سلام
بعد از یه سری مشکلات ، اینور ،اونور ، کارای دانشگاه و وقت نکردن توی خوابگاه واسه رکورد کردن و خیلی مشکلات دیگه ، دوباره استارت میزنیم و این دفه هر هفته یه قسمت اپلود میشه تحت هر شرایطی .

از طرفی هم میریم سمت اخبار ها و هر چیز باحالی که دیدم رو براتون مینویسم...

شرکت Cloudflare که در زمینه زیرساخت وب و امنیت فعالیت می‌کنه، اعلام کرد که تونسته بزرگ‌ترین حمله DDoS تاریخ رو که قدرتش به 5.6 ترابیت بر ثانیه (Tbps) می‌رسید، شناسایی و مسدود کنه.

این حمله که از پروتکل UDP استفاده می‌کرد، در 29 اکتبر 2024 انجام شد و یکی از مشتریان Cloudflare رو که یه شرکت اینترنتی ناشناس از شرق آسیا بود، هدف قرار داد. این حمله از یه بات‌نت مبتنی بر Mirai شروع شده بود.

طبق گزارش Cloudflare، حمله فقط 80 ثانیه طول کشید و بیش از 13,000 دستگاه IoT (اینترنت اشیا) توی این حمله نقش داشتن. به طور میانگین، تو هر ثانیه حدود 5,500 آدرس IP منحصر به فرد شناسایی شد که هرکدوم حدود 1 گیگابیت بر ثانیه دیتا ارسال می‌کردن.

جالبه بدونید رکورد قبلی بزرگ‌ترین حمله DDoS هم توی اکتبر 2024 توسط خود Cloudflare گزارش شده بود که قدرتش 3.8 Tbps بود.

Cloudflare همچنین گفت تو سال 2024، حدود 21.3 میلیون حمله DDoS رو مسدود کرده، که نسبت به 2023 حدود 53 درصد افزایش داشته. تعداد حملاتی که قدرتشون از 1 Tbps بیشتر بوده هم 1,885 درصد  افزایش پیدا کرده. فقط توی سه‌ماهه آخر 2024، حدود 6.9 میلیون حمله DDoS توسط این شرکت خنثی شده.

چند نکته جالب دیگه از سه‌ماهه آخر 2024:

72.6% از تمام حملات HTTP DDoS توسط بات‌نت‌های شناخته‌شده انجام شدن.

سه روش رایج حمله توی لایه‌های شبکه (لایه 3 و 4) اینا بودن: SYN flood (38%)، DNS flood (16%)، و UDP flood (14%).

حملات Memcached DDoS، BitTorrent DDoS، و Ransom DDoS به ترتیب 314%، 304% و 78% رشد داشتن.

حدود 72% از حملات HTTP DDoS و 91% از حملات لایه شبکه کمتر از 10 دقیقه طول کشیدن.

کشورهایی مثل اندونزی، هنگ‌کنگ، سنگاپور، اوکراین، و آرژانتین بزرگ‌ترین منابع حملات بودن.

کشورهایی که بیشترین حملات رو دریافت کردن شامل چین، فیلیپین، تایوان، هنگ‌کنگ، و آلمان بودن.

بیشترین حملات به صنایع مخابرات، اینترنت، بازاریابی، فناوری اطلاعات و قمار انجام شده.
هم‌زمان، شرکت‌های امنیت سایبری Qualys و Trend Micro گزارش دادن که نسخه‌های جدیدی از بدافزار Mirai داره از آسیب‌پذیری‌های امنیتی و رمزهای ضعیف تو دستگاه‌های اینترنت اشیا سوءاستفاده می‌کنه و از اون‌ها برای حملات DDoS استفاده می‌شه.

پژوهشگرای امنیت سایبری هشدار دادن که یه کمپین بزرگ و گسترده داره از ضعف‌های امنیتی توی دوربین‌های AVTECH IP و روترهای Huawei HG532 سوءاستفاده می‌کنه تا این دستگاه‌ها رو وارد یه بات‌نت جدید به اسم Murdoc Botnet کنه.
طبق تحلیل‌های Shilpesh Trivedi از شرکت امنیتی Qualys، این حمله قابلیت‌های پیشرفته‌ای داره و از آسیب‌پذیری‌های مختلف برای نفوذ به دستگاه‌ها و گسترش شبکه بات‌نت استفاده می‌کنه.
این کمپین از جولای 2024 شروع شده و تا الان بیش از 1370 سیستم آلوده شدن. بیشتر این آلودگی‌ها تو کشورهایی مثل مالزی، مکزیک، تایلند، اندونزی، و ویتنام دیده شده.

این بات‌نت از ضعف‌های امنیتی شناخته‌شده مثل CVE-2017-17215 و CVE-2024-7029 استفاده می‌کنه تا به دستگاه‌های اینترنت اشیا (IoT) دسترسی اولیه پیدا کنه. بعد از اون، یه اسکریپت شِل رو اجرا می‌کنه که بدافزار بات‌نت رو دانلود می‌کنه و بسته به نوع پردازنده دستگاه اجراش می‌کنه. هدف نهایی این حمله اینه که بات‌نت رو برای انجام حملات DDoS آماده کنه.

چند هفته پیش هم یه نسخه دیگه از بات‌نت Mirai به اسم gayfemboy پیدا شد که داشت از یه ضعف امنیتی جدید توی روترهای صنعتی Four-Faith سوءاستفاده می‌کرد. همچنین، تو اواسط 2024، شرکت Akamai گزارش داده بود که CVE-2024-7029 توسط هکرها برای آلوده کردن دستگاه‌های AVTECH به یه بات‌نت استفاده شده بود.

طبق گفته شرکت Trend Micro، این بات‌نت از بدافزارهایی مثل نسخه‌های مشتق‌شده از Mirai و BASHLITE تشکیل شده. این بدافزارها می‌تونن روش‌های مختلفی برای حملات DDoS، آپدیت بدافزارها، و فعال‌سازی سرویس‌های پروکسی به کار ببرن.
حمله به این صورت انجام می‌شه که دستگاه‌های IoT آلوده می‌شن، یه Loader روشون نصب می‌شه، بعد اون بدافزار اصلی رو دانلود می‌کنه و به یه سرور C2 وصل می‌شه تا دستورات بعدی رو برای حملات DDoS یا کارهای دیگه بگیره .

به کاربران اوبونتو 22.04 LTS توصیه می‌شه که سیستم‌های خودشون رو فوراً به‌روزرسانی کنن. این توصیه بعد از انتشار یک وصله امنیتی مهم توسط شرکت Canonical صورت گرفته که برای رفع چندین آسیب‌پذیری بحرانی در هسته لینوکس برای پردازنده‌های Xilinx ZynqMP ارائه شده.

هسته لینوکس مخصوص پردازنده‌های Xilinx Zynq UltraScale+ MPSoC (ZynqMP) به شکل خاصی طراحی شده که از امکانات و سخت‌افزار این خانواده از پردازنده‌ها پشتیبانی کنه.

این پردازنده‌ها ترکیبی از این موارد هستن:
یه پردازنده چهار هسته‌ای ARM Cortex-A53 (۶۴ بیتی) برای برنامه‌های کاربردی،
یه پردازنده دو هسته‌ای ARM Cortex-R5 (۳۲ بیتی) برای پردازش بلادرنگ،
یه پردازنده گرافیکی ARM Mali-400،
و یه بخش منطقی قابل برنامه‌ریزی (FPGA).

هسته لینوکس پایه‌ی محکمی برای استفاده از این پردازنده‌ها توی برنامه‌های تعبیه‌شده و حتی کاربردهای عمومی فراهم می‌کنه.

اما جدیدا حدود 126 آسیب پذیری گزارش شده و پیشنهاد شده لینوکس هاتونو اپدیت کنین و پچ های موجود صدها آسیب‌پذیری امنیتی رو برطرف می‌کنه که شامل مشکلات موجود توی ساب سیستم‌ها، معماری‌ها، درایورها و پروتکل‌ها می‌شه. فهرست کامل CVEهایی که رفع شدن، توی اطلاعیه رسمی امنیتی منتشر شده.

آپدیت هسته لینوکس: رفع مشکلات امنیتی و بهبود عملکرد
آخرین به‌روزرسانی هسته لینوکس، شامل وصله‌های حیاتی امنیتی و بهبودهای عملکرد در بخش‌های مختلف سیستمه:

معماری‌ها: به‌روزرسانی برای ARM32، x86، RISC-V و S390.

سیستم‌های فایل: امنیت و عملکرد بهتر برای BTRFS، Ext4، GFS2، Ceph، NFS، JFS و F2FS.

درایورها: رفع مشکلات مربوط به درایورهای GPU، USB، بلوتوث، GPIO، Ethernet bonding و InfiniBand.

شبکه: بهبودهایی در TCP، SCTP، IPv4، IPv6، Netfilter و موارد دیگه.

چارچوب‌های امنیتی: آپدیت‌هایی برای SELinux و ماژول‌های کنترل دسترسی.

اجزای اصلی: بهینه‌سازی‌هایی در مدیریت حافظه و زیرساخت‌های ردیابی (Tracing Infrastructure).

جدول به‌روزشده همراه با لینک‌های CVE مربوطه:

Architectures :
ARM32, RISC-V, S390, x86
CVE-2024-49938, CVE-2024-49966, CVE-2024-50013, CVE-2024-50093

Block Layer Subsystem :
Storage block layer management
CVE-2024-49944, CVE-2024-50046, CVE-2024-50096

ACPI Drivers:
Advanced Configuration and Power Interface
CVE-2024-49985, CVE-2024-50040

Drivers Core :
Core drivers across subsystems
CVE-2024-49924, CVE-2024-49981

ATA over Ethernet (AOE)
ATA protocol over Ethernet
CVE-2024-49877, CVE-2024-49975

TPM Device Driver
Trusted Platform Module
CVE-2024-49902, CVE-2024-49903

Clock Framework and Drivers : Timing and synchronization drivers
CVE-2024-50062, CVE-2024-49997

EFI Core:
Extensible Firmware Interface core functionality
CVE-2024-49977, CVE-2024-50024

GPU Drivers :
Graphics processing unit drivers
CVE-2024-50038, CVE-2024-50008

File Systems :
Ext4, BTRFS, Ceph, NFS (client/server/superblock), NILFS2, GFS2, F2FS, JFSCVE-2024-49936, CVE-2024-49892, CVE-2024-50049

Networking Core :
IPv4, IPv6, CAN, Multipath TCP, MAC80211
CVE-2024-49863, CVE-2024-50033, CVE-2024-50015

USB Drivers:
USB Device Class, USB Type-C Port ControllerCVE-2024-50019, CVE-2024-50059

Bluetooth Subsystem:
Bluetooth stack
CVE-2024-49913, CVE-2024-50044

Kernel Security:
SELinux, Simplified Mandatory Access Control Kernel framework
CVE-2024-49948, CVE-2024-50095

Media Drivers:
Amlogic Meson SoC drivers, AudioScience HPI, USB soundCVE-2024-49973, CVE-2024-50038

Memory Management:
Kernel-level memory management
CVE-2024-49871, CVE-2024-50001

Perf Events:
Performance monitoring events
CVE-2024-49967, CVE-2024-49954

Tracing Infrastructure:
Kernel tracing framework
CVE-2024-49995, CVE-2024-49957

علاوه بر به‌روزرسانی‌های مربوط به ساب‌سیستم‌ها، اوبونتو همچنین به‌روزرسانی‌های امنیتی رو منتشر کرده که آسیب‌پذیری‌های مربوط به سیستم‌های دیگه رو برطرف می‌کنه.
در ادامه، جدول به‌روزرسانی‌شده‌ای رو می‌بینید که لینک‌های مربوط به شناسه‌های CVE توش قرار داده شده:

CVE-2024-49907   Kernel memory management subsystem
CVE-2024-50062    Clock framework and drivers
CVE-2024-36893    ACPI drivers
CVE-2024-49903    TPM device driver

آسیب‌پذیری Zero-Click RCE در Microsoft Outlook

یک نمونه PoC منتشر شده که نشون میده یه آسیب‌پذیری RCE زیرو کلیک توی Microsoft Outlook وجود داره. این آسیب‌پذیری که توی قابلیت Windows Object Linking and Embedding (OLE) شناسایی شده، با کد CVE-2025-21298 ثبت شده.

جزئیات باگ و نمونه بهره‌برداری:
مشکل اصلی توی فایل ole32.dll و ریشه اش خطای double-free توی تابع UtOlePresStmToContentsStm هست. این تابع وظیفه پردازش اشیاء OLE داخل فایل‌های RTF رو داره که یکی از قابلیت‌های رایج تو Microsoft Outlook محسوب میشه.

آسیب پذیری CVE-2025-21298 یه باگ بحرانی اجرای کد از راه دوره (RCE) که تو همین تابع تو فایل ole32.dll پیدا شده. این مشکل به خاطر وضعیت double-free پیش میاد و می‌تونه باعث دستکاری حافظه و اجرای کدهای مخرب از راه دور بشه.


مشکل زمانی پیش میاد که اشاره‌گر pstmContents هنگام پاکسازی درست مدیریت نمیشه و این اشاره‌گر تبدیل به یه dangling pointer (اشاره‌گر نامعتبر) میشه که به حافظه‌ای که قبلاً آزاد شده بود، اشاره می‌کنه.
اگه تابع UtReadOlePresStmHeader با خطا مواجه بشه، کد پاکسازی دوباره حافظه‌ای رو که قبلاً آزاد شده بود، آزاد می‌کنه و باعث ایجاد مشکل double-free میشه.
این باگ خیلی خطرناکه چون میشه از طریق فایل‌های RTF مخرب که شامل اشیاء OLE جاسازی‌شده هستن، ازش سوءاستفاده کرد. این حمله می‌تونه تو برنامه‌هایی مثل Microsoft Word یا Outlook اجرا بشه.
امتیاز CVSS این آسیب‌پذیری 9.8 هست، که نشون‌دهنده شدت بحرانی اونه. دلیل اصلی این شدت، ماهیت zero-click اون هست؛ یعنی مهاجم می‌تونه بدون نیاز به تعامل کاربر، کد مخرب خودش رو اجرا کنه.


خطرات آسیب‌پذیری
این باگ بسیار خطرناکه ،چراکه مهاجما میتونن از طریق فایل‌های RTF مخرب حاوی اشیاء OLE از اون سو استفاده کنن. کاربرا حتی بدون باز کردن ایمیل، تنها با پیش‌نمایش اون توی Outlook، می‌تونن هدف حمله قرار بگیرن.

مایکروسافت توی به‌روزرسانی امنیتی ژانویه 2025 این مشکل رو برطرف کرده. این به‌روزرسانی پوینتر pstmContents رو بعد از آزادسازی به‌طور صریح روی مقدار NULL تنظیم می‌کنه تا از وقوع *double-free* جلوگیری بشه.

نسخه‌های آسیب‌پذیر :
این مشکل طیف وسیعی از نسخه‌های ویندوز، از Windows 10 تا Windows 11 و نسخه‌های سرور از 2008 تا 2025 رو تحت تأثیر قرار میده.

توصیه ها :

1. با نصب آخرین به‌روزرسانی امنیتی، این آسیب‌پذیری برطرف میشه.
2. اگر امکان به‌روزرسانی فوری وجود نداره، پیش‌نمایش RTF رو توی Outlook غیرفعال کنید.

برای کسایی که به تحلیل فنی دقیق‌تری علاقه دارن، مت جوهانسن یک اسکریپت KQL برای جستجوی تهدید منتشر کرده که به کارشناسان امنیتی کمک میکنه نشانه‌های بهره‌برداری از این آسیب‌پذیری رو شناسایی کنن.


برای اطلاعات بیشتر، می‌تونین پست‌های مت جوهانسن توی شبکه اجتماعی X رو ببینین

یه گروه از محقق‌ها جزئیات بیش از 100 آسیب‌پذیری امنیتی رو منتشر کردن که روی پیاده‌سازی‌های LTE و 5G تأثیر می‌ذاره. این آسیب‌پذیری‌ها می‌تونن توسط مهاجمان مورد سوءاستفاده قرار بگیرن تا دسترسی به خدمات رو مختل کنن و حتی به هسته شبکه سلولی نفوذ کنن.

این 119 آسیب‌پذیری که 97 تا از اون‌ها شناسه CVE مخصوص به خودشون رو دارن، در هفت پیاده‌سازی LTE (شامل Open5GS، Magma، OpenAirInterface، Athonet، SD-Core، NextEPC، srsRAN) و سه پیاده‌سازی 5G (Open5GS، Magma، OpenAirInterface) کشف شدن. این یافته‌ها توسط محققان دانشگاه فلوریدا و دانشگاه ایالتی کارولینای شمالی گزارش شده.

این مطالعه با عنوان "RANsacked: A Domain-Informed Approach for Fuzzing LTE and 5G RAN-Core Interfaces" جزئیات این کشف‌ها رو توضیح داده. از طرفی محقق ها گفتن:"هر کدوم از این 100 آسیب‌پذیری می‌تونه تمام ارتباطات سلولی (تماس‌ها، پیام‌ها و داده‌ها) رو تو سطح یه شهر کامل مختل کنه."

مهاجم می‌تونه با ارسال یه بسته داده کوچیک به شبکه، بدون نیاز به احراز هویت یا سیم‌کارت، به‌طور مداوم بخش‌های مدیریت تحرک (MME) یا مدیریت دسترسی و تحرک (AMF) رو تو شبکه‌های LTE/5G مختل کنه و باعث کرش کردن اون‌ها بشه.

این آسیب‌پذیری‌ها از طریق یه تمرین فازینگ (fuzzing) با نام RANsacked کشف شدن. این روش روی رابط‌های بین شبکه دسترسی رادیویی (RAN) و هسته شبکه (Core) متمرکز بوده، جایی که این رابط‌ها ورودی‌هایی مستقیم از دستگاه‌های موبایل و ایستگاه‌های پایه دریافت می‌کنن.

بسیاری از این آسیب‌پذیری‌ها به مشکلاتی مثل سرریز بافر (buffer overflow) و خرابی حافظه مربوط می‌شن که می‌تونن برای نفوذ به هسته شبکه سلولی مورد استفاده قرار بگیرن. با این دسترسی، مهاجمان می‌تونن:
- اطلاعات مکان و اتصال تمام کاربران رو تو سطح شهر ردیابی کنن.
- حملات هدفمند روی کاربران خاص انجام بدن.
- اقدامات مخرب بیشتری روی خود شبکه انجام بدن.

این کشف نشون میده که چقدر پیاده‌سازی‌های LTE و 5G در برابر حملات آسیب‌پذیر هستن و چه خطرات جدی‌ای رو می‌تونن ایجاد کنن.

این باگ‌هایی که پیدا شدن، به دو دسته کلی تقسیم می‌شن:
1. اون‌هایی که هر دستگاه موبایل بدون احراز هویت می‌تونه ازشون سوءاستفاده کنه.
2. اون‌هایی که مهاجم می‌تونه با نفوذ به یک ایستگاه پایه یا فمتوسل (femtocell) ازشون استفاده کنه.

از بین ۱۱۹ آسیب‌پذیری کشف‌شده:
- ۷۹ مورد در پیاده‌سازی‌های MME پیدا شده.
- ۳۶ مورد در پیاده‌سازی‌های AMF.
- ۴ مورد هم در پیاده‌سازی‌های SGW.
همچنین ۲۵ مورد از این مشکلات به حملات Non-Access Stratum (NAS) مربوط می‌شن که می‌تونن توسط هر گوشی موبایل دلخواهی انجام بشن.

تحقیق اشاره می‌کنه که معرفی فمتوسل‌های خانگی و ایستگاه‌های gNodeB در 5G که به راحتی در دسترس هستن، شرایط امنیتی رو تغییر داده. تجهیزاتی که قبلاً به‌صورت فیزیکی ایمن بودن، حالا در معرض تهدیدهای فیزیکی قرار گرفتن.

یه مشکل امنیتی جدی توی فریم‌ورک مدل زبانی بزرگ لاما (Llama) از متا پیدا شده که اگه درست ازش سوءاستفاده بشه، می‌تونه به هکر اجازه بده هر کدی که می‌خواد روی سرور لاما-استک اجرا کنه.

این باگ که با کد CVE-2024-50050 شناخته می‌شه، یه امتیاز 6.3 از 10 توی سیستم CVSS گرفته. البته شرکت امنیت زنجیره تأمین Snyk بهش نمره بحرانی 9.3 داده.

طبق گفته «آوی لوملسکی»، محقق امنیتی Oligo Security: «نسخه‌های آسیب‌پذیر meta-llama مشکل سریال‌سازی داده‌های غیرقابل اعتماد دارن، یعنی یه مهاجم می‌تونه با فرستادن داده‌های مخرب که سریال‌سازی شدن، هر کدی که بخواد اجرا کنه.»

این نقص، طبق گفته یه شرکت امنیت ابری، توی یه بخش به اسم Llama Stack قرار داره که یه سری رابط‌های API برای توسعه اپلیکیشن‌های هوش مصنوعی (AI) ارائه می‌ده، از جمله استفاده از مدل‌های خودِ لامای متا.

مشکل دقیقاً مربوط می‌شه به یه باگ اجرای کد از راه دور توی API استنتاج پایتون. این باگ اشیای پایتون رو با استفاده از کتابخونه pickle به صورت خودکار سریال‌سازی می‌کنه؛ روشی که به خاطر خطر اجرای کد مخرب یا غیرقابل اعتماد، پرریسک شناخته شده.

لوملسکی گفته : «توی سناریوهایی که سوکت ZeroMQ روی شبکه در دسترس باشه، هکرها می‌تونن از این آسیب‌پذیری سوءاستفاده کنن و اشیای مخرب دستکاری‌شده رو به سوکت بفرستن. از اونجایی که تابع recv_pyobj این اشیا رو باز می‌کنه (unpickle)، مهاجم می‌تونه روی سیستم میزبان اجرای کد دلخواه (RCE) انجام بده.»

بعد از اطلاع‌رسانی مسئولانه توی تاریخ ۲۴ سپتامبر ۲۰۲۴، متا این مشکل رو در نسخه 0.0.41 که در تاریخ ۱۰ اکتبر منتشر شد، برطرف کرد. این مشکل همچنین توی کتابخونه pyzmq، که برای دسترسی به کتابخونه پیام‌رسانی ZeroMQ در پایتون استفاده می‌شه، حل شده.

متا در یک اطلاعیه اعلام کرد که برای رفع خطر اجرای کد از راه دور مربوط به استفاده از pickle به‌عنوان فرمت سریال‌سازی در ارتباطات سوکت، این فرمت رو به JSON تغییر داده.

این اولین بار نیست که چنین آسیب‌پذیری‌هایی توی فریم‌ورک‌های هوش مصنوعی پیدا می‌شه. در آگوست ۲۰۲۴، شرکت Oligo یه «آسیب‌پذیری پنهان» در فریم‌ورک Keras مربوط به TensorFlow رو شناسایی کرد. این نقص، که نوعی دور زدن CVE-2024-3660 با امتیاز CVSS 9.8 بود، به خاطر استفاده از ماژول ناامن marshal می‌تونست باعث اجرای کد دلخواه بشه.

این ماجرا زمانی پیش اومد که بنجامین فلش، محقق امنیتی، یه مشکل با شدت بالا رو توی کراولر ChatGPT اوپن‌ای‌آی کشف کرد. این مشکل می‌تونه برای راه‌اندازی حملات DDoS به سایت‌های دلخواه استفاده بشه.

مسئله از مدیریت نادرست درخواست‌های HTTP POST به API "chatgpt.com/backend-api/attributions" ناشی می‌شه. این API برای گرفتن لیستی از URLها طراحی شده، اما نه بررسی می‌کنه که آیا یه URL چند بار توی لیست تکرار شده، نه محدودیتی روی تعداد لینک‌هایی که می‌شه ارسال کرد اعمال می‌کنه.

بیاین یه سناریو رو درنظر بگیریم :

یه مهاجم می‌تونه هزاران لینک رو توی یه درخواست HTTP ارسال کنه. این باعث می‌شه اوپن‌ای‌آی تمام اون درخواست‌ها رو به سایت قربانی بفرسته، بدون اینکه تعداد اتصال‌ها رو محدود کنه یا از ارسال درخواست‌های تکراری جلوگیری کنه.

بسته به تعداد لینک‌هایی که به اوپن‌ای‌آی فرستاده می‌شه، این نقص می‌تونه باعث تقویت شدید حمله DDoS بشه و منابع سایت هدف رو از دسترس خارج کنه. اوپن‌ای‌آی این مشکل رو رفع کرده.

فلش گفته: «کراولر ChatGPT می‌تونه با یه درخواست HTTP به یه API نامرتبط ChatGPT برای حمله DDoS به یه سایت قربانی تحریک بشه. این نقص تو نرم‌افزار اوپن‌ای‌آی باعث می‌شه یه حمله DDoS به یه سایت بی‌خبر انجام بشه، با استفاده از چندین رنج IP متعلق به مایکروسافت آژور که کراولر ChatGPT روی اون‌ها اجرا می‌شه.»

یه گزارش از Truffle Security هم منتشر شده که میگه دستیارهای کدنویسی مجهز به هوش مصنوعی، مثل ChatGPT، گاهی پیشنهاد می‌کنن که "کلیدهای API و پسوردها رو به‌صورت هاردکد شده" توی پروژه‌ها بذارین. این پیشنهاد خطرناکه و ممکنه برنامه‌نویسای تازه‌کار رو گمراه کنه و باعث بشه توی پروژه‌هاشون ضعف امنیتی ایجاد کنن.

جو لئون، محقق امنیتی، گفته: «این مدل‌های زبانی بزرگ (LLMs) دارن به ترویج این عادت بد کمک می‌کنن، احتمالاً به این دلیل که روی داده‌هایی آموزش دیدن که پر از روش‌های ناامن برنامه‌نویسی بوده.»

خبرهای مربوط به آسیب‌پذیری‌های فریم‌ورک‌های LLM همچنین همراه با تحقیقاتی منتشر شده که نشون میده چطور میشه از این مدل‌ها برای تقویت چرخه حملات سایبری استفاده کرد.

در ادامه :


مارک وایتزمن، محقق Deep Instinct گفته: «تهدیدات سایبری مرتبط با مدل‌های زبانی بزرگ (LLMs) یه انقلاب نیستن، بلکه یه تکامل هستن. چیز جدیدی اینجا نیست؛ LLMها فقط تهدیدات سایبری رو بهتر، سریع‌تر و دقیق‌تر و در مقیاس بزرگ‌تر می‌کنن. با هدایت یه مهاجم باتجربه، می‌شه LLMها رو توی تمام مراحل چرخه حمله سایبری به‌کار برد. این قابلیت‌ها احتمالاً با پیشرفت تکنولوژی پایه‌ای‌شون، خودمختارتر هم می‌شن.»

تحقیقات اخیر یه روش جدید به نام ShadowGenes رو نشون داده که می‌تونه برای شناسایی شجره مدل‌ها، شامل معماری، نوع و خانواده‌شون، از نمودار محاسباتی مدل استفاده کنه. این روش بر اساس یه تکنیک حمله قبلی به نامShadowLogic ساخته شده.

شرکت امنیتی HiddenLayer گفته: «امضاهایی که برای شناسایی حملات مخرب در نمودار محاسباتی استفاده می‌شن، می‌تونن برای ردیابی و شناسایی الگوهای تکراری، به نام زیرگراف‌های تکراری ، تطبیق داده بشن و به این شکل، شجره معماری مدل رو مشخص کنن.»

HiddenLayer اضافه کرده: «درک خانواده مدل‌هایی که توی سازمانتون استفاده می‌شه، آگاهی کلی شما از زیرساخت هوش مصنوعی‌تون رو افزایش می‌ده و به مدیریت بهتر وضعیت امنیتی کمک می‌کنه.»

بخش قابل توجهی از ffmpeg با اسمبلی نوشته شده؛ حالا سازنده هاش تصمیم گرفتن این اسمبلی رو توی قالب آموزش در بیارن تا امروز سه قسمت منتشر شده اگه خواستین همراه باهاشون می‌تونین یادگیری رو شروع کنید :

https://github.com/FFmpeg/asm-lessons


@Linuxor

گروه لازاروس که مربوط به کره شمالیه، یه پنل مدیریتی تحت وب برای کنترل سرورهای C2 خودشون راه انداختن. این کار بهشون اجازه میده که از یه جای مشخص، همه‌ی عملیاتشون رو مدیریت کنن.

طبق گزارش تیم STRIKE از SecurityScorecard، هر سرور C2 یه پنل مدیریتی تحت وب داشته که با react و Node.js API ساخته شده. این پنل توی همه‌ی سرورهایی که بررسی شده بودن، یه مدل بود، حتی وقتی که هکرها برای رد گم کردن، نوع بدافزارها و روش‌های رمزگذاریشون رو تغییر می‌دادن.


این سیستم در واقع یه مرکز کنترل کامل برای مدیریت داده‌های دزدیده‌شده، زیر نظر گرفتن سیستم‌های هک‌شده و پخش کردن بدافزارهاست.

این پنل توی یه حمله زنجیره‌ای به اسم "عملیات مدار فانتوم" کشف شده. این حمله توسعه‌دهنده‌های نرم‌افزار و شرکت‌های حوزه‌ی ارز دیجیتال رو هدف گرفته و با دستکاری نرم‌افزارهای قانونی، یه سری Backdoor توشون کار گذاشته.

این حمله بین سپتامبر ۲۰۲۴ تا ژانویه ۲۰۲۵ انجام شده و ۲۳۳ قربانی توی نقاط مختلف دنیا داشته. بیشترین تعداد قربانی‌ها توی برزیل، فرانسه و هند بودن. فقط توی ژانویه ۲۰۲۵، این گروه تونسته ۱۱۰ نفر رو توی هند آلوده کنه.

لازاروس توی مهندسی اجتماعی خوب عمل کرده واون‌ها توی لینکدین به بهانه پیشنهادهای کاری جذاب یا همکاری روی پروژه‌های ارز دیجیتال آدم‌ها رو به دام میندازن.


چند تا نشونه، این حمله رو به کره شمالی وصل کرده:
- استفاده از Astrill VPN ، که قبلاً هم توی کلاهبرداری‌های مربوط به نیروهای فناوری اطلاعات کره شمالی دیده شده بود.
- پیدا شدن ۶ تا آدرس IP کره شمالی که از طریق خروجی‌های Astrill VPN و Oculus Proxy به شبکه وصل شده بودن.

داده‌های رمزگذاری‌شده در نهایت به سرورهای C2 رسیدن که روی سرورهای "Stark Industries" میزبانی می‌شدن. این سرورها مسئول پخش بدافزار، مدیریت قربانی‌ها و دزدیدن اطلاعات بودن.

بررسی دقیق‌تر بخش مدیریتی نشون داده که هکرها از طریق این سیستم می‌تونستن داده‌های دزدیده‌شده‌ی قربانی‌ها رو ببینن، جستجو کنن و فیلتر کنن تا اطلاعات مورد نظرشون رو راحت‌تر پیدا کنن.

شرکت SecurityScorecard گفت:
"لازاروس با کاشتن درهای پشتی مخفی توی نرم‌افزارهای قانونی، کاربرا رو گول زد تا این برنامه‌های آلوده رو اجرا کنن. این کار به هکرها اجازه می‌داد که اطلاعات حساس رو بدزدن و از طریق سرورهای C2 روی پورت 1224، قربانی‌ها رو کنترل کنن."

زیرساخت این حمله از یه پنل مدیریتی تحت وبِ مخفی (ساخته‌شده با React) و یه API مبتنی بر Node.js استفاده می‌کرد تا تمام داده‌های دزدیده‌شده رو از یه جا مدیریت کنه. این حمله روی بیش از ۲۳۳ نفر در سراسر دنیا تأثیر گذاشته و اطلاعاتی که از قربانی‌ها استخراج شده، از طریق یه شبکه‌ی چندلایه‌ای متشکل از وی‌پی‌ان‌های Astrill و پروکسی‌های واسط، مستقیم به پیونگ‌یانگ، کره شمالی فرستاده شده!

یه تیم از محققای امنیتی از دانشگاه جورجیا تک و دانشگاه روهر بوخوم تونستن دو حمله‌ی جدید از نوع ساید چنل روی پردازنده‌های اپل سیلیکون پیدا کنن که می‌تونه برای دزدیدن اطلاعات حساس از مرورگرهایی مثل سافاری و کروم استفاده بشه.

این حمله‌ها اسم‌های SLAP (دستکاری داده از طریق پیش‌بینی آدرس بارگذاری) و FLOP (دور زدن پردازنده‌ی M3 اپل از طریق پیش‌بینی غلط خروجی بارگذاری) رو گرفتن. اپل توی مه ۲۰۲۴ و سپتامبر ۲۰۲۴ در جریان این مشکلات قرار گرفته.

این آسیب‌پذیری‌ها، مثل حمله‌ی قبلی iLeakage ، به نوعی ادامه‌ی حمله‌ی Spectre هستن. این حملات وقتی اتفاق می‌افتن که speculative execution توی پردازنده به مشکل می‌خوره و ردپای اشتباهاتش توی حافظه کش و وضعیت میکرو‌معماری CPU باقی می‌مونه.

پردازنده‌های مدرن برای اینکه سریع‌تر کار کنن، از یه ترفند استفاده می‌کنن به اسم اجرای حدسی . یعنی حدس می‌زنن که قراره کدوم مسیر پردازشی رو برن و قبل از اینکه واقعاً به اونجا برسن، یه سری دستورات رو جلو جلو اجرا می‌کنن.

حالا اگه پردازنده حدسش اشتباه باشه، نتایج اون دستورات موقتی رو پاک می‌کنه و همه چیز رو برمی‌گردونه به حالت قبل.

اما نکته اینجاست که این اجراهای حدسی ردپاهایی توی پردازنده و حافظه‌ی کش باقی می‌ذارن، و هکرها می‌تونن از همین ردپاها استفاده کنن تا پردازنده رو مجبور کنن که یه سری محاسبات اشتباه انجام بده و بعد از طریق یه ساید چنل، اطلاعات حساس رو استخراج کنن ، حتی بعد از اینکه پردازنده همه چیز رو ریست کرده.

محقق‌ها توی بررسی‌شون فهمیدن که پردازنده‌های جدید اپل حتی از اینم جلوتر رفتن ... یعنی نه‌تنها حدس می‌زنن که کدوم مسیر پردازشی رو برن، بلکه حدس می‌زنن که قراره روی چه داده‌ای کار کنن ، حتی اگه اون داده هنوز از حافظه خونده نشده باشه...

برخلاف حمله‌ی Spectre ، اینجا پردازنده مستقیماً یه دستور اشتباه رو اجرا نمی‌کنه، بلکه داده اشتباهی رو توی محاسبات استفاده می‌کنه . اما محقق‌ها نشون دادن که اگه این تکنیک رو با روش‌های غیرمستقیم ترکیب کنیم، می‌شه دستورات اشتباه هم اجرا کرد.

حمله‌ی SLAP که روی چیپ‌های M2، A15 و جدیدتر تأثیر می‌ذاره، یه بخش از پردازنده به اسم Load Address Predictor (LAP) رو هدف قرار میده. این سیستم قراره حدس بزنه که پردازنده توی آینده از کدوم آدرس حافظه، داده بخونه.

اما اگه این حدس اشتباه باشه، پردازنده ممکنه روی یه سری داده‌ اشتباه، یه عالمه محاسبه انجام بده و این راه رو برای حمله باز می‌کنه. به این ترتیب، یه هکر می‌تونه محتوای ایمیل‌های یه کاربر لاگین‌شده رو بخونه یا تاریخچه‌ی وب‌گردیش رو از سافاری دربیاره!

حمله‌ی FLOP روی چیپ‌های M3، M4 و A17 کار می‌کنه و یه بخش دیگه از پردازنده به اسم Load Value Predictor (LVP) رو هدف می‌گیره. این سیستم قراره حدس بزنه که دفعه بعد که پردازنده به حافظه دسترسی پیدا کرد، چه مقداری برمی‌گرده.

اما FLOP باعث می‌شه که یه سری چک‌های امنیتی مهم توی برنامه‌ها دور زده بشه و این یعنی هکرها می‌تونن داده‌های حساس داخل حافظه رو بخونن. طبق بررسی‌ها، این حمله می‌تونه اطلاعاتی مثل لوکیشن کاربر، رویدادهای تقویم و حتی اطلاعات کارت بانکی رو از مرورگرهای سافاری و کروم استخراج کنه!

یه افشاگری میاد درست دو ماه بعد از کشف یه حمله‌ دیگه به اسم SysBumps ، که مربوط به دور زدن مکانیزم KASLR در macOS روی چیپ‌های اپل سیلیکون بود. این نشون میده که پردازنده‌های اپل، مخصوصاً مدل‌های جدیدتر، آسیب‌پذیری‌های جدی توی بخش‌های امنیتی دارن.

سه تا محقق که کاری به اسمشونم نداریم اومدن توضیح دادن که با استفاده از تکنیک‌های مشابه Spectre توی سیس‌کال‌ها، یه هکر بدون دسترسی روت می‌تونه آدرس‌های کرنل رو که خودش انتخاب کرده، ترجمه کنه. این کار باعث می‌شه که TLB (حافظه کش آدرس‌ها) بر اساس درستی یا غلط بودن اون آدرس تغییر کنه. نتیجه‌ی این کار چیه؟ دور زدن مکانیزم امنیتی KASLR و شکستن ایزوله‌سازی کرنل!

یه تحقیق دیگه نشون داده که با ترکیب چند حمله‌ ساید چنل، میشه محدودیت‌های حمله به کرنل رو دور زد. نکته‌ جالب اینجاست که ویژگی‌ای که باعث شده سیستم‌های امنیتی در برابر کانال‌های جانبی مقاوم‌تر بشن، خودش یه راه جدید برای حمله باز کرده!

یکی از این حمله‌ها TagBleed نام داره، که از TLBهای تَگ‌دار سوءاستفاده می‌کنه. این سیستم قراره آدرس‌های کرنل و یوزر رو از هم جدا نگه داره، اما همین جدا‌سازی یه ردپا باقی می‌ذاره که می‌شه ازش برای شکستن KASLR استفاده کرد، حتی توی پردازنده‌های جدید که به بهترین شکل در برابر این نوع حملات مقاوم شدن.

گاف امنیتی استارتاپ چینی DeepSeek

یه استارتاپ چینی تو حوزه‌ی هوش مصنوعی (AI) به اسم DeepSeek که توی این مدت حسابی سر و صدا کرده، یه سوتی امنیتی بزرگ داده ، اونم این‌که یه دیتابیسش رو بدون هیچ محافظتی تو اینترنت ول کرده بود، طوری که هر کسی می‌تونست بهش دسترسی پیدا کنه و اطلاعات حساس رو بدزده.


طبق گفته‌های Gal Nagli ، محقق امنیتی از شرکت Wiz، این دیتابیس از نوع ClickHouse بوده که دسترسی کامل به داده‌ها و عملیات پایگاه داده رو می‌داده.

توی این دیتابیس بیش از یک میلیون خط لاگ (log stream) وجود داشته که شامل:
- چت‌های کاربرا
- کلید های مخفی (Secret Keys)
- جزئیات بک‌اند (Backend Details)
- اطلاعات حساس API
- متادیتای عملیاتی (Operational Metadata)

و خلاصه بعد از یه مدتی که شرکت wiz همش داشت به شرکت deepseek هشدار میداد اومدن و این مشکلات رو حل کردن اما کار از کار گذشته بود ... دیتابیس روی 0oauth2callback.deepseek.com:9000 و dev.deepseek.com:9000 قرار داشت، بدون هیچ احراز هویتی هر کسی می‌تونست دسترسی کامل بگیره و حتی سطح دسترسی خودش رو بالا ببره . از طریق رابط HTTP خود ClickHouse ، هکرها می‌تونستن مستقیم از توی مرورگر کوئری SQL اجرا کنن...


خلاصه که این روزا تو دنیای هوش مصنوعی DeepSeek حسابی سر زبونا افتاده، چون مدل‌های متن‌باز جدیدش ادعا می‌کنن که می‌تونن با غول‌هایی مثل OpenAI رقابت کنن! علاوه بر این، هم ارزون‌ترن و هم بهینه‌تر!

مدل استدلالی (reasoning model) R1 این شرکت رو بعضیا به لحظه‌ی اسپوتنیک برای AI تشبیه کردن، یعنی یه انقلاب بزرگ توی این حوزه.

چت‌باتاین شرکت توی اپ استور و گوگل پلی توی خیلی از کشورا رکورد زده و تو صدر جدول دانلودهاست. اما از اون طرف، این سرویس هدف حملات گسترده‌ی سایبری قرار گرفته و همین باعث شده ثبت‌نام کاربران جدید رو موقتا متوقف کنه.
توی آپدیتی که ۲۹ ژانویه ۲۰۲۵ منتشر کرد، گفت که مشکل رو پیدا کرده و داره یه راه‌حل براش پیاده‌سازی می‌کنه.

علاوه بر چالش‌های فنی، DeepSeek زیر ذره‌بین خیلیا رفته، چون:
- سیاست‌های حریم خصوصیش نامشخصه.
- ارتباطش با چین باعث شده دولت آمریکا از نظر امنیت ملی بهش حساس بشه.
- ایتالیا بعد از بررسی شیوه‌ی جمع‌آوری داده‌های این شرکت، اپ‌های DeepSeek رو از دسترس خارج کرد. معلوم نیست که این اتفاق مستقیما به درخواست مقامات ایتالیایی ربط داره یا نه، ولی ایرلند هم درخواست مشابهی داده!

اما یه سری اعتفاقات دیگه هم افتاده ... طبق گزارش‌های بلومبرگ، فایننشال تایمز و وال استریت ژورنال، دو شرکت OpenAI و مایکروسافت دارن بررسی می‌کنن که آیا DeepSeek مخفیانه از API‌های OpenAI برای آموزش مدل‌های خودش استفاده کرده یا نه! این تکنیک که بهش distillation میگن، یعنی یه مدل AI رو با خروجی‌های یه مدل دیگه تمرین بدی!

شرکت OpenAI به گاردین گفته:
"ما می‌دونیم که گروه‌هایی توی چین دارن فعالانه از روش‌های مختلف، از جمله distillation، استفاده می‌کنن تا مدل‌های پیشرفته‌ی هوش مصنوعی آمریکا رو کپی کنن!"

به نظر میاد DeepSeek خیلی سریع پیشرفت کرده، ولی حالا باید ببینیم که آیا می‌تونه از پس این چالش‌های قانونی و امنیتی بربیاد یا نه!

واتساپ یه عملیات جاسوسی با اسپای‌ور اسرائیلی رو متوقف کرد ...

واتساپ، که متعلق به متاست، اعلام کرده یه کمپین جاسوسی رو که هدفش خبرنگارا و فعالای جامعه مدنی بودن، مختل کرده.این حمله که حدود ۹۰ نفر رو هدف گرفته بود، از اسپای‌ور یه شرکت اسرائیلی به اسم Paragon Solutions استفاده می‌کرد. و توی دسامبر ۲۰۲۴ موفق شدن این حمله رو خنثی کنن.

واتساپ به کاربرای آسیب‌دیده پیام داده و گفته "با اطمینان بالا" باور داره که این افراد هدف حمله قرار گرفتن ولی هنوز مشخص نیست این حمله کار کی بوده و چه مدت طول کشیده.

حمله از نوع "Zero-Click" بوده ، احتمال داره اسپای‌ور از طریق یه فایل PDF خاص که به اعضای گروه‌های واتساپی فرستاده می‌شده، پخش شده باشه.

واتساپ یه اخطار قانونی (Cease and Desist) برای Paragon فرستاده و گفته داره به گزینه‌های دیگه هم فکر می‌کنه. این اولین باره که اسم Paragon توی پرونده‌هایی میاد که مربوط به سو استفاده از تکنولوژیش باشه.

شرکت Paragon یه شرکت اسرائیلیه که نرم‌افزار نظارتی Graphite رو می‌سازه، یه چیزی شبیه به Pegasus که شرکت NSO Group تولید می‌کنه. مشتری‌های این شرکت معمولاً دولت‌ها هستن که از این ابزار برای مبارزه با تهدیدات دیجیتالی استفاده می‌کنن. دسامبر ۲۰۲۴، یه گروه سرمایه‌گذاری آمریکایی به اسم AE Industrial Partners این شرکت رو با یه معامله ۵۰۰ میلیون دلاری خرید.

جالبه بدونی که توی ۲۰۲۲ معلوم شد که DEA (آژانس مبارزه با مواد مخدر آمریکا) از Graphite برای عملیات‌های مبارزه با قاچاق مواد استفاده کرده و سال بعدش هم، مرکز دموکراسی و فناوری (CDT) از وزارت امنیت داخلی آمریکا خواست که اطلاعات قرارداد ۲ میلیون دلاریش با Paragon رو منتشر کنه.


داستان از اونجایی جالب میشه که چند هفته پیش، یه قاضی توی کالیفرنیا رأی داد که واتساپ پرونده حقوقی مهمی رو علیه NSO Group برده. این پرونده درباره این بود که NSO از سرورهای واتساپ برای ارسال اسپای‌ور Pegasus به ۱۴۰۰ گوشی توی می ۲۰۱۹ استفاده کرده بود.

افشای این حمله دقیقاً هم‌زمان شده با بازداشت وزیر دادگستری سابق لهستان، "زبینیف ژوبرو"، که متهمه به این که از Pegasus برای جاسوسی از رهبرای مخالف دولت استفاده کرده.

گروه باج‌افزار بدنام WantToCry از تنظیمات اشتباه توی سرویس SMB (پروتکل اشتراک‌گذاری فایل توی شبکه) سوءاستفاده می‌کنه تا وارد شبکه‌ها بشه و حملات گسترده‌ای راه بندازه.

چطوری وارد شبکه‌ها می‌شن؟
وقتی تنظیمات SMB ضعیف باشه ، مثلاً پسوردهای ساده، نرم‌افزارهای قدیمی، یا تنظیمات امنیتی نامناسب ، هکرها راحت می‌تونن نفوذ کنن. اونا از این طریق به درایوهای شبکه و دستگاه‌های ذخیره‌سازی NAS دسترسی پیدا می‌کنن و بعدش شروع به خرابکاری می‌کنن.

چیکار میکنن ؟
بعد از ورود، هکرها توی شبکه ، سطح دسترسی‌شون رو بالا می‌برن و فایل‌های مهم رو رمزگذاری می‌کنن. این کار باعث می‌شه شرکت‌ها و سازمان‌ها فلج بشن. معمولاً از باگ‌هایی مثل EternalBlue استفاده می‌کنن تا سریع توی شبکه پخش بشن.

گروه WantToCry چطوری حمله می‌کنه؟
این گروه از دسامبر ۲۰۲۳ فعال شده و حملاتش رو بیشتر کرده. روش کارش اینه که با یه دیتابیس بزرگ از بیش از یک میلیون پسورد، به سیستم‌هایی که SMB، SSH، FTP، RPC و VNC دارن، حمله می‌کنه. معمولاً کار رو با اسکن اینترنت شروع می‌کنن تا سیستم‌هایی که پورت TCP 445 باز دارن، پیدا کنن. بعدش یه حمله Brute-Force راه میندازن و سعی می‌کنن وارد سیستم بشن.

خب حالا وارد هم بشن ، بعدش چی ؟
- توی شبکه هدف میگردن و فایل‌های مهم رو پیدا می‌کنن.
- فایل‌ها رو از راه دور رمزگذاری می‌کنن، بدون اینکه اثری روی سیستم لوکال بذارن.
- پسوند فایل‌های رمزگذاری‌شده ".want_to_cry" میشه.
- یه یادداشت باج‌گیری به اسم "!want_to_cry.txt" می‌ذارن که توش توضیح دادن چطور باید پول پرداخت بشه (معمولاً از طریق پیام‌رسان‌های رمزگذاری‌شده مثل Telegram یا Tox).

اگه تنظیمات SMB درست انجام نشه و این سرویس‌ها به اینترنت باز باشن، ممکنه:
- اطلاعات حساس لو بره.
- فایل‌های مهم رمزگذاری بشه و بدون پرداخت باج قابل بازیابی نباشه.
- شرکت‌ها به خاطر قطعی سیستم و کاهش بهره‌وری ضرر مالی ببینن.
- اعتبار سازمان‌ها آسیب ببینه و مشتری‌هاشون رو از دست بدن.

-حداقل بیاید SMB رو درست تنظیم کنید و دسترسی‌های غیرضروری رو ببندید.
- نرم‌افزارهای امنیتی و پچ های امنیتی رو همیشه آپدیت نگه دارید.
- برای نظارت بر شبکه از ابزارهایی مثل SIEM استفاده کنید.
-اگه از SMB استفاده نمی‌کنید، کلاً غیرفعالش کنید که راه نفوذ کمتر بشه.
-پسوردهای پیچیده استفاده کنید و اگه می‌شه، MFA (احراز هویت چندمرحله‌ای) رو برای SMB فعال کنید.
-با فایروال دسترسی به پورت‌های 445 و 139 رو از بیرون ببندید تا کسی از اینترنت نتونه وصل بشه.
-اگه شبکه رو بخش‌بندی (Segmentation) کنید، اگه یه جایی مورد نفوذ قرار گرفت ، کل سیستم آسیب نمی‌بینه.

نشونه‌ها (IOC) :
اگه این IPها تو لاگ‌هاتون بود، یعنی یه جای کار می‌لنگه:
194.36.179.18
194.36.178.133

اگه این امضا رو آنتی‌ویروستون شناسایی کرد، قضیه جدیه:
HEUR:Trojan.Win32.EncrSD (یعنی یکی داره فایل‌های شیرشده رو رمزگذاری می‌کنه)

یه باگ امنیتی توی ابزار فشرده‌سازی 7-Zip که به‌تازگی پچ شده بود، برای پخش بدافزار SmokeLoader مورد سوءاستفاده قرار گرفت.

این باگ با شناسه CVE-2025-0411 و امتیاز امنیتی ۷.۰ به مهاجمان اجازه میده تا از مکانیزم امنیتی Mark-of-the-Web (MotW) عبور کنن و کدهای مخرب رو توی سطح دسترسی کاربر اجرا کنن. این مشکل توی نسخه ۲۴.۰۹ از 7-Zip که توی نوامبر ۲۰۲۴ منتشر شد، رفع شد.

پیتر گیرنوس، محقق امنیتی شرکت Trend Micro گفته:

«این آسیب‌پذیری توسط گروه‌های جرایم سایبری روسی از طریق حملات فیشینگ هدفمند (spear-phishing) مورد استفاده قرار گرفته. مهاجمان از تکنیک هوموگلیف برای جعل پسوند فایل‌های سندی استفاده کردن تا هم کاربرا و هم ویندوز رو فریب بدن و فایل مخرب اجرا بشه.»

احتمالا این باگ به‌عنوان یه سلاح سایبری برای حمله به سازمان‌های دولتی و غیردولتی توی اوکراین مورد استفاده قرار گرفته . این حملات در بحبوحه‌ی درگیری روسیه و اوکراین انجام شده و هدفش جاسوسی سایبری بوده.

و درباره MotW باید بگیم یه قابلیت امنیتی توی ویندوزه که اجازه نمیده فایل‌های دانلود شده از اینترنت بدون بررسی Microsoft Defender SmartScreen اجرا بشن. اما این باگ با فشرده‌سازی دوباره محتوا، مکانیزم MotW رو دور می‌زنه. یعنی مهاجم یه آرشیو می‌سازه، بعد یه آرشیو دیگه از همون آرشیو می‌سازه تا بدافزارش مخفی بمونه.

گیرنوس میگه:

«مشکل اصلی CVE-2025-0411 اینه که تا قبل از نسخه ۲۴.۰۹، 7-Zip قابلیت MotW رو برای فایل‌های داخل آرشیوهای چندلایه منتقل نمیکرد. این باعث می‌شد که مهاجمان بتونن اسکریپت‌ها یا اجرایی‌های مخرب رو توی آرشیو جاسازی کنن بدون اینکه ویندوز اون‌ها رو مشکوک بدونه.»

حملات اولیه که این باگ رو به‌عنوان یه zero-day استفاده کردن، توی ۲۵ سپتامبر ۲۰۲۴ شناسایی شدن. زنجیره آلوده‌سازی به SmokeLoader ختم می‌شد، بدافزاری که بارها برای هدف‌گیری اوکراین به کار رفته.

همه‌چی با یه ایمیل فیشینگ شروع میشد که یه فایل ZIP خاص توش بود. این فایل از حمله هوموگلیف استفاده می‌کرد تا فایل داخلی رو به شکل یه سند ورد نمایش بده و کاربر رو به اجرای اون ترغیب کنه.

طبق گزارش Trend Micro، این ایمیل‌ها از حساب‌های ایمیلی که قبلاً هک شده بودن، ارسال شدن ، حساب‌هایی که متعلق به سازمان‌های دولتی و تجاری اوکراینی بودن. یعنی مهاجما از این حسابای لو رفته استفاده کردن تا ایمیل‌هاشون معتبرتر به نظر برسه و قربانی رو راحت‌تر فریب بدن.

گیرنوس توضیح می‌ده:
«استفاده از این حساب‌های هک شده باعث میشه ایمیل‌ها واقعی‌تر به نظر برسن و قربانیان به راحتی فریب بخورن.»

بعد از اینکه کاربر فریب می‌خورد و فایل ZIP رو باز میکرد، یه فایل اینترنتی (.URL) توی آرشیو بود که به یه سرور مخرب لینک میشد. این سرور یه ZIP دیگه رو دانلود می‌کرد که توش بدافزار SmokeLoader مخفی شده بود ، البته با یه ظاهر جعلی که شبیه یه فایل PDF به نظر می‌رسید.

حداقل ۹ سازمان دولتی و غیردولتی اوکراینی توی این حمله آسیب دیدن، از جمله:

- وزارت دادگستری اوکراین
- سرویس حمل و نقل عمومی کی‌یف
- شرکت آب‌رسانی کی‌یف
- شورای شهر کی‌یف

با توجه به اینکه این آسیب‌پذیری به‌طور فعال مورد سوءاستفاده قرار گرفته، پیشنهاد میشه که کاربران:
- بیان و 7-Zip رو به آخرین نسخه آپدیت کنن .
- فیلترهای ایمیل رو برای جلوگیری از حملات فیشینگ فعال کنن .
- اجرای فایل‌های دانلودشده از منابع نامعتبر رو غیرفعال کنن .

گیرنوس یه نکته جالب رو هم مطرح کرده:

«تو این حملات، هدف اصلی بیشتر سازمان‌های کوچیک دولتی بودن. این سازمان‌ها معمولاً تحت فشار حملات سایبری قرار دارن، اما نه بودجه کافی دارن و نه تیم امنیتی قوی مثل نهادهای دولتی بزرگ‌تر. مهاجما می‌تونن این سازمان‌های کوچیک رو به‌عنوان نقطه ورود استفاده کنن تا به سازمان‌های دولتی بزرگ‌تر نفوذ کنن.»

Tails 6.12 Anonymous OS Fixes Security Issues in Tor Circuits, Persistent Storage
https://9to5linux.com/tails-6-12-anonymous-os-fixes-security-issues-in-tor-circuits-persistent-storage