apache tomcat
RCE
آسیب پذیری امنیتی با شناسه CVE-2025-24813 در Apache Tomcat اصلاح شده که امکان RCE، افشای اطلاعات حساس و دستکاری داده ها رو به مهاجم میده.

همه دیگه خبردار شدیم که یه باگ امنیتی توی Apache Tomcat کشف شده که بعد از عمومی شدن، خیلی زود مورد سوءاستفاده قرار گرفته ،فقط ۳۰ ساعت بعد از اعلام عمومی، یه نفر PoC این باگ رو منتشر کرد و از اون موقع دیگه قضیه حسابی جدی شده.

این باگ که با کد CVE-2025-24813 شناخته میشه، روی ورژن‌ های زیر از Tomcat تأثیر میذاره:
- Tomcat 11.0.0-M1 تا 11.0.2
- Tomcat 10.1.0-M1 تا 10.1.34
- Tomcat 9.0.0-M1 تا 9.0.98

اگه شرایط خاصی برقرار باشه، هکر میتونه از این باگ برای اجرای کد از راه دور (RCE) یا دزدیدن اطلاعات حساس استفاده کنه. اون شرایط هم ایناس:
1. قابلیت نوشتن برای default servlet فعال باشه (که به‌طور پیش‌فرض خاموشه).
2. قابلیت partial PUT روشن باشه (که پیش‌فرض روشنه).
3. آدرس URL که فایل‌ های امنیتی توش آپلود میشن، یه زیردایرکتوری از یه آدرس عمومی باشه.
4. مهاجم اسم فایل‌های حساس رو بدونه.
5. فایل‌های حساس از طریق partial PUT آپلود بشن.

در نتیجه یه فرد مخرب میتونه فایل‌ های امنیتی رو ببینه یا محتوای دلخواه خودش رو داخل اون‌ ها تزریق کنه...

اما این تازه اولشه، اگه یه سری شرایط دیگه هم برقرار باشه، شخص مخرب میتونه روی سرور کد اجرا کنه:
- همون قابلیت نوشتن برای default servlet فعال باشه.
- همون partial PUT فعال باشه.
- اپلیکیشن، از سیستم ذخیره‌ سازی فایل‌ محور سشن توی Tomcat استفاده کنه.
- یه کتابخونه توی اپ باشه که بشه باهاش حمله‌ deserialization انجام داد.

هفته پیش تیم Tomcat یه آپدیت امنیتی داد که این مشکل رو توی نسخه‌های 9.0.99، 10.1.35 و 11.0.3 حل کرده. ولی مشکل اینجاست که هکرها دیگه شروع کردن به استفاده از این باگ توی دنیای واقعی.

طبق گزارش Wallarm، حمله به این شکل انجام میشه:
1. مهاجم یه فایل سشن جاوا سریال‌ شده رو با یه درخواست PUT توی سرور آپلود میکنه.
2. بعدش یه درخواست GET میفرسته که اون فایل رو لود کنه و باعث deserialization بشه.

به زبان ساده، هکر یه محتوای مخرب Base64-encoded رو توی storage سشن Tomcat میذاره و بعدش با یه درخواست GET اون رو اجرا میکنه.

طبق گفته‌ Wallarm، این حمله خیلی آسونه و اصلاً نیازی به احراز هویت نداره تنها چیزی که لازمه اینه که Tomcat از سیستم سشن فایل‌محور استفاده کنه.

حالا مشکل بزرگ‌ تر اینه که مدیریت partial PUT توی Tomcat باعث میشه بشه هر فایلی رو هر جایی آپلود کرد ، یعنی مهاجم‌ ها ممکنه روش‌های حمله‌ شون رو تغییر بدن، مثلاً:
- فایل‌های JSP مخرب آپلود کنن.
- تنظیمات رو تغییر بدن.
- بک‌ دور جا بذارن.

راه حل ؟ آپدیت

هکرها دارن از Cascading Style Sheets (CSS) که همون زبان استایل‌ دهی صفحات وبه، به عنوان یه ترفند برای دور زدن فیلترهای، اسپم و ردیابی فعالیت‌ های کاربران استفاده میکنن. 

طبق گزارش جدید Cisco Talos، این نوع حملات میتونن امنیت و حریم خصوصی قربانی‌ها رو به خطر بندازن. 

امید میرزایی، محقق Talos، توی گزارشی که هفته پیش منتشر شد، گفت: 
"ویژگی‌های موجود توی CSS به مهاجم‌ ها و اسپمرها اجازه میده که فعالیت‌ ها و ترجیحات کاربران رو ردیابی کنن، حتی با وجود اینکه ویژگی‌ های مربوط به محتوای داینامیک (مثل JavaScript) توی کلاینت‌های ایمیل نسبت به مرورگرها محدودتره." 

این تحقیق، در ادامه‌ یافته‌های قبلی Cisco Talos در مورد افزایش تهدیدهای ایمیلی با استفاده از تکنیک “hidden text salting” توی نیمه دوم ۲۰۲۴ انجام شده. مهاجم‌ها با این روش سعی میکنن فیلترهای اسپم و سیستم‌ های امنیتی ایمیل رو دور بزنن. 

محقق‌ های Talos فهمیدن که هکرها از یه سری ویژگی‌ های CSS مثل text-indent و opacity برای مخفی کردن محتوای غیرضروری توی ایمیل‌ ها استفاده میکنن. 

هدف نهایی بعضی از این حملات اینه که گیرنده ایمیل رو به یه صفحه فیشینگ بکشونن، اما این تازه اولشه CSS حتی به هکرها اجازه میده که از طریق ایمیل‌های اسپم، رفتار کاربر رو ردیابی کنن.

مهاجم‌ ها میتونن با استفاده از ویژگی‌هایی مثل @media at-rule توی CSS، اطلاعات مختلفی از کاربر جمع کنن. این موضوع یه راه جدید برای انجام حملات fingerprinting باز میکنه. 

میرزایی توضیح میده که: 
"این سوءاستفاده میتونه شامل تشخیص فونت و رنگ‌بندی موردعلاقه‌ گیرنده، زبان کلاینت ایمیلش و حتی دنبال کردن اقداماتش (مثل باز کردن یا پرینت گرفتن از ایمیل) باشه." 

در واقع، CSS یه سری ویژگی‌ ها داره که به اسپمرها و مهاجم‌ها کمک میکنه تا کاربر، کلاینت ایمیل یا سیستمش رو fingerprint کنن. 

مثلاً، با @media at-rule میشه چیزایی مثل: 
- اندازه‌ی صفحه نمایش 
- رزولوشن 
- عمق رنگ (color depth) 

رو فهمید و این اطلاعات برای شخصی‌ سازی حملات فیشینگ یا دور زدن سیستم‌ های امنیتی خیلی مفیده.

برای مقابله با این تهدید، پیشنهاد میشه که از مکانیزم‌ های فیلترینگ پیشرفته برای شناسایی hidden text salting و تکنیک‌های مخفی‌سازی محتوا استفاده بشه. همچنین، پراکسی‌های مخصوص ایمیل میتونن یه لایه‌ امنیتی اضافه ایجاد کنن.

یه سازنده به اسم رایان واکر یه افزونه‌ خفن ساخته واسه ابزار معروف Flipper Zero که باهاش می‌تونی تست امنیت شبکه‌ ها رو انجام بدی، اونم با استفاده از سه تا رادیو مختلف. اسم این افزونه‌ جدیدش هست Flipper Blackhat.

فلیپر زیرو که از سال ۲۰۲۱ به تولید انبوه رسید، اولش به عنوان یه "چند‌کاره برای هکرها" معروف شد، ولی بعد شرکت سازنده‌ یعنی Flipper Devices گفت: نه بابا، این واسه "گیک‌ها"هست ولی دیگه اون موقع دیر شده بود، چون دولت کانادا دست به کار شده بود و میخواست جلو فروشش رو بگیره.
این فلیپر یه گجت بی‌سیم و با‌سیم چندکاره در اختیارت میذاره تا بتونی با کلی چیز حال کنی؛ مثل سیگنال‌ های زیر گیگاهرتز، مادون قرمز، RFID، NFC و کلی چیز دیگه.

ولی یه چیزی که فلیپر زیرو به صورت پیش‌ فرض نداره، wifi هست . البته یه سری افزونه‌ ها، حتی یکی هم خود شرکت Flipper Devices داده بیرون، این قابلیت وای‌ فای رو بهش اضافه میکنن؛ ولی چیزی که واکر ساخته یه چیز دیگه‌ هست: در واقع یه کامپیوتر تک‌بُردی قوی که خودش به تنهایی کلی کار ازش برمیاد. فلپر زیرو تو اینجا بیشتر نقش نمایشگر، کیبورد و باتری رو داره.

این برد دور یه چیپ قدیمی به اسم Allwinner A33 ساخته شده که توی سال ۲۰۱۴ برای تبلت‌های اندرویدی طراحی شده بود. این چیپ چهار هسته پردازنده Cortex-A7 داره که با توان ۱.۸ گیگاهرتز ، به همراه یه پردازنده گرافیکی Mali-400MP2.
واکر به این برد یه چیپ وای‌ فای Realtek RTL8723DS هم اضافه کرده که روی فرکانس ۲.۴ گیگاهرتز کار میکنه. دوتا پورت USB Type-A هم گذاشته که یکیش به صورت پیش‌ فرض یه دانگل وای‌فای ۵ گیگاهرتزی Realtek RTL8821CU داره، و اگه بخوای، میتونی یه رادیوی سوم هم به دلخواه خودت بهش بزنی، سیستم‌عاملی که روش نصبه یه دیسترو لینوکسیه.

واکر درباره‌ این دستگاه میگه:
"این Flipper Blackhat یه افزونه‌ صد در صد متن‌باز (هم سخت‌افزار هم نرم‌افزار) بر پایه لینوکسه که اجازه میده با فلیپر بیای و روی وای فای هم کار کنی"

میگه در آینده میخواد این دستگاه مستقل بشه و یه کیبورد مثل گوشی‌های بلک‌ بری براش بذاره، ولی فعلاً از خود فلپر برای باتری، ورودی/خروجی، و صفحه‌نمایش استفاده میکنه.

بعدشم خیلی شفاف میگه:
"این دستگاه هنوز نسخه‌ بتاست. من هیچ باگ سخت‌ افزاری‌ ای نمیشناسم و تا حد خوبی تستش کردم. صفحه‌ نمایشش رو هنوز تست نکردم. نرم‌افزارش هنوز کامل نشده؛ الان دارم دستگاه‌ هایی میفروشم که نرم‌افزارشون صد در صد بدون باگ نیست. شما اگه بخری، جزو اولین کسایی هستی که داری ازش استفاده میکنی و تو چند ماه آینده آپدیت نرم‌افزاری میگیری. اگه اهل لینوکسی و با چیزایی مثل Raspberry Pi حال میکنی، احتمالاً این گجت مال توئه."

اطلاعات بیشتر رو میتونی توی فروشگاه Rootkit Labs واکر پیدا کنی. قیمتش ۶۹ فرانک سوئیس (حدود ۷۹ دلار) هست. البته موقع نوشتن این متن، سری اولش کاملاً فروش رفته بود، ولی واکر گفته تولید رو داره زیاد میکنه که بتونه تقاضا رو جواب بده.
فایل‌ های طراحی برد رو توی گیت‌ هاب گذاشته تحت لایسنس Creative Commons Attribution-NonCommercial-ShareA like 4.0 (یعنی می‌تونی استفاده کنی، ولی نه تجاری، و باید شِیرش کنی). نرم‌افزارش هم تو یه ریپوی جداست، ولی هنوز دقیقاً نگفته با چه لایسنسی.

ماجرای حمله supply chain با GitHub Action به اسم tj-actions/changed-files اولش یه حمله خیلی هدفمند به یکی از پروژه‌های open source شرکت Coinbase بود، ولی کم‌ کم گسترش پیدا کرد و وسیع‌ تر شد ... توی گزارشی از شرکت Palo Alto Networks (تیم امنیتی Unit 42)، گفته شده: 
«کدی که توی حمله استفاده شده بود، هدفش این بود که از جریان CI/CD (یعنی فرآیند خودکار ساخت و تست پروژه‌ ها) یکی از پروژه‌های open source کوین‌ بیس به اسم agentkit سوء استفاده کنه. احتمالاً برای اینکه بتونن از این طریق به چیزهای دیگه‌ ای هم نفوذ کنن. ولی خوشبختانه هکرها نتونستن به رمزها یا اطلاعات محرمانه کوین‌ بیس دسترسی پیدا کنن یا پکیج مخرب منتشر کنن.»
ماجرا وقتی لو رفت که توی تاریخ ۱۴ مارس ۲۰۲۵ معلوم شد GitHub Action مربوط به tj-actions/changed-files دستکاری شده و کدی بهش تزریق شده که باعث نشت اطلاعات حساس مثل رمزها از مخزن‌ هایی میشده که از این اکشن استفاده میکردن. برای این باگ شماره CVE-2025-30066 با امتیاز امنیتی ۸.۶ از ۱۰ ثبت شده.
طبق بررسی شرکت Endor Labs، حدوداً ۲۱۸ مخزن گیت‌هاب تحت تأثیر این حمله قرار گرفتن و اطلاعاتی مثل چند ده تا رمز عبور برای سرویس‌هایی مثل DockerHub، npm و AWS، به‌علاوه توکن‌ های دسترسی GitHub لو رفته.
تحلیل‌گر امنیتی Henrik Plate گفت: 
«وقتی اول شنیدیم که این حمله supply chain چقدر گسترده‌ هست، واقعا ترسیدیم؛ چون این GitHub Action توی هزاران پروژه استفاده میشه. ولی وقتی دقیق‌ تر بررسی کردیم دیدیم خوشبختانه فقط ۲۱۸ مخزن اطلاعاتشون لو رفته، و بیشتر این اطلاعات هم توکن‌ های موقتی GITHUB_TOKEN بودن که بعد از پایان اجرای workflow خودشون باطل میشن.»
از اون موقع مشخص شده که یه اکشن دیگه توی گیت‌ هاب به اسم reviewdog/action-setup هم که به صورت غیرمستقیم توسط همون tj-actions/changed-files استفاده میشه، قبل از این حمله به روشی مشابه آلوده شده بوده. این آسیب‌پذیری جدید هم با شماره CVE-2025-30154 و امتیاز ۸.۶ ثبت شده.
ماجرا از این قراره: مهاجم یه توکن دسترسی شخصی (PAT) برای tj-actions/changed-files به‌دست آورده. با استفاده از اون، میتونسته مخزن رو تغییر بده و کد مخرب رو وارد کنه. یعنی هر پروژه‌ ای که به این اکشن وابسته بوده، به‌طور خودکار آلوده شده.
طبق گزارش پژوهشگران Unit 42: 
«وقتی اکشن tj-actions/eslint-changed-files اجرا میشده، رمزهای runner مربوط به tj-actions/changed-files لو میرفتن، و این شامل توکن دسترسی شخصی کاربر tj-bot-actions هم میشده.»
فعلاً فرض بر اینه که هکر somehow به توکنی دسترسی پیدا کرده که اجازه نوشتن توی سازمان reviewdog رو داشته. ولی اینکه چطوری این توکن به‌دستش رسیده، هنوز مشخص نیست.
حالا جالبه بدونین که هکر اول یه fork از مخزن reviewdog/action-setup ساخته، بعد توش کد مخرب رو اضافه کرده، و در آخر یه pull request زده تا اون تغییرات بیاد توی مخزن اصلی. این حرکت، یه تکنیک معروف به dangling commit هست، که توش commit‌ هایی به پروژه اصلی لینک داده میشن ولی به راحتی قابل شناسایی نیستن.
پژوهشگر امنیتی "Gil" از شرکت Palo Alto میگه: 
«هکر واقعاً حرفه‌ای بوده؛ چون از روش‌ های مختلفی برای قایم کردن ردپاش استفاده کرده، مثل استفاده از dangling commit، ساخت چند تا اکانت موقتی توی گیت‌هاب، و پنهان‌کاری توی لاگ‌های workflow، مخصوصاً توی همون حمله اول به Coinbase.»
تیم Unit 42 حدس میزنه که کاربری که درخواست pull رو داده با یوزرنیم iLrmKCu86tjwp8 ، بعد از اینکه ایمیل اصلیش رو با یه ایمیل موقت و ناشناس عوض کرده، دیگه از دید عموم پنهان شده. 
این باعث شده کل فعالیت‌ هاش توی گیت‌ هاب مخفی بمونه. گیت‌ هاب هم وقتی در موردش سؤال شد، نه تأیید کرد نه رد، فقط گفت که داره موضوع رو بررسی میکنه.
سخنگوی گیت‌هاب گفت: 
«هیچ نشونه‌ ای از نفوذ به خود GitHub یا سیستم‌ های ما وجود نداره. پروژه‌هایی که تحت تأثیر قرار گرفتن، همگی توسط کاربران نگهداری میشن. GitHub همچنان گزارش‌ های کاربران درباره محتوای مخرب رو بررسی و بر اساس قوانین استفاده مجازش اقدام میکنه. کاربران باید قبل از آپدیت هر پکیج یا GitHub Action، بررسی کنن که چی داره به پروژه‌شون اضافه میشه.»
جستجوی عمیق‌ تر روی فورک‌ های tj-actions/changed-files نشون داده که دو اکانت دیگه به اسم 2ft2dKo28UazTZ و mmvojwip هم در این حمله نقش داشتن. هر دو اکانت الان پاک شدن، ولی بررسی‌ ها نشون داده این دو اکانت فورک‌ هایی از پروژه‌ های مرتبط با Coinbase مثل onchainkit، agentkit و x402 ساخته بودن.

در ادامه همین خبر :
همچنین مشخص شده که این اکانت‌ ها فایل changelog.yml توی مخزن agentkit رو طوری تغییر دادن که به نسخه آلوده tj-actions/changed-files اشاره کنه. این تغییرات هم با استفاده از یه pull request و توکن دسترسی انجام شده.
به احتمال زیاد، هکر یه توکن GitHub با دسترسی نوشتن روی پروژه agentkit به‌دست آورده، که از طریق اجرای همین GitHub Action مخرب بهش دست پیدا کرده بوده.
نکته مهم دیگه‌ ای که باید بهش اشاره کرد، اینه که هکر از payload های مختلف توی مراحل مختلف استفاده کرده تا مخفی بمونه مثلاً Gil میگه: «توی حمله گسترده، هکر اطلاعات حافظه runner رو dump میکرد و متغیر های محیطی (env vars) که حاوی رمز بودن رو توی لاگ‌ ها چاپ میکرد، فارغ از اینکه workflow چی بود. ولی توی حمله خاص به Coinbase، فقط GITHUB_TOKEN رو میگرفت و فقط زمانی اجرا میشد که مخزن متعلق به Coinbase بود.»
الان هنوز دقیق نمی‌دونیم هدف نهایی این کمپین چی بوده، ولی احتمال خیلی زیاد هدفش مالی بوده مثلاً سرقت رمزارز چون هدف اولیه Coinbase بوده. خوشبختانه تا تاریخ ۱۹ مارس ۲۰۲۵، Coinbase این حمله رو مهار و اصلاح کرده. ولی با این حال هنوزم مشخص نیست چرا هکر تصمیم گرفت از یه حمله کاملاً هدفمند و مخفی، به یه حمله گسترده و پرریسک رو بیاره، Gil یه حدس جالب زده: «شاید وقتی دید نمیتونه پروژه‌ های Coinbase رو با اون توکن آلوده کنه و فهمید که Coinbase حمله رو شناسایی و خنثی کرده، ترسید که دستش رو بشه و دیگه به tj-actions/changed-files دسترسی نداشته باشه. برای همین تصمیم گرفت سریع عمل کنه و حمله گسترده رو فقط ۲۰ دقیقه بعد از اصلاح Coinbase شروع کرد ، با وجود اینکه خطر شناسایی خیلی بالا رفته بود.»

تو یه سناریوی حمله‌ آزمایشی، یه هکر میتونه یه فایل مخرب رو به شکل یه کتابخونه‌ اشتراکی توی پاد Kubernetes آپلود کنه. این کار با استفاده از قابلیت client-body buffer توی NGINX انجام میشه. بعد از این کار، هکر یه درخواست AdmissionReview به کنترلر پذیرش (admission controller) میفرسته.
حالا این درخواست شامل یکی از تزریق‌های مخرب توی تنظیمات NGINX هست که باعث میشه اون کتابخونه‌ مخرب لود بشه و کد مخرب از راه دور اجرا بشه.

یه محقق امنیت کلود به نام Hillai Ben-Sasson از شرکت Wiz به Hacker News گفته که این حمله با دستکاری تنظیمات NGINX انجام میشه و به هکر اجازه میده که:
1- فایل‌های حساس رو بخونه
2- هر دستوری که می‌خواد اجرا کنه
حتی از اینجا به بعد، هکر میتونه از یه Service Account قوی سوءاستفاده کنه و به اطلاعات مهم Kubernetes مثل secrets دسترسی پیدا کنه. در نهایت، این کار میتونه باعث تصاحب کامل کلاستر بشه.


طبق اعلام کمیته‌ امنیتی Kubernetes، اکثر مشکلاتی که کشف شده مربوط به نحوه‌ پردازش Ingress NGINX برای پارامترهای تنظیماتشه. ولی یه آسیب‌پذیری به اسم CVE-2025-1974 هست که اگه با این باگ‌ ها ترکیب بشه، میتونه باعث تسخیر کامل کلاستر Kubernetes بشه، اونم بدون نیاز به دسترسی ادمین یا اطلاعات ورود.

راه‌حل چیه؟ بعد از گزارش این باگ‌ها، مشکل توی نسخه‌ های جدید Ingress NGINX Controller برطرف شده:
نسخه 1.12.1
نسخه 1.11.5
نسخه 1.10.7
اگه از این کنترلر استفاده میکنی، فوراً برو و به آخرین نسخه آپدیت کن.

چطور از این حمله جلوگیری کنیم؟ مطمئن شو که endpoint مربوط به admission webhook از بیرون در دسترس نیست.
دسترسی به Kubernetes API Server رو محدود کن تا فقط به admission controller وصل بشه.
اگه نیازی به admission controller نداری، موقتاً غیرفعالش کن.
پس اگه نمیخوای یه فرد مخرب ، کلاستر Kubernetes تو رو به دست بگیره و به تمام اطلاعات حساس دسترسی پیدا کنه، سریع آپدیت کن و تنظیمات امنیتی رو چک کن...

هکری به اسم EncryptHub از یه باگ امنیتی که تازه تو ویندوز پچ شده بود، سوءاستفاده کرده و قبل از اینکه کسی بفهمه، کلی بدافزار مختلف روی سیستم‌ ها نصب کرده. این بدافزارها شامل backdoor و... بودن، مثل Rhadamanthys و StealC.

طبق گفته‌ی "علی‌اکبر زهراوی"، یکی از محقق‌ های شرکت امنیتی Trend Micro:
"توی این حمله، هکر با دستکاری فایل‌های .msc و یه چیزی به اسم MUIPath (مسیر رابط کاربری چند زبانه ویندوز)، کاری میکنه که سیستم بره یه فایل مخرب دانلود و اجرا کنه. بعدش هم روی سیستم میمونه و اطلاعات حساس رو به سرقت میبره."
اون باگی که باعث این ماجرا شده بود، یه آسیب‌پذیریه به اسم CVE-2025-26633 با امتیاز خطر ۷ از ۱۰. مایکروسافت اینو این‌جوری توصیف کرده: یه مشکل تو بی‌ اثر کردن درست دستورات تو Microsoft Management Console (MMC) که اجازه میده هکر بتونه به‌صورت لوکال از یه قابلیت امنیتی رد بشه. این باگ اوایل همین ماه تو آپدیت‌های Patch Tuesday فیکس شده.

شرکت Trend Micro به این روش حمله اسم MSC EvilTwin رو داده و گروه هکری پشتش که احتمالاً روسی هستن، با اسم Water Gamayun پیگیری میکنه. این گروه اخیراً هم توسط دو تا شرکت امنیتی دیگه، یعنی PRODAFT و Outpost24 بررسی شده بودن و یه اسم دیگه هم براشون گذاشتن: LARVA-208.
حالا بیایم سر اصل ماجرا:
این باگ (CVE-2025-26633) به هکر اجازه میده از ساختار Microsoft Management Console سوءاستفاده کنه و یه فایل مخرب .msc رو با پاورشل (PowerShell) اجرا کنه، که اسم این لودر هم شده MSC EvilTwin Loader.
تکنیکش این‌جوریه که میاد دو تا فایل .msc با یه اسم درست میکنه:
یکی سالم، یکی هم آلوده.
اون فایل آلوده رو توی یه پوشه به اسم en-US میذاره (که همون پوشه زبان انگلیسی ویندوزه). وقتی فایل سالم رو اجرا میکنی، MMC به‌جای اون، فایل توی en-US رو باز میکنه. چرا؟ چون MMC با توجه به تنظیمات زبانی (MUIPath) اشتباهی فایل مخرب رو لود میکنه.

زهراوی میگه:
"با سوءاستفاده از روش کار mmc.exe با MUIPath، هکر میتونه توی en-US یه فایل .msc آلوده بذاره، و MMC هم موقع اجرا اون فایل مخرب رو به‌جای فایل اصلی باز کنه، بدون اینکه کاربر بفهمه."
اما EncryptHub فقط به همین روش اکتفا نکرده، بلکه دوتا روش دیگه هم برای اجرای بدافزارش استفاده کرده:
استفاده از تابع ExecuteShellCommand تو MMC برای دانلود و اجرای payload بعدی (این روشو اولین بار شرکت هلندی Outflank تو آگوست ۲۰۲۴ کشف کرده بود)
استفاده از دایرکتوری‌های جعلی که شبیه پوشه‌های سیستم واقعی هستن، مثلاً C:\Windows \System32 (ببین فاصله بین Windows و \ رو! واسه گول زدن سیستم!) برای دور زدن کنترل حساب کاربری (UAC) و انداختن فایل مخرب به اسم WmiMgmt.msc.
طبق تحلیل Trend Micro، زنجیره حمله معمولاً این‌ طوری شروع میشه که قربانی‌ ها یه فایل نصب‌ کننده MSI دانلود میکنن که امضای دیجیتالی داره و خودشو جای نرم‌افزار های چینی معروف مثل DingTalk یا QQTalk جا زده. بعدش با همون فایل، لودر بدافزار از یه سرور خارجی دانلود و اجرا میشه.
و زهراوی هشدار میده که:
"این کمپین هنوزم فعاله و داره مدام بهتر میشه. روش‌ های مختلفی برای تحویل بدافزار داره و از payloadهای سفارشی استفاده میکنه که بتونه رو سیستم بمونه، اطلاعات مهمو بدزده و بفرسته به سرورهای کنترل و فرمان (C&C) خودش."

پژوهشگرای امنیت سایبری یه عالمه باگ امنیتی جدید (۴۶ تا) تو وسایل سه تا شرکت معروف که اینورتر خورشیدی میسازن یعنی Sungrow، Growatt و SMA پیدا کردن. اگه یکی از این باگ‌ها رو یه هکر استفاده کنه، میتونه کنترل دستگاهو از راه دور به‌ دست بگیره یا روش کُد دلخواه اجرا کنه؛ خلاصه این‌جوری حسابی ممکنه به شبکه برق آسیب جدی وارد بشه.

اسم این مجموعه باگ‌ها رو گذاشتن SUN:DOWN.
توی گزارشی که دادن گفتن این باگ‌ها اجازه میده که :
1- دستورهای دلخواه روی دستگاه یا سرور ابری شرکت اجرا بشه،
2- حسابای کاربرا به سرقت بره ،
3- هکر به زیرساخت‌ های شرکت نفوذ کنه.

چندتا از باگ‌ های جالبی که کشف کردن ایناست:
یه فایل با پسوند .aspx میفرستی به سایت SMA، سرورش اجراش میکنه و از اونجا دیگه هکر میتونه کد مخرب خودشو اجرا کنه.
بدون اینکه لاگین کنی، میتونی با یه آدرس خاص توی سایت Growatt بفهمی اسم کاربرای واقعی چیه.
همین‌ جوری میشه فهمید کی چه دستگاه خورشیدی داره، و حتی اونارو کنترل کنی...
اگه یه نام کاربری واقعی داشته باشی، میتونی شماره سریال یه کنتور هوشمند رو بکشی بیرون و حساب اون بنده خدا رو هک کنی.
حتی میتونی اطلاعات شارژر ماشین برقی، مصرف انرژی و چیزای حساس دیگه رو بکشی بیرون و از راه دور تنظیماتشونو تغییر بدی.
اپ اندرویدی Sungrow از رمزنگاری خیلی ضعیف استفاده میکنه؛ یعنی یه هکر میتونه ارتباط بین موبایل و سرور رو شنود کنه و بخونه.

این اپ حتی اگه گواهی SSL معتبر نباشه، باز هم میگه مشکلی نیست و کارشو ادامه میوه و این یعنی وسط اون ارتباط میشه حمله کرد.
تو رابط وب WiNet هم یه رمز عبور ثابت و پیش‌فرض گذاشتن که هرکسی داشته باشه میتونه فریمورها رو رمزگشایی کنه.
چندتا باگ هم تو پیام‌ های MQTT هست که میتونه باعث بشه از راه دور کُد اجرا بشه یا دستگاه هنگ کنه.
خلاصه، Forescout گفته اگه یه هکر بتونه این باگ‌ ها رو استفاده کنه و یه عالمه از این دستگاه‌ ها رو بگیره دست خودش، اون‌وقت دیگه میتونه کاری کنه شبکه برق حسابی به هم بریزه.
مثلاً تو یه سناریوی فرضی، هکر میتونه با یه API که محافظت نداره، اسم واقعی کاربرا رو حدس بزنه، رمزهاشونو با "123456" ریست کنه و بعد هم همه چی رو به‌هم بریزه.
بدتر اینکه، بعدش میتونه همه این دستگاه‌ های هک‌ شده رو یه‌جورایی مثل بات‌ نت کنترل کنه و حمله بزرگی به شبکه برق بزنه که باعث خاموشی بشه. خوشبختانه شرکت‌ ها با مسئولیت‌پذیری این مشکلات رو رفع کردن.

از طرفی Forescout هشدار داده اگه یه فرد مخرب بتونه این دستگاه‌ها رو کنترل کنه، میتونه جریان برق به شبکه رو زیاد یا کم کنه و تو تولید انرژی اختلال بندازه. این یعنی ممکنه حملات ترکیبی سایبری-فیزیکی هم راه بیوفته.
رییس تحقیقاتی Forescout هم گفته برای کم کردن خطر، باید موقع خرید تجهیزات خورشیدی حواسمون حسابی جمع باشه، دائماً بررسی امنیتی انجام بدیم و شبکه‌ ای که این دستگاه‌ها توشن رو کامل تحت نظر داشته باشیم.

جدا از اینا، یه سری دوربین نظارتی خط تولید هم که ساخت یه شرکت ژاپنی به اسم Inaba Denki Sangyo هست، کلی باگ داره. هنوز هم پچ نشدن، ولی شرکت گفته حداقل دسترسی اینترنت بهشون قطع بشه و تو جای امن نصب بشن.
این دوربین‌ها به هکر اجازه میدن از راه دور دوربینو ببینه یا ضبط رو قطع کنه، که خب برای کنترل کیفیت فاجعه‌ هستش.
توی چند ماه گذشته هم چند تا مشکل امنیتی توی دستگاه‌ های صنعتی دیگه از جمله رله GE Vernova، گیت‌ وی Zettler و PLC شرکت Wago پیدا شده که میتونه باعث بشه یه هکر کل دستگاهو بگیره دست خودش‌.

محقق‌ های امنیت سایبری دو تا پکیج مخرب توی ریجستری npm پیدا کردن که هدفشون اینه که یه پکیج دیگه که روی سیستم نصب شده رو آلوده کنن. این نشون میده که حمله‌ های Software Supply Chain Attacks همچنان دارن پیشرفت میکنن و جامعه اوپن سورس رو هدف قرار دادن.

اون دو تا پکیج که مشکل داشتن، ethers-provider2 و ethers-providerz هستن. اولی از ۱۵ مارس ۲۰۲۵ منتشر شده و تا حالا ۷۳ بار دانلود شده. اما دومی که احتمالاً خود نویسنده‌ بدافزار حذفش کرده، هیچ دانلودی نداشته.
یه محقق از ReversingLabs به اسم Lucija Valentić گفته:
"این پکیج‌ ها در واقع فقط یه دانلودر ساده بودن که محتوای مخربشون خیلی هوشمندانه مخفی شده بود."

قسمت جالب ماجرا اینه که این پکیج‌ها توی مرحله دوم حمله‌ شون، یه فایل مخرب به یه پکیج npm معتبر به اسم ethers (که روی سیستم نصب شده) اضافه میکردن. این فایل در نهایت باعث میشد که سیستم قربانی یه reverse shell داشته باشه، یعنی یه راه مخفی که هکر میتونه از راه دور وارد سیستم بشه.
این یه حرکت جدیده که نشون میده مهاجم‌ ها دارن تاکتیک‌ های خودشون رو ارتقا میدن. حتی اگه قربانی این پکیج‌ های آلوده رو پاک کنه، مشکل حل نمیشه، چون تغییرات توی یه کتابخونه‌ معتبر اعمال شده. بدتر از اون، اگه کاربر ethers رو پاک کنه ولی ethers-provider2 هنوز روی سیستم باشه، وقتی دوباره پکیج ethers رو نصب کنه، سیستمش دوباره آلوده میشه‌‌...

طبق تحلیل ReversingLabs، پکیج ethers-provider2 یه نسخه آلوده‌ شده از ssh2 (یکی از پکیج‌های معروف npm) هست. داخل فایل install.js این پکیج، یه کد مخرب هست که میره از یه سرور راه دور (5.199.166.1:31337/install) یه بدافزار دومرحله‌ ای رو دانلود میکنه، اون رو توی یه فایل موقت مینویسه و اجراش میکنه.
بعد از اجرا، فایل موقت سریعاً حذف میشه تا ردپایی روی سیستم نمونه. این بدافزار دومرحله‌ای یه کار جالب دیگه هم میکنه:
یه حلقه‌ بی‌نهایت اجرا میشه تا چک کنه که آیا پکیج ethers روی سیستم نصب شده یا نه.
اگه این پکیج نصب شده باشه یا تازه نصب بشه، بدافزار وارد عمل میشه و یه فایلی به اسم provider-jsonrpc.js رو با یه نسخه جعلی جایگزین میکنه. این فایل جعلی یه کد اضافی داره که یه مرحله سوم بدافزار رو از همون سرور دانلود و اجرا میکنه. این مرحله جدید هم در نهایت باعث میشه که سیستم قربانی یه reverse shell روی SSH داشته باشه.
از طرفی Valentić گفته:
"این یعنی وقتی این اتصال با سرور باز بشه، سیستم قربانی به یه reverse shell تبدیل میشه و مهاجم میتونه از راه دور کنترلش کنه. حتی اگه ethers-provider2 از سیستم پاک بشه، تحت یه شرایط خاص، این کلاینت همچنان میتونه استفاده بشه و به مهاجم‌ها یه سطحی از پایداری بده."

یه نکته مهم اینه که پکیج رسمی ethers روی ریجستری npm آلوده نشده. این تغییرات فقط بعد از نصب و به‌صورت محلی اعمال میشن.

پکیج ethers-providerz هم دقیقاً همون کار رو انجام میداده و میخواسته فایل‌ های یه پکیج npm دیگه به اسم ethersproject/providers رو تغییر بده. البته هنوز مشخص نیست که دقیقاً کدوم پکیج هدف اصلیش بوده، ولی توی کدهاش به loader.js اشاره شده...

محققای امنیت سایبری یه بدافزار بانکی جدید برای اندروید کشف کردن به اسم Crocodilus که بیشتر کاربرا توی اسپانیا و ترکیه رو هدف قرار داده.
طبق گزارش ThreatFabric، این بدافزار یه کپی ساده از بقیه تروجان‌ های بانکی نیست، بلکه از همون اول با تکنیک‌ های پیشرفته‌ ای مثل کنترل از راه دور و سرقت اطلاعات از طریق لاگ‌های دسترسی (Accessibility Logging) وارد بازی شده.
مثل بقیه تروجان‌ های بانکی، هدف Crocodilus اینه که کنترل کامل گوشی رو به دست بگیره و در نهایت تراکنش‌ های جعلی انجام بده. برثی سورس کد و لاگ‌ های دیباگ نشون داده که سازنده این بدافزار به زبان ترکی صحبت میکنه.

نحوه کار کردن این بدافزار Crocodilus اینطوریه که خودش رو جای گوگل کروم جا میزنه (با یه اسم پکیج عجیب "quizzical.washbowl.calamity") و میتونه از محدودیت‌ های امنیتی اندروید ۱۳ به بعد رد بشه.
وقتی نصب شد، از کاربر اجازه‌ دسترسی به سرویس‌ های دسترسی‌ پذیری (Accessibility Services) اندروید رو میگیره.
بعدش به یه سرور راه دور وصل میشه تا دستورات جدید بگیره، لیست اپ‌ های مالی هدف رو دریافت کنه و صفحه‌ های جعلی HTML رو بارگذاری کنه تا اطلاعات ورود رو سرقت کنه.
این بدافزار فقط بانک‌ ها رو هدف قرار نمیده، بلکه به کیف‌ پول‌ های ارز دیجیتال هم حمله میکنه به‌ جای نمایش یه صفحه ورود جعلی، یه پیام هشدار نشون میده که به کاربر میگه "اگه تا ۱۲ ساعت آینده عبارت بازیابی (Seed Phrase) رو ذخیره نکنی، دسترسیت به کیف‌ پولت رو از دست میدی". اما در واقع، همین روش باعث میشه هکرها عبارت بازیابی رو بدزدن و کل دارایی‌ های دیجیتال قربانی رو خالی کنن.
قابلیت‌های مهم این بدافزار:

1- اجرای یه اپ مشخص
2- حذف خودش از روی دستگاه
3- ارسال نوتیفیکیشن جعلی
4- ارسال پیامک به همه یا بعضی از مخاطبین
5- دریافت لیست مخاطبین
6- گرفتن لیست اپ‌های نصب‌ شده
7- خوندن پیامک‌ها
8- درخواست مجوز مدیر دستگاه (Device Admin)
9- تغییر تنظیمات سرور (C2)
10- فعال/غیرفعال کردن صدا
11- فعال/غیرفعال کردن کی‌ لاگر
12- تبدیل‌شدن به برنامه پیش‌فرض SMS


از طرفی ThreatFabric گفته که Crocodilus نسبت به بقیه بدافزار های تازه‌ کشف‌ شده خیلی حرفه‌ای‌ تر و خطرناک‌ تره، چون از همون ابتدا قابلیت‌ های پیشرفته‌ ای مثل کنترل از راه دور  و... رو داشته.
این در حالی اتفاق افتاده که محققای Forcepoint یه کمپین فیشینگ جدید رو کشف کردن که با استفاده از یه اسکریپت ویژوال بیسیک رمزنگاری‌شده، بدافزار بانکی Grandoreiro رو روی ویندوز پخش میکنه و کاربرای مکزیک، آرژانتین و اسپانیا رو هدف قرار داده....

یه تازه‌کار تو دنیای جرایم سایبری دیده شده که با کمک گرفتن از یه سرویس روسی به اسم Proton66 که از اون مدل میزبان‌ هایی هست که بهشون میگن Bulletproof Hosting (BPH) (یعنی سرورهایی که به راحتی بسته نمیشن و برای کارهای خلاف خیلی محبوبن)، داره کارهای خودش رو پیش میبره.

شرکت امنیتی DomainTools این قضیه رو فهمید، وقتی یه سایت قلابی به اسم cybersecureprotect.com رو پیدا کرد که روی همین Proton66 میزبانی میشد. این سایت وانمود میکرد یه آنتی‌ ویروس خفن و امنه، ولی در واقع داشته بدافزار پخش میکرده.

از طرفی DomainTools گفت تو تنظیمات این سایت یه سوتی امنیتی (OPSEC failure) پیدا کرده بودن که باعث شد بشه راحت به کل زیرساخت مخرب اون نفوذ کرد و فایل‌هایی که روی سرور گذاشته بودن رو دید.
تو گزارششون گفتن:

"این کشف ما رو برد توی لونه خرگوش و باعث شد برسیم به کارای یه هکر تازه‌ کار که اسمش رو گذاشتن Coquettte، یه خلافکار سایبری آماتور که با استفاده از Proton66 داره بدافزار پخش میکنه و خلافای دیگه هم انجام میده."

این Proton66 که تازه یه سرویس مشابه دیگه به اسم PROSPERO هم بهش ربط داره، قبلاً هم تو چندتا کمپین خرابکاری دیده شده که بدافزارهایی برای دسکتاپ و اندروید مثل GootLoader، Matanbuchus، SpyNote، Coper (همون Octo) و SocGholish رو پخش کرده. بعضی از سایت‌های قلابی‌ ای که روش میزبانی میشه، از طریق پیامک برای مردم ارسال میشن تا اونارو گول بزنن که اطلاعات بانکی و کارت اعتباری‌ شون رو وارد کنن.

و Coquettte هم یکی از همون خلافکارهاست که با استفاده از امکانات Proton66 بدافزار پخش میکنه، اونم در قالب یه ابزار آنتی‌ویروس قلابی.
شکلش این‌جوریه: یه فایل فشرده ZIP به اسم "CyberSecure Pro.zip" که توش یه نصاب برای ویندوزه، و وقتی اجراش میکنی، یه بدافزار دیگه از یه سرور دیگه دانلود میکنه. این سرور کنترلش دست خودشونه و باهاش بقیه بدافزارها رو از یه سیستم فرماندهی (C2) به اسم cia.tf میفرستن.

بدافزار دوم یه لودره به اسم Rugmi (که بهش Penguish هم میگن)، که قبلاً هم برای نصب بدافزارهایی مثل Lumma، Vidar و Raccoon استفاده شده همشون هم برای جاسوسی و سرقت اطلاعات استفاده میشن .
بعد که بیشتر بررسی کردن، ردپای دیجیتالی Coquettte رو پیدا کردن؛ یه سایت شخصی داشت که توش گفته بود:

"من یه مهندس نرم‌افزار ۱۹ ساله‌ام، دارم رشته توسعه نرم‌افزار میخونم."

ولی خب، همون دامنه cia.tf رو با ایمیل root@coquettte.com ثبت کرده بوده. یعنی رسماً خودش پشت همه ماجرا بوده: هم سایت قلابی، هم سرور بدافزار.

و از طرفی DomainTools گفته:

"احتمال زیاد Coquettte یه جوون دانشجوئه که چون هنوز آماتوره، تو کاراش اشتباه‌های ساده میکنه (مثل باز گذاشتن دایرکتوری توی سرور)."

اما کاراش فقط به بدافزار ختم نمیشه...
این فرد سایبری فقط به پخش ویروس و این چیزا بسنده نکرده، بلکه یه سری سایت دیگه هم راه انداخته که توش راهنماهایی برای ساخت مواد غیرقانونی و سلاح‌ها میفروشه.
بررسی‌ها نشون میده که Coquettte احتمالاً عضو یه گروه بزرگ‌ تر به اسم Horrid هست.
تو گزارش اومده:

"ساختار مشترک این سایت‌ ها نشون میده که افرادی که پشتش هستن، خودشونو با اسم 'Horrid' معرفی میکنن، و Coquettte احتمالاً اسم مستعار یکی از اعضای این گروهه، نه اینکه تنها بازیگر ماجرا باشه."


و در آخر گفتن:
"این گروه به چندتا دامنه مرتبط با جرم و خلاف وصل میشه، و به‌نظر میرسه مثل یه نوع مرکز رشد برای خلافکارای سایبری تازه‌ کار عمل میکنه؛ هم ابزار بهشون میده، هم زیرساخت لازم...."

یه باگ جدید توی WinRAR پیدا شده که به هکرها این امکان رو میده از یکی از ویژگی‌ های امنیتی اصلی ویندوز رد بشن و هر کدی که بخوان روی سیستم قربانی اجرا کنن.
این باگ با کد CVE-2025-31334 شناخته میشه و روی تمام نسخه‌ های WinRAR قبل از نسخه‌ ۷.۱۱ اثر میذاره. امتیاز امنیتی‌ ای که براش در نظر گرفتن ۶.۸ از ۱۰ هست، یعنی باگ خطرناکیه و پتانسیل حمله‌ جدی داره.

این باگ، سیستم امنیتی «Mark of the Web (MotW)» توی ویندوز رو هدف گرفته. این سیستم، فایل‌هایی که از منابع مشکوک (مثلاً اینترنت) دانلود شدن رو علامت‌گذاری میکنه و اجازه نمیده راحت اجرا بشن.
هکرها میتونن از یه نقطه‌ ضعف تو نحوه‌ برخورد WinRAR با Symbolic Link ها سوءاستفاده کنن. این لینک‌ ها درواقع مثل میان‌برهایی هستن که به فایل یا فولدر دیگه‌ ای اشاره میکنن. با یه ترفند خاص، هکرها میتونن هشدارهای امنیتی ویندوز رو دور بزنن.

چجوری حمله اتفاق میوفته؟
کافیه کاربر یه فایل فشرده‌ آلوده رو باز کنه، یا وارد یه صفحه‌ آلوده بشه که اون فایل فشرده رو میزبانی میکنه. اگه حمله موفق باشه، هکر میتونه سیستم قربانی رو تو همون سطح دسترسی‌ای که کاربر وارد شده، کنترل کنه.

فعلاً مدرکی از سوءاستفاده‌ی فعال از این باگ دیده نشده، ولی باگ‌ های مشابه (مثل CVE-2023-38831 تو سال ۲۰۲۳) قبلاً برای پخش بدافزارهایی مثل DarkMe و Agent Tesla استفاده شدن.

هر نسخه‌ای از WinRAR که قدیمی‌ تر از نسخه ۷.۱۱ باشه این باگ رو داره. خوشبختانه شرکت RARLAB که WinRAR رو توسعه میده، تو آخرین آپدیتش این باگ رو درست کرده. پس توصیه اکید اینه که همین الآن WinRAR رو آپدیت کنین...

بیاید و WinRAR رو حتماً به نسخه ۷.۱۱ یا بالاتر از سایت رسمی RARLAB آپدیت کنین.
وقتی یه کاربر یه فایل فشرده‌ آلوده رو باز میکنه که توش یه Symbolic Link خاص طراحی شده، WinRAR اون تگ امنیتی MotW رو به فایل مقصد لینک اعمال نمیکنه. این یعنی بدافزار میتونه بدون اینکه ویندوز اخطار بده اجرا بشه.

ایجاد Symbolic Link به‌صورت پیش‌ فرض تو ویندوز نیاز به دسترسی مدیر (Administrator) داره، که باعث میشه همه‌ سیستم‌ها به راحتی قابل نفوذ نباشن. ولی اگه سیستم قبلاً هک شده باشه یا دسترسی‌ها باز باشه، خطر هنوز پابرجاست.

یه سری پیشنهاد های امنیتی هست :
محدود کردن ساخت Symbolic Link: فقط ادمین‌های مورد اعتماد باید اجازه‌ ساخت چنین لینک‌هایی رو داشته باشن، مخصوصاً تو شرکت‌ها.
مراقب باشین چه فایلی رو باز میکنین: فایل فشرده‌ای که از جای مشکوک اومده رو اصلاً باز نکنین، حتی اگه ظاهرش خیلی بی‌آزاره.
این باگ توسط Taihei Shimamine از شرکت Mitsui Bussan Secure Directions کشف شده، با هماهنگی JPCERT/CC و مرکز هشدار سریع امنیت اطلاعات.

این ماجرا نشون میده که نرم‌افزارهای فشرده‌سازی مثل WinRAR که کاربرد خیلی زیادی دارن، چقدر باید مراقب باشن که بین راحتیِ کاربر و امنیت، تعادل ایجاد کنن. چون هکرها بیشتر دنبال نرم‌افزارهایی‌ان که میلیون‌ها نفر استفاده میکنن — مثل همین WinRAR که بالای ۵۰۰ میلیون کاربر داره...
این باگ یه زنگ خطر جدیه درباره‌ مشکلاتی که باعث دور زدن سیستم MotW میشن. قبلاً هم نرم‌افزارهایی مثل 7-Zip با باگی مثل CVE-2025-0411 همین بلا سرشون اومده بود. این جور حملات باعث میشن ویروس یا بدافزار بدون اینکه حتی آنتی‌ویروس متوجه بشه، اجرا بشه؛ به اینا میگن "حملات بدون فایل" (Fileless Attacks).
رفتار سریع شرکت RARLAB برای رفع این مشکل، شبیه واکنشی بود که به باگ مهم CVE-2023-38831 تو سال قبل نشون داده بود. ولی این‌که هی این باگ‌ها تکرار میشن، نشون میده که باید همیشه نرم‌افزارها رو بررسی کرد و به‌روز نگه داشت.
درسته که این باگ به خاطر نیاز به دسترسی ادمین و شرایط خاص، فوراً قابل سواستفاده نیست، ولی نباید شوخی گرفتش.

آژانس‌ های امنیت سایبری از کشور های استرالیا، کانادا، نیوزیلند و آمریکا یه اخطاریه‌ مشترک دادن درباره‌ یه روش دردسرساز به اسم «فَست فلوکس» که بعضی هکرها ازش استفاده میکنن تا مخفی بمونن و سرور C2 رو قایم کنن.

"فَست فلوکس یه تکنیکه که برای مخفی کردن مکان سرور های مخرب استفاده میشه، اونم با عوض کردن سریع رکورد های DNS که به یه دامین خاص وصلن"، اینو آژانس‌ ها گفتن. "این تهدید از یه نقطه‌ ضعف معمول تو سیستم‌ های دفاعی شبکه سوء استفاده میکنه، واسه همین هم ردگیری و بستن این فعالیت‌ های مخرب خیلی سخت میشه."
این هشدار توسط سازمان‌های بزرگی منتشر شده مثل: سازمان امنیت سایبری و زیرساخت آمریکا (CISA)، آژانس امنیت ملی آمریکا (NSA)، اف‌بی‌آی، مرکز امنیت سایبری استرالیا، مرکز امنیت سایبری کانادا و مرکز امنیت سایبری نیوزیلند.
تو چند سال اخیر، کلی گروه هکری از این روش استفاده کردن، مخصوصاً اونایی که به گروه‌ های مثل Gamaredon، CryptoChameleon و Raspberry Robin وصلن، تا سرورهای مخرب‌ شون راحت‌ تر از دست سیستم‌ های امنیتی و پلیس فرار کنن.
ماجرا چیه؟ طرف میاد کلی آی‌ پی مختلف رو استفاده میکنه و سریع سریع اونا رو عوض میکنه، ولی همشون به یه دامین مخرب اشاره دارن. اولین بار سال ۲۰۰۷ این روش تو پروژه‌ ای به اسم Honeynet کشف شد.
این کار یا به صورت «سینگل فلوکس» انجام میشه، یعنی یه دامین به کلی آی‌پی مختلف وصله، یا به صورت «دابل فلوکس»، که توش هم آی‌ پی‌ ها و هم سرور های DNS که وظیفه‌ پاسخ به اون دامین رو دارن، دائم عوض میشن. اینجوری هم بیشتر پنهون میشن، هم محکم‌ تر.

آژانس‌ ها گفتن این فست فلوکس فقط واسه قایم کردن سرورها نیست، بلکه یه زیرساخت با دوام و مقاوم واسه C2 درست میکنه که در برابر تلاش‌ های شناسایی و نابود کردن، سرسخت بمونه.
ولی تموم ماجرا این نیست. فست فلوکس تو خیلی کارای دیگه هم نقش داره، مثلا واسه میزبانی سایت‌ های فیشینگ یا حتی پخش کردن بدافزارها.
حالا واسه مقابله با این قضیه، آژانس‌ ها پیشنهاد دادن که سازمان‌ ها بیان آی‌ پی‌ ها رو بلاک کنن، دامین‌ های مشکوک رو به اصطلاح «سینک‌ هول» کنن (یعنی یه جورایی بندازن تو یه چاه بی‌ ته که دیگه کار نکنن)، ترافیک رفت و آمد به دامین‌ ها و آی‌ پی‌ هایی که مشکوک هستن رو فیلتر کنن، سیستم‌ های مانیتورینگ قوی‌ تر راه بندازن و آموزش‌ های ضد فیشینگ بدن.
در نهایت، آژانس‌ ها گفتن: "فست فلوکس یه تهدید همیشگی برای امنیت شبکه‌ هاست که با زیرساخت‌ های در حال تغییر سریع، فعالیت‌ های مخرب رو قایم میکنه. با اجرای استراتژی‌ های درست برای تشخیص و مقابله، سازمان‌ ها میتونن تا حد زیادی جلوی آسیب دیدن از تهدیدهای مبتنی بر فست فلوکس رو بگیرن."

یه سری افزونه (extension) مرورگر هستن که واقعاً کارای ناجوری میکنن ...
بعضیاشون نه‌تنها کار خاصی انجام نمیدن، بلکه کاربر رو یواشکی میفرستن تو سایت‌ های شرط‌بندی، یا هشدار جعلی ویروس اپل نشون میدن، یا اینکه خریدای کاربر رو میدزدن و از طریق لینک‌های افیلیت (همون‌هایی که پورسانت میدن) میفرستن تا پول به جیب بزنن.

بدتر از همه اینه که بعضیاشون حتی یواشکی یه آی‌ فریم نامرئی تو صفحه جا میندازن که یه آیدی مخصوص توش هست و میتونه کاربر رو شناسایی و ردیابی کنه، بدون اینکه بفهمه...
همه‌ این افزونه‌ها توسط یه آدم خرابکار با اسم کاربری "mre1903" منتشر شدن. اسامیشون ایناست:
CalSyncMaster
VPN - Grab a Proxy - Free
GimmeGimme
Five Nights at Freddy's
Little Alchemy 2
Bubble Spinner
1v1.LOL
Krunker io Game
تحقیق‌گر امنیتی به اسم Kush Pandya از شرکت Socket گفته:
"افزونه‌های مرورگر هنوزم یکی از مسیرهای محبوب برای حمله هستن، چون هم از نظر کاربرا قابل اعتمادن، هم دسترسی‌های خیلی زیادی دارن، و هم میتونن تو همون محیط امن مرورگر اجرا بشن."
بعدش اضافه کرده: "ما داریم میبینیم که تهدیدها از یه چیز ساده مثل ریدایرکت‌ های الکی، سریع پیشرفت میکنن و میرسن به دزدیدن اطلاعات لاگین با استفاده از OAuth. این نشون میده که چقدر سریع این حملات دارن پیشرفت میکنن و بزرگ میشن."

و از همه بدتر، اون زیرساخت ریدایرکت‌ کردن (که اولش فقط برای پرت‌کردن کاربر به سایت شرط‌بندی استفاده میشد)، خیلی راحت میتونه برای کارای بدتری هم استفاده بشه مثل ردیابی کامل کاربر، دزدیدن رمز و اطلاعات حساب‌هاش، یا حتی پخش بدافزار و ویروس.

هکرها دارن وارد یه فاز جدیدی تو ساخت بات‌ نت‌ها میشن؛ جایی که از دراپرهای چندمعماری، ارتباط با سرور کنترل از طریق DoH و پِی‌لودهای رمز شده با XOR استفاده میکنن تا از دست IDS های قدیمی در برن.
تو این دسته، بدافزار RondoDox کنار تهدیدهایی مثل RustoBot و Mozi قرار میگیره؛ همگی ساخته شدن تا از ضعف امنیتی تو دستگاه‌های IoT و مودم‌ ها سوءاستفاده کنن.

از طرفی RondoDox میاد چند پوشه مهم لینوکسی مثل /usr/bin و /usr/sbin رو اسکن میکنه و فایل‌ های اجرایی حساسی مثل iptables, passwd, reboot و ... رو با اسم‌هایی مثل jsuJpf یا gaajct تغییر میده تا بازیابی‌شون سخت بشه.

بعد از نصب، با سرور 83.150.218.93 تماس میگیره تا دستور حملات DDoS با پروتکل‌ های HTTP، UDP و TCP رو بگیره.
برای اینکه ترافیکش شناسایی نشه، خودش رو جا میزنه جای برنامه‌ هایی مثل:
Minecraft
Fortnite
GTA
Roblox
Discord
OpenVPN
WireGuard
RakNet
STUN، DTLS و RTC
ایده‌ش اینه که توی ترافیک طبیعی گم بشه و شناسایی نشه.
طبق گفته "Li"، RondoDox یه بدافزار پیشرفته هست با ویژگی‌ هایی مثل:
ضدمکانیزم تحلیل
کانفیگ رمز شده با XOR
لایبرری‌های اختصاصی
سیستم موندگاری قوی
که باعث میشن راحت مخفی بمونه و کنترل بلندمدت روی سیستم داشته باشه.

یه گروه هکری معروف که فکر میکنن ریشه‌ اون برمیگرده به هند، دیده شده که یکی از وزارتخانه‌ های امور خارجه‌ اروپا رو با یه بدافزار هدف گرفته که توانایی داره اطلاعات حساس رو از سیستم قربانی بکشه بیرون.
مرکز تحقیقات پیشرفته‌ Trellix گفته این حمله توسط یه گروه APT پیشرفته به اسم DoNot Team انجام شده. این گروه اسم‌ های دیگه‌ای هم داره، مثل APT‑C‑35، Mint Tempest، Origami Elephant، SECTOR02 و Viceroy Tiger، و از سال ۲۰۱۶ تا الان فعاله.
محقق‌ های Trellix گفتن که این گروه عادت داره از بدافزارهای مخصوص ویندوز استفاده کنه که خودشون نوشتنش، مثل بک دور هایی با اسم YTY و GEdit. این بدافزارها معمولاً با ایمیل‌ های فیشینگ هدفمند (spear phishing) یا فایل‌ های مخرب پخش میشن. هدف اصلیشون معمولاً سازمان‌های دولتی، وزارتخانه‌ ها، ارتش و سازمان‌های غیردولتی توی جنوب آسیا و اروپا هستن.

تو این حمله، طرف مقابل یه ایمیل دریافت کرده از یه حساب جعلی Gmail با اسم مشکوک، که مثلاً خودش رو زده به عنوان تیم دفاعی. موضوع ایمیل هم یه چیزی بوده مثل "بازدید وابسته‌ نظامی ایتالیا از داکا، بنگلادش" تا قشنگ رسمی و واقعی به نظر برسه. توی ایمیل یه لینک Google Drive گذاشتن که وقتی روش کلیک میکنی، یه فایل RAR به اسم SyClrLtr.rar دانلود میکنی.
داخل این فایل RAR، یه فایل اجرایی هست به اسم notflog.exe که آیکونش شبیه فایل PDF طراحی شده تا کسی شک نکنه. وقتی این فایل اجرا بشه، یه اسکریپت batch میسازه و توی پوشه Temp ذخیره میکنه و بعد یه scheduled task به اسم "PerformTaskMaintain" درست میکنه که هر ۱۰ دقیقه یه‌بار اجرا میشه. این بدافزار همون چیزیه که بهش میگن LoptikMod، که از سال ۲۰۱۸ تا حالا فقط گروه DoNot ازش استفاده کرده.

محقق‌ها بررسی کردن و دیدن توی فایل اجرایی یه استرینگ وجود داره که نوشته "Loptik" که نشون میده این همون بدافزار LoptikMod هست. از بین ۶۵۳ تابع داخل این فایل، حداقل ۱۹ تا از اونا قبلاً به عنوان بخش‌های مخرب شناسایی شدن. خیلی از رشته‌ها به صورت رمز شده بودن و بعضی قسمت‌ ها هم به شکل packed بودن، که اینا همش برای سخت‌ تر کردن تحلیل انجام شده.
این فایل بدافزار همچنین از تابع‌های runtime مثل LoadLibrary و GetProcAddress استفاده میکنه تا APIهای لازم رو از سیستم فراخوانی کنه بدون اینکه مستقیم توی کد دیده بشه. DLLهایی مثل wininet.dll، advapi32.dll، winhttp.dll، urlmon.dll و ws2_32.dll هم بارگذاری میشن.
وقتی بدافزار اجرا میشه، اول یه mutex به اسم "08808" میسازه تا مطمئن بشه فقط یه نمونه از برنامه در حال اجراست. بعد با استفاده از یه دستور سطح پایین (IN instruction) بررسی میکنه که آیا توی یه ماشین مجازی داره اجرا میشه یا نه. بعد یه پوشه موقتی به اسم %LocalAppdata%\TEMP\FROX\ درست میکنه و یه فایل batch داخل اون میریزه.
برای اینکه مطمئن بشه بعد از ری‌ استارت سیستم هم می‌تونه اجرا بشه، یه task دیگه هم درست میکنه به اسم "MicorsoftVelocity" (که خیلی شبیه Microsoft نوشته شده ولی عمداً اشتباهه تا گمراه کنه) که وظیفه‌ اون اجرای یه DLL مخرب به اسم socker.dll هست.

این بدافزار اطلاعات سیستم رو هم جمع‌آوری میکنه، مثل مدل CPU، نسخه‌ ویندوز، اسم کاربر، اسم دستگاه، شناسه‌ پردازنده، لیست نرم‌افزارهای نصب‌ شده و ... بعد این اطلاعات رو با الگوریتم AES رمزگذاری میکنه و تبدیلشون میکنه به Base64 و از طریق HTTP POST میفرسته به سرور فرماندهی که آدرسش هست totalservices[.]info.
ارتباط با این سرور از طریق HTTPS انجام میشه و آی‌ پیش هم 64.52.80.252 هست. احتمال داره از این طریق دستورهای بیشتری هم به بدافزار فرستاده بشه، یا فایل‌های جدیدی مثل socker.dll دانلود و اجرا بشن.
البته در زمان بررسی Trellix، این سرور C2 (فرماندهی و کنترل) از کار افتاده بوده. این میتونه به این معنی باشه که یا موقتاً خاموشش کردن یا اینکه هکرها کلاً رفتن سراغ یه سرور جدید.
این گروه APT که به اسم DoNot شناخته میشن، از سال ۲۰۱۶ تا حالا فعال بوده و بیشتر توی منطقه‌ی جنوب آسیا هدف‌گذاری میکردن. ولی این حمله جدید که مربوط به یه نهاد دولتی اروپاییه، نشون میده که هدف‌ هاشون حالا گسترده‌ تر شده و دیگه فقط به آسیا محدود نمیشن.

تاکتیک‌ هاشون هم به‌ روز شده. از spear-phishing پیشرفته، فایل‌های آرشیو شده‌ فریبنده، و بدافزارهای سفارشی‌ شده استفاده میکنن. همچنین از سرویس‌هایی مثل Google Drive برای پخش بدافزار استفاده میکنن که این نشون میده چقدر زرنگ و خلاق‌ هستن .

توی یه خبر لینوکسی جدید wayland که یه جایگزین اوپن سورس برای پروتکل و معماری سیستم پنجره‌ای X11 هست، یکی دو روز پیش به نسخهٔ ۱.۲۴ آپدیت شده و کلی ویژگی و بهبود جدید بهش اضافه شده.
تو نسخهٔ Wayland 1.24 یه رابط جدید به اسم wl_fixes اضافه شده که اجازه میده بتونی یه شیٔ wl_registry رو با یه درخواست جدید حذف کنی. همین‌ طور تو این نسخه، دوتا تابع جدید به اسم‌ های wl_proxy_get_interface() و wl_resource_get_interface() معرفی شدن که بهت اجازه میدن رابط شیٔ (یعنی wl_interface) رو دریافت کنی. دوتا تابع دیگه به اسم‌های wl_display_dispatch_queue_timeout() و wl_display_dispatch_timeout() هم اضافه شدن که باهاشون میتونی برای dispatch کردن event‌ها یه timeout تنظیم کنی.
نسخهٔ جدید Wayland همین‌طور یه وضعیت جدید برای wl_keyboard.key معرفی کرده به اسم repeated state که باعث میشه کامپوزیتور (مدیر پنجره‌ها) خودش مسئول تکرار کلیدها بشه. این موضوع توی سشن‌ های دسکتاپ از راه دور خیلی کاربردیه. همچنین یه تابع دیگه هم به اسم wl_resource_post_error_vargs() معرفی شده که یه جایگزین برای wl_resource_post_error() هست، مخصوص وقتی که کامپوزیتور از قبل یه va_list داشته باشه.
علاوه بر این‌ها، تو این نسخه دوتا تابع جدید به اسم‌های wl_shm_buffer_ref() و wl_shm_buffer_unref() هم اضافه شدن که بهت این امکان رو میدن به حافظهٔ پشت صحنهٔ wl_shm_buffer دسترسی داشته باشی حتی بعد از اینکه اون شیٔ پروتکلی از بین رفته باشه. مثلاً وقتی یه کلاینت (برنامهٔ کاربر) داره بسته میشه، این توابع خیلی به کارت میان.
همون‌طور که از یه نسخهٔ جدید Wayland انتظار میره، کلی باگ‌ فیکس شده و بهبود توی تعریف‌های پروتکل هم توش هست. اگه خواستی جزئیات بیشتر رو بخونی، می‌تونی بری سراغ اعلامیهٔ رسمی انتشار. همچنین اگه حال و حوصله داشتی، می‌تونی سورس Wayland 1.24 رو از سایت رسمی دانلود کنی و خودت از صفر کامپایلش کنی.
البته برای بیشتر کاربرا اصلاً نیازی نیست Wayland رو خودشون کامپایل کنن، چون معمولاً به‌صورت پیش‌ فرض روی توزیع لینوکسی‌شون نصب شده، حتی اگه خودشون ازش استفاده نکنن بنابراین فقط حواست باشه که نسخهٔ جدیدش کی وارد مخزن پایدار توزیعت میشه تا بتونی با یه آپدیت ساده از همهٔ ویژگی‌ها و بهبودهای جدید لذت ببری.

۷ جولای ۲۰۲۵ گزارش شد دو تا نقص بحرانی این امکان رو به کاربرا میده که به سطح دسترسی root دست پیدا کنن.
همه توزیع‌های اصلی لینوکس در برابر دو تا باگ توی sudo آسیب‌پذیر هستن. این دو آسیب‌پذیری به ترتیب این شناسه‌ها رو دارن: CVE-2025-32462 و CVE-2025-32463. هرچند اون باگ اول امتیاز پایینی توی سیستم امتیازدهی آسیب‌پذیری‌ها (CVSS) داره و فقط ۲.۸ هست، ولی دومی امتیاز ۹.۳ گرفته، که یعنی خیلی بحرانیه.
هر دو آسیب‌پذیری رو واحد تحقیقات امنیت سایبری شرکت Stratascale کشف کرده و میتونید گزارش کامل رو اینجا بخونید. یه نکته خیلی جالب توی این گزارش اینه که گفته شده: «CVE-2025-32462 بیش از ۱۲ ساله که توی کد وجود داشته بدون اینکه کسی متوجهش بشه.»
توی گزارش اومده که این CVE-2025-32462 «یه مشکله که از زمانی که گزینه host اضافه شده، یعنی ۱۲ سال پیش، جلوی چشم همه بوده ولی هیچ‌کس ندیده. چون یه گزینه داخلیه، هیچ اکسپلویتی هم لازم نیست برای بالا بردن سطح دسترسی.» توی ادامه گزارش گفته میشه: «با این حال، این مشکل فقط در شرایطی قابل بهره‌برداریه که کانفیگ‌های خاصی استفاده شده باشن، مثلاً از دستورات Host یا Host_Alias، که معمولاً توی محیط‌های شرکتی استفاده میشن.»
گزینه --host در sudo این امکان رو به کاربر میده که قوانین sudo مربوط به یه هاست خاص رو ببینه، و گزارش به جزئیات نشون میده که این گزینه چطور با اون باگ‌ها در تعامل قرار می‌گیره.
در مورد راه مقابله با این باگ‌ها، تنها کاری که باید بکنید اینه که مطمئن بشید نسخه sudo روی سیستمتون حداقل 1.9.17p1 یا بالاتر باشه. برای بررسی نسخه می‌تونید این دستور رو بزنید:
sudo -V
اگه نسخه‌تون پایین‌تر از 1.9.17p1 بود، فوراً به‌روزرسانی کنید.