‫ fars_sakha بلاگ

آسیب‌پذیری‌های بحرانی OpenSSH کاربران را در معرض حملات MITM و DoS قرار می‌دهد

دو آسیب‌پذیری حیاتیOpenSSH کشف شد! Qualys TRU نقص‌های مشتری و سرور(CVE-2025-26465 & CVE-2025-26466) را پیدا می‌کند کهMITM وDoS را فعال می‌کند. اکنون برای محافظت از سیستم‌های خود به 9.9p2 ارتقاء دهید.

واحد تحقیقاتQualys Threat (TRU) دو نقطه ضعف امنیتی درOpenSSH کشف کرده است، ابزاری که به طور گسترده در سیستم عامل‌های مختلف برای ورود امن از راه دور، انتقال فایل و سایر عملکردهای حیاتی مورد استفاده قرار می‌گیرد.

اولین آسیب‌پذیری که با نامCVE-2025-26465 شناخته می‌شود، کلاینتOpenSSH را در معرض حملات ماشینی در وسط قرار می‌دهد. در پست وبلاگ خوانده شده، این نقص "به هنگام فعال بودن گزینهVerifyHostKeyDNS به یک حمله ماشین در وسط به مشتریOpenSSH اجازه می‌دهد" و تنظیم یا "بله" یا "پرسش" را تنظیم کنید.

بررسی‌های بیشتر نشان داد که این آسیب‌پذیری بدون توجه به تنظیماتVerifyHostKeyDNS وجود دارد و نیازی به تعامل کاربر یا سوابقDNS خاصی ندارد. درOpenSSH نسخه 6.8p1 معرفی شد و بر نسخه‌های تا 9.9p1 تأثیر می‌گذارد.

علاوه بر این، این نقص به مهاجم اجازه می‌دهد تا جعل یک سرور قانونی را جعل کند، که به طور بالقوه یکپارچگی اتصالSSH را به خطر می‌اندازد و امکان رهگیری یا دست‌کاری داده‌ها را فراهم می‌کند. این می‌تواند منجر به به خطر افتادن جلساتSSH شود و به هکرها این امکان را می‌دهد که داده‌های حساس را مشاهده یا دست‌کاری کنند، در سرورهای مهم حرکت کنند و اطلاعات ارزشمند را استخراج کنند. شایان ذکر است که در حالی کهVerifyHostKeyDNS معمولاً غیرفعال است، به‌طور پیش‌فرض در سیستم‌هایFreeBSD برای نزدیک به یک دهه فعال بود و تأثیر بالقوه این نقص را افزایش داد.

دومین آسیب‌پذیری که با نامCVE-2025-26466 ردیابی می‌شود، هم کلاینتOpenSSH و هم سرور را تحت تأثیر قرار می‌دهد. این نقص امکان حمله انکار سرویس پیش از احراز هویت، مصرف بیش از حد حافظه و منابعCPU را فراهم می‌کند. این می‌تواند منجر به قطع سیستم شود و از دسترسی کاربران قانونی از جمله مدیران به سرورهای مهم جلوگیری کند. بهره‌برداری مکرر می‌تواند منجر به قطعی طولانی مدت و مشکلات مدیریت سرور شود که به طور بالقوه بر عملیات و وظایف تعمیر و نگهداری سازمان تأثیر می‌گذارد.

این آسیب‌پذیری اخیراً درOpenSSH نسخه 9.5p1 معرفی شده است و نسخه‌های تا 9.9p1 را نیز تحت تأثیر قرار می‌دهد. خوشبختانه، چندین پیکربندی سرورOpenSSH موجود، مانندLoginGraceTime، MaxStartups وPerSourcePenalties می‌توانند این حمله انکار سرویس را کاهش دهند.

Qualys TRU مسئولانه این آسیب‌پذیری‌ها را برای توسعه‌دهندگانOpenSSH فاش کرد و یک اصلاح درOpenSSH نسخه 9.9p2 موجود است. کاربران و مدیران باید فوراً به آخرین نسخه ارتقاء دهند تا از سیستم‌های خود در برابر این تهدیدات تازه شناسایی شده محافظت کنند. هرگونه تأخیر می‌تواند سیستم‌ها را در برابر نقض داده‌ها، دسترسی غیرمجاز و حملات انکار سرویس آسیب‌پذیر کند، که به طور بالقوه عملیات را مختل کرده و منجر به عواقب خطرناکی می‌شود.

لازم به ذکر است کهOpenSSH در گذشته با چالش‌های امنیتی مواجه بوده است، مانند گزارشHackread.com آسیب‌پذیریregreSSHion (CVE-2024-6387) که توسطQualys در سال 2024 کشف شد

این نقص‌ها درOpenSSH نشان می‌دهد که حتی نرم‌افزارهای قابل اعتماد و به خوبی نگهداری شده مانندOpenSSH نیز می‌توانند در معرض آسیب‌پذیری قرار گیرند، به‌روزرسانی‌های نرم‌افزاری منظم، نظارت بر فعالیت‌های مشکوک و اجرای بهترین شیوه‌های امنیتی برای محافظت از سیستم‌ها ضروری است.

 

آسیب‌پذیری‌های بحرانی OpenSSH کاربران را در معرض حملات MITM و DoS قرار می‌دهد

دو آسیب‌پذیری حیاتیOpenSSH کشف شد! Qualys TRU نقص‌های مشتری و سرور(CVE-2025-26465 & CVE-2025-26466) را پیدا می‌کند کهMITM وDoS را فعال می‌کند. اکنون برای محافظت از سیستم‌های خود به 9.9p2 ارتقاء دهید.

واحد تحقیقاتQualys Threat (TRU) دو نقطه ضعف امنیتی درOpenSSH کشف کرده است، ابزاری که به طور گسترده در سیستم عامل‌های مختلف برای ورود امن از راه دور، انتقال فایل و سایر عملکردهای حیاتی مورد استفاده قرار می‌گیرد.

اولین آسیب‌پذیری که با نامCVE-2025-26465 شناخته می‌شود، کلاینتOpenSSH را در معرض حملات ماشینی در وسط قرار می‌دهد. در پست وبلاگ خوانده شده، این نقص "به هنگام فعال بودن گزینهVerifyHostKeyDNS به یک حمله ماشین در وسط به مشتریOpenSSH اجازه می‌دهد" و تنظیم یا "بله" یا "پرسش" را تنظیم کنید.

بررسی‌های بیشتر نشان داد که این آسیب‌پذیری بدون توجه به تنظیماتVerifyHostKeyDNS وجود دارد و نیازی به تعامل کاربر یا سوابقDNS خاصی ندارد. درOpenSSH نسخه 6.8p1 معرفی شد و بر نسخه‌های تا 9.9p1 تأثیر می‌گذارد.

علاوه بر این، این نقص به مهاجم اجازه می‌دهد تا جعل یک سرور قانونی را جعل کند، که به طور بالقوه یکپارچگی اتصالSSH را به خطر می‌اندازد و امکان رهگیری یا دست‌کاری داده‌ها را فراهم می‌کند. این می‌تواند منجر به به خطر افتادن جلساتSSH شود و به هکرها این امکان را می‌دهد که داده‌های حساس را مشاهده یا دست‌کاری کنند، در سرورهای مهم حرکت کنند و اطلاعات ارزشمند را استخراج کنند. شایان ذکر است که در حالی کهVerifyHostKeyDNS معمولاً غیرفعال است، به‌طور پیش‌فرض در سیستم‌هایFreeBSD برای نزدیک به یک دهه فعال بود و تأثیر بالقوه این نقص را افزایش داد.

دومین آسیب‌پذیری که با نامCVE-2025-26466 ردیابی می‌شود، هم کلاینتOpenSSH و هم سرور را تحت تأثیر قرار می‌دهد. این نقص امکان حمله انکار سرویس پیش از احراز هویت، مصرف بیش از حد حافظه و منابعCPU را فراهم می‌کند. این می‌تواند منجر به قطع سیستم شود و از دسترسی کاربران قانونی از جمله مدیران به سرورهای مهم جلوگیری کند. بهره‌برداری مکرر می‌تواند منجر به قطعی طولانی مدت و مشکلات مدیریت سرور شود که به طور بالقوه بر عملیات و وظایف تعمیر و نگهداری سازمان تأثیر می‌گذارد.

این آسیب‌پذیری اخیراً درOpenSSH نسخه 9.5p1 معرفی شده است و نسخه‌های تا 9.9p1 را نیز تحت تأثیر قرار می‌دهد. خوشبختانه، چندین پیکربندی سرورOpenSSH موجود، مانندLoginGraceTime، MaxStartups وPerSourcePenalties می‌توانند این حمله انکار سرویس را کاهش دهند.

Qualys TRU مسئولانه این آسیب‌پذیری‌ها را برای توسعه‌دهندگانOpenSSH فاش کرد و یک اصلاح درOpenSSH نسخه 9.9p2 موجود است. کاربران و مدیران باید فوراً به آخرین نسخه ارتقاء دهند تا از سیستم‌های خود در برابر این تهدیدات تازه شناسایی شده محافظت کنند. هرگونه تأخیر می‌تواند سیستم‌ها را در برابر نقض داده‌ها، دسترسی غیرمجاز و حملات انکار سرویس آسیب‌پذیر کند، که به طور بالقوه عملیات را مختل کرده و منجر به عواقب خطرناکی می‌شود.

لازم به ذکر است کهOpenSSH در گذشته با چالش‌های امنیتی مواجه بوده است، مانند گزارشHackread.com آسیب‌پذیریregreSSHion (CVE-2024-6387) که توسطQualys در سال 2024 کشف شد

این نقص‌ها درOpenSSH نشان می‌دهد که حتی نرم‌افزارهای قابل اعتماد و به خوبی نگهداری شده مانندOpenSSH نیز می‌توانند در معرض آسیب‌پذیری قرار گیرند، به‌روزرسانی‌های نرم‌افزاری منظم، نظارت بر فعالیت‌های مشکوک و اجرای بهترین شیوه‌های امنیتی برای محافظت از سیستم‌ها ضروری است.

 

آسیب‌پذیری‌های بحرانی OpenSSH کاربران را در معرض حملات MITM و DoS قرار می‌دهد

دو آسیب‌پذیری حیاتیOpenSSH کشف شد! Qualys TRU نقص‌های مشتری و سرور(CVE-2025-26465 & CVE-2025-26466) را پیدا می‌کند کهMITM وDoS را فعال می‌کند. اکنون برای محافظت از سیستم‌های خود به 9.9p2 ارتقاء دهید.

واحد تحقیقاتQualys Threat (TRU) دو نقطه ضعف امنیتی درOpenSSH کشف کرده است، ابزاری که به طور گسترده در سیستم عامل‌های مختلف برای ورود امن از راه دور، انتقال فایل و سایر عملکردهای حیاتی مورد استفاده قرار می‌گیرد.

اولین آسیب‌پذیری که با نامCVE-2025-26465 شناخته می‌شود، کلاینتOpenSSH را در معرض حملات ماشینی در وسط قرار می‌دهد. در پست وبلاگ خوانده شده، این نقص "به هنگام فعال بودن گزینهVerifyHostKeyDNS به یک حمله ماشین در وسط به مشتریOpenSSH اجازه می‌دهد" و تنظیم یا "بله" یا "پرسش" را تنظیم کنید.

بررسی‌های بیشتر نشان داد که این آسیب‌پذیری بدون توجه به تنظیماتVerifyHostKeyDNS وجود دارد و نیازی به تعامل کاربر یا سوابقDNS خاصی ندارد. درOpenSSH نسخه 6.8p1 معرفی شد و بر نسخه‌های تا 9.9p1 تأثیر می‌گذارد.

علاوه بر این، این نقص به مهاجم اجازه می‌دهد تا جعل یک سرور قانونی را جعل کند، که به طور بالقوه یکپارچگی اتصالSSH را به خطر می‌اندازد و امکان رهگیری یا دست‌کاری داده‌ها را فراهم می‌کند. این می‌تواند منجر به به خطر افتادن جلساتSSH شود و به هکرها این امکان را می‌دهد که داده‌های حساس را مشاهده یا دست‌کاری کنند، در سرورهای مهم حرکت کنند و اطلاعات ارزشمند را استخراج کنند. شایان ذکر است که در حالی کهVerifyHostKeyDNS معمولاً غیرفعال است، به‌طور پیش‌فرض در سیستم‌هایFreeBSD برای نزدیک به یک دهه فعال بود و تأثیر بالقوه این نقص را افزایش داد.

دومین آسیب‌پذیری که با نامCVE-2025-26466 ردیابی می‌شود، هم کلاینتOpenSSH و هم سرور را تحت تأثیر قرار می‌دهد. این نقص امکان حمله انکار سرویس پیش از احراز هویت، مصرف بیش از حد حافظه و منابعCPU را فراهم می‌کند. این می‌تواند منجر به قطع سیستم شود و از دسترسی کاربران قانونی از جمله مدیران به سرورهای مهم جلوگیری کند. بهره‌برداری مکرر می‌تواند منجر به قطعی طولانی مدت و مشکلات مدیریت سرور شود که به طور بالقوه بر عملیات و وظایف تعمیر و نگهداری سازمان تأثیر می‌گذارد.

این آسیب‌پذیری اخیراً درOpenSSH نسخه 9.5p1 معرفی شده است و نسخه‌های تا 9.9p1 را نیز تحت تأثیر قرار می‌دهد. خوشبختانه، چندین پیکربندی سرورOpenSSH موجود، مانندLoginGraceTime، MaxStartups وPerSourcePenalties می‌توانند این حمله انکار سرویس را کاهش دهند.

Qualys TRU مسئولانه این آسیب‌پذیری‌ها را برای توسعه‌دهندگانOpenSSH فاش کرد و یک اصلاح درOpenSSH نسخه 9.9p2 موجود است. کاربران و مدیران باید فوراً به آخرین نسخه ارتقاء دهند تا از سیستم‌های خود در برابر این تهدیدات تازه شناسایی شده محافظت کنند. هرگونه تأخیر می‌تواند سیستم‌ها را در برابر نقض داده‌ها، دسترسی غیرمجاز و حملات انکار سرویس آسیب‌پذیر کند، که به طور بالقوه عملیات را مختل کرده و منجر به عواقب خطرناکی می‌شود.

لازم به ذکر است کهOpenSSH در گذشته با چالش‌های امنیتی مواجه بوده است، مانند گزارشHackread.com آسیب‌پذیریregreSSHion (CVE-2024-6387) که توسطQualys در سال 2024 کشف شد

این نقص‌ها درOpenSSH نشان می‌دهد که حتی نرم‌افزارهای قابل اعتماد و به خوبی نگهداری شده مانندOpenSSH نیز می‌توانند در معرض آسیب‌پذیری قرار گیرند، به‌روزرسانی‌های نرم‌افزاری منظم، نظارت بر فعالیت‌های مشکوک و اجرای بهترین شیوه‌های امنیتی برای محافظت از سیستم‌ها ضروری است.

 

نوع جدید بدافزار XCSSET با هدف قرار دادن برنامه و کیف پول macOS Notes

مایکروسافت به توسعه دهندگان اپل در مورد یک بدافزار جدیدXCSSET هشدار می‌دهد کهmacOS را هدف قرار می‌دهد و خطرات امنیتی را از طریق عفونت‌های مخفی و سرقت داده‌ها ایجاد می‌کند.

محققان امنیت سایبری درMicrosoft Threat Intelligence گونه جدیدی از بدافزارXCSSET را شناسایی کرده‌اند که کاربرانmacOS را هدف قرار می‌دهد. این بدافزار مدولار با آلوده کردن پروژه‌هایXcode، ابزارهای لازم برای ساخت برنامه‌های کاربردی در پلتفرمmacOS، بر حمله به توسعه‌دهندگان اپل تمرکز می‌کند.

در حالی که گسترش فعلی این نسخه به روز شده محدود به نظر می رسد، کارشناسان از توسعه دهندگان و سازمان ها می‌خواهند که اقدامات پیشگیرانه را برای محافظت از سیستم‌های خود اجرا کنند.

XCSSET چیست؟
XCSSET برای اولین بار توسطTrend Micro در سال 2020 شناسایی شد. از آن زمان به عنوان یک بدافزار آب زیرکاه شهرت پیدا کرده است. این آخرین نسخه بر اساس قابلیت‌های نسخه قبلی خود با پیشرفت‌های عمده در طراحی آن ساخته شده است و تشخیص و دفاع در برابر آن را حتی سخت‌تر می‌کند.

طبق یافته‌های مایکروسافت، نوع جدید مجهز به تکنیک‌های مبهم‌سازی پیشرفته، مکانیسم‌های پیچیده‌تر پایداری و روش‌های به‌روز شده برای آلوده‌سازی سیستم‌ها است. این ارتقاهاXCSSET را به یک تهدید دائمی و مخفی تبدیل می‌کند که می‌تواند ترکیبی از فعالیت‌های مخرب مختلف را انجام دهد، از جمله هدف قرار دادن کیف پول‌های دیجیتال، سرقت داده‌ها از برنامهNotes، سرقت اطلاعات حساس سیستم و استخراج فایل‌ها.

تشخیص سخت‌تر
یکی از قابلیت‌های اصلی این نوع جدیدXCSSET تمرکز آن بر فرار است. برای جلوگیری از شناسایی توسط آنتی ویروس و سایر ابزارهای امنیتی، بدافزار محموله‌های خود را به صورت کاملا تصادفی تولید می‌کند. هم فرآیند رمزگذاری و هم تعداد تکرارهای مورد استفاده را تصادفی می‌کند و چالش‌هایی را برای محققانی که سعی در تجزیه‌و تحلیل کد دارند ایجاد می‌کند.

علاوه بر این، نسخه‌های قدیمی‌ترXCSSET برای رمزگذاری بارهای خود به یک ابزار واحد، xxd (hexdump) متکی بودند. با این حال، آخرین نسخه، رمزگذاریBase64 را به زرادخانه خود اضافه می‌کند و تلاش‌های تجزیه‌و تحلیل را پیچیده تر می‌کند. حتی نام ماژول‌های بدافزار مبهم شده است و تشخیص هدف یا عملکرد آنها در کد را دشوار می‌کند.

سخت‌تر برای حذف
نوع جدیدXCSSET از دو روش نوآورانه برای اطمینان از فعال ماندن آن در سیستم‌های آلوده، حتی پس از راه‌اندازی مجدد یا خروج کاربر استفاده می‌کند.

1- روش"zshrc": این تاکتیک شامل ایجاد یک فایل مخفی به نام~/.zshrc_aliases برای قرار دادن بار مخرب است. سپس بدافزار فایل پیکربندی~/.zshrc را دست‌کاری می‌کند و دستوری را اضافه می‌کند که هر زمان که جلسه پوسته جدیدی شروع می‌شود، به‌طور خودکار فایل مخرب را بارگیری می‌کند. این بدان معناست که هر بار که کاربر ترمینال خود را باز می کند، بدافزار در پس زمینه فعال می شود.
2- روش"Dock": این رویکردDock macOS را ربوده است. این بدافزار یک ابزار امضا شده به نام"dockutil" را از یک سرور فرمان و کنترل از راه دور دانلود می‌کند تا مواردDock را تغییر دهد. این برنامه قانونی"Launchpad" را با یک نسخه مخرب جایگزین می‌کند‌ و تضمین می‌کند که بدافزار هر بار که کاربر باDock تعامل دارد اجرا می‌شود.

هدف‌گذاری پروژه‌هایXcode
همانطور که از نام آن پیداست، XCSSET در درجه اولXcode، محیط توسعه یکپارچه قدرتمند اپل(IDE) برایmacOS را هدف قرار می‌دهد. بدافزار با استفاده از یکی از سه استراتژی قرار دادن: TARGET، RULE، یاFORCED_STRATEGY به پروژه‌هایXcode نفوذ می‌کند. این استراتژی‌ها تعیین می‌کنند که چگونه و کجا بار مخرب در فایل‌های پروژه جاسازی شود.

علاوه بر این، بدافزار می‌تواند کلیدTARGET_DEVICE_FAMILY را در تنظیمات ساخت پروژه هدف قرار دهد. XCSSET با درج کد خود در اینجا اطمینان می‌دهد کهpayload فقط زمانی فعال می‌شود که برنامه در دستگاه‌های خاصی ساخته شده و اجرا شود، و از شناسایی در مراحل توسعه یا آزمایش اجتناب می‌کند.

چگونه از خود محافظت کنیم

اگر شما یک توسعه دهنده اپل یا به طور کلی کاربرmacOS هستید، در اینجا چند نکته ساده اما حیاتی برای محافظت از دستگاه‌های خود در برابر بدافزارXCSSET آورده شده است:

  • پروژه‌هایXcode را بررسی کنید: همیشه پروژه‌هایXcode را بررسی و تأیید کنید، به خصوص اگر از مخازن خارجی دانلود شده یا توسط اشخاص ثالث به اشتراک گذاشته شده است.
  • به منابع قابل اعتماد پایبند باشید: برنامه‌ها و ابزارها را منحصراً از کانال‌های رسمی اپل یا پلتفرم‌های نرم افزاری معتبر دانلود کنید. از فروشگاه‌های برنامه شخص ثالث یا دانلودهای غیر رسمی خودداری کنید.
  • با به روز‌رسانی‌ها همراه باشید: با آخرین توصیه‌های امنیتی مایکروسافت، اپل و سایر سازمان‌های امنیت سایبری به روز باشید.

 

نوع جدید بدافزار XCSSET با هدف قرار دادن برنامه و کیف پول macOS Notes

مایکروسافت به توسعه دهندگان اپل در مورد یک بدافزار جدیدXCSSET هشدار می‌دهد کهmacOS را هدف قرار می‌دهد و خطرات امنیتی را از طریق عفونت‌های مخفی و سرقت داده‌ها ایجاد می‌کند.

محققان امنیت سایبری درMicrosoft Threat Intelligence گونه جدیدی از بدافزارXCSSET را شناسایی کرده‌اند که کاربرانmacOS را هدف قرار می‌دهد. این بدافزار مدولار با آلوده کردن پروژه‌هایXcode، ابزارهای لازم برای ساخت برنامه‌های کاربردی در پلتفرمmacOS، بر حمله به توسعه‌دهندگان اپل تمرکز می‌کند.

در حالی که گسترش فعلی این نسخه به روز شده محدود به نظر می رسد، کارشناسان از توسعه دهندگان و سازمان ها می‌خواهند که اقدامات پیشگیرانه را برای محافظت از سیستم‌های خود اجرا کنند.

XCSSET چیست؟
XCSSET برای اولین بار توسطTrend Micro در سال 2020 شناسایی شد. از آن زمان به عنوان یک بدافزار آب زیرکاه شهرت پیدا کرده است. این آخرین نسخه بر اساس قابلیت‌های نسخه قبلی خود با پیشرفت‌های عمده در طراحی آن ساخته شده است و تشخیص و دفاع در برابر آن را حتی سخت‌تر می‌کند.

طبق یافته‌های مایکروسافت، نوع جدید مجهز به تکنیک‌های مبهم‌سازی پیشرفته، مکانیسم‌های پیچیده‌تر پایداری و روش‌های به‌روز شده برای آلوده‌سازی سیستم‌ها است. این ارتقاهاXCSSET را به یک تهدید دائمی و مخفی تبدیل می‌کند که می‌تواند ترکیبی از فعالیت‌های مخرب مختلف را انجام دهد، از جمله هدف قرار دادن کیف پول‌های دیجیتال، سرقت داده‌ها از برنامهNotes، سرقت اطلاعات حساس سیستم و استخراج فایل‌ها.

تشخیص سخت‌تر
یکی از قابلیت‌های اصلی این نوع جدیدXCSSET تمرکز آن بر فرار است. برای جلوگیری از شناسایی توسط آنتی ویروس و سایر ابزارهای امنیتی، بدافزار محموله‌های خود را به صورت کاملا تصادفی تولید می‌کند. هم فرآیند رمزگذاری و هم تعداد تکرارهای مورد استفاده را تصادفی می‌کند و چالش‌هایی را برای محققانی که سعی در تجزیه‌و تحلیل کد دارند ایجاد می‌کند.

علاوه بر این، نسخه‌های قدیمی‌ترXCSSET برای رمزگذاری بارهای خود به یک ابزار واحد، xxd (hexdump) متکی بودند. با این حال، آخرین نسخه، رمزگذاریBase64 را به زرادخانه خود اضافه می‌کند و تلاش‌های تجزیه‌و تحلیل را پیچیده تر می‌کند. حتی نام ماژول‌های بدافزار مبهم شده است و تشخیص هدف یا عملکرد آنها در کد را دشوار می‌کند.

سخت‌تر برای حذف
نوع جدیدXCSSET از دو روش نوآورانه برای اطمینان از فعال ماندن آن در سیستم‌های آلوده، حتی پس از راه‌اندازی مجدد یا خروج کاربر استفاده می‌کند.

1- روش"zshrc": این تاکتیک شامل ایجاد یک فایل مخفی به نام~/.zshrc_aliases برای قرار دادن بار مخرب است. سپس بدافزار فایل پیکربندی~/.zshrc را دست‌کاری می‌کند و دستوری را اضافه می‌کند که هر زمان که جلسه پوسته جدیدی شروع می‌شود، به‌طور خودکار فایل مخرب را بارگیری می‌کند. این بدان معناست که هر بار که کاربر ترمینال خود را باز می کند، بدافزار در پس زمینه فعال می شود.
2- روش"Dock": این رویکردDock macOS را ربوده است. این بدافزار یک ابزار امضا شده به نام"dockutil" را از یک سرور فرمان و کنترل از راه دور دانلود می‌کند تا مواردDock را تغییر دهد. این برنامه قانونی"Launchpad" را با یک نسخه مخرب جایگزین می‌کند‌ و تضمین می‌کند که بدافزار هر بار که کاربر باDock تعامل دارد اجرا می‌شود.

هدف‌گذاری پروژه‌هایXcode
همانطور که از نام آن پیداست، XCSSET در درجه اولXcode، محیط توسعه یکپارچه قدرتمند اپل(IDE) برایmacOS را هدف قرار می‌دهد. بدافزار با استفاده از یکی از سه استراتژی قرار دادن: TARGET، RULE، یاFORCED_STRATEGY به پروژه‌هایXcode نفوذ می‌کند. این استراتژی‌ها تعیین می‌کنند که چگونه و کجا بار مخرب در فایل‌های پروژه جاسازی شود.

علاوه بر این، بدافزار می‌تواند کلیدTARGET_DEVICE_FAMILY را در تنظیمات ساخت پروژه هدف قرار دهد. XCSSET با درج کد خود در اینجا اطمینان می‌دهد کهpayload فقط زمانی فعال می‌شود که برنامه در دستگاه‌های خاصی ساخته شده و اجرا شود، و از شناسایی در مراحل توسعه یا آزمایش اجتناب می‌کند.

چگونه از خود محافظت کنیم

اگر شما یک توسعه دهنده اپل یا به طور کلی کاربرmacOS هستید، در اینجا چند نکته ساده اما حیاتی برای محافظت از دستگاه‌های خود در برابر بدافزارXCSSET آورده شده است:

  • پروژه‌هایXcode را بررسی کنید: همیشه پروژه‌هایXcode را بررسی و تأیید کنید، به خصوص اگر از مخازن خارجی دانلود شده یا توسط اشخاص ثالث به اشتراک گذاشته شده است.
  • به منابع قابل اعتماد پایبند باشید: برنامه‌ها و ابزارها را منحصراً از کانال‌های رسمی اپل یا پلتفرم‌های نرم افزاری معتبر دانلود کنید. از فروشگاه‌های برنامه شخص ثالث یا دانلودهای غیر رسمی خودداری کنید.
  • با به روز‌رسانی‌ها همراه باشید: با آخرین توصیه‌های امنیتی مایکروسافت، اپل و سایر سازمان‌های امنیت سایبری به روز باشید.

 

امنیت و حریم خصوصی چالش تلاش‌های مدرن‌سازی

بر اساس گزارشSolarWinds، برای اکثر سازمان‌های بخش عمومی، تحول دیجیتال در حال انجام است و پیچیدگی یکپارچه‌سازی سیستم‌های جدید و نگرانی‌های مربوط به حریم خصوصی و امنیتی همچنان موانع اصلی باقی مانده است.

تراویس گالووی، مشاور ارشد امور دولتی درSolarWinds می‌گوید: «در حالی که بخش عمومی چشم‌انداز فناوری در حال تحول را دنبال می‌کند، سازمان‌های بیشتری به هدایت عملیات و حجم کاری به ابر و اتخاذ راه‌حل‌های فناوری اطلاعات ترکیبی ادامه خواهند داد.

گالووی ادامه داد: «این لایه دیگری از پیچیدگی را به امنیت داده‌ها و انطباق در سراسر عملیات اضافه می‌کند، همراه با فشارهای اضافی محدودیت‌های بودجه.

مهم‌ترین چالش‌های امنیتی امروز شامل آسیب‌پذیری‌ها در سیستم‌های نظارتی و نیاز حیاتی به محافظت از اطلاعات حساس در برابر تهدیدات سایبری است. شرکت کنندگان جامعه عمومی هک (59%) و افراد بی‌دقت/ آموزش ندیده (58%) را به عنوان تهدیدات امنیتی برتر خود رتبه‌بندی کردند و بر نیاز به آموزش آگاهی امنیتی قوی‌تر، ابزارهای پیشرفته و مکانیسم‌های کنترل دسترسی بهتر تاکید کردند.

پذیرش هوش مصنوعی نیز با مزایایی مانند تجزیه‌و تحلیل پیش‌بینی‌کننده و تشخیص مشکل، شتاب بیشتری می‌گیرد، اما نگرانی‌ها همچنان پابرجاست. بیش از 33 درصد از پاسخ‌دهندگان از هوش مصنوعی برای خودکارسازی عملیات امنیت سایبری و افزایش قابلیت مشاهده فناوری اطلاعات استفاده می‌کنند، با برنامه‌ریزی‌های بسیاری که به زودی از آن استفاده می‌کنند.

با وجود این، تقریباً 4 نفر از هر 10 پاسخ دهنده به شدت یا بسیار نگران خطرات بالقوه مرتبط با استفاده از هوش مصنوعی، مانند حفظ حریم خصوصی و انطباق داده‌ها هستند، که اجرای تمام مقیاس را به یک فرآیند محتاطانه تبدیل می‌کند.

وضعیت تحول دیجیتال در بخش دولتی
نگرانی‌های مربوط به حفظ حریم خصوصی و امنیت داده‌ها (62%)، محدودیت‌های بودجه (57%)، و پیچیدگی یکپارچه‌سازی (56%) چالش‌های اصلی در سفر تحول دیجیتال پاسخ‌دهندگان هستند. قابل توجه است که پاسخ دهندگان بخش آموزشی بیشتر به پیچیدگی ادغام به عنوان یک چالش اشاره می‌کنند.

برای بیش از نیمی از پاسخ دهندگان، بهبود قابلیت مشاهده سیستم ها و فرآیندها و پیشبرد تحول دیجیتال اولویت‌های بالا یا بسیار بالایی هستند. در مقابل، ادغام هوش مصنوعی در عملیات به عنوان اولویت پایین‌تری در نظر گرفته می‌شود.

محدودیت‌های بودجه (28 درصد) در صدر فهرست موانع مهم امسال برای حفظ یا بهبود امنیت فناوری اطلاعات قرار دارد. پیچیدگی محیط داخلی (20٪) دقیقاً دنبال می‌شود.

منابع اولیه تهدیدات امنیتی برای مخاطبانSLED (ایالتی، محلی‌ و آموزشی) از سال 2019 نسبتاً ثابت باقی مانده است. با این حال، در سال 2024، مخاطبان آموزش شاهد تغییری بودند و جامعه عمومی هکرها از خودی‌های بی‌دقت/ آموزش ندیده به عنوان منبع اصلی تهدیدها پیشی گرفتند.

محیط‌های فعلی و آینده
در سال 2024، ابر دولتی (خصوصی) به عنوان رایج‌ترین محیط (70٪) پیشتاز شده است که ناشی از کاهش استفاده سنتی از مرکز داده داخلی (58٪) است که در سال 2023 رایج‌ترین (91٪) بود. مطابق با سال گذشته، پاسخ‌دهندگان همچنان پیش‌بینی می‌کنند که محیط‌های ترکیبی رایج‌ترین محیط‌ها در آینده خواهند بود(48%).

بیش از نیمی از پاسخ دهندگان گزارش کردند که مدیریت محیطIT آنها بسیار یا بسیار پیچیده است، اگرچه این میزان نسبت به سال گذشته کاهش یافته است. علاوه بر این، کمتر از نیمی از آنها به توانایی خود در مدیریت موثر آن اعتماد دارند.

چالش‌های زیرساخت فناوری اطلاعات ترکیبی
پیچیدگی مدیریت محیط‌های ترکیبی، چالش اصلی (73%)، به ویژه برای پاسخ دهندگان فدرال است. مسائل امنیتی (67٪)، مسائل مربوط به یکپارچه‌سازی سیستم قدیمی (55٪)، و نگرانی‌های هزینه (51٪) نیز چالش‌هایی برای اکثر شرکت کنندگان هستند.

با در نظر گرفتن رتبه‌بندی کلی و رتبه‌بندی به عنوان اولویت اصلی، نگرانی‌های حفاظت از داده‌ها و حفظ حریم خصوصی، همراه با محافظت از اطلاعات حساس در برابر تهدیدات سایبری، به عنوان چالش‌های امنیتی پیش‌رو در زیرساخت‌های فناوری اطلاعات ترکیبی با 51 درصد ظاهر می‌شوند.

63 درصد از پاسخ‌دهندگان با چالش‌هایی در زمینه نظارت در محیط‌های مختلف مواجه هستند که مانع از توانایی آن‌ها برای به دست آوردن دید به زیرساخت فناوری اطلاعات ترکیبی سازمانشان می‌شود.

 

بایگانی

همیاران سایبری – تمام حقوق محفوظ است