یه سری سایت فیک که خودشون رو جای سایت دانلود گوگل کروم جا می‌زنن، دارن بدافزار ValleyRAT رو پخش می‌کنن. این بدافزار که اولین بار تو سال ۲۰۲۳ شناسایی شد، به یه گروه هکری به نام Silver Fox نسبت داده میشه. این گروه قبلاً بیشتر کاربران چینی‌زبان، مخصوصاً توی هنگ‌کنگ، تایوان و چین رو هدف قرار داده بود.

طبق گزارشی که محقق امنیتی Shmuel Uzan از شرکت Morphisec منتشر کرده، این گروه اخیراً تمرکزش رو روی افراد کلیدی تو سازمان‌ها گذاشته، مخصوصاً تو بخش مالی، حسابداری و فروش. یعنی مشخصاً دنبال افرادی هستن که به اطلاعات حساس و سیستم‌های مهم دسترسی دارن.

توی حملات قبلی، ValleyRAT معمولاً همراه با بدافزارهای دیگه مثل Purple Fox و Gh0st RAT منتشر میشد. مخصوصاً Gh0st RAT که قبلاً خیلی توسط گروه‌های هکری چینی استفاده شده. جالب اینجاست که هنوز هم از روش‌های قدیمی مثل نصب‌کننده‌های فیک برای نرم‌افزارهای معروف برای پخش این بدافزار استفاده می‌کنن. مثلاً از یه DLL Loader به اسم PNGPlug کمک می‌گیرن تا این بدافزار رو منتشر کنن.

همین ماه پیش هم دیده شده که یه روش دیگه برای پخش Gh0st RAT استفاده شده بود. اونم با یه نصب‌کننده‌ی فیک گوگل کروم که به صورت Drive-by Download کاربران چینی‌زبان رو هدف قرار داده بود.

روش جدیدی که برای پخش ValleyRAT استفاده شده، دقیقاً همون داستان سایت فیک گوگل کرومه. یعنی قربانی وارد سایت جعلی میشه و یه فایل ZIP دانلود می‌کنه که داخلش یه فایل اجرایی به اسم Setup.exe هست.

به گفته Michael Gorelik، مدیر ارشد فناوری Morphisec، شواهدی وجود داره که این حملات به هم مرتبط هستن. این سایت جعلی قبلاً برای انتشار Gh0st RAT هم استفاده شده بود. در کل، این کمپین به طور خاص کاربرهای چینی‌زبان رو هدف قرار داده، چون از ترفندهای فریبنده‌ی چینی‌زبان و اپلیکیشن‌هایی برای سرقت اطلاعات و دور زدن سیستم‌های امنیتی استفاده می‌کنه.

لینک‌های این سایت‌های فیک معمولاً از طریق Drive-by Download پخش میشن. یعنی کاربر وقتی دنبال دانلود کروم می‌گرده، ممکنه به این سایت‌های مخرب هدایت بشه و ناخواسته یه نصب‌کننده‌ی آلوده دانلود کنه. این روش از اعتمادی که کاربرها به دانلود نرم‌افزارهای معروف دارن سوءاستفاده می‌کنه.

وقتی این فایل Setup.exe اجرا بشه، اول از همه چک میکنه که آیا دسترسی ادمین داره یا نه. بعدش میره و چهار تا فایل دیگه رو دانلود می‌کنه، که یکی از اون‌ها یه فایل اجرایی معتبر به اسم Douyin.exe (ورژن چینی تیک‌تاک) هست. از این فایل برای بارگذاری یه DLL مخرب به اسم tier0.dll استفاده میشه که در نهایت ValleyRAT رو اجرا می‌کنه.

همچنین یه DLL دیگه به اسم sscronet.dll هم دانلود میشه که وظیفش بستن پردازش‌های مشخصی هست که توی لیست حذف شدن قرار دارن.

این بدافزار که به زبان C++ و با کامپایلر چینی نوشته شده، قابلیت‌های مختلفی داره، مثل:

- مانیتور کردن صفحه نمایش
- ثبت کلیدهایی که کاربر تایپ می‌کنه
- ایجاد ماندگاری روی سیستم (Persistence)
- برقراری ارتباط با سرور مهاجم و اجرای دستورات مختلف
- شماره‌گذاری پردازش‌ها، دانلود و اجرای DLLها و فایل‌های اجرایی دیگه

طبق گفته Uzan، مهاجم برای تزریق بدافزار، از برنامه‌های قانونی که به آسیب‌پذیری DLL Hijacking دچار بودن، سوءاستفاده کرده.

از طرف دیگه، شرکت Sophos هم یه گزارش داده که نشون میده حملات فیشینگ با استفاده از فایل‌های SVG داره زیاد میشه. این روش به هکرها کمک می‌کنه که از تشخیص توسط آنتی‌ویروس‌ها فرار کنن و بدافزارهای ثبت‌کننده کلیدهای کیبورد مثل Nymeria رو روی سیستم قربانی اجرا کنن یا کاربر رو به صفحه‌های جعلی سرقت اطلاعات هدایت کنن.

محققای امنیت سایبری دوتا مدل یادگیری ماشینی مخرب توی Hugging Face پیدا کردن که از یه روش عجیب برای قایم شدن استفاده می‌کردن. این روش شامل یه فایل pickle خراب‌شده بود که باعث می‌شد ابزارهای امنیتی نتونن تشخیصش بدن.

محقق ReversingLabs، کارلو زانکی، گفته که وقتی فایل‌های pickle مربوط به این مدل‌ها رو بررسی کردن، فهمیدن که یه کد مخرب پایتون درست اول فایل قرار گرفته. این کد یه ریورس‌شل بوده که می‌تونسته به یه آی‌پی خاص وصل بشه و کنترل سیستم رو بگیره.

اسم این تکنیک رو گذاشتن NullifAI چون با این روش، مدل‌های مخرب از سیستم‌های امنیتی رد میشن. مدل‌هایی که شناسایی شدن توی این دو تا ریپوی Hugging Face بودن:

- "glockr1/ballr7"
- "who-r-u0000/0000000000000000000000000000000000000"

محقق‌ها میگن که این مدل‌ها احتمالاً یه نمونه آزمایشی (PoC) بودن و نه یه حمله گسترده به زنجیره تأمین.

فرمت pickle که برای ذخیره مدل‌های ML استفاده میشه، بارها نشون داده که میتونه یه تهدید امنیتی جدی باشه. چون این فرمت اجازه میده هر کدی موقع باز شدن مدل اجرا بشه.

این مدل‌ها توی فرمت PyTorch ذخیره شده بودن که در واقع یه فایل pickle فشرده‌شده است. اما یه تفاوت مهم داشتن:

- اینکهPyTorch معمولاً از فرمت ZIP برای فشرده‌سازی استفاده می‌کنه.
- اما این مدل‌ها به جای ZIP، از فرمت 7z استفاده کرده بودن.

به خاطر این تفاوت، ابزار Picklescan که برای بررسی امنیتی pickle توی Hugging Face استفاده میشه، نتونسته تشخیصشون بده.

زانکی توضیح داده که این فایل‌ها بعد از اجرای کد مخرب، خراب میشدن و دیگه نمیشد اون‌ها رو کامل دیکامپایل کرد.

ولی مشکل اینجاست که:
1. این Picklescan یه ارور میده ولی هنوز یه بخش از فایل رو اجرا میکنه.
2. از اونجایی که کد مخرب اول فایل بوده، اجرا شده و بعدش خطا داده، ولی تا اون موقع کار خودش رو کرده بوده!

بعد از کشف این مشکل، ابزار Picklescan آپدیت شده تا جلوی این روش رو بگیره.

یه بررسی جدید روی اپ موبایل DeepSeek برای سیستم‌عامل iOS انجام شده و نتایجش نشون میده که اپ کلی مشکل امنیتی داره، مهم‌ ترینش اینه که اطلاعات حساس رو بدون هیچ رمزگذاری‌ ای میفرسته، یعنی هر کسی که وسط راه باشه، میتونه این داده‌ها رو ببینه یا دستکاری کنه.

این بررسی رو شرکت NowSecure انجام داده و فهمیده که اپ نه تنها اصول پایه‌ای امنیت رو رعایت نکرده، بلکه یه عالمه اطلاعات از کاربر و دستگاهش جمع‌آوری میکنه.

طبق گفته‌ NowSecure، این اپ هنگام ثبت‌نام و ارسال اطلاعات دستگاه، داده‌ها رو بدون رمزگذاری میفرسته که باعث میشه هر کسی که بخواد، بهشون دسترسی داشته باشه. حتی جاهایی که رمزگذاری داره، به بدترین شکل ممکن پیاده‌سازی شده! مثلا از یه الگوریتم قدیمی و ناامن به اسم 3DES استفاده میکنه، کلید رمزگذاری توی کدش هاردکُد شده (یعنی هر کسی که کد رو ببینه، می‌تونه کلید رو هم پیدا کنه)، و initialization vector رو هم دوباره استفاده میکنه که امنیتو نابود میکنه.

بدتر از همه، اطلاعاتی که این اپ میفرسته، مستقیم میره به سرورهایی که توسط Volcano Engine مدیریت میشن، یه سرویس ابری که متعلق به ByteDance (همون شرکت چینی که تیک‌تاک رو ساخته).

این اپ به صورت جهانی App Transport Security (ATS) رو غیرفعال کرده، قابلیتی که باعث میشه اپ‌ها مجبور بشن از کانال‌های رمزگذاری‌شده استفاده کنن. یعنی این اپ عمداً گذاشته که داده‌ها بدون رمزگذاری روی اینترنت رد و بدل بشن!

این مشکلات فقط به DeepSeek محدود نمیشن. طبق بررسی‌های شرکت امنیت سایبری Check Point، خلافکارهای سایبری دارن از هوش مصنوعی این اپ، به همراه ابزارهایی مثل Alibaba Qwen و ChatGPT، برای ساخت بدافزارها، تولید محتوای غیرقانونی، و بهینه‌سازی اسکریپت‌های اسپم استفاده میکنن.

و Check Point هشدار داده که مهاجمان دارن از تکنیک‌هایی مثل jailbreaking استفاده میکنن تا لایه‌های حفاظتی رو دور بزنن و ابزارهایی برای به سرقت بردن اطلاعات مالی و اسپم کردن بسازن. به همین خاطر، سازمان‌ها باید اقدامات امنیتی جدی‌تری انجام بدن تا جلوی این سوءِاستفاده‌ها رو بگیرن.

چند روز پیش، Associated Press فاش کرد که سایت DeepSeek اطلاعات لاگین کاربران رو به شرکت مخابراتی دولتی China Mobile ارسال میکنه، شرکتی که در آمریکا تحریم شده و اجازه‌ فعالیت نداره.

همین ارتباطات باعث شده که مقامات آمریکایی به دنبال ممنوعیت DeepSeek روی دستگاه‌های دولتی باشن، چون ممکنه اطلاعات کاربران رو به دولت چین بده. این نگرانی‌ها باعث شدن که کشورهایی مثل استرالیا، ایتالیا، هلند، تایوان، و کره جنوبی و سازمان‌هایی مثل کنگره آمریکا، ناسا، نیروی دریایی، پنتاگون، و دولت تگزاس استفاده از این اپ رو روی دستگاه‌های دولتی ممنوع کنن.

با رشد انفجاری محبوبیت DeepSeek، هکرها هم بیکار نشستن. شرکت امنیت سایبری چینی XLab گزارش داده که این سرویس اخیراً مورد حمله‌های شدید DDoS از سمت بات‌نت‌های Mirai، hailBot و RapperBot قرار گرفته.

در همین حال، مجرمان سایبری دارن از این فرصت استفاده میکنن و صفحات جعلی درست میکنن تا بدافزار پخش کنن، کلاهبرداری‌های سرمایه‌گذاری فیک راه بندازن، و طرح‌های کریپتویی تقلبی به خورد مردم بدن.

توی یه خبرCISA (آژانس امنیت سایبری و زیرساخت‌های آمریکا) هشدار داده که یه مشکل امنیتی توی نرم‌افزار Trimble Cityworks که برای مدیریت دارایی‌های مبتنی بر GIS استفاده میشه، الان داره توی دنیای واقعی مورد سوءِاستفاده قرار می‌گیره.

این مشکل امنیتی که CVE-2025-0994 (امتیاز CVSS v4: 8.6) نام داره، یه باگ از نوع deserialization of untrusted data هستش. این باگ یه نوع آسیب‌ پذیریه که وقتی داده‌های خارجی (که از منابع غیرقابل اعتماد میان) بدون بررسی درست و کامل در سیستم بارگذاری یا deserializing میشن، میتونه منجر به اجرای کدهای خطرناک بشه.
برای درک بهتر، serialization یعنی تبدیل داده‌ها به فرمتی که بشه اون‌ها رو ذخیره یا انتقال داد (مثلاً به صورت رشته یا باینری). حالا، deserialization یعنی تبدیل همون داده‌ها به فرم اصلی‌شون برای استفاده در برنامه.

از طرفی CISA گفته: "این مشکل میتونه به یه کاربر احراز هویت‌شده این اجازه رو بده که حمله‌ای با کد دلخواه از راه دور به سرور وب Microsoft IIS مشتری‌ها انجام بده."
نسخه‌های آسیب‌پذیر:
- همه نسخه‌های Cityworks قبل از 15.8.9
- همه نسخه‌های Cityworks with office companion قبل از 23.10

شرکت Trimble از 29 ژانویه 2025 پچ‌هایی برای برطرف کردن این مشکل منتشر کرده، ولی CISA گفته که این ضعف امنیتی توی حملات واقعی داره استفاده میشه. شرکت Trimble هم گزارش داده که "تلاش‌های غیرمجاز برای دسترسی به پیاده‌سازی‌های Cityworks بعضی از مشتری‌ها" دریافت کرده.

طبق شواهد منتشر شده، هکرها از این باگ برای اجرای Rust-based loader استفاده میکنن که بعدش Cobalt Strike و یه ابزار دسترسی از راه دور به اسم VShell رو راه‌اندازی میکنه، به علاوه چند پی‌لود شناسایی نشده دیگه.

و CISA این مشکل رو به لیست CVE‌های شناخته‌شده اضافه کرده و از آژانس‌های فدرال اجرایی خواسته که این مشکل رو تا 28 فوریه 2025 برطرف کنن. CISA همچنین توصیه کرده که کاربران و مدیران سیستم برای شناسایی علائم compromise (آلودگی سیستم) جستجو کنن و حتماً آپدیت‌ها و روش‌های رفع مشکل رو اعمال کنن.

سطح حمله داره با سرعتی بیشتر از توان تیم‌های امنیتی رشد میکنه ، اگه میخوای جلوتر باشی، باید بدونی چی در معرض خطره و هکرها کجاها ممکنه ضربه بزنن.

با افزایش استفاده از فضای ابری، بالا آوردن سیستم‌ها و سرویس‌های جدید تو اینترنت راحت‌ تر شده، پس اینکه بدونی چی در معرض حمله هست و از نگاه هکرها به قضیه نگاه کنی، از همیشه مهم‌ تر شده.

سطح حمله چیه؟
به زبون ساده، سطح حمله یعنی همه دارایی‌ های دیجیتالی که یه هکر میتونه بهشون دسترسی داشته باشه ، حالا چه امن باشن، چه آسیب‌پذیر، چه شناخته شده باشن، چه نه. این شامل چیزایی میشه که تو شبکه داخلی داری (مثلاً یه ایمیل مخرب که برای همکارت ارسال شده) و چیزایی که از بیرون در معرض خطرن (مثلاً یه سرور FTP که آنلاین شده).

مدیریت سطح حمله چیه؟
مدیریت سطح حمله یعنی اینکه بفهمی چی داری، چقدر در معرض خطره، و چطوری میتونی دسترسی‌ های غیرضروری رو ببندی تا هکرها سخت‌ تر بتونن بهشون دسترسی پیدا کنن. مثلاً یه پنل مدیریت فایروال، امروز ممکنه امن باشه، ولی اگه فردا یه باگ امنیتی براش کشف بشه، یه خطر جدی میشه. به جای اینکه صبر کنی یه آسیب‌پذیری پیدا بشه و بعدش رفعش کنی، باید از قبل جلوی این قضیه رو بگیری مثلا پنل فایروالت رو از اینترنت برداری.

چرا باید سطح حمله‌ مون رو کم کنیم؟
اگه یه چیزی رو که نباید، تو اینترنت در دسترس بذاری، حتی بدون اینکه باگی براش پیدا بشه، باز هم ممکنه مورد حمله قرار بگیری ، یه مثال واقعی: تو سال ۲۰۲۴، یه سری گروه باج‌افزار تونستن با استفاده از یه باگ توی VMware vSphere به سرورها نفوذ کنن و اطلاعات حساس رو رمزگذاری کنن تا باج بگیرن. هنوزم هزاران تا از این سرورها بدون محافظت تو اینترنت وجود دارن!

اگه ندونی چی داری، چطوری می‌خوای ازش محافظت کنی؟ خیلی از شرکت‌ها اصلاً از همه‌ سیستم‌ هایی که دارن خبر ندارن. مثل اتفاقی که توی هک Deloitte تو سال ۲۰۱۶ افتاد ، یه اکانت ادمین که فراموش شده بود، باعث شد کلی اطلاعات حساس لو بره.

با رفتن به فضای ابری، اوضاع پیچیده‌ تر شده. حالا تیم‌های توسعه خودشون سرور بالا میارن، ولی تیم امنیت ممکنه ندونه چه چیزایی آنلاین شده. برای همین، یه راهکار درست و حسابی لازمه که هم دارایی‌ها رو شناسایی کنه، هم امنیتشون رو بررسی کنه.

چطور سطح حمله رو امن‌تر کنیم؟
درمورد این سوال Intruder یه سری راهکار داره که کمکت کنه کنترل اوضاع رو به دست بگیری:

1. پیدا کردن دارایی‌های ناشناخته : ممکنه بعضی چیزا مثل ساب‌ دامین‌ها، APIها یا صفحه‌های لاگین از یادت بره، ولی هکرها پیداشون میکنن.

2. چک کردن پورت‌ها و سرویس‌ های در معرض خطر: ببین چی تو اینترنت بازه که نباید باشه.

3. پیدا کردن آسیب‌پذیری‌هایی که بقیه از دست میدن : مثلاً دیتابیس‌هایی که اشتباهی عمومی شدن یا پنل‌های مدیریت باز.

4. اسکن خودکار با هر تغییری : اگه چیزی جدیدی بالا بیاد، سریع بررسی بشه.

5. پیشگیری از حملات جدید: وقتی یه آسیب‌پذیری جدید کشف بشه، سریع سیستم‌ها رو چک کنید که ببینید در خطر هستین یا نه.

6. تمرکز روی خطرات جدی‌ تر باشه : بدونی کدوم مشکل اولویت داره و باید سریع‌ تر حل بشه.


اما توی یه اقدام کاملا سینمایی گونه پلیس اسپانیا یه هکری رو که ادعا میشه به چندین سازمان حمله کرده دستگیر کرده. 

مأمورا گفتن این مرد که اسمش هنوز اعلام نشده، توی شهر کالپ در استان آلیکانته اسپانیا گیر افتاده. طبق ادعای پلیس، این فرد بیش از ۴۰ سازمان رو مورد حمله سایبری قرار داده و اطلاعات دزدیده‌ شده رو لو داده. 

تحقیقات پلیس منجر به بازرسی از خونه این فرد، ضبط یه سری دستگاه الکترونیکی و شناسایی بیش از ۵۰ حساب ارز دیجیتال شده. طبق گزارش رسانه‌های اسپانیایی، این مظنون فقط ۱۸ سالشه! 

مقام‌های اسپانیایی معتقدن که این فرد پشت حملاتی به چند سازمان بزرگ جهانی بوده، از جمله ناتو، سازمان ملل، ارتش آمریکا و سازمان بین‌المللی هوانوردی غیرنظامی (ICAO).

این هکر همچنین متهمه که چندین سازمان اسپانیایی رو هم هدف گرفته، مثل ضراب‌خونه ملی، دانشگاه‌ها، نهادهای دولتی و حتی نیروهای پلیس اسپانیا. 

هکری به اسم "Natohub" توی فروم جرایم سایبری BreachForums مسئولیت خیلی از این حملات رو به‌عهده گرفته. اما پلیس گفته که این فرد از حداقل سه تا  یوزرنیم مختلف استفاده کرده. 

بین ژوئن ۲۰۲۴ تا ژانویه ۲۰۲۵، Natohub توی این فروم ۱۸ تا پست درباره نقض داده‌ها گذاشته بوده. بعضی از اطلاعات دزدیده‌ شده برای فروش گذاشته شده، ولی یه بخشی هم مجانی پخش شده.

این اطلاعات شامل اطلاعات شخصی و اسناد بوده که ظاهراً از سازمان‌های مورد حمله به‌دست اومده. سازمان ICAO تأیید کرده که ده‌ها هزار پرونده مربوط به درخواست‌ های استخدام از دیتابیسشون دزدیده شده.

بعد از خبر دستگیری این هکر، حساب Natohub توی BreachForums برای همیشه بسته شده.

اپل روز دوشنبه یه آپدیت امنیتی فوری منتشر کرد تا یه باگ خطرناک رو توی iOS و iPadOS برطرف کنه، باگی که ظاهراً قبلاً توی دنیای واقعی مورد سوءاستفاده قرار گرفته.

این آسیب‌پذیری که با شناسه CVE-2025-24200 شناخته میشه، یه مشکل مربوط به دسترسی‌های غیرمجاز توی دستگاه‌های قفل‌شده‌ اپل هست. این مشکل به هکرها اجازه میده حالت محدودیت USB رو غیرفعال کنن. این حالت از iOS 11.4.1 به بعد معرفی شد و باعث میشه اگه دستگاه بیشتر از یک ساعت به اکسسوری (مثل کابل USB یا دستگاه دیگه) وصل نشده باشه، ارتباط USB غیرفعال بمونه. این کار برای اینه که ابزارهایی مثل Cellebrite یا GrayKey که توسط پلیس‌ها و نهادهای امنیتی برای شکستن قفل آیفون استفاده میشن، نتونن به اطلاعات گوشی‌ های مصادره‌ شده دسترسی پیدا کنن.

اما این باگ باعث شده بود که یه مهاجم با دسترسی فیزیکی به گوشی بتونه این محدودیت رو دور بزنه. اپل جزئیات زیادی درباره‌ی این باگ منتشر نکرده، ولی گفته که با بهبود مدیریت وضعیت (state management) این مشکل رو برطرف کرده. همچنین تأیید کرده که این نقص امنیتی احتمالاً توی حملات خیلی پیچیده علیه افراد خاص و هدفمند مورد سوءاستفاده قرار گرفته.

این باگ رو بیل مارژاک، محقق امنیتی از تیم Citizen Lab توی دانشگاه تورنتو کشف و گزارش کرده. آپدیت امنیتی برای این دستگاه‌ها منتشر شده:

iOS 18.3.1 و iPadOS 18.3.1:

- آیفون XS به بعد
- آیپد پرو ۱۳ اینچ، آیپد پرو ۱۲.۹ اینچ نسل ۳ به بعد، آیپد پرو ۱۱ اینچ نسل ۱ به بعد
- آیپد ایر نسل ۳ به بعد، آیپد نسل ۷ به بعد، آیپد مینی نسل ۵ به بعد

iPadOS 17.7.5:
- آیپد پرو ۱۲.۹ اینچ نسل ۲
- آیپد پرو ۱۰.۵ اینچ
- آیپد نسل ۶

این اتفاق بعد از این افتاد که اپل چند هفته پیش یه باگ خطرناک دیگه (CVE-2025-24085) رو توی بخش Core Media برطرف کرد که توی نسخه‌های قبل از iOS 17.2 مورد سوءاستفاده قرار گرفته بود.

در سال‌های اخیر، نقص‌های امنیتی اپل ابزار اصلی شرکت‌های جاسوسی خصوصی بوده تا برنامه‌های پیشرفته‌ای برای دسترسی به اطلاعات کاربران طراحی کنن. یکی از معروف‌ترین این ابزارها، پگاسوس از شرکت NSO Group هست. این نرم‌افزار که به ادعای شرکت سازنده، برای مقابله با جرم و تروریسم ساخته شده، بارها برای جاسوسی از فعالان حقوق بشر، روزنامه‌نگارها و مخالفان سیاسی هم استفاده شده.

از طرفی NSO Group همیشه ادعا کرده که پگاسوس فقط به نهادهای امنیتی و سازمان‌های اطلاعاتی تاییدشده فروخته میشه و ابزار "نظارت عمومی" نیست. طبق گزارش شفافیت این شرکت در سال ۲۰۲۴، مشتریان اون شامل ۵۴ سازمان در ۳۱ کشور مختلف هستن، که ۲۳ تا از اون‌ها سازمان‌های اطلاعاتی و ۲۳ تا نیروی پلیس هستن.

هکرها دارن از Google Tag Manager (GTM) سوءاستفاده میکنن تا بدافزار اسکیمر کارت اعتباری رو روی سایت‌های فروشگاهی که از Magento استفاده میکنن، نصب کنن.

شرکت امنیتی sucuri کشف کرده که این کد مخرب، ظاهراً یه اسکریپت عادی GTM و Google Analytics به نظر میاد که برای آنالیز سایت و تبلیغات استفاده میشه، ولی در واقع یه در پشتی (backdoor) توش پنهان شده که به هکرها اجازه میده دسترسی مداوم به سایت داشته باشن.

تا الان، حداقل 3 سایت آلوده شناسایی شده، در حالی که قبلاً 6 سایت آلوده گزارش شده بود. این کد مخرب توی پایگاه‌داده‌ Magento ذخیره شده و داخل یکی از تگ‌های GTM یه اسکریپت جاوا اسکریپت رمزگذاری‌شده قرار داده که کارش دزدیدن اطلاعات کارت اعتباری کاربران موقع پرداخت هست.

- این اسکریپت اطلاعاتی مثل شماره کارت، CVV و تاریخ انقضا رو از صفحه‌ پرداخت میدزده.
- بعدش این اطلاعات رو به یه سرور خارجی که هکرها کنترلش میکنن، ارسال میکنه.

این اولین بار نیست که GTM برای کارهای مخرب استفاده میشه. توی آوریل ۲۰۱۸**، شرکت Sucuri کشف کرده بود که هکرها از این ابزار برای نمایش تبلیغات مخرب، پاپ‌آپ و ریدایرکت کردن کاربران به سایت‌های آلوده استفاده میکردن.

چند هفته پیش، همین شرکت یه حمله مشابه روی وب‌سایت‌های وردپرسی رو شناسایی کرده بود که با استفاده از آسیب‌پذیری‌های پلاگین‌ها یا دسترسی به اکانت‌های ادمین هک‌ شده، کاربران رو به سایت‌های آلوده هدایت میکرد.

از طرفی، وزارت دادگستری آمریکا (DoJ) اعلام کرده که دو شهروند رومانیایی به نام‌های آندری فاگاراس و تاماش کولوژواری به جرم سرقت اطلاعات کارت اعتباری بازداشت شدن.

در کل، داره مشخص میشه که حملات سرقت کارت اعتباری دارن پیچیده‌ تر میشن و حتی از ابزارهای قانونی مثل GTM هم برای این کار استفاده میشه.

توی یه خبر Progress Software چندتا باگ امنیتی خطرناک توی نرم‌افزار LoadMaster رو برطرف کرده که اگه دست هکرها می‌افتاد، میتونستن دستورهای دلخواه رو روی سیستم اجرا کنن یا هر فایلی رو دانلود کنن.

اما LoadMaster چیه؟
این یه نرم‌افزار لود بالانسر و کنترل‌کننده توزیع بار (ADC) هست که توی شرکت‌ها برای مدیریت ترافیک سرورها استفاده میشه تا سرعت، امنیت و پایداری سایت‌ها و اپلیکیشن‌ها بالا بره.

این آسیب‌پذیری‌ها با امتیاز خطر 8.4 از 10 مشخص شدن:

1.CVE-2024-56131, CVE-2024-56132, CVE-2024-56133, CVE-2024-56135
- مشکل: اعتبارسنجی نادرست ورودی‌ها
- تأثیر: هکرهایی که به بخش مدیریتی LoadMaster دسترسی پیدا کنن و لاگین بشن، میتونن با یه درخواست HTTP خاص، دستور های سیستمی دلخواه رو اجرا کنن.

2. CVE-2024-56134
- مشکل: باز هم اعتبارسنجی ضعیف ورودی‌ها
- تأثیر: یه هکر احراز هویت‌شده می‌تونه هر فایلی رو از سیستم دانلود کنه، حتی فایل‌های حساس.

نسخه های آسیب پذیر :
- نسخه‌های 7.2.55.0 تا 7.2.60.0 → در نسخه 7.2.61.0 برطرف شد.
- نسخه‌های 7.2.49.0 تا 7.2.54.12 → در نسخه 7.2.54.13 برطرف شد.
- نسخه 7.2.48.12 و قدیمی‌تر → باید به نسخه جدیدتر ارتقا پیدا کنه .
- نسخه‌های Multi-Tenant LoadMaster قبل از 7.1.35.12 → در نسخه 7.1.35.13 برطرف شد.

تا الان هیچ نشونه‌ ای از سوءاستفاده از این مشکلات دیده نشده، ولی از اونجایی که قبلاً باگ‌های مشابه مورد حمله قرار گرفتن، به‌شدت توصیه شده که کاربران هرچه سریع‌ تر آپدیت کنن تا از خطرات احتمالی جلوگیری بشه.

محققای امنیت سایبری یه راهی پیدا کردن که باهاش میتونن از یه باگ امنیتی که قبلاً تو NVIDIA Container Toolkit بوده و حالا پچ شده، رد بشن و از محیط ایزوله‌ی کانتینر خارج بشن و دسترسی کامل به سیستم اصلی بگیرن.

یه باگ جدید پیدا شده که CVE-2025-23359 نام‌گذاری شده و امتیاز امنیتی ۸.۳ از ۱۰ گرفته. این باگ روی نسخه‌های زیر تأثیر گذاشته:

- توی NVIDIA Container Toolkit (همه نسخه‌ها تا ۱.۱۷.۳ – که تو ۱.۱۷.۴ فیکس شده)

- توی NVIDIA GPU Operator (همه نسخه‌ها تا ۲۴.۹.۱ – که تو ۲۴.۹.۲ فیکس شده)


و NVIDIA اعلام کرده که Container Toolkit روی لینوکس یه مشکل امنیتی داره که از نوع TOCTOU (Time-of-Check Time-of-Use) هست. یعنی یه کانتینر مخرب میتونه از این باگ استفاده کنه و به فایل‌سیستم سیستم اصلی دسترسی بگیره.

اگه این باگ درست اکسپلویت بشه، ممکنه باعث بشه:
- اجرای کد مخرب تو سیستم اصلی
- حمله‌ی DoS (از کار انداختن سیستم)
- گرفتن دسترسی ادمین (Privilege Escalation)
- لو رفتن اطلاعات و دست‌کاری داده‌ها

یه شرکت امنیت ابری به نام Wiz گفته که این باگ در واقع یه راه دور زدن برای یه باگ دیگه هست (CVE-2024-0132) که NVIDIA تو سپتامبر ۲۰۲۴ فیکسش کرده بود.

- شخص مخرب میتونه فایل‌ سیستم اصلی سیستم رو روی یه کانتینر سوار کنه
- این یعنی می‌تونه به همه فایل‌های سیستم دسترسی داشته باشه
- حتی می‌تونه کانتینرهای خاص با دسترسی بالا اجرا کنه و کل سیستم رو بترکونه

محققای Wiz (شامل Shir Tamari، Ronen Shustin، Andres Riancho) بررسی کردن و دیدن که فایل‌هایی که برای مونت کردن (Mount) استفاده میشن، قابل دور زدن هستن.

- با استفاده از یه سیمبولیک لینک (Symbolic Link) میشه مسیر فایل‌ها رو عوض کرد و کاری کرد که از بیرون کانتینر (ریشه‌ سیستم) به داخل یه مسیر خاص (مثلاً داخل /usr/lib64/) مونت بشه .


- درسته که دسترسی به فایل‌سیستم فقط خوندنیه ولی با یه ترفند میشه این محدودیت رو دور زد
- هکر می‌تونه از طریق سوکت‌های Unix یه کانتینر جدید با دسترسی بالا اجرا کنه و کنترل کامل روی سیستم بگیره .


و NVIDIA پیشنهاد کرده که سریعاً به آخرین نسخه آپدیت کنید.
نکته مهم: تو محیط‌های پروداکشن، گزینه‌ "--no-cntlibs" رو غیرفعال نکنید

🚨 نقض جدید: اطلاعات میلیون‌ها شهروند ایرانی تحت پوشش سازمان بیمه سلامت در خطر افشای گسترده

مهاجمان توانسته‌اند به اطلاعات شخصی و بیمه‌ای شهروندان، کارکنان دولت و سایر بیمه شدگان "سازمان بیمه سلامت ایران" دسترسی پیدا کنند. هنوز جزئیات دقیقی از میزان اطلاعات به سرقت رفته و یا استفاده احتمالی از آنها منتشر نشده است. با این حال، تاکنون مجموعه بزرگی در حدود 1 میلیون خط نام، نام خانوادگی، تاریخ تولد، نام پدر، شماره ملی، شماره تلفن همراه، وضعیت حیات، شناسه بیمه گذار، نام بیمه گذار و اطلاعات دیگری از این داده‌ها توسط هکر/هکر‌ها به صورت عمومی منتشر شده است.

📌 اطلاعات افشاشده می‌تواند پیامدهای جدی مانند سرقت هویت، افزایش کلاهبرداری‌های فیشینگ و کاهش اعتماد عمومی را به دنبال داشته باشد. کاربران باید هوشیار بوده و از ارائه اطلاعات شخصی در تماس‌ها یا پیام‌های مشکوک خودداری کنند.

✅ صحت داده‌های نمونه بررسی شده و قابل تایید است!

منبع : @leakfarsi

مایکروسافت داره یه زنگ خطر جدید رو به صدا در میاره! یه گروه هکری که اسمش رو Storm-2372 گذاشتن، از آگوست ۲۰۲۴ تا حالا داره کلی حمله سایبری رو انجام میده و حسابی دردسر درست کرده.

این گروه تا الان به بخش‌های مختلفی حمله کرده، از جمله:

- دولت‌ها
- سازمان‌های غیردولتی (NGOها)
- شرکت‌های فناوری اطلاعات و خدمات IT
- بخش دفاعی و نظامی
- مخابرات
- بهداشت و درمان
- دانشگاه‌ها و مراکز آموزش عالی
- انرژی، نفت و گاز

و این حمله‌ها فقط تو یه منطقه خاص نبوده! اروپا، آمریکای شمالی، آفریقا و خاورمیانه همه تو لیست قربانی‌ها هستن.

مایکروسافت میگه با احتمال متوسط این گروه به منافع روسیه نزدیکه و بر اساس هدف‌هایی که انتخاب کرده و روشی که حمله می‌کنه، احتمالاً یه گروه تحت حمایت دولتیه.

این هکرها میان از طریق پیام‌رسان‌هایی مثل واتساپ، سیگنال و Microsoft Teams خودشون رو جای یه فرد مهم و قابل‌اعتماد جا میزنن و سعی میکنن قربانی‌ها رو فریب بدن.

هکرها از یه روش خاص به اسم "فیشینگ کد دستگاه" (Device Code Phishing) استفاده میکنن. یعنی کاربر رو فریب میدن تا وارد اپ‌های کاری (مثل آفیس ۳۶۵) بشه، ولی پشت پرده، اطلاعات ورودش (توکن‌های احراز هویت) توسط هکرها دزدیده میشه.

- یه ایمیل فیشینگ میفرستن که مثلاً دعوت به یه جلسه تو Microsoft Teams هست.
- قربانی روی لینک کلیک میکنه و به یه صفحه لاگین هدایت میشه.
- صفحه ازش میخواد که یه کد مخصوص ورود دستگاه (Device Code) رو وارد کنه.
- اون کد توسط هکرها تولید شده و وقتی کاربر واردش میکنه، در اصل داره یه سیشن معتبر رو برای اون‌ها ایجاد میکنه!
- هکرها از اون توکن ورود معتبر استفاده میکنن تا به حساب‌های قربانی دسترسی بگیرن.

وقتی هکرها تونستن وارد حساب بشن:
- بدون اینکه پسورد لازم باشه، به ایمیل و فضای ذخیره‌سازی ابری دسترسی میگیرن!
- از طریق همین حساب، به بقیه‌ی کارمندای همون سازمان ایمیل فیشینگ مشابه میفرستن تا دایره حمله رو گسترش بدن.
- با استفاده از Microsoft Graph تو پیام‌های قربانی دنبال کلمات کلیدی مثل نام کاربری، پسورد، ادمین، TeamViewer، Anydesk، اطلاعات محرمانه، وزارت، دولت و... میگردن و اطلاعات حساس رو سرقت میکنن!

مایکروسافت پیشنهاد کرده که سازمان‌ها این کارها رو انجام بدن:
- استفاده از Device Code رو (تا جایی که ممکنه) غیرفعال کنن!
- احراز هویت چندمرحله‌ای (MFA) مقاوم در برابر فیشینگ رو فعال کنن.
- اصل کمترین دسترسی (Least Privilege) رو رعایت کنن تا هر کاربر فقط به چیزایی که لازم داره دسترسی داشته باشه.

خلاصه اینکه این گروه داره با روش‌های هوشمندانه حسابی خرابکاری میکنه، پس باید حواسمون به این نوع حمله‌ها باشه!

گروه هکری RansomHub که باج‌ افزارش رو به‌عنوان سرویس (RaaS) ارائه میده، حسابی سر و صدا کرده ، اینا تونستن از یه سری باگ امنیتی که تو Microsoft Active Directory و پروتکل Netlogon بوده (و حالا پچ شده)، سوء استفاده کنن و دسترسی ادمین به سرورهای قربانی رو بگیرن. این حرکت بخشی از استراتژی‌ اوناس که بعد از نفوذ اولیه، کل شبکه رو تصاحب کنن.

تحلیل‌گرای Group-IB میگن این گروه بیش از ۶۰۰ سازمان در سراسر دنیا رو هدف گرفته که شامل بخش‌هایی مثل:

- بهداشت و درمان
- مالی و بانکداری
- دولت‌ها
- زیرساخت‌های حیاتی

همین موضوع باعث شده که RansomHub عنوان فعال‌ترین گروه باج‌افزاری سال ۲۰۲۴ رو به خودش اختصاص بده.

اولین‌بار فوریه ۲۰۲۴ دیده شدن و تونستن سورس‌ کد یه گروه دیگه به اسم Knight (که قبلاً با نام Cyclops شناخته میشد) رو از یه فروم جرایم سایبری به اسم RAMP بخرن تا عملیاتشون رو سریع‌ تر گسترش بدن. ۵ ماه بعد یه نسخه جدید از باج‌ افزارشون رو توی بازار سیاه معرفی کردن که قابلیت رمزگذاری از راه دور از طریق پروتکل SFTP رو داشت.

این گروه از انواع مختلفی از باج‌افزار استفاده میکنه که میتونن فایل‌ها رو روی ویندوز، VMware ESXi و سرورهای SFTP رمزگذاری کنن. جالب‌ تر اینه که شروع کردن به جذب اعضای گروه‌های LockBit و BlackCa که نشون میده دارن از فشارهای قانونی روی رقبا سوءاستفاده میکنن.

- این گروه سعی کردن از یه باگ جدی تو فایروال‌های Palo Alto (CVE-2024-3400) استفاده کنن، ولی موفق نشدن.
- بعدش، با یه حمله Brute-force روی سرویس VPN تونستن وارد شبکه قربانی بشن.
- این حمله بر اساس یه لیست ۵۰۰۰تایی از نام کاربری و پسوردها بوده.
- در نهایت، از طریق یه اکانت پیش‌فرض که توی سیستم‌های بکاپ‌گیری استفاده میشده، تونستن دیوار دفاعی رو بشکنن.

بعد از ورود، ظرف ۲۴ ساعت هم داده‌ها رو رمزگذاری کردن، هم دزدیدن!

- دو تا باگ معروف رو سوءاستفاده کردن: 

  - یکیشون CVE-2021-42278 (معروف به noPac) توی Active Directory
  - و یکی دیگه CVE-2020-1472 (معروف به ZeroLogon) توی Netlogon
- با این کار، تونستن کنترل کامل سرور Domain Controller رو بگیرن و به کل شبکه نفوذ کنن.
- بعد از دزدیدن اطلاعات، کاری کردن که هیچ داده‌ای قابل بازیابی نباشه!
- کل اطلاعات روی NASهای شرکت رو غیرقابل‌دسترس و غیرقابل‌بازیابی کردن، طوری که تنها راه، پرداخت باج باشه...

از ابزار های زیر استفاده میکردن :
-ابزار PCHunter: برای دور زدن و غیرفعال کردن آنتی‌ویروس‌ ها
- ابزار FileZilla: برای دزدیدن اطلاعات و انتقالشون به سرورهای خودشون

تحلیل‌گرای امنیتی میگن گروه‌هایی مثل RansomHub با ترکیب ابزارهای مختلف و استفاده از سورس‌کد بقیه گروه‌ها، یه اکوسیستم جرایم سایبری قوی ساختن :

- تو این دنیا، ابزارها و سورس‌کدها بین گروه‌های مختلف خرید و فروش یا اجاره داده میشه.
- این بازار سیاه، حول محور قربانی‌های مهم، گروه‌های معروف و پول‌های کلان میچرخه.

اخیراً محققای امنیتی روی یه گروه دیگه به اسم Lynx تحقیق کردن که اینا هم یه اپراتور بزرگ RaaS هستن.

- اینا نسخه‌های مختلفی برای ویندوز، لینوکس و ESXi دارن.
- یه قابلیت جالب اضافه کردن: مدل‌های مختلف رمزگذاری ("سریع"، "متوسط"، "کند" و "کامل") که باعث میشه هکرها بتونن بین سرعت و عمق رمزگذاری تعادل ایجاد کنن!
- این گروه خیلی روی امنیت عملیاتی و کیفیت کارشون حساسن، طوری که حتی برای اذیت کردن قربانی‌ها "Call Center" هم دارن که مدام بهشون زنگ بزنن و تهدیدشون کنن!

اخیراً روش‌های جدیدی دیده شده که با حملات فیشینگ از طریق ایمیل‌های آلوده و بات‌نت‌های مثل Phorpiex (یا همون Trik) انجام میشن.

- گروه LockBit از این بات‌نت برای انتشار باج‌افزارش استفاده کرده که یه تاکتیک نسبتاً جدیده!
- یه روش دیگه هم استفاده از آسیب‌پذیری‌های قدیمی VPN هست که دسترسی به دستگاه‌های داخلی سازمان رو فراهم میکنه.

اما حملات چطور پایدار میموندن؟
- استفاده از ابزارهای تونل‌زنی برای حفظ دسترسی مداوم
- استفاده از روش BYOVD (آوردن درایور آسیب‌پذیر خودشون) برای خاموش کردن آنتی‌ویروس‌ها

با این همه حمله، تعداد پرداخت‌های باج در سال ۲۰۲۴ کم شده...

- قربانی‌ها دارن بیشتر مقاومت میکنن و پول نمیدن.
- به همین خاطر، گروه‌های مثل RansomHub و Akira حالا دارن روی فروش داده‌های دزدیده شده سرمایه‌گذاری میکنن که همچنان سودآور باقی بمونن.

دنیای باج‌افزارها مدام در حال تغییر و تحول هست، گروه‌های جدید میان، گروه‌های قدیمی ناپدید میشن، ولی روش‌های حمله هر روز هوشمندتر و خطرناک‌تر میشه، باید حواسمون باشه که باج‌افزارها فقط یه تهدید قدیمی نیستن، بلکه دارن خودشون رو با شرایط جدید وفق میدن و حتی قوی‌ تر هم میشن...

You look lonely. I can fix that.

محقق‌های امنیت سایبری یه نوع جدید از حمله‌های جعل نام کشف کردن که اسمش "whoAMI" هست. این حمله به هر کسی که یه Amazon Machine Image (AMI) منتشر کنه، این امکان رو میده که بتونه روی حساب AWS بقیه کد اجرا کنه.

یه محقق امنیتی از Datadog Security Labs به اسم "ست آرت" توی گزارشی که با سایت The Hacker News به اشتراک گذاشته، گفته:
"اگه این حمله در مقیاس بزرگ اجرا بشه، میتونه به هزاران حساب AWS دسترسی پیدا کنه. الگوی آسیب‌پذیری این حمله توی کلی مخزن کد خصوصی و متن‌باز دیده شده."

در اصل، این حمله یه نوع حمله‌ی زنجیره تأمین (Supply Chain Attack) محسوب میشه که توش مهاجم یه منبع مخرب رو منتشر می‌کنه و کاری میکنه که نرم‌افزارهایی که به درستی پیکربندی نشدن، به جای منبع اصلی، از این منبع جعلی استفاده کنن.

تو AWS،AMI یه ایمیج ماشین مجازی هست که برای راه‌اندازی سرورهای EC2 استفاده میشه. یه مشکل امنیتی توی فرآیند جستجوی AMI باعث شده که مهاجم‌ها بتونن با انتخاب یه نام خاص برای AMI خودشون، یه حمله‌ جعل نام انجام بدن و کنترل سرورهای EC2 قربانی‌ها رو به دست بگیرن.

حمله زمانی کار میکنه که سه شرط زیر همزمان برقرار باشن:
1. وقتی قربانی داره از طریق API به دنبال یه AMI خاص می‌گرده، از "فیلتر نام" استفاده کنه.
2. توی درخواستش مشخص نکنه که AMI رو از کدوم مالک (Owner) میخواد. یعنی از گزینه‌های owner, owner-alias, یا owner-id استفاده نکنه.
3. گزینه‌ی most_recent=true رو بزنه که یعنی آخرین AMI ساخته شده رو دریافت کنه.

اگه این سه شرط برقرار باشن، مهاجم میتونه یه AMI مخرب بسازه که دقیقا همون نامی رو داره که قربانی داره سرچ میکنه. نتیجه این میشه که یه EC2 جدید روی AMI جعلی مهاجم اجرا میشه و اون شخص میتونه از راه دور روی این سرور کد اجرا کنه!

تنها چیزی که مهاجم نیاز داره اینه که:
1. یه حساب AWS داشته باشه.
2. یه AMI مخرب درست کنه و اونو توی "Community AMI" منتشر کنه.
3. برای این AMI، یه اسم وسوسه‌ کننده انتخاب کنه که قربانی‌ها دنبالش باشن.

این حمله خیلی شبیه "حملات جعل وابستگی" (Dependency Confusion Attack) هست. تو اون حملات، یه بسته‌ جعلی (مثلا یه پکیج pip تقلبی) جایگزین نسخه اصلی میشه، ولی اینجا، یه AMI جعلی جایگزین نسخه‌ اصلی میشه.

طبق بررسی‌های Datadog، حدود ۱٪ از شرکت‌هایی که بررسی شدن، به این حمله آسیب‌پذیر بودن و توی کدهای عمومی نوشته‌شده با Python, Go, Java, Terraform, Pulumi و Bash نمونه‌هایی از این آسیب‌پذیری پیدا شده.

بعد از اینکه این مشکل در ۱۶ سپتامبر ۲۰۲۴ به AWS گزارش شد، اونا توی ۱۹ سپتامبر ۲۰۲۴ این مشکل رو حل کردن. AWS گفته که تاکنون هیچ موردی از سوءاستفاده واقعی از این روش پیدا نشده و فقط محقق‌های امنیتی این حمله رو تست کردن.

از طرفی AWS همچنین یه قابلیت جدید به اسم "Allowed AMIs" معرفی کرده که به کاربرا اجازه میده فقط از AMIهایی که خودشون تعیین میکنن استفاده کنن. به همه پیشنهاد شده که این تنظیم امنیتی جدید رو فعال کنن تا در برابر این حمله محافظت بشن.

توی نوامبر ۲۰۲۴، Terraform شروع به هشدار دادن به کاربرا کرد که "most_recent=true" رو بدون مشخص کردن مالک استفاده نکنن. این هشدار توی نسخه‌ی ۶.۰.۰ قراره به یه خطای جدی تبدیل بشه.

در نهایت اگه کسی توی AWS داره از ec2:DescribeImages API برای پیدا کردن AMI استفاده میکنه، باید حتما مالک رو مشخص کنه، وگرنه ممکنه یه AMI جعلی و مخرب رو به جای AMI اصلی دریافت کنه. AWS هم برای حل این مشکل قابلیت‌های امنیتی جدیدی معرفی کرده تا جلوی این نوع حملات گرفته بشه.