افزایش سرقت اعتبارنامه‌ها؛ مهاجمان از لاگین به‌جای اکسپلویت استفاده می‌کنند

سرقت اعتبارنامه‌ها (Credential Theft) در سال‌های اخیر به یکی از مهم‌ترین تهدیدات در دنیای امنیت سایبری تبدیل شده است. مهاجمان سایبری دیگر به‌دنبال نفوذ از طریق اکسپلویت‌ آسیب‌پذیری‌ها نیستند؛ بلکه آن‌ها با استفاده از داده‌های احراز هویت سرقت‌شده، به‌سادگی وارد (لاگین) سیستم‌ها و زیرساخت‌های سازمانی می‌شوند. این تغییر در رویکرد مهاجمان نمایانگر تحولی عمیق در تاکتیک‌های حمله است، جایی که سرقت اعتبارنامه‌ها به اصلی‌ترین روش دسترسی اولیه تبدیل شده است. مهاجمان با استفاده از نام کاربری، رمز عبور و توکن‌های احراز هویت، به‌راحتی و بدون ایجاد هشدار، به محیط‌های هدف نفوذ می‌کنند.

طبق گزارش شرکت Recorded Future، میزان سرقت اعتبارنامه‌ها در سال 2025 به‌طور بی‌سابقه‌ای افزایش یافته است. بازارهای زیرزمینی حالا مملو از داده‌های احراز هویت سرقت‌شده مانند رمزهای عبور، توکن‌ها و سایر اطلاعات حساس لاگین هستند که در حملات مبتنی بر لاگین به‌طور مستقیم مورد سوءاستفاده قرار می‌گیرند.

جهش چشمگیر در سرقت اعتبارنامه‌ها: آمار و ارقام نگران‌کننده

روند افزایشی سرقت اعتبارنامه‌ها در سال 2025 نشان‌دهنده رشد چشمگیر این تهدید است. طبق گزارش Recorded Future:

• حدود 2 میلیارد اعتبارنامه از طریق لیست‌های ترکیبی بدافزاری (Malware Combo Lists) جمع‌آوری شده ‌است.
• در نیمه دوم سال 2025، سرقت اعتبارنامه‌ها نسبت به نیمه اول آن 50 درصد افزایش یافته است.
• در سه‌ماهه چهارم 2025، این رقم نسبت به سه‌ماهه نخست حدود 90 درصد افزایش داشته است.

این آمار نشان می‌دهد سرقت اعتبارنامه‌ها به‌سرعت گسترش یافته و به یکی از صنایع بزرگ در اکوسیستم جرم سایبری تبدیل شده است.

عوامل کلیدی در افزایش سرقت اعتبارنامه‌ها

چند عامل کلیدی باعث افزایش سرقت اعتبارنامه‌ها در سال‌های اخیر شده‌اند:

• صنعتی‌شدن بدافزارهای سرقت اطلاعات (Infostealer Malware)
• گسترش مدل Malware-as-a-Service (MaaS)
• استفاده از هوش مصنوعی در حملات فیشینگ و مهندسی اجتماعی

این عوامل به مهاجمان اجازه می‌دهند تا با استفاده از ابزارهای قدرتمند، سرقت اعتبارنامه‌ها را در مقیاس بالا و به‌طور مؤثر انجام دهند.

هدف اصلی مهاجمان: اعتبارنامه‌های سازمانی حیاتی

طبق داده‌های Recorded Future، بیشتر اعتبارنامه‌های سرقت‌شده مربوط به سیستم‌های احراز هویت سازمانی هستند. مهاجمان بیشتر تمرکز خود را بر صفحات ورود Okta، پورتال‌های Azure Active Directory و دسترسی‌های VPN معطوف کرده‌اند. این سیستم‌ها به مهاجمان این امکان را می‌دهند که به‌سادگی به محیط‌های سازمانی نفوذ کرده و به‌دنبال آن به سیستم‌های حیاتی سازمان دسترسی پیدا کنند.

دور زدن MFA؛ نقش کلیدی کوکی‌های نشست در سرقت اعتبارنامه‌ها

یکی از مهم‌ترین ابعاد افزایش سرقت اعتبارنامه‌ها، سرقت کوکی‌های نشست (Session Cookies) است. این آمار نگران‌کننده نشان می‌دهد:

• 276 میلیون اعتبارنامه‌ها شامل کوکی‌های نشست بوده‌اند.
• این عدد معادل 31 درصد از کل داده‌های سرقت‌شده است.

این کوکی‌ها به مهاجمان این امکان را می‌دهند که بدون نیاز به رمز عبور، به سیستم لاگین کنند و حتی احراز هویت چندمرحله‌ای (MFA) را دور بزنند. به این ترتیب، سرقت اعتبارنامه‌ها دیگر فقط به رمزهای عبور محدود نیست و داده‌هایی را نیز دربر می‌گیرد که حتی می‌توانند لایه‌های امنیتی پیشرفته را دور بزنند.

تغییر استراتژی مهاجمان: از اکسپلویت به لاگین

با افزایش سرقت اعتبارنامه‌ها، مهاجمان به‌جای استفاده از اکسپلویت‌ها، با استفاده از اعتبارنامه‌های سرقت‌شده به سیستم‌ها لاگین می‌کنند. این روش حمله به‌طور معمول بدون نویز و هشدار انجام می‌شود و شناسایی مهاجمان را بسیار دشوارتر می‌کند. این تحول نشان‌دهنده یک تغییر استراتژیک از نفوذ از طریق اکسپلویت‌ها به لاگین است که باعث افزایش تهدیدات امنیتی شده است.

نقش سرقت اعتبارنامه‌ها در حملات باج‌افزاری

تحلیل‌ها نشان می‌دهند که افزایش سرقت اعتبارنامه‌ها تأثیر مستقیمی بر رشد حملات باج‌افزاری داشته است. مهاجمان با استفاده از اعتبارنامه‌های سرقت‌شده توانسته‌اند به‌راحتی به سیستم‌ها نفوذ کرده و حملات پیچیده‌ای را اجرا کنند.

• در 21 درصد از حملات باج‌افزاری سال گذشته، مهاجمان برای دسترسی اولیه از اعتبارنامه‌های سرقت‌شده استفاده کرده‌اند.
• در 22 درصد از رخدادهای امنیتی نیز مهاجمان از همین روش برای دسترسی به سیستم‌های هدف استفاده کرده‌اند.

مسیرهای رایج نفوذ در این حملات عبارتند از:

• VPN سازمانی
• Remote Desktop Protocol (RDP)

این آمار تأیید می‌کند که سرقت اعتبارنامه‌ها به یکی از مهم‌ترین ابزارهای مهاجمان برای اجرای حملات پیچیده و مؤثر تبدیل شده است. با توجه به این روند، سرقت اعتبارنامه‌ها دیگر تنها یک تهدید محدود به حساب نمی‌آید، بلکه به ابزاری اصلی برای دسترسی به سیستم‌ها و اجرای حملات سایبری پیچیده تبدیل شده است.

راهکارهای دفاعی در برابر حملات مبتنی بر اعتبارنامه‌ها

برای مقابله با سرقت اعتبارنامه‌ها، کارشناسان Recorded Future توصیه می‌کنند که سازمان‌ها استراتژی‌های امنیتی خود را تغییر دهند و دیگر صرفاً به MFA یا دفاع‌های محیطی تکیه نکنند. برخی اقدامات کلیدی شامل موارد زیر است:

• پیاده‌سازی سیاست‌های دسترسی شرطی مبتنی بر دستگاه و عملکرد کاربر
• استفاده از MFA مقاوم در برابر فیشینگ مانند FIDO2
• مانیتورینگ مداوم هویت و دسترسی‌ها
• شناسایی سریع اعتبارنامه‌های افشا شده
• واکنش سریع و شناسایی فوری اعتبارنامه‌های افشا شده

همچنین اعتبارنامه‌هایی که به سیستم‌های حیاتی مرتبط هستند باید به‌عنوان دارایی‌های Tier‑0 در نظر گرفته شوند، از جمله:

• سیستم‌های IAM
• ابزارهای امنیتی مانیتورینگ
• پلتفرم‌های SIEM

برای این حساب‌ها باید اقدامات سخت‌گیرانه‌ای مانند موارد زیر اجرا شود:

• تفکیک دسترسی (Segregation)
• ذخیره امن (Vaulting)
• تغییر دوره‌ای رمزها (Rotation)

مهاجمان معمولاً این لایه را هدف قرار می‌دهند تا:

• مکانیزم‌های امنیتی را غیرفعال کنند.
• افزایش سطح دسترسی (Privilege Escalation) انجام دهند.
• کنترل پایدار و مخفیانه به دست آورند.

جمع‌بندی

افزایش سرقت اعتبارنامه‌ها در سال 2025، تهدیدی جدی برای سازمان‌ها ایجاد کرده است. مهاجمان با استفاده از اعتبارنامه‌های سرقت‌شده، به‌جای نفوذ از طریق اکسپلویت‌ها، به‌راحتی به سیستم‌ها لاگین می‌کنند و به‌طور پنهانی مکانیزم‌های امنیتی را دور می‌زنند. در چنین شرایطی، سازمان‌ها باید استراتژی‌های امنیتی خود را به سمت امنیت هویت تغییر دهند.

منابع