امروزه، هر سیستم وصله نشده، رمز عبور لو رفته و افزونه نادیده گرفته شده، دریچهای برای مهاجمان است. زنجیرههای تامین به عمق کدی که به آن اعتماد داریم کشیده شدهاند و بدافزار نه تنها در برنامههای مشکوک، بلکه در پیشنهادات شغلی، سختافزار و خدمات ابری که هر روز به آنها تکیه میکنیم، پنهان میشود.
هکرها دیگر نیازی به اکسپلویتهای پیچیده ندارند. گاهی اوقات، اعتبارنامههای شما و کمی مهندسی اجتماعی کافی است.
این هفته، ما ردیابی میکنیم که چگونه اشتباهات ساده به نقضهای بزرگ تبدیل میشوند و تهدیدات خاموشی که اکثر شرکتها هنوز آنها را دست کم میگیرند.
بیایید به عمق ماجرا بپردازیم.
تهدیدات هفته : VPNها هک شدند؟ اوراکل چه پنهان میکند؟ ClickFix چطور ترکوند؟
UNC5221 از نقص جدید Ivanti برای رها کردن بدافزار سوء استفاده میکند – گروه جاسوسی سایبری China-nexus که با نام UNC5221 ردیابی میشود، از یک نقص که اکنون وصله شده در Ivanti Connect Secure، CVE-2025-22457 (امتیاز CVSS: 9.0) سوء استفاده کرد تا یک دراپر درون حافظهای به نام TRAILBLAZE، یک درب پشتی غیرفعال با نام رمز BRUSHFIRE و مجموعه بدافزار SPAWN را تحویل دهد. این آسیبپذیری در ابتدا توسط Ivanti در 11 فوریه 2025 وصله شد، که نشان میدهد تهدیدگران این وصله را مطالعه کرده و راهی برای بهرهبرداری از نسخههای قبلی برای نقض سیستمهای وصله نشده پیدا کردهاند. اعتقاد بر این است که UNC5221 با خوشههایی که توسط جامعه گستردهتر امنیت سایبری تحت نامهای مستعار APT27، Silk Typhoon و UTA0178 ردیابی میشوند، همپوشانی دارد.
اخبار برتر
- EncryptHub به عنوان یک بازیگر احتمالاً گرگ تنها فاش شد – یک تهدیدگر نوظهور که با نام مستعار EncryptHub فعالیت میکند، به دلیل یک سری اشتباهات امنیتی عملیاتی فاش شده است. آنچه EncryptHub را از سایر مجرمان سایبری معمولی متمایز میکند، دوگانگی فعالیتهای آنلاین آنها است – در حالی که کمپینهای مخرب را انجام میداد، این فرد به طور همزمان در تحقیقات امنیتی قانونی مشارکت داشت، حتی ماه گذشته به دلیل کشف و گزارش CVE-2025-24061 و CVE-2025-2407 از مرکز پاسخ امنیتی مایکروسافت (MSRC) تقدیر دریافت کرد. جنبه جالب دیگر EncryptHub استفاده آنها از OpenAI ChatGPT به عنوان “شریک جرم” است که از آن برای توسعه بدافزار و وظایف ترجمه استفاده میکند. در برخی از مکالمات به ویژه آشکار با ربات چت هوش مصنوعی (AI)، EncryptHub از آن خواست تا ارزیابی کند که آیا برای “هکر کلاه سیاه یا کلاه سفید” مناسبتر است و آیا “هکر باحال بودن یا محقق مخرب بودن” بهتر است، حتی تا جایی پیش رفت که به فعالیتهای مجرمانه و اکسپلویتهایی که توسعه داده بود، اعتراف کرد. Outpost24 گفت: “وقتی مردم به مجرمان سایبری فکر میکنند، تمایل دارند تیمهای با فناوری پیشرفته و تحت حمایت دولت و هکرهای نخبه را تصور کنند که از فناوری پیشرفته استفاده میکنند.” “با این حال، بسیاری از هکرها افراد عادی هستند که در مقطعی تصمیم گرفتند مسیر تاریکی را دنبال کنند.”
- زنجیره تامین GitHub Action به سرقت PAT SpotBugs ردیابی شد – حمله زنجیره تامین آبشاری که در ابتدا Coinbase را هدف قرار داد و سپس دامنه وسیعتری پیدا کرد تا کاربران GitHub Action “tj-actions/changed-files” را هدف قرار دهد، بیشتر به سرقت یک توکن دسترسی شخصی (PAT) مرتبط با یک پروژه متن باز دیگر به نام SpotBugs ردیابی شده است. منشاء این نقض پیچیده در میان تحقیقات مداوم به آرامی در حال آشکار شدن است و نشان میدهد که چگونه سازش اولیه رخ داده است. اکنون مشخص شده است که ابزار محبوب تجزیه و تحلیل ایستا، SpotBugs، در نوامبر 2024 مورد سازش قرار گرفت و از آن به عنوان یک نقطه شروع برای سازش “reviewdog/action-setup” استفاده شد که متعاقباً منجر به آلودگی “tj-actions/changed-files” شد. این به این دلیل امکان پذیر شد که نگهدارنده reviewdog نیز به مخازن SpotBugs دسترسی داشت. حمله زنجیره تامین چند مرحلهای در نهایت منجر به افشای اسرار در 218 مخزن شد، پس از آنکه مهاجمان در تلاش خود برای نقض پروژههای مرتبط با Coinbase ناکام ماندند.
- مصاحبههای مسری ClickFix را پذیرفته و بستههای جعلی npm را منتشر میکند – تهدیدگران کره شمالی که در پشت کمپین مصاحبههای مسری در جریان هستند، مشاهده شدهاند که استراتژی مهندسی اجتماعی بدنام ClickFix را برای تحویل یک درب پشتی قبلاً ثبت نشده به نام GolangGhost پذیرفتهاند. این گروه متخاصم همچنین تا 11 بسته npm منتشر کرده است که بدافزار سرقت اطلاعات BeaverTail و همچنین یک لودر تروجان دسترسی از راه دور (RAT) جدید را تحویل میدهند. این بستهها قبل از حذف بیش از 5600 بار دانلود شده بودند. در همین حال، کارگران فناوری اطلاعات کره شمالی تلاشهای خود را فراتر از ایالات متحده گسترش میدهند و به دنبال به دست آوردن استخدام متقلبانه در سازمانها در سراسر جهان، به ویژه در اروپا هستند. محققان گوگل جنگجویان فناوری اطلاعات را به درگیر شدن در “الگویی از ارائه مراجع ساختگی، ایجاد رابطه با استخدام کنندگان شغلی و استفاده از شخصیتهای اضافی که کنترل میکردند برای تضمین اعتبار خود” متهم کردند. علاوه بر این، آنها به طور فزایندهای پس از کشف و/یا اخراج، سعی در اخاذی پول از این شرکتها دارند. در سالهای اخیر، دولت ایالات متحده تلاش متمرکزی برای افزایش آگاهی در مورد عملیات تهدید داخلی، ریشهکن کردن و مجازات تسهیلکنندگان مستقر در ایالات متحده، کشف کارگران فناوری اطلاعات و شرکتهای نمایشی که به این کارگران کمک میکنند تا منشاء واقعی خود را پنهان کنند و کمک به سازمانها برای شناسایی خطر قبل از اینکه خیلی دیر شود، انجام داده است. به احتمال زیاد، این تلاشهای تشدید شده اجرای قانون باعث شده است که مجریان این طرح بیشتر بر روی اهداف واقع در جاهای دیگر تمرکز کنند و در عین حال آنها را به پذیرش اقدامات تهاجمیتر برای حفظ جریانهای درآمدی سوق دهد.
- نسخههای جعلی گوشیهای اندرویدی از قبل با بدافزار Triada نصب شدهاند – نسخههای تقلبی مدلهای محبوب گوشیهای هوشمند که با قیمتهای کاهش یافته به فروش میرسند، مشخص شده است که از قبل با نسخه اصلاح شده یک بدافزار اندرویدی به نام Triada نصب شدهاند. اکثریت عفونتها در روسیه گزارش شده است. اعتقاد بر این است که این عفونتها نتیجه سازش زنجیره تامین سختافزار است، اگرچه مشاهده شده است که Triada از طریق مدهای غیررسمی واتساپ و بازارهای برنامه شخص ثالث منتشر میشود.
- بازیگران بد از mu-plugins برای پنهان کردن بدافزار سوء استفاده میکنند – تهدیدگران از دایرکتوری mu-plugins (“پلاگینهای ضروری”) وردپرس برای اجرای مخفیانه کد مخرب در هر صفحه در حین فرار از شناسایی استفاده میکنند. از آنجایی که mu-plugins در هر بارگذاری صفحه اجرا میشوند و در لیست پلاگینهای استاندارد ظاهر نمیشوند، میتوان از آنها برای انجام مخفیانه طیف گستردهای از فعالیتهای مخرب مانند سرقت اعتبار، تزریق کد مخرب یا تغییر خروجی HTML استفاده کرد.
CVEهای پرطرفدار
مهاجمان عاشق آسیبپذیریهای نرمافزاری هستند—آنها درهای آسانی به سیستمهای شما هستند. هر هفته نقصهای جدیدی به وجود میآیند و منتظر ماندن بیش از حد برای وصله کردن میتواند یک اشتباه جزئی را به یک نقض بزرگ تبدیل کند. در زیر آسیبپذیریهای بحرانی این هفته آمده است که باید در مورد آنها بدانید. نگاهی بیندازید، نرمافزار خود را به سرعت بهروزرسانی کنید و مهاجمان را بیرون نگه دارید.
لیست این هفته شامل — CVE-2025-22457 (Ivanti Connect Secure، Policy Secure و ZTA Gateway)، CVE-2025-30065 (Apache Parquet)، CVE-2024-10668 (Google Quick Share برای ویندوز)، CVE-2025-24362 (github/codeql-action)، CVE-2025-1268 (Canon)، CVE-2025-1449 (Rockwell Automation Verve Asset Manager)، CVE-2025-2008 (پلاگین WP Ultimate CSV Importer)، CVE-2024-3660 (TensorFlow Keras)، CVE-2025-20139 (Cisco Enterprise Chat and Email)، CVE-2025-20212 (سرور Cisco AnyConnect VPN از Cisco Meraki MX و Cisco Meraki Z Series)، CVE-2025-27520 (BentoML)، CVE-2025-2798 (تم Woffice CRM)، CVE-2025-2780 (پلاگین Woffice Core)، CVE-2025-31553 (پلاگین WPFactory Advanced WooCommerce Product Sales Reporting)، CVE-2025-31579 (پلاگین EXEIdeas International WP AutoKeyword) و CVE-2025-31552 (پلاگین RSVPMarker) است.
در سراسر دنیای سایبری
- اوراکل به طور خصوصی نقض دادهها را تأیید میکند – غول رایانش سازمانی، اوراکل، گزارشها حاکی از آن است که به طور خصوصی به مشتریان خود اطلاع میدهد که هکرها یک محیط “قدیمی” اوراکل را به خطر انداختهاند و نامهای کاربری، کلیدهای عبور و گذرواژههای رمزگذاری شده را در معرض دید قرار دادهاند، که با انکار مداوم عمومی خود در مورد این حادثه مغایرت دارد. بلومبرگ گزارش داد: “این شرکت به مشتریان اطلاع داد که این سیستم به مدت هشت سال مورد استفاده قرار نگرفته است و بنابراین اعتبارنامههای سرقت شده خطر کمی دارند.” تحقیقات توسط اداره تحقیقات فدرال ایالات متحده (FBI) و CrowdStrike گزارش شده است که در حال انجام است. این دومین نقضی است که این شرکت در هفتههای اخیر به مشتریان خود اذعان کرده است. این نفوذ جدا از یک هک دیگر در Oracle Health (که قبلاً Cerner بود) است که ماه گذشته برخی از مشتریان مراقبتهای بهداشتی ایالات متحده را تحت تأثیر قرار داد. اخبار مربوط به این نقض پس از آن آشکار شد که یک تهدیدگر ناشناس به نام “rose87168” تلاش کرد دادههایی را در BreachForums بفروشد که ادعا میکرد از سرورهای ابری این شرکت به سرقت برده است. چندین شرکت امنیت سایبری، از جمله Black Kite، CloudSEK، CyberAngel، Hudson Rock، Orca Security، SOCRadar، Sygnia و Trustwave، دادههای ارسال شده برای فروش آنلاین را به عنوان استخراج مستقیم از اوراکل تجزیه و تحلیل و تأیید کردهاند. اعتقاد بر این است که مهاجم با بهرهبرداری از یک آسیبپذیری وصله نشده در Oracle Fusion Middleware (CVE-2021-35587) سیستم ورود و احراز هویت Oracle Cloud را به خطر انداخته و دادهها را به سرقت برده است. CyberAngel گفت: “این قرار گرفتن از طریق یک اکسپلویت جاوا 2020 تسهیل شد و هکر توانست یک وب شل همراه با بدافزار نصب کند. این بدافزار به طور خاص پایگاه داده Oracle IDM را هدف قرار داد و توانست دادهها را خارج کند.” محقق امنیتی کوین بومونت گفت: “اوراکل در تلاش است تا اظهارات خود را در مورد Oracle Cloud با استفاده از کلمات بسیار خاص بیان کند تا از مسئولیت شانه خالی کند.” و افزود: “اوراکل خدمات قدیمی Oracle Cloud را به Oracle Classic تغییر نام داد. Oracle Classic دارای حادثه امنیتی است. اوراکل آن را در ‘Oracle Cloud’ با استفاده از این دامنه انکار میکند – اما همچنان خدمات ابری Oracle است که Oracle مدیریت میکند. این بخشی از بازی با کلمات است.” CloudSEK یک ابزار آنلاین توسعه داده است که به سازمانها امکان میدهد بررسی کنند که آیا تحت تأثیر نقض دادهها قرار گرفتهاند یا خیر. اعتراف خصوصی اوراکل تنها چند روز پس از آن صورت گرفت که این شرکت به دلیل نحوه رسیدگی به این رویداد امنیتی با یک شکایت دسته جمعی مواجه شد.
- Triton RAT جدید در طبیعت ظاهر میشود – یک تروجان دسترسی از راه دور جدید مبتنی بر پایتون به نام Triton RAT به تهدیدگران اجازه میدهد تا از راه دور به یک سیستم با استفاده از تلگرام دسترسی داشته باشند و آن را کنترل کنند. این بدافزار که در پایتون نوشته شده است، به صورت عمومی در GitHub در دسترس است و دارای قابلیتهایی برای ثبت ضربات کلید، اجرای دستورات، ضبط صفحه نمایش، جمعآوری اطلاعات Wi-Fi و سرقت گذرواژهها، محتوای کلیپ بورد و کوکیهای امنیتی Roblox است. Cado Security گفت: “یک کوکی امنیتی Roblox یک کوکی مرورگر است که جلسه کاربران را ذخیره میکند و میتواند برای دسترسی به حساب Roblox با دور زدن 2FA استفاده شود.” این افشاگری در حالی صورت میگیرد که CYFIRMA جزئیات RAT دیگری را که در پایتون نوشته شده است، منتشر کرد که از API دیسکورد برای فرمان و کنترل (C2) به منظور اجرای دستورات سیستم دلخواه، سرقت اطلاعات حساس، گرفتن اسکرین شات و دستکاری ماشینهای محلی و سرورهای دیسکورد استفاده میکند.
- وزارت دادگستری ایالات متحده از بازیابی 8.2 میلیون دلار سرقت شده در کلاهبرداری طعمهگذاری عاشقانه خبر داد – وزارت دادگستری ایالات متحده (DoJ) از بازیابی 8.2 میلیون دلار USDT (تتر) خبر داد که از طریق کلاهبرداری طعمهگذاری عاشقانه (که قبلاً قصابی خوک نامیده میشد) به سرقت رفته بود. بر اساس شکایتی که در اواخر فوریه 2025 ثبت شد، این کلاهبرداری زنی را در اوهایو هدف قرار داد که پس از پاسخ دادن به پیامکی از یک شماره ناشناس در نوامبر 2023، کل پس انداز زندگی خود را به مبلغ تقریبی 663352 دلار از دست داد. در حالی که مکالمه اولیه حول موضوعاتی مانند سرگرمیها و مذهب میچرخید، قربانی متقاعد شد که حسابی را در crypto.com باز کند و پول خود را به این حساب منتقل کند. وزارت دادگستری گفت: “هنگامی که قربانی میخواست وجوه را برداشت کند، “دوست” او تسلیم شد و گفت پرداختهای اضافی لازم بود و او موافقت کرد.” “هنگامی که قربانی پس از انجام پرداختهای اضافی، دیگر پولی برایش باقی نمانده بود، “دوست” او شروع به تهدید او کرد که دوستانش را میفرستد تا “از دوستان و خانواده او مراقبت کنند.” تخمین زده میشود که بیش از 30 قربانی در مجموع فریب این طرح را خورده باشند.
- ClickFix برای تحویل QakBot استفاده میشود – تکنیک ClickFix که به طور فزایندهای محبوب است، به عنوان یک بردار تحویل برای توزیع بدافزار QakBot که قبلاً غیرفعال بود، استفاده شده است. این حمله بدافزار را با ClickFix، یک روش سازش نقطه پایانی که برای اولین بار در اواخر سال 2024 مشاهده شد و از آن زمان تاکنون در ماههای اخیر کشش قابل توجهی به دست آورده است، جفت میکند. این شامل فریب دادن قربانی برای اجرای یک دستور مخرب به بهانه رفع یک مشکل، معمولاً یک چالش تأیید CAPTCHA است.
- نقص در فیلتر تماس Verizon فاش شد – برنامه فیلتر تماس Verizon دارای یک آسیبپذیری بود که به مشتریان امکان میداد از طریق یک درخواست API ناامن به نقطه پایانی “clr-aqx.cequintvzwecid.com/clr/callLogRetrieval” به گزارش تماسهای ورودی برای شماره Verizon Wireless دیگری دسترسی داشته باشند. اما محقق امنیتی ایوان کانلی، که این باگ را در 22 فوریه 2025 کشف و گزارش کرد، دریافت که درخواستی که حاوی شماره تلفن مورد استفاده برای بازیابی گزارش تاریخچه تماس است، در برابر شماره تلفنی که گزارش تماسهای ورودی آن درخواست میشد، تأیید نشده است. این میتوانست دری را به روی سناریویی باز کند که در آن یک مهاجم میتوانست درخواست را با شماره تلفن Verizon دیگری تغییر دهد تا گزارش تاریخچه تماسهای ورودی آنها را بازیابی کند. این آسیبپذیری از 25 مارس 2025 توسط Verizon برطرف شده است.
- GitHub بهروزرسانیهایی را برای پلتفرم امنیت پیشرفته خود رونمایی کرد – GitHub پس از اینکه سرویس اسکن مخفی آن بیش از 39 میلیون راز لو رفته را در مخازن سال گذشته شناسایی کرد، بهروزرسانیهایی را برای پلتفرم امنیت پیشرفته خود اعلام کرد. این شامل یک اسکن مخفی رایگان در سطح سازمان برای کمک به تیمها برای شناسایی و کاهش قرار گرفتن در معرض، و همچنین در دسترس بودن حفاظت مخفی GitHub و یک ابزار ارزیابی ریسک مخفی جدید است که هدف آن ارائه “بینشهای واضح در مورد قرار گرفتن در معرض سازمان شما” است.
- معایب امنیتی جدید Ubuntu Linux تشریح شد – سه دور زدن امنیتی در محدودیتهای فضای نام کاربر غیرمجاز Ubuntu Linux کشف شده است که میتواند یک مهاجم محلی را قادر سازد تا از آسیبپذیریها در اجزای هسته سوء استفاده کند. این دور زدنها که از طریق aa-exec، busybox و LD_PRELOAD رخ میدهند، به مهاجمان اجازه میدهند تا فضاهای نام کاربر را با امتیازات بالا ایجاد کنند. Qualys در بیانیهای گفت: “این دور زدنها مهاجمان محلی را قادر میسازد تا فضاهای نام کاربر را با قابلیتهای کامل اداری ایجاد کنند که سوء استفاده از آسیبپذیریها در اجزای هسته را که نیاز به امتیازات اداری قدرتمند در یک محیط محدود دارند، تسهیل میکند. توجه به این نکته مهم است که این دور زدنها به تنهایی امکان تصاحب کامل سیستم را فراهم نمیکنند. با این حال، هنگامی که با سایر آسیبپذیریها، معمولاً مرتبط با هسته، ترکیب شوند، خطرناک میشوند.” Ubuntu، که این مسائل را تأیید کرد، گفت که در تلاش است تا “قوانین سختگیری بیشتر در AppArmor را پیادهسازی کند.”
- Classiscam آسیای مرکزی را هدف قرار میدهد – Classiscam یک عملیات خودکار کلاهبرداری به عنوان یک سرویس است که از رباتهای تلگرام برای ایجاد وبسایتهای جعلی با جعل هویت خدمات قانونی در تلاش برای فریب قربانیان برای به اشتراک گذاشتن اطلاعات مالی خود استفاده میکند. این کلاهبرداری که Telekopye نیز نامیده میشود، اساساً شامل این است که کلاهبرداران یا به عنوان خریدار یا فروشنده در پلتفرمهای آنلاین ظاهر میشوند تا قربانیان را فریب دهند تا برای کالاها یا خدمات غیر موجود پول انتقال دهند یا فروشنده را متقاعد کنند که از یک سرویس تحویل برای تراکنش از طریق یک وبسایت تحویل جعلی استفاده کند که به دنبال اطلاعات مالی آنها است. این مکالمات از طریق یک برنامه پیامرسان مانند تلگرام با این ادعا که “ارتباط آسانتر است” انجام میشود. تحقیقات Group-IB نشان داده است که بیش از ده موسسه مالی در ازبکستان، از جمله بانکها و سیستمهای پرداخت برجسته، هدف طرحهای فیشینگ قرار گرفتهاند که از سایتهای جعلی با جعل هویت خدمات برای به دست آوردن اطلاعات بانکی مشتریان خود استفاده میکنند. یکی از این تیمها که در طرح متقلبانه شرکت دارد، تیم Namangun است که از اواخر نوامبر 2024 عمدتاً خدمات فیشینگ را با هدف ازبکستان و قرقیزستان ارائه کرده است و به مشتریان خود اجازه میدهد تا صفحات فیشینگ را در حین پرواز ایجاد کنند.
- گوگل با NVIDIA و HiddenLayer برای یک کتابخانه امضای مدل جدید همکاری میکند – گوگل با همکاری NVIDIA و HiddenLayer، از انتشار یک کتابخانه پایتون به نام “model-signing” خبر داده است که به توسعهدهندگان راهی برای امضا و تأیید مدلهای یادگیری ماشین (ML) ارائه میدهد تا تلاشها برای تقویت امنیت زنجیره تامین ML و محافظت در برابر تهدیدات نوظهوری مانند مسمومیت مدل و داده، تزریق سریع، نشت سریع و فرار سریع را تقویت کند. این غول فناوری گفت: “با استفاده از امضاهای دیجیتال مانند امضاهای Sigstore، به کاربران اجازه میدهیم تأیید کنند که مدلی که توسط برنامه استفاده میشود دقیقاً همان مدلی است که توسط توسعهدهندگان ایجاد شده است.” این توسعه در حالی صورت میگیرد که پایتون رسماً یک فرمت فایل قفل را به عنوان بخشی از PEP 751 استاندارد کرد. فرمت جدید، به نام pylock.toml، یک فرمت مبتنی بر TOML است که نسخههای دقیق وابستگی، هشهای فایل و منابع نصب را ثبت میکند. Socket گفت: “این استاندارد جدید پایتون را با سایر اکوسیستمها مانند جاوا اسکریپت (package-lock.json)، راست (Cargo.lock) و Go (go.sum) همسو میکند.” “در حالی که PEP به تمام تهدیدات زنجیره تامین (مانند typosquatting، سازش حساب نگهدارنده و بارهای پنهان) نمیپردازد، زمینه را برای ممیزی بهتر و مقاومت در برابر دستکاری فراهم میکند.”
- تروجان Arcanum از طریق سایتهای فالگیری توزیع میشود – یک تروجان جدید به نام Arcanum از طریق وبسایتهای اختصاص داده شده به فالگیری و اعمال باطنی توزیع میشود و خود را به عنوان یک برنامه “جادویی” برای پیشبینی آینده معرفی میکند. این برنامه در حالی که عملکرد به ظاهر بیضرر ارائه میدهد، برای استقرار بارهای اضافی، از جمله Autolycus. Hermes stealer، ماینر Karma.Miner و بدافزار رمزنگاری Lysander.Scytale، به یک سرور از راه دور متصل میشود. اطلاعات ثبت شده متعاقباً به یک سرور کنترل شده توسط مهاجم خارج میشود. ظهور این بدافزار همزمان با کشف یک بدافزار اسکیمر کارت اعتباری به نام رمز RolandSkimmer است که کاربران تجارت الکترونیک در بلغارستان را از طریق یک فایل میانبر ویندوز (LNK) که از طریق آرشیوهای ZIP توزیع میشود، هدف قرار میدهد. فایل LNK سپس یک فرآیند چند مرحلهای را آغاز میکند که یک افزونه مخرب مرورگر را روی مرورگرهای وب نصب میکند تا اطلاعات کارت اعتباری را به سرقت ببرد. Fortinet گفت: “مهاجمان از بارهای جاوا اسکریپت با دقت ساخته شده، فایلهای مانیفست گمراهکننده و VBScript مبهم برای حفظ ماندگاری در بین جلسات و جلوگیری از شناسایی استفاده میکنند.”
- حملات مبتنی بر هویت در حال افزایش است – به گفته سیسکو تالوس، مهاجمان به جای استفاده از روشهای پیچیدهتری مانند بهرهبرداری از آسیبپذیریها یا استقرار بدافزار، به شدت به نقاط دسترسی فعال شده با اعتبارنامه برای نفوذ به شبکهها و تقویت عملیات خود متکی هستند. به طور خاص، گروههای باجافزار شناخته شدهاند که از اعتبارنامههای دزدیده شده اما معتبر به دست آمده از کارگزاران دسترسی اولیه (IABs) به عنوان وسیلهای برای دسترسی اولیه به شبکههای شرکتی استفاده میکنند. IABها به نوبه خود، از دزدان اطلاعات در دسترس تجاری مانند Lumma برای ثبت اعتبارنامههای کاربران استفاده میکنند. این وضعیت همچنین با این واقعیت تشدید میشود که بسیاری از کاربران گذرواژهها را در چندین سرویس بازیافت میکنند و در صورت سرقت اعتبارنامههایشان، یک “اثر موجی از خطر” ایجاد میکنند. بر اساس ترافیک مشاهده شده بین سپتامبر و نوامبر 2024، 41 درصد از ورودهای موفق در وبسایتهای محافظت شده توسط Cloudflare شامل گذرواژههای در معرض خطر است. علاوه بر این، از اعتبارنامههای معتبر VPN میتوان برای به دست آوردن دسترسی نامحدود به سیستمهای حساس، اغلب با امتیازات بالایی که منعکس کننده امتیازات کارمندان یا مدیران قانونی است، سوء استفاده کرد. استفاده از اعتبارنامههای قانونی توسط تهدیدگران به طور کامل موانع امنیتی را دور میزند و به آنها یک “مسیر مستقیم برای نفوذ به شبکهها، سرقت دادهها و استقرار باجافزار به صورت پنهانی و بدون شناسایی” میدهد. این شرکت گفت: “حملات مبتنی بر هویت برای تهدیدگران جذاب هستند زیرا میتوانند به یک مهاجم اجازه دهند تا طیف وسیعی از عملیات مخرب را، اغلب با حداقل تلاش یا بدون مواجهه با مقاومت زیاد از نظر امنیتی، انجام دهد.” “این تا حد زیادی به دلیل دشوار بودن شناسایی این فعالیت است زیرا از حسابهای کاربری به ظاهر قانونی ناشی میشود.” دادههای جمعآوری شده توسط این شرکت نشان میدهد که برنامههای مدیریت هویت و دسترسی (IAM) بیشتر از همه در حملات MFA هدف قرار میگرفتند و 24 درصد از کل حملات هدفمند به احراز هویت چند عاملی (MFA) را به خود اختصاص میدادند.
- OilRig مرتبط با ایران نهادهای عراقی را هدف قرار میدهد – گروه هکری ایرانی معروف به OilRig (با نام مستعار APT34) از سال 2024 به مجموعهای از حملات سایبری علیه نهادهای دولتی عراق نسبت داده شده است که شامل استفاده از ترفندهای نیزه ماهیگیری برای استقرار یک درب پشتی است که میتواند دستورات را اجرا کند، اطلاعات میزبان را جمعآوری کند و فایلها را بارگذاری/دانلود کند. درب پشتی از HTTP و ایمیل برای ارتباطات C2 استفاده میکند. ThreatBook گفت: “اولی به طور مخفیانه دستورالعملهای کنترل را بر اساس مقدار مشخصه محتوای بدنه ارسال میکند و دومی از تعداد زیادی صندوق پستی رسمی دولت عراق برای ارتباط ایمیلی استفاده میکند.
وبینار تخصصی
- Shadow AI در حال حاضر در برنامههای شما وجود دارد – بیاموزید چگونه آن را قفل کنید – ابزارهای هوش مصنوعی در حال هجوم به محیط شما هستند – و اکثر تیمهای امنیتی نیمی از آنها را نمیبینند. Shadow AI بیصدا به سیستمهای حیاتی مانند Salesforce متصل میشود و خطرات پنهانی را ایجاد میکند که دفاعهای سنتی از آن غافل هستند. به Dvir Sasson، مدیر تحقیقات امنیتی Reco بپیوندید تا کشف کنید تهدیدات هوش مصنوعی در برنامههای SaaS شما کجا پنهان شدهاند، داستانهای حمله دنیای واقعی و اینکه چگونه تیمهای پیشرو هوش مصنوعی سرکش را قبل از اینکه آسیب واقعی وارد کند، شناسایی و متوقف میکنند.
- هر مرحله از چرخه عمر هویت را ایمن کنید – قبل از اینکه مهاجمان از آن بهرهبرداری کنند – مهاجمان امروزی از دیپ فیکها و مهندسی اجتماعی مبتنی بر هوش مصنوعی برای دور زدن دفاعهای هویت ضعیف استفاده میکنند. ایمن کردن کل سفر هویت – از ثبت نام تا دسترسی روزانه تا بازیابی – اکنون ضروری است. به Beyond Identity و Nametag بپیوندید تا بیاموزید که چگونه شرکتها از تصاحب حساب جلوگیری میکنند، دسترسی را با MFA مقاوم در برابر فیشینگ و اعتماد دستگاه ایمن میکنند و در برابر تهدیدات هوش مصنوعی با دفاع Deepfake™ محافظت میکنند.
ابزارهای امنیت سایبری
- GoResolver – معکوس کردن مهندسی بدافزار Golang دشوار است – مبهم سازهایی مانند Garble توابع حیاتی را پنهان میکنند. GoResolver، ابزار متن باز Volexity، از شباهت نمودار جریان کنترل برای بازیابی نام توابع پنهان و آشکار کردن ساختارهای بسته به طور خودکار استفاده میکند. این ابزار که با IDA Pro و Ghidra یکپارچه شده است، باینریهای مات را سریعتر به کد خوانا تبدیل میکند. اکنون در GitHub در دسترس است.
- Matano – این یک دریاچه داده امنیتی بدون سرور و بومی ابری است که برای AWS ساخته شده است و به تیمهای امنیتی کنترل کامل بر روی گزارشهای خود را بدون قفل شدن فروشنده میدهد. دادههای امنیتی بدون ساختار را در زمان واقعی عادی میکند، با بیش از 50 منبع خارج از جعبه ادغام میشود، از شناسایی به عنوان کد در پایتون پشتیبانی میکند و گزارشها را با استفاده از اسکریپت قدرتمند VRL تبدیل میکند – همه در قالبهای باز مانند Apache Iceberg و ECS ذخیره میشوند. دادههای خود را با ابزارهایی مانند Athena یا Snowflake پرس و جو کنید، شناساییهای بیدرنگ بنویسید و هزینههای SIEM را کاهش دهید در حالی که مالکیت تجزیه و تحلیل امنیتی خود را حفظ میکنید.
نکته هفته
تشخیص زودهنگام تهدیدات با ردیابی اتصالات بار اول – اکثر مهاجمان اولین سرنخ واقعی خود را نه با بدافزار، بلکه هنگام ورود برای اولین بار – از یک IP، دستگاه یا مکان جدید – به جا میگذارند. شناسایی رویدادهای دسترسی “بار اول” یکی از سریعترین راهها برای شناسایی زودهنگام نقضها، قبل از اینکه مهاجمان در ترافیک روزانه ترکیب شوند، است. روی سیستمهای حیاتی تمرکز کنید: VPNها، پورتالهای مدیریت، داشبوردهای ابری و حسابهای سرویس.
میتوانید این کار را به راحتی با ابزارهای رایگان مانند Wazuh (دستگاهها و IPهای جدید را شناسایی میکند)، OSQuery (نقاط پایانی ناشناخته را پرس و جو میکند) یا Graylog (هشدارهایی را برای اتصالات ناآشنا ایجاد میکند) خودکار کنید. تنظیمات پیشرفتهتر مانند Microsoft Sentinel یا CrowdStrike Falcon Free نیز شناسایی “اولین بار دیده شده” را در مقیاس ارائه میدهند. قوانین ساده – مانند هشدار دادن زمانی که یک حساب مدیر از یک کشور جدید وارد سیستم میشود یا یک دستگاه غیرمنتظره به دادههای حساس دسترسی پیدا میکند – میتواند زنگهای هشدار اولیه را بدون منتظر ماندن برای امضاهای بدافزار به صدا درآورد.
حرکت حرفهای: کاربران، IPها و دستگاههای “شناخته شده” خود را پایه گذاری کنید، سپس هر چیز جدیدی را علامتگذاری کنید. امتیاز جایزه اگر این را با نشانههای عسل (اعتبارنامههای جعلی) ترکیب کنید تا متجاوزانی را که به طور فعال در حال کاوش شبکه شما هستند، بگیرید. به یاد داشته باشید: مهاجمان میتوانند اعتبارنامهها را بدزدند، MFA را دور بزنند یا بدافزار را پنهان کنند – اما نمیتوانند هرگز متصل نشده باشند را جعل کنند.
نتیجه گیری
در امنیت سایبری، تهدیدهایی که بیشتر ما را نگران میکنند اغلب بلندترین آنها نیستند – آنها تهدیدهایی هستند که هرگز آمدنشان را نمیبینیم. یک نقص API خاموش. یک اعتبارنامه فراموش شده. یک بسته آغشته به بدافزار که ماه گذشته بدون فکر دوم نصب کردید.
داستانهای این هفته یادآور این موضوع هستند: خطر واقعی در نقاط کور زندگی میکند.
کنجکاو بمانید. بدبین بمانید. نقض بعدی شما ابتدا در نمیزند.






محمود رسول بخش هستم ممنون از سایت خوبتان