محققای امنیت سایبری یه راهی پیدا کردن که باهاش میتونن از یه باگ امنیتی که قبلاً تو NVIDIA Container Toolkit بوده و حالا پچ شده، رد بشن و از محیط ایزوله‌ی کانتینر خارج بشن و دسترسی کامل به سیستم اصلی بگیرن.

یه باگ جدید پیدا شده که CVE-2025-23359 نام‌گذاری شده و امتیاز امنیتی ۸.۳ از ۱۰ گرفته. این باگ روی نسخه‌های زیر تأثیر گذاشته:

- توی NVIDIA Container Toolkit (همه نسخه‌ها تا ۱.۱۷.۳ – که تو ۱.۱۷.۴ فیکس شده)

- توی NVIDIA GPU Operator (همه نسخه‌ها تا ۲۴.۹.۱ – که تو ۲۴.۹.۲ فیکس شده)


و NVIDIA اعلام کرده که Container Toolkit روی لینوکس یه مشکل امنیتی داره که از نوع TOCTOU (Time-of-Check Time-of-Use) هست. یعنی یه کانتینر مخرب میتونه از این باگ استفاده کنه و به فایل‌سیستم سیستم اصلی دسترسی بگیره.

اگه این باگ درست اکسپلویت بشه، ممکنه باعث بشه:
- اجرای کد مخرب تو سیستم اصلی
- حمله‌ی DoS (از کار انداختن سیستم)
- گرفتن دسترسی ادمین (Privilege Escalation)
- لو رفتن اطلاعات و دست‌کاری داده‌ها

یه شرکت امنیت ابری به نام Wiz گفته که این باگ در واقع یه راه دور زدن برای یه باگ دیگه هست (CVE-2024-0132) که NVIDIA تو سپتامبر ۲۰۲۴ فیکسش کرده بود.

- شخص مخرب میتونه فایل‌ سیستم اصلی سیستم رو روی یه کانتینر سوار کنه
- این یعنی می‌تونه به همه فایل‌های سیستم دسترسی داشته باشه
- حتی می‌تونه کانتینرهای خاص با دسترسی بالا اجرا کنه و کل سیستم رو بترکونه

محققای Wiz (شامل Shir Tamari، Ronen Shustin، Andres Riancho) بررسی کردن و دیدن که فایل‌هایی که برای مونت کردن (Mount) استفاده میشن، قابل دور زدن هستن.

- با استفاده از یه سیمبولیک لینک (Symbolic Link) میشه مسیر فایل‌ها رو عوض کرد و کاری کرد که از بیرون کانتینر (ریشه‌ سیستم) به داخل یه مسیر خاص (مثلاً داخل /usr/lib64/) مونت بشه .


- درسته که دسترسی به فایل‌سیستم فقط خوندنیه ولی با یه ترفند میشه این محدودیت رو دور زد
- هکر می‌تونه از طریق سوکت‌های Unix یه کانتینر جدید با دسترسی بالا اجرا کنه و کنترل کامل روی سیستم بگیره .


و NVIDIA پیشنهاد کرده که سریعاً به آخرین نسخه آپدیت کنید.
نکته مهم: تو محیط‌های پروداکشن، گزینه‌ "--no-cntlibs" رو غیرفعال نکنید

🚨 نقض جدید: اطلاعات میلیون‌ها شهروند ایرانی تحت پوشش سازمان بیمه سلامت در خطر افشای گسترده

مهاجمان توانسته‌اند به اطلاعات شخصی و بیمه‌ای شهروندان، کارکنان دولت و سایر بیمه شدگان "سازمان بیمه سلامت ایران" دسترسی پیدا کنند. هنوز جزئیات دقیقی از میزان اطلاعات به سرقت رفته و یا استفاده احتمالی از آنها منتشر نشده است. با این حال، تاکنون مجموعه بزرگی در حدود 1 میلیون خط نام، نام خانوادگی، تاریخ تولد، نام پدر، شماره ملی، شماره تلفن همراه، وضعیت حیات، شناسه بیمه گذار، نام بیمه گذار و اطلاعات دیگری از این داده‌ها توسط هکر/هکر‌ها به صورت عمومی منتشر شده است.

📌 اطلاعات افشاشده می‌تواند پیامدهای جدی مانند سرقت هویت، افزایش کلاهبرداری‌های فیشینگ و کاهش اعتماد عمومی را به دنبال داشته باشد. کاربران باید هوشیار بوده و از ارائه اطلاعات شخصی در تماس‌ها یا پیام‌های مشکوک خودداری کنند.

✅ صحت داده‌های نمونه بررسی شده و قابل تایید است!

منبع : @leakfarsi

مایکروسافت داره یه زنگ خطر جدید رو به صدا در میاره! یه گروه هکری که اسمش رو Storm-2372 گذاشتن، از آگوست ۲۰۲۴ تا حالا داره کلی حمله سایبری رو انجام میده و حسابی دردسر درست کرده.

این گروه تا الان به بخش‌های مختلفی حمله کرده، از جمله:

- دولت‌ها
- سازمان‌های غیردولتی (NGOها)
- شرکت‌های فناوری اطلاعات و خدمات IT
- بخش دفاعی و نظامی
- مخابرات
- بهداشت و درمان
- دانشگاه‌ها و مراکز آموزش عالی
- انرژی، نفت و گاز

و این حمله‌ها فقط تو یه منطقه خاص نبوده! اروپا، آمریکای شمالی، آفریقا و خاورمیانه همه تو لیست قربانی‌ها هستن.

مایکروسافت میگه با احتمال متوسط این گروه به منافع روسیه نزدیکه و بر اساس هدف‌هایی که انتخاب کرده و روشی که حمله می‌کنه، احتمالاً یه گروه تحت حمایت دولتیه.

این هکرها میان از طریق پیام‌رسان‌هایی مثل واتساپ، سیگنال و Microsoft Teams خودشون رو جای یه فرد مهم و قابل‌اعتماد جا میزنن و سعی میکنن قربانی‌ها رو فریب بدن.

هکرها از یه روش خاص به اسم "فیشینگ کد دستگاه" (Device Code Phishing) استفاده میکنن. یعنی کاربر رو فریب میدن تا وارد اپ‌های کاری (مثل آفیس ۳۶۵) بشه، ولی پشت پرده، اطلاعات ورودش (توکن‌های احراز هویت) توسط هکرها دزدیده میشه.

- یه ایمیل فیشینگ میفرستن که مثلاً دعوت به یه جلسه تو Microsoft Teams هست.
- قربانی روی لینک کلیک میکنه و به یه صفحه لاگین هدایت میشه.
- صفحه ازش میخواد که یه کد مخصوص ورود دستگاه (Device Code) رو وارد کنه.
- اون کد توسط هکرها تولید شده و وقتی کاربر واردش میکنه، در اصل داره یه سیشن معتبر رو برای اون‌ها ایجاد میکنه!
- هکرها از اون توکن ورود معتبر استفاده میکنن تا به حساب‌های قربانی دسترسی بگیرن.

وقتی هکرها تونستن وارد حساب بشن:
- بدون اینکه پسورد لازم باشه، به ایمیل و فضای ذخیره‌سازی ابری دسترسی میگیرن!
- از طریق همین حساب، به بقیه‌ی کارمندای همون سازمان ایمیل فیشینگ مشابه میفرستن تا دایره حمله رو گسترش بدن.
- با استفاده از Microsoft Graph تو پیام‌های قربانی دنبال کلمات کلیدی مثل نام کاربری، پسورد، ادمین، TeamViewer، Anydesk، اطلاعات محرمانه، وزارت، دولت و... میگردن و اطلاعات حساس رو سرقت میکنن!

مایکروسافت پیشنهاد کرده که سازمان‌ها این کارها رو انجام بدن:
- استفاده از Device Code رو (تا جایی که ممکنه) غیرفعال کنن!
- احراز هویت چندمرحله‌ای (MFA) مقاوم در برابر فیشینگ رو فعال کنن.
- اصل کمترین دسترسی (Least Privilege) رو رعایت کنن تا هر کاربر فقط به چیزایی که لازم داره دسترسی داشته باشه.

خلاصه اینکه این گروه داره با روش‌های هوشمندانه حسابی خرابکاری میکنه، پس باید حواسمون به این نوع حمله‌ها باشه!

گروه هکری RansomHub که باج‌ افزارش رو به‌عنوان سرویس (RaaS) ارائه میده، حسابی سر و صدا کرده ، اینا تونستن از یه سری باگ امنیتی که تو Microsoft Active Directory و پروتکل Netlogon بوده (و حالا پچ شده)، سوء استفاده کنن و دسترسی ادمین به سرورهای قربانی رو بگیرن. این حرکت بخشی از استراتژی‌ اوناس که بعد از نفوذ اولیه، کل شبکه رو تصاحب کنن.

تحلیل‌گرای Group-IB میگن این گروه بیش از ۶۰۰ سازمان در سراسر دنیا رو هدف گرفته که شامل بخش‌هایی مثل:

- بهداشت و درمان
- مالی و بانکداری
- دولت‌ها
- زیرساخت‌های حیاتی

همین موضوع باعث شده که RansomHub عنوان فعال‌ترین گروه باج‌افزاری سال ۲۰۲۴ رو به خودش اختصاص بده.

اولین‌بار فوریه ۲۰۲۴ دیده شدن و تونستن سورس‌ کد یه گروه دیگه به اسم Knight (که قبلاً با نام Cyclops شناخته میشد) رو از یه فروم جرایم سایبری به اسم RAMP بخرن تا عملیاتشون رو سریع‌ تر گسترش بدن. ۵ ماه بعد یه نسخه جدید از باج‌ افزارشون رو توی بازار سیاه معرفی کردن که قابلیت رمزگذاری از راه دور از طریق پروتکل SFTP رو داشت.

این گروه از انواع مختلفی از باج‌افزار استفاده میکنه که میتونن فایل‌ها رو روی ویندوز، VMware ESXi و سرورهای SFTP رمزگذاری کنن. جالب‌ تر اینه که شروع کردن به جذب اعضای گروه‌های LockBit و BlackCa که نشون میده دارن از فشارهای قانونی روی رقبا سوءاستفاده میکنن.

- این گروه سعی کردن از یه باگ جدی تو فایروال‌های Palo Alto (CVE-2024-3400) استفاده کنن، ولی موفق نشدن.
- بعدش، با یه حمله Brute-force روی سرویس VPN تونستن وارد شبکه قربانی بشن.
- این حمله بر اساس یه لیست ۵۰۰۰تایی از نام کاربری و پسوردها بوده.
- در نهایت، از طریق یه اکانت پیش‌فرض که توی سیستم‌های بکاپ‌گیری استفاده میشده، تونستن دیوار دفاعی رو بشکنن.

بعد از ورود، ظرف ۲۴ ساعت هم داده‌ها رو رمزگذاری کردن، هم دزدیدن!

- دو تا باگ معروف رو سوءاستفاده کردن: 

  - یکیشون CVE-2021-42278 (معروف به noPac) توی Active Directory
  - و یکی دیگه CVE-2020-1472 (معروف به ZeroLogon) توی Netlogon
- با این کار، تونستن کنترل کامل سرور Domain Controller رو بگیرن و به کل شبکه نفوذ کنن.
- بعد از دزدیدن اطلاعات، کاری کردن که هیچ داده‌ای قابل بازیابی نباشه!
- کل اطلاعات روی NASهای شرکت رو غیرقابل‌دسترس و غیرقابل‌بازیابی کردن، طوری که تنها راه، پرداخت باج باشه...

از ابزار های زیر استفاده میکردن :
-ابزار PCHunter: برای دور زدن و غیرفعال کردن آنتی‌ویروس‌ ها
- ابزار FileZilla: برای دزدیدن اطلاعات و انتقالشون به سرورهای خودشون

تحلیل‌گرای امنیتی میگن گروه‌هایی مثل RansomHub با ترکیب ابزارهای مختلف و استفاده از سورس‌کد بقیه گروه‌ها، یه اکوسیستم جرایم سایبری قوی ساختن :

- تو این دنیا، ابزارها و سورس‌کدها بین گروه‌های مختلف خرید و فروش یا اجاره داده میشه.
- این بازار سیاه، حول محور قربانی‌های مهم، گروه‌های معروف و پول‌های کلان میچرخه.

اخیراً محققای امنیتی روی یه گروه دیگه به اسم Lynx تحقیق کردن که اینا هم یه اپراتور بزرگ RaaS هستن.

- اینا نسخه‌های مختلفی برای ویندوز، لینوکس و ESXi دارن.
- یه قابلیت جالب اضافه کردن: مدل‌های مختلف رمزگذاری ("سریع"، "متوسط"، "کند" و "کامل") که باعث میشه هکرها بتونن بین سرعت و عمق رمزگذاری تعادل ایجاد کنن!
- این گروه خیلی روی امنیت عملیاتی و کیفیت کارشون حساسن، طوری که حتی برای اذیت کردن قربانی‌ها "Call Center" هم دارن که مدام بهشون زنگ بزنن و تهدیدشون کنن!

اخیراً روش‌های جدیدی دیده شده که با حملات فیشینگ از طریق ایمیل‌های آلوده و بات‌نت‌های مثل Phorpiex (یا همون Trik) انجام میشن.

- گروه LockBit از این بات‌نت برای انتشار باج‌افزارش استفاده کرده که یه تاکتیک نسبتاً جدیده!
- یه روش دیگه هم استفاده از آسیب‌پذیری‌های قدیمی VPN هست که دسترسی به دستگاه‌های داخلی سازمان رو فراهم میکنه.

اما حملات چطور پایدار میموندن؟
- استفاده از ابزارهای تونل‌زنی برای حفظ دسترسی مداوم
- استفاده از روش BYOVD (آوردن درایور آسیب‌پذیر خودشون) برای خاموش کردن آنتی‌ویروس‌ها

با این همه حمله، تعداد پرداخت‌های باج در سال ۲۰۲۴ کم شده...

- قربانی‌ها دارن بیشتر مقاومت میکنن و پول نمیدن.
- به همین خاطر، گروه‌های مثل RansomHub و Akira حالا دارن روی فروش داده‌های دزدیده شده سرمایه‌گذاری میکنن که همچنان سودآور باقی بمونن.

دنیای باج‌افزارها مدام در حال تغییر و تحول هست، گروه‌های جدید میان، گروه‌های قدیمی ناپدید میشن، ولی روش‌های حمله هر روز هوشمندتر و خطرناک‌تر میشه، باید حواسمون باشه که باج‌افزارها فقط یه تهدید قدیمی نیستن، بلکه دارن خودشون رو با شرایط جدید وفق میدن و حتی قوی‌ تر هم میشن...

You look lonely. I can fix that.

محقق‌های امنیت سایبری یه نوع جدید از حمله‌های جعل نام کشف کردن که اسمش "whoAMI" هست. این حمله به هر کسی که یه Amazon Machine Image (AMI) منتشر کنه، این امکان رو میده که بتونه روی حساب AWS بقیه کد اجرا کنه.

یه محقق امنیتی از Datadog Security Labs به اسم "ست آرت" توی گزارشی که با سایت The Hacker News به اشتراک گذاشته، گفته:
"اگه این حمله در مقیاس بزرگ اجرا بشه، میتونه به هزاران حساب AWS دسترسی پیدا کنه. الگوی آسیب‌پذیری این حمله توی کلی مخزن کد خصوصی و متن‌باز دیده شده."

در اصل، این حمله یه نوع حمله‌ی زنجیره تأمین (Supply Chain Attack) محسوب میشه که توش مهاجم یه منبع مخرب رو منتشر می‌کنه و کاری میکنه که نرم‌افزارهایی که به درستی پیکربندی نشدن، به جای منبع اصلی، از این منبع جعلی استفاده کنن.

تو AWS،AMI یه ایمیج ماشین مجازی هست که برای راه‌اندازی سرورهای EC2 استفاده میشه. یه مشکل امنیتی توی فرآیند جستجوی AMI باعث شده که مهاجم‌ها بتونن با انتخاب یه نام خاص برای AMI خودشون، یه حمله‌ جعل نام انجام بدن و کنترل سرورهای EC2 قربانی‌ها رو به دست بگیرن.

حمله زمانی کار میکنه که سه شرط زیر همزمان برقرار باشن:
1. وقتی قربانی داره از طریق API به دنبال یه AMI خاص می‌گرده، از "فیلتر نام" استفاده کنه.
2. توی درخواستش مشخص نکنه که AMI رو از کدوم مالک (Owner) میخواد. یعنی از گزینه‌های owner, owner-alias, یا owner-id استفاده نکنه.
3. گزینه‌ی most_recent=true رو بزنه که یعنی آخرین AMI ساخته شده رو دریافت کنه.

اگه این سه شرط برقرار باشن، مهاجم میتونه یه AMI مخرب بسازه که دقیقا همون نامی رو داره که قربانی داره سرچ میکنه. نتیجه این میشه که یه EC2 جدید روی AMI جعلی مهاجم اجرا میشه و اون شخص میتونه از راه دور روی این سرور کد اجرا کنه!

تنها چیزی که مهاجم نیاز داره اینه که:
1. یه حساب AWS داشته باشه.
2. یه AMI مخرب درست کنه و اونو توی "Community AMI" منتشر کنه.
3. برای این AMI، یه اسم وسوسه‌ کننده انتخاب کنه که قربانی‌ها دنبالش باشن.

این حمله خیلی شبیه "حملات جعل وابستگی" (Dependency Confusion Attack) هست. تو اون حملات، یه بسته‌ جعلی (مثلا یه پکیج pip تقلبی) جایگزین نسخه اصلی میشه، ولی اینجا، یه AMI جعلی جایگزین نسخه‌ اصلی میشه.

طبق بررسی‌های Datadog، حدود ۱٪ از شرکت‌هایی که بررسی شدن، به این حمله آسیب‌پذیر بودن و توی کدهای عمومی نوشته‌شده با Python, Go, Java, Terraform, Pulumi و Bash نمونه‌هایی از این آسیب‌پذیری پیدا شده.

بعد از اینکه این مشکل در ۱۶ سپتامبر ۲۰۲۴ به AWS گزارش شد، اونا توی ۱۹ سپتامبر ۲۰۲۴ این مشکل رو حل کردن. AWS گفته که تاکنون هیچ موردی از سوءاستفاده واقعی از این روش پیدا نشده و فقط محقق‌های امنیتی این حمله رو تست کردن.

از طرفی AWS همچنین یه قابلیت جدید به اسم "Allowed AMIs" معرفی کرده که به کاربرا اجازه میده فقط از AMIهایی که خودشون تعیین میکنن استفاده کنن. به همه پیشنهاد شده که این تنظیم امنیتی جدید رو فعال کنن تا در برابر این حمله محافظت بشن.

توی نوامبر ۲۰۲۴، Terraform شروع به هشدار دادن به کاربرا کرد که "most_recent=true" رو بدون مشخص کردن مالک استفاده نکنن. این هشدار توی نسخه‌ی ۶.۰.۰ قراره به یه خطای جدی تبدیل بشه.

در نهایت اگه کسی توی AWS داره از ec2:DescribeImages API برای پیدا کردن AMI استفاده میکنه، باید حتما مالک رو مشخص کنه، وگرنه ممکنه یه AMI جعلی و مخرب رو به جای AMI اصلی دریافت کنه. AWS هم برای حل این مشکل قابلیت‌های امنیتی جدیدی معرفی کرده تا جلوی این نوع حملات گرفته بشه.

یه سری هکر که پشت قضیه سوء استفاده از یه باگ zero day توی محصولات BeyondTrust Privileged Remote Access (PRA) و Remote Support (RS) توی دسامبر ۲۰۲۴ بودن، احتمالاً از یه باگ SQL Injection که قبلاً شناخته نشده بود، توی PostgreSQL هم سوء استفاده کردن. اینو تیم امنیتی Rapid7 کشف کرده.

این باگ که با شناسه CVE-2025-1094 (با امتیاز ۸.۱ از ۱۰ توی CVSS) پیگیری میشه، روی ابزار تعاملی psql توی PostgreSQL تأثیر داره.

یه محقق امنیتی به نام استیون فیور توضیح داده که:
"یه مهاجم اگه بتونه از این باگ برای اجرای SQL Injection استفاده کنه، میتونه کد دلخواه خودش رو اجرا کنه، چون این ابزار یه سری قابلیت‌های خاص برای اجرای دستورات داره."

تیم Rapid7 در حین بررسی یه آسیب‌ پذیری دیگه به اسم CVE-2024-12356 که اخیراً توی نرم‌ افزار BeyondTrust پچ شده، به این کشف جدید رسید. این باگ به هکرها اجازه میداد بدون احراز هویت کد مخرب اجرا کنن.

اونا متوجه شدن که برای اینکه یه سوء استفاده موفق از CVE-2024-12356 انجام بشه، باید همزمان CVE-2025-1094 هم مورد سوء استفاده قرار بگیره تا اجرای کد از راه دور ممکن بشه.

تیم PostgreSQL به‌طور هماهنگ این مشکل رو رفع کرده و نسخه‌های جدیدی منتشر شده که این باگ رو برطرف میکنه:

- توی PostgreSQL 17 (فیکس شده توی نسخه 17.3)
- توی PostgreSQL 16 (فیکس شده توی نسخه 16.7)
- توی PostgreSQL 15 (فیکس شده توی نسخه 15.11)
- توی PostgreSQL 14 (فیکس شده توی نسخه 14.16)
- توی PostgreSQL 13 (فیکس شده توی نسخه 13.19)

این آسیب‌پذیری به خاطر نحوه پردازش کاراکترهای نامعتبر UTF-8 توی PostgreSQL ایجاد شده، که باعث میشه یه مهاجم بتونه از طریق یه دستور میان‌ بر "\!"، اجرای دستورات روی سیستم رو انجام بده.

فیور توضیح داده که:
"یه هکر میتونه از CVE-2025-1094 برای اجرای این دستور میان‌ بر استفاده کنه، و در نتیجه کنترل کاملی روی دستورات اجرایی سیستم‌ عامل داشته باشه."
"همچنین، یه مهاجم که بتونه SQL Injection ایجاد کنه، میتونه کوئری‌های مخرب خودش رو هم اجرا کنه."

در همین حال، CISA (آژانس امنیت سایبری و زیرساخت‌های آمریکا) یه آسیب‌پذیری جدید توی نرم‌افزار SimpleHelp remote support (با شناسه CVE-2024-57727 و امتیاز ۷.۵) رو به لیست باگ‌ هایی که به‌ طور فعال مورد سوء استفاده قرار میگیرن، اضافه کرده. تمام آژانس‌های فدرال باید تا ۶ مارس ۲۰۲۵ این مشکل رو برطرف کنن.

کرنل لینوکس 6.14 rc3 منتشر شد.

لینوس توروالدز نسخه جدیدی از کرنل،
لینوکس، یعنی 6.14-rc3 رو منتشر کرده که نسخه آزمایشی جدید برای نسخه پایدار 6.14 هست.

پائولو بونزینی که مسئول بخش ماشین مجازی مبتنی بر کرنل (KVM) هست، یه سری اصلاحیه فرستاده که حالا توسط توروالدز توی کرنل ادغام شده.

این آپدیت‌ها مشکلات مهمی رو روی چندتا معماری، از جمله ARM و x86 برطرف میکنه و قابلیت‌های KVM رو هم بهتر و پایدارتر کرده.

۱. معرفی ویژگی Faux Bus:
یه قابلیت جدید اضافه شده به اسم Faux Bus که قراره کار توسعه درایورهای سخت‌افزار رو راحت‌ تر کنه. این یه فریمورک ساده‌ ست برای دستگاه‌ها و درایورهایی که خیلی پیچیده نیستن و نیازی به یه سیستم درایور کامل ندارن.

این قابلیت با دو تا فانکشن کار میکنه: یکی برای ساختن دستگاه و یکی برای پاک کردنش. همچنین، از C و Rust پشتیبانی میکنه، پس توسعه‌دهنده‌ها راحت‌ تر میتونن ازش استفاده کنن.

۲. تغییرات مهم KVM برای معماری ARM:
- مدیریت FP (اعداد اعشاری)، SIMD و SVE رو ساده‌ تر کرده و کلی باگ رو که توی شرایط واقعی باعث مشکل میشدن، برطرف کرده.
- یه مشکل رقابتی (Race Condition) بین vCPU و vGIC رو درست کرده که باعث مشکل توی بوت میشد.
- یه سری اصلاحات انجام داده که تو حالت Virtualization Host Extensions (VHE) خاموش، آدرس‌های کرنل الکی استفاده نشن.
- قابلیت Protected KVM (pKVM) هم بهینه شده، خطایابی بهتر شده و مشکلات هم‌ ترازی حافظه رفع شده.

۳. تغییرات KVM برای معماری x86:
- پشتیبانی از AMD Secure Nested Paging (SNP) بهتر شده تا موقع بالا اومدن KVM، ماژول Platform Security Processor (PSP) درست مقداردهی بشه.
- توی بخش Hyper-V، حالا اگه یه سری hypercalls که توسط APIC مجازی پشتیبانی نمیشن فرستاده بشن، KVM ردشون میکنه.
- یه مشکل قدیمی که باعث میشد مقدار DR6 توی تغییر حالت‌های مهمان خراب بشه، درست شده.
- یه مشکل توی تگ‌گذاری جدول صفحه‌های تو در تو (Nested Page Tables) که روی مهمان‌های سطح ۲ تأثیر میذاشت، برطرف شده.

چه تغییراتی داشیم ؟
- کلی از کدهای قدیمی رو پاک کردن و مسیرهای پیچیده رو ساده‌تر کردن.
- تست‌های KVM گسترده‌تر شده و حالا ویژگی‌های Hyper-V و سناریوهای خاص مجازی‌ سازی رو هم پوشش میده.
- در کل، ۳۰ فایل تغییر کرده، ۴۲۰ خط اضافه و ۴۲۷ خط حذف شده!

بونزینی گفته این درخواست به‌روزرسانی به خاطر تغییرات بزرگ ARM، حجمش زیاده، ولی جالب اینجاست که کد بیشتری حذف شده تا اضافه بشه! یعنی دارن سعی میکنن کرنل تمیزتر و بهینه‌ تر بشه.

مارک راتلند هم که روی تغییرات ARM کار کرده، نقش مهمی توی بهبود پایداری کرنل داشته.

فعلاً این نسخه آزمایشی هست و قبل از انتشار نهایی، قراره تست‌های بیشتری روش انجام بشه. توسعه‌دهنده‌ها هم تشویق شدن که این نسخه رو توی محیط‌های مختلف تست کنن و هر مشکلی که پیدا کردن، گزارش بدن.

آپدیت‌های KVM نشون میده که همکاری جامعه‌ی لینوکس، چقدر توی پیشرفت مجازی‌ سازی توی معماری‌های مختلف مؤثره.

دو تا باگ امنیتی توی OpenSSH پیدا شده که اگه یه هکر بتونه ازشون سوء استفاده کنه، میتونه یا یه حمله Man-in-the-Middle (MitM) انجام بده (یعنی خودش رو جای سرور جا بزنه و اطلاعات شما رو ببینه و دستکاری کنه) یا یه حمله Denial-of-Service (DoS) که باعث بشه سرور کلاً از کار بیفته و کسی نتونه بهش وصل بشه.

جزییات این دو تا باگ رو تیم Qualys Threat Research Unit (TRU) منتشر کرده:

CVE-2025-26465:
این باگ توی کلاینت OpenSSH از نسخه 6.8p1 تا 9.9p1 وجود داره. اگه گزینه VerifyHostKeyDNS فعال باشه، یه هکر میتونه خودش رو جای سرور اصلی جا بزنه و وقتی کاربر میخواد وصل بشه، کلاینت OpenSSH، کلید جعلی اون هکر رو به‌ جای کلید واقعی سرور قبول میکنه، این مشکل از دسامبر ۲۰۱۴ به بعد توی OpenSSH بوده.

CVE-2025-26466:
این یکی توی کلاینت و سرور OpenSSH از نسخه 9.5p1 تا 9.9p1 وجود داره. مشکل اینجاست که قبل از احراز هویت (pre-authentication)، میشه سرور رو با مصرف زیاد رم و پردازنده از کار انداخت. این باگ از آگوست ۲۰۲۳ اضافه شده.

یکی از محققای Qualys، سعید عباسی، درباره این مشکل گفته:
"اگه یه هکر بتونه حمله MitM رو از طریق CVE-2025-26465 انجام بده، کلاینت ممکنه کلید اون هکر رو به‌جای کلید واقعی سرور قبول کنه."
یعنی در واقع، امنیت و یکپارچگی اتصال SSH از بین میره و مهاجم میتونه کل جلسه SSH رو شنود کنه، تغییر بده یا حتی به داده‌ های حساس دسترسی پیدا کنه. البته به‌صورت پیش‌فرض گزینه VerifyHostKeyDNS غیرفعاله که یه مقدار ریسک این حمله رو کمتر میکنه.

اما از اون طرف، CVE-2025-26466 هم اگه مدام مورد سوء استفاده قرار بگیره، باعث میشه سرور کلاً در دسترس نباشه، ادمین‌ها نتونن مدیریتش کنن و کاربرای عادی هم قفل بشن بیرون، که یعنی کل سیستم دچار مشکل میشه.

هر دو تا مشکل توی نسخه OpenSSH 9.9p2 که امروز منتشر شده، برطرف شدن.

این افشاگری حدود هفت ماه بعد از یه باگ خطرناک دیگه توی OpenSSH به اسم regreSSHion (CVE-2024-6387) اومده که میتونست باعث اجرای کد از راه دور با دسترسی روت روی سیستم‌های لینوکسی مبتنی بر glibc بشه.

هکر های چینی یه روش جدید برای مخفی شدن و کنترل سیستم‌های آلوده پیدا کردن.

گروه Mustang Panda، که توسط دولت چین حمایت میشه، از یه ترفند جالب استفاده میکنه تا آنتی‌ویروس‌ ها رو دور بزنه و حضور خودش رو توی سیستم‌های قربانی حفظ کنه.

اینا از یه ابزار کاملاً قانونی ویندوزی به اسم Microsoft Application Virtualization Injector (MAVInject.exe) استفاده میکنن که در اصل برای اجرای برنامه‌ های مجازی‌ سازی‌ شده به کار میره. اما این گروه اومده و از این قابلیت سوء استفاده کرده تا کد مخرب خودش رو تزریق کنه به یه فرآیند خارجی به اسم waitfor.exe.

نکته‌ی مهم:

اگه آنتی‌ویروس ESET روی سیستم قربانی فعال باشه، این بدافزار این روش رو اجرا میکنه تا شناسایی نشه.

چندین فایل مختلف روی سیستم میریزن که شامل برنامه‌های قانونی و فایل‌های مخرب هست.
یه PDF تقلبی هم همراهش هست که نقش طعمه رو داره تا توجه قربانی رو جلب کنه.

از یه نرم‌افزار نصب‌ کننده به اسم Setup Factory استفاده میکنن که در اصل برای ساختن نصاب برنامه‌های ویندوزی هست، اما اینجا برای اجرای فایل مخرب به کار میره!

شروع حمله از یه فایل اجرایی به اسم IRSetup.exe هست که چندین فایل دیگه رو هم روی سیستم قربانی میریزه. این فایل ظاهراً کاربرای تایلندی رو هدف گرفته که نشون میده احتمالاً حملات از طریق ایمیل‌ های فیشینگ هدفمند انجام میشه.

بعد از اجرا شدن، این بدافزار یه برنامه‌ قانونی مربوط به کمپانی Electronic Arts (EA) به اسم OriginLegacyCLI.exe رو اجرا میکنه و از طریق اون یه فایل DLL آلوده شده به اسم EACore.dll رو بارگذاری میکنه.

این DLL در واقع یه نسخه تغییر یافته از یه بدافزار مخفی به اسم TONESHELL هست که قبلاً هم توسط هکرهای چینی استفاده شده.

این بدافزار وقتی روی سیستم اجرا میشه، اول چک میکنه ببینه دو تا فرآیند مربوط به آنتی‌ ویروس ESET فعال هستن یا نه:
ekrn.exe
egui.exe

اگه این فرآیندها فعال باشن، بدافزار waitfor.exe رو اجرا میکنه و بعدش از MAVInject.exe استفاده میکنه تا بدون اینکه شناسایی بشه، کد مخربش رو داخل این فرآیند تزریق کنه.

محققای امنیتی میگن که احتمالش زیاده که هکرها این حمله رو اول روی سیستم‌ هایی که ESET داشتن تست کرده باشن و بعد اومدن MAVInject.exe رو برای دور زدنش استفاده کردن.

بعد از اینکه کد مخرب اجرا شد، بدافزار یه شل‌کد رمزگذاری‌ شده رو رمزگشایی میکنه که بهش اجازه میده با یه سرور کنترل از راه دور ارتباط برقرار کنه:
www.militarytc.com:443
از طریق این سرور، هکرها میتون دستورات جدید به سیستم قربانی بفرستن یه شل معکوس (Reverse Shell) راه بندازن تا کنترل کامل روی سیستم داشته باشن فایل‌ ها رو جا‌بجا کنن فایل‌ها رو پاک کنن برای رد گم کردن

یه کمپین مخرب راه افتاده که داره بدافزار XLoader رو پخش میکنه و از یه ترفند به نام DLL Side-Loading استفاده میکنه. این یعنی یه نرم‌افزار قانونی رو دستکاری میکنن و ازش برای اجرای بدافزار بهره میبرن.

یه سریا اومدن و از یه برنامه قانونی به اسم jarsigner سوء استفاده کردن. این برنامه یه ابزار برای امضای فایل‌های JAR (Java Archive) هست که همراه با پکیج IDE توزیع‌شده توسط Eclipse Foundation نصب میشه.

این بدافزار توی یه فایل فشرده ZIP قرار داره که شامل این چیزاست:
1. Documents2012.exe (در اصل همون jarsigner.exe که اسمش عوض شده)
2. jli.dll (یه DLL دستکاری‌ شده که وظیفه داره بدافزار رو رمزگشایی و اجرا کنه)
3. concrt140e.dll (که همون XLoader هست)

وقتی قربانی Documents2012.exe رو اجرا کنه، این فایل میاد و jli.dll رو صدا میزنه که اونم به نوبه خودش XLoader رو بارگذاری میکنه.

این بدافزار اطلاعات حساس مثل اطلاعات کامپیوتر قربانی و مرورگرش رو میدزده و کارایی مثل دانلود کردن بدافزارهای دیگه رو هم انجام میده.

این بدافزار در واقع جانشین Formbook هست و اولین بار سال ۲۰۲۰ شناسایی شد. و به‌ صورت MaaS (Malware-as-a-Service) فروخته میشه، یعنی هر کسی میتونه این بدافزار رو بخره و استفاده کنه. جالب اینجاست که حتی نسخه مک هم داره و توی ۲۰۲۳ یه ورژن جعلی از Microsoft Office هم ازش پیدا شده.

نسخه‌های ۶ و ۷ XLoader با لایه‌های اضافی رمزگذاری و پنهان‌کاری ساخته شدن تا از شناسایی شدن جلوگیری کنن و کار مهندسی معکوس رو سخت‌تر کنن. محققان Zscaler هم گفتن که XLoader تکنیک‌هایی داره که قبلاً توی بدافزار SmokeLoader دیده شده بود، مثل رمزگذاری بخش‌هایی از کد در زمان اجرا و دور زدن NTDLL Hook.

از طرفی XLoader از لیست‌های تقلبی از پیش‌تعریف‌شده استفاده میکنه تا ترافیک واقعی ارتباطش با سرورهای فرماندهی (C2) رو با ترافیک سایت‌های واقعی ترکیب کنه. این کار باعث میشه شناسایی بشدت سخت بشه، چون به نظر میرسه ترافیکش کاملاً عادیه.

این تکنیک رو گروه SmartApeSG (ZPHP یا HANEYMANEY) هم برای پخش بدافزار NetSupport RAT استفاده کرده بودن. اونا از سایت‌های آلوده‌شده با اسکریپت‌های JavaScript سوءاستفاده کردن تا StealC stealer رو روی سیستم قربانی بریزن.

علاوه بر اینا، گروه Zscaler دو تا بدافزار جدید به اسم‌های NodeLoader و RiseLoader رو بررسی کرده که برای پخش انواع مختلفی از بدافزارها مثل Vidar، Lumma، Phemedrone، XMRig، Socks5Systemz استفاده میشن.

و RiseLoader و RisePro از یه روش ارتباطی مشابه استفاده میکنن که نشون میده احتمالاً یه گروه پشت هر دوتای این بدافزارهاست.

خلاصه، این روزا بدافزارا خیلی هوشمند شدن و ترکیبی از روش‌های مختلف رو برای پنهان کردن ردپای خودشون استفاده میکنن.

صرافی ارز دیجیتال Bybit روز جمعه اعلام کرد که یه حمله خیلی پیچیده باعث شد بیش از ۱.۴۶ میلیارد دلار ارز دیجیتال از یکی از کیف پول‌های سرد (آفلاین) اتریوم این شرکت دزدیده بشه، این بزرگ‌ترین سرقت تاریخ کریپتوئه...

از طرفی Bybit توی یه پست توییتر (X) گفت:
"این اتفاق وقتی افتاد که کیف پول سرد چند امضایی ما، مقداری ETH رو به کیف پول گرممون منتقل کرد. متأسفانه، این تراکنش از طریق یه حمله خیلی حرفه‌ای دستکاری شد. این حمله باعث شد که توی صفحه امضای تراکنش، آدرس درست نمایش داده بشه، ولی در پشت پرده منطق قرارداد هوشمند تغییر کنه و در نتیجه، هکر کنترل این کیف پول رو به دست آورد و همه دارایی‌هاش رو به یه آدرس ناشناس فرستاد. "

مدیرعامل Bybit، بن ژو، توی یه بیانیه دیگه گفت که بقیه کیف پول‌های سرد امن هستن و این موضوع به مراجع قانونی گزارش شده.

با اینکه خود Bybit هنوز تأیید رسمی نکرده، ولی شرکت‌های Elliptic و Arkham Intelligence اعلام کردن که این سرقت کار گروه لازاروس (Lazarus Group) بوده. این سرقت، از همه هک‌ های قبلی بزرگتره، حتی از:
- حمله به Ronin Network (۶۲۴ میلیون دلار)
- حمله به Poly Network (۶۱۱ میلیون دلار)
- حمله به BNB Bridge (۵۸۶ میلیون دلار)


و ZachXBT، یه محقق مستقل، گفته که این حمله با هک اخیر Phemex که ماه پیش اتفاق افتاد، به هم مرتبطه.

گروه لازاروس یه تیم هکری حرفه‌ای وابسته به کره شمالی هست که بارها و بارها صرافی‌ های کریپتو رو هک کرده تا واسه این کشور تحریم‌شده درآمد غیرقانونی جور کنه. سال پیش، گوگل حتی کره شمالی رو "احتمالاً بزرگ‌ترین باند جرائم سایبری دنیا" معرفی کرد.

تو سال ۲۰۲۴، گروه لازاروس حدود ۱.۳۴ میلیارد دلار از ۴۷ هک مختلف دزدیده، این یعنی ۶۱٪ از کل ارزهای دیجیتال دزدیده‌شده توی اون سال.

شرکت امنیت سایبری Mandiant (زیرمجموعه گوگل) ماه پیش گفت که سرقت‌های کریپتو روز به روز بیشتر میشن، چون:
۱. جایزه‌های وسوسه‌انگیزی دارن.
۲. سخت میشه فهمید دقیقاً کی پشت حمله‌ هاست .
۳. خیلی از شرکت‌ها هنوز با دنیای کریپتو و Web3 آشنایی کامل ندارن.

پیشاپیش سال نوتون مبارک ولی واقعا اینقدر...؟
#freeman

تکمیلی :
و اما توی یه خبر FBI آمریکا رسماً تأیید کرده که گروه‌ های هکری کره شمالی پشت هک ۱.۵ میلیارد دلاری صرافی Bybit بودن. مدیرعامل این صرافی، بن ژو، هم اعلام کرده که وارد "جنگ با لازاروس" شده.

از طرفی FBI گفته که کره شمالی مسئول دزدیدن این ارزهای دیجیتال بوده و این حمله رو به گروهی به اسم TraderTraitor نسبت داده که با اسم‌های دیگه‌ای مثل Jade Sleet، Slow Pisces و UNC4899 هم شناخته میشه.

طبق اعلام FBI، این هکرها خیلی سریع دست به کار شدن و بخشی از پول‌های دزدیده‌ شده رو به بیت‌کوین و ارزهای دیجیتال دیگه تبدیل کردن و حالا این پول‌ها تو هزاران کیف پول مختلف روی چندین بلاک‌چین پخش شده. انتظار میره که این دارایی‌ها شسته‌ رفته بشن و در نهایت تبدیل به پول نقد بشن، این گروه قبلاً هم توسط مقامات ژاپنی و آمریکایی متهم شده بود که در مه ۲۰۲۴، چیزی حدود ۳۰۸ میلیون دلار از صرافی DMM Bitcoin دزدیده.

این گروه معمولاً شرکت‌های فعال در حوزه Web3 رو هدف قرار میده. روش کارشون هم اینه که قربانی‌ها رو با اپلیکیشن‌ های آلوده به بدافزار گول میزنن و ارزهاشون رو میدزدن. گاهی هم با پیشنهادات شغلی فیک، مهندسی اجتماعی انجام میدن و از طریق پکیج‌ های npm مخرب به سیستم‌ها نفوذ میکنن.

تو همین حین، Bybit یه برنامه جایزه (bounty) راه انداخته تا شاید بتونه بخشی از پول‌های دزدیده‌شده رو برگردونه. اما همزمان یه صرافی دیگه به اسم eXch رو هم به خاطر همکاری نکردن توی تحقیقات و کمک نکردن به مسدودسازی دارایی‌های دزدیده‌ شده، زیر سوال برده.

و Bybit گفته که این پول‌های دزدیده‌ شده به جاهایی منتقل شدن که قابل ردگیری یا مسدودسازی نیستن، مثل صرافی‌ها، میکسرها یا پل‌های بلاک‌چینی. یا حتی به استیبل‌کوین‌هایی تبدیل شدن که میشه اون‌ ها رو فریز کرد. برای همین، از همه طرف‌ های درگیر خواسته که یا پول‌ها رو فریز کنن یا درباره مسیر حرکتشون اطلاعات بدن تا بشه ردیابی رو ادامه داد، این شرکت که مقرش تو دبیه، نتیجه دو تا تحقیق انجام‌شده توسط شرکت‌های Sygnia و Verichains رو منتشر کرده که حمله رو به گروه لازاروس ربط میدن.

طبق گزارش Sygnia، بررسی سیستم‌ های سرور نشون داده که ریشه حمله، کدهای مخربیه که از زیرساخت Safe{Wallet} اومده، Verichains هم گفته که یه فایل جاوااسکریپت سالم توی وبسایت app.safe.global توی تاریخ ۱۹ فوریه ۲۰۲۵ ساعت ۱۵:۲۹:۲۵ UTC با یه کد مخرب جایگزین شده. این حمله دقیقاً برای هدف قرار دادن کیف پول سرد چندامضایی اتریومِ Bybit طراحی شده بود و درست توی زمان انجام اولین تراکنش بعدی Bybit توی ۲۱ فوریه ۲۰۲۵ ساعت ۱۴:۱۳:۳۵ UTC فعال شد.

به احتمال زیاد، کلیدهای API یا حساب AWS S3 و CloudFront سرویس Safe.Global لو رفته یا هک شده که باعث شده این حمله زنجیره تأمین (Supply Chain Attack) اتفاق بیفته، از طرف دیگه، Safe{Wallet} هم اعلام کرده که این حمله از طریق آلوده شدن یکی از سیستم‌های توسعه‌ دهنده‌ های خودشون انجام شده که روی حسابی که Bybit ازش استفاده میکرد تأثیر گذاشته. برای جلوگیری از چنین حملاتی هم اقدامات امنیتی جدیدی اضافه کردن.

این حمله اینجوری انجام شده که هکرها سیستم یه توسعه‌دهنده از Safe{Wallet} رو آلوده کردن و بعدش یه تراکنش مخرب رو طوری جا زدن که عادی به نظر بیاد. لازاروس که یه گروه هکری تحت حمایت دولت کره شمالیه، تخصصش حملات پیچیده‌ مهندسی اجتماعی روی اعتبارنامه‌ های توسعه‌ دهنده‌ هاست و گاهی این حملات رو با اکسپلویت‌ های روز صفر (Zero-day) ترکیب میکنه.

فعلاً معلوم نیست که سیستم اون توسعه‌ دهنده چجوری هک شده، ولی طبق یه تحلیل جدید از Silent Push، گروه لازاروس یه دامنه به اسم bybit-assessment.com رو تو ۲۰ فوریه ۲۰۲۵ ساعت ۲۲:۲۱:۵۷ ثبت کرده؛ یعنی فقط چند ساعت قبل از این سرقت بزرگ، از طرفی WHOIS نشون میده که این دامنه با یه ایمیل مشکوک ثبت شده: "trevorgreer9312@gmail.com" که قبلاً هم به عنوان یه اکانت فیک مرتبط با لازاروس توی حمله دیگه‌ای به اسم "Contagious Interview" شناخته شده بود.

به نظر میاد که سرقت Bybit کار گروه TraderTraitor (همون Jade Sleet و Slow Pisces) بوده، در حالی که اون کلاه‌برداری با مصاحبه‌های فیک مربوط به یه گروه دیگه از کره شمالیه که با اسم‌های Contagious Interview و Famous Chollima شناخته میشه ،این گروه معمولاً قربانی‌ها رو از طریق لینکدین پیدا میکنه، با پیشنهادهای کاری قلابی به دام میندازه و توی مصاحبه‌ های فیک، بدافزار رو روی سیستم قربانی نصب میکنه یا اطلاعات ورودشون رو سرقت میکنه تا به دارایی‌های مالی و شرکتی دسترسی پیدا کنه.

حمله‌ ای که وای‌ فای رو با دقت بالا از کار میندازه...

توی یه تحقیق جدید درباره‌ امنیت شبکه‌ های بی‌ سیم، یه روش خیلی خفن برای از کار انداختن وای‌ فای کشف شده که میتونه با دقت میلی‌ متری فقط یه دستگاه خاص رو قطع کنه، بدون اینکه دستگاه‌ های اطرافش آسیب ببینن، این روش از یه تکنولوژی جدید به اسم RIS (سطح هوشمند بازپیکربندی‌ شونده) استفاده میکنه. این RIS در واقع یه صفحه پر از تکه‌ های فلزی خیلی ریزه که میتونن به‌صورت نرم‌افزاری تنظیم بشن. این صفحه‌ ها امواج الکترومغناطیسی رو جوری تغییر میدن که توی نقاط خاصی، امواج وای‌ فای رو قویتر یا ضعیف تر کنن.

توی آزمایش‌ ها، محقق‌ ها تونستن یه رزبری پای 4B که به یه مودم وای‌فای ۶ وصل بود رو از کار بندازن، ولی یه دستگاه دقیقاً مشابه که فقط ۵ میلی‌متر اون‌طرف‌ تر بود، هیچ مشکلی پیدا نکرد، این یعنی دقت این روش هزار برابر بیشتر از جمرهای معمولیه که با آنتن‌ های همه‌ جهته کار میکنن.

چطور انجام میشه ؟
1. شنود و تحلیل کانال ارتباطی
شخص مخرب اول، امواج وای‌ فای دستگاه هدف رو شنود میکنه (مثلاً از پینگ‌ های وای‌ فای استفاده میکنه) تا بفهمه که وضعیت امواج چجوریه. این داده‌ ها اطلاعاتی درباره‌ کانال ارتباطی (CSI) میدن.

2. محاسبه‌ی تنظیمات RIS برای حمله
با یه الگوریتم هوشمند که بهش الگوریتم "ژنتیکی حریصانه" میگن، RIS یه سری تنظیمات خاص پیدا میکنه که باعث میشه نسبت قدرت جَمینگ به سیگنال (JSR) روی دستگاه هدف به حداکثر برسه ولی روی بقیه‌ دستگاه‌ها تأثیر زیادی نذاره.

3. اجرای جَمینگ فعال
وقتی RIS تنظیم شد، هکر یه سیگنال وای‌ فای ۵ گیگاهرتزی (با پهنای باند ۲۰ مگاهرتز) میفرسته.
این RIS این سیگنال رو جوری بازتاب میده که روی دستگاه هدف، تداخل مخرب درست کنه (یعنی امواج رو هم‌ پوشانی بده و سیگنال رو نابود کنه) ولی توی بقیه‌ جاها، امواجو جوری تغییر بده که تاثیری نذارن.

حمله به چند هدف همزمان هم میتونه انجام بشه طوری که این سیستم توی تست‌ های میدانی تونسته ۴ تا دستگاه مختلف رو با هم مختل کنه بدون اینکه بقیه‌ دستگاه‌ها دچار مشکل بشن.

پایداری حمله اینطوره که بعد از تنظیم و بهینه‌سازی، این حمله تا ۲۴ ساعت بدون افت کیفیت کار میکنه، البته اگه کسی توی فاصله‌ ۱ متری راه بره، تأثیر حمله روی دستگاه‌های غیرهدف تا ۶ دسی‌ بل کم میشه.

هیچ سیستم رمزنگاری‌ ای جلودارش نیست و این حمله کاملاً در لایه‌ فیزیکی شبکه انجام میشه، یعنی رمزنگاری و پروتکل‌ های امنیتی هیچ تأثیری روی جلوگیری ازش ندارن.

اهدافی که میتونیم توی این حمله درنظر بگیریم شامل کارخونه‌های هوشمند متونه باشه مثلا بعضی عملگرهای خاص توی خط تولید رو میشه از کار انداخت، بدون اینکه کل سیستم امنیتی کارخونه فعال بشه یا مثلا توی بیمارستان‌ ها مثلاً میشه روی دستگاه‌ های پزشکی (مثل پمپ تزریق دارو) جَمینگ انداخت، ولی بقیه‌ تجهیزات مثل مانیتورهای بیمار دست‌ نخورده بمونن یا خونه های هوشمند دزدها قبلاً هم از جمر های ساده برای از کار انداختن دوربین‌ های امنیتی و آلارم‌ ها استفاده میکردن، ولی این روش خیلی دقیق‌ تر و حرفه‌ ای‌ تره.

از طرفی دستگاه‌هایی که از FDD (تقسیم فرکانسی دوطرفه) استفاده میکنن یا فرستنده و گیرنده‌ی جداگانه دارن، کمتر تحت تأثیر این حمله قرار میگیرن، یا دستگاه‌هایی که سیگنال ارسال نمیکنن، فقط تا ۱۳ دسی‌بل اثر میگیرن. نکته ای که هست اینه که روش‌های فعلی مثل مانیتورینگ RSSI یا تصادفی‌سازی آدرس MAC هیچ فایده‌ ای ندارن.

پس چجوری جلوی این حمله رو بگیریم؟
(Randomized Beamforming):
با تغییر تصادفی جهت امواج توی سیستم‌ های MIMO، میشه RIS رو گیج کرد و نذاشت حمله رو دقیق تنظیم کنه. یا مثلا استفاده از سخت‌افزارهای غیرمتقارن: سیستم‌هایی که FDD یا ایزولاتور بین فرستنده و گیرنده دارن، مقاومت بیشتری دارن. یا بیایم نظارت چندلایه‌ ای داشته باشیم حسگرهایی که ناهنجاری‌ های سیگنال رو شناسایی کنن، میتونن حمله رو تشخیص بدن.

دکتر آیدین سزگین که یکی از پیشگامای تکنولوژی RIS هست، میگه که هزینه‌ ساخت این سیستم‌ها فعلاً حدود ۷۵۰ یورو برای یه صفحه‌ی ۷۶۸ عنصریه، ولی با ورود 6G، این تکنولوژی ممکنه عمومی بشه و برای حمله‌ های سایبری استفاده بشه.

CVE-2025-21333
Windows Hyper-V Zero-Day
https://github.com/MrAle98/CVE-2025-21333-POC

محققای امنیت سایبری دارن هشدار میدن که یه کمپین مخرب جدید، اکوسیستم Go رو هدف گرفته. توی این حمله، یه سری پکیج با اسم‌ های شبیه به کتابخونه‌های معروف Go منتشر شدن که در واقع برای نصب یه بدافزار لودر روی سیستم‌های لینوکس و macOS طراحی شدن.

طبق گزارش «کیریل بوچنکو» از شرکت Socket، مهاجما حداقل هفت تا پکیج منتشر کردن که خودشونو جای کتابخونه‌های معروف Go جا زدن. یکی از این پکیجا (github.com/shallowmulti/hypert) به نظر می‌رسه که مخصوصاً توسعه‌ دهنده‌ های بخش مالی رو هدف گرفته.

"همه این پکیجا از یه الگوی مشخص برای نام‌گذاری فایلای مخرب و تکنیک‌های مبهم‌ سازی استفاده میکنن، که نشون میده یه گروه منسجم پشت این حملاته و میتونن خیلی سریع تغییر جهت بدن."

پکیجای آلوده که هنوز روی ریپازیتوری رسمی موجودن:

(البته به جز github.com/ornatedoctrin/layout که دیگه از گیت‌هاب حذف شده)

- shallowmulti/hypert - (github.com/shallowmulti/hypert)
- shadowybulk/hypert - (github.com/shadowybulk/hypert)
- belatedplanet/hypert - (github.com/belatedplanet/hypert)
- thankfulmai/hypert - (github.com/thankfulmai/hypert)
- vainreboot/layout - (github.com/vainreboot/layout)
- ornatedoctrin/layout - (github.com/ornatedoctrin/layout)
- utilizedsun/layout - (github.com/utilizedsun/layout)

تحلیل‌های Socket نشون میده که این پکیجای تقلبی، کد مخربی دارن که میتونه روی سیستم قربانی اجرای کد از راه دور (RCE) انجام بده. این کار از طریق اجرای یه دستور مخفی‌ شده در شل انجام میشه که یه اسکریپت از سرور alturastreet.icu دانلود و اجرا میکنه.

برای سخت‌ تر کردن شناسایی، اسکریپت مخرب بلافاصله اجرا نمیشه و حداقل یک ساعت تاخیر داره. هدف نهایی این حمله هم نصب و اجرای یه فایل اجرایی روی سیستم قربانیه که میتونه داده‌ها یا اطلاعات لاگین کاربر رو بدزده.

این افشاگری درست یک ماه بعد از گزارش قبلی Socket انجام شده که یه حمله زنجیره تأمین نرم‌افزار مشابه رو توی اکوسیستم Go کشف کرده بود. اون حمله هم از یه پکیج مخرب برای گرفتن دسترسی از راه دور به سیستم‌های آلوده استفاده میکرد.

بوچنکو توی گزارشش نوشته:
"استفاده مکرر از همون اسم فایل‌ها، تکنیک‌های مبهم‌ سازی رشته‌ای با آرایه، و تاخیر در اجرا، به وضوح نشون میده که این یه گروه مهاجم هماهنگه که برنامه داره برای مدت طولانی توی این فضا بمونه و خودش رو با شرایط وفق بده."

"وجود چندین پکیج مخرب با نام hypert و layout همراه با دامنه‌های جایگزین، نشون میده که مهاجما یه زیرساخت طولانی‌ مدت طراحی کردن که هر وقت یه دامنه یا ریپازیتوری بلاک یا حذف بشه، سریع میتونن به یه جای دیگه منتقل بشن."

محققای امنیت سایبری یه پکیج مخرب توی مخزن PyPI کشف کردن که میتونه کلید خصوصی اتریوم قربانی رو بدزده. این پکیج خودش رو جای کتابخونه‌ های معروف جا زده تا کسی بهش شک نکنه.

اسم این پکیج set-utils بوده و تا حالا ۱۰۷۷ بار دانلود شده ، ولی دیگه از مخزن رسمی پاک شده و قابل دانلود نیست.

طبق گفته‌های شرکت امنیتی Socket، این پکیج به عنوان یه ابزار ساده برای کار با مجموعه‌های پایتون ظاهر شده، اما در واقع تلاش میکرده خودش رو جای کتابخونه‌ های معروفی مثل python-utils (با بیش از ۷۱۲ میلیون دانلود) و utils (با ۲۳.۵ میلیون دانلود) جا بزنه.

این کار باعث میشده که برنامه‌ نویسای بیخبر از همه‌ جا این پکیج آلوده رو نصب کنن و در نتیجه، مهاجما بتونن به کیف پول‌ های اتریومشون دسترسی پیدا کنن.

تمرکز اصلی این پکیج روی توسعه‌ دهنده‌ های اتریوم و شرکت‌هایی بوده که با برنامه‌ های بلاکچینی مبتنی بر پایتون کار میکنن، مخصوصاً کتابخونه‌های مدیریت کیف پول مثل eth-account .

این بدافزار نه‌ تنها کلید عمومی RSA مهاجم رو برای رمزگذاری اطلاعات دزدیده‌ شده توی خودش داشته، بلکه یه حساب اتریومی هم برای ارسال اطلاعات به مهاجم توی کدش قرار داده بوده.

این پکیج وقتی که کاربر یه کیف پول جدید میساخته (مثلاً با توابع from_key() و from_mnemonic() )، کلید خصوصی رو میدزدیده و از طریق تراکنش‌ های بلاکچینی، اطلاعات رو به مهاجم ارسال میکرده.

به جای استفاده از درخواست‌ های HTTP (که معمولاً تحت نظر قرار میگیرن)، این بدافزار از RPC شبکه Polygon برای فرستادن کلیدهای خصوصی استفاده میکرده تا شناسایی شدنش سخت‌تر بشه.

به گفته Socket ، این روش باعث میشده که حتی اگه یه کاربر کیف پولش رو با موفقیت بسازه، کلید خصوصیش همون لحظه دزدیده بشه و بره دست مهاجم.

از طرفی، این تابع مخرب توی یه ترد بک گراند اجرا میشده که باعث میشده شناساییش حتی سخت‌ تر هم بشه.

از شهریور ۲۰۲۴ یه کمپین جدید توی خاورمیانه و شمال آفریقا راه افتاده که یه نسخه تغییر یافته از بدافزار معروف AsyncRAT رو پخش میکنه.

محققای امنیتی شرکت Positive Technologies میگن که این حمله از شبکه‌های اجتماعی برای پخش بدافزار استفاده میکنه و به نظر میاد که با شرایط ژئوپلیتیکی منطقه ارتباط داره. مهاجما فایل‌ های آلوده رو توی سرویس‌ های اشتراک‌ گذاری فایل یا کانال‌های تلگرامی مخصوص خودشون آپلود میکنن و از اونجا پخش میکنن.

تا پاییز ۲۰۲۴، حدود ۹۰۰ نفر قربانی این بدافزار شدن که نشون میده چقدر گسترده بوده. بیشتر قربانی‌ ها توی کشورای لیبی، عربستان، مصر، ترکیه، امارات، قطر و تونس هستن.

محققای امنیتی این حمله رو به یه گروهی به اسم Desert Dexter نسبت دادن و اولین بار توی فوریه ۲۰۲۵ متوجه فعالیتش شدن.

این Desert Dexter یه سری اکانت فیک و کانال خبری موقتی توی فیسبوک میسازه و توی این صفحات تبلیغاتی با لینک به فایل‌ های آلوده رو منتشر میکنه. این لینک‌ ها کاربرا رو به یه نسخه از AsyncRAT میکشونه که یه سری ویژگی‌های جدید بهش اضافه شده، مثل:
- یه کی‌ لاگر آفلاین برای ثبت کلید های فشرده‌ شده روی کیبورد
- اسکن کردن ۱۶ تا کیف پول رمزارز و برنامه‌ های مرتبط
- ارتباط مستقیم با یه بات تلگرامی برای ارسال اطلاعات دزدیده‌ شده

همه‌ چی از یه فایل RAR آلوده شروع میشه که داخلش یه اسکریپت Batch یا JavaScript هست. این اسکریپت‌ ها وقتی اجرا بشن، یه کد PowerShell رو راه میندازن که مرحله بعدی حمله رو شروع میکنه.

بدافزار توی این مرحله:
- فرآیند های مربوط به سرویس‌های .NET که ممکنه جلوی اجراش رو بگیرن، میبنده
- فایل‌های BAT، PS1 و VBS** رو از مسیرهای C:\ProgramData\WindowsHost و C:\Users\Public حذف میکنه
- توی C:\ProgramData\WindowsHost یه فایل VBS جدید و توی C: Users\Public چندتا فایل BAT و PS1 میسازه
- روی سیستم یه مکانیزم پایداری ایجاد میکنه که با هر بار ری‌ استارت شدن سیستم، دوباره اجرا بشه
- اطلاعات سیستم قربانی رو جمع‌آوری میکنه و به بات تلگرامی مهاجم میفرسته
- یه اسکرین‌ شات از دسکتاپ قربانی میگیره
- در نهایت، AsyncRAT رو اجرا میکنه و اونو داخل فایل اجرایی aspnet_compiler.exe تزریق میکنه

فعلاً مشخص نیست که چه کسی دقیقاً پشت این حملاته، اما یه سری کامنت‌های عربی توی فایل‌های JavaScript نشون میدن که ممکنه از کشورهای عربی باشن.

علاوه بر این، محققای امنیتی اسکرین‌ شات‌ هایی از دسکتاپ خود مهاجم پیدا کردن که توش یه فایل PowerShell مخرب و ابزار Luminosity Link RAT دیده میشه. توی همون اطلاعات، یه لینک به کانال تلگرامی "dexterlyly" هم پیدا شده که به نظر میاد مهاجم اهل لیبی باشه. این کانال تلگرامی توی ۵ اکتبر ۲۰۲۴ ساخته شده.

اکثر قربانی‌ های این حمله کاربرای عادی بودن، ولی در کنارش کارمندای بخش‌ های مختلف مثل صنعت نفت، ساختمان‌سازی، فناوری اطلاعات و کشاورزی هم آسیب دیدن.

محققای امنیتی میگن که ابزارهای استفاده‌ شده توسط Desert Dexter خیلی پیشرفته نیستن، اما ترکیب تبلیغات فیسبوک، استفاده از سرویس‌ های معتبر برای دانلود بدافزار و سوءاستفاده از شرایط سیاسی منطقه باعث شده تعداد زیادی از کاربرا آلوده بشن.

این ماجرا در حالی اتفاق افتاده که شرکت QiAnXin هم یه کمپین فیشینگ هدفمند به اسم Operation Sea Elephant رو کشف کرده که مراکز تحقیقاتی علمی چین رو هدف گرفته. هدف این حمله، نصب یه درب پشتی برای دزدیدن اطلاعات حساس مرتبط با علوم و فناوری‌های دریایی بوده.

محققای امنیتی این حمله رو به یه گروه تهدید به اسم UTG-Q-011 نسبت دادن که یه زیرمجموعه از گروه CNC محسوب میشه. گفته میشه که CNC شباهت‌هایی به گروه Patchwork (که احتمالاً از هند باشن) داره.

چند وقت پیش، بعد از اینکه Tarlogic اعلام کرد که یه «بک دور» توی میکروکنترلرهای معروف ESP32 شرکت Espressif پیدا کرده، کلی سروصدا به پا شد. این مشکل توی بخش بلوتوث این چیپ‌ها بود و میتونست به هکرها اجازه بده کنترل زیادی روی سیستم داشته باشن. ولی همون‌طور که Xeno Kovah توضیح میده، این ادعاها زیادی بزرگ‌ نمایی شدن و اینکه بهش بگیم «بک دور» خیلی بیشتر از چیزی که واقعاً کشف شده، غلوآمیزه.

حالا اصل ماجرا چیه؟ محقق‌ ها یه سری دستورات مخصوص تولیدکننده (VSC) رو توی ROM عمومی ESP32 پیدا کردن. این دستورات از طریق رابط HCI بین نرم‌افزار و بخش فیزیکی بلوتوث رد و بدل میشن. این VSCها میتونن کارهایی مثل خوندن و نوشتن روی فریمور بلوتوث و ارسال پکت‌ های سطح پایین انجام بدن.

ولی یه چیزی که باید بدونیم اینه که VSCها توی همه کنترلرهای بلوتوث یه قابلیت استاندارد محسوب میشن و هر شرکت سازنده، یه سری از این دستورات رو برای استفاده توی SDK خودش پیاده‌سازی میکنه. این دستورات معمولاً برای آپدیت فریمور، گزارش دما و دیباگ استفاده میشن و معمولاً هم مستند هستن (به جز Broadcom که یه کم مرموزه).

در واقع، Xeno میگه که VSCها یه ویژگی استاندارد توی کنترلرهای بلوتوث هستن و مثل خیلی از قابلیت‌های دیگه، میتونن سوءاستفاده بشن. بعد از این جنجال‌ها، Tarlogic مقاله‌ اش رو آپدیت کرد و گفت که به‌ جای «بک دور»، بهتره بهش بگیم «ویژگی مخفی». با این حال، اگه این VSCها توی چیپ‌ های ESP32 یه تهدید امنیتی حساب بشن، پس همون‌ طور که Xeno اشاره میکنه، میلیون‌ها کنترلر بلوتوث از شرکت‌هایی مثل Texas Instruments و Broadcom که همین قابلیت رو دارن، هم باید یه تهدید امنیتی باشن.