آنتی ویروس پادویش خرید طلا از میلادزر

شوک هفته فناوری: VPNها هک شدند؟ اوراکل چه پنهان می‌کند؟ ClickFix چطور ترکوند؟

خلاصه هفتگی: بهره‌برداری از VPN، نقض خاموش اوراکل، افزایش ClickFix و موارد دیگر

امروزه، هر سیستم وصله نشده، رمز عبور لو رفته و افزونه نادیده گرفته شده، دریچه‌ای برای مهاجمان است. زنجیره‌های تامین به عمق کدی که به آن اعتماد داریم کشیده شده‌اند و بدافزار نه تنها در برنامه‌های مشکوک، بلکه در پیشنهادات شغلی، سخت‌افزار و خدمات ابری که هر روز به آنها تکیه می‌کنیم، پنهان می‌شود.

کانال بله زوم تکگیفت کارت

هکرها دیگر نیازی به اکسپلویت‌های پیچیده ندارند. گاهی اوقات، اعتبارنامه‌های شما و کمی مهندسی اجتماعی کافی است.

این هفته، ما ردیابی می‌کنیم که چگونه اشتباهات ساده به نقض‌های بزرگ تبدیل می‌شوند و تهدیدات خاموشی که اکثر شرکت‌ها هنوز آنها را دست کم می‌گیرند.

بیایید به عمق ماجرا بپردازیم.

تهدیدات هفته : VPNها هک شدند؟ اوراکل چه پنهان می‌کند؟ ClickFix چطور ترکوند؟

UNC5221 از نقص جدید Ivanti برای رها کردن بدافزار سوء استفاده می‌کند – گروه جاسوسی سایبری China-nexus که با نام UNC5221 ردیابی می‌شود، از یک نقص که اکنون وصله شده در Ivanti Connect Secure، CVE-2025-22457 (امتیاز CVSS: 9.0) سوء استفاده کرد تا یک دراپر درون حافظه‌ای به نام TRAILBLAZE، یک درب پشتی غیرفعال با نام رمز BRUSHFIRE و مجموعه بدافزار SPAWN را تحویل دهد. این آسیب‌پذیری در ابتدا توسط Ivanti در 11 فوریه 2025 وصله شد، که نشان می‌دهد تهدیدگران این وصله را مطالعه کرده و راهی برای بهره‌برداری از نسخه‌های قبلی برای نقض سیستم‌های وصله نشده پیدا کرده‌اند. اعتقاد بر این است که UNC5221 با خوشه‌هایی که توسط جامعه گسترده‌تر امنیت سایبری تحت نام‌های مستعار APT27، Silk Typhoon و UTA0178 ردیابی می‌شوند، همپوشانی دارد.

اخبار برتر

  • EncryptHub به عنوان یک بازیگر احتمالاً گرگ تنها فاش شد – یک تهدیدگر نوظهور که با نام مستعار EncryptHub فعالیت می‌کند، به دلیل یک سری اشتباهات امنیتی عملیاتی فاش شده است. آنچه EncryptHub را از سایر مجرمان سایبری معمولی متمایز می‌کند، دوگانگی فعالیت‌های آنلاین آنها است – در حالی که کمپین‌های مخرب را انجام می‌داد، این فرد به طور همزمان در تحقیقات امنیتی قانونی مشارکت داشت، حتی ماه گذشته به دلیل کشف و گزارش CVE-2025-24061 و CVE-2025-2407 از مرکز پاسخ امنیتی مایکروسافت (MSRC) تقدیر دریافت کرد. جنبه جالب دیگر EncryptHub استفاده آنها از OpenAI ChatGPT به عنوان “شریک جرم” است که از آن برای توسعه بدافزار و وظایف ترجمه استفاده می‌کند. در برخی از مکالمات به ویژه آشکار با ربات چت هوش مصنوعی (AI)، EncryptHub از آن خواست تا ارزیابی کند که آیا برای “هکر کلاه سیاه یا کلاه سفید” مناسب‌تر است و آیا “هکر باحال بودن یا محقق مخرب بودن” بهتر است، حتی تا جایی پیش رفت که به فعالیت‌های مجرمانه و اکسپلویت‌هایی که توسعه داده بود، اعتراف کرد. Outpost24 گفت: “وقتی مردم به مجرمان سایبری فکر می‌کنند، تمایل دارند تیم‌های با فناوری پیشرفته و تحت حمایت دولت و هکرهای نخبه را تصور کنند که از فناوری پیشرفته استفاده می‌کنند.” “با این حال، بسیاری از هکرها افراد عادی هستند که در مقطعی تصمیم گرفتند مسیر تاریکی را دنبال کنند.”
  • زنجیره تامین GitHub Action به سرقت PAT SpotBugs ردیابی شد – حمله زنجیره تامین آبشاری که در ابتدا Coinbase را هدف قرار داد و سپس دامنه وسیع‌تری پیدا کرد تا کاربران GitHub Action “tj-actions/changed-files” را هدف قرار دهد، بیشتر به سرقت یک توکن دسترسی شخصی (PAT) مرتبط با یک پروژه متن باز دیگر به نام SpotBugs ردیابی شده است. منشاء این نقض پیچیده در میان تحقیقات مداوم به آرامی در حال آشکار شدن است و نشان می‌دهد که چگونه سازش اولیه رخ داده است. اکنون مشخص شده است که ابزار محبوب تجزیه و تحلیل ایستا، SpotBugs، در نوامبر 2024 مورد سازش قرار گرفت و از آن به عنوان یک نقطه شروع برای سازش “reviewdog/action-setup” استفاده شد که متعاقباً منجر به آلودگی “tj-actions/changed-files” شد. این به این دلیل امکان پذیر شد که نگهدارنده reviewdog نیز به مخازن SpotBugs دسترسی داشت. حمله زنجیره تامین چند مرحله‌ای در نهایت منجر به افشای اسرار در 218 مخزن شد، پس از آنکه مهاجمان در تلاش خود برای نقض پروژه‌های مرتبط با Coinbase ناکام ماندند.
  • مصاحبه‌های مسری ClickFix را پذیرفته و بسته‌های جعلی npm را منتشر می‌کند – تهدیدگران کره شمالی که در پشت کمپین مصاحبه‌های مسری در جریان هستند، مشاهده شده‌اند که استراتژی مهندسی اجتماعی بدنام ClickFix را برای تحویل یک درب پشتی قبلاً ثبت نشده به نام GolangGhost پذیرفته‌اند. این گروه متخاصم همچنین تا 11 بسته npm منتشر کرده است که بدافزار سرقت اطلاعات BeaverTail و همچنین یک لودر تروجان دسترسی از راه دور (RAT) جدید را تحویل می‌دهند. این بسته‌ها قبل از حذف بیش از 5600 بار دانلود شده بودند. در همین حال، کارگران فناوری اطلاعات کره شمالی تلاش‌های خود را فراتر از ایالات متحده گسترش می‌دهند و به دنبال به دست آوردن استخدام متقلبانه در سازمان‌ها در سراسر جهان، به ویژه در اروپا هستند. محققان گوگل جنگجویان فناوری اطلاعات را به درگیر شدن در “الگویی از ارائه مراجع ساختگی، ایجاد رابطه با استخدام کنندگان شغلی و استفاده از شخصیت‌های اضافی که کنترل می‌کردند برای تضمین اعتبار خود” متهم کردند. علاوه بر این، آنها به طور فزاینده‌ای پس از کشف و/یا اخراج، سعی در اخاذی پول از این شرکت‌ها دارند. در سال‌های اخیر، دولت ایالات متحده تلاش متمرکزی برای افزایش آگاهی در مورد عملیات تهدید داخلی، ریشه‌کن کردن و مجازات تسهیل‌کنندگان مستقر در ایالات متحده، کشف کارگران فناوری اطلاعات و شرکت‌های نمایشی که به این کارگران کمک می‌کنند تا منشاء واقعی خود را پنهان کنند و کمک به سازمان‌ها برای شناسایی خطر قبل از اینکه خیلی دیر شود، انجام داده است. به احتمال زیاد، این تلاش‌های تشدید شده اجرای قانون باعث شده است که مجریان این طرح بیشتر بر روی اهداف واقع در جاهای دیگر تمرکز کنند و در عین حال آنها را به پذیرش اقدامات تهاجمی‌تر برای حفظ جریان‌های درآمدی سوق دهد.
  • نسخه‌های جعلی گوشی‌های اندرویدی از قبل با بدافزار Triada نصب شده‌اند – نسخه‌های تقلبی مدل‌های محبوب گوشی‌های هوشمند که با قیمت‌های کاهش یافته به فروش می‌رسند، مشخص شده است که از قبل با نسخه اصلاح شده یک بدافزار اندرویدی به نام Triada نصب شده‌اند. اکثریت عفونت‌ها در روسیه گزارش شده است. اعتقاد بر این است که این عفونت‌ها نتیجه سازش زنجیره تامین سخت‌افزار است، اگرچه مشاهده شده است که Triada از طریق مدهای غیررسمی واتس‌اپ و بازارهای برنامه شخص ثالث منتشر می‌شود.
  • بازیگران بد از mu-plugins برای پنهان کردن بدافزار سوء استفاده می‌کنند – تهدیدگران از دایرکتوری mu-plugins (“پلاگین‌های ضروری”) وردپرس برای اجرای مخفیانه کد مخرب در هر صفحه در حین فرار از شناسایی استفاده می‌کنند. از آنجایی که mu-plugins در هر بارگذاری صفحه اجرا می‌شوند و در لیست پلاگین‌های استاندارد ظاهر نمی‌شوند، می‌توان از آنها برای انجام مخفیانه طیف گسترده‌ای از فعالیت‌های مخرب مانند سرقت اعتبار، تزریق کد مخرب یا تغییر خروجی HTML استفاده کرد.

خلاصه هفتگی: بهره‌برداری از VPN، نقض خاموش اوراکل، افزایش ClickFix و موارد دیگر

CVEهای پرطرفدار

مهاجمان عاشق آسیب‌پذیری‌های نرم‌افزاری هستند—آنها درهای آسانی به سیستم‌های شما هستند. هر هفته نقص‌های جدیدی به وجود می‌آیند و منتظر ماندن بیش از حد برای وصله کردن می‌تواند یک اشتباه جزئی را به یک نقض بزرگ تبدیل کند. در زیر آسیب‌پذیری‌های بحرانی این هفته آمده است که باید در مورد آنها بدانید. نگاهی بیندازید، نرم‌افزار خود را به سرعت به‌روزرسانی کنید و مهاجمان را بیرون نگه دارید.

لیست این هفته شامل — CVE-2025-22457 (Ivanti Connect Secure، Policy Secure و ZTA Gateway)، CVE-2025-30065 (Apache Parquet)، CVE-2024-10668 (Google Quick Share برای ویندوز)، CVE-2025-24362 (github/codeql-action)، CVE-2025-1268 (Canon)، CVE-2025-1449 (Rockwell Automation Verve Asset Manager)، CVE-2025-2008 (پلاگین WP Ultimate CSV Importer)، CVE-2024-3660 (TensorFlow Keras)، CVE-2025-20139 (Cisco Enterprise Chat and Email)، CVE-2025-20212 (سرور Cisco AnyConnect VPN از Cisco Meraki MX و Cisco Meraki Z Series)، CVE-2025-27520 (BentoML)، CVE-2025-2798 (تم Woffice CRM)، CVE-2025-2780 (پلاگین Woffice Core)، CVE-2025-31553 (پلاگین WPFactory Advanced WooCommerce Product Sales Reporting)، CVE-2025-31579 (پلاگین EXEIdeas International WP AutoKeyword) و CVE-2025-31552 (پلاگین RSVPMarker) است.

در سراسر دنیای سایبری

  • اوراکل به طور خصوصی نقض داده‌ها را تأیید می‌کند – غول رایانش سازمانی، اوراکل، گزارش‌ها حاکی از آن است که به طور خصوصی به مشتریان خود اطلاع می‌دهد که هکرها یک محیط “قدیمی” اوراکل را به خطر انداخته‌اند و نام‌های کاربری، کلیدهای عبور و گذرواژه‌های رمزگذاری شده را در معرض دید قرار داده‌اند، که با انکار مداوم عمومی خود در مورد این حادثه مغایرت دارد. بلومبرگ گزارش داد: “این شرکت به مشتریان اطلاع داد که این سیستم به مدت هشت سال مورد استفاده قرار نگرفته است و بنابراین اعتبارنامه‌های سرقت شده خطر کمی دارند.” تحقیقات توسط اداره تحقیقات فدرال ایالات متحده (FBI) و CrowdStrike گزارش شده است که در حال انجام است. این دومین نقضی است که این شرکت در هفته‌های اخیر به مشتریان خود اذعان کرده است. این نفوذ جدا از یک هک دیگر در Oracle Health (که قبلاً Cerner بود) است که ماه گذشته برخی از مشتریان مراقبت‌های بهداشتی ایالات متحده را تحت تأثیر قرار داد. اخبار مربوط به این نقض پس از آن آشکار شد که یک تهدیدگر ناشناس به نام “rose87168” تلاش کرد داده‌هایی را در BreachForums بفروشد که ادعا می‌کرد از سرورهای ابری این شرکت به سرقت برده است. چندین شرکت امنیت سایبری، از جمله Black Kite، CloudSEK، CyberAngel، Hudson Rock، Orca Security، SOCRadar، Sygnia و Trustwave، داده‌های ارسال شده برای فروش آنلاین را به عنوان استخراج مستقیم از اوراکل تجزیه و تحلیل و تأیید کرده‌اند. اعتقاد بر این است که مهاجم با بهره‌برداری از یک آسیب‌پذیری وصله نشده در Oracle Fusion Middleware (CVE-2021-35587) سیستم ورود و احراز هویت Oracle Cloud را به خطر انداخته و داده‌ها را به سرقت برده است. CyberAngel گفت: “این قرار گرفتن از طریق یک اکسپلویت جاوا 2020 تسهیل شد و هکر توانست یک وب شل همراه با بدافزار نصب کند. این بدافزار به طور خاص پایگاه داده Oracle IDM را هدف قرار داد و توانست داده‌ها را خارج کند.” محقق امنیتی کوین بومونت گفت: “اوراکل در تلاش است تا اظهارات خود را در مورد Oracle Cloud با استفاده از کلمات بسیار خاص بیان کند تا از مسئولیت شانه خالی کند.” و افزود: “اوراکل خدمات قدیمی Oracle Cloud را به Oracle Classic تغییر نام داد. Oracle Classic دارای حادثه امنیتی است. اوراکل آن را در ‘Oracle Cloud’ با استفاده از این دامنه انکار می‌کند – اما همچنان خدمات ابری Oracle است که Oracle مدیریت می‌کند. این بخشی از بازی با کلمات است.” CloudSEK یک ابزار آنلاین توسعه داده است که به سازمان‌ها امکان می‌دهد بررسی کنند که آیا تحت تأثیر نقض داده‌ها قرار گرفته‌اند یا خیر. اعتراف خصوصی اوراکل تنها چند روز پس از آن صورت گرفت که این شرکت به دلیل نحوه رسیدگی به این رویداد امنیتی با یک شکایت دسته جمعی مواجه شد.
  • Triton RAT جدید در طبیعت ظاهر می‌شود – یک تروجان دسترسی از راه دور جدید مبتنی بر پایتون به نام Triton RAT به تهدیدگران اجازه می‌دهد تا از راه دور به یک سیستم با استفاده از تلگرام دسترسی داشته باشند و آن را کنترل کنند. این بدافزار که در پایتون نوشته شده است، به صورت عمومی در GitHub در دسترس است و دارای قابلیت‌هایی برای ثبت ضربات کلید، اجرای دستورات، ضبط صفحه نمایش، جمع‌آوری اطلاعات Wi-Fi و سرقت گذرواژه‌ها، محتوای کلیپ بورد و کوکی‌های امنیتی Roblox است. Cado Security گفت: “یک کوکی امنیتی Roblox یک کوکی مرورگر است که جلسه کاربران را ذخیره می‌کند و می‌تواند برای دسترسی به حساب Roblox با دور زدن 2FA استفاده شود.” این افشاگری در حالی صورت می‌گیرد که CYFIRMA جزئیات RAT دیگری را که در پایتون نوشته شده است، منتشر کرد که از API دیسکورد برای فرمان و کنترل (C2) به منظور اجرای دستورات سیستم دلخواه، سرقت اطلاعات حساس، گرفتن اسکرین شات و دستکاری ماشین‌های محلی و سرورهای دیسکورد استفاده می‌کند.
  • وزارت دادگستری ایالات متحده از بازیابی 8.2 میلیون دلار سرقت شده در کلاهبرداری طعمه‌گذاری عاشقانه خبر داد – وزارت دادگستری ایالات متحده (DoJ) از بازیابی 8.2 میلیون دلار USDT (تتر) خبر داد که از طریق کلاهبرداری طعمه‌گذاری عاشقانه (که قبلاً قصابی خوک نامیده می‌شد) به سرقت رفته بود. بر اساس شکایتی که در اواخر فوریه 2025 ثبت شد، این کلاهبرداری زنی را در اوهایو هدف قرار داد که پس از پاسخ دادن به پیامکی از یک شماره ناشناس در نوامبر 2023، کل پس انداز زندگی خود را به مبلغ تقریبی 663352 دلار از دست داد. در حالی که مکالمه اولیه حول موضوعاتی مانند سرگرمی‌ها و مذهب می‌چرخید، قربانی متقاعد شد که حسابی را در crypto.com باز کند و پول خود را به این حساب منتقل کند. وزارت دادگستری گفت: “هنگامی که قربانی می‌خواست وجوه را برداشت کند، “دوست” او تسلیم شد و گفت پرداخت‌های اضافی لازم بود و او موافقت کرد.” “هنگامی که قربانی پس از انجام پرداخت‌های اضافی، دیگر پولی برایش باقی نمانده بود، “دوست” او شروع به تهدید او کرد که دوستانش را می‌فرستد تا “از دوستان و خانواده او مراقبت کنند.” تخمین زده می‌شود که بیش از 30 قربانی در مجموع فریب این طرح را خورده باشند.
  • ClickFix برای تحویل QakBot استفاده می‌شود – تکنیک ClickFix که به طور فزاینده‌ای محبوب است، به عنوان یک بردار تحویل برای توزیع بدافزار QakBot که قبلاً غیرفعال بود، استفاده شده است. این حمله بدافزار را با ClickFix، یک روش سازش نقطه پایانی که برای اولین بار در اواخر سال 2024 مشاهده شد و از آن زمان تاکنون در ماه‌های اخیر کشش قابل توجهی به دست آورده است، جفت می‌کند. این شامل فریب دادن قربانی برای اجرای یک دستور مخرب به بهانه رفع یک مشکل، معمولاً یک چالش تأیید CAPTCHA است.
  • نقص در فیلتر تماس Verizon فاش شد – برنامه فیلتر تماس Verizon دارای یک آسیب‌پذیری بود که به مشتریان امکان می‌داد از طریق یک درخواست API ناامن به نقطه پایانی “clr-aqx.cequintvzwecid.com/clr/callLogRetrieval” به گزارش تماس‌های ورودی برای شماره Verizon Wireless دیگری دسترسی داشته باشند. اما محقق امنیتی ایوان کانلی، که این باگ را در 22 فوریه 2025 کشف و گزارش کرد، دریافت که درخواستی که حاوی شماره تلفن مورد استفاده برای بازیابی گزارش تاریخچه تماس است، در برابر شماره تلفنی که گزارش تماس‌های ورودی آن درخواست می‌شد، تأیید نشده است. این می‌توانست دری را به روی سناریویی باز کند که در آن یک مهاجم می‌توانست درخواست را با شماره تلفن Verizon دیگری تغییر دهد تا گزارش تاریخچه تماس‌های ورودی آنها را بازیابی کند. این آسیب‌پذیری از 25 مارس 2025 توسط Verizon برطرف شده است.
  • GitHub به‌روزرسانی‌هایی را برای پلتفرم امنیت پیشرفته خود رونمایی کرد – GitHub پس از اینکه سرویس اسکن مخفی آن بیش از 39 میلیون راز لو رفته را در مخازن سال گذشته شناسایی کرد، به‌روزرسانی‌هایی را برای پلتفرم امنیت پیشرفته خود اعلام کرد. این شامل یک اسکن مخفی رایگان در سطح سازمان برای کمک به تیم‌ها برای شناسایی و کاهش قرار گرفتن در معرض، و همچنین در دسترس بودن حفاظت مخفی GitHub و یک ابزار ارزیابی ریسک مخفی جدید است که هدف آن ارائه “بینش‌های واضح در مورد قرار گرفتن در معرض سازمان شما” است.
  • معایب امنیتی جدید Ubuntu Linux تشریح شد – سه دور زدن امنیتی در محدودیت‌های فضای نام کاربر غیرمجاز Ubuntu Linux کشف شده است که می‌تواند یک مهاجم محلی را قادر سازد تا از آسیب‌پذیری‌ها در اجزای هسته سوء استفاده کند. این دور زدن‌ها که از طریق aa-exec، busybox و LD_PRELOAD رخ می‌دهند، به مهاجمان اجازه می‌دهند تا فضاهای نام کاربر را با امتیازات بالا ایجاد کنند. Qualys در بیانیه‌ای گفت: “این دور زدن‌ها مهاجمان محلی را قادر می‌سازد تا فضاهای نام کاربر را با قابلیت‌های کامل اداری ایجاد کنند که سوء استفاده از آسیب‌پذیری‌ها در اجزای هسته را که نیاز به امتیازات اداری قدرتمند در یک محیط محدود دارند، تسهیل می‌کند. توجه به این نکته مهم است که این دور زدن‌ها به تنهایی امکان تصاحب کامل سیستم را فراهم نمی‌کنند. با این حال، هنگامی که با سایر آسیب‌پذیری‌ها، معمولاً مرتبط با هسته، ترکیب شوند، خطرناک می‌شوند.” Ubuntu، که این مسائل را تأیید کرد، گفت که در تلاش است تا “قوانین سخت‌گیری بیشتر در AppArmor را پیاده‌سازی کند.”
  • Classiscam آسیای مرکزی را هدف قرار می‌دهد – Classiscam یک عملیات خودکار کلاهبرداری به عنوان یک سرویس است که از ربات‌های تلگرام برای ایجاد وب‌سایت‌های جعلی با جعل هویت خدمات قانونی در تلاش برای فریب قربانیان برای به اشتراک گذاشتن اطلاعات مالی خود استفاده می‌کند. این کلاهبرداری که Telekopye نیز نامیده می‌شود، اساساً شامل این است که کلاهبرداران یا به عنوان خریدار یا فروشنده در پلتفرم‌های آنلاین ظاهر می‌شوند تا قربانیان را فریب دهند تا برای کالاها یا خدمات غیر موجود پول انتقال دهند یا فروشنده را متقاعد کنند که از یک سرویس تحویل برای تراکنش از طریق یک وب‌سایت تحویل جعلی استفاده کند که به دنبال اطلاعات مالی آنها است. این مکالمات از طریق یک برنامه پیام‌رسان مانند تلگرام با این ادعا که “ارتباط آسان‌تر است” انجام می‌شود. تحقیقات Group-IB نشان داده است که بیش از ده موسسه مالی در ازبکستان، از جمله بانک‌ها و سیستم‌های پرداخت برجسته، هدف طرح‌های فیشینگ قرار گرفته‌اند که از سایت‌های جعلی با جعل هویت خدمات برای به دست آوردن اطلاعات بانکی مشتریان خود استفاده می‌کنند. یکی از این تیم‌ها که در طرح متقلبانه شرکت دارد، تیم Namangun است که از اواخر نوامبر 2024 عمدتاً خدمات فیشینگ را با هدف ازبکستان و قرقیزستان ارائه کرده است و به مشتریان خود اجازه می‌دهد تا صفحات فیشینگ را در حین پرواز ایجاد کنند.
  • گوگل با NVIDIA و HiddenLayer برای یک کتابخانه امضای مدل جدید همکاری می‌کند – گوگل با همکاری NVIDIA و HiddenLayer، از انتشار یک کتابخانه پایتون به نام “model-signing” خبر داده است که به توسعه‌دهندگان راهی برای امضا و تأیید مدل‌های یادگیری ماشین (ML) ارائه می‌دهد تا تلاش‌ها برای تقویت امنیت زنجیره تامین ML و محافظت در برابر تهدیدات نوظهوری مانند مسمومیت مدل و داده، تزریق سریع، نشت سریع و فرار سریع را تقویت کند. این غول فناوری گفت: “با استفاده از امضاهای دیجیتال مانند امضاهای Sigstore، به کاربران اجازه می‌دهیم تأیید کنند که مدلی که توسط برنامه استفاده می‌شود دقیقاً همان مدلی است که توسط توسعه‌دهندگان ایجاد شده است.” این توسعه در حالی صورت می‌گیرد که پایتون رسماً یک فرمت فایل قفل را به عنوان بخشی از PEP 751 استاندارد کرد. فرمت جدید، به نام pylock.toml، یک فرمت مبتنی بر TOML است که نسخه‌های دقیق وابستگی، هش‌های فایل و منابع نصب را ثبت می‌کند. Socket گفت: “این استاندارد جدید پایتون را با سایر اکوسیستم‌ها مانند جاوا اسکریپت (package-lock.json)، راست (Cargo.lock) و Go (go.sum) همسو می‌کند.” “در حالی که PEP به تمام تهدیدات زنجیره تامین (مانند typosquatting، سازش حساب نگهدارنده و بارهای پنهان) نمی‌پردازد، زمینه را برای ممیزی بهتر و مقاومت در برابر دستکاری فراهم می‌کند.”
  • تروجان Arcanum از طریق سایت‌های فالگیری توزیع می‌شود – یک تروجان جدید به نام Arcanum از طریق وب‌سایت‌های اختصاص داده شده به فالگیری و اعمال باطنی توزیع می‌شود و خود را به عنوان یک برنامه “جادویی” برای پیش‌بینی آینده معرفی می‌کند. این برنامه در حالی که عملکرد به ظاهر بی‌ضرر ارائه می‌دهد، برای استقرار بارهای اضافی، از جمله Autolycus. Hermes stealer، ماینر Karma.Miner و بدافزار رمزنگاری Lysander.Scytale، به یک سرور از راه دور متصل می‌شود. اطلاعات ثبت شده متعاقباً به یک سرور کنترل شده توسط مهاجم خارج می‌شود. ظهور این بدافزار همزمان با کشف یک بدافزار اسکیمر کارت اعتباری به نام رمز RolandSkimmer است که کاربران تجارت الکترونیک در بلغارستان را از طریق یک فایل میانبر ویندوز (LNK) که از طریق آرشیوهای ZIP توزیع می‌شود، هدف قرار می‌دهد. فایل LNK سپس یک فرآیند چند مرحله‌ای را آغاز می‌کند که یک افزونه مخرب مرورگر را روی مرورگرهای وب نصب می‌کند تا اطلاعات کارت اعتباری را به سرقت ببرد. Fortinet گفت: “مهاجمان از بارهای جاوا اسکریپت با دقت ساخته شده، فایل‌های مانیفست گمراه‌کننده و VBScript مبهم برای حفظ ماندگاری در بین جلسات و جلوگیری از شناسایی استفاده می‌کنند.”
  • حملات مبتنی بر هویت در حال افزایش است – به گفته سیسکو تالوس، مهاجمان به جای استفاده از روش‌های پیچیده‌تری مانند بهره‌برداری از آسیب‌پذیری‌ها یا استقرار بدافزار، به شدت به نقاط دسترسی فعال شده با اعتبارنامه برای نفوذ به شبکه‌ها و تقویت عملیات خود متکی هستند. به طور خاص، گروه‌های باج‌افزار شناخته شده‌اند که از اعتبارنامه‌های دزدیده شده اما معتبر به دست آمده از کارگزاران دسترسی اولیه (IABs) به عنوان وسیله‌ای برای دسترسی اولیه به شبکه‌های شرکتی استفاده می‌کنند. IABها به نوبه خود، از دزدان اطلاعات در دسترس تجاری مانند Lumma برای ثبت اعتبارنامه‌های کاربران استفاده می‌کنند. این وضعیت همچنین با این واقعیت تشدید می‌شود که بسیاری از کاربران گذرواژه‌ها را در چندین سرویس بازیافت می‌کنند و در صورت سرقت اعتبارنامه‌هایشان، یک “اثر موجی از خطر” ایجاد می‌کنند. بر اساس ترافیک مشاهده شده بین سپتامبر و نوامبر 2024، 41 درصد از ورودهای موفق در وب‌سایت‌های محافظت شده توسط Cloudflare شامل گذرواژه‌های در معرض خطر است. علاوه بر این، از اعتبارنامه‌های معتبر VPN می‌توان برای به دست آوردن دسترسی نامحدود به سیستم‌های حساس، اغلب با امتیازات بالایی که منعکس کننده امتیازات کارمندان یا مدیران قانونی است، سوء استفاده کرد. استفاده از اعتبارنامه‌های قانونی توسط تهدیدگران به طور کامل موانع امنیتی را دور می‌زند و به آنها یک “مسیر مستقیم برای نفوذ به شبکه‌ها، سرقت داده‌ها و استقرار باج‌افزار به صورت پنهانی و بدون شناسایی” می‌دهد. این شرکت گفت: “حملات مبتنی بر هویت برای تهدیدگران جذاب هستند زیرا می‌توانند به یک مهاجم اجازه دهند تا طیف وسیعی از عملیات مخرب را، اغلب با حداقل تلاش یا بدون مواجهه با مقاومت زیاد از نظر امنیتی، انجام دهد.” “این تا حد زیادی به دلیل دشوار بودن شناسایی این فعالیت است زیرا از حساب‌های کاربری به ظاهر قانونی ناشی می‌شود.” داده‌های جمع‌آوری شده توسط این شرکت نشان می‌دهد که برنامه‌های مدیریت هویت و دسترسی (IAM) بیشتر از همه در حملات MFA هدف قرار می‌گرفتند و 24 درصد از کل حملات هدفمند به احراز هویت چند عاملی (MFA) را به خود اختصاص می‌دادند.
  • OilRig مرتبط با ایران نهادهای عراقی را هدف قرار می‌دهد – گروه هکری ایرانی معروف به OilRig (با نام مستعار APT34) از سال 2024 به مجموعه‌ای از حملات سایبری علیه نهادهای دولتی عراق نسبت داده شده است که شامل استفاده از ترفندهای نیزه ماهیگیری برای استقرار یک درب پشتی است که می‌تواند دستورات را اجرا کند، اطلاعات میزبان را جمع‌آوری کند و فایل‌ها را بارگذاری/دانلود کند. درب پشتی از HTTP و ایمیل برای ارتباطات C2 استفاده می‌کند. ThreatBook گفت: “اولی به طور مخفیانه دستورالعمل‌های کنترل را بر اساس مقدار مشخصه محتوای بدنه ارسال می‌کند و دومی از تعداد زیادی صندوق پستی رسمی دولت عراق برای ارتباط ایمیلی استفاده می‌کند.
بیشتر بخوانید  بهترین راهکارها برای خاموش کردن اعلان‌های memories در OneDrive ویندوز و موبایل

وبینار تخصصی

  • Shadow AI در حال حاضر در برنامه‌های شما وجود دارد – بیاموزید چگونه آن را قفل کنید – ابزارهای هوش مصنوعی در حال هجوم به محیط شما هستند – و اکثر تیم‌های امنیتی نیمی از آنها را نمی‌بینند. Shadow AI بی‌صدا به سیستم‌های حیاتی مانند Salesforce متصل می‌شود و خطرات پنهانی را ایجاد می‌کند که دفاع‌های سنتی از آن غافل هستند. به Dvir Sasson، مدیر تحقیقات امنیتی Reco بپیوندید تا کشف کنید تهدیدات هوش مصنوعی در برنامه‌های SaaS شما کجا پنهان شده‌اند، داستان‌های حمله دنیای واقعی و اینکه چگونه تیم‌های پیشرو هوش مصنوعی سرکش را قبل از اینکه آسیب واقعی وارد کند، شناسایی و متوقف می‌کنند.
  • هر مرحله از چرخه عمر هویت را ایمن کنید – قبل از اینکه مهاجمان از آن بهره‌برداری کنند – مهاجمان امروزی از دیپ فیک‌ها و مهندسی اجتماعی مبتنی بر هوش مصنوعی برای دور زدن دفاع‌های هویت ضعیف استفاده می‌کنند. ایمن کردن کل سفر هویت – از ثبت نام تا دسترسی روزانه تا بازیابی – اکنون ضروری است. به Beyond Identity و Nametag بپیوندید تا بیاموزید که چگونه شرکت‌ها از تصاحب حساب جلوگیری می‌کنند، دسترسی را با MFA مقاوم در برابر فیشینگ و اعتماد دستگاه ایمن می‌کنند و در برابر تهدیدات هوش مصنوعی با دفاع Deepfake™ محافظت می‌کنند.

ابزارهای امنیت سایبری

  • GoResolver – معکوس کردن مهندسی بدافزار Golang دشوار است – مبهم سازهایی مانند Garble توابع حیاتی را پنهان می‌کنند. GoResolver، ابزار متن باز Volexity، از شباهت نمودار جریان کنترل برای بازیابی نام توابع پنهان و آشکار کردن ساختارهای بسته به طور خودکار استفاده می‌کند. این ابزار که با IDA Pro و Ghidra یکپارچه شده است، باینری‌های مات را سریع‌تر به کد خوانا تبدیل می‌کند. اکنون در GitHub در دسترس است.
  • Matano – این یک دریاچه داده امنیتی بدون سرور و بومی ابری است که برای AWS ساخته شده است و به تیم‌های امنیتی کنترل کامل بر روی گزارش‌های خود را بدون قفل شدن فروشنده می‌دهد. داده‌های امنیتی بدون ساختار را در زمان واقعی عادی می‌کند، با بیش از 50 منبع خارج از جعبه ادغام می‌شود، از شناسایی به عنوان کد در پایتون پشتیبانی می‌کند و گزارش‌ها را با استفاده از اسکریپت قدرتمند VRL تبدیل می‌کند – همه در قالب‌های باز مانند Apache Iceberg و ECS ذخیره می‌شوند. داده‌های خود را با ابزارهایی مانند Athena یا Snowflake پرس و جو کنید، شناسایی‌های بی‌درنگ بنویسید و هزینه‌های SIEM را کاهش دهید در حالی که مالکیت تجزیه و تحلیل امنیتی خود را حفظ می‌کنید.

نکته هفته

تشخیص زودهنگام تهدیدات با ردیابی اتصالات بار اول – اکثر مهاجمان اولین سرنخ واقعی خود را نه با بدافزار، بلکه هنگام ورود برای اولین بار – از یک IP، دستگاه یا مکان جدید – به جا می‌گذارند. شناسایی رویدادهای دسترسی “بار اول” یکی از سریع‌ترین راه‌ها برای شناسایی زودهنگام نقض‌ها، قبل از اینکه مهاجمان در ترافیک روزانه ترکیب شوند، است. روی سیستم‌های حیاتی تمرکز کنید: VPNها، پورتال‌های مدیریت، داشبوردهای ابری و حساب‌های سرویس.

می‌توانید این کار را به راحتی با ابزارهای رایگان مانند Wazuh (دستگاه‌ها و IPهای جدید را شناسایی می‌کند)، OSQuery (نقاط پایانی ناشناخته را پرس و جو می‌کند) یا Graylog (هشدارهایی را برای اتصالات ناآشنا ایجاد می‌کند) خودکار کنید. تنظیمات پیشرفته‌تر مانند Microsoft Sentinel یا CrowdStrike Falcon Free نیز شناسایی “اولین بار دیده شده” را در مقیاس ارائه می‌دهند. قوانین ساده – مانند هشدار دادن زمانی که یک حساب مدیر از یک کشور جدید وارد سیستم می‌شود یا یک دستگاه غیرمنتظره به داده‌های حساس دسترسی پیدا می‌کند – می‌تواند زنگ‌های هشدار اولیه را بدون منتظر ماندن برای امضاهای بدافزار به صدا درآورد.

حرکت حرفه‌ای: کاربران، IPها و دستگاه‌های “شناخته شده” خود را پایه گذاری کنید، سپس هر چیز جدیدی را علامت‌گذاری کنید. امتیاز جایزه اگر این را با نشانه‌های عسل (اعتبارنامه‌های جعلی) ترکیب کنید تا متجاوزانی را که به طور فعال در حال کاوش شبکه شما هستند، بگیرید. به یاد داشته باشید: مهاجمان می‌توانند اعتبارنامه‌ها را بدزدند، MFA را دور بزنند یا بدافزار را پنهان کنند – اما نمی‌توانند هرگز متصل نشده باشند را جعل کنند.

نتیجه گیری

در امنیت سایبری، تهدیدهایی که بیشتر ما را نگران می‌کنند اغلب بلندترین آنها نیستند – آنها تهدیدهایی هستند که هرگز آمدنشان را نمی‌بینیم. یک نقص API خاموش. یک اعتبارنامه فراموش شده. یک بسته آغشته به بدافزار که ماه گذشته بدون فکر دوم نصب کردید.

داستان‌های این هفته یادآور این موضوع هستند: خطر واقعی در نقاط کور زندگی می‌کند.

کنجکاو بمانید. بدبین بمانید. نقض بعدی شما ابتدا در نمی‌زند.

به این پست امتیاز بدید

نظرات در مورد : شوک هفته فناوری: VPNها هک شدند؟ اوراکل چه پنهان می‌کند؟ ClickFix چطور ترکوند؟

1 دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *