بخش قابل توجهی از ffmpeg با اسمبلی نوشته شده؛ حالا سازنده هاش تصمیم گرفتن این اسمبلی رو توی قالب آموزش در بیارن تا امروز سه قسمت منتشر شده اگه خواستین همراه باهاشون می‌تونین یادگیری رو شروع کنید :

https://github.com/FFmpeg/asm-lessons


@Linuxor

گروه لازاروس که مربوط به کره شمالیه، یه پنل مدیریتی تحت وب برای کنترل سرورهای C2 خودشون راه انداختن. این کار بهشون اجازه میده که از یه جای مشخص، همه‌ی عملیاتشون رو مدیریت کنن.

طبق گزارش تیم STRIKE از SecurityScorecard، هر سرور C2 یه پنل مدیریتی تحت وب داشته که با react و Node.js API ساخته شده. این پنل توی همه‌ی سرورهایی که بررسی شده بودن، یه مدل بود، حتی وقتی که هکرها برای رد گم کردن، نوع بدافزارها و روش‌های رمزگذاریشون رو تغییر می‌دادن.


این سیستم در واقع یه مرکز کنترل کامل برای مدیریت داده‌های دزدیده‌شده، زیر نظر گرفتن سیستم‌های هک‌شده و پخش کردن بدافزارهاست.

این پنل توی یه حمله زنجیره‌ای به اسم "عملیات مدار فانتوم" کشف شده. این حمله توسعه‌دهنده‌های نرم‌افزار و شرکت‌های حوزه‌ی ارز دیجیتال رو هدف گرفته و با دستکاری نرم‌افزارهای قانونی، یه سری Backdoor توشون کار گذاشته.

این حمله بین سپتامبر ۲۰۲۴ تا ژانویه ۲۰۲۵ انجام شده و ۲۳۳ قربانی توی نقاط مختلف دنیا داشته. بیشترین تعداد قربانی‌ها توی برزیل، فرانسه و هند بودن. فقط توی ژانویه ۲۰۲۵، این گروه تونسته ۱۱۰ نفر رو توی هند آلوده کنه.

لازاروس توی مهندسی اجتماعی خوب عمل کرده واون‌ها توی لینکدین به بهانه پیشنهادهای کاری جذاب یا همکاری روی پروژه‌های ارز دیجیتال آدم‌ها رو به دام میندازن.


چند تا نشونه، این حمله رو به کره شمالی وصل کرده:
- استفاده از Astrill VPN ، که قبلاً هم توی کلاهبرداری‌های مربوط به نیروهای فناوری اطلاعات کره شمالی دیده شده بود.
- پیدا شدن ۶ تا آدرس IP کره شمالی که از طریق خروجی‌های Astrill VPN و Oculus Proxy به شبکه وصل شده بودن.

داده‌های رمزگذاری‌شده در نهایت به سرورهای C2 رسیدن که روی سرورهای "Stark Industries" میزبانی می‌شدن. این سرورها مسئول پخش بدافزار، مدیریت قربانی‌ها و دزدیدن اطلاعات بودن.

بررسی دقیق‌تر بخش مدیریتی نشون داده که هکرها از طریق این سیستم می‌تونستن داده‌های دزدیده‌شده‌ی قربانی‌ها رو ببینن، جستجو کنن و فیلتر کنن تا اطلاعات مورد نظرشون رو راحت‌تر پیدا کنن.

شرکت SecurityScorecard گفت:
"لازاروس با کاشتن درهای پشتی مخفی توی نرم‌افزارهای قانونی، کاربرا رو گول زد تا این برنامه‌های آلوده رو اجرا کنن. این کار به هکرها اجازه می‌داد که اطلاعات حساس رو بدزدن و از طریق سرورهای C2 روی پورت 1224، قربانی‌ها رو کنترل کنن."

زیرساخت این حمله از یه پنل مدیریتی تحت وبِ مخفی (ساخته‌شده با React) و یه API مبتنی بر Node.js استفاده می‌کرد تا تمام داده‌های دزدیده‌شده رو از یه جا مدیریت کنه. این حمله روی بیش از ۲۳۳ نفر در سراسر دنیا تأثیر گذاشته و اطلاعاتی که از قربانی‌ها استخراج شده، از طریق یه شبکه‌ی چندلایه‌ای متشکل از وی‌پی‌ان‌های Astrill و پروکسی‌های واسط، مستقیم به پیونگ‌یانگ، کره شمالی فرستاده شده!

یه تیم از محققای امنیتی از دانشگاه جورجیا تک و دانشگاه روهر بوخوم تونستن دو حمله‌ی جدید از نوع ساید چنل روی پردازنده‌های اپل سیلیکون پیدا کنن که می‌تونه برای دزدیدن اطلاعات حساس از مرورگرهایی مثل سافاری و کروم استفاده بشه.

این حمله‌ها اسم‌های SLAP (دستکاری داده از طریق پیش‌بینی آدرس بارگذاری) و FLOP (دور زدن پردازنده‌ی M3 اپل از طریق پیش‌بینی غلط خروجی بارگذاری) رو گرفتن. اپل توی مه ۲۰۲۴ و سپتامبر ۲۰۲۴ در جریان این مشکلات قرار گرفته.

این آسیب‌پذیری‌ها، مثل حمله‌ی قبلی iLeakage ، به نوعی ادامه‌ی حمله‌ی Spectre هستن. این حملات وقتی اتفاق می‌افتن که speculative execution توی پردازنده به مشکل می‌خوره و ردپای اشتباهاتش توی حافظه کش و وضعیت میکرو‌معماری CPU باقی می‌مونه.

پردازنده‌های مدرن برای اینکه سریع‌تر کار کنن، از یه ترفند استفاده می‌کنن به اسم اجرای حدسی . یعنی حدس می‌زنن که قراره کدوم مسیر پردازشی رو برن و قبل از اینکه واقعاً به اونجا برسن، یه سری دستورات رو جلو جلو اجرا می‌کنن.

حالا اگه پردازنده حدسش اشتباه باشه، نتایج اون دستورات موقتی رو پاک می‌کنه و همه چیز رو برمی‌گردونه به حالت قبل.

اما نکته اینجاست که این اجراهای حدسی ردپاهایی توی پردازنده و حافظه‌ی کش باقی می‌ذارن، و هکرها می‌تونن از همین ردپاها استفاده کنن تا پردازنده رو مجبور کنن که یه سری محاسبات اشتباه انجام بده و بعد از طریق یه ساید چنل، اطلاعات حساس رو استخراج کنن ، حتی بعد از اینکه پردازنده همه چیز رو ریست کرده.

محقق‌ها توی بررسی‌شون فهمیدن که پردازنده‌های جدید اپل حتی از اینم جلوتر رفتن ... یعنی نه‌تنها حدس می‌زنن که کدوم مسیر پردازشی رو برن، بلکه حدس می‌زنن که قراره روی چه داده‌ای کار کنن ، حتی اگه اون داده هنوز از حافظه خونده نشده باشه...

برخلاف حمله‌ی Spectre ، اینجا پردازنده مستقیماً یه دستور اشتباه رو اجرا نمی‌کنه، بلکه داده اشتباهی رو توی محاسبات استفاده می‌کنه . اما محقق‌ها نشون دادن که اگه این تکنیک رو با روش‌های غیرمستقیم ترکیب کنیم، می‌شه دستورات اشتباه هم اجرا کرد.

حمله‌ی SLAP که روی چیپ‌های M2، A15 و جدیدتر تأثیر می‌ذاره، یه بخش از پردازنده به اسم Load Address Predictor (LAP) رو هدف قرار میده. این سیستم قراره حدس بزنه که پردازنده توی آینده از کدوم آدرس حافظه، داده بخونه.

اما اگه این حدس اشتباه باشه، پردازنده ممکنه روی یه سری داده‌ اشتباه، یه عالمه محاسبه انجام بده و این راه رو برای حمله باز می‌کنه. به این ترتیب، یه هکر می‌تونه محتوای ایمیل‌های یه کاربر لاگین‌شده رو بخونه یا تاریخچه‌ی وب‌گردیش رو از سافاری دربیاره!

حمله‌ی FLOP روی چیپ‌های M3، M4 و A17 کار می‌کنه و یه بخش دیگه از پردازنده به اسم Load Value Predictor (LVP) رو هدف می‌گیره. این سیستم قراره حدس بزنه که دفعه بعد که پردازنده به حافظه دسترسی پیدا کرد، چه مقداری برمی‌گرده.

اما FLOP باعث می‌شه که یه سری چک‌های امنیتی مهم توی برنامه‌ها دور زده بشه و این یعنی هکرها می‌تونن داده‌های حساس داخل حافظه رو بخونن. طبق بررسی‌ها، این حمله می‌تونه اطلاعاتی مثل لوکیشن کاربر، رویدادهای تقویم و حتی اطلاعات کارت بانکی رو از مرورگرهای سافاری و کروم استخراج کنه!

یه افشاگری میاد درست دو ماه بعد از کشف یه حمله‌ دیگه به اسم SysBumps ، که مربوط به دور زدن مکانیزم KASLR در macOS روی چیپ‌های اپل سیلیکون بود. این نشون میده که پردازنده‌های اپل، مخصوصاً مدل‌های جدیدتر، آسیب‌پذیری‌های جدی توی بخش‌های امنیتی دارن.

سه تا محقق که کاری به اسمشونم نداریم اومدن توضیح دادن که با استفاده از تکنیک‌های مشابه Spectre توی سیس‌کال‌ها، یه هکر بدون دسترسی روت می‌تونه آدرس‌های کرنل رو که خودش انتخاب کرده، ترجمه کنه. این کار باعث می‌شه که TLB (حافظه کش آدرس‌ها) بر اساس درستی یا غلط بودن اون آدرس تغییر کنه. نتیجه‌ی این کار چیه؟ دور زدن مکانیزم امنیتی KASLR و شکستن ایزوله‌سازی کرنل!

یه تحقیق دیگه نشون داده که با ترکیب چند حمله‌ ساید چنل، میشه محدودیت‌های حمله به کرنل رو دور زد. نکته‌ جالب اینجاست که ویژگی‌ای که باعث شده سیستم‌های امنیتی در برابر کانال‌های جانبی مقاوم‌تر بشن، خودش یه راه جدید برای حمله باز کرده!

یکی از این حمله‌ها TagBleed نام داره، که از TLBهای تَگ‌دار سوءاستفاده می‌کنه. این سیستم قراره آدرس‌های کرنل و یوزر رو از هم جدا نگه داره، اما همین جدا‌سازی یه ردپا باقی می‌ذاره که می‌شه ازش برای شکستن KASLR استفاده کرد، حتی توی پردازنده‌های جدید که به بهترین شکل در برابر این نوع حملات مقاوم شدن.

گاف امنیتی استارتاپ چینی DeepSeek

یه استارتاپ چینی تو حوزه‌ی هوش مصنوعی (AI) به اسم DeepSeek که توی این مدت حسابی سر و صدا کرده، یه سوتی امنیتی بزرگ داده ، اونم این‌که یه دیتابیسش رو بدون هیچ محافظتی تو اینترنت ول کرده بود، طوری که هر کسی می‌تونست بهش دسترسی پیدا کنه و اطلاعات حساس رو بدزده.


طبق گفته‌های Gal Nagli ، محقق امنیتی از شرکت Wiz، این دیتابیس از نوع ClickHouse بوده که دسترسی کامل به داده‌ها و عملیات پایگاه داده رو می‌داده.

توی این دیتابیس بیش از یک میلیون خط لاگ (log stream) وجود داشته که شامل:
- چت‌های کاربرا
- کلید های مخفی (Secret Keys)
- جزئیات بک‌اند (Backend Details)
- اطلاعات حساس API
- متادیتای عملیاتی (Operational Metadata)

و خلاصه بعد از یه مدتی که شرکت wiz همش داشت به شرکت deepseek هشدار میداد اومدن و این مشکلات رو حل کردن اما کار از کار گذشته بود ... دیتابیس روی 0oauth2callback.deepseek.com:9000 و dev.deepseek.com:9000 قرار داشت، بدون هیچ احراز هویتی هر کسی می‌تونست دسترسی کامل بگیره و حتی سطح دسترسی خودش رو بالا ببره . از طریق رابط HTTP خود ClickHouse ، هکرها می‌تونستن مستقیم از توی مرورگر کوئری SQL اجرا کنن...


خلاصه که این روزا تو دنیای هوش مصنوعی DeepSeek حسابی سر زبونا افتاده، چون مدل‌های متن‌باز جدیدش ادعا می‌کنن که می‌تونن با غول‌هایی مثل OpenAI رقابت کنن! علاوه بر این، هم ارزون‌ترن و هم بهینه‌تر!

مدل استدلالی (reasoning model) R1 این شرکت رو بعضیا به لحظه‌ی اسپوتنیک برای AI تشبیه کردن، یعنی یه انقلاب بزرگ توی این حوزه.

چت‌باتاین شرکت توی اپ استور و گوگل پلی توی خیلی از کشورا رکورد زده و تو صدر جدول دانلودهاست. اما از اون طرف، این سرویس هدف حملات گسترده‌ی سایبری قرار گرفته و همین باعث شده ثبت‌نام کاربران جدید رو موقتا متوقف کنه.
توی آپدیتی که ۲۹ ژانویه ۲۰۲۵ منتشر کرد، گفت که مشکل رو پیدا کرده و داره یه راه‌حل براش پیاده‌سازی می‌کنه.

علاوه بر چالش‌های فنی، DeepSeek زیر ذره‌بین خیلیا رفته، چون:
- سیاست‌های حریم خصوصیش نامشخصه.
- ارتباطش با چین باعث شده دولت آمریکا از نظر امنیت ملی بهش حساس بشه.
- ایتالیا بعد از بررسی شیوه‌ی جمع‌آوری داده‌های این شرکت، اپ‌های DeepSeek رو از دسترس خارج کرد. معلوم نیست که این اتفاق مستقیما به درخواست مقامات ایتالیایی ربط داره یا نه، ولی ایرلند هم درخواست مشابهی داده!

اما یه سری اعتفاقات دیگه هم افتاده ... طبق گزارش‌های بلومبرگ، فایننشال تایمز و وال استریت ژورنال، دو شرکت OpenAI و مایکروسافت دارن بررسی می‌کنن که آیا DeepSeek مخفیانه از API‌های OpenAI برای آموزش مدل‌های خودش استفاده کرده یا نه! این تکنیک که بهش distillation میگن، یعنی یه مدل AI رو با خروجی‌های یه مدل دیگه تمرین بدی!

شرکت OpenAI به گاردین گفته:
"ما می‌دونیم که گروه‌هایی توی چین دارن فعالانه از روش‌های مختلف، از جمله distillation، استفاده می‌کنن تا مدل‌های پیشرفته‌ی هوش مصنوعی آمریکا رو کپی کنن!"

به نظر میاد DeepSeek خیلی سریع پیشرفت کرده، ولی حالا باید ببینیم که آیا می‌تونه از پس این چالش‌های قانونی و امنیتی بربیاد یا نه!

واتساپ یه عملیات جاسوسی با اسپای‌ور اسرائیلی رو متوقف کرد ...

واتساپ، که متعلق به متاست، اعلام کرده یه کمپین جاسوسی رو که هدفش خبرنگارا و فعالای جامعه مدنی بودن، مختل کرده.این حمله که حدود ۹۰ نفر رو هدف گرفته بود، از اسپای‌ور یه شرکت اسرائیلی به اسم Paragon Solutions استفاده می‌کرد. و توی دسامبر ۲۰۲۴ موفق شدن این حمله رو خنثی کنن.

واتساپ به کاربرای آسیب‌دیده پیام داده و گفته "با اطمینان بالا" باور داره که این افراد هدف حمله قرار گرفتن ولی هنوز مشخص نیست این حمله کار کی بوده و چه مدت طول کشیده.

حمله از نوع "Zero-Click" بوده ، احتمال داره اسپای‌ور از طریق یه فایل PDF خاص که به اعضای گروه‌های واتساپی فرستاده می‌شده، پخش شده باشه.

واتساپ یه اخطار قانونی (Cease and Desist) برای Paragon فرستاده و گفته داره به گزینه‌های دیگه هم فکر می‌کنه. این اولین باره که اسم Paragon توی پرونده‌هایی میاد که مربوط به سو استفاده از تکنولوژیش باشه.

شرکت Paragon یه شرکت اسرائیلیه که نرم‌افزار نظارتی Graphite رو می‌سازه، یه چیزی شبیه به Pegasus که شرکت NSO Group تولید می‌کنه. مشتری‌های این شرکت معمولاً دولت‌ها هستن که از این ابزار برای مبارزه با تهدیدات دیجیتالی استفاده می‌کنن. دسامبر ۲۰۲۴، یه گروه سرمایه‌گذاری آمریکایی به اسم AE Industrial Partners این شرکت رو با یه معامله ۵۰۰ میلیون دلاری خرید.

جالبه بدونی که توی ۲۰۲۲ معلوم شد که DEA (آژانس مبارزه با مواد مخدر آمریکا) از Graphite برای عملیات‌های مبارزه با قاچاق مواد استفاده کرده و سال بعدش هم، مرکز دموکراسی و فناوری (CDT) از وزارت امنیت داخلی آمریکا خواست که اطلاعات قرارداد ۲ میلیون دلاریش با Paragon رو منتشر کنه.


داستان از اونجایی جالب میشه که چند هفته پیش، یه قاضی توی کالیفرنیا رأی داد که واتساپ پرونده حقوقی مهمی رو علیه NSO Group برده. این پرونده درباره این بود که NSO از سرورهای واتساپ برای ارسال اسپای‌ور Pegasus به ۱۴۰۰ گوشی توی می ۲۰۱۹ استفاده کرده بود.

افشای این حمله دقیقاً هم‌زمان شده با بازداشت وزیر دادگستری سابق لهستان، "زبینیف ژوبرو"، که متهمه به این که از Pegasus برای جاسوسی از رهبرای مخالف دولت استفاده کرده.

گروه باج‌افزار بدنام WantToCry از تنظیمات اشتباه توی سرویس SMB (پروتکل اشتراک‌گذاری فایل توی شبکه) سوءاستفاده می‌کنه تا وارد شبکه‌ها بشه و حملات گسترده‌ای راه بندازه.

چطوری وارد شبکه‌ها می‌شن؟
وقتی تنظیمات SMB ضعیف باشه ، مثلاً پسوردهای ساده، نرم‌افزارهای قدیمی، یا تنظیمات امنیتی نامناسب ، هکرها راحت می‌تونن نفوذ کنن. اونا از این طریق به درایوهای شبکه و دستگاه‌های ذخیره‌سازی NAS دسترسی پیدا می‌کنن و بعدش شروع به خرابکاری می‌کنن.

چیکار میکنن ؟
بعد از ورود، هکرها توی شبکه ، سطح دسترسی‌شون رو بالا می‌برن و فایل‌های مهم رو رمزگذاری می‌کنن. این کار باعث می‌شه شرکت‌ها و سازمان‌ها فلج بشن. معمولاً از باگ‌هایی مثل EternalBlue استفاده می‌کنن تا سریع توی شبکه پخش بشن.

گروه WantToCry چطوری حمله می‌کنه؟
این گروه از دسامبر ۲۰۲۳ فعال شده و حملاتش رو بیشتر کرده. روش کارش اینه که با یه دیتابیس بزرگ از بیش از یک میلیون پسورد، به سیستم‌هایی که SMB، SSH، FTP، RPC و VNC دارن، حمله می‌کنه. معمولاً کار رو با اسکن اینترنت شروع می‌کنن تا سیستم‌هایی که پورت TCP 445 باز دارن، پیدا کنن. بعدش یه حمله Brute-Force راه میندازن و سعی می‌کنن وارد سیستم بشن.

خب حالا وارد هم بشن ، بعدش چی ؟
- توی شبکه هدف میگردن و فایل‌های مهم رو پیدا می‌کنن.
- فایل‌ها رو از راه دور رمزگذاری می‌کنن، بدون اینکه اثری روی سیستم لوکال بذارن.
- پسوند فایل‌های رمزگذاری‌شده ".want_to_cry" میشه.
- یه یادداشت باج‌گیری به اسم "!want_to_cry.txt" می‌ذارن که توش توضیح دادن چطور باید پول پرداخت بشه (معمولاً از طریق پیام‌رسان‌های رمزگذاری‌شده مثل Telegram یا Tox).

اگه تنظیمات SMB درست انجام نشه و این سرویس‌ها به اینترنت باز باشن، ممکنه:
- اطلاعات حساس لو بره.
- فایل‌های مهم رمزگذاری بشه و بدون پرداخت باج قابل بازیابی نباشه.
- شرکت‌ها به خاطر قطعی سیستم و کاهش بهره‌وری ضرر مالی ببینن.
- اعتبار سازمان‌ها آسیب ببینه و مشتری‌هاشون رو از دست بدن.

-حداقل بیاید SMB رو درست تنظیم کنید و دسترسی‌های غیرضروری رو ببندید.
- نرم‌افزارهای امنیتی و پچ های امنیتی رو همیشه آپدیت نگه دارید.
- برای نظارت بر شبکه از ابزارهایی مثل SIEM استفاده کنید.
-اگه از SMB استفاده نمی‌کنید، کلاً غیرفعالش کنید که راه نفوذ کمتر بشه.
-پسوردهای پیچیده استفاده کنید و اگه می‌شه، MFA (احراز هویت چندمرحله‌ای) رو برای SMB فعال کنید.
-با فایروال دسترسی به پورت‌های 445 و 139 رو از بیرون ببندید تا کسی از اینترنت نتونه وصل بشه.
-اگه شبکه رو بخش‌بندی (Segmentation) کنید، اگه یه جایی مورد نفوذ قرار گرفت ، کل سیستم آسیب نمی‌بینه.

نشونه‌ها (IOC) :
اگه این IPها تو لاگ‌هاتون بود، یعنی یه جای کار می‌لنگه:
194.36.179.18
194.36.178.133

اگه این امضا رو آنتی‌ویروستون شناسایی کرد، قضیه جدیه:
HEUR:Trojan.Win32.EncrSD (یعنی یکی داره فایل‌های شیرشده رو رمزگذاری می‌کنه)

یه باگ امنیتی توی ابزار فشرده‌سازی 7-Zip که به‌تازگی پچ شده بود، برای پخش بدافزار SmokeLoader مورد سوءاستفاده قرار گرفت.

این باگ با شناسه CVE-2025-0411 و امتیاز امنیتی ۷.۰ به مهاجمان اجازه میده تا از مکانیزم امنیتی Mark-of-the-Web (MotW) عبور کنن و کدهای مخرب رو توی سطح دسترسی کاربر اجرا کنن. این مشکل توی نسخه ۲۴.۰۹ از 7-Zip که توی نوامبر ۲۰۲۴ منتشر شد، رفع شد.

پیتر گیرنوس، محقق امنیتی شرکت Trend Micro گفته:

«این آسیب‌پذیری توسط گروه‌های جرایم سایبری روسی از طریق حملات فیشینگ هدفمند (spear-phishing) مورد استفاده قرار گرفته. مهاجمان از تکنیک هوموگلیف برای جعل پسوند فایل‌های سندی استفاده کردن تا هم کاربرا و هم ویندوز رو فریب بدن و فایل مخرب اجرا بشه.»

احتمالا این باگ به‌عنوان یه سلاح سایبری برای حمله به سازمان‌های دولتی و غیردولتی توی اوکراین مورد استفاده قرار گرفته . این حملات در بحبوحه‌ی درگیری روسیه و اوکراین انجام شده و هدفش جاسوسی سایبری بوده.

و درباره MotW باید بگیم یه قابلیت امنیتی توی ویندوزه که اجازه نمیده فایل‌های دانلود شده از اینترنت بدون بررسی Microsoft Defender SmartScreen اجرا بشن. اما این باگ با فشرده‌سازی دوباره محتوا، مکانیزم MotW رو دور می‌زنه. یعنی مهاجم یه آرشیو می‌سازه، بعد یه آرشیو دیگه از همون آرشیو می‌سازه تا بدافزارش مخفی بمونه.

گیرنوس میگه:

«مشکل اصلی CVE-2025-0411 اینه که تا قبل از نسخه ۲۴.۰۹، 7-Zip قابلیت MotW رو برای فایل‌های داخل آرشیوهای چندلایه منتقل نمیکرد. این باعث می‌شد که مهاجمان بتونن اسکریپت‌ها یا اجرایی‌های مخرب رو توی آرشیو جاسازی کنن بدون اینکه ویندوز اون‌ها رو مشکوک بدونه.»

حملات اولیه که این باگ رو به‌عنوان یه zero-day استفاده کردن، توی ۲۵ سپتامبر ۲۰۲۴ شناسایی شدن. زنجیره آلوده‌سازی به SmokeLoader ختم می‌شد، بدافزاری که بارها برای هدف‌گیری اوکراین به کار رفته.

همه‌چی با یه ایمیل فیشینگ شروع میشد که یه فایل ZIP خاص توش بود. این فایل از حمله هوموگلیف استفاده می‌کرد تا فایل داخلی رو به شکل یه سند ورد نمایش بده و کاربر رو به اجرای اون ترغیب کنه.

طبق گزارش Trend Micro، این ایمیل‌ها از حساب‌های ایمیلی که قبلاً هک شده بودن، ارسال شدن ، حساب‌هایی که متعلق به سازمان‌های دولتی و تجاری اوکراینی بودن. یعنی مهاجما از این حسابای لو رفته استفاده کردن تا ایمیل‌هاشون معتبرتر به نظر برسه و قربانی رو راحت‌تر فریب بدن.

گیرنوس توضیح می‌ده:
«استفاده از این حساب‌های هک شده باعث میشه ایمیل‌ها واقعی‌تر به نظر برسن و قربانیان به راحتی فریب بخورن.»

بعد از اینکه کاربر فریب می‌خورد و فایل ZIP رو باز میکرد، یه فایل اینترنتی (.URL) توی آرشیو بود که به یه سرور مخرب لینک میشد. این سرور یه ZIP دیگه رو دانلود می‌کرد که توش بدافزار SmokeLoader مخفی شده بود ، البته با یه ظاهر جعلی که شبیه یه فایل PDF به نظر می‌رسید.

حداقل ۹ سازمان دولتی و غیردولتی اوکراینی توی این حمله آسیب دیدن، از جمله:

- وزارت دادگستری اوکراین
- سرویس حمل و نقل عمومی کی‌یف
- شرکت آب‌رسانی کی‌یف
- شورای شهر کی‌یف

با توجه به اینکه این آسیب‌پذیری به‌طور فعال مورد سوءاستفاده قرار گرفته، پیشنهاد میشه که کاربران:
- بیان و 7-Zip رو به آخرین نسخه آپدیت کنن .
- فیلترهای ایمیل رو برای جلوگیری از حملات فیشینگ فعال کنن .
- اجرای فایل‌های دانلودشده از منابع نامعتبر رو غیرفعال کنن .

گیرنوس یه نکته جالب رو هم مطرح کرده:

«تو این حملات، هدف اصلی بیشتر سازمان‌های کوچیک دولتی بودن. این سازمان‌ها معمولاً تحت فشار حملات سایبری قرار دارن، اما نه بودجه کافی دارن و نه تیم امنیتی قوی مثل نهادهای دولتی بزرگ‌تر. مهاجما می‌تونن این سازمان‌های کوچیک رو به‌عنوان نقطه ورود استفاده کنن تا به سازمان‌های دولتی بزرگ‌تر نفوذ کنن.»

Tails 6.12 Anonymous OS Fixes Security Issues in Tor Circuits, Persistent Storage
https://9to5linux.com/tails-6-12-anonymous-os-fixes-security-issues-in-tor-circuits-persistent-storage

یه سری فرد مخرب اومدن و از یه سری باگ امنیتی که تازه توی نرم‌افزار SimpleHelp کشف شده بود سوءاستفاده کردن. این نرم‌افزار برای مدیریت از راه دور سیستم‌ها استفاده میشه. این حرکتشون هم احتمالاً یه مقدمه برای یه حمله باج‌افزاری بوده.

شرکت امنیت سایبری Field Effect توی گزارشی که به The Hacker News داده گفته این نفوذ از طریق این باگ‌هایی که حالا پچ شدن انجام شده تا هکرها بتونن دسترسی اولیه بگیرن و از راه دور توی سیستم قربانی بمونن.

بعد از این که هکرها وارد سیستم شدن، یه سری حرکت سریع و حساب‌شده انجام دادن. از جمله این که شبکه و سیستم رو اسکن کردن، یه اکانت ادمین جدید ساختن، و راه‌هایی برای باقی موندن توی سیستم ایجاد کردن. این کارا همگی می‌تونستن منجر به اجرای یه حمله باج‌افزاری بشن. اینو دوتا محقق امنیتی به نام‌های Ryan Slaney و Daniel Albrecht گفتن.

سه تا باگ امنیتی بودن به اسم CVE-2024-57726، CVE-2024-57727، و CVE-2024-57728 که ماه پیش توسط Horizon3.ai گزارش شدن. اگه کسی از این باگ‌ها سوءاستفاده می‌کرد، می‌تونست اطلاعات رو درز بده، سطح دسترسی خودش رو بالا ببره یا حتی از راه دور کد اجرا کنه.

البته این باگ‌ها توی نسخه‌های 5.3.9، 5.4.10 و 5.5.8 که توی ۸ و ۱۳ ژانویه ۲۰۲۵ منتشر شدن، برطرف شدن.

اما فقط چند هفته بعد، شرکت Arctic Wolf متوجه شد یه سری حمله داره انجام میشه که توشون هکرها با دسترسی غیرمجاز به دستگاه‌هایی که SimpleHelp روشون نصبه، وارد سیستم قربانی می‌شن.


شرکت Field Effect یه حمله رو بررسی کرده که توش هکرها تونستن از طریق یه نمونه‌ی آسیب‌پذیر SimpleHelp که روی یه آی‌پی توی استونی ("194.76.227.171") بوده، به یه سیستم هدف دسترسی پیدا کنن.

بعد از این که هکرها از راه دور به سیستم وصل شدن، شروع کردن به انجام یه سری کارهای بعد از نفوذ، مثل شناسایی سیستم و ساخت یه اکانت ادمین به اسم "sqladmin". این کار رو کردن که بتونن یه ابزار اوپن‌سورس به اسم Sliver رو اجرا کنن.

بعد، از طریق همین Sliver توی شبکه حرکت کردن، یه ارتباط بین سرور دامنه (Domain Controller) و اون SimpleHelp آلوده برقرار کردن و در نهایت یه تونل Cloudflare ساختن که ترافیک رو به سرورهای خودشون هدایت کنن، بدون این که کسی متوجه بشه.

اما خوشبختانه، شرکت Field Effect توی همین مرحله متوجه حمله شد و جلوی اجرای تونل رو گرفت. بعدش هم سیستم آلوده رو از شبکه قطع کردن تا بیشتر آسیب نبینه.


اون تونل Cloudflare احتمالاً برای دانلود فایل‌های مخرب دیگه، از جمله باج‌افزار، استفاده می‌شد. این حمله شباهت زیادی به حملات باج‌افزاری Akira که توی می ۲۰۲۳ گزارش شده بودن، داره. البته این احتمال هم هست که یه گروه دیگه با همون روش کار کرده باشن.

محقق‌ها می‌گن این کمپین فقط یه نمونه از اینه که چطوری هکرها دارن باگ‌های SimpleHelp رو سوءاستفاده می‌کنن تا بدون اجازه وارد شبکه‌ها بشن و دسترسی دائمی پیدا کنن. اونا تأکید کردن که شرکت‌هایی که از این باگ‌ها آسیب‌پذیرن، باید هر چه زودتر SimpleHelp رو آپدیت کنن و یه راه‌حل امنیتی خوب برای مقابله با تهدیدات بگیرن.

از طرف دیگه، شرکت Silent Push گفته که داره می‌بینه هکرها بیشتر از نرم‌افزار ScreenConnect استفاده می‌کنن تا از طریق سرورهای ضدگلوله به سیستم قربانی‌ها دسترسی پیدا کنن.

اینا دارن با استفاده از مهندسی اجتماعی، قربانی‌ها رو گول می‌زنن تا نرم‌افزارهای قانونی رو نصب کنن. بعد که نصب شد، سریعاً از طریق همون نصب‌کننده تغییر داده شده به فایل‌های قربانی دسترسی پیدا میکنن.

محقق‌ها میگن این کمپین فقط یه نمونه از اینه که چطوری هکرها دارن باگ‌های SimpleHelp رو سوءاستفاده می‌کنن تا بدون اجازه وارد شبکه‌ها بشن و دسترسی دائمی پیدا کنن. اونا تأکید کردن که شرکت‌هایی که از این باگ‌ها آسیب‌پذیرن، باید هر چه زودتر SimpleHelp رو آپدیت کنن و یه راه‌حل امنیتی خوب برای مقابله با تهدیدات بگیرن.

از طرف دیگه، شرکت Silent Push گفته که داره می‌بینه هکرها بیشتر از نرم‌افزار ScreenConnect استفاده می‌کنن تا از طریق سرورهای ضدگلوله به سیستم قربانی‌ها دسترسی پیدا کنن.

اینا دارن با استفاده از مهندسی اجتماعی، قربانی‌ها رو گول می‌زنن تا نرم‌افزارهای قانونی رو نصب کنن. بعد که نصب شد، سریعاً از طریق همون نصب‌کننده تغییر داده شده به فایل‌های قربانی دسترسی پیدا میکنن.

یه سری سایت فیک که خودشون رو جای سایت دانلود گوگل کروم جا می‌زنن، دارن بدافزار ValleyRAT رو پخش می‌کنن. این بدافزار که اولین بار تو سال ۲۰۲۳ شناسایی شد، به یه گروه هکری به نام Silver Fox نسبت داده میشه. این گروه قبلاً بیشتر کاربران چینی‌زبان، مخصوصاً توی هنگ‌کنگ، تایوان و چین رو هدف قرار داده بود.

طبق گزارشی که محقق امنیتی Shmuel Uzan از شرکت Morphisec منتشر کرده، این گروه اخیراً تمرکزش رو روی افراد کلیدی تو سازمان‌ها گذاشته، مخصوصاً تو بخش مالی، حسابداری و فروش. یعنی مشخصاً دنبال افرادی هستن که به اطلاعات حساس و سیستم‌های مهم دسترسی دارن.

توی حملات قبلی، ValleyRAT معمولاً همراه با بدافزارهای دیگه مثل Purple Fox و Gh0st RAT منتشر میشد. مخصوصاً Gh0st RAT که قبلاً خیلی توسط گروه‌های هکری چینی استفاده شده. جالب اینجاست که هنوز هم از روش‌های قدیمی مثل نصب‌کننده‌های فیک برای نرم‌افزارهای معروف برای پخش این بدافزار استفاده می‌کنن. مثلاً از یه DLL Loader به اسم PNGPlug کمک می‌گیرن تا این بدافزار رو منتشر کنن.

همین ماه پیش هم دیده شده که یه روش دیگه برای پخش Gh0st RAT استفاده شده بود. اونم با یه نصب‌کننده‌ی فیک گوگل کروم که به صورت Drive-by Download کاربران چینی‌زبان رو هدف قرار داده بود.

روش جدیدی که برای پخش ValleyRAT استفاده شده، دقیقاً همون داستان سایت فیک گوگل کرومه. یعنی قربانی وارد سایت جعلی میشه و یه فایل ZIP دانلود می‌کنه که داخلش یه فایل اجرایی به اسم Setup.exe هست.

به گفته Michael Gorelik، مدیر ارشد فناوری Morphisec، شواهدی وجود داره که این حملات به هم مرتبط هستن. این سایت جعلی قبلاً برای انتشار Gh0st RAT هم استفاده شده بود. در کل، این کمپین به طور خاص کاربرهای چینی‌زبان رو هدف قرار داده، چون از ترفندهای فریبنده‌ی چینی‌زبان و اپلیکیشن‌هایی برای سرقت اطلاعات و دور زدن سیستم‌های امنیتی استفاده می‌کنه.

لینک‌های این سایت‌های فیک معمولاً از طریق Drive-by Download پخش میشن. یعنی کاربر وقتی دنبال دانلود کروم می‌گرده، ممکنه به این سایت‌های مخرب هدایت بشه و ناخواسته یه نصب‌کننده‌ی آلوده دانلود کنه. این روش از اعتمادی که کاربرها به دانلود نرم‌افزارهای معروف دارن سوءاستفاده می‌کنه.

وقتی این فایل Setup.exe اجرا بشه، اول از همه چک میکنه که آیا دسترسی ادمین داره یا نه. بعدش میره و چهار تا فایل دیگه رو دانلود می‌کنه، که یکی از اون‌ها یه فایل اجرایی معتبر به اسم Douyin.exe (ورژن چینی تیک‌تاک) هست. از این فایل برای بارگذاری یه DLL مخرب به اسم tier0.dll استفاده میشه که در نهایت ValleyRAT رو اجرا می‌کنه.

همچنین یه DLL دیگه به اسم sscronet.dll هم دانلود میشه که وظیفش بستن پردازش‌های مشخصی هست که توی لیست حذف شدن قرار دارن.

این بدافزار که به زبان C++ و با کامپایلر چینی نوشته شده، قابلیت‌های مختلفی داره، مثل:

- مانیتور کردن صفحه نمایش
- ثبت کلیدهایی که کاربر تایپ می‌کنه
- ایجاد ماندگاری روی سیستم (Persistence)
- برقراری ارتباط با سرور مهاجم و اجرای دستورات مختلف
- شماره‌گذاری پردازش‌ها، دانلود و اجرای DLLها و فایل‌های اجرایی دیگه

طبق گفته Uzan، مهاجم برای تزریق بدافزار، از برنامه‌های قانونی که به آسیب‌پذیری DLL Hijacking دچار بودن، سوءاستفاده کرده.

از طرف دیگه، شرکت Sophos هم یه گزارش داده که نشون میده حملات فیشینگ با استفاده از فایل‌های SVG داره زیاد میشه. این روش به هکرها کمک می‌کنه که از تشخیص توسط آنتی‌ویروس‌ها فرار کنن و بدافزارهای ثبت‌کننده کلیدهای کیبورد مثل Nymeria رو روی سیستم قربانی اجرا کنن یا کاربر رو به صفحه‌های جعلی سرقت اطلاعات هدایت کنن.

محققای امنیت سایبری دوتا مدل یادگیری ماشینی مخرب توی Hugging Face پیدا کردن که از یه روش عجیب برای قایم شدن استفاده می‌کردن. این روش شامل یه فایل pickle خراب‌شده بود که باعث می‌شد ابزارهای امنیتی نتونن تشخیصش بدن.

محقق ReversingLabs، کارلو زانکی، گفته که وقتی فایل‌های pickle مربوط به این مدل‌ها رو بررسی کردن، فهمیدن که یه کد مخرب پایتون درست اول فایل قرار گرفته. این کد یه ریورس‌شل بوده که می‌تونسته به یه آی‌پی خاص وصل بشه و کنترل سیستم رو بگیره.

اسم این تکنیک رو گذاشتن NullifAI چون با این روش، مدل‌های مخرب از سیستم‌های امنیتی رد میشن. مدل‌هایی که شناسایی شدن توی این دو تا ریپوی Hugging Face بودن:

- "glockr1/ballr7"
- "who-r-u0000/0000000000000000000000000000000000000"

محقق‌ها میگن که این مدل‌ها احتمالاً یه نمونه آزمایشی (PoC) بودن و نه یه حمله گسترده به زنجیره تأمین.

فرمت pickle که برای ذخیره مدل‌های ML استفاده میشه، بارها نشون داده که میتونه یه تهدید امنیتی جدی باشه. چون این فرمت اجازه میده هر کدی موقع باز شدن مدل اجرا بشه.

این مدل‌ها توی فرمت PyTorch ذخیره شده بودن که در واقع یه فایل pickle فشرده‌شده است. اما یه تفاوت مهم داشتن:

- اینکهPyTorch معمولاً از فرمت ZIP برای فشرده‌سازی استفاده می‌کنه.
- اما این مدل‌ها به جای ZIP، از فرمت 7z استفاده کرده بودن.

به خاطر این تفاوت، ابزار Picklescan که برای بررسی امنیتی pickle توی Hugging Face استفاده میشه، نتونسته تشخیصشون بده.

زانکی توضیح داده که این فایل‌ها بعد از اجرای کد مخرب، خراب میشدن و دیگه نمیشد اون‌ها رو کامل دیکامپایل کرد.

ولی مشکل اینجاست که:
1. این Picklescan یه ارور میده ولی هنوز یه بخش از فایل رو اجرا میکنه.
2. از اونجایی که کد مخرب اول فایل بوده، اجرا شده و بعدش خطا داده، ولی تا اون موقع کار خودش رو کرده بوده!

بعد از کشف این مشکل، ابزار Picklescan آپدیت شده تا جلوی این روش رو بگیره.

یه بررسی جدید روی اپ موبایل DeepSeek برای سیستم‌عامل iOS انجام شده و نتایجش نشون میده که اپ کلی مشکل امنیتی داره، مهم‌ ترینش اینه که اطلاعات حساس رو بدون هیچ رمزگذاری‌ ای میفرسته، یعنی هر کسی که وسط راه باشه، میتونه این داده‌ها رو ببینه یا دستکاری کنه.

این بررسی رو شرکت NowSecure انجام داده و فهمیده که اپ نه تنها اصول پایه‌ای امنیت رو رعایت نکرده، بلکه یه عالمه اطلاعات از کاربر و دستگاهش جمع‌آوری میکنه.

طبق گفته‌ NowSecure، این اپ هنگام ثبت‌نام و ارسال اطلاعات دستگاه، داده‌ها رو بدون رمزگذاری میفرسته که باعث میشه هر کسی که بخواد، بهشون دسترسی داشته باشه. حتی جاهایی که رمزگذاری داره، به بدترین شکل ممکن پیاده‌سازی شده! مثلا از یه الگوریتم قدیمی و ناامن به اسم 3DES استفاده میکنه، کلید رمزگذاری توی کدش هاردکُد شده (یعنی هر کسی که کد رو ببینه، می‌تونه کلید رو هم پیدا کنه)، و initialization vector رو هم دوباره استفاده میکنه که امنیتو نابود میکنه.

بدتر از همه، اطلاعاتی که این اپ میفرسته، مستقیم میره به سرورهایی که توسط Volcano Engine مدیریت میشن، یه سرویس ابری که متعلق به ByteDance (همون شرکت چینی که تیک‌تاک رو ساخته).

این اپ به صورت جهانی App Transport Security (ATS) رو غیرفعال کرده، قابلیتی که باعث میشه اپ‌ها مجبور بشن از کانال‌های رمزگذاری‌شده استفاده کنن. یعنی این اپ عمداً گذاشته که داده‌ها بدون رمزگذاری روی اینترنت رد و بدل بشن!

این مشکلات فقط به DeepSeek محدود نمیشن. طبق بررسی‌های شرکت امنیت سایبری Check Point، خلافکارهای سایبری دارن از هوش مصنوعی این اپ، به همراه ابزارهایی مثل Alibaba Qwen و ChatGPT، برای ساخت بدافزارها، تولید محتوای غیرقانونی، و بهینه‌سازی اسکریپت‌های اسپم استفاده میکنن.

و Check Point هشدار داده که مهاجمان دارن از تکنیک‌هایی مثل jailbreaking استفاده میکنن تا لایه‌های حفاظتی رو دور بزنن و ابزارهایی برای به سرقت بردن اطلاعات مالی و اسپم کردن بسازن. به همین خاطر، سازمان‌ها باید اقدامات امنیتی جدی‌تری انجام بدن تا جلوی این سوءِاستفاده‌ها رو بگیرن.

چند روز پیش، Associated Press فاش کرد که سایت DeepSeek اطلاعات لاگین کاربران رو به شرکت مخابراتی دولتی China Mobile ارسال میکنه، شرکتی که در آمریکا تحریم شده و اجازه‌ فعالیت نداره.

همین ارتباطات باعث شده که مقامات آمریکایی به دنبال ممنوعیت DeepSeek روی دستگاه‌های دولتی باشن، چون ممکنه اطلاعات کاربران رو به دولت چین بده. این نگرانی‌ها باعث شدن که کشورهایی مثل استرالیا، ایتالیا، هلند، تایوان، و کره جنوبی و سازمان‌هایی مثل کنگره آمریکا، ناسا، نیروی دریایی، پنتاگون، و دولت تگزاس استفاده از این اپ رو روی دستگاه‌های دولتی ممنوع کنن.

با رشد انفجاری محبوبیت DeepSeek، هکرها هم بیکار نشستن. شرکت امنیت سایبری چینی XLab گزارش داده که این سرویس اخیراً مورد حمله‌های شدید DDoS از سمت بات‌نت‌های Mirai، hailBot و RapperBot قرار گرفته.

در همین حال، مجرمان سایبری دارن از این فرصت استفاده میکنن و صفحات جعلی درست میکنن تا بدافزار پخش کنن، کلاهبرداری‌های سرمایه‌گذاری فیک راه بندازن، و طرح‌های کریپتویی تقلبی به خورد مردم بدن.

توی یه خبرCISA (آژانس امنیت سایبری و زیرساخت‌های آمریکا) هشدار داده که یه مشکل امنیتی توی نرم‌افزار Trimble Cityworks که برای مدیریت دارایی‌های مبتنی بر GIS استفاده میشه، الان داره توی دنیای واقعی مورد سوءِاستفاده قرار می‌گیره.

این مشکل امنیتی که CVE-2025-0994 (امتیاز CVSS v4: 8.6) نام داره، یه باگ از نوع deserialization of untrusted data هستش. این باگ یه نوع آسیب‌ پذیریه که وقتی داده‌های خارجی (که از منابع غیرقابل اعتماد میان) بدون بررسی درست و کامل در سیستم بارگذاری یا deserializing میشن، میتونه منجر به اجرای کدهای خطرناک بشه.
برای درک بهتر، serialization یعنی تبدیل داده‌ها به فرمتی که بشه اون‌ها رو ذخیره یا انتقال داد (مثلاً به صورت رشته یا باینری). حالا، deserialization یعنی تبدیل همون داده‌ها به فرم اصلی‌شون برای استفاده در برنامه.

از طرفی CISA گفته: "این مشکل میتونه به یه کاربر احراز هویت‌شده این اجازه رو بده که حمله‌ای با کد دلخواه از راه دور به سرور وب Microsoft IIS مشتری‌ها انجام بده."
نسخه‌های آسیب‌پذیر:
- همه نسخه‌های Cityworks قبل از 15.8.9
- همه نسخه‌های Cityworks with office companion قبل از 23.10

شرکت Trimble از 29 ژانویه 2025 پچ‌هایی برای برطرف کردن این مشکل منتشر کرده، ولی CISA گفته که این ضعف امنیتی توی حملات واقعی داره استفاده میشه. شرکت Trimble هم گزارش داده که "تلاش‌های غیرمجاز برای دسترسی به پیاده‌سازی‌های Cityworks بعضی از مشتری‌ها" دریافت کرده.

طبق شواهد منتشر شده، هکرها از این باگ برای اجرای Rust-based loader استفاده میکنن که بعدش Cobalt Strike و یه ابزار دسترسی از راه دور به اسم VShell رو راه‌اندازی میکنه، به علاوه چند پی‌لود شناسایی نشده دیگه.

و CISA این مشکل رو به لیست CVE‌های شناخته‌شده اضافه کرده و از آژانس‌های فدرال اجرایی خواسته که این مشکل رو تا 28 فوریه 2025 برطرف کنن. CISA همچنین توصیه کرده که کاربران و مدیران سیستم برای شناسایی علائم compromise (آلودگی سیستم) جستجو کنن و حتماً آپدیت‌ها و روش‌های رفع مشکل رو اعمال کنن.

سطح حمله داره با سرعتی بیشتر از توان تیم‌های امنیتی رشد میکنه ، اگه میخوای جلوتر باشی، باید بدونی چی در معرض خطره و هکرها کجاها ممکنه ضربه بزنن.

با افزایش استفاده از فضای ابری، بالا آوردن سیستم‌ها و سرویس‌های جدید تو اینترنت راحت‌ تر شده، پس اینکه بدونی چی در معرض حمله هست و از نگاه هکرها به قضیه نگاه کنی، از همیشه مهم‌ تر شده.

سطح حمله چیه؟
به زبون ساده، سطح حمله یعنی همه دارایی‌ های دیجیتالی که یه هکر میتونه بهشون دسترسی داشته باشه ، حالا چه امن باشن، چه آسیب‌پذیر، چه شناخته شده باشن، چه نه. این شامل چیزایی میشه که تو شبکه داخلی داری (مثلاً یه ایمیل مخرب که برای همکارت ارسال شده) و چیزایی که از بیرون در معرض خطرن (مثلاً یه سرور FTP که آنلاین شده).

مدیریت سطح حمله چیه؟
مدیریت سطح حمله یعنی اینکه بفهمی چی داری، چقدر در معرض خطره، و چطوری میتونی دسترسی‌ های غیرضروری رو ببندی تا هکرها سخت‌ تر بتونن بهشون دسترسی پیدا کنن. مثلاً یه پنل مدیریت فایروال، امروز ممکنه امن باشه، ولی اگه فردا یه باگ امنیتی براش کشف بشه، یه خطر جدی میشه. به جای اینکه صبر کنی یه آسیب‌پذیری پیدا بشه و بعدش رفعش کنی، باید از قبل جلوی این قضیه رو بگیری مثلا پنل فایروالت رو از اینترنت برداری.

چرا باید سطح حمله‌ مون رو کم کنیم؟
اگه یه چیزی رو که نباید، تو اینترنت در دسترس بذاری، حتی بدون اینکه باگی براش پیدا بشه، باز هم ممکنه مورد حمله قرار بگیری ، یه مثال واقعی: تو سال ۲۰۲۴، یه سری گروه باج‌افزار تونستن با استفاده از یه باگ توی VMware vSphere به سرورها نفوذ کنن و اطلاعات حساس رو رمزگذاری کنن تا باج بگیرن. هنوزم هزاران تا از این سرورها بدون محافظت تو اینترنت وجود دارن!

اگه ندونی چی داری، چطوری می‌خوای ازش محافظت کنی؟ خیلی از شرکت‌ها اصلاً از همه‌ سیستم‌ هایی که دارن خبر ندارن. مثل اتفاقی که توی هک Deloitte تو سال ۲۰۱۶ افتاد ، یه اکانت ادمین که فراموش شده بود، باعث شد کلی اطلاعات حساس لو بره.

با رفتن به فضای ابری، اوضاع پیچیده‌ تر شده. حالا تیم‌های توسعه خودشون سرور بالا میارن، ولی تیم امنیت ممکنه ندونه چه چیزایی آنلاین شده. برای همین، یه راهکار درست و حسابی لازمه که هم دارایی‌ها رو شناسایی کنه، هم امنیتشون رو بررسی کنه.

چطور سطح حمله رو امن‌تر کنیم؟
درمورد این سوال Intruder یه سری راهکار داره که کمکت کنه کنترل اوضاع رو به دست بگیری:

1. پیدا کردن دارایی‌های ناشناخته : ممکنه بعضی چیزا مثل ساب‌ دامین‌ها، APIها یا صفحه‌های لاگین از یادت بره، ولی هکرها پیداشون میکنن.

2. چک کردن پورت‌ها و سرویس‌ های در معرض خطر: ببین چی تو اینترنت بازه که نباید باشه.

3. پیدا کردن آسیب‌پذیری‌هایی که بقیه از دست میدن : مثلاً دیتابیس‌هایی که اشتباهی عمومی شدن یا پنل‌های مدیریت باز.

4. اسکن خودکار با هر تغییری : اگه چیزی جدیدی بالا بیاد، سریع بررسی بشه.

5. پیشگیری از حملات جدید: وقتی یه آسیب‌پذیری جدید کشف بشه، سریع سیستم‌ها رو چک کنید که ببینید در خطر هستین یا نه.

6. تمرکز روی خطرات جدی‌ تر باشه : بدونی کدوم مشکل اولویت داره و باید سریع‌ تر حل بشه.


اما توی یه اقدام کاملا سینمایی گونه پلیس اسپانیا یه هکری رو که ادعا میشه به چندین سازمان حمله کرده دستگیر کرده. 

مأمورا گفتن این مرد که اسمش هنوز اعلام نشده، توی شهر کالپ در استان آلیکانته اسپانیا گیر افتاده. طبق ادعای پلیس، این فرد بیش از ۴۰ سازمان رو مورد حمله سایبری قرار داده و اطلاعات دزدیده‌ شده رو لو داده. 

تحقیقات پلیس منجر به بازرسی از خونه این فرد، ضبط یه سری دستگاه الکترونیکی و شناسایی بیش از ۵۰ حساب ارز دیجیتال شده. طبق گزارش رسانه‌های اسپانیایی، این مظنون فقط ۱۸ سالشه! 

مقام‌های اسپانیایی معتقدن که این فرد پشت حملاتی به چند سازمان بزرگ جهانی بوده، از جمله ناتو، سازمان ملل، ارتش آمریکا و سازمان بین‌المللی هوانوردی غیرنظامی (ICAO).

این هکر همچنین متهمه که چندین سازمان اسپانیایی رو هم هدف گرفته، مثل ضراب‌خونه ملی، دانشگاه‌ها، نهادهای دولتی و حتی نیروهای پلیس اسپانیا. 

هکری به اسم "Natohub" توی فروم جرایم سایبری BreachForums مسئولیت خیلی از این حملات رو به‌عهده گرفته. اما پلیس گفته که این فرد از حداقل سه تا  یوزرنیم مختلف استفاده کرده. 

بین ژوئن ۲۰۲۴ تا ژانویه ۲۰۲۵، Natohub توی این فروم ۱۸ تا پست درباره نقض داده‌ها گذاشته بوده. بعضی از اطلاعات دزدیده‌ شده برای فروش گذاشته شده، ولی یه بخشی هم مجانی پخش شده.

این اطلاعات شامل اطلاعات شخصی و اسناد بوده که ظاهراً از سازمان‌های مورد حمله به‌دست اومده. سازمان ICAO تأیید کرده که ده‌ها هزار پرونده مربوط به درخواست‌ های استخدام از دیتابیسشون دزدیده شده.

بعد از خبر دستگیری این هکر، حساب Natohub توی BreachForums برای همیشه بسته شده.