14 اسفند ماه 1403
0 
هفتهای پر از اتفاقات ناگوار در دنیای امنیت سایبری! از سوءاستفادههای روز صفر در اندروید گرفته تا استفاده از هوش مصنوعی برای اهداف مخرب و افشای اطلاعات حساس. در این هفته، یک فعال جوان صربستانی هدف حمله سایبری قرار گرفت، مایکروسافت از هویت افرادی که از ابزارهای هوش مصنوعی برای مقاصد مخرب استفاده میکردند پرده برداشت و یک مجموعه عظیم از اطلاعات محرمانه کشف شد. با ما همراه باشید تا نگاهی دقیقتر به این اتفاقات و روشهای محافظت از خود در برابر آنها داشته باشیم.
مرور هفتگی اخبار امنیت سایبری: هشدارهایی درباره سوءاستفادههای روز صفر، نقضهای امنیتی هوش مصنوعی و سرقتهای کریپتو
به گزارش زوم تک از The Hacker News، در این هفته، یک فعال 23 ساله صربستانی در معرض خطر دیجیتالی قرار گرفت، زمانی که یک سوءاستفاده روز صفر دستگاه اندرویدی او را به هدف تبدیل کرد. در همین حال، مایکروسافت از طرحی پرده برداشت که در آن مجرمان سایبری از ابزارهای هوش مصنوعی برای شوخیهای مضر استفاده میکردند و یک گنجینه عظیم از اسرار زنده کشف شد که به ما یادآوری میکند که حتی ابزارهایی که به آنها تکیه میکنیم میتوانند شگفتیهای خطرناکی را پنهان کنند.
ما طوفانی از تهدیدات سایبری – از کلاهبرداریهای فیشینگ گرفته تا حملات بدافزار – را بررسی کردهایم و آنچه را که برای شما به زبان ساده و روزمره معنی میدهد، تجزیه و تحلیل کردهایم. آماده شوید تا به جزئیات بپردازید، خطرات را درک کنید و یاد بگیرید که چگونه در یک دنیای آنلاین به طور فزایندهای غیرقابل پیشبینی از خود محافظت کنید.
⚡ تهدید هفته
فعال جوان صربستانی هدف حمله زنجیره سوءاستفاده روز صفر اندروید قرار گرفت
یک فعال جوان 23 ساله صربستانی با یک زنجیره سوءاستفاده روز صفر که توسط Cellebrite برای باز کردن قفل دستگاه و احتمالاً استقرار یک جاسوس افزار اندرویدی به نام NoviSpy توسعه یافته بود، هدف قرار گرفت. این نقصها CVE-2024-53104 را با CVE-2024-53197 و CVE-2024-50302 ترکیب کردند تا امتیازات را افزایش دهند و به اجرای کد برسند. این آسیبپذیریها که در ابتدا در هسته لینوکس وجود داشتند، در دسامبر 2024 برطرف شدند. CVE-2024-53104 از اوایل فوریه 2025 در اندروید برطرف شده است. در پاسخ به این تحول، Cellebrite اعلام کرد که دیگر به صربستان اجازه استفاده از نرمافزار خود را نمیدهد و اعلام کرد: «ما در حال حاضر توقف استفاده از محصولات خود توسط مشتریان مربوطه را مناسب دانستیم.»
اخبار مهم
مایکروسافت افراد پشت پرده طرح LLMjacking را افشا میکند
مایکروسافت هویت چهار نفر را که به گفته آن پشت یک طرح سوءاستفاده از Azure بودند، فاش کرد که شامل استفاده غیرمجاز از خدمات هوش مصنوعی مولد (GenAI) به منظور تولید محتوای توهینآمیز و مضر است. این کمپین که به LLMjacking نیز معروف است، ارائه دهندگان خدمات هوش مصنوعی مختلف را هدف قرار داده است و بازیگران تهدید این دسترسی را به سایر بازیگران مجرمانه میفروشند تا تولید غیرقانونی تصاویر صمیمی بدون رضایت از افراد مشهور و سایر محتوای جنسی صریح را در نقض سیاستهای آن تسهیل کنند.
مجموعه دادههای Common Crawl حاوی نزدیک به 12000 راز زنده است
تجزیه و تحلیل یک بایگانی دسامبر 2024 از Common Crawl نزدیک به 12000 راز زنده را کشف کرده است که بار دیگر نشان میدهد که اعتبارنامههای کدگذاری شده چگونه یک خطر امنیتی جدی برای کاربران و سازمانها ایجاد میکنند. علاوه بر این، آنها همچنین دارای عارضه جانبی ناخواسته تشدید مشکلی هستند که در آن مدلهای زبان بزرگ (LLM) به دلیل وجود اعتبارنامههای کدگذاری شده در دادههای آموزشی، به ارائه روشهای کدنویسی ناامن به کاربران خود ختم میشوند.
APT Silver Fox از Winos 4.0 برای هدف قرار دادن سازمانهای تایوانی استفاده میکند
شرکتهای تایوانی از طریق ایمیلهای فیشینگ که خود را به عنوان اداره مالیات ملی این کشور معرفی میکنند، با هدف ارائه بدافزار Winos 4.0 (با نام مستعار ValleyRAT) مورد هدف قرار گرفتهاند. Winos که از Gh0st RAT مشتق شده است، یک چارچوب بدافزار مدولار است که هم به عنوان یک تروجان دسترسی از راه دور و هم به عنوان یک چارچوب فرماندهی و کنترل (C2) عمل میکند. این بدافزار همچنین از طریق نصب کنندههای تروجان شده برای نمایشگرهای DICOM فیلیپس منتشر شده است. اکثر این مصنوعات در ایالات متحده و کانادا شناسایی شدهاند که نشان دهنده گسترش احتمالی هدف گذاری APT Silver Fox به مناطق و بخشهای جدید است.
استرالیا محصولات کسپرسکی را از شبکههای دولتی ممنوع میکند
استرالیا با استناد به «خطر امنیتی غیرقابل قبول برای دولت، شبکهها و دادههای استرالیا»، جدیدترین کشوری است که نصب نرمافزار امنیتی از شرکت روسی کسپرسکی را ممنوع میکند. بر اساس دستورالعمل جدید، نهادهای دولتی از نصب محصولات و خدمات وب کسپرسکی در سیستمها و دستگاههای دولتی از اول آوریل 2025 منع شدهاند. همچنین به آنها توصیه شده است که تمام نمونههای موجود را تا تاریخ قطع حذف کنند.
هک Bybit رسماً به گروه Lazarus نسبت داده شد
گروه Lazarus مرتبط با کره شمالی در هک رکورددار صرافی کریپتو Bybit که منجر به سرقت 1.5 میلیارد دلار دارایی دیجیتال شد، نقش داشته است. این حمله به یک خوشه تهدید ملقب به TraderTraitor نسبت داده شده است که قبلاً در ماه مه 2024 پشت سرقت ارزهای دیجیتال به ارزش 308 میلیون دلار از شرکت ارز دیجیتال DMM Bitcoin بود. تحقیقات بیشتر نشان داده است که این هک با به خطر انداختن یکی از دستگاههای توسعهدهنده مرتبط با پلتفرم کیف پول چند امضایی Safe{Wallet} انجام شده است که بر حسابی که توسط Bybit اداره میشود، تأثیر گذاشته است. TRM Labs گفت: «حمله Bybit از تاکتیکهای تثبیت شده کره شمالی برای هدف قرار دادن صرافیهای متمرکز ارزهای دیجیتال از طریق روشهایی مانند فیشینگ، به خطر انداختن زنجیره تامین و استراتژیهای سرقت کلید خصوصی تقلید میکند.» تجزیه و تحلیل زیرساخت همچنین نشان داده است که بازیگران تهدید چند ساعت قبل از وقوع سرقت، یک دامنه جعلی به نام bybit-assessment[.]com ثبت کردهاند. Silent Push که این دامنه را کشف کرد، به The Hacker News گفت که هیچ اطلاعاتی برای مرتبط کردن دامنه جعلی با خود هک واقعی پیدا نکرده است. اعتقاد بر این است که این دامنه ممکن است به عنوان بخشی از یک کمپین مرتبط دیگر با نام رمز Contagious Interview راه اندازی شده باشد. این شرکت همچنین خاطرنشان کرد که بازیگران تهدید پشت کمپین Contagious Interview به طور فعال شرکتهای مختلف ارزهای دیجیتال مانند Stripe، Coinbase، Binance، Block، Ripple، Robinhood، Tether، Circle، Kraken، Gemini، Polygon، Chainalysis، KuCoin، eToro، Bitstamp، Bitfinex، Gate.io، Pantera Capital، Galaxy، Bitwise Asset Management، Bitwise Investments، BingX، Gauntlet، XY Labs، YouHodler، MatChain، Bemo، Barrowwise، Bondex، Halliday، Holidu، Hyphen Connect و Windranger را هدف قرار میدهند. این شرکت افزود: «هر کسی که برای شغلی در یکی از این شرکتها درخواست میدهد، باید مراقب پیشنهادات شغلی مشکوک یا تاکتیکهای مصاحبه مشکوک باشد.»
CVE های پرطرفدار
نرمافزار مورد علاقه شما میتواند نقصهای امنیتی خطرناکی را پنهان کند – تا دیر نشده صبر نکنید! اکنون بهروزرسانی کنید و قبل از اینکه تهدیدها شما را غافلگیر کنند، از آنها جلوتر بمانید.
لیست این هفته شامل موارد زیر است: CVE-2025-27364 (MITRE Caldera)، CVE-2025-24752 (افزونههای ضروری برای افزونه Elementor)، CVE-2025-27090 (Sliver)، CVE-2024-34331 و بای پس آن (Parallels Desktop)، CVE-2025-0690 (GRUB2)، CVE-2024-12084، CVE-2024-12085، CVE-2024-12086، CVE-2024-12087، CVE-2024-12088 (RSync)، CVE-2025-0475، CVE-2025-0555 (GitLab)، CVE-2025-20111 (سوئیچهای سری Cisco Nexus 3000 و 9000)، CVE-2025-23363 (Siemens Teamcenter)، CVE-2025-0514 (CVE-2025-0514)، CVE-2025-1564 (افزونه عضویت SetSail)، CVE-2025-1671 (افزونه عضویت Academist)، CVE-2025-1638 (افزونه عضویت Alloggio)، CVE-2024-12824 (موضوع Nokri – Job Board WordPress Theme)، CVE-2024-9193 (افزونه WHMpress – WHMCS WordPress Integration Plugin)، CVE-2024-8420 (افزونه فرم DHVC)، CVE-2024-8425 (افزونه WooCommerce Ultimate Gift Card)، CVE-2025-25570 (Vue Vben Admin)، CVE-2025-26943 (افزونه Jürgen Müller Easy Quotes) و CVE-2025-1128 (افزونه Everest Forms – Contact Forms, Quiz, Survey, Newsletter & Payment Form Builder for WordPress).
اخبار دنیای سایبری
کوالکام و گوگل از همکاری امنیتی خبر دادند
کوالکام، سازنده تراشه، از همکاری با گوگل با هدف قادر ساختن تولیدکنندگان دستگاهها برای ارائه حداکثر هشت سال بهروزرسانی نرمافزار و امنیت خبر داد. این شرکت اعلام کرد: «با شروع گوشیهای هوشمند اندرویدی که روی پلتفرم موبایل Snapdragon 8 Elite اجرا میشوند، فناوریهای کوالکام اکنون به تولیدکنندگان دستگاهها این امکان را میدهد که حداکثر هشت سال متوالی بهروزرسانیهای نرمافزار و امنیت اندروید را ارائه دهند. گوشیهای هوشمندی که بر روی پلتفرمهای موبایل جدید سری Snapdragon 8 و 7 عرضه میشوند نیز واجد شرایط دریافت این پشتیبانی تمدید شده خواهند بود.» با این حال، تعهد هشت ساله فقط برای دستگاههایی که از تراشههای Snapdragon 8 Elite سازگار با Arm استفاده میکنند و اندروید 15 و همچنین نسخههای بعدی سری Snapdragon 8 و 7 را اجرا میکنند، اعمال میشود.
مایکروسافت 2 افزونه مخرب VSCode را حذف میکند
مایکروسافت دو افزونه محبوب VSCode، «Material Theme – Free» و «Material Theme Icons – Free» را از Visual Studio Marketplace به دلیل ادعای حاوی کد مخرب حذف کرده است. این دو افزونه در مجموع نزدیک به 9 میلیون بار دانلود شدهاند. اعتقاد بر این است که کد مخرب در بهروزرسانی افزونهها معرفی شده است که نشان دهنده حمله زنجیره تامین یا به خطر افتادن حساب توسعه دهنده است. مایکروسافت اعلام کرد که این توسعه دهنده را نیز ممنوع کرده است، که ادعا میکرد این مشکلات ناشی از وابستگی قدیمی Sanity.io است که «به نظر میرسد به خطر افتاده است». یکی دیگر از توسعه دهندگان اظهار داشت: «پس از هدف قرار گرفتن برای حذف، اقدام معقول و با حسن نیت که توسعه دهنده باید انجام میداد، این بود که با تیم VS Code تماس بگیرد و خود را در اختیار آنها قرار دهد تا به هر مشکلی که شناسایی کردهاند رسیدگی کند. در عوض، او چندین حساب مختلف برای ارسال همان افزونهها ایجاد کرد تا محدودیتها را دور بزند و توسعهدهندگان VS Code را در توطئهای برای سانسور شخصی او دخیل کند.»
بیش از 49000 سیستم مدیریت دسترسی نادرست پیکربندی شده علامت گذاری شدهاند
تحقیقات جدید بیش از 49000 سیستم مدیریت دسترسی (AMS) نادرست پیکربندی شده را در سراسر جهان، به ویژه در بخشهای ساخت و ساز، مراقبتهای بهداشتی، آموزش، تولید، نفت و دولت کشف کرده است. این پیکربندیهای نادرست، دادههای شخصی، عکسهای کارمندان، دادههای بیومتریک، برنامههای کاری، فیشهای حقوقی و سایر اطلاعات حساس را در معرض دید قرار میدهند. همچنین میتوان از آنها برای دسترسی به ساختمانها و به خطر انداختن امنیت فیزیکی سوء استفاده کرد. ایتالیا، مکزیک و ویتنام به عنوان کشورهای برتر با بیشترین در معرض دید قرار گرفتن ظاهر شدهاند. Modat گفت: «این پیکربندیهای نادرست، اطلاعات شخصی بسیار حساسی از جمله عکسهای کارمندان، نام کامل، شماره شناسایی، جزئیات کارت دسترسی، دادههای بیومتریک، شماره پلاک خودرو و در برخی موارد حتی برنامههای کاری کامل و تاریخچه دسترسی به تسهیلات را در معرض دید قرار دادند. به ویژه نگران کننده کشف الگوهای بیومتریک در معرض دید و دادههای تشخیص چهره در چندین سیستم کنترل دسترسی مدرن بود که در صورت دسترسی بازیگران مخرب میتواند خطرات جدی برای حریم خصوصی ایجاد کند.»
تلگرام همچنان پلتفرم برتر برای مجرمان سایبری است
علیرغم تعهدات جدید تلگرام، این برنامه پیام رسان همچنان به عنوان قطبی برای فعالیتهای مجرمانه سایبری باقی مانده است. به گفته Flare.io، برخی از پلتفرمهای دیگری که در حال افزایش محبوبیت هستند عبارتند از Discord، Signal، TOX، Session و Element/Matrix. در حالی که لینکهای دعوت Discord عمدتاً در انجمنهایی مانند Nulled، Cracked، VeryLeaks و DemonForums یافت میشدند، شناسههای مبتنی بر پروتکل Matrix و Element عمدتاً در انجمنهای متمرکز بر مواد مخدر مانند RuTOR، RCclub و BigBro یافت میشدند. شناسههای TOX و Jabber عمدتاً در XSS، CrdPro، BreachForums و انجمنهای Exploit به اشتراک گذاشته میشدند. این شرکت اعلام کرد: «افزایش همکاری بین تلگرام و مجریان قانون باعث بحثهایی در مورد پلتفرمهای جایگزین شده است که سیگنال بیشترین رشد را نشان میدهد. سایر برنامههای پیام رسان مانند Discord، TOX، Matrix و Session نقشهای خاصی را ایفا میکنند که اغلب به فعالیتها یا جوامع خاص مجرمان سایبری مرتبط هستند. بسیاری از بازیگران تهدید از چندین برنامه پیام رسان برای اطمینان از دسترسی و افزونگی در ارتباطات خود استفاده میکنند.»
OpenSSF بهترین شیوهها را برای پروژههای منبع باز منتشر میکند
بنیاد امنیت منبع باز (OpenSSF) خط پایه امنیت پروژه منبع باز (OSPS Baseline) را منتشر کرد، مجموعهای از الزامات سه لایه که هدف آن بهبود وضعیت امنیتی پروژههای نرمافزاری منبع باز است. OpenSSF اعلام کرد: «خط پایه OSPS یک چارچوب چند لایه از شیوههای امنیتی ارائه میدهد که با بلوغ پروژه تکامل مییابند. این راهنما، راهنماییهای موجود از OpenSSF و سایر گروههای متخصص را گردآوری میکند و وظایف، فرآیندها، مصنوعات و پیکربندیهایی را که امنیت توسعه و مصرف نرمافزار را افزایش میدهند، مشخص میکند. با رعایت خط پایه، توسعهدهندگان میتوانند پایه و اساسی ایجاد کنند که از انطباق با مقررات امنیت سایبری جهانی، مانند قانون تابآوری سایبری اتحادیه اروپا (CRA) و چارچوب توسعه نرمافزار ایمن (SSDF) موسسه ملی استاندارد و فناوری ایالات متحده (NIST) پشتیبانی میکند.» این تحول در حالی رخ میدهد که گوگل خواستار استانداردسازی ایمنی حافظه با «ایجاد یک چارچوب مشترک برای تعیین و ارزیابی عینی تضمینهای ایمنی حافظه» شده است.
MITRE چارچوب OCCULT را منتشر میکند
شرکت MITRE یک چارچوب ارزیابی عملیاتی سبک وزن به نام OCCULT را شرح داده است که به متخصصان امنیت سایبری اجازه میدهد تا خطرات احتمالی مرتبط با یک مدل زبان بزرگ (LLM) که در عملیات سایبری تهاجمی استفاده میشود را کمیت کنند. MITRE گفت: «هدف OCCULT در نهایت درک ظرفیت عملیات سایبری یک سیستم هوش مصنوعی است و کمیت کردن عملکرد در این ابعاد استدلال سایبری میتواند بینشی در مورد آن ارائه دهد.»
مرد میشیگانی به اتهام کلاهبرداری سیمی و سرقت هویت تشدید شده متهم شد
اندرو شنکوسکی، مرد 29 سالهای از ایالت میشیگان ایالات متحده، پس از خرید 2468 اعتبارنامه ورود به سیستم دزدیده شده از بازار
نظرات در مورد : نقض های امنیتی هوش مصنوعی و سرقت های کریپتو