تحلیل ترلیکس از کمپین‌های پیچیده سایبری نیمه دوم ۲۰۲۵

شرکت ترلیکس (Trellix) در جدیدترین گزارش شکار تهدید خود با عنوان SecondSight Threat Report – February 2026، تصویری دقیق از مهم‌ترین کمپین‌های سایبری نیمه دوم سال ۲۰۲۵ ارائه کرده است. این گزارش که توسط مرکز تحقیقات پیشرفته این شرکت تهیه شده، بر تحلیل داده‌های تله‌متری، هوش تهدید و عملیات فعال Threat Hunting تمرکز دارد و پنج کارزار برجسته با سطح پیچیدگی بالا را بررسی می‌کند.

بر اساس یافته‌های این گزارش، مهاجمان سایبری بیش از گذشته به سمت بهره‌برداری از آسیب‌پذیری‌های روز-صفر (Zero-day)، فیشینگ هدفمند و تکنیک‌های پنهان‌سازی پیشرفته حرکت کرده‌اند؛ موضوعی که ضرورت رویکرد دفاعی فعال و چندلایه را برای سازمان‌ها دوچندان می‌کند.

سوءاستفاده از آسیب‌پذیری‌های روز-صفر در SharePoint

یکی از مهم‌ترین موارد بررسی‌شده در این گزارش، بهره‌برداری از یک آسیب‌پذیری روز-صفر در Microsoft SharePoint است. مهاجمان با سوءاستفاده از این حفره امنیتی توانسته‌اند به زیرساخت سازمان‌ها نفوذ اولیه پیدا کرده و با استفاده از PowerShell رمزگذاری‌شده و وب‌شل‌ها، دسترسی خود را تثبیت کنند.

این بخش از گزارش نشان می‌دهد که تأخیر در نصب وصله‌های امنیتی همچنان یکی از نقاط ضعف اصلی بسیاری از سازمان‌ها محسوب می‌شود.

کمپین‌های فیشینگ هدفمند؛ همچنان ابزار محبوب تهدیدات APT

گزارش فوریه ۲۰۲۶ به چندین عملیات فیشینگ پیشرفته اشاره می‌کند که توسط گروه‌های تهدید سازمان‌یافته انجام شده‌اند:

• کمپین منتسب به گروه SideWinder که با استفاده از فایل‌های PDF و فناوری ClickOnce بدافزار StealerBot را توزیع می‌کرد.
• عملیات جاسوسی سایبری گروه Mustang Panda علیه نهادهای دیپلماتیک اروپایی که شامل تکنیک‌هایی مانند HTML Smuggling و استفاده از فایل‌های LNK بوده است.
• کمپین فیشینگ پیشرفته گروه Kimsuky که با ایجاد اعتماد تدریجی در مکاتبات ایمیلی، کاربران هدف را فریب داده است.
• همچنین فعالیت‌های گروه UTA0355 که تمرکز آن بر سرقت اعتبارنامه‌ها و دسترسی اولیه به شبکه‌های سازمانی بوده است.

نکته قابل توجه در این حملات، استفاده گسترده از تکنیک DLL Sideloading و ابزارهای قانونی سیستم برای پنهان‌سازی فعالیت مخرب است؛ رویکردی که شناسایی سنتی مبتنی بر امضا را با چالش مواجه می‌کند.

تأکید بر Threat Hunting فعال به‌جای دفاع واکنشی

یکی از پیام‌های کلیدی گزارش، عبور از مدل دفاعی مبتنی بر هشدار و حرکت به سمت شکار تهدید فعال است. ترلیکس معتقد است سازمان‌ها باید فراتر از مانیتورینگ ساده آلارم‌ها عمل کنند و با تحلیل رفتار، همبستگی داده‌ها و بررسی فعالیت‌های مشکوک پیش از مرحله تخریب، مهاجمان را شناسایی کنند.

در این راستا، توصیه‌های کلیدی گزارش شامل موارد زیر است:

    –  وصله‌کردن سریع آسیب‌پذیری‌های بحرانی

    –  تقویت فیلترهای ایمیل و آموزش کاربران در برابر فیشینگ

    –  محدودسازی اجرای اسکریپت‌ها و کنترل دقیق دسترسی‌ها

    –  استفاده از راهکارهای EDR/XDR برای تحلیل رفتاری تهدیدات

جمع‌بندی

این گزارش نشان می‌دهد که تهدیدات پیشرفته همچنان در حال تکامل هستند و مهاجمان از ترکیبی از مهندسی اجتماعی، آسیب‌پذیری‌های روز صفر و تکنیک‌های پنهان‌سازی استفاده می‌کنند. در چنین شرایطی، سازمان‌هایی موفق‌تر خواهند بود که به‌جای واکنش پس از وقوع حادثه، رویکردی پیشگیرانه و مبتنی بر تحلیل رفتار در پیش بگیرند.

انتشار این گزارش بار دیگر اهمیت سرمایه‌گذاری در شکار تهدید فعال و ارتقای بلوغ امنیت سایبری سازمان‌ها را یادآوری می‌کند.

برای دریافت این گزارش بر روی تصویر زیر کلیک کنید.