شهدت أخبار الأمن السيبراني الأسبوعية في عام 2025 تسارعًا في استغلال الثغرات، مع بروز ثغرة MongoDB الجديدة كمصدر قلق رئيسي. فقد تزايدت الهجمات التي تستغل هذه الثغرة، مما سلط الضوء على التحدي المستمر المتمثل في تفوق المهاجمين على جهود الإصلاح.
من جهة أخرى، استمرت المخاوف بشأن إساءة استخدام الوصول المشروع، سواء لأغراض العمل أو التحديثات أو الدعم، مما يفتح أبوابًا أمام تهديدات جديدة. ومع ذلك، لا يزال التأثير الكامل لهذه الحوادث يتكشف، حيث تظهر الأضرار المحتملة حتى بعد مرور أشهر أو سنوات على وقوع الهجوم.
تقدم هذه النشرة الأسبوعية ملخصًا شاملاً لهذه التطورات، مع التركيز على أبرز التهديدات التي شكلت مشهد الأمن السيبراني في أواخر عام 2025، مع نظرة استشرافية لما يتطلب اهتمامًا فوريًا.
⚡ أبرز التهديدات: ثغرة MongoDB تحت الهجوم
ثغرة MongoDB الجديدة تتعرض للاستغلال النشط — كشفت الثغرة الأمنية المكتشفة حديثًا في MongoDB عن استغلالها بشكل نشط في الواقع، حيث تم تحديد أكثر من 87,000 نسخة قد تكون عرضة للخطر في جميع أنحاء العالم. تتعلق الثغرة الأمنية بـ CVE-2025-14847 (درجة CVSS: 8.7)، والتي تسمح لمهاجم غير مصادق بالوصول عن بعد لتسريب بيانات حساسة من ذاكرة خادم MongoDB. وقد أُطلق عليها اسم “MongoBleed”. التفاصيل الدقيقة حول طبيعة الهجمات التي تستغل الخلل غير معروفة حاليًا. يُنصح المستخدمون بالتحديث إلى إصدارات MongoDB 8.2.3، 8.0.17، 7.0.28، 6.0.27، 5.0.32، و 4.4.30. تُظهر بيانات من شركة إدارة مساحة الهجوم Censys وجود أكثر من 87,000 نسخة عرضة للخطر، غالبًا في الولايات المتحدة والصين وألمانيا والهند وفرنسا. وأشارت Wiz إلى أن 42% من البيئات السحابية تحتوي على نسخة واحدة على الأقل من MongoDB في إصدار عرضة لـ CVE-2025-14847، بما في ذلك الموارد المكشوفة على الإنترنت والداخلية.
🔔 أخبار متفرقة في عالم الأمن السيبراني
خسائر بقيمة 7 ملايين دولار في اختراق إضافة Trust Wallet لمتصفح Chrome
حثت Trust Wallet المستخدمين على تحديث إضافة Google Chrome الخاصة بها إلى أحدث إصدار، وذلك عقب “حادث أمني” أدى إلى خسارة حوالي 7 ملايين دولار. يُنصح المستخدمون بالتحديث إلى الإصدار 2.69 في أقرب وقت ممكن. وأعلنت Trust Wallet: “لقد أكدنا أن حوالي 7 ملايين دولار قد تأثرت، وسنضمن استرداد جميع المستخدمين المتأثرين”. تمتلك إضافة Chrome حوالي مليون مستخدم؛ بينما لم تتأثر المستخدمون الذين يستخدمون الأجهزة المحمولة فقط وجميع إصدارات إضافات المتصفح الأخرى. لم يُعرف بعد من يقف وراء الهجوم، ولكن Trust Wallet قالت إن المهاجم ربما نشر نسخة ضارة (2.68) باستخدام مفتاح API مسرب لمتجر Chrome على الويب. طُلب من الضحايا المتأثرين ملء نموذج لمعالجة الاستردادات.
Evasive Panda تشن هجوم تسميم DNS لتوزيع برمجيات MgBot الخبيثة
تُنسب مجموعة التهديد المتقدمة المستمرة (APT) المرتبطة بالصين والمعروفة باسم Evasive Panda إلى حملة تجسس سيبراني عالية الاستهداف، حيث تم تسميم طلبات نظام أسماء النطاقات (DNS) لتوزيع برمجيات MgBot الخبيثة في هجمات تستهدف ضحايا في تركيا والصين والهند. جرت الأنشطة بين نوفمبر 2022 ونوفمبر 2024. وفقًا لـ Kaspersky، أجرت مجموعة القرصنة هجمات “المهاجم في المنتصف” (AitM) على ضحايا محددين لتقديم تحديثات مزيفة لأدوات شائعة مثل SohuVA و iQIYI Video و IObit Smart Defrag و Tencent QQ، والتي قامت في النهاية بتثبيت MgBot، وهو برنامج ضار معياري بخصائص واسعة لجمع المعلومات. لم يُعرف بعد كيف يقوم المهاجم بتسميم استجابات DNS. ولكن يُشتبه في سيناريوهين محتملين: إما أن مقدمي خدمات الإنترنت الذين يستخدمهم الضحايا تم استهدافهم بشكل انتقائي وتم اختراقهم لتثبيت نوع من البرامج الضارة على أجهزة الشبكة الطرفية، أو أن جهاز توجيه أو جدار حماية يستخدمه الضحايا تم اختراقه لهذا الغرض.
اختراق LastPass في عام 2022 يؤدي إلى سرقة العملات المشفرة
أدت النسخ الاحتياطية المشفرة للمحافظ التي سُرقت من خرق بيانات LastPass عام 2022 إلى استغلال كلمات المرور الرئيسية الضعيفة لكسرها وسحب أصول العملات المشفرة في أواخر عام 2025. تُظهر الاكتشافات الجديدة من TRM Labs أن المهاجمين، الذين قد يكون لديهم روابط بالنظام الإجرامي السيبراني الروسي، قد سرقوا ما لا يقل عن 35 مليون دولار حتى سبتمبر 2025. ترجع الروابط الروسية بالعملات المشفرة المسروقة إلى عاملين رئيسيين: استخدام بورصات شائعة الارتباط بالنظام الإجرامي السيبراني الروسي في عملية غسيل الأموال، والروابط التشغيلية المستمدة من المحافظ التي تتفاعل مع أجهزة الخلط قبل وبعد عملية الخلط والغسيل.
Fortinet تحذر من نشاط متجدد يستغل CVE-2020-12812
أعلنت Fortinet أنها لاحظت “استغلالًا حديثًا” لـ CVE-2020-12812، وهي ثغرة أمنية عمرها خمس سنوات في FortiOS SSL VPN، في الواقع تحت تكوينات معينة. يمكن أن تسمح الثغرة لمستخدم بتسجيل الدخول بنجاح دون طلب العامل الثاني للمصادقة إذا تم تغيير حالة اسم المستخدم. لا تقدم الإرشادات الجديدة أي تفاصيل حول طبيعة الهجمات التي تستغل الخلل، ولا إذا كانت أي من هذه الحوادث ناجحة. كما نصحت Fortinet العملاء المتأثرين بالاتصال بفريق الدعم الخاص بها وإعادة تعيين جميع بيانات الاعتماد إذا وجدوا دليلًا على مصادقة مستخدمي المسؤول أو VPN بدون مصادقة ثنائية (2FA).
حزمة npm وهمية لواجهة برمجة تطبيقات WhatsApp تسرق الرسائل
تم اكتشاف حزمة خبيثة جديدة في مستودع npm تسمى lotusbail تعمل كواجهة برمجة تطبيقات WhatsApp كاملة الوظائف، ولكنها تحتوي على القدرة على اعتراض كل رسالة وربط جهاز المهاجم بحساب WhatsApp الخاص بالضحية. تم تنزيلها أكثر من 56,000 مرة منذ تحميلها لأول مرة إلى السجل من قبل مستخدم باسم “seiren_primrose” في مايو 2025. تمت إزالة الحزمة لاحقًا بواسطة npm. بمجرد تثبيت حزمة npm، يمكن للمهاجم قراءة جميع رسائل WhatsApp، وإرسال رسائل إلى الآخرين، وتنزيل ملفات الوسائط، والوصول إلى قوائم جهات الاتصال. “وهذا هو الجزء الحرج، فإن إلغاء تثبيت حزمة npm يزيل الكود الخبيث، ولكن جهاز المهاجم يظل مرتبطًا بحساب WhatsApp الخاص بك،” قال Koi. “يستمر الاقتران في أنظمة WhatsApp حتى تقوم بإلغاء ربط جميع الأجهزة يدويًا من إعدادات WhatsApp الخاصة بك. حتى بعد اختفاء الحزمة، لا يزال لديهم الوصول.”
️🔥 الثغرات الشائعة (CVEs)
يتصرف المخترقون بسرعة. يمكنهم استخدام الثغرات الجديدة في غضون ساعات. تحديث واحد فات قد يسبب اختراقًا كبيرًا. إليك أخطر الثغرات الأمنية لهذا الأسبوع. تحقق منها، وأصلح ما هو مهم أولًا، وحافظ على حمايتك.
تشمل قائمة هذا الأسبوع — CVE-2025-14847 (MongoDB)، CVE-2025-68664 (LangChain Core)، CVE-2023-52163 (Digiever DS-2105 Pro)، CVE-2025-68613 (n8n)، CVE-2025-13836 (Python http.client)، CVE-2025-26794 (Exim)، CVE-2025-68615 (Net-SNMP)، CVE-2025-44016 (TeamViewer DEX Client)، و CVE-2025-13008 (M-Files Server).
📰 في عالم الأمن السيبراني
إلقاء القبض على موظف خدمة عملاء سابق في Coinbase في الهند
قال الرئيس التنفيذي لشركة Coinbase، براين أرمسترونج، إنه تم القبض على موظف خدمة عملاء سابق في أكبر بورصة تشفير في الولايات المتحدة في الهند، بعد أشهر من قيام القراصنة برشوة ممثلي خدمة العملاء للوصول إلى معلومات العملاء. وفي مايو، قالت الشركة إن القراصنة رشو مقاولين يعملون من الهند لسرقة بيانات حساسة للعملاء وطالبوا بفدية قدرها 20 مليون دولار. “ليس لدينا أي تسامح مع السلوك السيئ وسنواصل العمل مع إنفاذ القانون لتقديم المجرمين إلى العدالة،” قال أرمسترونج. “بفضل شرطة حيدر أباد في الهند، تم القبض على موظف خدمة عملاء سابق في Coinbase. واحد آخر سقط، والمزيد لا يزال قادمًا.” أثرت الحادثة على 69,461 فردًا. كشف دعوى قضائية جماعية في سبتمبر 2025 أن Coinbase وظفت TaskUs للتعامل مع دعم العملاء من الهند. ذكرت وثيقة المحكمة أيضًا أن Coinbase “قطعت علاقاتها مع موظفي TaskUs المعنيين وعملاء خارجيين آخرين، وشددت الضوابط”. تُتهم موظفة واحدة في TaskUs مقرها في إندور، آشتا ميشرا، بـ “الانضمام إلى المؤامرة عن طريق الموافقة على بيع بيانات Coinbase شديدة الحساسية لهؤلاء المجرمين” في وقت مبكر من سبتمبر 2024. تم القبض على ميشرا في يناير 2025 للاشتباه في بيع البيانات المسروقة للقراصنة مقابل 200 دولار للسجل. ادعت TaskUs أنها “حددت شخصين وصلا بشكل غير قانوني إلى معلومات من أحد عملائنا [الذين] تم تجنيدهم من خلال حملة إجرامية أوسع ومنسقة ضد هذا العميل أثرت أيضًا على عدد من مقدمي الخدمات الآخرين الذين يخدمون هذا العميل”. كما زعمت أن Coinbase “لديها بائعون آخرون غير TaskUs، وأن موظفي Coinbase متورطون في خرق البيانات”. لكن الشركة لم تقدم المزيد من التفاصيل.
Cloud Atlas يستهدف روسيا وبيلاروسيا
استغل فاعل التهديد المعروف باسم Cloud Atlas رسائل التصيد الاحتيالي مع مرفق مستند Microsoft Word خبيث، والذي عند فتحه، يقوم بتنزيل قالب خبيث من خادم بعيد، والذي بدوره يجلب وينفذ ملف تطبيق HTML (HTA). يقوم ملف HTA الخبيث باستخراج وإنشاء عدة ملفات Visual Basic Script (VBS) على القرص التي تشكل أجزاء من برمجيات VBShower الخبيثة. تقوم VBShower بعد ذلك بتنزيل وتثبيت برمجيات خبيثة أخرى، بما في ذلك PowerShower و VBCloud و CloudAtlas. يمكن لـ VBCloud تنزيل وتنفيذ نصوص برمجية خبيثة إضافية، بما في ذلك جامع ملفات لاستخلاص الملفات ذات الأهمية. بشكل مشابه لـ VBCloud، فإن PowerShower قادر على استرداد حمولة إضافية من خادم بعيد. يقوم CloudAtlas بإنشاء اتصال بخادم القيادة والتحكم (C2) عبر WebDAV ويجلب مكونات إضافية قابلة للتنفيذ في شكل DLL، مما يسمح له بجمع الملفات، وتشغيل الأوامر، وسرقة كلمات المرور من المتصفحات المستندة إلى Chromium، وجمع معلومات النظام. استهدفت الهجمات التي شنتها جهة التهديد بشكل أساسي مؤسسات في قطاع الاتصالات، والبناء، والكيانات الحكومية، والمصانع في روسيا وبيلاروسيا.
BlackHawk Loader تم رصده في الواقع
تم اكتشاف حمولة MSIL جديدة تسمى BlackHawk في الواقع، تتضمن ثلاث طبقات من التمويه تظهر عليها علامات توليد باستخدام أدوات الذكاء الاصطناعي. وفقًا لـ ESET، تحتوي على نص برمجي Visual Basic Script ونصوص برمجية PowerShell اثنتان، يحتوي النص البرمجي الثاني على حمولة BlackHawk المشفرة بـ Base64 والبيانات النهائية. يتم استخدام الحمولة بنشاط في حملات توزيع Agent Tesla في هجمات تستهدف مئات نقاط النهاية في شركات صغيرة ومتوسطة رومانية. تم استخدام الحمولة أيضًا لتوزيع برنامج سرقة المعلومات المعروف باسم Phantom.
زيادة في خوادم Cobalt Strike
لاحظت Censys زيادة مفاجئة في خوادم Cobalt Strike المستضافة عبر الإنترنت بين أوائل ديسمبر و 18 ديسمبر 2025، خاصة على شبكات AS138415 (YANCY) و AS133199 (SonderCloud LTD). “بالنظر إلى الجدول الزمني أعلاه، يُظهر AS138415 أولاً نشاطًا أوليًا محدودًا بدءًا من 4 ديسمبر، يليه توسع كبير بـ 119 خادم Cobalt Strike جديد في 6 ديسمبر،” قالت Censys. “في غضون يومين فقط، ومع ذلك، تختفي معظم هذه البنية التحتية المضافة حديثًا. في 8 ديسمبر، شهد AS133199 زيادة وانخفاضًا مطابقًا تقريبًا في خوادم Cobalt Strike المرصودة حديثًا.” تم وضع علامة على أكثر من 150 عنوان IP مميز مرتبط بـ AS138415 كمضيف لمستمعي Cobalt Strike خلال هذه الفترة. تم تخصيص شبكة عناوين IP هذه، 23.235.160[.]0/19، لشركة RedLuff, LLC في سبتمبر 2025.
التعرف على Fly، مدير السوق الروسي
كشفت Intrinsec أن جهة التهديد المعروفة باسم Fly من المحتمل أن تكون المسؤولة عن إدارة Russian Market، وهي بوابة سرية لبيع بيانات الاعتماد المسروقة عبر برامج سرقة المعلومات. “لقد قامت جهة التهديد بالترويج للسوق في عدة مناسبات وعلى مر السنين،” قالت الشركة الفرنسية المتخصصة في الأمن السيبراني. “اسم المستخدم الخاص به يذكرنا بالاسم القديم للسوق، ‘Flyded’. وجدنا عنواني بريد إلكتروني مستخدمين لتسجيل نطاقات Russian Market الأولى، مما سمح لنا بالعثور على روابط محتملة لحساب Gmail يسمى ‘AlexAske1’، ولكننا لم نتمكن من العثور على معلومات إضافية حول هذه الهوية المحتملة.”
حملة احتيال جديدة تستهدف الشرق الأوسط وشمال إفريقيا بعروض عمل وهمية
تستهدف حملة احتيال جديدة بلدان الشرق الأوسط وشمال إفريقيا (MENA) بوظائف وهمية عبر وسائل التواصل الاجتماعي ومنصات المراسلة الخاصة مثل Telegram و WhatsApp، والتي تعد بعمل سهل وأموال سريعة، ولكنها مصممة لجمع البيانات الشخصية وسرقة الأموال. تستغل عمليات الاحتيال الثقة في المؤسسات المعترف بها والتكلفة المنخفضة للإعلانات على وسائل التواصل الاجتماعي. الاستهداف واسع بشكل متعمد لإلقاء شبكة تصيد واسعة. “غالبًا ما تنتحل إعلانات الوظائف الوهمية شركات وبنوك وهيئات معروفة لكسب ثقة الضحايا،” قالت Group-IB. “بمجرد تفاعل الضحايا، ينتقل المحادثة إلى قنوات المراسلة الخاصة حيث تتم الاحتيال المالي وسرقة البيانات الفعلية.” عادةً ما تؤدي الإعلانات إلى توجيه الضحايا إلى مجموعة WhatsApp، حيث يوجههم مجند إلى موقع ويب احتيالي للتسجيل. بمجرد أن يكمل الضحية الخطوة، تتم إضافته إلى قنوات Telegram مختلفة حيث يُطلب منه دفع رسوم لتأمين المهام وكسب عمولات منها. “سيرسل المحتالون بالفعل دفعة صغيرة للمهمة الأولية لبناء الثقة،” قالت Group-IB. “بعد ذلك، سيقومون بدفع الضحايا لإيداع مبالغ أكبر لتولي مهام أكبر تعد بعوائد أكبر. عندما يقوم الضحايا بإجراء إيداع كبير، تتوقف الدفعة، وتختفي القنوات والحسابات، ويجد الضحية نفسه محظورًا، مما يجعل التواصل والتتبع شبه مستحيل.” تستهدف الإعلانات بلدان الشرق الأوسط وشمال إفريقيا مثل مصر ودول الخليج العربي والجزائر وتونس والمغرب والعراق والأردن.
اختراق EmEditor لتوزيع برنامج سرقة معلومات
كشف برنامج تحرير النصوص المستند إلى Windows، EmEditor، عن خرق أمني. قال Emurasoft إن “طرفًا ثالثًا” أجرى تعديلًا غير مصرح به على رابط التنزيل الخاص بمثبّت Windows الخاص به، لتوجيهه إلى ملف MSI خبيث مستضاف في موقع مختلف على موقع EmEditor بين 19 و 22 ديسمبر 2022. قال Emurasoft إنها تحقق في الحادث لتحديد النطاق الكامل للتأثير. وفقًا لشركة الأمن الصينية QiAnXin، فإن المثبت الخبيث يُستخدم لتشغيل نص برمجي PowerShell قادر على جمع معلومات النظام، بما في ذلك بيانات وصفية النظام، والملفات، وتكوين VPN، وبيانات اعتماد تسجيل دخول Windows، وبيانات المتصفح، والمعلومات المرتبطة بتطبيقات مثل Zoho Mail و Evernote و Notion و discord و Slack و Mattermost و Skype و LiveChat و Microsoft Teams و Zoom و WinSCP و PuTTY و Steam و Telegram. كما يقوم بتثبيت إضافة لمتصفح Edge (ID: “ngahobakhbdpmokneiohlfofdmglpakd”) تسمى Google Drive Caching، والتي يمكنها تحديد بصمات المتصفحات، واستبدال عناوين محفظة العملات المشفرة في الحافظة، وتسجيل ضغطات المفاتيح من مواقع ويب محددة مثل x[.]com، وسرقة تفاصيل حساب إعلانات Facebook.
صور Docker المحصنة متاحة الآن مجانًا
جعلت Docker صورها المحصنة متاحة مجانًا لكل مطور لدعم أمان سلسلة التوريد البرمجية. تم تقديم هذه الصور، التي تم تقديمها في مايو 2025، كمجموعة من الصور الآمنة والحد الأدنى والجاهزة للإنتاج والتي تديرها Docker. قالت الشركة إنها حصنت أكثر من 1000 صورة وأدوات helm في كتالوجها. “على عكس الصور المحصنة الأخرى الغامضة أو مملوكة، فإن DHI متوافقة مع Alpine و Debian، وهي أسس مفتوحة المصدر موثوقة ومألوفة لدى فرق العمل التي تعرفها بالفعل ويمكنها اعتمادها بأقل قدر من التغيير،” أشارت Docker.
كشف خلل في Livewire
ظهرت تفاصيل حول خلل أمني حرج تم إصلاحه الآن في Livewire (CVE-2025-54068، درجة CVSS: 9.8)، وهو إطار عمل كامل المكدس لـ Laravel، والذي يمكن أن يسمح للمهاجمين غير المصادق بهم بتنفيذ أوامر عن بعد في سيناريوهات معينة. تم معالجة المشكلة في Livewire الإصدار 3.6.4 الذي تم إصداره في يوليو 2025. وفقًا لـ Synacktiv، يعود الخلل إلى آلية “التليين” (hydration) الخاصة بالمنصة، والتي تُستخدم لإدارة حالات المكونات والتأكد من عدم التلاعب بها أثناء النقل عن طريق فحص المجموع الاختباري. “ومع ذلك، تأتي هذه الآلية مع خلل حرج: يمكن استغلال عملية إلغاء التجزئة الخطرة طالما أن المهاجم يمتلك مفتاح APP_KEY للتطبيق،” قالت شركة الأمن السيبراني. “من خلال صياغة حمولات خبيثة، يمكن للمهاجمين التلاعب بعملية تليين Livewire لتنفيذ تعليمات برمجية عشوائية، من استدعاءات الدوال البسيطة إلى تنفيذ الأوامر عن بعد الخفي.” ومما زاد الطين بلة، حدد البحث أيضًا خللًا في تنفيذ التعليمات البرمجية عن بعد المصادق عليه مسبقًا والذي يمكن استغلاله حتى بدون معرفة مفتاح APP_KEY للتطبيق. “يمكن للمهاجمين حقن مُصنّعات خبيثة من خلال حقل التحديثات في طلبات Livewire، مستغلين الكتابة المتساهلة في PHP ومعالجة المصفوفات المتداخلة،” أضافت Synacktiv. “هذه التقنية تتجاوز التحقق من المجموع الاختباري، مما يسمح بإنشاء كائنات عشوائية ويؤدي إلى اختراق كامل للنظام.”
برمجية ChimeraWire الخبيثة تعزز ترتيب مواقع الويب في SERPs
تم اكتشاف برمجية خبيثة جديدة تسمى ChimeraWire لتعزيز ترتيب مواقع ويب معينة بشكل مصطنع في صفحات نتائج محرك البحث (SERPs) عن طريق إجراء عمليات بحث مخفية على الإنترنت وتقليد نقرات المستخدم على أجهزة Windows المصابة. يتم عادةً نشر ChimeraWire كحمولة ثانية على الأنظمة المصابة مسبقًا ببرامج تنزيل برامج خبيثة أخرى، وفقًا لـ Doctor Web. تم تصميم البرمجية الخبيثة لتنزيل إصدار Windows من متصفح Google Chrome وتثبيت إضافات مثل NopeCHA و Buster فيه لحل CAPTCHA تلقائيًا. تقوم ChimeraWire بعد ذلك بتشغيل المتصفح في وضع التصحيح مع نافذة مخفية لإجراء نشاط النقر الخبيث بناءً على معايير محددة مسبقًا. “لذلك، يبحث التطبيق الخبيث عن موارد إنترنت مستهدفة في محركات بحث Google و Bing ثم يقوم بتحميلها،” قالت الشركة الروسية. “كما أنها تقلد إجراءات المستخدم عن طريق النقر على الروابط في المواقع التي تم تحميلها. يقوم البرمج الخبيث بجميع الإجراءات الخبيثة في متصفح Google Chrome، والذي يقوم بتنزيله من نطاق معين ثم تشغيله في وضع التصحيح عبر بروتوكول WebSocket.”
مزيد من التفاصيل حول حملة LANDFALL تظهر
كشفت Palo Alto Networks Unit 42 عن حملة برامج تجسس Android المسماة LANDFALL الشهر الماضي، والتي استغلت ثغرة أمنية “يوم الصفر” تم إصلاحها الآن في أجهزة Samsung Galaxy Android (CVE-2025-21042) في هجمات مستهدفة في الشرق الأوسط. حدد Google Project Zero ستة ملفات صور مشبوهة تم تحميلها إلى VirusTotal بين يوليو 2024 وفبراير 2025. يُشتبه في أن هذه الصور تم استلامها عبر WhatsApp، مع ملاحظة Google أن الملفات كانت ملفات DNG تستهدف مكتبة Quram، وهي مكتبة تحليل صور خاصة بأجهزة Samsung. أدت المزيد من التحقيقات إلى تحديد أن الصور مصممة لتشغيل استغلال يعمل ضمن عملية com.samsung.ipservice. “عملية com.samsung.ipservice هي خدمة نظام خاصة بأجهزة Samsung مسؤولة عن توفير ميزات ‘ذكية’ أو مدعومة بالذكاء الاصطناعي لتطبيقات Samsung الأخرى،” قال Benoît Sevens من Project Zero. “تقوم بفحص وتحليل الصور ومقاطع الفيديو بشكل دوري في MediaStore الخاص بنظام Android. عندما يستلم WhatsApp صورة ويقوم بتنزيلها، يقوم بإدخالها في MediaStore. هذا يعني أن صور WhatsApp التي تم تنزيلها (ومقاطع الفيديو) يمكن أن تصل إلى سطح الهجوم الذي يحلل الصور داخل تطبيق com.samsung.ipservice.” نظرًا لأن WhatsApp لا يقوم بتنزيل الصور تلقائيًا من جهات الاتصال غير الموثوق بها، فيُقدر أنه يتم استخدام استغلال “نقرة واحدة” لتشغيل التنزيل وإضافته إلى MediaStore. هذا بدوره يشغل استغلالًا للخلل، مما يؤدي إلى كتابة تجاوز الحدود. “يوضح هذا المثال كيف توفر تنسيقات صور معينة أدوات قوية جاهزة للاستخدام لتحويل خطأ فساد ذاكرة واحد إلى تجاوزات ASLR لا تتطلب تفاعلًا وتنفيذ تعليمات برمجية عن بعد،” قال Sevens. “عن طريق إفساد حدود مخزن البكسل باستخدام الخطأ، يمكن أداء بقية الاستغلال باستخدام ‘الآلة الغريبة’ التي توفرها مواصفات DNG وتنفيذها.”
برمجية تجسس Android جديدة تم اكتشافها على هاتف صحفي بيلاروسي
تقوم السلطات البيلاروسية بنشر برمجية تجسس جديدة تسمى ResidentBat على الهواتف الذكية للصحفيين المحليين بعد مصادرة هواتفهم خلال استجواب الشرطة من قبل جهاز الأمن البيلاروسي. يمكن لبرمجية التجسس جمع سجلات المكالمات، وتسجيل الصوت عبر الميكروفون، والتقاط لقطات شاشة، وجمع رسائل SMS والمحادثات من تطبيقات المراسلة المشفرة، واستخراج الملفات المحلية. كما يمكنها إعادة ضبط الجهاز إلى المصنع وإزالة نفسها. وفقًا لتقرير من RESIDENT.NGO، كانت البنية التحتية للخادم الخاص بـ ResidentBat عاملة منذ مارس 2021. في ديسمبر 2024، تم الإبلاغ عن حالات مماثلة لزرع برمجيات تجسس على هواتف الأفراد أثناء استجوابهم من قبل الشرطة أو أجهزة الأمن في صربيا وروسيا. “اعتمدت العدوى على الوصول المادي إلى الجهاز،” ذكر RESIDENT.NGO. “نفترض أن ضباط الـ KGB لاحظوا كلمة مرور الجهاز أو رقم التعريف الشخصي أثناء كتابتها من قبل الصحفي في حضورهم أثناء المحادثة. بمجرد حصول الضباط على الرقم السري وحيازتهم المادية للهاتف أثناء وجوده في الخزانة، قاموا بتفعيل ‘وضع المطور’ و ‘تصحيح USB’. تم تحميل برمجية التجسس بعد ذلك على الجهاز، على الأرجح عبر أوامر ADB من جهاز كمبيوتر يعمل بنظام Windows.”
مسؤولين سابقين عن الاستجابة للحوادث يقرون بالذنب في هجمات برامج الفدية
أقر الاختصاصيان السابقان في الأمن السيبراني، ريان كليفورد جولدبرج وكيفن تايلر مارتن، بالذنب في المشاركة في سلسلة من هجمات BlackCat ransomware بين مايو ونوفمبر 2023 أثناء عملهما في شركات الأمن السيبراني المكلفة بمساعدة المنظمات في صد هجمات برامج الفدية. تم توجيه الاتهام إلى جولدبرج ومارتن الشهر الماضي. بينما عمل مارتن مفاوضًا لتهديدات برامج الفدية لشركة DigitalMint، كان جولدبرج مديرًا للاستجابة للحوادث لشركة الأمن السيبراني Sygnia. يُزعم أن شريكًا ثالثًا مجهول الهوية، والذي كان يعمل أيضًا في DigitalMint، حصل على حساب تابع لـ BlackCat، والذي استخدمه الثلاثة لارتكاب هجمات برامج الفدية.
تقرير للكونجرس يقول إن الصين تستغل الأبحاث الممولة من الولايات المتحدة حول التكنولوجيا النووية
كشف تقرير جديد صادر عن اللجنة المختارة بالكونجرس بشأن الصين واللجنة الدائمة المختارة للاستخبارات (HPSCI) أن الصين تستغل وزارة الطاقة الأمريكية (DOE) للوصول إلى الأبحاث الممولة من دافعي الضرائب الأمريكيين وتحويلها لتعزيز صعودها العسكري والتكنولوجي. حددت التحقيقات حوالي 4350 ورقة بحثية بين يونيو 2023 ويونيو 2025، حيث شمل دعم تمويل أو أبحاث وزارة الطاقة علاقات بحثية مع كيانات صينية، بما في ذلك أكثر من 730 جائزة وعقدًا من وزارة الطاقة. من بين هذه، تم إجراء حوالي 2200 منشور بالشراكة مع كيانات داخل قاعدة أبحاث الدفاع الصناعي الصينية. “تؤكد دراسة الحالة هذه والعديد من الحالات الأخرى المماثلة في التقرير حقيقة مزعجة للغاية: إن علماء الحكومة الأمريكية – الذين توظفهم وزارة الطاقة ويعملون في مختبرات وطنية ممولة اتحاديًا – قد شاركوا في تأليف أبحاث مع كيانات صينية في قلب المجمع الصناعي العسكري لجمهورية الصين الشعبية،” قالت اللجنة المختارة بالكونجرس بشأن الحزب الشيوعي الصيني (CCP). “تشمل هذه الأبحاث التطوير المشترك لتقنيات ذات صلة بطائرات عسكرية من الجيل التالي، وأنظمة الحرب الإلكترونية، وتقنيات خداع الرادار، والبنية التحتية الحيوية للطاقة والفضاء – جنبًا إلى جنب مع كيانات مقيدة بالفعل من قبل وكالات أمريكية متعددة لكونها تشكل تهديدًا للأمن القومي.” في بيان مشترك مع وكالة أسوشيتد برس، قالت السفارة الصينية في واشنطن إن اللجنة المختارة “تُشوه وتهاجم الصين منذ فترة طويلة لأغراض سياسية وليس لها أي مصداقية للتحدث عنها.”
محكمة موسكو تحكم على عالم روسي بالسجن 21 عامًا بتهمة الخيانة
حكمت محكمة في موسكو بالسجن 21 عامًا على أرتيم خوروشيلوف، 34 عامًا، باحث في معهد موسكو للفيزياء العامة، الذي اتُهم بالخيانة والهجوم على البنية التحتية الحيوية والتخطيط للتخريب. كما تم تغريمه 700 ألف روبل (حوالي 9100 دولار). يُقال إن خوروشيلوف تواطأ مع جيش تكنولوجيا المعلومات الأوكراني لشن هجمات حرمان من الخدمة الموزعة (DDoS) على البريد الروسي في أغسطس 2022. كما خطط لارتكاب أعمال تخريب بتفجير مسارات السكك الحديدية التي تستخدمها الوحدة العسكرية لوزارة الدفاع في الاتحاد الروسي لنقل البضائع العسكرية. جيش تكنولوجيا المعلومات الأوكراني، وهي مجموعة قراصنة معروفة بتنسيق هجمات DDoS على البنية التحتية الروسية، قالت إنها لا تعرف ما إذا كان خوروشيلوف جزءًا من مجتمعهم، لكنها لاحظت “أن العدو يطارد أي علامة على المقاومة.”
أداة DIG AI الجديدة تستخدمها جهات فاعلة خبيثة
لاحظت Resecurity “زيادة ملحوظة” في استخدام جهات فاعلة خبيثة لأداة DIG AI، وهي أحدث إضافة إلى قائمة طويلة من نماذج اللغة الكبيرة (LLMs) في Dark Web التي يمكن استخدامها لأنشطة غير قانونية وغير أخلاقية وخبيثة أو ضارة، مثل إنشاء رسائل البريد الإلكتروني للتصيد الاحتيالي أو تعليمات لصنع القنابل والمواد المحظورة. يمكن للمستخدمين الوصول إليها عبر متصفح Tor دون الحاجة إلى حساب. وفقًا لمطورها Pitch، تستند الخدمة إلى ChatGPT Turbo من OpenAI. “تمكّن DIG AI الجهات الفاعلة الخبيثة من الاستفادة من قوة الذكاء الاصطناعي لإنشاء نصائح تتراوح من تصنيع الأجهزة المتفجرة إلى إنشاء المحتوى غير القانوني، بما في ذلك CSAM،” قالت الشركة. “نظرًا لأن DIG AI مستضافة على شبكة TOR، فإن هذه الأدوات غير سهلة الاكتشاف والوصول إليها من قبل جهات إنفاذ القانون. إنها تنشئ سوقًا سوداء كبيرة – من القرصنة والمشتقات إلى الأنشطة غير المشروعة الأخرى.”
الصين تقول إن الولايات المتحدة صادرت عملات مشفرة من شركة صينية
قالت الحكومة الصينية إن الولايات المتحدة صادرت بشكل غير مبرر أصول عملات مشفرة كانت في الواقع ملكًا لـ LuBian. في أكتوبر 2025، صادرت وزارة العدل الأمريكية 15 مليار دولار من البيتكوين من مشغل مواقع احتيال في الشهر الماضي. زعمت الوكالة أن الأموال مملوكة لمجموعة Prince والرئيس التنفيذي تشين تشي. زعم المركز الوطني للاستجابة لفيروسات الكمبيوتر في الصين (CVERC) أن الأموال يمكن تتبعها إلى اختراق عام 2020 لمشغل مجمع تعدين بيتكوين الصيني LuBian، مما يعكس تقريرًا من Elliptic. ما هو واضح هو أن الأصول الرقمية سُرقت من Zhi قبل أن تنتهي في الولايات المتحدة. “قد تكون الحكومة الأمريكية قد سرقت 127,000 بيتكوين الخاصة بـ Chen Zhi بتقنيات قرصنة في وقت مبكر من عام 2020، مما يجعل هذه حالة كلاسيكية من جريمة ‘الأسود ضد الأسود’ التي نسقتها منظمة قرصنة مدعومة من الدولة،” قال CVERC. ومع ذلك، يجدر ملاحظة أن التقرير لا يذكر أي ربط للأصول المسروقة بحملات احتيال.
🎥 ندوات عبر الإنترنت حول الأمن السيبراني
كيف تلتقط Zero Trust والذكاء الاصطناعي الهجمات بدون ملفات أو برامج قابلة للتنفيذ أو مؤشرات
تتطور التهديدات السيبرانية بشكل أسرع من أي وقت مضى، مستغلة الأدوات الموثوقة والتقنيات عديمة الملفات التي تتجنب الدفاعات التقليدية. يكشف هذا الندوة عبر الإنترنت كيف يمكن لـ Zero Trust والحماية المدعومة بالذكاء الاصطناعي كشف الهجمات غير المرئية، وتأمين بيئات المطورين، وإعادة تعريف أمن السحابة الاستباقي – حتى تتمكن من البقاء في طليعة المهاجمين، وليس مجرد رد فعل عليهم.
إتقان أمان Agentic AI: تعلم اكتشاف وتدقيق واحتواء خوادم MCP المارقة
تساعد أدوات الذكاء الاصطناعي مثل Copilot و Claude Code المطورين على التحرك بسرعة، ولكنها يمكن أن تخلق أيضًا مخاطر أمنية كبيرة إذا لم تتم إدارتها بعناية. لا تعرف العديد من الفرق أي خوادم AI (MCPs) قيد التشغيل، ومن بناها، أو ما هو الوصول الذي تملكه. تعرض البعض بالفعل للاختراق، مما يحول الأدوات الموثوقة إلى أبواب خلفية. تعرض هذه الندوة عبر الإنترنت كيفية العثور على مخاطر الذكاء الاصطناعي المخفية، وحل مشكلات مفاتيح API الظلية، واستعادة السيطرة قبل أن تتسبب أنظمة الذكاء الاصطناعي الخاصة بك في حدوث خرق.
🔧 أدوات الأمن السيبراني
GhidraGPT
إنه مكون إضافي لـ Ghidra يضيف مساعدة مدعومة بالذكاء الاصطناعي إلى عمل الهندسة العكسية. يستخدم نماذج لغوية كبيرة للمساعدة في شرح الكود المفسر، وتحسين قابلية القراءة، وتسليط الضوء على مشكلات الأمان المحتملة، مما يسهل على المحللين فهم وتحليل الثنائيات المعقدة.
Chameleon
إنها أداة “honeypot” مفتوحة المصدر تُستخدم لمراقبة الهجمات، ونشاط الروبوتات، وبيانات الاعتماد المسروقة عبر مجموعة واسعة من خدمات الشبكة. تقوم بمحاكاة منافذ مفتوحة وعرضة للخطر لجذب المهاجمين، وتسجيل نشاطهم، وعرض النتائج من خلال لوحات معلومات بسيطة، مما يساعد الفرق على فهم كيفية فحص أنظمتهم وتعرضها للهجوم في بيئات حقيقية.
إخلاء مسؤولية: هذه الأدوات مخصصة للتعلم والبحث فقط. لم يتم اختبارها بالكامل من أجل الأمان. إذا تم استخدامها بشكل غير صحيح، فقد تسبب ضررًا. تحقق من الكود أولًا، واختبر فقط في أماكن آمنة، واتبع جميع القواعد والقوانين.
الخاتمة
تقدم هذه النشرة الأسبوعية ملخصًا شاملاً لهذه التطورات لاختتام عام 2025. فهي تقطع الضوضاء وتركز على ما كان مهمًا بالفعل في الأيام الأخيرة من العام. اقرأ لمعرفة الأحداث التي شكلت مشهد التهديدات، والأنماط التي استمرت في التكرار، والمخاطر التي من المحتمل أن تنتقل إلى عام 2026.