هکرهای چینی با سوءاستفاده از یک zero day خطرناک در نرم‌افزار Lanscope Endpoint Manager موفق شدند کنترل کامل سیستم‌های هدف را در دست بگیرند. این نقص امنیتی که با شناسه CVE-2025-61932 شناسایی شده، به مهاجمان اجازه می‌داد با دسترسی سطح SYSTEM بدافزار قدرتمندی به نام Gokcpdoor را نصب کنند؛ ابزاری با قابلیت کنترل از راه دور، سرقت داده و برقراری چند مسیر ارتباطی برای فرار از شناسایی. شرکت ژاپنی Motex که سازنده Lanscope است، در تاریخ ۲۰ اکتبر وصله‌ی امنیتی را منتشر کرد، اما تا آن زمان این آسیب‌پذیری به‌صورت فعال مورد سوءاستفاده قرار گرفته بود. کارشناسان هشدار داده‌اند که تنها راه امن، به‌روزرسانی فوری نرم‌افزار است، چرا که هیچ روش موقتی برای جلوگیری از این حمله وجود ندارد — نمونه‌ای دیگر از نبرد بی‌پایان میان به‌روزرسانی و بهره‌برداری در دنیای سایبری.

در اولین روزهای محاسبات، نمونه‌های «خودتکثیر» که امروز به‌عنوان نخستین بدافزارها از آن‌ها یاد می‌شود، معمولاً پروژه‌های کوچک پژوهشی بودند: قطعات نرم‌افزاری نسبتاً کم‌حجم نوشته‌شده با زبان‌های مانند اسمبلی، که اغلب توسط یک یا دو نفر در چند هفته تا چند ماه توسعه می‌یافتند و هدفِ اصلی‌شان اثبات یک ایده یا رفتار بود، نه خلق ابزار خرابکارانه. نمونه‌های دهه‌های ۱۹۸۰ و ۱۹۹۰ معمولاً یک یا چند فایل منبع و چند هزار خط کد بیشتر نداشتند، در حالی در دسترس‌بودن روش‌های بازاستفاده و بسته‌بندی چندشکل (polymorphic packers) بعدها به افزایش سریع و تنوع نمونه‌ها انجامید.
تحلیل‌های نشان می‌دهند تولید بدافزار از مرحلهٔ تک‌نفره و کوچک به فرآیندی صنعتی تبدیل شده است: اندازهٔ کد، تعداد فایل‌ها و تنوع زبان‌ها در ترتیب بزرگی افزایش یافته و زمان و تلاش توسعه نیز به‌طور مشهودی رشد کرده است؛ به‌عبارت دیگر، آنچه زمانی «آزمایشِ فنی» یک نفره بود، امروز می‌تواند به یک پروژهٔ چندماهه با چند توسعه‌دهنده و ماژول‌های جداگانه تبدیل شود، امری که ضرورت سازوکارهای دفاعی، کنترل کیفیت و چارچوب‌های اخلاقی در پژوهش و توسعهٔ نرم‌افزار را برجسته می‌سازد.

بدافزار تازه‌ای به نام SesameOp توسط محققان مایکروسافت شناسایی شده که با روشی خلاقانه و خطرناک، از OpenAI Assistants API به‌عنوان کانال فرمان و کنترل (C2) استفاده می‌کند. این بدافزار با سوءاستفاده از زیرساخت قانونی سرویس‌های هوش مصنوعی، فرمان‌های رمزگذاری‌شده خود را در قالب درخواست‌های کاملاً مشروع به API ارسال کرده و پاسخ‌ها را به‌عنوان دستورالعمل اجرایی دریافت می‌کند؛ روشی که باعث می‌شود ترافیک آن برای سیستم‌های امنیتی تقریباً غیرقابل تشخیص باشد.
تحلیل‌ها نشان می‌دهد این تکنیک نوآورانه نشانه‌ی مرحله‌ی جدیدی در تکامل بدافزارهاست، جایی که مهاجمان از پلتفرم‌های معتبر برای پنهان‌سازی ارتباطات مخرب استفاده می‌کنند. کارشناسان امنیتی هشدار داده‌اند که چنین سوءاستفاده‌هایی می‌تواند باعث «مشروع‌نمایی حملات» شود و مقابله با آن مستلزم نظارت هوشمندانه‌تر بر ترافیک ابری و به‌روزرسانی سیاست‌های دفاعی سازمان‌ها در برابر تهدیدات مبتنی بر هوش مصنوعی است.

هکرها در موجی از حملات هدفمند از ابزارهای مشروع Remote Monitoring and Management (RMM) برای نفوذ به شرکت‌های حمل‌ونقل و کارگزاران بار استفاده کرده‌اند: با ارسال ایمیل‌ها و لینک‌های فیشینگ که قربانی را به نصب بسته‌های اجرایی جعلی می‌کشاند، مهاجمان RMM را روی سیستم‌های کارمندان نصب و از راه دور کنترل کامیون‌ها، تغییر مسیر محموله‌ها و سرقت فیزیکی بار را انجام می‌دهند — روشی که به‌خاطر ماهیت «قابل‌اعتماد» این ابزارها، کشف و ردیابی را دشوار می‌کند.
آسیب‌پذیری این حملات تنها به یک کشور محدود نیست؛ نمونه‌هایی در آمریکای شمالی، امریکای لاتین، اروپا و آسیا مشاهده شده و ابزارهایی نظیر ScreenConnect، SimpleHelp، PDQ Connect و LogMeIn Resolve در گزارش‌ها نام برده شده‌اند.
پیام کلیدی برای شرکت‌های لجستیکی این است که «مجوز و قابلیت نصب RMM» باید محدود و تحت سخت‌ترین کنترل‌ها قرار گیرد: جداسازی شبکه‌های OT/IT، اجرای احراز هویت چندعاملی، محدود کردن نصب نرم‌افزار به ایستگاه‌های کاری مجاز، و نظارت مستمر بر رفتار RMM و تغییرات در سیستم‌های زمان‌بندی محموله از ضروریات دفاعی‌اند.

گوگل هشدار داد: بدافزارهای مجهز به هوش مصنوعی وارد میدان شدند
واحد Google Threat Intelligence Group از ظهور خانواده‌های جدیدی از بدافزارها خبر داده است که از مدل‌های زبانی بزرگ (LLM) برای تغییر رفتار و تولید کد به‌صورت لحظه‌ای استفاده می‌کنند. این بدافزارها – از جمله PromptFlux، QuietVault و PromptLock – با بهره‌گیری از الگوریتم‌های هوش مصنوعی قادرند اسکریپت‌های جدید بنویسند، خود را بازتولید کنند و از شناسایی ابزارهای امنیتی فرار کنند.
گوگل می‌گوید برخی از این نمونه‌ها حتی با پلتفرم‌هایی مانند Gemini در ارتباط‌اند و از قابلیت‌های مولد برای ساخت کدهای مخرب یا رمزگذاری داده‌ها بهره می‌برند. این پدیده نشان می‌دهد که مرز میان ابزارهای هوشمند و تهدیدات سایبری به سرعت در حال محو شدن است؛ مهاجمان اکنون می‌توانند از همان فناوری‌هایی استفاده کنند که برای دفاع در برابرشان طراحی شده بود.
کارشناسان امنیتی تأکید می‌کنند که مقابله با این نسل از تهدیدات مستلزم نظارت هوشمندتر، تحلیل رفتاری مبتنی بر هوش مصنوعی و به‌روزرسانی مستمر مدل‌های تشخیص است، چرا که نبرد آینده‌ی امنیت سایبری، نه میان انسان‌ها بلکه میان هوش‌ها خواهد بود.

پس از هفت ماه، بدافزار Gootloader با شیوه‌ها و ترفندهای پیشرفته‌تر به صحنه بازگشت. این بدافزار که یکی از پیچیده‌ترین ابزارهای توزیع بدافزار در دنیا محسوب می‌شود، با بهره‌گیری از SEO poisoning و تبلیغات جعلی، کاربران را فریب می‌دهد تا فایل‌هایی را بارگیری کنند که ظاهراً اسناد قانونی یا فرم‌های رسمی‌اند، اما در واقع حاوی اسکریپت‌های مخربی‌اند که راه نفوذ مهاجمان را به درون شبکه‌های سازمانی باز می‌کنند.
در نسخه جدید، Gootloader از روش‌هایی خلاقانه برای فرار از شناسایی استفاده می‌کند؛ از جمله به‌کارگیری فونت‌های دست‌کاری‌شده برای پنهان‌سازی کلمات کلیدی در کد صفحات وب و ایجاد فایل‌های فشرده‌ای که بسته به ابزار استخراج، محتوایی متفاوت نمایش می‌دهند. این تغییرات نشان می‌دهد که گردانندگان این بدافزار در طراحی و اجرای حملات هوشمندانه‌تر از قبل عمل می‌کنند.
بازگشت Gootloader هشداری جدی برای سازمان‌ها و کاربران حرفه‌ای است: دانلود هر فایل ظاهراً بی‌ضرر از وب‌سایت‌های ناشناس می‌تواند نقطه آغاز نفوذی گسترده باشد. آگاهی سایبری، به‌روزرسانی سامانه‌های امنیتی و رصد دقیق ترافیک شبکه دیگر یک انتخاب نیست، بلکه ضرورتی حیاتی است!

جاسوس‌افزار جدید LandFall؛ حمله‌ای خاموش از دل واتساپ به گوشی‌های سامسونگ
بدافزار پیشرفته‌ای به نام LandFall با سوءاستفاده از یک zero-day در گوشی‌های Samsung Galaxy موفق شد دستگاه‌های مدل‌های جدید از جمله سری S22 تا S24 و Z Fold / Flip 4 را بدون نیاز به هیچ اقدامی از سوی کاربر آلوده کند. مهاجمان تنها با ارسال تصویری آلوده در واتساپ، از ضعف امنیتی در پردازش فایل‌های تصویری DNG بهره می‌بردند تا کنترل کامل گوشی را در دست بگیرند.
پس از نفوذ، LandFall به قابلیت‌های پیشرفته‌ای مانند ضبط صدا، دسترسی به پیام‌ها و تماس‌ها، سرقت موقعیت مکانی، تصاویر و فایل‌های ذخیره‌شده مجهز است — در واقع، یک مرکز جاسوسی کامل در جیب قربانی. سامسونگ با انتشار به‌روزرسانی امنیتی در آوریل ۲۰۲۵ این نقص را برطرف کرد، اما حملات ماه‌ها پیش از آن در جریان بوده است.
کاربران دستگاه‌های گلکسی باید فوراً سیستم خود را به‌روزرسانی کرده و از نصب فایل‌ها یا تصاویر ناشناس در پیام‌رسان‌ها خودداری کنند — چراکه در دنیای امروز، حتی یک تصویر ساده می‌تواند دروازه‌ای برای نفوذی پیچیده باشد.

افشای آسیب‌پذیری‌های بحرانی در runC؛ تهدیدی جدی برای زیرساخت‌های مبتنی بر Docker و Kubernetes
اخیراْ سه آسیب‌پذیری با سطح شدت بالا در ابزار runC شناسایی شده است؛ مولفه‌ای کلیدی که به‌عنوان موتور اجرای کانتینر در زیرساخت‌های Docker، Kubernetes و Podman مورد استفاده قرار می‌گیرد. این آسیب‌پذیری‌ها با شناسه‌های CVE-2025-31133، CVE-2025-52565 و CVE-2025-52881 می‌توانند به مهاجمان اجازه دهند از محیط ایزوله کانتینر خارج شده و به سطح سیستم میزبان (Host) با دسترسی Root نفوذ کنند — رخدادی که امنیت کل زنجیره‌ی کانتینری را به خطر می‌اندازد.
کارشناسان امنیتی هشدار داده‌اند که این نقص‌ها در صورت اجرای کانتینرهای دارای پیکربندی Mount خاص یا استفاده از Dockerfile‌های آلوده، قابل بهره‌برداری هستند. گرچه تاکنون شواهدی از سوءاستفاده فعال گزارش نشده است، اما با توجه به اهمیت گسترده‌ی runC در زیرساخت‌های ابری و DevOps، اعمال به‌روزرسانی فوری حیاتی است توصیه می‌شود مدیران سامانه‌ها نسخه‌ی runC را حداقل به 1.2.8، 1.3.3 یا 1.4.0-rc3 ارتقا دهند و در صورت امکان از user namespaces و rootless containers برای کاهش سطح دسترسی بهره ببرند.

بازگشت APT37؛ سوء‌استفاده از سرویس Google Find My Device برای پاک‌سازی تلفن‌های اندرویدی
گروه APT37، وابسته به کره شمالی، در جدیدترین کارزار خود از قابلیت‌های مدیریتی Google Find My Device (Find Hub) برای حذف داده‌های کاربران اندروید بهره برده است. مهاجمان با اجرای حملات فیشینگ دقیق و انتشار بدافزار از طریق پیام‌رسان KakaoTalk، اطلاعات ورود به حساب‌های گوگل قربانیان را سرقت کرده و سپس با دسترسی به این سرویس، دستگاه‌ها را از راه دور ردیابی، قفل و در نهایت به‌صورت کامل پاک‌سازی (Factory Reset) کرده‌اند، بدون آن‌که کاربر فرصت واکنش داشته باشد.
زنجیره‌ی حمله معمولاً با پیام‌هایی فریبنده آغاز می‌شود که از سوی نهادهایی مانند پلیس یا سازمان مالیات ارسال شده‌اند. بدافزار پس از نفوذ، کنترل حساب گوگل کاربر را در اختیار گرفته و با استفاده از Find Hub تمام داده‌های ذخیره‌شده را حذف می‌کند. در برخی موارد، از همان حساب آلوده برای انتشار بیشتر بدافزار به مخاطبان کاربر نیز استفاده شده است، چرخه‌ای هوشمندانه که در سکوت کامل عمل می‌کند.
همین حالا احراز هویت دومرحله‌ای را فعال کنید و مراقب لینک‌ها و پیام‌های ناشناس باشید!

🔥 هکاتون رایگان کوئرا و همراه اول: رقابت کن و برنده شو!

🏆 هکاتون هوش‌ِ امن | وقتش رسیده از کدهایی که نوشتی محافظت کنی!

💥 توی این هکاتون چی منتظرته؟
👨‍💻آموزش‌های تخصصی و چندین مرحله مسابقه جذاب در زمینه‌ی AI Security و توانمندسازی مدل‌های بزرگ زبانی.

✨ چرا باید توی این هکاتون شرکت کنی؟
🔸آموزش‌های تخصصی
🔸 بیش از ۱۰۰ میلیون تومان جوایز نقدی و جوایز جذاب دیگه
🔸 گواهی رسمی همراه اول و کوئرا
🔸رقابت با حرفه‌ای‌های هوش‌مصنوعی

👨‍🏫 ثبت‌نام به صورت‌ تیم‌های ۳ یا ۴ نفره.

🚀 تیم‌های برتر کاندیدای حضور در برنامه‌های توانمندسازی مرکز تحقیق و نوآوری همراه اول خواهند بود.
🔗 https://quera.org/r/mjtnd

افزایش چشم‌گیر فعالیت گروه COLDRIVER
گوگل در گزارش اخیر خود اعلام کرد که گروه روسی COLDRIVER، که سال‌ها در حوزه‌ی جاسوسی سایبری و حملات هدفمند علیه نهادهای غربی فعالیت داشته، سه خانواده بدافزاری تازه با نام‌های NOROBOT، YESROBOT و MAYBEROBOT توسعه داده و در کارزارهای اخیر خود مورد استفاده قرار داده است. این بدافزارها با هدف نفوذ به شبکه‌های دولتی و زیرساخت‌های حیاتی طراحی شده‌اند و با بهره‌گیری از تکنیک‌هایی چون DLL sideloading، اجرای اسکریپت‌های مبهم PowerShell و لایه‌های ارتباطی چندمرحله‌ای، امکان شناسایی و ردیابی را به‌حداقل رسانده‌اند. تحلیل‌ها نشان می‌دهد که سرعت توسعه‌ی این ابزارها در مقایسه با چرخه‌های پیشین COLDRIVER افزایش قابل توجهی یافته و بیانگر به‌کارگیری مدل‌های توسعه‌ی ماژولار و خودکار در پشت‌صحنه است.
این روند نشان می‌دهد که APTها در حال صنعتی‌سازیِ فرآیند تولید بدافزار هستند و دفاع سنتی دیگر پاسخگو نیست. سازمان‌ها باید فوراً اجرای اسکریپت‌های ناشناخته را محدود، Application Allowlisting را فعال و لاگ‌های EDR را برای شناسایی فعالیت‌های مشکوک مرتبط با این سه بدافزار بازبینی کنند.