در اولین روزهای محاسبات، نمونههای «خودتکثیر» که امروز بهعنوان نخستین بدافزارها از آنها یاد میشود، معمولاً پروژههای کوچک پژوهشی بودند: قطعات نرمافزاری نسبتاً کمحجم نوشتهشده با زبانهای مانند اسمبلی، که اغلب توسط یک یا دو نفر در چند هفته تا چند ماه توسعه مییافتند و هدفِ اصلیشان اثبات یک ایده یا رفتار بود، نه خلق ابزار خرابکارانه. نمونههای دهههای ۱۹۸۰ و ۱۹۹۰ معمولاً یک یا چند فایل منبع و چند هزار خط کد بیشتر نداشتند، در حالی در دسترسبودن روشهای بازاستفاده و بستهبندی چندشکل (polymorphic packers) بعدها به افزایش سریع و تنوع نمونهها انجامید.
تحلیلهای نشان میدهند تولید بدافزار از مرحلهٔ تکنفره و کوچک به فرآیندی صنعتی تبدیل شده است: اندازهٔ کد، تعداد فایلها و تنوع زبانها در ترتیب بزرگی افزایش یافته و زمان و تلاش توسعه نیز بهطور مشهودی رشد کرده است؛ بهعبارت دیگر، آنچه زمانی «آزمایشِ فنی» یک نفره بود، امروز میتواند به یک پروژهٔ چندماهه با چند توسعهدهنده و ماژولهای جداگانه تبدیل شود، امری که ضرورت سازوکارهای دفاعی، کنترل کیفیت و چارچوبهای اخلاقی در پژوهش و توسعهٔ نرمافزار را برجسته میسازد.
تحلیلهای نشان میدهند تولید بدافزار از مرحلهٔ تکنفره و کوچک به فرآیندی صنعتی تبدیل شده است: اندازهٔ کد، تعداد فایلها و تنوع زبانها در ترتیب بزرگی افزایش یافته و زمان و تلاش توسعه نیز بهطور مشهودی رشد کرده است؛ بهعبارت دیگر، آنچه زمانی «آزمایشِ فنی» یک نفره بود، امروز میتواند به یک پروژهٔ چندماهه با چند توسعهدهنده و ماژولهای جداگانه تبدیل شود، امری که ضرورت سازوکارهای دفاعی، کنترل کیفیت و چارچوبهای اخلاقی در پژوهش و توسعهٔ نرمافزار را برجسته میسازد.
بدافزار تازهای به نام SesameOp توسط محققان مایکروسافت شناسایی شده که با روشی خلاقانه و خطرناک، از OpenAI Assistants API بهعنوان کانال فرمان و کنترل (C2) استفاده میکند. این بدافزار با سوءاستفاده از زیرساخت قانونی سرویسهای هوش مصنوعی، فرمانهای رمزگذاریشده خود را در قالب درخواستهای کاملاً مشروع به API ارسال کرده و پاسخها را بهعنوان دستورالعمل اجرایی دریافت میکند؛ روشی که باعث میشود ترافیک آن برای سیستمهای امنیتی تقریباً غیرقابل تشخیص باشد.
تحلیلها نشان میدهد این تکنیک نوآورانه نشانهی مرحلهی جدیدی در تکامل بدافزارهاست، جایی که مهاجمان از پلتفرمهای معتبر برای پنهانسازی ارتباطات مخرب استفاده میکنند. کارشناسان امنیتی هشدار دادهاند که چنین سوءاستفادههایی میتواند باعث «مشروعنمایی حملات» شود و مقابله با آن مستلزم نظارت هوشمندانهتر بر ترافیک ابری و بهروزرسانی سیاستهای دفاعی سازمانها در برابر تهدیدات مبتنی بر هوش مصنوعی است.
تحلیلها نشان میدهد این تکنیک نوآورانه نشانهی مرحلهی جدیدی در تکامل بدافزارهاست، جایی که مهاجمان از پلتفرمهای معتبر برای پنهانسازی ارتباطات مخرب استفاده میکنند. کارشناسان امنیتی هشدار دادهاند که چنین سوءاستفادههایی میتواند باعث «مشروعنمایی حملات» شود و مقابله با آن مستلزم نظارت هوشمندانهتر بر ترافیک ابری و بهروزرسانی سیاستهای دفاعی سازمانها در برابر تهدیدات مبتنی بر هوش مصنوعی است.
👏2
هکرها در موجی از حملات هدفمند از ابزارهای مشروع Remote Monitoring and Management (RMM) برای نفوذ به شرکتهای حملونقل و کارگزاران بار استفاده کردهاند: با ارسال ایمیلها و لینکهای فیشینگ که قربانی را به نصب بستههای اجرایی جعلی میکشاند، مهاجمان RMM را روی سیستمهای کارمندان نصب و از راه دور کنترل کامیونها، تغییر مسیر محمولهها و سرقت فیزیکی بار را انجام میدهند — روشی که بهخاطر ماهیت «قابلاعتماد» این ابزارها، کشف و ردیابی را دشوار میکند.
آسیبپذیری این حملات تنها به یک کشور محدود نیست؛ نمونههایی در آمریکای شمالی، امریکای لاتین، اروپا و آسیا مشاهده شده و ابزارهایی نظیر ScreenConnect، SimpleHelp، PDQ Connect و LogMeIn Resolve در گزارشها نام برده شدهاند.
پیام کلیدی برای شرکتهای لجستیکی این است که «مجوز و قابلیت نصب RMM» باید محدود و تحت سختترین کنترلها قرار گیرد: جداسازی شبکههای OT/IT، اجرای احراز هویت چندعاملی، محدود کردن نصب نرمافزار به ایستگاههای کاری مجاز، و نظارت مستمر بر رفتار RMM و تغییرات در سیستمهای زمانبندی محموله از ضروریات دفاعیاند.
آسیبپذیری این حملات تنها به یک کشور محدود نیست؛ نمونههایی در آمریکای شمالی، امریکای لاتین، اروپا و آسیا مشاهده شده و ابزارهایی نظیر ScreenConnect، SimpleHelp، PDQ Connect و LogMeIn Resolve در گزارشها نام برده شدهاند.
پیام کلیدی برای شرکتهای لجستیکی این است که «مجوز و قابلیت نصب RMM» باید محدود و تحت سختترین کنترلها قرار گیرد: جداسازی شبکههای OT/IT، اجرای احراز هویت چندعاملی، محدود کردن نصب نرمافزار به ایستگاههای کاری مجاز، و نظارت مستمر بر رفتار RMM و تغییرات در سیستمهای زمانبندی محموله از ضروریات دفاعیاند.
❤2
گوگل هشدار داد: بدافزارهای مجهز به هوش مصنوعی وارد میدان شدند
واحد Google Threat Intelligence Group از ظهور خانوادههای جدیدی از بدافزارها خبر داده است که از مدلهای زبانی بزرگ (LLM) برای تغییر رفتار و تولید کد بهصورت لحظهای استفاده میکنند. این بدافزارها – از جمله PromptFlux، QuietVault و PromptLock – با بهرهگیری از الگوریتمهای هوش مصنوعی قادرند اسکریپتهای جدید بنویسند، خود را بازتولید کنند و از شناسایی ابزارهای امنیتی فرار کنند.
گوگل میگوید برخی از این نمونهها حتی با پلتفرمهایی مانند Gemini در ارتباطاند و از قابلیتهای مولد برای ساخت کدهای مخرب یا رمزگذاری دادهها بهره میبرند. این پدیده نشان میدهد که مرز میان ابزارهای هوشمند و تهدیدات سایبری به سرعت در حال محو شدن است؛ مهاجمان اکنون میتوانند از همان فناوریهایی استفاده کنند که برای دفاع در برابرشان طراحی شده بود.
کارشناسان امنیتی تأکید میکنند که مقابله با این نسل از تهدیدات مستلزم نظارت هوشمندتر، تحلیل رفتاری مبتنی بر هوش مصنوعی و بهروزرسانی مستمر مدلهای تشخیص است، چرا که نبرد آیندهی امنیت سایبری، نه میان انسانها بلکه میان هوشها خواهد بود.
واحد Google Threat Intelligence Group از ظهور خانوادههای جدیدی از بدافزارها خبر داده است که از مدلهای زبانی بزرگ (LLM) برای تغییر رفتار و تولید کد بهصورت لحظهای استفاده میکنند. این بدافزارها – از جمله PromptFlux، QuietVault و PromptLock – با بهرهگیری از الگوریتمهای هوش مصنوعی قادرند اسکریپتهای جدید بنویسند، خود را بازتولید کنند و از شناسایی ابزارهای امنیتی فرار کنند.
گوگل میگوید برخی از این نمونهها حتی با پلتفرمهایی مانند Gemini در ارتباطاند و از قابلیتهای مولد برای ساخت کدهای مخرب یا رمزگذاری دادهها بهره میبرند. این پدیده نشان میدهد که مرز میان ابزارهای هوشمند و تهدیدات سایبری به سرعت در حال محو شدن است؛ مهاجمان اکنون میتوانند از همان فناوریهایی استفاده کنند که برای دفاع در برابرشان طراحی شده بود.
کارشناسان امنیتی تأکید میکنند که مقابله با این نسل از تهدیدات مستلزم نظارت هوشمندتر، تحلیل رفتاری مبتنی بر هوش مصنوعی و بهروزرسانی مستمر مدلهای تشخیص است، چرا که نبرد آیندهی امنیت سایبری، نه میان انسانها بلکه میان هوشها خواهد بود.