان به طور فعال در حال اسکن اینترنت برای یافتن دستگاه‌های آسیب‌پذیر و نفوذ به آن‌ها هستند. علاوه بر این، طبق گزارش Qualys، بهره‌برداری از این آسیب‌پذیری از اوایل اکتبر ۲۰۲۵ در جریان بوده است.

چرا این آسیب‌پذیری اینقدر خطرناک است؟ فایروال‌های برنامه وب ذاتاً به اینترنت متصل هستند. یک مهاجم با در دست گرفتن کنترل کامل مدیریتی این دستگاه، می‌تواند تمام سیاست‌های امنیتی را غیرفعال کند، محافظت از تمام وب‌اپلیکیشن‌های پشت فایروال را دور بزند و یک جای پای دائمی در شبکه سازمان ایجاد کند. این یعنی مهاجم نه تنها می‌تواند به داخل نگاه کند، بلکه می‌تواند درها را برای حملات بعدی باز نگه دارد.

یک سناریوی واقعی: تصور کنید یک مهاجم با بهره‌برداری از این نقص، یک حساب کاربری مدیر جدید روی دستگاه FortiWeb یک شرکت ایجاد می‌کند. سپس، قوانین امنیتی را طوری تغییر می‌دهد که یک حمله SQL Injection علیه وب‌سایت تجارت الکترونیک آن شرکت مجاز شمرده شود. نتیجه این کار، نشت گسترده اطلاعات مشتریان و یک فاجعه امنیتی تمام‌عیار است.

توصیه کاربردی: “سازمان‌ها باید فوراً دستگاه‌های آسیب‌پذیر را به نسخه‌های توصیه‌شده توسط Fortinet به‌روزرسانی کنند یا به عنوان یک راهکار موقت، دسترسی HTTP/HTTPS را در اینترفیس‌های رو به اینترنت غیرفعال سازند.”

“بذار خلاصه بگم 👇”
یک باگ خیلی ناجور توی فایروال‌های وب FortiWeb پیدا شده که هکرها بدون داشتن پسورد می‌تونن وارد بشن، ادمین بشن و کل سیستم رو به دست بگیرن. این مشکل الان داره فعالانه استفاده می‌شه، پس سریع آپدیت کنید.

منابع این بخش:

• Qualys
• WatchTowr Labs
• Canadian Centre for Cyber Security

در حالی که شرکت‌ها با عجله در حال وصله کردن این حفره‌های نرم‌افزاری هستند، تهدید دیگری از جنس انسان و با حمایت دولت‌ها در حال گسترش است.

---

۲. عملیات جاسوسی SpearSpecter: هکرهای ایرانی (APT42) مقامات دفاعی و خانواده‌هایشان را هدف قرار می‌دهند

ردیابی بازیگران دولتی در دنیای سایبری اهمیت استراتژیک بالایی دارد. روش‌های این گروه‌ها نه تنها اولویت‌های ژئوپلیتیک کشور حامی آن‌ها را آشکار می‌کند، بلکه اغلب پیشگام تکنیک‌های حمله‌ای جدیدی است که بعدها توسط سایر مهاجمان نیز مورد استفاده قرار می‌گیرد.

کمپین جدید APT42 با نام SpearSpecter بر اساس گزارش‌ها، گروه هکری APT42 که گمان می‌رود از طرف سپاه پاسداران انقلاب اسلامی ایران فعالیت می‌کند، یک کمپین جاسوسی جدید با نام اسپیر اسپکتر (SpearSpecter) را آغاز کرده است. این عملیات که توسط آژانس ملی دیجیتال اسرائیل (INDA) کشف و نام‌گذاری شده، مقامات ارشد دولتی و دفاعی را به عنوان اهداف اصلی خود انتخاب کرده است.

تاکتیک‌های مهندسی اجتماعی منحصربه‌فرد و نگران‌کننده چیزی که این کمپین را متمایز می‌کند، استفاده از تاکتیک‌های مهندسی اجتماعی بسیار شخصی‌سازی‌شده است. مهاجمان با ارسال دعوت‌نامه‌های جعلی برای کنفرانس‌های معتبر، سعی در جلب اعتماد اهداف خود دارند. اما نکته نگران‌کننده‌تر این است که این حملات به اعضای خانواده اهداف نیز گسترش یافته است. این رویکرد سطح حمله را وسیع‌تر کرده و فشار روانی بیشتری بر هدف اصلی وارد می‌کند.

زنجیره حمله و بدافزار پیشرفته زنجیره حمله معمولاً با ارسال یک لینک مخرب از طریق واتس‌اپ آغاز می‌شود. این لینک قربانی را به یک فایل LNK میزبانی‌شده روی یک سرور WebDAV هدایت می‌کند که با استفاده از پروتکل search-ms: اجرا می‌شود. بار نهایی این حمله، یک بک‌دور پیشرفته مبتنی بر PowerShell به نام تِیم‌کَت (TAMECAT) است. این بدافزار برای ارتباط با سرور کنترل و فرماندهی (C2) خود از چندین کانال مقاوم، از جمله HTTPS، دیسکورد و تلگرام، بهره می‌برد تا شناسایی و مسدودسازی آن دشوارتر شود.

چرا این موضوع اهمیت دارد؟ هدف قرار دادن اعضای خانواده یک تشدید تاکتیکی و روانی است که ما معمولاً آن را با عملیات‌های اطلاعاتی سطح بالا مرتبط می‌دانیم. این نشان می‌دهد که برای APT42، مرز بین زندگی شخصی و حرفه‌ای بی‌اهمیت است. این فقط به معنای یافتن یک حلقه ضعیف نیست؛ بلکه به معنای اعمال حداکثر فشار و گسترش سطح حمله فراتر از محیط سازمانی به داخل خانه است. علاوه بر این، استفاده از سرویس‌های قانونی مانند دیسکورد و تلگرام برای ارتباطات C2، ترافیک بدافزار را در میان حجم عظیم ترافیک عادی شبکه پنهان کرده و کار تیم‌های امنیتی را برای شناسایی آن بسیار سخت می‌کند.

یک سناریوی واقعی: تصور کنید مهاجمی خود را به عنوان برگزارکننده یک کنفرانس جا زده و پس از جلب اعتماد یک مقام دولتی، لینکی با عنوان “برنامه نهایی کنفرانس” برای او ارسال می‌کند. وقتی این تلاش ناکام می‌ماند، مهاجم با همسر آن مقام از طریق واتس‌اپ تماس گرفته، خود را دستیار او معرفی می‌کند و همان لینک مخرب را تحت عنوان “سند فوری سفر خانوادگی” ارسال می‌نماید. با این کار، شبکه خانگی قربانی آلوده شده و به عنوان نقطه‌ای برای نفوذ به شبکه‌های دولتی مورد استفاده قرار می‌گیرد.

توصیه کاربردی: “همواره نسبت به لینک‌های دریافتی از طریق پیام‌رسان‌ها، حتی از طرف مخاطبین شناخته‌شده، محتاط باشید و از کلیک بر روی فایل‌های LNK که به عنوان اسناد جا زده شده‌اند، خودداری کنید.”

“بذار خلاصه بگم 👇”
یک گروه هکری ایرانی به اسم APT42 داره مقامات مهم دولتی و دفاعی رو هدف می‌گیره و برای فشار بیشتر، سراغ خانواده‌هاشون هم می‌ره. اون‌ها از یه بدافزار پیشرفته به اسم TAMECAT استفاده می‌کنن که از تلگرام و دیسکورد برای کنترل سیستم قربانی کمک می‌گیره.

منابع این بخش:

• The Hacker News
• Industrial Cyber
• CNET

از جاسوسی هدفمند دولتی به سراغ تهدیداتی می‌رویم که تمام کاربران ویندوز را در بر می‌گیرد: آسیب‌پذیری جدیدی که توسط مایکروسافت وصله شده است.

---

۳.وصله سه‌شنبه مایکروسافت: یک آسیب‌پذیری Zero-Day در هسته ویندوز فعالانه در حال بهره‌برداری است

“سه‌شنبه وصله” (Patch Tuesday) مایکروسافت یک رویداد ماهانه حیاتی برای متخصصان IT در سراسر جهان است. در این روز، مایکروسافت مجموعه‌ای از به‌روزرسانی‌های امنیتی را برای محصولات خود منتشر می‌کند. اما وقتی در میان این وصله‌ها، یک آسیب‌پذیری “رو-صفر” یا Zero-Day وجود داشته باشد—یعنی نقصی که مهاجمان قبل از انتشار وصله از آن سوءاستفاده کرده‌اند—شرایط از حالت عادی به اضطراری تغییر می‌کند.

در بسته امنیتی نوامبر ۲۰۲۵، مایکروسافت ۶۳ آسیب‌پذیری را برطرف کرده است که پنج مورد از آنها “بحرانی” طبقه‌بندی شده‌اند. اما فوری‌ترین مورد، CVE-2025-62215 است؛ یک آسیب‌پذیری ارتقاء سطح دسترسی (Elevation of Privilege) در هسته ویندوز که به عنوان یک Zero-Day در حملات واقعی مورد بهره‌برداری قرار گرفته بود.

“یکی از آسیب‌پذیری‌های مهم، CVE-2025-62199، یک RCE در Microsoft Office است. مایکروسافت اشاره می‌کند که Preview Pane یک وکتور حمله است، به این معنی که بهره‌برداری از آن نیازی به باز کردن فایل توسط هدف ندارد.”

تحلیل کارشناس: ترکیب مرگبار دو آسیب‌پذیری

یک آسیب‌پذیری ارتقاء سطح دسترسی (EoP) مانند CVE-2025-62215 به تنهایی کارایی محدودی دارد، اما وقتی با یک نقص دیگر مانند یک باگ اجرای کد (RCE) ترکیب شود، به مهاجمان قدرت مطلق می‌دهد. سناریوی حمله به این شکل است: مهاجم ابتدا با استفاده از یک آسیب‌پذیری دیگر (مثلاً در یک فایل آفیس) یک جای پا در سیستم پیدا می‌کند. سپس، از باگ CVE-2025-62215 استفاده می‌کند تا سطح دسترسی خود را به SYSTEM ارتقا دهد و عملاً به مدیر کل دستگاه تبدیل شود.

از سوی دیگر، خطر آسیب‌پذیری RCE در آفیس (CVE-2025-62199) در این است که از طریق “پنجره پیش‌نمایش” (Preview Pane) قابل بهره‌برداری است. این یعنی یک کاربر می‌تواند تنها با انتخاب یک ایمیل مخرب در Outlook—بدون باز کردن هیچ فایل ضمیمه‌ای—سیستم خود را آلوده کند. این یکی از خطرناک‌ترین وکتورهای حمله است، زیرا نیاز به کمترین تعامل از سوی قربانی دارد.

مفهوم «شرایط رقابتی» با یک مثال واقعی

• سناریوی عادی: تصور کنید دو راننده همزمان آخرین جای پارک خالی در یک پارکینگ را می‌بینند. هر دو طبق قوانین و با سرعت مجاز به سمت آن حرکت می‌کنند.
• بردار حمله: یک بهره‌برداری از شرایط رقابتی مانند این است که یک راننده مهاجم، زمان‌بندی دقیق را می‌داند و در آخرین لحظه با سرعت از شما سبقت گرفته و درست زمانی که می‌خواهید وارد جای پارک شوید، جای شما را می‌گیرد. او از یک شکاف زمانی بسیار کوچک بین عمل «بررسی خالی بودن جای پارک» و «شروع به پارک کردن» سوءاستفاده می‌کند.
• فاجعه: مهاجم با برنده شدن در این «مسابقه»، فقط یک جای پارک به دست نمی‌آورد؛ بلکه به دلیل سردرگمی سیستم پارکینگ، کلید اصلی کل پارکینگ (دسترسی SYSTEM) به او داده می‌شود و می‌تواند هر کاری که می‌خواهد انجام دهد.

داستین چایلدز از برنامه Zero Day Initiative شرکت Trend Micro هشدار می‌دهد: «بدافزارها اغلب باگ‌هایی از این دست را با یک باگ اجرای کد ترکیب می‌کنند تا کنترل کامل یک سیستم را به دست آورند.»

یک سناریوی واقعی: از پیش‌نمایش تا کنترل کامل

یک کارمند ایمیلی با ظاهر موجه دریافت می‌کند که یک فایل Word مخرب به آن ضمیمه شده است. به محض اینکه کارمند روی ایمیل کلیک می‌کند، پنجره پیش‌نمایش در Outlook برای نمایش محتوای فایل فعال می‌شود. همین عمل کافی است تا آسیب‌پذیری CVE-2025-62199 فعال شده و به مهاجم دسترسی اولیه بدهد. بلافاصله پس از آن، بدافزار مهاجم از آسیب‌پذیری CVE-2025-62215 بهره‌برداری کرده، به سطح دسترسی SYSTEM می‌رسد و با دور زدن تمام کنترل‌های امنیتی کاربر، خود را در اعماق سیستم عامل پنهان می‌کند.

اقدام فوری: اولویت‌بندی وصله‌ها

تیم‌های IT باید فوراً استقرار به‌روزرسانی‌های امنیتی نوامبر ۲۰۲۵ را، به‌ویژه برای هسته ویندوز و آفیس، در اولویت قرار دهند.

“بذار خلاصه بگم 👇”

مایکروسافت کلی باگ رو این ماه درست کرده، ولی یکیشون خیلی مهمه (Zero-Day) که هکرها داشتن ازش استفاده می‌کردن تا کنترل کامل ویندوز رو بگیرن. سریع سیستم‌هاتون رو آپدیت کنید.

منابع این بخش:

• Security Boulevard
• Help Net Security
• Tenable

در حالی که ویندوز و آفیس تهدیدهای آشنایی هستند، یک کلاس جدید از آسیب‌پذیری‌ها در حال ظهور است که زیرساخت‌های نسل بعدی، یعنی هوش مصنوعی، را هدف قرار داده است.

---

۴.اپیدمی آسیب‌پذیری در ابزارهای هوش مصنوعی: حملات Deserialization پایتون، زیرساخت AI/ML را تهدید می‌کند

رشد سریع و پذیرش گسترده هوش مصنوعی و یادگیری ماشین (AI/ML) یک سطح حمله جدید و وسیع ایجاد کرده است. در حالی که تمرکز بسیاری بر امنیت خودِ مدل‌های هوش مصنوعی است، زیرساخت‌های پایتونی که این مدل‌ها بر روی آن‌ها اجرا می‌شوند، به هدفی اصلی برای حملات کلاسیک اما ویرانگر تبدیل شده‌اند.

این دسته از آسیب‌پذیری‌ها (CWE-502) به مهاجمان اجازه می‌دهند تا با فریب دادن یک برنامه برای پردازش جریان داده‌های مخرب (مانند فایل‌های مدل AI)، کد از راه دور (RCE) اجرا کنند. این تهدید صرفاً تئوری نیست؛ گزارش‌ها از افزایش ۲۲۰ درصدی آسیب‌پذیری‌های افشاشده در حوزه AI/ML در اواخر سال ۲۰۲۳ و اوایل ۲۰۲۴ خبر می‌دهند. با توجه به اینکه رفع برخی آسیب‌پذیری‌ها در پروژه‌های بزرگ می‌تواند بیش از ۱.۵ سال طول بکشد، این حفره‌های امنیتی یک فاجعه بالقوه را رقم می‌زنند.

تهدید Insecure Deserialization در پایتون مفهوم اصلی این است: ماژول پیکل (pickle) در پایتون، که برای سریال‌سازی (Serialization) اشیاء استفاده می‌شود، می‌تواند به یک سلاح تبدیل شود. اگر یک برنامه داده‌های سریال‌سازی‌شده را از یک منبع نامعتبر (مانند یک فایل مدل هوش مصنوعی) Desrialize (یا unpickle) کند، این فرآیند می‌تواند منجر به اجرای کد از راه دور (RCE) شود.

Deserialization ناامن چیست؟

برای درک این حمله، بیایید یک مثال فیزیکی بزنیم:

1. سناریوی عادی (بسته‌بندی جعبه): فرض کنید یک جعبه مبلمان مونتاژنشده همراه با دفترچه راهنما دریافت می‌کنید. شما جعبه را باز کرده، طبق دستورالعمل قطعات را به هم وصل می‌کنید و در نهایت یک قفسه کتاب می‌سازید. در اینجا، داده‌ها (دستورالعمل) مورد اعتماد هستند و به یک شیء قابل پیش‌بینی (قفسه) منجر می‌شوند.
2. حمله (دستورالعمل‌های جعلی): حالا تصور کنید یک مهاجم قبل از بسته‌بندی، یک برگه دستورالعمل جعلی را داخل جعبه قرار می‌دهد. این دستورالعمل‌ها به ظاهر قانونی هستند، اما به شما می‌گویند قطعات و مواد شیمیایی را به روشی کاملاً متفاوت ترکیب کنید.
3. فاجعه (ساختن بمب به جای قفسه): شما بدون هیچ شکی، دستورالعمل‌های مخرب را دنبال می‌کنید. به جای ساختن یک قفسه بی‌خطر، یک دستگاه انفجاری می‌سازید. در دنیای دیجیتال، فرآیند Deserialization یک شیء نامعتبر (باز کردن بسته حاوی دستورالعمل جعلی) می‌تواند به همین شکل منجر به اجرای کد از راه دور (RCE) روی سرور شود.

یک مثال عملی: آسیب‌پذیری PyTorch

آسیب‌پذیری torch.load() در PyTorch (CVE-2025-32434) یک مثال عالی است. حتی زمانی که توسعه‌دهندگان از پرچم weights_only=True استفاده می‌کردند که “امن” تلقی می‌شد، یک مهاجم می‌توانست یک فایل مدل مخرب بسازد. وقتی یک سرویس این فایل مدل را از یک منبع نامعتبر (مثلاً یک کاربر) بارگذاری می‌کرد، فرآیند deserialization باعث اجرای کد از راه دور می‌شد و به مهاجم یک شل روی سرور یادگیری ماشین می‌داد.

نمونه‌های اخیر از آسیب‌پذیری‌های Deserialization

این مشکل یک تهدید فراگیر است و در ماه‌های اخیر آسیب‌پذیری‌های بحرانی متعددی در فریم‌ورک‌های محبوب AI/ML کشف شده است:

• NVIDIA TensorRT-LLM (CVE-2025-23254): اجرای کد از راه دور از طریق ماژول Pickle بر روی یک کانال IPC ناامن.
• vLLM (CVE-2025-32444): اجرای کد از راه دور از طریق بارهای مخرب pickle بر روی پروتکل ZeroMQ.
• Keras (CVE-2025-1550): اجرای کد از راه دور حتی در حالت “safe_mode” با دستکاری آرشیو یک مدل.
• BentoML (CVE-2025-27520): اجرای کد از راه دور بدون نیاز به احراز هویت از طریق یک درخواست HTTP دستکاری‌شده.
• PyTorch (CVE-2025-32434): آسیب‌پذیری بحرانی اجرای کد از راه دور در تابع torch.load() حتی با فعال بودن پرچم weights_only=True. این یک زنگ خطر جدی است، زیرا این پرچم قبلاً امن تصور می‌شد و این کشف یک فرضیه کلیدی در مورد بارگذاری امن مدل‌ها را در هم شکست.

اقدام فوری: چه باید کرد؟

• توسعه‌دهندگان باید کتابخانه‌های آسیب‌دیده (مانند PyTorch 2.6.0 به بالا) را فوراً ارتقا دهند.
• از دی‌سریالایز کردن داده‌ها از منابع غیرقابل اعتماد خودداری کنید.
• در صورت امکان، از فرمت‌های داده امن‌تر مانند JSON به جای pickle استفاده کنید.

“بذار خلاصه بگم 👇”

خیلی از ابزارهای هوش مصنوعی یه ضعفی به اسم Insecure Deserialization دارن. مثل اینه که یه دستورالعمل آلوده رو توی یه بسته قابل اعتماد جاسازی کنی و وقتی گیرنده بازش می‌کنه، ناخواسته یه کار خطرناک انجام می‌ده. اینجوری سرورهای AI هک می‌شن.

منابع این بخش:

• BlueRock
• Kaspersky Blog

این آسیب‌پذیری‌ها در زیرساخت‌های هوش مصنوعی، طعمه‌های لذیذی برای بازیگران دولتی هستند که به دنبال اهداف استراتژیک بلندمدت می‌گردند.

---

۵.Phantom Taurus: گروه هکری جدید وابسته به چین با بدافزار NET-STAR به دولت‌ها حمله می‌کند

دنیای جاسوسی سایبری شاهد ظهور یک بازیگر جدید و پیچیده است: Phantom Taurus. این گروه که به چین وابسته است، در عملیات‌های جاسوسی طولانی‌مدت علیه اهداف باارزش دولتی و مخابراتی تخصص دارد و از مجموعه‌ای از ابزارهای منحصربه‌فرد و پیش از این مستند نشده استفاده می‌کند که نشان‌دهنده سطح بالایی از مهارت و منابع است.

این گروه که توسط محققان Palo Alto Networks شناسایی شده، منافعش با منافع استراتژیک دولت چین همسو است و اهداف خود را در آفریقا، خاورمیانه و آسیا انتخاب می‌کند. اگرچه Phantom Taurus از زیرساخت‌های مشترک با سایر گروه‌های APT چینی مانند APT27 استفاده می‌کند، اما تاکتیک‌ها، تکنیک‌ها و رویه‌های (TTPs) متمایز آن، این گروه را به عنوان یک بازیگر مستقل معرفی می‌کند.

مسیر تکامل این گروه، بینش جالبی از نحوه توسعه هوش تهدید سایبری ارائه می‌دهد. فعالیت‌های این گروه ابتدا با شناسه CL-STA-0043 ردیابی شد. با جمع‌آوری شواهد بیشتر، این خوشه به یک گروه موقت با نام TGR-STA-0043 ارتقا یافت و در نهایت، پس از تحلیل‌های طولانی‌مدت و اطمینان از استقلال عملیاتی، به عنوان یک گروه تهدید جدید با نام رسمی “Phantom Taurus” طبقه‌بندی شد. این فرآیند نشان می‌دهد که شناسایی و نام‌گذاری یک گروه APT نیازمند مشاهده و تحلیل مداوم است.

در حالی که تمرکز اولیه این گروه بر سرقت ایمیل‌ها از سرورهای حساس بود، مشاهدات اخیر نشان‌دهنده یک تغییر تاکتیکی به سمت هدف‌گیری مستقیم و استخراج داده از پایگاه‌های داده SQL است. آن‌ها برای این کار از اسکریپت‌های سفارشی مانند mssq.bat استفاده می‌کنند که به آن‌ها اجازه می‌دهد به صورت پویا در پایگاه‌های داده جستجو کرده و اطلاعات مورد نظر را استخراج کنند.

در عملیات‌های اخیر، Phantom Taurus از یک مجموعه بدافزار جدید مبتنی بر .NET به نام NET-STAR (خوانده می‌شود: نِت-اِستار) استفاده کرده است. این مجموعه برای هدف قرار دادن سرورهای وب IIS طراحی شده و از سه جزء اصلی تشکیل شده است:

• IIServerCore: یک بک‌دور (Backdoor) بدون فایل و کاملاً مبتنی بر حافظه که روی فرآیند کاری IIS اجرا می‌شود و ردپای بسیار کمی از خود به جا می‌گذارد.این بدافزار پس از اجرا، هیچ فایلی روی دیسک باقی نمی‌گذارد و به طور کامل در حافظه فرآیند w3wp.exe (فرآیند اصلی سرور IIS) زندگی می‌کند.
• AssemblyExecuter V1: یک بارگذار (Loader) مبتنی بر .NET که برای اجرای اسمبلی‌های .NET اضافی در حافظه طراحی شده است.
• AssemblyExecuter V2: نسخه پیشرفته‌تری از بارگذار که به قابلیت‌های فرار از تشخیص مجهز شده و می‌تواند مکانیزم‌های امنیتی ویندوز مانند AMSI و ETW را دور بزند.

«این گروه به ارتباطات دیپلماتیک، اطلاعات مرتبط با دفاع و عملیات وزارتخانه‌های حساس دولتی علاقه نشان می‌دهد. زمان‌بندی و دامنه عملیات‌های این گروه اغلب با رویدادهای بزرگ جهانی و مسائل امنیتی منطقه‌ای همزمان است.»

یک سناریوی واقعی: نفوذ به دیتابیس دولتی

یک مهاجم از گروه Phantom Taurus با بهره‌برداری از یک آسیب‌پذیری شناخته‌شده (مانند ProxyShell) در سرور Microsoft Exchange یک سازمان دولتی نفوذ می‌کند. سپس، وب‌شل NET-STAR را مستقر می‌کند که بک‌دور IIServerCore را در حافظه بارگذاری می‌کند. از آنجا، مهاجم به صورت جانبی به یک سرور SQL داخلی حرکت کرده، با استفاده از اسکریپت mssq.bat به دنبال اسناد مرتبط با “قراردادهای دفاعی” می‌گردد، نتایج را در یک فایل CSV ذخیره کرده و داده‌ها را از طریق کانال C2 رمزگذاری‌شده خود به سرقت می‌برد.

اقدامات پیشنهادی

مدافعان شبکه باید لاگ‌های سرور IIS را برای شناسایی فعالیت‌های مشکوک وب‌شل (مانند فایل OutlookEN.aspx)، اجرای غیرمعمول WMI و الگوهای ترافیکی که نشان‌دهنده بک‌دورهای مبتنی بر حافظه است، به دقت زیر نظر داشته باشند.

“بذار خلاصه بگم 👇”

یه گروه هکر چینی جدید به اسم Phantom Taurus شناسایی شده که تخصصش جاسوسی طولانی‌مدت از دولت‌هاست. این گروه یه بدافزار جدید و مخفی به اسم NET-STAR ساخته که سرورهای وب رو آلوده می‌کنه و ردپای کمی از خودش به جا می‌ذاره.

منابع این بخش:

• Unit 42 Palo Alto Networks
• SecurityWeek
• The Hacker News

از گروه‌هایی مانند Phantom Taurus به دنبال جاسوسی بی‌سروصدا هستند، به یک ابتکار استراتژیک و گسترده در سطح صنعت از سوی مایکروسافت می‌پردازیم.

۶. ابتکار آینده امن مایکروسافت (SFI): امنیت در اولویت، نه یک قابلیت جانبی

ابتکار آینده امن مایکروسافت (Secure Future Initiative – SFI) نه یک محصول جدید، بلکه یک تحول فرهنگی و مهندسی عظیم در سراسر این شرکت است. این ابتکار که پاسخی استراتژیک به انتقادات مداوم از وضعیت امنیتی محصولات این شرکت است، نشان‌دهندهٔ تغییری بنیادین در فلسفه مایکروسافت است که در آن، امنیت بالاتر از هر اولویت دیگری، حتی توسعه ویژگی‌های جدید، قرار می‌گیرد و تلاشی برای تغییر پارادایم امنیتی کل صنعت است.

بر اساس گزارش پیشرفت نوامبر ۲۰۲۵ مایکروسافت، این شرکت با تخصیص نیرویی معادل ۳۴,۰۰۰ مهندس تمام‌وقت به حوزه امنیت، یکی از بزرگ‌ترین تلاش‌های تاریخ در زمینه امنیت سایبری را رهبری می‌کند. این ابتکار بر سه اصل اساسی استوار است: امنیت در طراحی (Secure by Design)، امنیت به صورت پیش‌فرض (Secure by Default) و عملیات امن (Secure Operations). گزارش اخیر به نوآوری‌های کلیدی در ویندوز و سرفیس اشاره می‌کند که بازتابی از این اولویت‌بندی جدید هستند.

نوآوری‌ها در ویندوز و سرفیس

این تلاش‌ها منجر به پیشرفت‌های ملموس در دو حوزه کلیدی شده است:

پیشرفت‌های امنیتی ویندوز

• ورود بدون رمز عبور (Passwordless): با استفاده از Passkeys و استانداردهای FIDO2، ویندوز به کاربران اجازه می‌دهد بدون نیاز به رمز عبور وارد سیستم شوند که خطر حملات فیشینگ را به شدت کاهش می‌دهد.
• احراز هویت چندعاملی مقاوم در برابر فیشینگ (Phishing-resistant MFA): مایکروسافت با ترویج اصول «اعتماد صفر» (Zero Trust)، تقریباً تمام کاربران خود را به استفاده از MFA مقاوم در برابر فیشینگ مجهز کرده است.
• به‌روزرسانی‌های Hotpatch: این فناوری به دستگاه‌ها اجازه می‌دهد تا به‌روزرسانی‌های امنیتی را بدون نیاز به راه‌اندازی مجدد (Restart) دریافت کنند. این امر باعث شده است که ۸۱٪ از دستگاه‌ها در عرض ۲۴ ساعت به‌روز شوند.
• بازیابی سریع دستگاه: در صورت بروز مشکل در فرآیند بوت، ویندوز ۱۱ می‌تواند به طور خودکار یک فرآیند بازیابی امن و متصل به ابر را آغاز کند.

رهبری سخت‌افزاری سرفیس

• سیستم‌عامل حافظه‌-امن (Memory-Safe Firmware): مایکروسافت با بازنویسی Firmware دستگاه‌های سرفیس (UEFI) با استفاده از زبان برنامه‌نویسی Rust، در حال مقابله با آسیب‌پذیری‌های ناشی از مدیریت نادرست حافظه است. این حرکت، یک اعتراف ضمنی به شکست زبان‌هایی مانند C/C++ در تضمین امنیت حافظه در طول دهه‌ها است، ضعفی که عامل ۷۰٪ از کل CVEهای سالانه مایکروسافت بوده است.
• درایورهای امن‌تر: سرفیس پیشگام توسعه درایورهای ویندوز با زبان Rust شده است. این کار باگ‌های مربوط به حافظه مانند buffer overflow را که عامل اصلی حوادث امنیتی مرتبط با درایورها هستند، حذف می‌کند.

تأثیر بر اکوسیستم گسترده‌تر

این نوآوری‌ها تنها به محصولات مایکروسافت محدود نمی‌شوند. مایکروسافت از طریق مشارکت دستگاه باز (Open Device Partnership – ODP)، دستاوردهای خود مانند firmware مبتنی بر Rust را با سایر تولیدکنندگان سخت‌افزار به اشتراک می‌گذارد تا سطح امنیت را در کل اکوسیستم ویندوز ارتقا دهد.

بذار خلاصه بگم 👇
مایکروسافت با یک طرح عظیم به نام «آینده امن»، امنیت را در اولویت اول تمام محصولاتش قرار داده است. این شرکت با بازنویسی کدهای حیاتی با زبان Rust و ارائه آپدیت‌های بدون نیاز به ری‌استارت، در حال ایمن‌سازی کل اکوسیستم ویندوز است.

منابع این بخش:

1. Microsoft Security Blog
2. MSFT News Now
3. Windows Experience Blog

---

جمع‌بندی

سرعت بی‌امان بهره‌برداری از آسیب‌پذیری‌های روز-صفر و کمپین‌های پیچیده APT، یک تغییر واضح در صنعت امنیت را نشان می‌دهد: حرکت به سمت دفاع پیشگیرانه و اتخاذ یک ذهنیت «هرگز اعتماد نکن، همیشه تأیید کن». این تغییر در ابتکاراتی مانند Secure Future Initiative (SFI) مایکروسافت، که بر پایه‌های مشخصی مانند نوشتن درایورها در زبان‌های ایمن از نظر حافظه مانند Rust استوار است، آینده امنیت کمتر به ساختن دیوارهای غیرقابل نفوذ و بیشتر به دستیابی به تاب‌آوری و واکنش سریع وابسته خواهد بود.

“Clarity builds trust. Let’s make complexity simple — together.” — ClaritySec