🚨 پرونده ویژه تکینگیم: سقوط دژهای دیجیتال
روز بخیر فرماندهان امنیت شبکه و استراتژیستهای فناوری! امروز در گاراژ تکین، یکی از ملتهبترین و خطرناکترین پروندههای امنیتی تابستان ۲۰۲۶ را کالبدشکافی میکنیم. ابزارهایی که تا دیروز به عنوان ستون فقرات بهرهوری سازمانی شناخته میشدند—از دستیار هوشمند Microsoft Copilot گرفته تا پلتفرمهای ابری Google Workspace—اکنون به مرگبارترین سلاحها در دستان هکرهای دولتی و سندیکاهای باجافزاری تبدیل شدهاند.
⚡ هایلایتهای استخباراتی امروز:
⚔️ سرقت یککلیکی و خاموش اطلاعات از طریق هوش مصنوعی مایکروسافت کوپایلت.
📉 تسخیر کامل سرورهای دروازه هوش مصنوعی (LiteLLM) توسط مهاجمان ناشناس.
🏃♂️ پنهانسازی ترافیک باجافزارها در قلب زیرساختهای ارتباطی Microsoft Teams.
💰 نفوذ هکرهای دولتی چین به شبکههای تحقیقاتی آمریکا با دستکاری پنل Google Workspace.
🔥 توزیع بدافزار مخرب NarwhalRAT توسط ارتش سایبری کره شمالی در قالب هشدارهای امنیتی.
☕ فایروالهای ذهنیتان را فعال کنید و برای یک کالبدشکافی بیرحمانه و فنی از جنگهای سایبری نسل جدید با ما همراه شوید!
نمایی سایبرپانک از یک دیتاسنتر ابری آلوده به کدهای مخرب و هشدار دهنده قرمز رنگ
۱. فاجعه کوپایلت: چگونه هوش مصنوعی مایکروسافت به جاسوس تبدیل شد؟
انقلاب هوش مصنوعی مولد قرار بود دستیار بیخطر و قدرتمند ما در محیطهای کاری باشد، اما گزارشهای جدید استخباراتی نشان میدهند که LLMها به بزرگترین نقطه کور در معماری امنیتی سازمانها (Enterprise Architecture) تبدیل شدهاند. محققان امنیتی به تازگی یک حمله سه مرحلهای بسیار خطرناک به نام SearchLeak را در سیستم Microsoft 365 Copilot شناسایی و کالبدشکافی کردهاند. این باگ به قدری مرگبار و پیچیده است که تنها با یک کلیک ساده روی یک لینک به ظاهر معتبر، تمام لایههای دفاعی و فایروالهای سازمان را دور میزند و مستقیماً به قلب پایگاه داده متصل میشود.
همانطور که پیشتر در مقاله کالبدشکافی هک هوش مصنوعی؛ از Jailbreak تا مسمومسازی دادهها ← بررسی کرده بودیم، هکرها با استفاده از URLهای مخفی و متغیرهای نامرئی، هوش مصنوعی را مجبور میکنند دادههای حساس را اکسترکت کند. فاجعه اصلی و شاهکار این مهندسی مخرب در اینجاست که لینک آلوده، دقیقاً به دامنه اصلی و قانونی مایکروسافت اشاره میکند، در نتیجه تمامی ابزارهای فیلترینگ فریب میخورند.
⏳ گاهشمار فجایع سایبری در پلتفرمهای سازمانی (ژوئن ۲۰۲۶)
| هفته اول ژوئن | کشف آسیبپذیریهای زنجیرهای خطرناک در LiteLLM و دسترسی غیرمجاز هکرها به کدهای سرور. |
| هفته دوم ژوئن | شناسایی حملات پیشرفته گروه باجافزاری DragonForce و پنهانسازی کدهای مخرب در پلتفرم ارتباطی Microsoft Teams. |
| اواسط ژوئن | افشای جزئیات فنی حمله یککلیکی SearchLeak در مایکروسافت کوپایلت. |
| ۱۶ ژوئن ۲۰۲۶ | افشای نفوذ طولانیمدت و خاموش هکرهای چینی به زیرساختهای Google Workspace و سرقت ایمیلهای تحقیقاتی. |
۲. کالبدشکافی SearchLeak و بنچمارک امنیتی در آزمایشگاه تکین
برای دیباگ کردن و درک ابعاد این فاجعه، تیم امنیتی گاراژ تکین یک محیط شبیهسازی و ایزوله (Sandbox) ایجاد کرد تا نحوه دور زدن پروتکلهای امنیتی توسط متدولوژی SearchLeak را بنچمارک کند. نتایج این آزمایشها زنگ خطر بزرگی را برای تمام مدیران امنیت اطلاعات به صدا درآورد: اتکای بیش از حد سازمانها به ابزارهای امنیتی سنتی—مانند EDRهای مبتنی بر امضا (Signature-based)—در برابر حملات پیچیدهای نظیر تزریق پرامپت (Prompt Injection) کاملاً بیفایده و ناکارآمد است.
📊 آمار وحشتناک دور زدن دفاعیات سایبری توسط SearchLeak
این حملات بخشی از نسل جدیدی از تهدیدات هستند که با استفاده از URLهای مخفی و متغیرهای نامرئی، هوش مصنوعیِ دارای سطح دسترسی بالا را مجبور میکنند دادههای حساس را مستقیماً به سرورهای فرماندهی هکرها پمپاژ کند.
۳. دروازههای سقوط کرده: تسخیر سرورهای AI Gateway (LiteLLM)
اگر تصور میکنید تنها نقاط پایانی و کارمندان در معرض این حملات قرار دارند، سخت در اشتباهید. زیرساختهای مرکزی شبکههای هوش مصنوعی نیز در حال فروپاشیاند. محققان امنیت سایبری اخیراً یک آسیبپذیری زنجیرهای وحشتناک را در سیستم LiteLLM کشف و مستند کردهاند. LiteLLM یک درگاه (Gateway) منبعباز است که به عنوان واسط عمل کرده و بیش از ۱۰۰ ارائهدهنده مختلف مدلهای زبانی را در قالب یک رابط واحد متصل میکند.
⚙️ کالبدشکافی فنی آسیبپذیری LiteLLM
- بردار حمله (Attack Vector): مهاجم از طریق ارتقاء سطح دسترسی (Privilege Escalation) و با سوءاستفاده از تنظیمات حسابهای کاربری پیشفرض با دسترسی پایین، به شبکه نفوذ میکند.
- نحوه نفوذ و اجرا: هکر با زنجیر کردن سه باگ مجزا، دسترسی محدود خود را به سطح یک مدیر کامل (Full Admin) ارتقا داده و میتواند کدهای مخرب دلخواه خود را روی سرورهای پردازشی اجرا کند.
- تبعات فاجعهبار سازمانی: تسخیر سرور در این سطح، منجر به افشای تمامی کلیدهای API و Secret Keyهای مربوط به ارائهدهندگان مدل میشود و کل زیرساخت ارتباطی را در اختیار مهاجم قرار میدهد.
تسخیر دروازههای هوش مصنوعی؛ وقتی کدهای مخرب کنترل مدلهای زبانی (LLM) را به دست میگیرند
۴. ارواح در شبکه: پنهانسازی باجافزار DragonForce در Microsoft Teams
یکی از هوشمندانهترین و در عین حال ترسناکترین تاکتیکهای تکاملیافته در سال ۲۰۲۶، هنر «پنهان شدن در دیدرس» یا همان (Living off the Land) است. هکرهای سندیکای باجافزاری DragonForce به جای استفاده از سرورهای فرماندهی و کنترل (C2) اختصاصی خود—که به راحتی توسط فایروالهای سازمانی شناسایی و بلاک میشوند—از شبکه ارتباطی مایکروسافت تیمز (Microsoft Teams) برای انتقال دادههای مخرب استفاده کردهاند.
بر اساس گزارشهای کالبدشکافی بدافزار، آنها با توسعه یک پیلود (Payload) سفارشی به نام Backdoor.Turn، ترافیک ارتباطی خود را دقیقاً داخل زیرساخت رلهی مایکروسافت تیمز مخفی میکنند. از آنجا که ترافیک Teams در تمامی سازمانها مجاز و وایتلیست (Whitelisted) است و به عنوان ترافیک امن شناخته میشود، هکرها به راحتی سیستمهای جلوگیری از نشت داده (DLP) و آنتیویروسهای نقطهپایانی (Endpoint) را فریب داده و به عنوان ارواح نامرئی درون معماری شبکه حرکت میکنند.
📌 جمعبندی میانی استراتژیک
نفوذهای اخیر به اثبات میرساند که هکرهای مدرن دیگر نیازی به ساخت بدافزارهای پر سروصدا ندارند؛ آنها به سادگی از قابلیتهای قانونی و بومی پلتفرمهای ابری (نظیر رلههای Teams) به عنوان سلاح استفاده میکنند. دفاع سایبری در برابر چنین حملاتی، نیازمند شیفت فوری از «نظارت مبتنی بر امضا» به سمت «هوش مصنوعی رفتاری (Behavioral AI)» است.
نمایی از پنهانسازی کدهای مخرب در تونلهای ارتباطی رمزنگاری شده
۵. نفوذ خاموش: دستکاری Google Workspace توسط ارتش سایبری چین
در جبههی جنگهای سایبری دولتی (State-Sponsored)، یک گروه جاسوسی قدرتمند مرتبط با دولت چین (Chinese APT) موفق شده است با یک عملیات فوقسری، برای بیش از یک سال به طور کاملاً پنهانی در شبکههای حساس پزشکی، آکادمیک و تحقیقات نظامی آمریکای شمالی حضور داشته باشد و دادههای استراتژیک را بدون ایجاد هیچگونه آلارم امنیتی اکسترکت کند.
💰 جدول توزیع نفوذ و سرقت دادههای تحقیقاتی (برآورد خسارت)
| بخش آسیبدیده | روش نفوذ اولیه و بکدور | مکانیسم اکسترکت و استخراج داده |
|---|---|---|
| مراکز تحقیقات پزشکی / نظامی | ایجاد بکدور در سرورهای REDCap برای سرقت نام کاربری و رمز عبور | دستکاری و بازنویسی قوانین (Rules) در پنل مدیریت Google Workspace |
| سرقت ایمیلهای دفاعی | سرقت نشست (Session Hijacking) و نفوذ به حسابهای مدیران | کپی کردن خودکار تمام پیامها به حسابهای ناشناس تحت کنترل هکرها |
نحوه عملکرد این گروه چینی، یک کلاس درس در مهندسی سایبری است. هکرها ابتدا یک بکدور روی سرورهای تحقیقاتی REDCap نصب کردند تا اطلاعات ورود کاربران را سرقت کنند. سپس در یک اقدام هوشمندانه، به جای استفاده از بدافزارهای قابل شناسایی، مستقیماً وارد ادمینپنل Google Workspace قربانی شده و قوانین مدیریت ایمیل (Email Forwarding Rules) را بازنویسی کردند. این تغییرات باعث شد تا یک کپی از تمامی ایمیلهای حساس، بیسروصدا و به صورت قانونی (بدون تریگر کردن فایروال) برای سرورهای آنها فوروارد شود.
۶. تاکتیکهای جدید کره شمالی: شکار برنامهنویسان با NarwhalRAT
در کنار اژدهای سرخ، ارتش سایبری کره شمالی نیز به شدت در حال تجهیز زرادخانه خود است. گروه هکری تحت حمایت پیونگیانگ موسوم به ScarCruft (یا APT37) موج جدیدی از حملات فیشینگ نیزهدار (Spear-Phishing) را استارت زده است که به صورت هدفمند، توسعهدهندگان را نشان گرفته است.
⚔️ نبرد سایبری: دفاع سازمانی تکین در برابر ترفندهای APT37
🟢 دکترین دفاعی (Defense)
- آموزش پرسنل و شبیهسازی حملات برای عدم کلیک روی ایمیلهای مشکوک.
- ایزوله کردن محیطهای توسعه (Dev/Test Environments) از شبکه اصلی و دسترسیهای اینترنت.
- مانیتورینگ دقیق و لحظهای ابزارهای توسعهدهندگان در زنجیره CI/CD.
🔴 تاکتیکهای تهاجمی کره شمالی (Attack)
- ارسال هشدارهای امنیتی جعلی به نام اکانت مایکروسافت برای القای حس ترس و توزیع NarwhalRAT.
- آلوده کردن ابزارهای برنامهنویسان در کمپینهای خطرناکی چون Contagious Interview.
- ارسال پیشنهادهای شغلی جعلی در حوزه Code Review برای فریب مستقیم مهندسان نرمافزار.
استراتژی این گروه بر پایه مهندسی اجتماعی و وحشتآفرینی بنا شده است. آنها پیامهای جعلی با ظاهر کاملاً رسمی به عنوان «هشدار امنیتی حساب مایکروسافت» ارسال میکنند تا کاربران را برای دانلود بدافزار خطرناک NarwhalRAT فریب دهند. در فازی خطرناکتر، آنها ابزارهای روزمره توسعهدهندگان را هدف قرار دادهاند تا بتوانند بدافزارها را مستقیماً وارد هسته کدهای نرمافزارهای قانونی کرده و حملات زنجیره تأمین (Supply Chain) را رقم بزنند.
۷. دماسنج بازار و واکنش سرمایهگذاران به فجایع سایبری
🔗 پرونده کامل | استخبارات و تاریخچه تهدیدات در تکینگیم
❓ مرکز دیباگ و سوالات متداول (FAQ)
مکانیزم دقیق حمله SearchLeak در مایکروسافت کوپایلت چیست؟
این یک باگ ترکیبی یککلیکی است که از دامنههای معتبر مایکروسافت سوءاستفاده میکند. با کلیک کاربر روی یک لینک دستکاری شده، مهاجم میتواند سیستم امنیتی را دور زده و ایمیلها، تقویم و فایلهای سازمانی را به راحتی سرقت کند.
چگونه باجافزار DragonForce در شبکه نامرئی میماند؟
این گروه با طراحی بدافزار Backdoor.Turn، ترافیک مخرب خود را مستقیماً از طریق رلههای ارتباطی Microsoft Teams هدایت میکند. از آنجا که ترافیک Teams در فایروالهای سازمانی مجاز است، آنتیویروسها متوجه انتقال داده نمیشوند.
تاکتیک هکرهای چینی در نفوذ به Google Workspace چه بود؟
آنها با دسترسی به ادمینپنل، به جای استفاده از بدافزار، قوانین (Rules) فوروارد ایمیل را در تنظیمات گوگل دستکاری کردند. این ترفند به آنها اجازه داد تا بیسروصدا کپی تمام ایمیلهای حساس دفاعی را برای سرورهای خودشان ارسال کنند.
گروه APT37 کره شمالی دقیقاً چه کسانی را هدف قرار میدهد؟
این گروه با ارسال هشدارهای جعلی اکانت مایکروسافت، بدافزار NarwhalRAT را توزیع میکند. هدف اصلی آنها برنامهنویسان و توسعهدهندگان نرمافزار است تا از کدهای آلوده آنها برای نفوذ به شرکتهای دیگر استفاده کنند.
تسخیر پلتفرم LiteLLM Gateway چه خطراتی به همراه دارد؟
آسیبپذیری این پلتفرم باعث میشود یک کاربر عادی با دسترسی پایین، به ادمین کل سرور تبدیل شود. این امر به افشای تمامی Secret Keyها و کلیدهای API ارائهدهندگان هوش مصنوعی منجر شده و کل سیستم پردازشی را به خطر میاندازد.
📚 پایگاه داده و منابع استخباراتی
- دارکردینگ (DarkReading): تحلیل جامع آسیبپذیری Copilot SearchLeak و حملات یککلیکی به دادههای سازمانی.
- د هکرنیوز (TheHackerNews): گزارش فنی باگهای مخرب LiteLLM و تسخیر سرورهای AI Gateway.
- بلیپینگکامپیوتر (BleepingComputer): شناسایی بدافزار اختصاصی Backdoor.Turn و سوءاستفاده گروه DragonForce از بستر مایکروسافت تیمز.
- د هکرنیوز (TheHackerNews): کالبدشکافی دقیق نفوذ هکرهای APT چین به شبکههای تحقیقاتی و دستکاری سیستم Google Workspace.
- د هکرنیوز (TheHackerNews): بررسی کمپین Contagious Interview و توزیع بدافزار NarwhalRAT توسط کره شمالی.
- دپارتمان بازرسی سایبری تکین گاراژ: تحلیل، بنچمارک شبیهسازی شده و بومیسازی دادههای Threat Intelligence.
🌐 ارتباط با فرماندهی گاراژ تکین 🎮✨
برای دریافت آخرین تحلیلهای هاردکور امنیت سایبری، هوش مصنوعی و گیمینگ، تکینگیم را در شبکههای اجتماعی دنبال کنید: