تشهد أسابيعنا الأخيرة، وتحديداً في مجال الأمن السيبراني، ظهور تكتيكات جديدة ومقلقة. فمن جهة، تستخدم عصابات تستخدم أجهزة محاكاة لأبراج الاتصالات لإرسال رسائل تصيدية، ومن جهة أخرى، يقوم مطورون بتحميل أدوات يمكنها التجسس على ملفاتهم الخاصة أثناء عملية تثبيت بسيطة. تزايد المخاطر السيبرانية يتطلب يقظة مستمرة.
يعتبر المجال الأمني بيئة دائمة التغير، حيث تظل الملايين من الخوادم متصلة بالإنترنت دون أي حماية لكلمات المرور، وتظهر ثغرات برمجية قديمة في أماكن غير متوقعة. وبالرغم من توفر الحلول والتحديثات اللازمة، فإن البقاء في المقدمة يمثل تحدياً مستمراً.
تتسارع وتيرة تطور هذه المخاطر. فبعض الأدوات الخاصة بالمتصفحات تبيع حالياً سجلات المستخدمين بشكل قانوني لتحقيق الربح، كما تظهر أدوات جديدة تسهل على أي شخص إطلاق حملات تصيدية. يجب الاطلاع على هذه المستجدات لفهم حجم التحديات.
تطور المخاطر السيبرانية وأساليب الهجوم الجديدة
قمع مرسلي الرسائل القصيرة التصيدية (SMS Blaster Phishing)
ألقت السلطات الكندية القبض على ثلاثة رجال بتهمة تشغيل جهاز “مرسل رسائل قصيرة” (SMS blaster) يحاكي برج اتصالات لإرسال رسائل تصيدية إلى الهواتف القريبة. هذه الأدوات تخدع الأجهزة المتصلة بها عن طريق إطلاق إشارات تحاكي إشارات الأبراج الشرعية، مما يجعل المستخدمين يتلقون رسائل احتيالية تبدو وكأنها من جهات موثوقة. غالباً ما تدفع هذه الرسائل المستلمين للنقر على روابط تؤدي إلى مواقع وهمية مصممة لسرقة المعلومات الشخصية، بما في ذلك بيانات الاعتماد المصرفية وكلمات المرور.
في سابقة هي الأولى من نوعها في البلاد، واجه الرجال 44 تهمة تتعلق بالجريمة. تشير التقارير إلى أن عشرات الآلاف من الأجهزة قد اتصلت بجهاز الإرسال هذا على مدار عدة أشهر.
التسلل لسرقة البيانات عبر حزم npm (npm Brandsquat Data Theft)
كشفت هجمة سلسلة توريد جديدة استغلت حزمة npm تنتحل اسم TanStack لشحن إصدارات خبيثة تقوم بسرقة متغيرات البيئة من أجهزة المطورين أثناء عملية التثبيت. الحزمة، التي تحمل اسم “tanstack”، مصممة لـ “سرقة ملفات متغيرات البيئة بصمت، بما في ذلك .env، .env.local، و .env.production، من أجهزة المطورين وقت التثبيت، وإرسالها إلى نقطة نهاية يتحكم بها المهاجم”. يقوم بإدارة الحزمة الخبيثة مستخدم يدعى “sh20raj”، وتم التأكد من أن الإصدارات من 2.0.4 إلى 2.0.7 هي الضارة.
بيع بيانات المستخدمين بشكل قانوني عبر إضافات المتصفح
في تحليل حديث، وجدت شركة LayerX أن شبكات متعددة من إضافات المتصفحات تجمع بيانات المستخدمين وتعيد بيعها لتحقيق الربح. على عكس الإضافات الضارة التي تخفي سلوكها بتقديم بعض الوظائف غير الضارة، فإن 80 إضافة تم تحديدها تخبر المستخدمين بشكل صريح في سياسة الخصوصية الخاصة بها أنها تجمع وتبيع بيانات المستخدمين الذين يقومون بتثبيتها.
شملت الشبكات تحليلاً لـ 24 إضافة للترفيه، مثبتة على 800 ألف مستخدم، والتي تجمع بيانات المشاهدة والمعلومات الديموغرافية حول منصات البث الرئيسية مثل Netflix، Hulu، Disney+، Amazon Prime Video، HBO، Apple TV، وغيرها. كما تم رصد 12 برنامج حجب إعلانات منفصل، بجمهور إجمالي يزيد عن 5.5 مليون مستخدم، تبيع بيانات المستخدمين علناً. بالإضافة إلى ذلك، هناك ما يقرب من 50 إضافة أخرى، مع أكثر من 100 ألف مستخدم بشكل إجمالي، تجمع وتعيد بيع بيانات تصفح المستخدمين.
أداة Komari تستخدم في هجمات حقيقية
كشفت شركة Huntress أن جهات فاعلة تهديد غير معروفة استخدمت بيانات اعتماد VPN مسروقة للوصول إلى محطة عمل تعمل بنظام Windows تابعة لمؤسسة غير محددة عبر أداة smbexec.py من Impacket، ثم زرعت باباً خلفياً على مستوى النظام باستخدام عميل Komari، وهي أداة مراقبة وإدارة وتحكم عن بعد قائمة على لغة Go. ويمثل هذا التطور أول حالة موثقة علناً لاستغلال الأداة في اختراق حقيقي، كما يوضح كيف يتزايد لجوء الجهات الفاعلة الضارة إلى الأدوات المتاحة للجمهور والأدوات الشرعية لإجراء هجماتهم.
تتميز Komari بكونها قناة تحكم ثنائية الاتجاه بشكل أساسي. تفتح الأداة اتصال WebSocket مستمراً بالخادم الخاص بها وتقبل ثلاثة أنواع من الأحداث من الخادم إلى العميل بشكل افتراضي: تنفيذ (تنفيذ أوامر عشوائية عبر PowerShell / sh)، طرفية (واجهة اتصال عكسية تفاعلية في متصفح المشغل)، واستطلاع (استطلاع ICMP / TCP / HTTP). كل هذه الميزات مفعلة بشكل افتراضي. في حين أن أدوات أخرى مثل Velociraptor و SimpleHelp التي تم استغلالها من قبل الجهات الفاعلة تهديد كانت غالباً ما تكون وسيلة لتحقيق غاية، فإن Komari توفر للمشغل تنفيذ أوامر عشوائية، واجهة اتصال عكسية تفاعلية، واستطلاع شبكة افتراضياً، عبر WebSocket محمي بـ TLS.
تطور أدوات التصيد الاحتيالي (Phishing Kits)
فصلت شركة Barracuda في أدوات تصيد احتيالي جديدة تدعى Saiga 2FA و Phoenix System، والتي تم ربطها بهجمات البريد الإلكتروني والرسائل النصية القصيرة التصيدية. تتجاوز Saiga 2FA ميزات “المهاجم في المنتصف” (Adversary-in-the-Middle) التقليدية من خلال دمج أدوات مثل FM Scanner لاستخراج وتحليل محتوى البريد الإلكتروني. تعتبر Saiga 2FA مثالاً على كيفية تطور أدوات التصيد الاحتيالي لتصبح منصات على مستوى التطبيق، حيث تدمج البنية التحتية والأتمتة وقدرات ما بعد الاختراق في نظام موحد، مما يدعم حملات متقدمة ومستهدفة للغاية.
من جهة أخرى، تم ربط Phoenix System بأكثر من 2500 نطاق تصيد احتيالي منذ يناير 2025، مع الاعتماد على التصفية القائمة على عناوين IP والحصور الجغرافي للاستهداف الدقيق. يُعتقد أنها الخلف لخلف Mouse System التي توقفت عن العمل. غالباً ما يتم توصيل الحملات عبر الرسائل النصية القصيرة، ربما بالاستفادة من محطات الإرسال القاعدي (Base Transceiver Stations – BTS) المزيفة لتجاوز الفلاتر على مستوى شركات الاتصالات، مما يسمح للمهاجمين بإرسال رسائل تظهر تحت أسماء علامات تجارية موثوقة مباشرة إلى الضحايا. استهدفت الحملات حتى الآن أكثر من 70 منظمة عبر القطاعات المالية والاتصالات والخدمات اللوجستية على مستوى العالم.
تعرض مليارات الاعتمادات المكشوفة
ركزت تحليلات أخيرة من Forescout على ما يقرب من 1.8 مليون خادم RDP (بروتوكول سطح المكتب البعيد) و 1.6 مليون خادم VNC (شبكة الحوسبة الافتراضية) مكشوفة على الإنترنت. وتتصدر الصين قائمة الدول بنسبة 22% من خوادم RDP المكشوفة و 70% من خوادم VNC المكشوفة، تليها الولايات المتحدة بنسبة 20% و 7% على التوالي. وبين الخوادم المحددة صناعية، تتصدر قطاعات التجزئة والخدمات والتعليم مكشوفية RDP، بينما تتصدر التعليم والخدمات والرعاية الصحية مكشوفية VNC.
والجدير بالذكر أن 18% من خوادم RDP المكشوفة تعمل بنسخ Windows نهاية عمرها الإنتاجي، وأكثر من 19 ألف خادم RDP لا تزال عرضة لثغرة BlueKeep، وتقريبًا 60 ألف خادم VNC لديها إعدادات المصادقة معطلة. ولزيادة الأمر سوءاً، يوجد أكثر من 670 خادم VNC مكشوف لديه إعدادات المصادقة معطلة وتوفر وصولاً مباشراً إلى لوحات التحكم الصناعية (OT/ICS).