امسال در رویداد پرطرفدار و هیجانانگیز «هکرهای دوستداشتنی»، قرار است با یک مهمون جنجالی از روسیه روبهرو شویم!
کیرل شیپولین، پژوهشگر و متخصص شناختهشدهی امنیت سایبری از شرکت Positive Technologies، مهمان ویژهی این دوره است. او با ارائهای تحت عنوان «نمونههای عملی شکار تهدید در ترافیک شبکه»، تجربیات ارزشمند خود را در زمینهی تحلیل ترافیک، شناسایی تهدیدات پیشرفته و روشهای نوین شکار حملات سایبری به اشتراک میگذارد.
اگر دنیای امنیت، هک اخلاقی و چالشهای سایبری برایتان جذاب است، حضور در این رویداد را از دست ندهید — چرا که امسال «هکرهای دوستداشتنی» با حضور این هکر جنجالی روس، جذابتر و پرانرژیتر از همیشه برگزار خواهد شد!
کیرل شیپولین، پژوهشگر و متخصص شناختهشدهی امنیت سایبری از شرکت Positive Technologies، مهمان ویژهی این دوره است. او با ارائهای تحت عنوان «نمونههای عملی شکار تهدید در ترافیک شبکه»، تجربیات ارزشمند خود را در زمینهی تحلیل ترافیک، شناسایی تهدیدات پیشرفته و روشهای نوین شکار حملات سایبری به اشتراک میگذارد.
اگر دنیای امنیت، هک اخلاقی و چالشهای سایبری برایتان جذاب است، حضور در این رویداد را از دست ندهید — چرا که امسال «هکرهای دوستداشتنی» با حضور این هکر جنجالی روس، جذابتر و پرانرژیتر از همیشه برگزار خواهد شد!
👍1👎1
هکرها با سوءاستفاده از ابزار متنباز RedTiger نسخهای از بدافزار infostealer ساختهاند که اطلاعات حسابهای Discord، مرورگرها و کیفپولهای رمزارز را میدزدد. این بدافزار با تزریق کدهای جاوااسکریپت در فایلهای Discord میتواند ورودها، خریدها و حتی تغییر رمز عبور کاربران را رهگیری کند و دادههای سرقتشده را از طریق سرویسهای ابری به مهاجم ارسال کند.
RedTiger در اصل برای تست نفوذ طراحی شده بود، اما مجرمان سایبری با کامپایل آن به فایلهای اجرایی جعلی (مانند بازی یا Discord) آن را در میان کاربران پخش میکنند. این بدافزار علاوه بر اطلاعات مرورگر، از سیستم قربانی عکس و اسکرینشات گرفته و برای گمراهکردن تحلیلگران امنیتی صدها فرایند و فایل تصادفی ایجاد میکند. کارشناسان توصیه میکنند کاربران از دانلود ابزارهای ناشناخته خودداری کرده، رمزهای خود را تغییر دهند، نشستهای فعال را لغو کنند و حتماً احراز هویت دومرحلهای را فعال سازند.
RedTiger در اصل برای تست نفوذ طراحی شده بود، اما مجرمان سایبری با کامپایل آن به فایلهای اجرایی جعلی (مانند بازی یا Discord) آن را در میان کاربران پخش میکنند. این بدافزار علاوه بر اطلاعات مرورگر، از سیستم قربانی عکس و اسکرینشات گرفته و برای گمراهکردن تحلیلگران امنیتی صدها فرایند و فایل تصادفی ایجاد میکند. کارشناسان توصیه میکنند کاربران از دانلود ابزارهای ناشناخته خودداری کرده، رمزهای خود را تغییر دهند، نشستهای فعال را لغو کنند و حتماً احراز هویت دومرحلهای را فعال سازند.
ایکس (توییتر سابق) به کاربران خود هشدار داده است: اگر تا ۱۰ نوامبر ۲۰۲۵ دوباره کلیدهای امنیتی یا passkey خود را ثبت نکنید، حسابتان قفل خواهد شد. دلیل این هشدار ناگهانی، مهاجرت کامل سرویس از دامنهٔ twitter.com به x.com است؛ تغییری که باعث میشود کلیدهای امنیتی قدیمی، دیگر قادر به تأیید هویت نباشند. به بیان سادهتر، اگر کاربر تا موعد مقرر کلید خود را دوباره ثبت نکند، درِ ورودی حسابش برای همیشه بسته خواهد شد. X تأکید کرده که این اتفاق هیچ ارتباطی به حملهٔ سایبری ندارد.
کاربران باید به صفحهٔ تنظیمات امنیتی X بروند، کلیدهای فعلی را غیرفعال کرده و دوباره ثبت کنند. این فرایند تنها چند دقیقه طول میکشد، اما غفلت از آن میتواند بهای سنگینی داشته باشد: از دست رفتن دسترسی، از بین رفتن احراز هویت دومرحلهای، و نیاز به بازیابی حساب از صفر. ایکس با لحن هشداردهنده یادآوری کرده است که این مهاجرت بخشی از تحول بزرگ برند است—اما برای کاربران، این شاید آزمونی باشد میان امنیت و بیتوجهی. اگر کلید سختافزاری مانند YubiKey دارید، اکنون وقت آن است که دستبهکار شوید؛ پیش از آنکه تاریخ انقضا فرا برسد و حسابتان برای همیشه بسته شود
کاربران باید به صفحهٔ تنظیمات امنیتی X بروند، کلیدهای فعلی را غیرفعال کرده و دوباره ثبت کنند. این فرایند تنها چند دقیقه طول میکشد، اما غفلت از آن میتواند بهای سنگینی داشته باشد: از دست رفتن دسترسی، از بین رفتن احراز هویت دومرحلهای، و نیاز به بازیابی حساب از صفر. ایکس با لحن هشداردهنده یادآوری کرده است که این مهاجرت بخشی از تحول بزرگ برند است—اما برای کاربران، این شاید آزمونی باشد میان امنیت و بیتوجهی. اگر کلید سختافزاری مانند YubiKey دارید، اکنون وقت آن است که دستبهکار شوید؛ پیش از آنکه تاریخ انقضا فرا برسد و حسابتان برای همیشه بسته شود
شرکت ایتالیایی Memento Labs که از بقایای Hacking Team شکل گرفته، در حملهای پیشرفته موسوم به ForumTroll نقش داشته است. این حمله با بهرهگیری از یک zero day در کروم، نهادهای روسی را هدف قرار داد و از لینکهای فیشینگ هوشمند برای آلودهسازی قربانیان استفاده کرد.
بدافزار چندمرحلهای این عملیات شامل بارگذار و جاسوسافزاری به نام LeetAgent بود که توان سرقت داده و کنترل کامل سیستم را داشت. در برخی موارد، جاسوسافزار Dante نیز نصب میشد؛ شباهت فنی آن به محصولات Hacking Team نقش Memento Labs را در این زنجیره حمله تقویت میکند.
بدافزار چندمرحلهای این عملیات شامل بارگذار و جاسوسافزاری به نام LeetAgent بود که توان سرقت داده و کنترل کامل سیستم را داشت. در برخی موارد، جاسوسافزار Dante نیز نصب میشد؛ شباهت فنی آن به محصولات Hacking Team نقش Memento Labs را در این زنجیره حمله تقویت میکند.
چندین بستهی مخرب در مخزن npm با نامهایی بسیار شبیه به کتابخانههای معتبر منتشر شدهاند تا توسعهدهندگان را فریب داده و بدافزار پیچیدهای را روی سیستمهای Windows، Linux و macOS نصب کنند. این بدافزار پس از نصب، با اجرای چندین مرحله رمزگذاری و نمایش یک CAPTCHA جعلی در ترمینال برای پنهانسازی رفتار خود، به ذخیرهسازهای کلید سیستمعاملها مانند Credential Manager، Keychain و libsecret دسترسی پیدا میکند. سپس اطلاعات حساسی همچون کلیدهای SSH، توکنهای احراز هویت، رمزهای مرورگرها و فایلهای حساس پروژهها را جمعآوری کرده و به سرور کنترل مهاجمان ارسال میکند. استفاده از این بستهها میتواند زنجیرهی تأمین نرمافزار را به خطر اندازد، چراکه مهاجمان از اعتماد ذاتی جامعهی متنباز سوءاستفاده کردهاند تا با تغییر جزئی در نام یا نسخه، بدافزار خود را در میان کتابخانههای پرکاربرد پنهان کنند. این رخداد بار دیگر اهمیت بررسی دقیق منبع بستهها، امضای دیجیتال و مدیریت سختگیرانه وابستگیها در پروژههای توسعه نرمافزار را یادآوری میکند.
هکرهای چینی با سوءاستفاده از یک zero day خطرناک در نرمافزار Lanscope Endpoint Manager موفق شدند کنترل کامل سیستمهای هدف را در دست بگیرند. این نقص امنیتی که با شناسه CVE-2025-61932 شناسایی شده، به مهاجمان اجازه میداد با دسترسی سطح SYSTEM بدافزار قدرتمندی به نام Gokcpdoor را نصب کنند؛ ابزاری با قابلیت کنترل از راه دور، سرقت داده و برقراری چند مسیر ارتباطی برای فرار از شناسایی. شرکت ژاپنی Motex که سازنده Lanscope است، در تاریخ ۲۰ اکتبر وصلهی امنیتی را منتشر کرد، اما تا آن زمان این آسیبپذیری بهصورت فعال مورد سوءاستفاده قرار گرفته بود. کارشناسان هشدار دادهاند که تنها راه امن، بهروزرسانی فوری نرمافزار است، چرا که هیچ روش موقتی برای جلوگیری از این حمله وجود ندارد — نمونهای دیگر از نبرد بیپایان میان بهروزرسانی و بهرهبرداری در دنیای سایبری.
در اولین روزهای محاسبات، نمونههای «خودتکثیر» که امروز بهعنوان نخستین بدافزارها از آنها یاد میشود، معمولاً پروژههای کوچک پژوهشی بودند: قطعات نرمافزاری نسبتاً کمحجم نوشتهشده با زبانهای مانند اسمبلی، که اغلب توسط یک یا دو نفر در چند هفته تا چند ماه توسعه مییافتند و هدفِ اصلیشان اثبات یک ایده یا رفتار بود، نه خلق ابزار خرابکارانه. نمونههای دهههای ۱۹۸۰ و ۱۹۹۰ معمولاً یک یا چند فایل منبع و چند هزار خط کد بیشتر نداشتند، در حالی در دسترسبودن روشهای بازاستفاده و بستهبندی چندشکل (polymorphic packers) بعدها به افزایش سریع و تنوع نمونهها انجامید.
تحلیلهای نشان میدهند تولید بدافزار از مرحلهٔ تکنفره و کوچک به فرآیندی صنعتی تبدیل شده است: اندازهٔ کد، تعداد فایلها و تنوع زبانها در ترتیب بزرگی افزایش یافته و زمان و تلاش توسعه نیز بهطور مشهودی رشد کرده است؛ بهعبارت دیگر، آنچه زمانی «آزمایشِ فنی» یک نفره بود، امروز میتواند به یک پروژهٔ چندماهه با چند توسعهدهنده و ماژولهای جداگانه تبدیل شود، امری که ضرورت سازوکارهای دفاعی، کنترل کیفیت و چارچوبهای اخلاقی در پژوهش و توسعهٔ نرمافزار را برجسته میسازد.
تحلیلهای نشان میدهند تولید بدافزار از مرحلهٔ تکنفره و کوچک به فرآیندی صنعتی تبدیل شده است: اندازهٔ کد، تعداد فایلها و تنوع زبانها در ترتیب بزرگی افزایش یافته و زمان و تلاش توسعه نیز بهطور مشهودی رشد کرده است؛ بهعبارت دیگر، آنچه زمانی «آزمایشِ فنی» یک نفره بود، امروز میتواند به یک پروژهٔ چندماهه با چند توسعهدهنده و ماژولهای جداگانه تبدیل شود، امری که ضرورت سازوکارهای دفاعی، کنترل کیفیت و چارچوبهای اخلاقی در پژوهش و توسعهٔ نرمافزار را برجسته میسازد.
بدافزار تازهای به نام SesameOp توسط محققان مایکروسافت شناسایی شده که با روشی خلاقانه و خطرناک، از OpenAI Assistants API بهعنوان کانال فرمان و کنترل (C2) استفاده میکند. این بدافزار با سوءاستفاده از زیرساخت قانونی سرویسهای هوش مصنوعی، فرمانهای رمزگذاریشده خود را در قالب درخواستهای کاملاً مشروع به API ارسال کرده و پاسخها را بهعنوان دستورالعمل اجرایی دریافت میکند؛ روشی که باعث میشود ترافیک آن برای سیستمهای امنیتی تقریباً غیرقابل تشخیص باشد.
تحلیلها نشان میدهد این تکنیک نوآورانه نشانهی مرحلهی جدیدی در تکامل بدافزارهاست، جایی که مهاجمان از پلتفرمهای معتبر برای پنهانسازی ارتباطات مخرب استفاده میکنند. کارشناسان امنیتی هشدار دادهاند که چنین سوءاستفادههایی میتواند باعث «مشروعنمایی حملات» شود و مقابله با آن مستلزم نظارت هوشمندانهتر بر ترافیک ابری و بهروزرسانی سیاستهای دفاعی سازمانها در برابر تهدیدات مبتنی بر هوش مصنوعی است.
تحلیلها نشان میدهد این تکنیک نوآورانه نشانهی مرحلهی جدیدی در تکامل بدافزارهاست، جایی که مهاجمان از پلتفرمهای معتبر برای پنهانسازی ارتباطات مخرب استفاده میکنند. کارشناسان امنیتی هشدار دادهاند که چنین سوءاستفادههایی میتواند باعث «مشروعنمایی حملات» شود و مقابله با آن مستلزم نظارت هوشمندانهتر بر ترافیک ابری و بهروزرسانی سیاستهای دفاعی سازمانها در برابر تهدیدات مبتنی بر هوش مصنوعی است.
👏2
هکرها در موجی از حملات هدفمند از ابزارهای مشروع Remote Monitoring and Management (RMM) برای نفوذ به شرکتهای حملونقل و کارگزاران بار استفاده کردهاند: با ارسال ایمیلها و لینکهای فیشینگ که قربانی را به نصب بستههای اجرایی جعلی میکشاند، مهاجمان RMM را روی سیستمهای کارمندان نصب و از راه دور کنترل کامیونها، تغییر مسیر محمولهها و سرقت فیزیکی بار را انجام میدهند — روشی که بهخاطر ماهیت «قابلاعتماد» این ابزارها، کشف و ردیابی را دشوار میکند.
آسیبپذیری این حملات تنها به یک کشور محدود نیست؛ نمونههایی در آمریکای شمالی، امریکای لاتین، اروپا و آسیا مشاهده شده و ابزارهایی نظیر ScreenConnect، SimpleHelp، PDQ Connect و LogMeIn Resolve در گزارشها نام برده شدهاند.
پیام کلیدی برای شرکتهای لجستیکی این است که «مجوز و قابلیت نصب RMM» باید محدود و تحت سختترین کنترلها قرار گیرد: جداسازی شبکههای OT/IT، اجرای احراز هویت چندعاملی، محدود کردن نصب نرمافزار به ایستگاههای کاری مجاز، و نظارت مستمر بر رفتار RMM و تغییرات در سیستمهای زمانبندی محموله از ضروریات دفاعیاند.
آسیبپذیری این حملات تنها به یک کشور محدود نیست؛ نمونههایی در آمریکای شمالی، امریکای لاتین، اروپا و آسیا مشاهده شده و ابزارهایی نظیر ScreenConnect، SimpleHelp، PDQ Connect و LogMeIn Resolve در گزارشها نام برده شدهاند.
پیام کلیدی برای شرکتهای لجستیکی این است که «مجوز و قابلیت نصب RMM» باید محدود و تحت سختترین کنترلها قرار گیرد: جداسازی شبکههای OT/IT، اجرای احراز هویت چندعاملی، محدود کردن نصب نرمافزار به ایستگاههای کاری مجاز، و نظارت مستمر بر رفتار RMM و تغییرات در سیستمهای زمانبندی محموله از ضروریات دفاعیاند.
❤2
گوگل هشدار داد: بدافزارهای مجهز به هوش مصنوعی وارد میدان شدند
واحد Google Threat Intelligence Group از ظهور خانوادههای جدیدی از بدافزارها خبر داده است که از مدلهای زبانی بزرگ (LLM) برای تغییر رفتار و تولید کد بهصورت لحظهای استفاده میکنند. این بدافزارها – از جمله PromptFlux، QuietVault و PromptLock – با بهرهگیری از الگوریتمهای هوش مصنوعی قادرند اسکریپتهای جدید بنویسند، خود را بازتولید کنند و از شناسایی ابزارهای امنیتی فرار کنند.
گوگل میگوید برخی از این نمونهها حتی با پلتفرمهایی مانند Gemini در ارتباطاند و از قابلیتهای مولد برای ساخت کدهای مخرب یا رمزگذاری دادهها بهره میبرند. این پدیده نشان میدهد که مرز میان ابزارهای هوشمند و تهدیدات سایبری به سرعت در حال محو شدن است؛ مهاجمان اکنون میتوانند از همان فناوریهایی استفاده کنند که برای دفاع در برابرشان طراحی شده بود.
کارشناسان امنیتی تأکید میکنند که مقابله با این نسل از تهدیدات مستلزم نظارت هوشمندتر، تحلیل رفتاری مبتنی بر هوش مصنوعی و بهروزرسانی مستمر مدلهای تشخیص است، چرا که نبرد آیندهی امنیت سایبری، نه میان انسانها بلکه میان هوشها خواهد بود.
واحد Google Threat Intelligence Group از ظهور خانوادههای جدیدی از بدافزارها خبر داده است که از مدلهای زبانی بزرگ (LLM) برای تغییر رفتار و تولید کد بهصورت لحظهای استفاده میکنند. این بدافزارها – از جمله PromptFlux، QuietVault و PromptLock – با بهرهگیری از الگوریتمهای هوش مصنوعی قادرند اسکریپتهای جدید بنویسند، خود را بازتولید کنند و از شناسایی ابزارهای امنیتی فرار کنند.
گوگل میگوید برخی از این نمونهها حتی با پلتفرمهایی مانند Gemini در ارتباطاند و از قابلیتهای مولد برای ساخت کدهای مخرب یا رمزگذاری دادهها بهره میبرند. این پدیده نشان میدهد که مرز میان ابزارهای هوشمند و تهدیدات سایبری به سرعت در حال محو شدن است؛ مهاجمان اکنون میتوانند از همان فناوریهایی استفاده کنند که برای دفاع در برابرشان طراحی شده بود.
کارشناسان امنیتی تأکید میکنند که مقابله با این نسل از تهدیدات مستلزم نظارت هوشمندتر، تحلیل رفتاری مبتنی بر هوش مصنوعی و بهروزرسانی مستمر مدلهای تشخیص است، چرا که نبرد آیندهی امنیت سایبری، نه میان انسانها بلکه میان هوشها خواهد بود.
پس از هفت ماه، بدافزار Gootloader با شیوهها و ترفندهای پیشرفتهتر به صحنه بازگشت. این بدافزار که یکی از پیچیدهترین ابزارهای توزیع بدافزار در دنیا محسوب میشود، با بهرهگیری از SEO poisoning و تبلیغات جعلی، کاربران را فریب میدهد تا فایلهایی را بارگیری کنند که ظاهراً اسناد قانونی یا فرمهای رسمیاند، اما در واقع حاوی اسکریپتهای مخربیاند که راه نفوذ مهاجمان را به درون شبکههای سازمانی باز میکنند.
در نسخه جدید، Gootloader از روشهایی خلاقانه برای فرار از شناسایی استفاده میکند؛ از جمله بهکارگیری فونتهای دستکاریشده برای پنهانسازی کلمات کلیدی در کد صفحات وب و ایجاد فایلهای فشردهای که بسته به ابزار استخراج، محتوایی متفاوت نمایش میدهند. این تغییرات نشان میدهد که گردانندگان این بدافزار در طراحی و اجرای حملات هوشمندانهتر از قبل عمل میکنند.
بازگشت Gootloader هشداری جدی برای سازمانها و کاربران حرفهای است: دانلود هر فایل ظاهراً بیضرر از وبسایتهای ناشناس میتواند نقطه آغاز نفوذی گسترده باشد. آگاهی سایبری، بهروزرسانی سامانههای امنیتی و رصد دقیق ترافیک شبکه دیگر یک انتخاب نیست، بلکه ضرورتی حیاتی است!
در نسخه جدید، Gootloader از روشهایی خلاقانه برای فرار از شناسایی استفاده میکند؛ از جمله بهکارگیری فونتهای دستکاریشده برای پنهانسازی کلمات کلیدی در کد صفحات وب و ایجاد فایلهای فشردهای که بسته به ابزار استخراج، محتوایی متفاوت نمایش میدهند. این تغییرات نشان میدهد که گردانندگان این بدافزار در طراحی و اجرای حملات هوشمندانهتر از قبل عمل میکنند.
بازگشت Gootloader هشداری جدی برای سازمانها و کاربران حرفهای است: دانلود هر فایل ظاهراً بیضرر از وبسایتهای ناشناس میتواند نقطه آغاز نفوذی گسترده باشد. آگاهی سایبری، بهروزرسانی سامانههای امنیتی و رصد دقیق ترافیک شبکه دیگر یک انتخاب نیست، بلکه ضرورتی حیاتی است!