دو تا باگ امنیتی توی OpenSSH پیدا شده که اگه یه هکر بتونه ازشون سوء استفاده کنه، میتونه یا یه حمله Man-in-the-Middle (MitM) انجام بده (یعنی خودش رو جای سرور جا بزنه و اطلاعات شما رو ببینه و دستکاری کنه) یا یه حمله Denial-of-Service (DoS) که باعث بشه سرور کلاً از کار بیفته و کسی نتونه بهش وصل بشه.

جزییات این دو تا باگ رو تیم Qualys Threat Research Unit (TRU) منتشر کرده:

CVE-2025-26465:
این باگ توی کلاینت OpenSSH از نسخه 6.8p1 تا 9.9p1 وجود داره. اگه گزینه VerifyHostKeyDNS فعال باشه، یه هکر میتونه خودش رو جای سرور اصلی جا بزنه و وقتی کاربر میخواد وصل بشه، کلاینت OpenSSH، کلید جعلی اون هکر رو به‌ جای کلید واقعی سرور قبول میکنه، این مشکل از دسامبر ۲۰۱۴ به بعد توی OpenSSH بوده.

CVE-2025-26466:
این یکی توی کلاینت و سرور OpenSSH از نسخه 9.5p1 تا 9.9p1 وجود داره. مشکل اینجاست که قبل از احراز هویت (pre-authentication)، میشه سرور رو با مصرف زیاد رم و پردازنده از کار انداخت. این باگ از آگوست ۲۰۲۳ اضافه شده.

یکی از محققای Qualys، سعید عباسی، درباره این مشکل گفته:
"اگه یه هکر بتونه حمله MitM رو از طریق CVE-2025-26465 انجام بده، کلاینت ممکنه کلید اون هکر رو به‌جای کلید واقعی سرور قبول کنه."
یعنی در واقع، امنیت و یکپارچگی اتصال SSH از بین میره و مهاجم میتونه کل جلسه SSH رو شنود کنه، تغییر بده یا حتی به داده‌ های حساس دسترسی پیدا کنه. البته به‌صورت پیش‌فرض گزینه VerifyHostKeyDNS غیرفعاله که یه مقدار ریسک این حمله رو کمتر میکنه.

اما از اون طرف، CVE-2025-26466 هم اگه مدام مورد سوء استفاده قرار بگیره، باعث میشه سرور کلاً در دسترس نباشه، ادمین‌ها نتونن مدیریتش کنن و کاربرای عادی هم قفل بشن بیرون، که یعنی کل سیستم دچار مشکل میشه.

هر دو تا مشکل توی نسخه OpenSSH 9.9p2 که امروز منتشر شده، برطرف شدن.

این افشاگری حدود هفت ماه بعد از یه باگ خطرناک دیگه توی OpenSSH به اسم regreSSHion (CVE-2024-6387) اومده که میتونست باعث اجرای کد از راه دور با دسترسی روت روی سیستم‌های لینوکسی مبتنی بر glibc بشه.

هکر های چینی یه روش جدید برای مخفی شدن و کنترل سیستم‌های آلوده پیدا کردن.

گروه Mustang Panda، که توسط دولت چین حمایت میشه، از یه ترفند جالب استفاده میکنه تا آنتی‌ویروس‌ ها رو دور بزنه و حضور خودش رو توی سیستم‌های قربانی حفظ کنه.

اینا از یه ابزار کاملاً قانونی ویندوزی به اسم Microsoft Application Virtualization Injector (MAVInject.exe) استفاده میکنن که در اصل برای اجرای برنامه‌ های مجازی‌ سازی‌ شده به کار میره. اما این گروه اومده و از این قابلیت سوء استفاده کرده تا کد مخرب خودش رو تزریق کنه به یه فرآیند خارجی به اسم waitfor.exe.

نکته‌ی مهم:

اگه آنتی‌ویروس ESET روی سیستم قربانی فعال باشه، این بدافزار این روش رو اجرا میکنه تا شناسایی نشه.

چندین فایل مختلف روی سیستم میریزن که شامل برنامه‌های قانونی و فایل‌های مخرب هست.
یه PDF تقلبی هم همراهش هست که نقش طعمه رو داره تا توجه قربانی رو جلب کنه.

از یه نرم‌افزار نصب‌ کننده به اسم Setup Factory استفاده میکنن که در اصل برای ساختن نصاب برنامه‌های ویندوزی هست، اما اینجا برای اجرای فایل مخرب به کار میره!

شروع حمله از یه فایل اجرایی به اسم IRSetup.exe هست که چندین فایل دیگه رو هم روی سیستم قربانی میریزه. این فایل ظاهراً کاربرای تایلندی رو هدف گرفته که نشون میده احتمالاً حملات از طریق ایمیل‌ های فیشینگ هدفمند انجام میشه.

بعد از اجرا شدن، این بدافزار یه برنامه‌ قانونی مربوط به کمپانی Electronic Arts (EA) به اسم OriginLegacyCLI.exe رو اجرا میکنه و از طریق اون یه فایل DLL آلوده شده به اسم EACore.dll رو بارگذاری میکنه.

این DLL در واقع یه نسخه تغییر یافته از یه بدافزار مخفی به اسم TONESHELL هست که قبلاً هم توسط هکرهای چینی استفاده شده.

این بدافزار وقتی روی سیستم اجرا میشه، اول چک میکنه ببینه دو تا فرآیند مربوط به آنتی‌ ویروس ESET فعال هستن یا نه:
ekrn.exe
egui.exe

اگه این فرآیندها فعال باشن، بدافزار waitfor.exe رو اجرا میکنه و بعدش از MAVInject.exe استفاده میکنه تا بدون اینکه شناسایی بشه، کد مخربش رو داخل این فرآیند تزریق کنه.

محققای امنیتی میگن که احتمالش زیاده که هکرها این حمله رو اول روی سیستم‌ هایی که ESET داشتن تست کرده باشن و بعد اومدن MAVInject.exe رو برای دور زدنش استفاده کردن.

بعد از اینکه کد مخرب اجرا شد، بدافزار یه شل‌کد رمزگذاری‌ شده رو رمزگشایی میکنه که بهش اجازه میده با یه سرور کنترل از راه دور ارتباط برقرار کنه:
www.militarytc.com:443
از طریق این سرور، هکرها میتون دستورات جدید به سیستم قربانی بفرستن یه شل معکوس (Reverse Shell) راه بندازن تا کنترل کامل روی سیستم داشته باشن فایل‌ ها رو جا‌بجا کنن فایل‌ها رو پاک کنن برای رد گم کردن

یه کمپین مخرب راه افتاده که داره بدافزار XLoader رو پخش میکنه و از یه ترفند به نام DLL Side-Loading استفاده میکنه. این یعنی یه نرم‌افزار قانونی رو دستکاری میکنن و ازش برای اجرای بدافزار بهره میبرن.

یه سریا اومدن و از یه برنامه قانونی به اسم jarsigner سوء استفاده کردن. این برنامه یه ابزار برای امضای فایل‌های JAR (Java Archive) هست که همراه با پکیج IDE توزیع‌شده توسط Eclipse Foundation نصب میشه.

این بدافزار توی یه فایل فشرده ZIP قرار داره که شامل این چیزاست:
1. Documents2012.exe (در اصل همون jarsigner.exe که اسمش عوض شده)
2. jli.dll (یه DLL دستکاری‌ شده که وظیفه داره بدافزار رو رمزگشایی و اجرا کنه)
3. concrt140e.dll (که همون XLoader هست)

وقتی قربانی Documents2012.exe رو اجرا کنه، این فایل میاد و jli.dll رو صدا میزنه که اونم به نوبه خودش XLoader رو بارگذاری میکنه.

این بدافزار اطلاعات حساس مثل اطلاعات کامپیوتر قربانی و مرورگرش رو میدزده و کارایی مثل دانلود کردن بدافزارهای دیگه رو هم انجام میده.

این بدافزار در واقع جانشین Formbook هست و اولین بار سال ۲۰۲۰ شناسایی شد. و به‌ صورت MaaS (Malware-as-a-Service) فروخته میشه، یعنی هر کسی میتونه این بدافزار رو بخره و استفاده کنه. جالب اینجاست که حتی نسخه مک هم داره و توی ۲۰۲۳ یه ورژن جعلی از Microsoft Office هم ازش پیدا شده.

نسخه‌های ۶ و ۷ XLoader با لایه‌های اضافی رمزگذاری و پنهان‌کاری ساخته شدن تا از شناسایی شدن جلوگیری کنن و کار مهندسی معکوس رو سخت‌تر کنن. محققان Zscaler هم گفتن که XLoader تکنیک‌هایی داره که قبلاً توی بدافزار SmokeLoader دیده شده بود، مثل رمزگذاری بخش‌هایی از کد در زمان اجرا و دور زدن NTDLL Hook.

از طرفی XLoader از لیست‌های تقلبی از پیش‌تعریف‌شده استفاده میکنه تا ترافیک واقعی ارتباطش با سرورهای فرماندهی (C2) رو با ترافیک سایت‌های واقعی ترکیب کنه. این کار باعث میشه شناسایی بشدت سخت بشه، چون به نظر میرسه ترافیکش کاملاً عادیه.

این تکنیک رو گروه SmartApeSG (ZPHP یا HANEYMANEY) هم برای پخش بدافزار NetSupport RAT استفاده کرده بودن. اونا از سایت‌های آلوده‌شده با اسکریپت‌های JavaScript سوءاستفاده کردن تا StealC stealer رو روی سیستم قربانی بریزن.

علاوه بر اینا، گروه Zscaler دو تا بدافزار جدید به اسم‌های NodeLoader و RiseLoader رو بررسی کرده که برای پخش انواع مختلفی از بدافزارها مثل Vidar، Lumma، Phemedrone، XMRig، Socks5Systemz استفاده میشن.

و RiseLoader و RisePro از یه روش ارتباطی مشابه استفاده میکنن که نشون میده احتمالاً یه گروه پشت هر دوتای این بدافزارهاست.

خلاصه، این روزا بدافزارا خیلی هوشمند شدن و ترکیبی از روش‌های مختلف رو برای پنهان کردن ردپای خودشون استفاده میکنن.

صرافی ارز دیجیتال Bybit روز جمعه اعلام کرد که یه حمله خیلی پیچیده باعث شد بیش از ۱.۴۶ میلیارد دلار ارز دیجیتال از یکی از کیف پول‌های سرد (آفلاین) اتریوم این شرکت دزدیده بشه، این بزرگ‌ترین سرقت تاریخ کریپتوئه...

از طرفی Bybit توی یه پست توییتر (X) گفت:
"این اتفاق وقتی افتاد که کیف پول سرد چند امضایی ما، مقداری ETH رو به کیف پول گرممون منتقل کرد. متأسفانه، این تراکنش از طریق یه حمله خیلی حرفه‌ای دستکاری شد. این حمله باعث شد که توی صفحه امضای تراکنش، آدرس درست نمایش داده بشه، ولی در پشت پرده منطق قرارداد هوشمند تغییر کنه و در نتیجه، هکر کنترل این کیف پول رو به دست آورد و همه دارایی‌هاش رو به یه آدرس ناشناس فرستاد. "

مدیرعامل Bybit، بن ژو، توی یه بیانیه دیگه گفت که بقیه کیف پول‌های سرد امن هستن و این موضوع به مراجع قانونی گزارش شده.

با اینکه خود Bybit هنوز تأیید رسمی نکرده، ولی شرکت‌های Elliptic و Arkham Intelligence اعلام کردن که این سرقت کار گروه لازاروس (Lazarus Group) بوده. این سرقت، از همه هک‌ های قبلی بزرگتره، حتی از:
- حمله به Ronin Network (۶۲۴ میلیون دلار)
- حمله به Poly Network (۶۱۱ میلیون دلار)
- حمله به BNB Bridge (۵۸۶ میلیون دلار)


و ZachXBT، یه محقق مستقل، گفته که این حمله با هک اخیر Phemex که ماه پیش اتفاق افتاد، به هم مرتبطه.

گروه لازاروس یه تیم هکری حرفه‌ای وابسته به کره شمالی هست که بارها و بارها صرافی‌ های کریپتو رو هک کرده تا واسه این کشور تحریم‌شده درآمد غیرقانونی جور کنه. سال پیش، گوگل حتی کره شمالی رو "احتمالاً بزرگ‌ترین باند جرائم سایبری دنیا" معرفی کرد.

تو سال ۲۰۲۴، گروه لازاروس حدود ۱.۳۴ میلیارد دلار از ۴۷ هک مختلف دزدیده، این یعنی ۶۱٪ از کل ارزهای دیجیتال دزدیده‌شده توی اون سال.

شرکت امنیت سایبری Mandiant (زیرمجموعه گوگل) ماه پیش گفت که سرقت‌های کریپتو روز به روز بیشتر میشن، چون:
۱. جایزه‌های وسوسه‌انگیزی دارن.
۲. سخت میشه فهمید دقیقاً کی پشت حمله‌ هاست .
۳. خیلی از شرکت‌ها هنوز با دنیای کریپتو و Web3 آشنایی کامل ندارن.

پیشاپیش سال نوتون مبارک ولی واقعا اینقدر...؟
#freeman

تکمیلی :
و اما توی یه خبر FBI آمریکا رسماً تأیید کرده که گروه‌ های هکری کره شمالی پشت هک ۱.۵ میلیارد دلاری صرافی Bybit بودن. مدیرعامل این صرافی، بن ژو، هم اعلام کرده که وارد "جنگ با لازاروس" شده.

از طرفی FBI گفته که کره شمالی مسئول دزدیدن این ارزهای دیجیتال بوده و این حمله رو به گروهی به اسم TraderTraitor نسبت داده که با اسم‌های دیگه‌ای مثل Jade Sleet، Slow Pisces و UNC4899 هم شناخته میشه.

طبق اعلام FBI، این هکرها خیلی سریع دست به کار شدن و بخشی از پول‌های دزدیده‌ شده رو به بیت‌کوین و ارزهای دیجیتال دیگه تبدیل کردن و حالا این پول‌ها تو هزاران کیف پول مختلف روی چندین بلاک‌چین پخش شده. انتظار میره که این دارایی‌ها شسته‌ رفته بشن و در نهایت تبدیل به پول نقد بشن، این گروه قبلاً هم توسط مقامات ژاپنی و آمریکایی متهم شده بود که در مه ۲۰۲۴، چیزی حدود ۳۰۸ میلیون دلار از صرافی DMM Bitcoin دزدیده.

این گروه معمولاً شرکت‌های فعال در حوزه Web3 رو هدف قرار میده. روش کارشون هم اینه که قربانی‌ها رو با اپلیکیشن‌ های آلوده به بدافزار گول میزنن و ارزهاشون رو میدزدن. گاهی هم با پیشنهادات شغلی فیک، مهندسی اجتماعی انجام میدن و از طریق پکیج‌ های npm مخرب به سیستم‌ها نفوذ میکنن.

تو همین حین، Bybit یه برنامه جایزه (bounty) راه انداخته تا شاید بتونه بخشی از پول‌های دزدیده‌شده رو برگردونه. اما همزمان یه صرافی دیگه به اسم eXch رو هم به خاطر همکاری نکردن توی تحقیقات و کمک نکردن به مسدودسازی دارایی‌های دزدیده‌ شده، زیر سوال برده.

و Bybit گفته که این پول‌های دزدیده‌ شده به جاهایی منتقل شدن که قابل ردگیری یا مسدودسازی نیستن، مثل صرافی‌ها، میکسرها یا پل‌های بلاک‌چینی. یا حتی به استیبل‌کوین‌هایی تبدیل شدن که میشه اون‌ ها رو فریز کرد. برای همین، از همه طرف‌ های درگیر خواسته که یا پول‌ها رو فریز کنن یا درباره مسیر حرکتشون اطلاعات بدن تا بشه ردیابی رو ادامه داد، این شرکت که مقرش تو دبیه، نتیجه دو تا تحقیق انجام‌شده توسط شرکت‌های Sygnia و Verichains رو منتشر کرده که حمله رو به گروه لازاروس ربط میدن.

طبق گزارش Sygnia، بررسی سیستم‌ های سرور نشون داده که ریشه حمله، کدهای مخربیه که از زیرساخت Safe{Wallet} اومده، Verichains هم گفته که یه فایل جاوااسکریپت سالم توی وبسایت app.safe.global توی تاریخ ۱۹ فوریه ۲۰۲۵ ساعت ۱۵:۲۹:۲۵ UTC با یه کد مخرب جایگزین شده. این حمله دقیقاً برای هدف قرار دادن کیف پول سرد چندامضایی اتریومِ Bybit طراحی شده بود و درست توی زمان انجام اولین تراکنش بعدی Bybit توی ۲۱ فوریه ۲۰۲۵ ساعت ۱۴:۱۳:۳۵ UTC فعال شد.

به احتمال زیاد، کلیدهای API یا حساب AWS S3 و CloudFront سرویس Safe.Global لو رفته یا هک شده که باعث شده این حمله زنجیره تأمین (Supply Chain Attack) اتفاق بیفته، از طرف دیگه، Safe{Wallet} هم اعلام کرده که این حمله از طریق آلوده شدن یکی از سیستم‌های توسعه‌ دهنده‌ های خودشون انجام شده که روی حسابی که Bybit ازش استفاده میکرد تأثیر گذاشته. برای جلوگیری از چنین حملاتی هم اقدامات امنیتی جدیدی اضافه کردن.

این حمله اینجوری انجام شده که هکرها سیستم یه توسعه‌دهنده از Safe{Wallet} رو آلوده کردن و بعدش یه تراکنش مخرب رو طوری جا زدن که عادی به نظر بیاد. لازاروس که یه گروه هکری تحت حمایت دولت کره شمالیه، تخصصش حملات پیچیده‌ مهندسی اجتماعی روی اعتبارنامه‌ های توسعه‌ دهنده‌ هاست و گاهی این حملات رو با اکسپلویت‌ های روز صفر (Zero-day) ترکیب میکنه.

فعلاً معلوم نیست که سیستم اون توسعه‌ دهنده چجوری هک شده، ولی طبق یه تحلیل جدید از Silent Push، گروه لازاروس یه دامنه به اسم bybit-assessment.com رو تو ۲۰ فوریه ۲۰۲۵ ساعت ۲۲:۲۱:۵۷ ثبت کرده؛ یعنی فقط چند ساعت قبل از این سرقت بزرگ، از طرفی WHOIS نشون میده که این دامنه با یه ایمیل مشکوک ثبت شده: "trevorgreer9312@gmail.com" که قبلاً هم به عنوان یه اکانت فیک مرتبط با لازاروس توی حمله دیگه‌ای به اسم "Contagious Interview" شناخته شده بود.

به نظر میاد که سرقت Bybit کار گروه TraderTraitor (همون Jade Sleet و Slow Pisces) بوده، در حالی که اون کلاه‌برداری با مصاحبه‌های فیک مربوط به یه گروه دیگه از کره شمالیه که با اسم‌های Contagious Interview و Famous Chollima شناخته میشه ،این گروه معمولاً قربانی‌ها رو از طریق لینکدین پیدا میکنه، با پیشنهادهای کاری قلابی به دام میندازه و توی مصاحبه‌ های فیک، بدافزار رو روی سیستم قربانی نصب میکنه یا اطلاعات ورودشون رو سرقت میکنه تا به دارایی‌های مالی و شرکتی دسترسی پیدا کنه.

حمله‌ ای که وای‌ فای رو با دقت بالا از کار میندازه...

توی یه تحقیق جدید درباره‌ امنیت شبکه‌ های بی‌ سیم، یه روش خیلی خفن برای از کار انداختن وای‌ فای کشف شده که میتونه با دقت میلی‌ متری فقط یه دستگاه خاص رو قطع کنه، بدون اینکه دستگاه‌ های اطرافش آسیب ببینن، این روش از یه تکنولوژی جدید به اسم RIS (سطح هوشمند بازپیکربندی‌ شونده) استفاده میکنه. این RIS در واقع یه صفحه پر از تکه‌ های فلزی خیلی ریزه که میتونن به‌صورت نرم‌افزاری تنظیم بشن. این صفحه‌ ها امواج الکترومغناطیسی رو جوری تغییر میدن که توی نقاط خاصی، امواج وای‌ فای رو قویتر یا ضعیف تر کنن.

توی آزمایش‌ ها، محقق‌ ها تونستن یه رزبری پای 4B که به یه مودم وای‌فای ۶ وصل بود رو از کار بندازن، ولی یه دستگاه دقیقاً مشابه که فقط ۵ میلی‌متر اون‌طرف‌ تر بود، هیچ مشکلی پیدا نکرد، این یعنی دقت این روش هزار برابر بیشتر از جمرهای معمولیه که با آنتن‌ های همه‌ جهته کار میکنن.

چطور انجام میشه ؟
1. شنود و تحلیل کانال ارتباطی
شخص مخرب اول، امواج وای‌ فای دستگاه هدف رو شنود میکنه (مثلاً از پینگ‌ های وای‌ فای استفاده میکنه) تا بفهمه که وضعیت امواج چجوریه. این داده‌ ها اطلاعاتی درباره‌ کانال ارتباطی (CSI) میدن.

2. محاسبه‌ی تنظیمات RIS برای حمله
با یه الگوریتم هوشمند که بهش الگوریتم "ژنتیکی حریصانه" میگن، RIS یه سری تنظیمات خاص پیدا میکنه که باعث میشه نسبت قدرت جَمینگ به سیگنال (JSR) روی دستگاه هدف به حداکثر برسه ولی روی بقیه‌ دستگاه‌ها تأثیر زیادی نذاره.

3. اجرای جَمینگ فعال
وقتی RIS تنظیم شد، هکر یه سیگنال وای‌ فای ۵ گیگاهرتزی (با پهنای باند ۲۰ مگاهرتز) میفرسته.
این RIS این سیگنال رو جوری بازتاب میده که روی دستگاه هدف، تداخل مخرب درست کنه (یعنی امواج رو هم‌ پوشانی بده و سیگنال رو نابود کنه) ولی توی بقیه‌ جاها، امواجو جوری تغییر بده که تاثیری نذارن.

حمله به چند هدف همزمان هم میتونه انجام بشه طوری که این سیستم توی تست‌ های میدانی تونسته ۴ تا دستگاه مختلف رو با هم مختل کنه بدون اینکه بقیه‌ دستگاه‌ها دچار مشکل بشن.

پایداری حمله اینطوره که بعد از تنظیم و بهینه‌سازی، این حمله تا ۲۴ ساعت بدون افت کیفیت کار میکنه، البته اگه کسی توی فاصله‌ ۱ متری راه بره، تأثیر حمله روی دستگاه‌های غیرهدف تا ۶ دسی‌ بل کم میشه.

هیچ سیستم رمزنگاری‌ ای جلودارش نیست و این حمله کاملاً در لایه‌ فیزیکی شبکه انجام میشه، یعنی رمزنگاری و پروتکل‌ های امنیتی هیچ تأثیری روی جلوگیری ازش ندارن.

اهدافی که میتونیم توی این حمله درنظر بگیریم شامل کارخونه‌های هوشمند متونه باشه مثلا بعضی عملگرهای خاص توی خط تولید رو میشه از کار انداخت، بدون اینکه کل سیستم امنیتی کارخونه فعال بشه یا مثلا توی بیمارستان‌ ها مثلاً میشه روی دستگاه‌ های پزشکی (مثل پمپ تزریق دارو) جَمینگ انداخت، ولی بقیه‌ تجهیزات مثل مانیتورهای بیمار دست‌ نخورده بمونن یا خونه های هوشمند دزدها قبلاً هم از جمر های ساده برای از کار انداختن دوربین‌ های امنیتی و آلارم‌ ها استفاده میکردن، ولی این روش خیلی دقیق‌ تر و حرفه‌ ای‌ تره.

از طرفی دستگاه‌هایی که از FDD (تقسیم فرکانسی دوطرفه) استفاده میکنن یا فرستنده و گیرنده‌ی جداگانه دارن، کمتر تحت تأثیر این حمله قرار میگیرن، یا دستگاه‌هایی که سیگنال ارسال نمیکنن، فقط تا ۱۳ دسی‌بل اثر میگیرن. نکته ای که هست اینه که روش‌های فعلی مثل مانیتورینگ RSSI یا تصادفی‌سازی آدرس MAC هیچ فایده‌ ای ندارن.

پس چجوری جلوی این حمله رو بگیریم؟
(Randomized Beamforming):
با تغییر تصادفی جهت امواج توی سیستم‌ های MIMO، میشه RIS رو گیج کرد و نذاشت حمله رو دقیق تنظیم کنه. یا مثلا استفاده از سخت‌افزارهای غیرمتقارن: سیستم‌هایی که FDD یا ایزولاتور بین فرستنده و گیرنده دارن، مقاومت بیشتری دارن. یا بیایم نظارت چندلایه‌ ای داشته باشیم حسگرهایی که ناهنجاری‌ های سیگنال رو شناسایی کنن، میتونن حمله رو تشخیص بدن.

دکتر آیدین سزگین که یکی از پیشگامای تکنولوژی RIS هست، میگه که هزینه‌ ساخت این سیستم‌ها فعلاً حدود ۷۵۰ یورو برای یه صفحه‌ی ۷۶۸ عنصریه، ولی با ورود 6G، این تکنولوژی ممکنه عمومی بشه و برای حمله‌ های سایبری استفاده بشه.

CVE-2025-21333
Windows Hyper-V Zero-Day
https://github.com/MrAle98/CVE-2025-21333-POC

محققای امنیت سایبری دارن هشدار میدن که یه کمپین مخرب جدید، اکوسیستم Go رو هدف گرفته. توی این حمله، یه سری پکیج با اسم‌ های شبیه به کتابخونه‌های معروف Go منتشر شدن که در واقع برای نصب یه بدافزار لودر روی سیستم‌های لینوکس و macOS طراحی شدن.

طبق گزارش «کیریل بوچنکو» از شرکت Socket، مهاجما حداقل هفت تا پکیج منتشر کردن که خودشونو جای کتابخونه‌های معروف Go جا زدن. یکی از این پکیجا (github.com/shallowmulti/hypert) به نظر می‌رسه که مخصوصاً توسعه‌ دهنده‌ های بخش مالی رو هدف گرفته.

"همه این پکیجا از یه الگوی مشخص برای نام‌گذاری فایلای مخرب و تکنیک‌های مبهم‌ سازی استفاده میکنن، که نشون میده یه گروه منسجم پشت این حملاته و میتونن خیلی سریع تغییر جهت بدن."

پکیجای آلوده که هنوز روی ریپازیتوری رسمی موجودن:

(البته به جز github.com/ornatedoctrin/layout که دیگه از گیت‌هاب حذف شده)

- shallowmulti/hypert - (github.com/shallowmulti/hypert)
- shadowybulk/hypert - (github.com/shadowybulk/hypert)
- belatedplanet/hypert - (github.com/belatedplanet/hypert)
- thankfulmai/hypert - (github.com/thankfulmai/hypert)
- vainreboot/layout - (github.com/vainreboot/layout)
- ornatedoctrin/layout - (github.com/ornatedoctrin/layout)
- utilizedsun/layout - (github.com/utilizedsun/layout)

تحلیل‌های Socket نشون میده که این پکیجای تقلبی، کد مخربی دارن که میتونه روی سیستم قربانی اجرای کد از راه دور (RCE) انجام بده. این کار از طریق اجرای یه دستور مخفی‌ شده در شل انجام میشه که یه اسکریپت از سرور alturastreet.icu دانلود و اجرا میکنه.

برای سخت‌ تر کردن شناسایی، اسکریپت مخرب بلافاصله اجرا نمیشه و حداقل یک ساعت تاخیر داره. هدف نهایی این حمله هم نصب و اجرای یه فایل اجرایی روی سیستم قربانیه که میتونه داده‌ها یا اطلاعات لاگین کاربر رو بدزده.

این افشاگری درست یک ماه بعد از گزارش قبلی Socket انجام شده که یه حمله زنجیره تأمین نرم‌افزار مشابه رو توی اکوسیستم Go کشف کرده بود. اون حمله هم از یه پکیج مخرب برای گرفتن دسترسی از راه دور به سیستم‌های آلوده استفاده میکرد.

بوچنکو توی گزارشش نوشته:
"استفاده مکرر از همون اسم فایل‌ها، تکنیک‌های مبهم‌ سازی رشته‌ای با آرایه، و تاخیر در اجرا، به وضوح نشون میده که این یه گروه مهاجم هماهنگه که برنامه داره برای مدت طولانی توی این فضا بمونه و خودش رو با شرایط وفق بده."

"وجود چندین پکیج مخرب با نام hypert و layout همراه با دامنه‌های جایگزین، نشون میده که مهاجما یه زیرساخت طولانی‌ مدت طراحی کردن که هر وقت یه دامنه یا ریپازیتوری بلاک یا حذف بشه، سریع میتونن به یه جای دیگه منتقل بشن."

محققای امنیت سایبری یه پکیج مخرب توی مخزن PyPI کشف کردن که میتونه کلید خصوصی اتریوم قربانی رو بدزده. این پکیج خودش رو جای کتابخونه‌ های معروف جا زده تا کسی بهش شک نکنه.

اسم این پکیج set-utils بوده و تا حالا ۱۰۷۷ بار دانلود شده ، ولی دیگه از مخزن رسمی پاک شده و قابل دانلود نیست.

طبق گفته‌های شرکت امنیتی Socket، این پکیج به عنوان یه ابزار ساده برای کار با مجموعه‌های پایتون ظاهر شده، اما در واقع تلاش میکرده خودش رو جای کتابخونه‌ های معروفی مثل python-utils (با بیش از ۷۱۲ میلیون دانلود) و utils (با ۲۳.۵ میلیون دانلود) جا بزنه.

این کار باعث میشده که برنامه‌ نویسای بیخبر از همه‌ جا این پکیج آلوده رو نصب کنن و در نتیجه، مهاجما بتونن به کیف پول‌ های اتریومشون دسترسی پیدا کنن.

تمرکز اصلی این پکیج روی توسعه‌ دهنده‌ های اتریوم و شرکت‌هایی بوده که با برنامه‌ های بلاکچینی مبتنی بر پایتون کار میکنن، مخصوصاً کتابخونه‌های مدیریت کیف پول مثل eth-account .

این بدافزار نه‌ تنها کلید عمومی RSA مهاجم رو برای رمزگذاری اطلاعات دزدیده‌ شده توی خودش داشته، بلکه یه حساب اتریومی هم برای ارسال اطلاعات به مهاجم توی کدش قرار داده بوده.

این پکیج وقتی که کاربر یه کیف پول جدید میساخته (مثلاً با توابع from_key() و from_mnemonic() )، کلید خصوصی رو میدزدیده و از طریق تراکنش‌ های بلاکچینی، اطلاعات رو به مهاجم ارسال میکرده.

به جای استفاده از درخواست‌ های HTTP (که معمولاً تحت نظر قرار میگیرن)، این بدافزار از RPC شبکه Polygon برای فرستادن کلیدهای خصوصی استفاده میکرده تا شناسایی شدنش سخت‌تر بشه.

به گفته Socket ، این روش باعث میشده که حتی اگه یه کاربر کیف پولش رو با موفقیت بسازه، کلید خصوصیش همون لحظه دزدیده بشه و بره دست مهاجم.

از طرفی، این تابع مخرب توی یه ترد بک گراند اجرا میشده که باعث میشده شناساییش حتی سخت‌ تر هم بشه.

از شهریور ۲۰۲۴ یه کمپین جدید توی خاورمیانه و شمال آفریقا راه افتاده که یه نسخه تغییر یافته از بدافزار معروف AsyncRAT رو پخش میکنه.

محققای امنیتی شرکت Positive Technologies میگن که این حمله از شبکه‌های اجتماعی برای پخش بدافزار استفاده میکنه و به نظر میاد که با شرایط ژئوپلیتیکی منطقه ارتباط داره. مهاجما فایل‌ های آلوده رو توی سرویس‌ های اشتراک‌ گذاری فایل یا کانال‌های تلگرامی مخصوص خودشون آپلود میکنن و از اونجا پخش میکنن.

تا پاییز ۲۰۲۴، حدود ۹۰۰ نفر قربانی این بدافزار شدن که نشون میده چقدر گسترده بوده. بیشتر قربانی‌ ها توی کشورای لیبی، عربستان، مصر، ترکیه، امارات، قطر و تونس هستن.

محققای امنیتی این حمله رو به یه گروهی به اسم Desert Dexter نسبت دادن و اولین بار توی فوریه ۲۰۲۵ متوجه فعالیتش شدن.

این Desert Dexter یه سری اکانت فیک و کانال خبری موقتی توی فیسبوک میسازه و توی این صفحات تبلیغاتی با لینک به فایل‌ های آلوده رو منتشر میکنه. این لینک‌ ها کاربرا رو به یه نسخه از AsyncRAT میکشونه که یه سری ویژگی‌های جدید بهش اضافه شده، مثل:
- یه کی‌ لاگر آفلاین برای ثبت کلید های فشرده‌ شده روی کیبورد
- اسکن کردن ۱۶ تا کیف پول رمزارز و برنامه‌ های مرتبط
- ارتباط مستقیم با یه بات تلگرامی برای ارسال اطلاعات دزدیده‌ شده

همه‌ چی از یه فایل RAR آلوده شروع میشه که داخلش یه اسکریپت Batch یا JavaScript هست. این اسکریپت‌ ها وقتی اجرا بشن، یه کد PowerShell رو راه میندازن که مرحله بعدی حمله رو شروع میکنه.

بدافزار توی این مرحله:
- فرآیند های مربوط به سرویس‌های .NET که ممکنه جلوی اجراش رو بگیرن، میبنده
- فایل‌های BAT، PS1 و VBS** رو از مسیرهای C:\ProgramData\WindowsHost و C:\Users\Public حذف میکنه
- توی C:\ProgramData\WindowsHost یه فایل VBS جدید و توی C: Users\Public چندتا فایل BAT و PS1 میسازه
- روی سیستم یه مکانیزم پایداری ایجاد میکنه که با هر بار ری‌ استارت شدن سیستم، دوباره اجرا بشه
- اطلاعات سیستم قربانی رو جمع‌آوری میکنه و به بات تلگرامی مهاجم میفرسته
- یه اسکرین‌ شات از دسکتاپ قربانی میگیره
- در نهایت، AsyncRAT رو اجرا میکنه و اونو داخل فایل اجرایی aspnet_compiler.exe تزریق میکنه

فعلاً مشخص نیست که چه کسی دقیقاً پشت این حملاته، اما یه سری کامنت‌های عربی توی فایل‌های JavaScript نشون میدن که ممکنه از کشورهای عربی باشن.

علاوه بر این، محققای امنیتی اسکرین‌ شات‌ هایی از دسکتاپ خود مهاجم پیدا کردن که توش یه فایل PowerShell مخرب و ابزار Luminosity Link RAT دیده میشه. توی همون اطلاعات، یه لینک به کانال تلگرامی "dexterlyly" هم پیدا شده که به نظر میاد مهاجم اهل لیبی باشه. این کانال تلگرامی توی ۵ اکتبر ۲۰۲۴ ساخته شده.

اکثر قربانی‌ های این حمله کاربرای عادی بودن، ولی در کنارش کارمندای بخش‌ های مختلف مثل صنعت نفت، ساختمان‌سازی، فناوری اطلاعات و کشاورزی هم آسیب دیدن.

محققای امنیتی میگن که ابزارهای استفاده‌ شده توسط Desert Dexter خیلی پیشرفته نیستن، اما ترکیب تبلیغات فیسبوک، استفاده از سرویس‌ های معتبر برای دانلود بدافزار و سوءاستفاده از شرایط سیاسی منطقه باعث شده تعداد زیادی از کاربرا آلوده بشن.

این ماجرا در حالی اتفاق افتاده که شرکت QiAnXin هم یه کمپین فیشینگ هدفمند به اسم Operation Sea Elephant رو کشف کرده که مراکز تحقیقاتی علمی چین رو هدف گرفته. هدف این حمله، نصب یه درب پشتی برای دزدیدن اطلاعات حساس مرتبط با علوم و فناوری‌های دریایی بوده.

محققای امنیتی این حمله رو به یه گروه تهدید به اسم UTG-Q-011 نسبت دادن که یه زیرمجموعه از گروه CNC محسوب میشه. گفته میشه که CNC شباهت‌هایی به گروه Patchwork (که احتمالاً از هند باشن) داره.

چند وقت پیش، بعد از اینکه Tarlogic اعلام کرد که یه «بک دور» توی میکروکنترلرهای معروف ESP32 شرکت Espressif پیدا کرده، کلی سروصدا به پا شد. این مشکل توی بخش بلوتوث این چیپ‌ها بود و میتونست به هکرها اجازه بده کنترل زیادی روی سیستم داشته باشن. ولی همون‌طور که Xeno Kovah توضیح میده، این ادعاها زیادی بزرگ‌ نمایی شدن و اینکه بهش بگیم «بک دور» خیلی بیشتر از چیزی که واقعاً کشف شده، غلوآمیزه.

حالا اصل ماجرا چیه؟ محقق‌ ها یه سری دستورات مخصوص تولیدکننده (VSC) رو توی ROM عمومی ESP32 پیدا کردن. این دستورات از طریق رابط HCI بین نرم‌افزار و بخش فیزیکی بلوتوث رد و بدل میشن. این VSCها میتونن کارهایی مثل خوندن و نوشتن روی فریمور بلوتوث و ارسال پکت‌ های سطح پایین انجام بدن.

ولی یه چیزی که باید بدونیم اینه که VSCها توی همه کنترلرهای بلوتوث یه قابلیت استاندارد محسوب میشن و هر شرکت سازنده، یه سری از این دستورات رو برای استفاده توی SDK خودش پیاده‌سازی میکنه. این دستورات معمولاً برای آپدیت فریمور، گزارش دما و دیباگ استفاده میشن و معمولاً هم مستند هستن (به جز Broadcom که یه کم مرموزه).

در واقع، Xeno میگه که VSCها یه ویژگی استاندارد توی کنترلرهای بلوتوث هستن و مثل خیلی از قابلیت‌های دیگه، میتونن سوءاستفاده بشن. بعد از این جنجال‌ها، Tarlogic مقاله‌ اش رو آپدیت کرد و گفت که به‌ جای «بک دور»، بهتره بهش بگیم «ویژگی مخفی». با این حال، اگه این VSCها توی چیپ‌ های ESP32 یه تهدید امنیتی حساب بشن، پس همون‌ طور که Xeno اشاره میکنه، میلیون‌ها کنترلر بلوتوث از شرکت‌هایی مثل Texas Instruments و Broadcom که همین قابلیت رو دارن، هم باید یه تهدید امنیتی باشن.

یه کمپین جدید بدافزاری پیدا شده که با استفاده از مهندسی اجتماعی، یه روت‌ کیت اوپن سورس به اسم r77 رو روی سیستم قربانی نصب میکنه، این حمله که توسط شرکت Securonix با اسم OBSCURE#BAT شناخته شده، به هکرها اجازه میده توی سیستم‌ های آلوده موندگار بشن و از دید آنتی‌ ویروس‌ها مخفی بمونن. فعلاً معلوم نیست چه کسی یا گروهی پشت این ماجراست. 

طبق گزارش امنیتی که توسط Den Iuzvyk و Tim Peck منتشر شده، این روت‌ کیت میتونه هر فایل، کلید رجیستری، یا پردازشی که یه پیشوند خاص داشته باشه رو مخفی کنه. هکرها هم دارن از این قابلیت سوءاستفاده میکنن و بدافزارشون رو یا به اسم یه نرم‌افزار معتبر جا میزنن یا از ترفندهای مهندسی اجتماعی مثل کپچای تقلبی استفاده میکنن.  هدف اصلی این حمله، کاربران انگلیسی‌ زبان هستن، مخصوصاً توی آمریکا، کانادا، آلمان و بریتانیا. 

حمله از طریق یه اسکریپت Batch شروع میشه که به‌صورت مبهم و رمزگذاری‌ شده (obfuscated) نوشته شده. این اسکریپت بعد از اجرا، دستورات PowerShell رو اجرا میکنه تا مراحل مختلف نصب بدافزار رو طی کنه و در نهایت روت‌کیت اصلی رو روی سیستم قربانی بندازه. 

تا حالا دو روش اصلی برای اجرای این اسکریپت شناسایی شده: 
1. فریب کاربران با کپچای جعلی : هکرها یه صفحه تقلبی شبیه به کپچای Cloudflare میسازن که وقتی کاربر روش کلیک میکنه، اسکریپت آلوده رو اجرا میکنه. 
2. وانمود کردن به عنوان یه نرم‌افزار معروف : بدافزار رو به‌عنوان نرم‌افزارهای معتبر مثل مرورگر Tor، برنامه‌های VoIP یا کلاینت‌های پیام‌رسان تبلیغ میکنن. 

معلوم نیست دقیقاً چطوری قربانی‌ها رو به سمت این لینک‌های آلوده میکشونن، ولی احتمالاً از روش‌های مرسوم مثل تبلیغات مخرب (malvertising) یا دستکاری نتایج موتور جستجو (SEO poisoning) استفاده میکنن. 

بعد از اینکه کاربر فایل آلوده رو دانلود و اجرا کنه، یه آرشیو حاوی اسکریپت مخرب باز میشه که به کمک PowerShell، کارهای زیر رو انجام میده: 
- ساخت و اجرای اسکریپت‌ های بیشتر 
- تغییرات در رجیستری ویندوز 
- ایجاد Task زمان‌بندی‌ شده برای اجرای مداوم بدافزار 

محققان امنیتی میگن: 
"بدافزار اسکریپت‌ های خودش رو به‌صورت رمزگذاری‌ شده توی رجیستری ویندوز ذخیره میکنه و با استفاده از Taskهای زمان‌بندی‌ شده، خودش رو اجرا میکنه تا توی پس‌ زمینه مخفی بمونه. همچنین یه درایور تقلبی به اسم ACPIx86.sys ثبت میکنه تا خودش رو بیشتر توی سیستم جا بندازه." 

روش‌های دور زدن آنتی‌ویروس 
توی این حمله اینطوره که، یه Payload .NET هم اجرا میشه که با کلی حقه‌های امنیتی مثل مبهم‌ سازی جریان کنترل (control-flow obfuscation)، رمزگذاری رشته‌ ها (string encryption) و استفاده از اسامی ترکیبی شامل کاراکترهای عربی، چینی و خاص از شناسایی شدن فرار میکنه. 

یکی دیگه از Payload ها که از طریق PowerShell اجرا میشه، یه فایل اجرایی مخربه که از تکنیک AMSI patching برای دور زدن آنتی‌ ویروس‌ ها استفاده میکنه. 

در نهایت، بدافزار یه روت‌ کیت سطح سیستم به اسم ACPIx86.sys رو توی پوشه C:\Windows\System32\Drivers\ ذخیره و به‌عنوان یه سرویس ویندوز اجرا میکنه. همچنین یه روت‌کیت سطح کاربری (user-mode) به اسم r77 نصب میشه که کارش مخفی کردن فایل‌ها، پردازش‌ها و کلیدهای رجیستری با الگوی خاص ($nya-) هست. 

این بدافزار به‌صورت دوره‌ای فعالیت کلیپ‌بورد و تاریخچه‌ دستورات سیستم رو زیر نظر میگیره و توی فایل‌های مخفی ذخیره میکنه، احتمالاً برای ارسال به سرور هکرها. 
 
محققای امنیتی میگن: 
"این OBSCURE#BAT یه زنجیره‌ حمله  فوق‌العاده مخفی‌کارانه داره که از تکنیک‌هایی مثل مبهم‌سازی، روش‌های مخفی شدن و Hook کردن APIهای ویندوز برای پایداری در سیستم استفاده میکنه و شناسایی اون رو سخت میکنه." 

از اجرای اولین اسکریپت (install.bat) تا ایجاد Taskهای زمان‌بندی‌شده و ذخیره اسکریپت‌ها در رجیستری، این بدافزار طوری طراحی شده که حتی بعد از ری‌استارت شدن سیستم هم پاک نشه. با تزریق خودش توی پردازش‌های سیستمی مثل winlogon.exe، رفتار پردازش‌ها رو تغییر میده و شناسایی‌ رو سخت‌تر میکنه. 

در کنار این کشف، شرکت Cofense هم یه کمپین فیشینگ جدید رو گزارش داده که با جعل Microsoft Copilot، کاربران رو به یه صفحه‌ی جعلی میکشونه تا اطلاعات ورود و کدهای تأیید دو مرحله‌ای (2FA) اون‌ها رو بدزده.

apache tomcat
RCE
آسیب پذیری امنیتی با شناسه CVE-2025-24813 در Apache Tomcat اصلاح شده که امکان RCE، افشای اطلاعات حساس و دستکاری داده ها رو به مهاجم میده.

همه دیگه خبردار شدیم که یه باگ امنیتی توی Apache Tomcat کشف شده که بعد از عمومی شدن، خیلی زود مورد سوءاستفاده قرار گرفته ،فقط ۳۰ ساعت بعد از اعلام عمومی، یه نفر PoC این باگ رو منتشر کرد و از اون موقع دیگه قضیه حسابی جدی شده.

این باگ که با کد CVE-2025-24813 شناخته میشه، روی ورژن‌ های زیر از Tomcat تأثیر میذاره:
- Tomcat 11.0.0-M1 تا 11.0.2
- Tomcat 10.1.0-M1 تا 10.1.34
- Tomcat 9.0.0-M1 تا 9.0.98

اگه شرایط خاصی برقرار باشه، هکر میتونه از این باگ برای اجرای کد از راه دور (RCE) یا دزدیدن اطلاعات حساس استفاده کنه. اون شرایط هم ایناس:
1. قابلیت نوشتن برای default servlet فعال باشه (که به‌طور پیش‌فرض خاموشه).
2. قابلیت partial PUT روشن باشه (که پیش‌فرض روشنه).
3. آدرس URL که فایل‌ های امنیتی توش آپلود میشن، یه زیردایرکتوری از یه آدرس عمومی باشه.
4. مهاجم اسم فایل‌های حساس رو بدونه.
5. فایل‌های حساس از طریق partial PUT آپلود بشن.

در نتیجه یه فرد مخرب میتونه فایل‌ های امنیتی رو ببینه یا محتوای دلخواه خودش رو داخل اون‌ ها تزریق کنه...

اما این تازه اولشه، اگه یه سری شرایط دیگه هم برقرار باشه، شخص مخرب میتونه روی سرور کد اجرا کنه:
- همون قابلیت نوشتن برای default servlet فعال باشه.
- همون partial PUT فعال باشه.
- اپلیکیشن، از سیستم ذخیره‌ سازی فایل‌ محور سشن توی Tomcat استفاده کنه.
- یه کتابخونه توی اپ باشه که بشه باهاش حمله‌ deserialization انجام داد.

هفته پیش تیم Tomcat یه آپدیت امنیتی داد که این مشکل رو توی نسخه‌های 9.0.99، 10.1.35 و 11.0.3 حل کرده. ولی مشکل اینجاست که هکرها دیگه شروع کردن به استفاده از این باگ توی دنیای واقعی.

طبق گزارش Wallarm، حمله به این شکل انجام میشه:
1. مهاجم یه فایل سشن جاوا سریال‌ شده رو با یه درخواست PUT توی سرور آپلود میکنه.
2. بعدش یه درخواست GET میفرسته که اون فایل رو لود کنه و باعث deserialization بشه.

به زبان ساده، هکر یه محتوای مخرب Base64-encoded رو توی storage سشن Tomcat میذاره و بعدش با یه درخواست GET اون رو اجرا میکنه.

طبق گفته‌ Wallarm، این حمله خیلی آسونه و اصلاً نیازی به احراز هویت نداره تنها چیزی که لازمه اینه که Tomcat از سیستم سشن فایل‌محور استفاده کنه.

حالا مشکل بزرگ‌ تر اینه که مدیریت partial PUT توی Tomcat باعث میشه بشه هر فایلی رو هر جایی آپلود کرد ، یعنی مهاجم‌ ها ممکنه روش‌های حمله‌ شون رو تغییر بدن، مثلاً:
- فایل‌های JSP مخرب آپلود کنن.
- تنظیمات رو تغییر بدن.
- بک‌ دور جا بذارن.

راه حل ؟ آپدیت

هکرها دارن از Cascading Style Sheets (CSS) که همون زبان استایل‌ دهی صفحات وبه، به عنوان یه ترفند برای دور زدن فیلترهای، اسپم و ردیابی فعالیت‌ های کاربران استفاده میکنن. 

طبق گزارش جدید Cisco Talos، این نوع حملات میتونن امنیت و حریم خصوصی قربانی‌ها رو به خطر بندازن. 

امید میرزایی، محقق Talos، توی گزارشی که هفته پیش منتشر شد، گفت: 
"ویژگی‌های موجود توی CSS به مهاجم‌ ها و اسپمرها اجازه میده که فعالیت‌ ها و ترجیحات کاربران رو ردیابی کنن، حتی با وجود اینکه ویژگی‌ های مربوط به محتوای داینامیک (مثل JavaScript) توی کلاینت‌های ایمیل نسبت به مرورگرها محدودتره." 

این تحقیق، در ادامه‌ یافته‌های قبلی Cisco Talos در مورد افزایش تهدیدهای ایمیلی با استفاده از تکنیک “hidden text salting” توی نیمه دوم ۲۰۲۴ انجام شده. مهاجم‌ها با این روش سعی میکنن فیلترهای اسپم و سیستم‌ های امنیتی ایمیل رو دور بزنن. 

محقق‌ های Talos فهمیدن که هکرها از یه سری ویژگی‌ های CSS مثل text-indent و opacity برای مخفی کردن محتوای غیرضروری توی ایمیل‌ ها استفاده میکنن. 

هدف نهایی بعضی از این حملات اینه که گیرنده ایمیل رو به یه صفحه فیشینگ بکشونن، اما این تازه اولشه CSS حتی به هکرها اجازه میده که از طریق ایمیل‌های اسپم، رفتار کاربر رو ردیابی کنن.

مهاجم‌ ها میتونن با استفاده از ویژگی‌هایی مثل @media at-rule توی CSS، اطلاعات مختلفی از کاربر جمع کنن. این موضوع یه راه جدید برای انجام حملات fingerprinting باز میکنه. 

میرزایی توضیح میده که: 
"این سوءاستفاده میتونه شامل تشخیص فونت و رنگ‌بندی موردعلاقه‌ گیرنده، زبان کلاینت ایمیلش و حتی دنبال کردن اقداماتش (مثل باز کردن یا پرینت گرفتن از ایمیل) باشه." 

در واقع، CSS یه سری ویژگی‌ ها داره که به اسپمرها و مهاجم‌ها کمک میکنه تا کاربر، کلاینت ایمیل یا سیستمش رو fingerprint کنن. 

مثلاً، با @media at-rule میشه چیزایی مثل: 
- اندازه‌ی صفحه نمایش 
- رزولوشن 
- عمق رنگ (color depth) 

رو فهمید و این اطلاعات برای شخصی‌ سازی حملات فیشینگ یا دور زدن سیستم‌ های امنیتی خیلی مفیده.

برای مقابله با این تهدید، پیشنهاد میشه که از مکانیزم‌ های فیلترینگ پیشرفته برای شناسایی hidden text salting و تکنیک‌های مخفی‌سازی محتوا استفاده بشه. همچنین، پراکسی‌های مخصوص ایمیل میتونن یه لایه‌ امنیتی اضافه ایجاد کنن.

یه سازنده به اسم رایان واکر یه افزونه‌ خفن ساخته واسه ابزار معروف Flipper Zero که باهاش می‌تونی تست امنیت شبکه‌ ها رو انجام بدی، اونم با استفاده از سه تا رادیو مختلف. اسم این افزونه‌ جدیدش هست Flipper Blackhat.

فلیپر زیرو که از سال ۲۰۲۱ به تولید انبوه رسید، اولش به عنوان یه "چند‌کاره برای هکرها" معروف شد، ولی بعد شرکت سازنده‌ یعنی Flipper Devices گفت: نه بابا، این واسه "گیک‌ها"هست ولی دیگه اون موقع دیر شده بود، چون دولت کانادا دست به کار شده بود و میخواست جلو فروشش رو بگیره.
این فلیپر یه گجت بی‌سیم و با‌سیم چندکاره در اختیارت میذاره تا بتونی با کلی چیز حال کنی؛ مثل سیگنال‌ های زیر گیگاهرتز، مادون قرمز، RFID، NFC و کلی چیز دیگه.

ولی یه چیزی که فلیپر زیرو به صورت پیش‌ فرض نداره، wifi هست . البته یه سری افزونه‌ ها، حتی یکی هم خود شرکت Flipper Devices داده بیرون، این قابلیت وای‌ فای رو بهش اضافه میکنن؛ ولی چیزی که واکر ساخته یه چیز دیگه‌ هست: در واقع یه کامپیوتر تک‌بُردی قوی که خودش به تنهایی کلی کار ازش برمیاد. فلپر زیرو تو اینجا بیشتر نقش نمایشگر، کیبورد و باتری رو داره.

این برد دور یه چیپ قدیمی به اسم Allwinner A33 ساخته شده که توی سال ۲۰۱۴ برای تبلت‌های اندرویدی طراحی شده بود. این چیپ چهار هسته پردازنده Cortex-A7 داره که با توان ۱.۸ گیگاهرتز ، به همراه یه پردازنده گرافیکی Mali-400MP2.
واکر به این برد یه چیپ وای‌ فای Realtek RTL8723DS هم اضافه کرده که روی فرکانس ۲.۴ گیگاهرتز کار میکنه. دوتا پورت USB Type-A هم گذاشته که یکیش به صورت پیش‌ فرض یه دانگل وای‌فای ۵ گیگاهرتزی Realtek RTL8821CU داره، و اگه بخوای، میتونی یه رادیوی سوم هم به دلخواه خودت بهش بزنی، سیستم‌عاملی که روش نصبه یه دیسترو لینوکسیه.

واکر درباره‌ این دستگاه میگه:
"این Flipper Blackhat یه افزونه‌ صد در صد متن‌باز (هم سخت‌افزار هم نرم‌افزار) بر پایه لینوکسه که اجازه میده با فلیپر بیای و روی وای فای هم کار کنی"

میگه در آینده میخواد این دستگاه مستقل بشه و یه کیبورد مثل گوشی‌های بلک‌ بری براش بذاره، ولی فعلاً از خود فلپر برای باتری، ورودی/خروجی، و صفحه‌نمایش استفاده میکنه.

بعدشم خیلی شفاف میگه:
"این دستگاه هنوز نسخه‌ بتاست. من هیچ باگ سخت‌ افزاری‌ ای نمیشناسم و تا حد خوبی تستش کردم. صفحه‌ نمایشش رو هنوز تست نکردم. نرم‌افزارش هنوز کامل نشده؛ الان دارم دستگاه‌ هایی میفروشم که نرم‌افزارشون صد در صد بدون باگ نیست. شما اگه بخری، جزو اولین کسایی هستی که داری ازش استفاده میکنی و تو چند ماه آینده آپدیت نرم‌افزاری میگیری. اگه اهل لینوکسی و با چیزایی مثل Raspberry Pi حال میکنی، احتمالاً این گجت مال توئه."

اطلاعات بیشتر رو میتونی توی فروشگاه Rootkit Labs واکر پیدا کنی. قیمتش ۶۹ فرانک سوئیس (حدود ۷۹ دلار) هست. البته موقع نوشتن این متن، سری اولش کاملاً فروش رفته بود، ولی واکر گفته تولید رو داره زیاد میکنه که بتونه تقاضا رو جواب بده.
فایل‌ های طراحی برد رو توی گیت‌ هاب گذاشته تحت لایسنس Creative Commons Attribution-NonCommercial-ShareA like 4.0 (یعنی می‌تونی استفاده کنی، ولی نه تجاری، و باید شِیرش کنی). نرم‌افزارش هم تو یه ریپوی جداست، ولی هنوز دقیقاً نگفته با چه لایسنسی.

ماجرای حمله supply chain با GitHub Action به اسم tj-actions/changed-files اولش یه حمله خیلی هدفمند به یکی از پروژه‌های open source شرکت Coinbase بود، ولی کم‌ کم گسترش پیدا کرد و وسیع‌ تر شد ... توی گزارشی از شرکت Palo Alto Networks (تیم امنیتی Unit 42)، گفته شده: 
«کدی که توی حمله استفاده شده بود، هدفش این بود که از جریان CI/CD (یعنی فرآیند خودکار ساخت و تست پروژه‌ ها) یکی از پروژه‌های open source کوین‌ بیس به اسم agentkit سوء استفاده کنه. احتمالاً برای اینکه بتونن از این طریق به چیزهای دیگه‌ ای هم نفوذ کنن. ولی خوشبختانه هکرها نتونستن به رمزها یا اطلاعات محرمانه کوین‌ بیس دسترسی پیدا کنن یا پکیج مخرب منتشر کنن.»
ماجرا وقتی لو رفت که توی تاریخ ۱۴ مارس ۲۰۲۵ معلوم شد GitHub Action مربوط به tj-actions/changed-files دستکاری شده و کدی بهش تزریق شده که باعث نشت اطلاعات حساس مثل رمزها از مخزن‌ هایی میشده که از این اکشن استفاده میکردن. برای این باگ شماره CVE-2025-30066 با امتیاز امنیتی ۸.۶ از ۱۰ ثبت شده.
طبق بررسی شرکت Endor Labs، حدوداً ۲۱۸ مخزن گیت‌هاب تحت تأثیر این حمله قرار گرفتن و اطلاعاتی مثل چند ده تا رمز عبور برای سرویس‌هایی مثل DockerHub، npm و AWS، به‌علاوه توکن‌ های دسترسی GitHub لو رفته.
تحلیل‌گر امنیتی Henrik Plate گفت: 
«وقتی اول شنیدیم که این حمله supply chain چقدر گسترده‌ هست، واقعا ترسیدیم؛ چون این GitHub Action توی هزاران پروژه استفاده میشه. ولی وقتی دقیق‌ تر بررسی کردیم دیدیم خوشبختانه فقط ۲۱۸ مخزن اطلاعاتشون لو رفته، و بیشتر این اطلاعات هم توکن‌ های موقتی GITHUB_TOKEN بودن که بعد از پایان اجرای workflow خودشون باطل میشن.»
از اون موقع مشخص شده که یه اکشن دیگه توی گیت‌ هاب به اسم reviewdog/action-setup هم که به صورت غیرمستقیم توسط همون tj-actions/changed-files استفاده میشه، قبل از این حمله به روشی مشابه آلوده شده بوده. این آسیب‌پذیری جدید هم با شماره CVE-2025-30154 و امتیاز ۸.۶ ثبت شده.
ماجرا از این قراره: مهاجم یه توکن دسترسی شخصی (PAT) برای tj-actions/changed-files به‌دست آورده. با استفاده از اون، میتونسته مخزن رو تغییر بده و کد مخرب رو وارد کنه. یعنی هر پروژه‌ ای که به این اکشن وابسته بوده، به‌طور خودکار آلوده شده.
طبق گزارش پژوهشگران Unit 42: 
«وقتی اکشن tj-actions/eslint-changed-files اجرا میشده، رمزهای runner مربوط به tj-actions/changed-files لو میرفتن، و این شامل توکن دسترسی شخصی کاربر tj-bot-actions هم میشده.»
فعلاً فرض بر اینه که هکر somehow به توکنی دسترسی پیدا کرده که اجازه نوشتن توی سازمان reviewdog رو داشته. ولی اینکه چطوری این توکن به‌دستش رسیده، هنوز مشخص نیست.
حالا جالبه بدونین که هکر اول یه fork از مخزن reviewdog/action-setup ساخته، بعد توش کد مخرب رو اضافه کرده، و در آخر یه pull request زده تا اون تغییرات بیاد توی مخزن اصلی. این حرکت، یه تکنیک معروف به dangling commit هست، که توش commit‌ هایی به پروژه اصلی لینک داده میشن ولی به راحتی قابل شناسایی نیستن.
پژوهشگر امنیتی "Gil" از شرکت Palo Alto میگه: 
«هکر واقعاً حرفه‌ای بوده؛ چون از روش‌ های مختلفی برای قایم کردن ردپاش استفاده کرده، مثل استفاده از dangling commit، ساخت چند تا اکانت موقتی توی گیت‌هاب، و پنهان‌کاری توی لاگ‌های workflow، مخصوصاً توی همون حمله اول به Coinbase.»
تیم Unit 42 حدس میزنه که کاربری که درخواست pull رو داده با یوزرنیم iLrmKCu86tjwp8 ، بعد از اینکه ایمیل اصلیش رو با یه ایمیل موقت و ناشناس عوض کرده، دیگه از دید عموم پنهان شده. 
این باعث شده کل فعالیت‌ هاش توی گیت‌ هاب مخفی بمونه. گیت‌ هاب هم وقتی در موردش سؤال شد، نه تأیید کرد نه رد، فقط گفت که داره موضوع رو بررسی میکنه.
سخنگوی گیت‌هاب گفت: 
«هیچ نشونه‌ ای از نفوذ به خود GitHub یا سیستم‌ های ما وجود نداره. پروژه‌هایی که تحت تأثیر قرار گرفتن، همگی توسط کاربران نگهداری میشن. GitHub همچنان گزارش‌ های کاربران درباره محتوای مخرب رو بررسی و بر اساس قوانین استفاده مجازش اقدام میکنه. کاربران باید قبل از آپدیت هر پکیج یا GitHub Action، بررسی کنن که چی داره به پروژه‌شون اضافه میشه.»
جستجوی عمیق‌ تر روی فورک‌ های tj-actions/changed-files نشون داده که دو اکانت دیگه به اسم 2ft2dKo28UazTZ و mmvojwip هم در این حمله نقش داشتن. هر دو اکانت الان پاک شدن، ولی بررسی‌ ها نشون داده این دو اکانت فورک‌ هایی از پروژه‌ های مرتبط با Coinbase مثل onchainkit، agentkit و x402 ساخته بودن.

در ادامه همین خبر :
همچنین مشخص شده که این اکانت‌ ها فایل changelog.yml توی مخزن agentkit رو طوری تغییر دادن که به نسخه آلوده tj-actions/changed-files اشاره کنه. این تغییرات هم با استفاده از یه pull request و توکن دسترسی انجام شده.
به احتمال زیاد، هکر یه توکن GitHub با دسترسی نوشتن روی پروژه agentkit به‌دست آورده، که از طریق اجرای همین GitHub Action مخرب بهش دست پیدا کرده بوده.
نکته مهم دیگه‌ ای که باید بهش اشاره کرد، اینه که هکر از payload های مختلف توی مراحل مختلف استفاده کرده تا مخفی بمونه مثلاً Gil میگه: «توی حمله گسترده، هکر اطلاعات حافظه runner رو dump میکرد و متغیر های محیطی (env vars) که حاوی رمز بودن رو توی لاگ‌ ها چاپ میکرد، فارغ از اینکه workflow چی بود. ولی توی حمله خاص به Coinbase، فقط GITHUB_TOKEN رو میگرفت و فقط زمانی اجرا میشد که مخزن متعلق به Coinbase بود.»
الان هنوز دقیق نمی‌دونیم هدف نهایی این کمپین چی بوده، ولی احتمال خیلی زیاد هدفش مالی بوده مثلاً سرقت رمزارز چون هدف اولیه Coinbase بوده. خوشبختانه تا تاریخ ۱۹ مارس ۲۰۲۵، Coinbase این حمله رو مهار و اصلاح کرده. ولی با این حال هنوزم مشخص نیست چرا هکر تصمیم گرفت از یه حمله کاملاً هدفمند و مخفی، به یه حمله گسترده و پرریسک رو بیاره، Gil یه حدس جالب زده: «شاید وقتی دید نمیتونه پروژه‌ های Coinbase رو با اون توکن آلوده کنه و فهمید که Coinbase حمله رو شناسایی و خنثی کرده، ترسید که دستش رو بشه و دیگه به tj-actions/changed-files دسترسی نداشته باشه. برای همین تصمیم گرفت سریع عمل کنه و حمله گسترده رو فقط ۲۰ دقیقه بعد از اصلاح Coinbase شروع کرد ، با وجود اینکه خطر شناسایی خیلی بالا رفته بود.»

تو یه سناریوی حمله‌ آزمایشی، یه هکر میتونه یه فایل مخرب رو به شکل یه کتابخونه‌ اشتراکی توی پاد Kubernetes آپلود کنه. این کار با استفاده از قابلیت client-body buffer توی NGINX انجام میشه. بعد از این کار، هکر یه درخواست AdmissionReview به کنترلر پذیرش (admission controller) میفرسته.
حالا این درخواست شامل یکی از تزریق‌های مخرب توی تنظیمات NGINX هست که باعث میشه اون کتابخونه‌ مخرب لود بشه و کد مخرب از راه دور اجرا بشه.

یه محقق امنیت کلود به نام Hillai Ben-Sasson از شرکت Wiz به Hacker News گفته که این حمله با دستکاری تنظیمات NGINX انجام میشه و به هکر اجازه میده که:
1- فایل‌های حساس رو بخونه
2- هر دستوری که می‌خواد اجرا کنه
حتی از اینجا به بعد، هکر میتونه از یه Service Account قوی سوءاستفاده کنه و به اطلاعات مهم Kubernetes مثل secrets دسترسی پیدا کنه. در نهایت، این کار میتونه باعث تصاحب کامل کلاستر بشه.


طبق اعلام کمیته‌ امنیتی Kubernetes، اکثر مشکلاتی که کشف شده مربوط به نحوه‌ پردازش Ingress NGINX برای پارامترهای تنظیماتشه. ولی یه آسیب‌پذیری به اسم CVE-2025-1974 هست که اگه با این باگ‌ ها ترکیب بشه، میتونه باعث تسخیر کامل کلاستر Kubernetes بشه، اونم بدون نیاز به دسترسی ادمین یا اطلاعات ورود.

راه‌حل چیه؟ بعد از گزارش این باگ‌ها، مشکل توی نسخه‌ های جدید Ingress NGINX Controller برطرف شده:
نسخه 1.12.1
نسخه 1.11.5
نسخه 1.10.7
اگه از این کنترلر استفاده میکنی، فوراً برو و به آخرین نسخه آپدیت کن.

چطور از این حمله جلوگیری کنیم؟ مطمئن شو که endpoint مربوط به admission webhook از بیرون در دسترس نیست.
دسترسی به Kubernetes API Server رو محدود کن تا فقط به admission controller وصل بشه.
اگه نیازی به admission controller نداری، موقتاً غیرفعالش کن.
پس اگه نمیخوای یه فرد مخرب ، کلاستر Kubernetes تو رو به دست بگیره و به تمام اطلاعات حساس دسترسی پیدا کنه، سریع آپدیت کن و تنظیمات امنیتی رو چک کن...

هکری به اسم EncryptHub از یه باگ امنیتی که تازه تو ویندوز پچ شده بود، سوءاستفاده کرده و قبل از اینکه کسی بفهمه، کلی بدافزار مختلف روی سیستم‌ ها نصب کرده. این بدافزارها شامل backdoor و... بودن، مثل Rhadamanthys و StealC.

طبق گفته‌ی "علی‌اکبر زهراوی"، یکی از محقق‌ های شرکت امنیتی Trend Micro:
"توی این حمله، هکر با دستکاری فایل‌های .msc و یه چیزی به اسم MUIPath (مسیر رابط کاربری چند زبانه ویندوز)، کاری میکنه که سیستم بره یه فایل مخرب دانلود و اجرا کنه. بعدش هم روی سیستم میمونه و اطلاعات حساس رو به سرقت میبره."
اون باگی که باعث این ماجرا شده بود، یه آسیب‌پذیریه به اسم CVE-2025-26633 با امتیاز خطر ۷ از ۱۰. مایکروسافت اینو این‌جوری توصیف کرده: یه مشکل تو بی‌ اثر کردن درست دستورات تو Microsoft Management Console (MMC) که اجازه میده هکر بتونه به‌صورت لوکال از یه قابلیت امنیتی رد بشه. این باگ اوایل همین ماه تو آپدیت‌های Patch Tuesday فیکس شده.

شرکت Trend Micro به این روش حمله اسم MSC EvilTwin رو داده و گروه هکری پشتش که احتمالاً روسی هستن، با اسم Water Gamayun پیگیری میکنه. این گروه اخیراً هم توسط دو تا شرکت امنیتی دیگه، یعنی PRODAFT و Outpost24 بررسی شده بودن و یه اسم دیگه هم براشون گذاشتن: LARVA-208.
حالا بیایم سر اصل ماجرا:
این باگ (CVE-2025-26633) به هکر اجازه میده از ساختار Microsoft Management Console سوءاستفاده کنه و یه فایل مخرب .msc رو با پاورشل (PowerShell) اجرا کنه، که اسم این لودر هم شده MSC EvilTwin Loader.
تکنیکش این‌جوریه که میاد دو تا فایل .msc با یه اسم درست میکنه:
یکی سالم، یکی هم آلوده.
اون فایل آلوده رو توی یه پوشه به اسم en-US میذاره (که همون پوشه زبان انگلیسی ویندوزه). وقتی فایل سالم رو اجرا میکنی، MMC به‌جای اون، فایل توی en-US رو باز میکنه. چرا؟ چون MMC با توجه به تنظیمات زبانی (MUIPath) اشتباهی فایل مخرب رو لود میکنه.

زهراوی میگه:
"با سوءاستفاده از روش کار mmc.exe با MUIPath، هکر میتونه توی en-US یه فایل .msc آلوده بذاره، و MMC هم موقع اجرا اون فایل مخرب رو به‌جای فایل اصلی باز کنه، بدون اینکه کاربر بفهمه."
اما EncryptHub فقط به همین روش اکتفا نکرده، بلکه دوتا روش دیگه هم برای اجرای بدافزارش استفاده کرده:
استفاده از تابع ExecuteShellCommand تو MMC برای دانلود و اجرای payload بعدی (این روشو اولین بار شرکت هلندی Outflank تو آگوست ۲۰۲۴ کشف کرده بود)
استفاده از دایرکتوری‌های جعلی که شبیه پوشه‌های سیستم واقعی هستن، مثلاً C:\Windows \System32 (ببین فاصله بین Windows و \ رو! واسه گول زدن سیستم!) برای دور زدن کنترل حساب کاربری (UAC) و انداختن فایل مخرب به اسم WmiMgmt.msc.
طبق تحلیل Trend Micro، زنجیره حمله معمولاً این‌ طوری شروع میشه که قربانی‌ ها یه فایل نصب‌ کننده MSI دانلود میکنن که امضای دیجیتالی داره و خودشو جای نرم‌افزار های چینی معروف مثل DingTalk یا QQTalk جا زده. بعدش با همون فایل، لودر بدافزار از یه سرور خارجی دانلود و اجرا میشه.
و زهراوی هشدار میده که:
"این کمپین هنوزم فعاله و داره مدام بهتر میشه. روش‌ های مختلفی برای تحویل بدافزار داره و از payloadهای سفارشی استفاده میکنه که بتونه رو سیستم بمونه، اطلاعات مهمو بدزده و بفرسته به سرورهای کنترل و فرمان (C&C) خودش."