مهاجمان امروزی چگونه به سازمان‌ها نفوذ می‌کنند؟

در طول یک سال گذشته، تیم Kaspersky Global Emergency Response Team و سرویس MDR طیف گسترده‌ای از حوادث امنیتی را در صنایع مختلف بررسی کرده‌اند. تاکتیک‌ها، تکنیک‌ها و ابزارهایی که مهاجمان در این حملات به کار گرفته‌اند، مبنای گزارش Anatomy of a Cyber World Global Report 2026 را تشکیل می‌دهد.

در ادامه، سه نمونه واقعی از این گزارش را مرور می‌کنیم تا نشان دهیم مهاجمان امروزی چگونه عمل می‌کنند و مهم‌تر از آن، چگونه موفق به اجرای این حملات شده‌اند.

مطالعه موردی اول

یک حساب کاربری به خطر افتاده، کل سازمان را گرفتار باج‌افزار کرد

چه اتفاقی افتاد؟

در حمله‌ای علیه یک شرکت در آمریکای لاتین، مهاجمان با در اختیار گرفتن حساب کاربری یکی از مدیران محلی (Local Administrator) به یک سرور SMTP دسترسی پیدا کردند.

در این حمله از هیچ اکسپلویت پیچیده‌ای استفاده نشد؛ تنها سرقت اطلاعات ورود کافی بود.

پس از ورود، مهاجمان فرآیند کلاسیک Privilege Escalation را اجرا کردند.

• با استفاده از ابزار Mimikatz، Hash رمزهای عبور را از حافظه استخراج کردند.
• سپس با استفاده از ابزار Invoke-TheHash و تکنیک Pass-the-Hash، سطح دسترسی کاربران را افزایش دادند.
• در ادامه، با سوءاستفاده از یک Driver آسیب‌پذیر، سطح دسترسی خود را ارتقا داده و باج‌افزار را روی Endpointهای شبکه سازمان توزیع کردند.

چرا این حمله موفق شد؟

بسیاری از سازمان‌ها همچنان تنها به دنبال شناسایی رفتارهای آشکارا مخرب هستند و فعالیت‌هایی را که با استفاده از حساب‌های کاربری معتبر انجام می‌شوند، کنترل نمی‌کنند.

بر اساس گزارش Anatomy of a Cyber World Global Report 2026، رایج‌ترین روش‌های نفوذ اولیه عبارت‌اند از:

• حدس زدن رمز عبور (Password Guessing) — 34.8٪
• سوءاستفاده از حساب‌های کاربری معتبر (Valid Account Abuse) — 34.5٪

پس از در اختیار گرفتن یک حساب کاربری، مهاجم معمولاً برای حفظ دسترسی اقدامات زیر را انجام می‌دهد:

• ایجاد حساب کاربری محلی (Local Account Creation) — 34.7٪
• تغییر یا دستکاری حساب‌های کاربری (Account Manipulation) — 32.0٪

در مرحله بعد، مهاجم سرویس‌های شبکه را شناسایی می‌کند:

• Network Service Discovery — 31.2٪

اگر سازمان دید مناسبی نسبت به این فعالیت‌ها نداشته باشد یا آن‌ها را یک رخداد امنیتی تلقی نکند، عملاً پیش از آغاز مرحله اصلی حمله، کنترل شرایط را از دست داده است.

مطالعه موردی دوم

زمانی که سرور مانیتورینگ به اسب تروا تبدیل می‌شود

چه اتفاقی افتاد؟

در این حمله، یک سازمان هدف باج‌افزار Black Nivas قرار گرفت.

مشابه نمونه قبلی، مهاجمان ابتدا از طریق اطلاعات ورود سرقت‌شده وارد شبکه شدند.

در جریان بررسی شبکه داخلی، آن‌ها سرور PRTG (Paessler Router Traffic Grapher) را که برای کنترل زیرساخت استفاده می‌شد، شناسایی کردند.

با سوءاستفاده از همین سرور، مهاجمان به سایر بخش‌های شبکه دسترسی پیدا کردند، سرورهای ESXi را شناسایی کرده و کل محیط مجازی سازمان را رمزگذاری کردند.

چرا این حمله موفق شد؟

دو اشتباه اساسی وجود داشت:

• سرور PRTG با سطح دسترسی بیش از حد پیکربندی شده بود و تقریباً به تمام دارایی‌های فیزیکی و مجازی سازمان دسترسی داشت.
• یکی از حساب‌های کاربری سازمان به خطر افتاده بود.

مطالعه موردی سوم

زمانی که Patch منتشر شده، اما هنوز نصب نشده است

چه اتفاقی افتاد؟

در این حمله، مهاجمان به‌جای باج‌افزار از یک Wiper استفاده کردند؛ بدافزاری که داده‌ها را به‌گونه‌ای تخریب می‌کند که بازیابی آن‌ها عملاً غیرممکن است.

مهاجمان ابتدا از یک آسیب‌پذیری شناخته‌شده در SAP NetWeaver سوءاستفاده کرده و یک Web Shell روی سرورهای مرزی نصب کردند.

سپس با اجرای حمله Password Spraying، حساب‌های کاربری با سطح دسترسی بالاتر را در اختیار گرفتند.

پس از ورود به زیرساخت، از Active Directory و Group Policy Objects (GPO) برای توزیع بدافزار در سراسر شبکه استفاده کردند.

کد مخرب نیز با سوءاستفاده از آسیب‌پذیری‌های موجود در Microsoft Defender و یک نرم‌افزار کتاب‌خوان (E-Reader) بارگذاری شد.

این Wiper برای رمزگذاری فایل‌های کوچک از الگوریتم RSA استفاده می‌کرد.

برای فایل‌های متوسط، Header فایل با RSA و بخش باقی‌مانده با AES رمزگذاری می‌شد.

در فایل‌های بزرگ، تنها 5 مگابایت ابتدایی حفظ شده و باقی داده‌ها با صفر جایگزین می‌شد.

به دلیل نحوه عملکرد این الگوریتم، بازیابی کامل فایل‌ها از نظر ریاضی امکان‌پذیر نبود.

چرا این حمله موفق شد؟

Patch مربوط به آسیب‌پذیری SAP NetWeaver چند سال پیش از وقوع حمله منتشر شده بود، اما سازمان آن را نصب نکرده بود.

به گفته Konstantin Sapronov، مدیر Global Emergency Response Team:

رایج‌ترین نرم‌افزارهای اینترنتی هدف حملات در سال 2026 تاکنون Microsoft Exchange، SharePoint و Active Directory بوده‌اند. با وجود اینکه Patch این آسیب‌پذیری‌ها مدت‌هاست منتشر شده، بسیاری از سازمان‌ها همچنان آن‌ها را به‌موقع نصب نمی‌کنند.

چگونه از سازمان خود محافظت کنیم؟

هیچ‌یک از حملات فوق به مهارت‌های خارق‌العاده یا ابزارهای ناشناخته نیاز نداشتند.

مهاجمان تنها از تکنیک‌های شناخته‌شده و آسیب‌پذیری‌هایی استفاده کردند که Patch آن‌ها مدت‌ها قبل منتشر شده بود.

برای مقابله با چنین حملاتی، کسپرسکی استفاده هم‌زمان از راهکارهای امنیتی تخصصی و خدمات مدیریت‌شده امنیت سایبری را توصیه می‌کند.

کنترل 24/7

اگر سازمان شما امکان راه‌اندازی یک SOC شبانه‌روزی را ندارد یا قصد دارید توان تیم امنیتی خود را افزایش دهید، از خدمات MDR استفاده کنید.

Kaspersky Managed Detection and Response با ارائه Threat Intelligence جهانی، کنترل 24/7 و شناسایی زودهنگام تهدیدات، از گسترش حملات جلوگیری می‌کند.

Response سریع به حوادث

اگر احتمال می‌دهید سازمان شما مورد نفوذ قرار گرفته است یا می‌خواهید آمادگی لازم برای چنین شرایطی را داشته باشید، Kaspersky Incident Response (IR) می‌تواند در کنار شما باشد.

استفاده هم‌زمان از MDR و IR مزایای زیر را فراهم می‌کند:

• کنترل و شناسایی 24/7
• دسترسی شبانه‌روزی به کارشناسان IR
• Threat Hunting مداوم
• Triage رویدادهای امنیتی
• مهار سریع تهدیدات
• بازسازی زنجیره حمله در سراسر زیرساخت
• Reverse Engineering و تحلیل‌های پیشرفته DFIR
• ارائه راهکارهای بازیابی کسب‌وکار
• گزارش اختصاصی حادثه همراه با توصیه‌های تخصصی

فراتر از نصب Patch

نمونه SAP NetWeaver نشان داد که صرف انتشار Patch کافی نیست.

اگر دید مناسبی نسبت به آسیب‌پذیری‌های مهم (CVE) ندارید، اسکن مستمر آسیب‌پذیری‌ها و اولویت‌بندی نصب Patchها را در برنامه امنیتی خود قرار دهید.

همچنین با استفاده از MDR، تلاش برای سوءاستفاده از آسیب‌پذیری‌های شناخته‌شده را کنترل کرده و با اجرای Compromise Assessment اطمینان حاصل کنید که مهاجمان پیش‌تر از آسیب‌پذیری‌های قدیمی سوءاستفاده نکرده باشند.

ممیزی امنیتی و System Hardening

در نمونه دوم، سرور PRTG به دلیل دسترسی‌های بیش از حد به نقطه ورود مهاجمان تبدیل شد.

خدمات Kaspersky SOC Consulting با تکیه بر تجربه عملی و چارچوب‌های اثبات‌شده، به سازمان‌ها کمک می‌کند:

• معماری SOC را طراحی کنند.
• Use Caseهای تشخیص تهدید را توسعه دهند.
• Runbookهای عملیاتی تهیه کنند.
• KPIهای مناسب برای ارزیابی عملکرد SOC تعریف کنند.

در نهایت، کسپرسکی توصیه می‌کند سازمان‌ها به‌طور مستمر تاکتیک‌ها، تکنیک‌ها و ابزارهای مورد استفاده مهاجمان را دنبال کنند.

گزارش کامل Anatomy of a Cyber World Global Report 2026 اطلاعات جامعی درباره گروه‌های تهدید، روش‌های حمله، راهکارهای شناسایی زودهنگام، حوزه‌های سرمایه‌گذاری امنیتی و نقاط ضعف رایج سازمان‌ها ارائه می‌دهد.

نسخه امسال این گزارش، برای نخستین‌بار داده‌های حاصل از خدمات SOC Consulting و Compromise Assessment را نیز در بر می‌گیرد و تصویری دقیق از روند تهدیدات، رخدادهای بحرانی، الگوهای حمله در صنایع و مناطق مختلف و همچنین تأثیر پیکربندی‌های نادرست بر امنیت سازمان‌ها ارائه می‌دهد.

همچنین مشاهده وبینار Anatomy of a Cyber World نیز توصیه می‌شود؛ جایی که کارشناسان کسپرسکی روندهای جدید تهدیدات را بررسی کرده و توضیح می‌دهند چرا حملات هدایت‌شده توسط انسان همچنان یکی از بزرگ‌ترین تهدیدهای سازمان‌ها محسوب می‌شوند.