سوفوس ۲۰۲۵؛ تصویری واقعی از تهدیدات سایبری امروز
شرکت سوفوس (Sophos) دو گزارش جامع و تحلیلی در حوزه امنیت سایبری منتشر کرده است که دیدگاههای ارزشمندی درباره رفتار مهاجمان، روندهای جرایم سایبری و ابزارهای مخرب رایج ارائه میدهند.
در ادامه این مطلب، چکیدهای از این دو گزارش ارائه شده است.
It Takes Two: The 2025 Sophos Active Adversary
این گزارش بر پایه بررسی بیش از ۴۰۰ حادثه امنیتی واقعی در سال میلادی گذشته تهیه شده است. گزارش مذکور، تصویری جامع از شیوههای حمله، ابزارهای مورداستفاده مهاجمان و روندهای کلیدی در حوزه تهدیدات سایبری ارائه میدهد.
از جمله یافتههای کلیدی این گزارش، میتوان به موارد زیر اشاره کرد:
کاهش چشمگیر زمان ماندگاری مهاجم (Dwell Time) – میانگین زمان حضور مهاجم در سیستمها قبل از شناسایی، تنها ۲ روز گزارش شده است. در برخی از حملات فاقد باجافزار، این مدت حتی به ۱ روز نیز کاهش یافته است.
نفوذ با استفاده از اطلاعات اصالتسنجی سرقتی – استفاده از نام کاربری و گذرواژههای بهدستآمده یا ضعیف، مهمترین روش ورود مهاجمان بوده است. حملات Brute-force نیز رشد چشمگیری داشتهاند.
سوءاستفاده از ابزارهای معتبر (LOLBins) – مهاجمان از ابزارهایی مانند cmd.exe و PowerShell و حتی در مواردی Notepad برای اجرای امور مخرب بهره گرفتهاند. در این میان، ابزارهای Impacket، بهویژه wmiexec.py، جایگزین محبوبتری نسبت به Cobalt Strike شدهاند.
سوءاستفاده از پودمان RDP – در ۸۴٪ از حملات بررسیشده، مهاجمان از پودمان RDP برای حرکت جانبی در شبکه (Lateral Movement) استفاده کردهاند. با وجود خطرات شناختهشده، این پودمان هنوز بهطور گسترده در سازمانها فعال است.
در بخشی از گزارش به سازمانی اشاره شده است که با وجود تجربه قبلی از نفوذ، در بهروزرسانی و وصله کردن یکی از دستگاههای آسیبپذیر VPN خود تعلل کرد. این بیتوجهی باعث شد تا مهاجمان با اجرای حمله باجافزاری دوم، خسارات بیشتری وارد کنند. این مثال بهروشنی نشان میدهد که چگونه اولویتهای تجاری میتوانند مانع از اجرای بهموقع اقدامات امنیتی حیاتی شوند.
مشروح این گزارش از طریق لینک زیر قابل مطالعه است:
https://news.sophos.com/en-us/2025/04/02/2025-sophos-active-adversary-report
Cybercrime on Main Street 2025
Cybercrime on Main Street، عنوان گزارش سالانه دیگر سوفوس است که به تازگی منتشر شده است. این گزارش، تمرکز ویژهای بر تهدیدات سایبری علیه کسبوکارهای کوچک و متوسط دارد. گزارش مذکور، نشان میدهد که با وجود کاهش نسبی تعداد حملات، پیچیدگی و هزینههای ناشی از آنها افزایش یافته است.
از جمله نکات برجسته این گزارش، میتوان به موارد زیر اشاره کرد:
حملات باجافزاری همچنان تهدید اصلی – در سال ۲۰۲۴، باجافزارها در 70 درصد از موارد اعلامی از سوی کسبوکارهای کوچک و بیش از 90 درصد از موارد گزارششده از سوی سازمانهای متوسط (۵۰۰ تا ۵۰۰۰ کارمند) نقش داشتند.
افزایش سوءاستفاده از دستگاههای لبه شبکه – تجهیزات فایروالها و VPN در 25 درصد از نفوذهای اولیه نقش داشتهاند. این دستگاهها به دلیل پیکربندی نادرست یا بهروزرسانیهای ناقص، هدف آسانی برای مهاجمان هستند.
سوءاستفاده از بسترهای به اصطلاح SaaS – بسترهای “نرمافزار بهعنوان سرویس” (SaaS) که برای کار از راه دور و بهبود امنیت بهکار گرفته شدهاند، بهطور فزایندهای برای مهندسی اجتماعی، نفوذ اولیه و استقرار بدافزار مورد سوءاستفاده قرار میگیرند.
افزایش حملات فیشینگ – فعالیتهای مربوط به نفوذ به ایمیلهای تجاری (BEC) و حملات فیشینگ با هدف سرقت توکنهای احراز هویت چندمرحلهای (MFA) افزایش داشته است.
تهدیدات موبایلی – برنامههای جعلی حاوی بدافزار یا مرتبط با کلاهبرداری و مهندسی اجتماعی از طریق پیامک و برنامههای پیامرسان، تهدیدات موبایلی را برای کسبوکارهای کوچک و متوسط افزایش دادهاند.
در پیوست این گزارش نیز به ابزارها و بدافزارهایی پرداخته شده که بیشترین استفاده را در حملات سایبری داشتهاند؛ از جمله:
بدافزارهای رایج: باجافزارهای Akira، LockBit و Fog در صدر قرار دارند.
ابزارهای دوگانه: ابزارهایی مانند AnyDesk، PsExec و Mimikatz که هم در فعالیتهای قانونی و هم مخرب استفاده میشوند.
ابزارهای کنترل از راه دور: ابزارهایی مانند Cobalt Strike و Web Shells بهطور گستردهای در حملات مشاهده شدهاند.
گزارش Cybercrime on Main Street 2025 در لینک زیر قابلمطالعه است:
پیوست گزارش مذکور نیز با عنوان Most frequently encountered malware and abused software از طریق لینک زیر قابلدسترس میباشد:
