روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ ما در تیم GReAT بیش از 900 گروه و عملیات APT (تهدید پایدار پیشرفته‌) را رصد می‌کنیم. پایان هر سال یک قدم به عقب برمی‌گردیم تا پیچیده‌ترین حملاتی را که چشم‌انداز تهدید شکل داده ارزیابی کنیم. این بینش‌ها به ما توان می‌دهد تا انتظار ترندهای نوظهور را داشته باشیم و تصویری واضح‌تر از آنچه ممکن است چشم‌انداز APT در سال پیش رو داشته باشد بدست آوریم. در این مقاله قرار است مروری داشته باشیم بر ترندهای سال 2024 و پیش‌بینی‌هایی که برایش داشتیم و نیز بینش‌هایی ارائه دهیم از آنچه می‌شود در سال 2025 انتظار داشت.

بررسی پیش‌بینی‌های سال میلادی گذشته

افزایش بهره برداری‌های خلاقانه برای موبایل، پوشیدنی‌ها و دستگاه‌های هوشمند

کشف عملیات Triangulation در سال گذشته، چهره‌ی زنجیره حمله منحصر به فردی را شامل اکسپلویت دستگاه‌های اپل، از جمله دستگاه‌هایی که در iOS و watchOS کار می‌کنند، نمایان کرد. این اکسپلویت‌ها از چندین آسیب‌پذیری شامل اجزایی مانند WebKit و هسته XNU و همچنین پردازنده اپل استفاده می‌کردند. همانطور که انتظار می‌رفت، ما به مشاهده حملات در سال 2024 که شامل اکسپلویتِ دستگاه‌های اپل می‌شد، ادامه دادیم. به عنوان مثال، در ژانویه، اپل اشاره کرد که CVE-2024-23222، ممکن است در حملات سایبری یک آسیب‌پذیری اجرای کد از راه دور در موتور وبگردی سافاری، استفاده شده باشد. علاوه بر این، در پاییز امسال، اپل دو اکسپلویت دیگر را فاش کرد که به احتمال زیاد در محیط بیرون مورد استفاده قرار گرفته‌اند: CVE-2024-23225 برای کرنل XNU و CVE-2024-23296 برای RTKit.  در مورد دستگاه‌های اندرویدی، آنها نیز اهداف سودآوری برای بازیگران پیچیده تهدید باقی می‌مانند. در ماه نوامبر، گوگل اطلاعاتی درباره دو آسیب‌پذیری منتشر کرد که «ممکن است تحت بهره‌برداری محدود و هدفمند قرار داشته باشند»: CVE-2024-43093 و CVE-2024-43047.  جالب توجه است که دومی، درست مانند یکی از اکسپلویت‌های مورد استفاده در عملیات مثلث‌سازی، از نقصی در پردازنده سخت‌افزاری استفاده می‌کند. همانطور که می بینیم، بازیگران تهدید هدفمند بیشتر و بیشتر به اکسپلویت آسیب پذیری‌های مربوط به اجزای سخت افزاری دستگاه‌های تلفن همراه علاقه‌مند می‌شوند.

حکم: پیش‌بینی درست بود

ساختن بات‌نت‌های جدید با نرم افزارها و لوازم مصرفی و شرکتی

جامعه بین‌المللی امنیت سایبری تلاش‌های قابل توجهی را برای ایجاد اختلال در سرورهای فرماندهی و کنترل انجام داده است، که انجام فعالیت‌های مخرب از زیرساخت‌های خود را برای عوامل تهدید، از جمله عوامل پیشرفته، در دوره‌های طولانی دشوارتر می‌کند. برای مقابله با تلاش‌های این محققین، چندین عامل تهدید پیشرفته اخیراً شروع به ساخت بات‌نت‌های خود و استفاده از آن‌ها برای انجام حملات سایبری کردند. به عنوان مثال، در ژانویه سال جاری، دولت ایالات متحده یک بات‌نت متشکل از روترهای سیستم عامل Ubiquiti Edge در معرض خطر را که توسط عامل تهدید Sofacy  (معروف به APT28)اداره می‌شد، مختل کرد.

این دستگاه‌ها ابتدا به Moobot آلوده شدند، یک بدافزار مبتنی بر Mirai، که سپس برای استقرار اسکریپت‌های اضافی و تسهیل حملات هدفمند علیه نهادهای مختلف، جمع‌آوری اعتبار، ترافیک شبکه پروکسی، ایجاد تونل‌های SSH معکوس، میزبانی صفحات فرود جعلی و کنترل سایر موارد آلوده‌شده با بک‌در پیتون استفاده شد.  علاوه بر این، در سال 2024، چندین بازیگر چینی‌زبان را مشاهده کردیم که از بات‌نت‌ها برای انجام حملات هدفمند استفاده می‌کردند. یکی از این بات‌نت‌ها Quad7 بود که توسط بازیگر Storm-0940 روی روترهای در معرض خطر نصب شد تا پاشش رمز عبور[1] انجام دهد. نمونه دیگری که در سال جاری مشاهده شد KV-Botnet بود که بر روی فایروال‌ها، روترها و دوربین‌های IP آسیب‌پذیر مستقر شد و برای پنهان کردن فعالیت‌های مخرب Volt Typhoon، بازیگر پشت آن استفاده شد.

حکم: پیش‌بینی درست بود

موانع اجرای کد در سطح کرنل تا حد زیادی مورد اجتناب قرار می‌گیرند (روت‌کیت‌های کرنلی دوباره روی بورس می‌آیند)

هر زمان که یک بازیگر تهدید با موفقیت وارد سیستمی می‌شود، همیشه می‌خواهد امتیازات خود را تا آنجا که ممکن است افزایش دهد. به طور خاص، یکی از امتیازاتی که بازیگران هدف اغلب می‌خواهند به آن دست یابند، دسترسی به هسته است. این به دشمنان اجازه می‌دهد راهکارهای امنیتی را غیرفعال یا دستکاری و همچنین ایمپلنت‌های روت کیت را برای انجام مخفیانه فعالیت‌های مخرب نصب کنند. در سال 2024، BYOVD  (درایور آسیب پذیر خود را بیاورید) محبوبترین تکنیک برای دسترسی به هسته باقی مانده است و حتی بیشتر از سال های گذشته استفاده می‌شود. به عنوان مثال، در سه ماهه دوم 2024، شاهد افزایش 23 درصدی در استفاده از BYOVD بودیم. این افزایش به احتمال زیاد به این دلیل است که در حال حاضر هیچ روش موثری برای مبارزه با این تکنیک در سیستم عامل ها تعبیه نشده است. در حالیکه ویندوز یک لیست بلاک از درایورهای آسیب پذیر را پیاده سازی می‌کند، به ندرت به روز می‌شود (فقط 1 تا 2 بار در سال)، که اکسپلویت درایورهای آسیب‌پذیر شناخته شده را برای بازیگران بسیار آسان می‌کند.

حکم: پیش‌بینی درست بود

رشد حملات سایبری توسط عاملینی که از سوی دولت حمایت می‌شوند

سال به سال، ما شاهد حملات بیشتر و بیشتری از سوی بازیگران پیچیده تهدید هستیم و سال 2024 نیز از این قاعده مستثنی نبود. به عنوان مثال، امسال ما 25 درصد افزایش در تشخیص حمله APT را گزارش کردیم که از ژانویه تا ژوئن مشاهده شد. در طول سال، ما جالب‌ترین این حملات را در وبلاگ خود پوشش داده‌ایم. قابل ذکر است، همچنین مشاهده کردیم که بازیگران حرفه‌ای نه تنها کمیت، بلکه کیفیت کمپین‌های خود را نیز افزایش می‌دهند. این امر به ویژه در مورد Lazarus APT، به‌ویژه حملات آن علیه سرمایه‌گذاران ارزهای دیجیتال در ماه مه قابل توجه است. این حملات بسیار با دقت سازماندهی شده بودند - برای انجام آنها، لازاروس کد منبع یک بازی رایانه ای مرتبط با ارز دیجیتال را دزدید، حساب‌های رسانه های اجتماعی مرتبط با آن بازی را تبلیغ کرد و به زنجیره منحصر به فردی از سوء استفاده‌های روز صفر که برای آلوده کردن اهداف بازدیدکننده استفاده می شد دسترسی پیدا کرد. وبسایت بازی همه این فعالیت‌ها باید ماه‌ها کار از سوی این بازیگر انجام شده باشد که نشان دهنده سطح استثنایی از تلاش سازمانی است. با این حال، برخی از راهکارهای امنیتی تلاش می‌کنند تا مکانیسم‌هایی را برای جلوگیری از بهره‌برداری از درایورهای آسیب‌پذیر پیاده‌سازی کنند و بازیگران تهدید را مجبور می‌کنند تا با یافتن آسیب‌پذیری‌هایی در درایورهای ویندوز که قبلاً روی دستگاه نصب شده‌اند، سازگار شوند و می‌توان از آنها برای انجام تشدید فضای هسته استفاده کرد. به عنوان مثال، امسال لازاروس از CVE-2024-21338، یک آسیب‌پذیری در درایور AppLocker، برای استقرار rootkit FudModule استفاده کرد.

حکم: پیش‌بینی درست بود

هکتیویسم در جک سایبری: عرف جدید در درگیری‌های ژئوپولتیکی

همانطور که قبلاً پیش‌بینی کرده بودیم، امسال شاهد افزایش حملات توسط گروه‌های هکتیویست بودیم، به‌ویژه آنهایی که در چارچوب درگیری‌های روسیه، اوکراین و اسرائیل و حماس فعالیت می‌کردند. در مورد درگیری روسیه و اوکراین، گروه‌های هکتیویست قابل توجهی که ما در مورد آنها گزارش کردیم شامل Twelve، Head Mare و Crypt Ghouls بودند. به طور کلی، مشاهده کرده‌ایم که هکتیویست‌ها در مناقشه روسیه و اوکراین ماهرتر شده‌اند و بر حمله به سازمان‌های بزرگ مانند دولت، تولید و نهادهای انرژی متمرکز شده‌اند. گروه های هکتیویست با تمرکز بر این اهداف، پیامدهای حملات خود را برای مردم عادی بیشتر نمایان می کنند.

همچنین الگوی مشابهی از فعالیت های هکریست‌های فعال در درگیری اسرائیل و حماس را مشاهده کرده‌ایم. به عنوان مثال، یک حمله اخیر مشاهده شده در این منطقه یک حمله DDoS بود که سیستم پرداخت کارت اعتباری اسرائیل را هدف قرار داد. آنچه در مورد حملات سایبری در این درگیری جالب است این است که دامنه هدف آنها بسیار فراتر از منطقه درگیری رفته. به عنوان مثال، در سال جاری، گروه هکری حامی فلسطین، بلک متا، به وب سایت آرشیو اینترنت حمله کرد، که هیچ ربطی به درگیری ندارد.

حکم: پیش‌بینی درست بود

حملات زنجیره تأمین به عنوان سرویس: دسترسی به خرید عمده برای اپراتورها

امسال، ما شاهد هیچ حمله‌ای در زنجیره تامین نبوده‌ایم که آسیب قابل توجهی به اهداف آنها وارد کند. با این حال، یکی از حملات زنجیره تامین قابل توجه در سال 2024، درب پشتی XZ Utils بود که در یک پست وبلاگ سه قسمتی به آن پرداختیم. با توجه به اینکه بک‌در چندین توزیع محبوب لینوکس را تحت تاثیر قرار می دهد، اگر جامعه متوجه آن نمی‌شد، عواقب این حمله بسیار بدتر می‌شد. ممکن است دیده باشیم که دسترسی به شبکه‌های شرکت‌های در معرض خطر به بازیگران پیشرفته فروخته می‌شود.

حکم: پیش‌بینی غلط بود

فیشینگ نیزه‌ای برای توسعه با هوش مصنوعی مولدِ قابل دسترسی

از زمان ظهور هوش مصنوعی مولد، چندین عامل تهدید - چه با انگیزه مالی و چه با حمایت دولتی - شروع به استفاده از این فناوری برای موثرتر کردن حملات خود کرده‌اند. این امر به ویژه در مورد حملات فیشینگ صادق است، زیرا ابزارهای مولد هوش مصنوعی اکنون می توانند ایمیل های فیشینگ را به خوبی نوشته و مصور بنویسند. یکی از موارد قابل توجه استفاده از هوش مصنوعی در یک کمپین هدفمند، حمله ناموفق به شرکت KnowBe4 بود، که در آن یک هکر، ظاهراً از گروه تهدید Lazarus، از هوش مصنوعی برای فریب بخش منابع انسانی شرکت هنگام درخواست شغل استفاده کرد. به عنوان مثال، به عنوان بخشی از برنامه شغلی، آنها از یک عکس استوک استفاده کردند که با ابزارهای هوش مصنوعی دستکاری شده بود تا آن را معتبرتر کنند. آنها با کمک هوش مصنوعی توانستند شرکت را فریب دهند، کار را بدست آورند و به شبکه داخلی دسترسی پیدا کنند. با این حال، تلاش‌های بیشتر برای هک به سرعت توسط SOC این شرکت مشاهده شد.

حکم: پیش‌بینی درست بود

ظهور گروه‌های بیشتری که پیشنهاد استخدام هکر می‌کنند

در حالیکه شاهد ظهور گروه‌های هک برای استخدام جدید در دنیای جنایت‌افزار بوده‌ایم، هیچ عامل تهدید تجاری قابل‌توجهی را مشاهده نکرده‌ایم که حملات سایبری پیچیده‌ای مشابه حملات سایبری که معمولاً توسط APT انجام می‌شود، انجام دهد.

حکم: پیش‌بینی غلط بود

سیستم‌های MFT در خ مقدم تهدیدهای سایبری

سال گذشته، رخدادهای مربوط به سیستم‌های MFT مانند MOVEit و GoAnywhere باعث آسیب جدی به سازمان‌های در معرض خطر شد. اگرچه این حملات یک سال پیش اتفاق افتاد، اما تأثیر آن بر شرکت های آسیب دیده هنوز هم احساس می‌شود. به عنوان مثال، چند روز پیش، اطلاعات شخصی مربوط به کارمندان آمازون که ظاهراً در طول حمله آسیب‌پذیری MOVEit به بیرون درز کرده بود، در یک انجمن جرایم سایبری فاش شد. امسال جامعه امنیت سایبری چندین آسیب‌پذیری را در سیستم‌های MFT کشف کرده است که در طبیعت مورد سوء استفاده قرار می‌گیرند. یکی از آنها CVE-2024-0204 است که به مهاجمین اجازه می دهد تا احراز هویت را در GoAnywhere MFT دور بزنند. مثال دیگر CVE-2024-5806 است، آسیب‌پذیری مشابه در MOVEit Transfer.  با این حال، امسال جامعه امنیت سایبری برای مقابله با حملات به سیستم‌های MFT بسیار آماده‌تر بود، بنابراین پیامدهای حملات مربوط به این آسیب‌پذیری‌ها به اندازه سال گذشته شدید نبوده است.

حکم: پیش‌بینی تا حدی درست بود

پیش‌بینی‌های سال 2025

ائتلاف‌های هکتیویست در سال 2025 تشدید می‌شود

در سال‌های اخیر، گروه‌های هکتیویست شروع به پیوند نزدیک فعالیت‌های خود با درگیری‌های سیاسی-اجتماعی کرده‌اند. در حالیکه تلاش‌های اولیه آن‌ها عمدتاً بر جلب توجه عمومی متمرکز بود، اکنون می‌بینیم آنها اهداف اساسی‌تری را با تأثیرگذاری در دنیای واقعی دنبال می‌کنند، مانند هدف قرار دادن سیستم‌های GNSS.   امسال، ما شاهد تکامل هکتیویسم بوده‌ایم، با گروه‌هایی که اتحادها و انجمن‌هایی را با انگیزه‌های مشترک تشکیل می‌دهند. این اتحادها به درگیری‌های نظامی محدود نمی‌شوند - برای مثال، تشکیل «لیگ مقدس» که ادعا می‌کند 70 گروه هکر فعال را متحد می‌کند. اتحادهای هکتیویست نیز در واکنش به رویدادهای سریع، مانند زمانی که هکریست ها برای تخریب وب سایت های فرانسوی در واکنش به دستگیری پاول دوروف، مدیر عامل تلگرام، متحد شدند، پدیدار شدند. گرچه هدف مشترک می‌تواند اقدامات مخرب را متحد و انگیزه دهد، به اشتراک‌گذاری ابزارها و زیرساخت‌ها نیز بخش مهمی از چنین اتحادهایی است که امکان دستیابی به اهداف بلندپروازانه‌تری را فراهم می‌کند. هکتیویسم با این استراتژی قوی‌تر شده است، بنابراین می‌توان انتظار داشت که در آینده شاهد کمپین‌های سازمان‌یافته‌تر و تاثیرگذارتری باشیم، که احتمالاً شامل استقرار باج‌افزار نیز می‌شود. در برخی موارد، حملات هکتیویستی ممکن است کمبود بودجه برای امنیت سازه‌هایی را که به آنها حمله می‌کنند نشان دهد.

اینترنت اشیا در سال 2025 به یک بردار حمله رو به رشد برای APT ها تبدیل می‌شود

گسترش سریع دستگاه‌های اینترنت اشیا که پیش بینی می شود از 18 میلیارد امروز به 32 میلیارد تا سال 2030 افزایش یابد، هم نوآوری و هم چالش های امنیتی را افزایش می دهد. همانطور که دستگاه های هوشمند مانند دوربین ها، سوئیچ ها و دوشاخه ها رایج تر می شوند، اتصالات جدید بی شماری را به اینترنت اضافه می‌کنند که هر کدام آسیب پذیری های بالقوه خود را دارند. بسیاری از دستگاه‌های اینترنت اشیا برای کنترل به سرورهای راه دور متکی هستند، اما شیوه‌های امنیتی شرکت‌هایی که این سرورها را مدیریت می‌کنند اغلب نامشخص است و در نتیجه بردارهای حمله بالقوه جدیدی روی زیرساخت‌های آنها ایجاد می‌شود. علاوه بر این، دستگاه‌های اینترنت اشیا اغلب بر روی سیستم‌های تعبیه‌شده با سیستم‌افزاری اجرا می‌شوند که به راحتی می‌توان آن‌ها را از نظر آسیب‌پذیری تجزیه و تحلیل کرد. بسیاری از دستگاه‌های قدیمی‌تر به کتابخانه‌های قدیمی با شکاف‌های امنیتی شناخته‌شده متکی هستند که آنها را مستعد بهره‌برداری می‌کند. افزایش برنامه‌های تلفن همراه برای کنترل این دستگاه ها لایه دیگری از خطر را اضافه می‌کند. با وجود برنامه‌های بسیار زیاد، تأیید مشروعیت هر یک از آنها دشوار است و فرصت‌هایی را برای مهاجمین ایجاد می‌کند تا برنامه‌های جعلی را برای کنترل دستگاه‌های اینترنت اشیا منتشر کنند. خطرات زنجیره تامین نیز نگرانی‌هایی را ایجاد می‌کند. بازیگران مخرب می‌توانند بدافزار را در طول فرآیند تولید کاشت کنند، همانطور که در برخی از جعبه های Android TV دیده می‌شود.

مشکل اصلی عدم وجود اقدامات متقابل است. مدافعان تقریباً دید نداشته و در این دستگاه ها قابلیت دید وجود ندارد. در مقایسه با سال گذشته، وضعیت بهبود نیافته است و فقط می‌توان انتظار داشت که مهاجمین همچنان از تعداد زیادی دستگاه‌های محافظت‌نشده استفاده کنند.

افزایش حملات زنجیره تأمین روی پروژه‌های منبع باز

یکی از کمپین‌های بدنام امسال، درب پشتی XZ، یک ابزار فشرده‌سازی متن‌باز پرکاربرد در توزیع‌های محبوب لینوکس بود. مهاجمین از تکنیک‌های مهندسی اجتماعی برای دسترسی دائمی به محیط توسعه نرم‌افزار استفاده کردند و برای سال‌ها ناشناخته ماندند. این مورد برخی از جنبه‌های حیاتی اکوسیستم منبع باز کنونی را برجسته می‌کند، جایی که بسیاری از پروژه‌های مهم تنها توسط تعداد انگشت شماری از توسعه‌دهندگان – یا گاهی حتی یک توسعه‌دهنده واحد – که اغلب قادر به دفاع در برابر گروه‌های APT پیچیده تحت حمایت دولت نیستند، نگهداری می‌شوند. کیس XZ چیز غیرمنتظره ای نبود، اما یک مشکل واقعی را روشن می‌کند. توجه جامعه امنیت سایبری و سازمان‌های مختلف دیگر را به خود جلب کرد که احتمالاً نظارت بر پروژه های منبع باز را بهبود خواهند بخشید. هرچند ممکن است شاهد افزایش تعداد حملات زنجیره تامین نباشیم، اما قطعاً شاهد افزایش تعداد اکتشافات حملات زنجیره تامین در حال حاضر خواهیم بود.

بدافزار C++ و Go برای انطباق با اکوسیستم منبع باز

از آنجایی که پروژه‌های منبع باز به طور فزاینده‌ای آخرین نسخه‌های C++ و Go را می پذیرند، عوامل تهدید باید بدافزار خود را با این زبان‌های پرکاربرد تطبیق دهند. در سال 2025، می‌توان با توجه به این حقیقت که روی رواج آن‌ها در پروژه‌های منبع باز دارد سرمایه‌گذاری می‌شود می‌توان انتظار افزایش قابل توجهی در گروه‌های APT و مجرمان سایبری که به این زبان‌ها مهاجرت می‌کنند داشت. گرچه سایر زبان‌های برنامه‌نویسی کمتر مورد استفاده قرار می‌گیرند، C++ و Go رایج‌ترین زبان‌ها برای توسعه بدافزار خواهند بود زیرا مهاجمین از نقاط قوت و آسیب‌پذیری این زبان‌ها برای نفوذ به سیستم‌ها و دور زدن دفاع‌های امنیتی سوءاستفاده می‌کنند.

گسترش استفاده از هوش مصنوعی در دستان بازیگران وابسته به دولت

سال گذشته، ما پیش‌بینی کردیم که گروه‌های APT از هوش مصنوعی برای تقویت حملات فیشینگ نیزه‌ای استفاده کنند. OpenAI از آن زمان گزارش فسخ حساب‌های مرتبط با عوامل تهدید وابسته به دولت را گزارش کرده است و نشان می‌دهد که چگونه گروه‌های APT در حال حاضر از مدل‌های زبان بزرگ برای فیشینگ نیزه‌ای، ترجمه متن، تولید اسکریپت و تحقیقات منبع باز برای ایجاد محتوای هدفمندتر استفاده می‌کنند. آخرین کشف ما نشان داد که لازاروس از تصاویر تولید شده توسط هوش مصنوعی برای تبلیغ یک سایت بازی جعلی استفاده می‌کند که از آسیب‌پذیری روز صفر کروم برای سرقت ارزهای دیجیتال سوء استفاده می‌کند. معتقدیم که استفاده از LLM به یک روش استاندارد برای مهاجمان تبدیل خواهد شد، دقیقاً به همان روشی که مدافعان به طور فزاینده‌ای از هوش مصنوعی و ابزارهای یادگیری ماشینی در استراتژی‌های امنیت سایبری خود استفاده می‌کنند. مهاجمین احتمالاً از LLMها برای شناسایی استفاده خواهند کرد - LLMها می‌توانند فرآیند شناسایی آسیب‌پذیری‌ها و جمع آوری اطلاعات در مورد فناوری‌های خاص را به طور خودکار انجام دهند، و این امر باعث می شود مهاجمین به راحتی نقاط ضعف را در اهداف خود پیدا کنند. آن‌ها هنگام ایجاد اسکریپت‌های مخرب و ایجاد دستورات در طول فعالیت‌های پس از بهره‌برداری، بیشتر به هوش مصنوعی تکیه می‌کنند تا شانس موفقیت خود را افزایش دهند. همچنین این احتمال وجود دارد که مهاجمین با ایجاد LLMهای محلی یا پنهان کردن رفتار خود در پلتفرم های عمومی – با استفاده از حساب‌های کاربری متعدد، محتاط بودن در ورودی های خود و به حداقل رساندن داده های به اشتراک گذاشته شده با پلتفرم های شرکتی مانند Google، OpenAI، فعالیت‌های خود را از شرکت هایی مانند OpenAI پنهان کنند. مایکروسافت و غیره.

دیپ‌فیک‌ها برای گروه‌های APT مورد استفاده قرار خواهند گرفت

باید به ظهور دیپ فیک‌ها که به سرعت در حال پیشرفت هستند و خطرات قابل توجهی را به همراه دارند توجه ویژه‌ای شود. در گذشته، ما به طور کلی به ویدیوها، تصاویر و صداها به عنوان منابع قابل اعتماد اطلاعات اعتماد داشتیم. با این حال، همانطور که فناوری دیپ فیک بهبود می‌یابد و در دسترس‌تر می‌شود، این اعتماد به طور فزاینده ای به چالش کشیده می‌شود. در سال 2024، دیپ‌فیک‌ها در کلاهبرداری‌های پرمخاطب مورد استفاده قرار گرفتند، مانند زمانی که صدای یک مدیر عامل تقلید می‌شد و همراه با فیلم YouTube در تماس‌های ویدیویی برای فریب کارمندان استفاده می‌شد، یا زمانی که از ویدیوهای مختلف در دسترس عموم و سایر فیلم‌ها برای ایجاد یک ویدیوی جعلی جدید استفاده می‌شد. فریب کارمند یک شرکت هنگ کنگی برای انتقال تقریباً 25.5 میلیون دلار.

دلیل موثر بودن این حملات ریشه در روانشناسی انسان دارد: وقتی مردم صدایی را می شنوند که تشخیص می‌دهند، به طور غریزی به پیام اعتماد می‌کنند. در گذشته جعل هویت به عنوان یک تهدید بزرگ در نظر گرفته نمی‌شد، به همین دلیل است که چنین کلاهبرداری هایی می تواند بسیار متقاعد کننده باشد. با این حال، ظهور فناوری های هوش مصنوعی این پارادایم را کاملاً تغییر داده است. امروزه، سرویس‌های جدید به این معناست که ویدیوها و صداهای ضبط شده عمیق را می‌توان تنها از چند نمونه واقعی تولید کرد که به راحتی از پروفایل‌های رسانه‌های اجتماعی یا از طریق روش‌های شناسایی دیگر جمع‌آوری می‌شوند. گرچه شاهد شبیه‌سازی صوتی هوش مصنوعی بودیم که توسط مجرمان سایبری برای کلاهبرداری استفاده می‌شد، اما انتظار داریم APTها به طور فزاینده‌ای این فناوری را در جعبه ابزار خود برای جعل هویت افراد کلیدی، ایجاد پیام‌ها یا ویدیوهای بسیار قانع‌کننده برای فریب کارمندان، سرقت اطلاعات حساس یا انجام سایر فعالیت‌های مخرب، وارد کنند.

مدل‌های هوش مصنوعیِ بک‌درشده

پذیرش گسترده مدل‌های هوش مصنوعی توسط کسب‌وکارها در صنایع مختلف، این مدل‌ها را به یک هدف جذاب برای مجرمان سایبری و عوامل تهدید تحت حمایت دولت تبدیل می‌کند. توزیع گسترده مدل‌های AI منبع باز و دقیق، خطر تروجانی شدن یا درپشتی شدن این مدل‌ها را افزایش می‌دهد.

در سال 2025، به احتمال زیاد گروه‌های APT را خواهیم دید که مدل‌ها و مجموعه داده‌های AI منبع باز محبوب را هدف قرار می‌دهند، کدهای مخرب یا سوگیری‌هایی را معرفی می‌کنند که شناسایی و به اشتراک‌گذاری گسترده آن‌ها ممکن است دشوار باشد.

ظهور سوء استفاده‌های BYOVD  (درایور آسیب‌پذیر خود را بیاورید[2]) در کمپین های APT

همانطور که قبلاً اشاره کردیم، تکنیک BYOVD  (درایور آسیب‌پذیر خود را بیاورید) در سال 2024 به یک روند تبدیل شده است. این تکنیک به مهاجمان اجازه می‌دهد تا از آسیب‌پذیری‌های درایورها برای افزایش امتیازات، دور زدن اقدامات امنیتی و استقرار محموله‌های پیچیده در کمپین‌های باج‌افزار استفاده کنند. حملات APT درایورها نقش مهمی در ارتباط بین سخت‌افزار و نرم‌افزار دارند، اما می‌توانند به‌عنوان دروازه‌ای قدرتمند برای مهاجمان نیز عمل کنند، مخصوصاً زمانی که در سطح هسته مورد سوء استفاده قرار گیرند. درایورهای آسیب پذیر به مهاجمان اجازه می دهند تا کدهای مخرب را با سطوح بالایی از امتیازات اجرا کنند که به طور بالقوه منجر به جاسوسی طولانی مدت، سرقت داده‌ها و نفوذ به شبکه می‌شود. اگرچه برخی از فروشندگان امنیتی مکانیسم های مختلفی را برای جلوگیری از چنین حملاتی اجرا می‌کنند، اما مقابله با پیچیدگی آنها با اقدامات امنیتی سنتی دشوار است. این درایورها نرم افزارهای قانونی هستند که ممکن است برای تسهیل عملکرد عادی سیستم ضروری باشند و تشخیص استفاده قانونی آنها از استفاده مخرب را دشوار می‌کند. همچنین اطمینان از استفاده از آنها صرفاً برای اهداف قانونی کار آسانی نیست. با نگاهی به آینده، انتظار می‌رود این روند تا سال 2025 ادامه یابد. همانطور که مهاجمین در استفاده از آسیب‌پذیری‌های سطح پایین ماهرتر می‌شوند، احتمالاً پیچیدگی چنین حملاتی افزایش می‌یابد و حتی ممکن است شاهد تکنیک‌های پیشرفته‌تری مانند بهره‌برداری منسوخ یا طرف‌سوم باشیم. درایورهای حزبی که معمولاً برای نقص‌های امنیتی مورد بررسی قرار نمی‌گیرند.

[1] password spraying

[2] bring your own vulnerable driver

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.