بهره‌برداری از آسیب‌پذیری‌ها تبدیل به اصلی‌ترین راه نفوذ شد — و ShinyHunters ۶ میلیون مشتری Carnival را هک کرد | IRCNF - Intelligent Reliable Custom Next-gen Frameworks

بهره‌برداری از آسیب‌پذیری‌ها برای اولین بار از اعتبارنامه‌های سرقت‌شده پیشی گرفت

گزارش ۲۰۲۶ Verizon Data Breach Investigations Report آمار جدیدی دارد که باید اولویت‌های امنیتی هر سازمانی را تغییر دهد: برای اولین بار در ۱۹ سال، بهره‌برداری از آسیب‌پذیری‌های نرم‌افزاری از اعتبارنامه‌های دزدیده‌شده به عنوان شماره یک راه نفوذ پیشی گرفته است. این یک تغییر حاشیه‌ای نیست — نشان‌دهنده تغییر اساسی در نحوه دسترسی اولیه مهاجمان به شبکه‌های سازمانی است.

این تغییر دو روند همگرا را منعکس می‌کند: اسکن آسیب‌پذیری با قدرت هوش مصنوعی که زمان بهره‌برداری را از ماه‌ها به ساعت کاهش می‌دهد، و ناتوانی مداوم سازمان‌ها در اعمال Patchها در بازه‌های زمانی مناسب. در ماه می ۲۰۲۶، Ivanti، Fortinet، SAP، VMware و n8n همگی Patchهای بحرانی برای آسیب‌پذیری‌های فعالانه بهره‌برداری‌شده منتشر کردند. دو zero-day ویندوزی بدون Patch به نام‌های YellowKey و GreenPlasma پس از Patch Tuesday مایکروسافت فاش شدند که قادر به دور زدن BitLocker recovery و اعطای دسترسی مدیریتی روی سیستم‌های بدون Patch هستند.

ShinyHunters و ماه می فاجعه‌بار

گروه باج‌افزاری ShinyHunters پشت دو مورد از بزرگ‌ترین نقض‌های فاش‌شده در می ۲۰۲۶ قرار دارد. اولین مورد: Carnival Corporation به حدود ۶ میلیون نفر اطلاع داد که اطلاعات شخصی آن‌ها — نام، آدرس، ایمیل، شماره تلفن، تاریخ تولد و شماره‌های شناسایی دولتی — پس از آنکه ShinyHunters با مهندسی اجتماعی یک کارمند را فریب داد و به بخشی از سیستم‌های IT Carnival دسترسی پیدا کرد، افشا شده است.

مورد دوم احتمالاً از نظر مقیاس بزرگ‌تر است. Instructure Inc.، شرکت پشت سیستم مدیریت یادگیری Canvas که توسط دانشگاه‌ها و مدارس K-12 در سراسر آمریکا استفاده می‌شود، هدف یک حمله باج‌افزاری قرار گرفت که در آن ShinyHunters تهدید کرد اطلاعات مربوط به ۲۷۵ میلیون کاربر را افشا کند. Canvas توسط بیش از ۳۰ میلیون دانشجو و مدرس در سراسر جهان استفاده می‌شود. اگر حجم داده ادعا شده دقیق باشد، این یکی از بزرگ‌ترین نقض‌های بخش آموزشی ثبت‌شده خواهد بود.

هر دو نقض یک بردار اولیه مشترک دارند: مهندسی اجتماعی علیه کارمندان، نه بهره‌برداری فنی از نقص‌های نرم‌افزاری. این مهم است زیرا به این معنی است که سخت‌سازی امنیت پیرامونی — Patch کردن، فایروال، تقسیم‌بندی شبکه — در برابر مهاجمی که یک کارمند قانونی را قانع می‌کند تا اعتبارنامه‌های خود را تحویل دهد، محافظت نمی‌کند.

حوادث Foxconn و ADT: حملات زنجیره تأمین و هویت

کارخانه‌های Foxconn در آمریکای شمالی در ماه می هدف حمله باج‌افزاری گروه Nitrogen قرار گرفتند که ادعا کردند ۸ ترابایت داده استخراج کرده‌اند. محیط‌های تولیدی به طور فزاینده‌ای هدف قرار می‌گیرند زیرا اغلب سیستم‌های OT قدیمی با تقسیم‌بندی ضعیف شبکه در مقابل IT سازمانی اجرا می‌کنند که پس از نفوذ اولیه مسیرهای حرکت جانبی آسانی ایجاد می‌کند.

ADT پس از آنکه گروه ShinyHunters ادعا کرد اطلاعات شخصی ۵/۵ میلیون مشتری ADT را دزدیده است — که از طریق کمپین vishing (مهندسی اجتماعی تلفنی) که حساب Okta SSO یک کارمند را به خطر انداخت، به دست آمده بود — تحت نظارت قرار گرفت. بردار Okta مهم است: سیستم‌های SSO اهداف با ارزشی هستند زیرا یک حساب به خطر افتاده می‌تواند به ده‌ها برنامه متصل دسترسی دهد. حادثه ADT نشان می‌دهد که چرا vishing علیرغم ساده و مؤثر بودن، هنوز به عنوان یک بردار حمله کمتر مورد توجه قرار می‌گیرد.

برنامه‌های ساخته‌شده با هوش مصنوعی یک سطح حمله جدید هستند

تحقیق WIRED منتشر شده در می ۲۰۲۶ هزاران برنامه وب ساخته‌شده با ابزارهای کدنویسی هوش مصنوعی را یافت که به صورت عمومی قابل دسترس رها شده بودند و گاهی داده‌های حساس سازمانی و شخصی را افشا می‌کردند. الگو این است: توسعه‌دهندگان از دستیارهای هوش مصنوعی برای نمونه‌سازی و استقرار سریع برنامه‌ها استفاده می‌کنند، اما مرورهای امنیتی — احراز هویت، مجوزدهی، اعتبارسنجی ورودی — را که در فرآیند توسعه رسمی گرفته می‌شود، نادیده می‌گیرند.

این یک مشکل ساختاری است نه موردی. ابزارهای کدنویسی هوش مصنوعی آستانه مهارت برای ساختن برنامه‌های کاربردی را کاهش می‌دهند، اما به طور خودکار آستانه مهارت برای ساختن برنامه‌های امن را کاهش نمی‌دهند. توسعه‌دهنده‌ای که نمی‌داند باید احراز هویت را پیاده‌سازی کند نمی‌تواند توسط ابزار هوش مصنوعی که نمی‌داند به آن نیاز دارد محافظت شود. سازمان‌ها باید فرآیندهای مرور امنیتی خود را برای شامل کد تولیدشده توسط هوش مصنوعی با همان دقتی که برای کد نوشته‌شده توسط انسان اعمال می‌شود، گسترش دهند.

افشای اعتبارنامه CISA: وقتی تیم‌های امنیتی خود آسیب‌پذیری هستند

یکی از نگران‌کننده‌ترین حوادث ماه می از داخل خانه بود: یک پیمانکار CISA — آژانس امنیت سایبری و زیرساخت آمریکا — به مدت شش ماه اعتبارنامه‌های مدیریتی را در یک مخزن عمومی GitHub افشا کرد. این افشا شامل نام‌کاربری‌ها، رمزهای عبور سیستم‌های داخلی و کلیدهای SSH به صورت متن ساده بود.

این حادثه ارزش تأمل دارد زیرا CISA دقیقاً آژانسی است که مسئول هماهنگی پاسخ ملی به حوادث سایبری است. افشا مشکلی را نشان می‌دهد که بر سازمان‌ها در همه سطوح تأثیر می‌گذارد: انضباط مدیریت اسرار. اعتبارنامه‌های committed شده به version control یکی از رایج‌ترین و قابل پیشگیری‌ترین بردارهای نقض هستند. ابزارهایی مانند GitHub secret scanning، HashiCorp Vault و AWS Secrets Manager دقیقاً برای جلوگیری از این نوع خطا وجود دارند. شکست در اینجا فنی نبود — فرآیندی بود.

Ransomware-as-a-Service: باج‌گیری سه‌گانه اکنون استاندارد است

حمله گروه Krybit به Bangkok Metropolitan Administration و حمله گروه Nitrogen به Foxconn هر دو از آنچه محققان امنیتی اکنون باج‌گیری سه‌گانه می‌نامند پیروی می‌کنند: رمزگذاری فایل‌ها برای باج، استخراج داده‌ها برای تهدید باج دوم نشت، و تهدید به اطلاع‌رسانی به مشتریان و تنظیم‌کننده‌ها به عنوان سومین فشار. این مدل باج‌افزار را از نظر اقتصادی مقاوم می‌کند — حتی سازمان‌هایی که پشتیبان‌گیری خوبی دارند به طور مستقل از اینکه آیا می‌توانند عملیات را بازیابی کنند، با تهدید نشت داده مواجه هستند.

هشدار FLASH FBI در می ۲۰۲۶ درباره Silent Ransom Group (SRG) بعدی را اضافه می‌کند که بیشتر سازمان‌ها برای آن آماده نشده‌اند: عوامل فیزیکی. پس از شکست حملات اولیه فیشینگ، SRG به فرستادن نمایندگان فیزیکی به مکان‌های هدف تشدید کرده است — اساساً یک کمپین مهندسی اجتماعی سایبری-فیزیکی ترکیبی. این یک تشدید تهدید قابل توجه است که سازمان‌ها را ملزم می‌کند فراتر از کنترل‌های امنیتی صرفاً دیجیتال فکر کنند.

پنج گام عملی برای می ۲۰۲۶

۱. بلافاصله zero-dayهای ویندوز را Patch کنید. YellowKey و GreenPlasma می‌توانند BitLocker را دور بزنند. هر سیستم بدون Patch در معرض افزایش دسترسی توسط هر کسی با دسترسی فیزیکی یا از راه دور قرار دارد.

۲. دسترسی Okta (و سایر SSO) خود را حسابرسی کنید. حمله vishing ADT موفق شد زیرا یک حساب SSO به خطر افتاده درهای زیادی را باز کرد. برای تمام دسترسی‌های SSO از MFA مقاوم در برابر فیشینگ (FIDO2/passkeys) استفاده کنید. SMS OTP کافی نیست.

۳. یک scan اسرار در تمام مخازن اجرا کنید. از GitHub Advanced Security یا ابزار مشابه برای شناسایی هرگونه اعتبارنامه یا کلید committed شده به version control استفاده کنید. هر چیزی که پیدا شد فوراً چرخانده شود، هر افشایی را به عنوان به خطر افتاده تلقی کنید.

۴. کد تولیدشده توسط هوش مصنوعی را برای کنترل‌های امنیتی مرور کنید. اگر تیم شما از Copilot، Cursor یا ابزارهای مشابه برای نوشتن کد برنامه استفاده می‌کند، یک دروازه مرور امنیتی صریح قبل از استقرار اضافه کنید. در هر مؤلفه تولیدشده توسط هوش مصنوعی، احراز هویت، مجوزدهی، اعتبارسنجی ورودی و افشای داده را بررسی کنید.

۵. کارمندان را روی vishing آموزش دهید، نه فقط phishing. حملات Carnival و ADT مهندسی اجتماعی مبتنی بر صدا بودند. کارمندان شما باید بدانند چگونه هویت را از طریق تلفن تأیید کنند و چه زمانی درخواست‌های غیرعادی را به سطح بالاتر ارجاع دهند، صرف نظر از اینکه تماس‌گیرنده چقدر قانونی به نظر می‌رسد.