تتزايد التهديدات السيبرانية تعقيداً، حيث شهدت الأيام الأخيرة الكشف عن مجموعة من الهجمات الجديدة والمبتكرة التي تستهدف المستخدمين والشركات على حد سواء. من أدوات التجسس المتطورة إلى حملات التصيد الاحتيالي المتقنة، يواجه عالم الأمن السيبراني تحديات متنامية تستدعي اليقظة المستمرة.
ظهرت أدوات هجوم جديدة وسلسلة توريد هجومية تم كشفها في مستودع عام، بالإضافة إلى برامج ضارة متقدمة تستهدف سرقة بيانات الاعتماد، وقدرة عوامل الذكاء الاصطناعي على الانخداع لتسريب معلومات حساسة. هذه التطورات تشير إلى اتجاه متزايد نحو استخدام تكتيكات متطورة ومصقولة.
أحدث التهديدات السيبرانية وأدوات الاختراق
في ظل التطورات الأخيرة، باتت الحاجة ماسة إلى فهم أعمق للتهديدات الناشئة وكيفية مواجهتها. تظهر التحليلات الأخيرة أن الهجمات الإلكترونية لم تعد تعتمد فقط على الثغرات البرمجية، بل تتغلغل عبر قنوات متعددة تشمل الأدوات الموثوقة وإعدادات النظام التي قد تبدو غير ضارة.
فقدان أكثر من 3.3 مليار سجل هوية
كشف تحليل جديد من Flashpoint عن اختراق أكثر من 11.1 مليون جهاز ببرامج سرقة المعلومات (infostealers) العام الماضي، مما أدى إلى توفير أكثر من 3.3 مليار سجل هوية مسروق، وملفات تعريف الارتباط للجلسات، ورموز الوصول السحابي، وغيرها من بيانات الهوية المتداولة في الأسواق غير الشرعية. يوجد حالياً أكثر من 30 سلالة فريدة من برامج سرقة المعلومات معروضة للبيع عبر الأسواق والمنتديات والمجتمعات تحت الأرض، مما يدل على حجم النظام البيئي لبرامج البرمجيات الخبيثة كخدمة (MaaS) وإمكانية الوصول إليها. كانت Lumma و Acreed و Rhadamanthys و Vidar و StealC أكثر البرامج انتشاراً في عام 2025. وتصدرت الهند والبرازيل وإندونيسيا وفيتنام والفلبين والولايات المتحدة قائمة الدول الأكثر تضرراً من برامج سرقة المعلومات خلال نفس الفترة.
برنامج RAT عبر MaaS يستهدف بيانات الاعتماد
قام جهة تهديد تُعرف باسم “o1oo1” بالإعلان عن برنامج وصول عن بعد متقدم (RAT) يُدعى SilabRAT، يتم بيعه بنموذج البرمجيات كخدمة (MaaS) مقابل 5000 دولار شهرياً على منتديات داركنت منذ سبتمبر 2025. صرحت Group-IB بأن “SilabRAT يركز بشكل كبير على تحقيق مكاسب مالية من خلال سرقة بيانات الاعتماد، ويقدم استقراراً وقدرة على تجاوز الإجراءات الأمنية الحالية”. يتم تسليم البرنامج عبر حملات ClickFix بالاستعانة بـ Hijack Loader، ويستخدم البرنامج تقنيات مثل استنساخ ملفات تعريف المتصفح (User Agent، الإضافات، التخزين، وسمات أخرى لتحديد الهوية) لإرسالها إلى نظام المهاجم. كما يمكنه التعرف على عناوين المحافظ أو استخراج القطع الأثرية المتعلقة بالعملات المشفرة. يُذكر أن المطور والبائع الروسي لهذه البرمجيات الخبيثة، “o1oo1″، نشط منذ أواخر عام 2020، وكان قد أطلق سابقاً خدمة باسم AsmCrypt.
47% من الاختراقات التقنية من جهة واحدة
كشفت CrowdStrike عن أن جهة تهديد من كوريا الشمالية تُعرف باسم Famous Chollima، والتي تقف وراء حملتي IT worker و Contagious Interview الطويلتين، كانت مسؤولة عن 47% من جميع العمليات المدعومة بالتدخل البشري ضد قطاع التكنولوجيا بين أبريل 2025 ومارس 2026. تشير الاختراقات اليدوية إلى الهجمات السيبرانية التي يتحكم فيها مشغل بشري ويتفاعل مع نظام بدلاً من الاعتماد فقط على البرمجيات الخبيثة. وذكرت شركة الأمن السيبراني أن الجهة “سعت في حملات تسلل العاملين في مجال تكنولوجيا المعلومات إلى وظائف احتيالية في شركات التكنولوجيا في أمريكا الشمالية وأوروبا وآسيا”.
مصادرة 13 نطاقاً إلكترونياً
أعلنت وزارة العدل الأمريكية عن مصادرة 13 نطاقاً إلكترونياً كانت تنتحل صفة شركات استشارية لاستهداف أمريكيين، بما في ذلك أصحاب التصاريح الأمنية الحاليون والسابقون الذين لديهم وصول إلى معلومات حكومية أمريكية سرية وحساسة. وقال مساعد المدعي العام للأمن القومي جون آيزنبرغ: “تقدم مصادرة هذه النطاقات لمحة عن كيفية استخدام الجهات الفاعلة الأجنبية للوعود بالمال السهل لجذب الأمريكيين للكشف عن معلومات سرية أو حساسة كان من واجبهم حمايتها”. “يجب على أي شخص يتم الاتصال به عبر الإنترنت بعروض دخل سهلة لعمل ‘استشاري’ غامض أن يتعامل مع هذه العروض بحذر شديد وأن يظل متيقظاً لعلامات التحذير من الاستهداف الضار.” كانت هذه الشركات الوهمية تعلن عن وظائف استشارية أو تحليلية عامة على منصات مثل Upwork، و Expertia AI، و Hubstaff Talent، و Wellfound، و Post Job Free، سعياً لتجنيد موظفين حاليين أو سابقين في الحكومة الأمريكية والجيش الأمريكي لتقديم خبراتهم لعملاء غير محددين. ثم مارس المحتسبون ضغوطاً على المرشحين لفصل معلومات سرية وتقارير من مصادر “داخلية” مقابل مدفوعات بالعملات المشفرة. يأتي هذا الإعلان بعد تحذير دول تحالف العيون الخمس (Five Eyes) من قيام الصين بشكل عدواني باستخدام منصات الوظائف لاستهداف الأفراد للحصول على المعلومات. في بيان مشترك مع رويترز، أدانت السفارة الصينية في واشنطن المزاعم ووصفتها بأنها ملفقة.
كشف حزمة أدوات سلسلة التوريد
أتاح إطار عمل سرقة بيانات الاعتماد Miasma لفترة وجيزة مجاناً على GitHub، بعد ظهور مستودعات متعددة تحمل اسم “Miasma-Open-Source-Release” منذ 8 يونيو 2026. وفقاً لـ SafeDep، تم نشر الكود المصدري من خلال حسابات مطورين مخترقة. وقالت SafeDep: “تبدو قاعدة كود Miasma أكبر من مجرد دودة سلسلة توريد. إنها حزمة هجوم كاملة لسلسلة التوريد تسمح للمشغل بتنفيذ هجمات مختلفة عبر بيانات الاعتماد المسروقة ضد حزم عشوائية أو مستهدفة على سجلات عامة (PyPI، npm، RubyGems)، و JFrog Artifactory، ومستودعات GitHub، و GitHub Actions، وتسميم تكوينات أدوات البرمجة بالذكاء الاصطناعي، وحركة جانبية قائمة على SSH، ومتجهات هجوم أخرى”. على عكس الاعتماد على بنية قيادة وتحكم (C2) تقليدية، تستخدم البرمجيات الخبيثة ثلاث قنوات C2 مستقلة باستخدام البحث في Commit لـ GitHub، كل منها بسلسلة بحث مختلفة ومفتاح تشفير: “DontRevokeOrItGoesBoom” لاكتشاف رموز الوصول الشخصية (PATs) التي يتحكم فيها المهاجم لاستخراج البيانات، و “TheBeautifulSandsOfTime” لتسليم JavaScript، و “firedalazer” لتسليم عناوين URL للنصوص البرمجية بلغة Python تعمل كباب خلفي لتنفيذ التعليمات البرمجية عن بعد. يُعتقد أن Miasma هو متغير من دودة Shai-Hulud. وقد تحورت الحملة منذ ذلك الحين إلى متغير Python يسمى Hades، والذي يمثل التطور الأخير للحملة المستمرة لسلسلة توريد البرمجيات. اعتباراً من الأسبوع الماضي، تأثر ما مجموعه 304 مكونات بـ Miasma.
احتفاظ سجلات البحث
كشفت جوجل عن نيتها الاحتفاظ بالصور والملفات والصوت والفيديو التي يقوم المستخدمون بتحميلها إلى البحث ضمن إعداد جديد يسمى “سجل خدمات البحث”. يمكن أن يشمل ذلك الصور والملفات والتسجيلات الصوتية/الفيديوية، مثل صور Google Lens، والمحتوى الذي تقوم بتحميله، والتسجيلات من البحث المباشر، والممارسة الصوتية للترجمة، والبحث الصوتي، وفقاً لجوجل. ذكرت شركة التكنولوجيا العملاقة أن إعداد سجل خدمات البحث سيتم استخدامه “لتوفير وتطوير وتحسين خدماتها”، بما في ذلك نماذج الذكاء الاصطناعي الخاصة بها، بالإضافة إلى تقديم اقتراحات وإعلانات مخصصة إذا تم تشغيل الخيار الجديد “التوصيات المخصصة”. هذه الإعدادات منفصلة عن نشاط الويب والتطبيق الخاص بجوجل.
ظهور RAT متعدد المنصات
حللت Iru برنامج وصول عن بعد (RAT) جديد متعدد المنصات يُدعى SStar Agent، والذي تم تصميمه لكل من أنظمة Windows و macOS. وذكرت الشركة: “تُركز إصدارات macOS على أدوات مراقبة متقدمة تركز على الاستطلاع والاستخراج، بينما تضيف إصدارات Windows مكونات تتبع الكتابة ولوحة المفاتيح ومراقبة الحافظة والتحكم عن بعد بالفأرة ولوحة المفاتيح”. “جدير بالذكر أن البرمجيات الخبيثة تتضمن طلباً كبيراً من نوع POST عبر نقطة النهاية /api/telemetry/report التي تراقب وتستخرج باستمرار شجرة الدليل بأكملها لمراقبة الملفات ذات الأهمية. وتشير الفجوة بين إصدارات Windows و macOS إلى أن هذا لا يزال قيد العمل.” يتم تسليم البرمجيات الخبيثة عن طريق حزمة npm ملوثة تُسمى “tw-style-utils”. الإغراء هو تقييم مزيف لمشروع Web3، وهو مستودع GitHub (“star45674/smart-contract-engineer-role”) من المرجح توزيعه على الأهداف. على الرغم من أن المستودع نفسه نظيف، إلا أن الحمولة تكمن في تبعية npm. على الرغم من عدم وضوح من يقف وراء البرمجيات الخبيثة، إلا أن النشاط يتداخل مع هجمات الهندسة الاجتماعية التي شنتها مجموعات القرصنة الكورية الشمالية سابقاً.
شعبية npm وهمية
فصلت Tenable تقنية تُعرف باسم “download pumping”، حيث يقوم المهاجمون بتضخيم أعداد تنزيلات حزم npm بشكل مصطنع لجعل الحزم الخبيثة تبدو شرعية وجديرة بالثقة للمطورين. لوحظ هذا النهج في حزمة تُسمى “ambar-src”، والتي وصلت إلى أكثر من 50 ألف تنزيل في ثلاثة أيام بعد أن نشر المهاجمون مئات الإصدارات البريئة للحزمة قبل تقديم الحمولة الخبيثة الفعلية. وذكرت Tenable: “في كل مرة يتم فيها نشر إصدار جديد، تقوم الأنظمة الآلية مثل مرايا المستودعات وروبوتات التحليل بتنزيله تلقائياً”. “نظراً لأن المهاجمين قاموا بتحميل مئات الإصدارات بشكل منهجي، فقد قاموا بتوليد موجة ضخمة من حركة المرور الآلية، مما أدى إلى تضخيم عدد تنزيلات الحزمة إلى أكثر من 50 ألف تنزيل في ثلاثة أيام فقط.”
خطر انتحال هوية Exchange
يمكن استغلال ضعف في تكوينات معينة من Microsoft Exchange من قبل المهاجمين لإرسال رسائل بريد إلكتروني تنتحل صفة أي مستخدم إلى منظمة ضعيفة. أُطلق على هذه التقنية اسم Ghost-Sender. وذكرت InfoGuard Labs: “يمكن استخدام Exchange Online (أو Exchange المحلي في الوضع الهجين) بالاشتراك مع سجل MX خارجي، مثل خادم بريد طرف ثالث أو حل حماية من البريد العشوائي، لانتحال صفة أي مرسل إلى أي مستلم في المستأجر المستهدف”. “هذا بغض النظر عن سياسات SPF و DKIM و DMARC الخاصة بنطاق المرسل المنتحل، ويتم تسليم رسائل البريد الإلكتروني دون أي تحذير إضافي. من الممكن إرسال رسائل البريد الإلكتروني من أي شخص، بما في ذلك عناوين البريد الإلكتروني الخارجية والداخلية. بالنسبة للمرسلين الداخليين، يقوم Outlook حتى بعرض صورة ملف تعريف المرسل.”
موجات تصيد تستهدف روسيا
استهدفت مجموعة غير معروفة سابقاً تُعرف باسم SiribClone أفراداً من الجيش الروسي باستخدام تطبيقات تغري “تبادل آمن للصور” لتوزيع ملفات خبيثة لأجهزة سطح المكتب والأجهزة المحمولة. في بعض الحالات، انتحل أعضاء المجموعة صفة نساء يبحثن عن علاقات رومانسية لإصابة الهواتف الذكية وأجهزة الكمبيوتر وحسابات Telegram. كانت المجموعة نشطة منذ أوائل عام 2025. تؤدي الهجمات التي تستهدف أجهزة Android إلى نشر برامج تجسس تُعرف باسم SafeLoveStealer، والتي يمكنها سرقة الصور ومقاطع الفيديو والمستندات وبيانات الموقع. أما أنظمة Windows، فتُصاب ببرنامج سرقة يُعرف باسم SiribGrabber. يتم توزيع البرمجيات الخبيثة عبر رسائل البريد الإلكتروني التصيدية التي تحتوي على أرشيفات ZIP مُنتحلة صفة مستندات ذات طابع عسكري. بالإضافة إلى ذلك، تدير المجموعة مواقع تصيدية تحاكي صفحات تسجيل الدخول الخاصة بـ Telegram لخداع الأهداف لحثهم على إدخال أرقام هواتفهم ورموز التحقق وكلمات مرور المصادقة الثنائية، مما يسمح لهم بالسيطرة على الحسابات. يرتبط أيضاً بجهة التهديد أداة تُسمى Kontur تقوم بتخزين جلسات Telegram المسروقة وتسمح للمشغلين بمراجعة الرسائل الملتقطة. كما استهدفت جامعات بحرية روسية ومنشآت طاقة وبعثات دبلوماسية ووكالات حكومية عبر حملات تصيدية من قبل مجموعة غير محددة منذ يوليو 2024 على الأقل. استخدمت موجات الهجمات الأخيرة إطار عمل C2 يُسمى Ravage، على الرغم من أن حملتين تصيديتين منفصلتين تم رصدهما في عام 2024 استخدمتا Cobalt Strike. المجموعة القرصنة الثالثة التي استهدفت روسيا (بالإضافة إلى بيلاروسيا) هي Cloud Atlas، والتي لجأت إلى إرسال رسائل بريد إلكتروني تصيدية تحتوي على أرشيفات ZIP تتضمن اختصارات خبيثة تقوم بتشغيل نصوص PowerShell، مما يمهد الطريق لبرمجيات خبيثة مثل VBShower و PowerShower، والذي يُستخدم الأخير لإسقاط برنامج سرقة بيانات الاعتماد. يتم تحقيق الحركة الجانبية عبر RDP و SSH و RevSocks عبر PAExec أو PsExec كجزء من إطار عمل يُعرف باسم PowerAdmin. علاوة على ذلك، تتضمن الهجمات أدوات جديدة: PowerCloud، التي تجمع بيانات المستخدم بصلاحيات المسؤول وتكتبها في جداول بيانات Google، و Browser checker، وهو نص PowerShell يقوم بالتحقق مما إذا كانت عمليات المتصفح (Chrome، Edge، Firefox، وغيرها) قيد التشغيل.
انتشار برنامج ClickFix الخبيث
استخدمت جهة تهديد مرتبطة ببرامج الفدية عائلة برمجيات خبيثة جديدة تُسمى MLTBackdoor، والتي يتم تسليمها عبر ClickFix. وذكرت Zscaler ThreatLabz: “يدعم MLTBackdoor مجموعة من الأوامر مثل تنزيل ورفع الملفات من نظام الضحية”. “ومع ذلك، فإن إحدى أقوى الميزات هي القدرة على تحميل ملفات Beacon Object Files (BOFs) لتوسيع قدراته.” تم اكتشاف البرمجيات الخبيثة في مايو 2026. في الأشهر الأخيرة، استخدمت هجمات برامج الفدية والابتزاز للبيانات التي تتضمن DragonForce و World Leaks أبواباً خلفية مثل VIPERTUNNEL، وهي برمجيات خبيثة بلغة Python مرتبطة سابقاً بـ RansomHub، ورستي روكيت (RustyRocket)، وهي أداة مخصصة بلغة Rust لتسهيل استخراج البيانات الخفي والوصول المستمر. وقال T. Ryan Whelan من Accenture: “بمجرد قيام المهاجم بتشغيلها، يمكن لـ RustyRocket الاتصال بأمان بخادم يتحكم فيه المهاجم باستخدام حركة مرور مشفرة ومطبقة بشكل كبير تمتزج مع نشاط الإنترنت العادي، مما يجعل من الصعب جداً على المدافعين اكتشافها”. “هذه البرمجيات الخبيثة هي بنية اتصالات متكاملة مصممة للاستمرارية والتشويش.”
سرقة بطاقات WooCommerce
تستهدف حملة تنقيط جديدة مواقع WooCommerce لسرقة تفاصيل البطاقات من صفحات الدفع. وذكرت CloudSEK: “يقوم برنامج التنقيط بانتحال صفة عنصر دفع Stripe الحقيقي، ويتحقق من صحة البطاقات في الوقت الفعلي بحيث لا يشك الضحية أبداً”. “الجانب الأكثر ‘احترافية’ في هذه العينة هو مدى العمل الذي تقوم به لتبدو شرعية. فهي تعيد تطبيق نفس عمليات التحقق من جانب العميل التي يقوم بها عملية دفع حقيقية.”
استهداف 33 ألف مستخدم
يتم استخدام مُحمّل جديد مكتوب بلغة Go يُسمى GoFlateLoader لتوصيل العديد من برامج سرقة المعلومات، بما في ذلك Amatera و Remus و Lumma و Vidar و StealC و SvitStealer. وذكرت Avast من Gen Digital: “يبدو GoFlateLoader في كل من إصدارات x86 (32 بت) و x86-64 (64 بت)، مطابقةً لعرض الحمولة التي من المفترض أن تنفذها”. “تم تصميم المُحمّل لتنفيذ الحمولات في الذاكرة ويتم تضخيمه بشكل متعمد بغلاف PE ضخم لإعاقة الكشف.” يتم تسليم البرمجيات الخبيثة عبر برامج مقرصنة ونظام توزيع حركة المرور (TDS) الخبيث الذي تم استخدامه لتوصيل Remus Stealer و AnimateClipper وإطار عمل SessionGate. منذ بداية أبريل 2026، تم استهداف أكثر من 33 ألف مستخدم فريد، مع كون البلدان الأكثر تضرراً تشمل البرازيل والهند والأرجنتين والمكسيك وتركيا وإسبانيا.
تضرر بقيمة 862 ألف دولار
حُكم على ماكسويل شولتز، 36 عاماً، من كولومبوس، أوهايو، بالسجن لمدة 24 شهراً بتهمة اختراق شبكة صاحب عمله بعد إنهاء عقده في مايو 2021. بانتحال صفة متعاقد آخر، حصل شولتز على بيانات اعتماد تسجيل الدخول، وتمكن من الوصول إلى أنظمة صاحب العمل السابق، وقام بتنفيذ نص PowerShell خبيث أعاد تعيين ما يقرب من 2500 كلمة مرور، مما أدى إلى منع الموظفين والمتعاقدين من الوصول وتسبب في خسائر تزيد عن 862 ألف دولار. اعترف شولتز بالذنب في الجريمة في نوفمبر 2025.
تحديثات وهمية للمصارف
تُستخدم حملة تصيد جديدة تنتحل صفة علامات تجارية مصرفية إيطالية وأوروبية لتوزيع برمجيات خبيثة لنظام Android تُعرف باسم NFCShare. تستخدم الهجمات مواقع تصيد تهدف إلى خداع المستخدمين لحثهم على إدخال بيانات اعتمادهم، وبعد ذلك يتم مطالبتهم بتحديث تطبيق المصرف عن طريق تنزيل ملف APK مُستضاف على GitHub (“antoniocastaldo1998/app-scuola”). الهدف النهائي هو توجيه المستخدم عبر تدفق وهمي للتحقق من البطاقة: وضع البطاقة بالقرب من الهاتف، وإبقائها قريبة أثناء “المصادقة”، وإدخال دبوس البطاقة. داخلياً، يقرأ التطبيق بيانات بطاقة NFC (ISO-DEP) ويقوم باستخراجها إلى نقطة نهاية WebSocket بعيدة. يشترك النشاط في تكتيكات متداخلة مع برامج تمرير NFC الأخرى، مثل SuperCardX و RelayNFC. يشير وجود نص صيني إلى جهة فاعلة مرتبطة بالصين أو نسب أدوات من الصين.
خطر تصيد عوامل الذكاء الاصطناعي
كشفت أربع محاكاة تصيد على عامل بريد إلكتروني يُدعى Pinchy، مبني على OpenClaw، عن قابليته للتأثر بالأساليب المستخدمة عادةً لخداع المستخدمين البشريين. وذكرت Varonis: “في بعض الحالات، لم يفشل Pinchy في اكتشاف هجمات التصيد فحسب، بل قام أيضاً بإجراءات خطيرة يمكن أن تعرض مؤسسة حقيقية للخطر”. “في حالة ملحوظة، كان مجرد بريد إلكتروني غير رسمي من ‘دان’ يطلب من العامل مشاركة بيانات اعتماد مرحلة الإنتاج كافياً لإعادة توجيه مفاتيح AWS IAM، وكلمات مرور قواعد البيانات، والوصول إلى SSH إلى Gmail خارجي.” هذا التصيد للعوامل يختلف عن الحقن غير المباشر للتعليمات. بينما الأخير يضم تعليمات خبيثة داخل البيانات التي يستهلكها النموذج لتحفيز إجراءات أو ردود غير مقصودة، يعمل تصيد العوامل فوق سطح التطبيق. وأضافت Varonis: “يصل طلب قابل للتصديق عبر قناة اتصال عادية، ويبدو كرسالة عمل مشروعة، وينجح عندما يتصرف العامل بناءً عليه قبل التحقق من هوية السائل”.
الذكاء الاصطناعي يصلح كلمات المرور الضعيفة
كشفت Apple عن أن إصدارها القادم من Apple Intelligence، نظام الذكاء الاصطناعي التوليدي للشركة، سيدعم القدرة على تحديث كلمات المرور الضعيفة والمخترقة بنقرة واحدة عبر تطبيق كلمات المرور. وذكرت Apple: “بالبناء على قدرتها على تنبيه المستخدمين إلى كلمات المرور الضعيفة والمخترقة، يمكن لتطبيق كلمات المرور الآن إصلاحها تلقائياً للمستخدمين بنقرة واحدة”. “باستخدام Apple Intelligence و Safari لاتخاذ إجراء نيابة عن المستخدم، يتنقل تطبيق كلمات المرور بشكل آمن عبر مواقع الويب لتسجيل الدخول وترقية حساباتهم بكلمات مرور قوية.”
تقييد بيانات EDR
تقنية جديدة تُدعى EDRChoker تتداخل مع اتصال العميل بالخادم لبرامج اكتشاف الاستجابة لنقطة النهاية (EDR) لتجاوز الدفاعات. وقال باحث أمني يُعرف باسم Zero Salarium: “يستخدم EDRChoker جودة الخدمة (QoS) القائمة على السياسات لتقليل نطاق وكلاء EDR إلى الحد الأدنى من عرض النطاق الترددي؛ عندما يحاول الوكلاء الاتصال، فإنهم سيواجهون مهلة باستمرار بسبب عرض النطاق الترددي المنخفض للغاية”. “يأخذ قائمة بأسماء عمليات EDR الشائعة وينشئ سياسات QoS التي تحد من هذه العمليات إلى 8 بت في الثانية. بهذا عرض النطاق الترددي، يصبح وكيل EDR معزولاً فعلياً عن خادمه.” في بداية يناير، أظهر الباحث أيضاً EDRStartupHinder، والذي يمنع برنامج EDR من البدء. “يهدف EDRStartupHinder إلى استغلال Windows Bindlink لإعادة توجيه DLL من System32 إلى موقع آخر، إلى جانب الاستفادة من الدالة التي تقوم فقط بتحميل DLLs موقعة من برنامج محمي بـ Protected Process Light (PPL) لمنع خدمات AV/EDR من البدء”. تقنية أخرى ابتكرتها Binary Defense تتضمن تعطيل خدمات أمنية حرجة، مثل Windows Defender و Sysmon، دون إطلاق تنبيهات برمجيات خبيثة تقليدية. تقوم بتعديل قوائم التحكم بالوصول (ACLs) في Windows لإضافة إدخالات تحكم بالوصول “رفض” (ACEs) ضد مكتبات النظام الأساسية مثل “kernel32.dll”. نظراً لأن هذه الخدمات تعتمد على DLL لتعمل، فإن سلسلة التبعية تنكسر. عند إعادة تشغيل النظام، تفشل الخدمات المحمية في البدء، تاركة نقطة النهاية بدون أي دفاعات.
توسع STX RAT بسلسلة التوريد
الهجوم على سلسلة التوريد الذي يستهدف CPUID لتسليم STX RAT أوسع نطاقاً مما كان يُعتقد سابقاً، مع تحليل جديد من Cyderes يكشف عن سبع حزم إضافية تم اختراقها مرتبطة بنفس الحملة. وذكرت الشركة الأمنية: “تتبع جميع الحزم نفس آلية التسليم”. “كان الجهة الفاعلة، والتي تعمل تحت اسم Leda Elacoate (pufferfish11@firemail[.]cc)، تقوم ببناء وصيانة مستودع Bitbucket لبرامج التثبيت المخترقة لمدة شهر تقريباً، مستهدفة مجموعة واسعة من الفئات السكانية للمستخدمين.” من بين الحزم المتأثرة X-VPN، وهو VPN استهلاكي مع أكثر من 100 مليون مستخدم مسجل. المستخدمون الذين قاموا بتثبيت X-VPN من القنوات الرسمية غير متأثرين. وأضافت Cyderes: “بدأ الجهة الفاعلة ببرامج تبادل وتداول العملات المشفرة كأدوات جذب، مستهدفاً المستخدمين الذين لديهم وصول محتمل إلى الحسابات المالية، ووسعت تدريجياً ملف أدوات الجذب ليشمل واجهة هندسة اجتماعية وبرامج VPN”.
Agent Tesla عبر طعوم ZIP
تُستخدم رسائل البريد الإلكتروني التصيدية التي تنتحل صفة رسائل نصائح دفع مشروعة لتسليم أرشيفات ZIP، يؤدي فتحها إلى سلسلة إصابة متعددة المراحل تؤدي إلى نشر Agent Tesla. ووفقًا لـ Point Wild: “ببساطة، يفتح الضحية ما يبدو كملف غير ضار، ولكن خلف الكواليس، يقوم نص Batch مشوش للغاية بتشغيل PowerShell بصمت، والذي يسحب بعد ذلك وينفذ تعليمات برمجية خبيثة إضافية مباشرة في الذاكرة”. “من هناك، يتصاعد الهجوم إلى سلسلة تنفيذ مرحلية تتضمن فك تشفير shellcode، وإعداد ثبات، وحقن العمليات في تطبيقات Windows مشروعة مثل charmap.exe.” تم تصميم Agent Tesla لسرقة بيانات اعتماد المتصفح، وتسجيل ضربات المفاتيح، والتقاط لقطات الشاشة، واستخراج بيانات حساسة من النظام. ثم يتم استخراج المعلومات المجمعة باستخدام الاتصالات المستندة إلى SMTP، مما يسمح لحركة المرور الخبيثة بالاندماج مع نشاط البريد الإلكتروني العادي.
فيديوهات الذكاء الاصطناعي الوهمية تنشر البرمجيات الخبيثة
تستخدم حملتان للهندسة الاجتماعية مقاطع فيديو TikTok وInstagram Reels التي تم إنشاؤها بواسطة الذكاء الاصطناعي لتوجيه المستخدمين إلى مواقع مشبوهة تقوم بنشر Vidar Stealer وبرامج أخرى مشبوهة. وذكرت ReversingLabs: “تتضمن إحدى المنهجيات دروساً وهمية لتثبيت البرامج، مع تعليقات صوتية احترافية ورسوم جرافيك واضحة”. “يعتمد النهج الثاني على منشورات توضح كيفية استخدام برامج مميزة مجاناً، عبر مقاطع فيديو متعددة، مع تقديم برنامج تعليمي مركزي بعد أن يكتسب الحساب زخماً.”
أجهزة التوجيه تتحول إلى عقد C2
تم تحديد مجموعة اختراق يُشتبه في ارتباطها بالصين تقوم بتنفيذ حملة واسعة النطاق تستهدف أجهزة الشبكات الطرفية في جنوب شرق آسيا. وقال باحث أمني يُدعى Y4er: “تقوم الجهة الفاعلة بنشر برنامج ثابت مخصص لنظام Linux ELF (router.elf) مباشرة على أجهزة التوجيه الحدودية المخترقة، مما ينشئ قيادة وتحكم ثابتة (C2) عبر DNS عبر HTTPS (DoH) مع سلاح نظام iptables الخاص بجهاز التوجيه في نفس الوقت لاختطاف حركة مرور DNS النهائية على نطاق واسع”. “تستخدم حرفية Windows المرتبطة برنامج Cobalt Strike 4.4 Beacon مخترق تم تسليمه عبر تحميل DLLs جانبي (version.dll)، ويشارك نفس البنية التحتية لـ C2 وملفات ملف تعريف C2 القابلة للتعديل – مما يؤكد التحكم التشغيلي الموحد.”
إساءة استخدام RMM في البرازيل
تم رصد حملة تصيد نشطة تستهدف المؤسسات البرازيلية بطعوم مستندات أعمال وهمية، مما أدى إلى تنزيل وكيل NinjaOne Remote Monitoring and Management (RMM). وذكرت Cato Networks: “تبدأ الحملة برسائل بريد إلكتروني تصيدية تعيد توجيه الضحايا إلى صفحات هبوط باللغة البرتغالية تنتحل صفة عمليات برازيلية مألوفة، بما في ذلك المستندات الضريبية المتعلقة بـ SEFAZ، وعمليات الشكاوى على غرار Reclame Aqui، وبوابات تسليم المستندات الآمنة”. “بعد إكمال عملية تحقق وهمية، يُطالب الضحايا بتنزيل ما يبدو أنه مستند عمل محمي. بدلاً من ذلك، يؤدي التنزيل إلى وكيل NinjaOne RMM شرعي تم تكوينه لتوفير وصول عن بعد إلى بنية تحتية يتحكم فيها المهاجم، مما يسلط الضوء على إساءة استخدام غير موثقة سابقاً لـ NinjaOne في المشهد التهديدي البرازيلي”. يؤكد هذا التطور مرة أخرى أن الجهات الفاعلة في مجال التهديدات لم تعد بحاجة إلى الاعتماد على برامج خبيثة مخصصة للتسلل إلى المؤسسات.
غسيل الأموال كخدمة (MaaS)
ألقت شركة الأمن السيبراني KELA الضوء على شبكات “حمل الأموال” (money mule)، التي تلعب دوراً حاسماً في منظومات الجريمة السيبرانية والاحتيال المالي الحديثة، مما يمكّن الجهات الفاعلة في مجال التهديدات من غسيل وتحويل عائدات برامج الفدية وعمليات الاحتيال واختراق البريد الإلكتروني للأعمال (BEC) والمخططات غير المشروعة الأخرى. وذكرت KELA: “في السنوات الأخيرة، تطور تجنيد الحمل التقليدي بشكل متزايد إلى منظومات حمل احترافية كخدمة (MaaS) توفر بنية تحتية متدرجة لغسيل الأموال للمجرمين السيبرانيين”، مضيفةً أن “عمليات الحمل تعتمد بشكل متزايد على الهويات المسروقة، والهويات الاصطناعية، والحسابات المخترقة، وتقنيات الإعداد بمساعدة الذكاء الاصطناعي بدلاً من مجرد تجنيد مشاركين بشريين”. كما وجدت الجهات الفاعلة في مجال التهديدات أنها تعتمد على وثائق مزورة، وطرق تجاوز KY C مدعومة بتقنية التزييف العميق (deepfake)، وتقنيات الاستيلاء على الحساب، ونشاط “تسخين” تلقائي للحسابات لإعداد بنى تحتية غسيل أموال مرنة عبر منصات مالية متعددة.
محادثات الذكاء الاصطناعي مكشوفة
أفادت G DATA بأنها شهدت عدداً متزايداً من إضافات Google Chrome التي تنتحل صفة أدوات إنتاجية مشروعة، بينما تستولي سراً على محادثات المستخدمين مع روبوتات الدردشة المدعومة بالذكاء الاصطناعي. تشمل بعض هذه الإضافات Urban VPN، و Smart Sidebar: ChatGPT، و Claude & DeepSeek، و Chat AI، الأخيرة تظهر سمات متوافقة مع حملة تُدعى AiFrame. وذكرت G DATA: “لا تزال بيانات المستخدم المتولدة من محادثات الذكاء الاصطناعي عرضة للسرقة من قبل الجهات الفاعلة في مجال التهديدات التي تستخدم الإضافات التي تنتحل صفة أدوات مشروعة.”
507 مستودع Meta مكشوف
عمل عنوان IP عام من Meta يستضيف مثيل Grafana مفتوح كمسار للوصول للقراءة والكتابة إلى 507 مستودعات Meta خاصة، وحصل فريق Sectricity Security على مكافأة قدرها 157 ألف دولار. ذكرت الشركة الأمنية: “كان المحور عبارة عن شهادة SAN wildcard على شهادة TLS: *.llm-playground.aws.metafb.cloud، والتي كشفت عن عقار ظل هادئ خلف metafb.cloud”. “من خلال تحليل حزم JavaScript عبر هذا العقار، اكتشفنا إشارات إلى نطاق لم يسبق رؤيته من قبل: api.haloworld.xyz، والذي أصبح المحور التالي. التلميح الطفيف (قائمة كلمات تم بناؤها بالذكاء الاصطناعي مع حزم JS، والسياق، وما إلى ذلك) ضد api.haloworld.xyz كشف بعد ذلك عن /_api/gcp-token، وهو نقطة نهاية غير مصادق عليها سلمت رمز GCP OAuth2 صالحًا”. بدوره، منح رمز GCP حق الوصول للقراءة إلى مدير الأسرار في المشروع الذي احتوى على رمز Vercel. كشف رمز Vercel عن 85 متغير بيئة عبر مشاريع Meta، بما في ذلك رموز الوصول الشخصية متعددة لـ GitHub وأسرار أخرى. كان لأحد رموز GitHub هذه وصول للقراءة/الكتابة إلى 507 مستودعات خاصة.
بيع بيانات 7 ملايين شخص مسن
حُكم على تروي موراي، 57 عاماً، من هيكيوري، نورث كارولينا، بالسجن أكثر من 10 سنوات لبيعه المعلومات الشخصية لأكثر من 7 ملايين أمريكي مسن لمحتالين من خلال مخططات يانصيب في جامايكا. كما أُمر بدفع مصادرة بقيمة 5,214,688.48 دولار. وذكرت وزارة العدل الأمريكية أن موراي “ابتكر مخططًا قام فيه بتنظيم وصيانة وبيع قوائم تحتوي على الأسماء وأرقام الهواتف وعناوين البريد الفعلي، وفي بعض الحالات، أعمار وعناوين البريد الإلكتروني للأمريكيين المسنين لأفراد في جامايكا متورطين في مخططات احتيال اليانصيب”. “من عام 2016 إلى عام 2023، باع موراي هذه القوائم لمحتالين جامايكيين، الذين قاموا باختراق المستهلكين الأمريكيين المسنين من خلال احتيال اليانصيب، مما درّ على موراي مئات الآلاف من الدولارات سنوياً”. تم بيع كل قائمة من هذه القوائم مقابل 500 دولار.
ثغرة تعطل النظام بحزمة واحدة
أصدر الباحث الأمني ماركوس هاتشينز تفاصيل وإثبات مفهوم (PoC) لـ ComoDoS، وهي ثغرة تحت التدفق في برنامج تشغيل جدار الحماية الخاص بـ Comodo Internet Security، inspect.sys (CVE-2026-49494، درجة CVSS: 7.5). وذكر هاتشينز: “على الرغم من أن الثغرة يمكن استخدامها لتشغيل قراءة خارج الحدود (OOB) وكتابة خارج الحدود (OOB) في نواة Windows عن بعد، إلا أن القيود على كلا البدائيين تجعلني أعتقد أنه من غير المحتمل أن يتم استغلال هذه الثغرة ليتم تحويلها إلى RCE”. “ومع ذلك، فإن هذه الثغرة تمكنك من تعطيل النظام المستهدف عن بعد بحزمة TCP/IP واحدة، حتى لو تم تكوين جدار الحماية لحظر جميع المنافذ”. لا تزال الثغرة غير مصححة حتى كتابة هذه السطور.
أسرار CI/CD مكشوفة
اكتشفت Microsoft مشكلة في Claude Code GitHub Action يمكن استغلالها لكشف أسرار سير عمل CI/CD عندما تعالج عوامل الذكاء الاصطناعي محتوى GitHub غير الموثوق به، بما في ذلك جسم المشكلات، ووصف طلبات السحب، والتعليقات. وذكرت Microsoft: “بينما كان Claude Code Action يدعم كشط البيئة لمسارات تنفيذ العمليات الفرعية مثل Bash، لم يخضع أداة القراءة لنفس نموذج العزل”. “تم السماح له في النهاية بالوصول إلى /proc/self/environ، وقراءة ANTHROPIC_API_KEY لعملية التشغيل، وربما بيانات اعتماد أخرى متاحة للمشغل”. بعد الكشف المسؤول في 29 أبريل 2026، تم إصلاح المشكلة في 5 مايو مع إصدار Claude Code الإصدار 2.1.128. يقوم الرقعة بتعزيز أداة القراءة برفض عدد من الملفات في /proc/ بشكل غير مشروط لحماية تلك الملفات من الاستخراج.
وهم وظيفة بقيمة 200 ألف دولار
اقتربت مجموعة Nimbus Manticore الإيرانية من موظف عبر LinkedIn بانتحال صفة مسؤول توظيف، وجذبهم بعرض راتب قدره 200 ألف دولار سنوياً. وفقًا لـ Nextron Systems، يُقال إن التفاعل قد أعاد توجيه الضحية إلى بوابة توظيف وهمية تحمل علامة Ebix Recruitment، والتي طلبت منهم إدخال بيانات اعتماد مؤقتة تم تلقيها من المسؤول لتسجيل الدخول إلى الموقع. وذكرت الشركة: “بعد المصادقة، طلبت البوابة من الضحية تنزيل تطبيق مصادقة ثنائي ‘لزيادة الأمان'”. “تم تسليم تطبيق المصادقة الثنائي المعلن عنه كملف ZIP واحتوى على حمولة برمجيات خبيثة.” ينتهي الهجوم بنشر برنامج اختراق مخصص لديه قدرات استخراج البيانات والتحكم عن بعد.
باب خلفي مع وحدات ماسح
لفت باحثو الأمن السيبراني انتباههم إلى باب خلفي جديد مكتوب بلغة Golang يُسمى BLUERABBIT، والذي يوجه C2 عبر RabbitMQ للمهام، و Redis لإدارة الحالة، و MinIO لاستخراج البيانات المتوافق مع S3. وذكرت Binary Defense: “إنها أداة اختراق كاملة الطيف: وصول عن بعد، وملف تعريف النظام، وتشفير الملفات بملحق .candy، ووحدتان مميزتان لمسح الأقراص قادرة على جعل الأنظمة غير قابلة للاسترداد بشكل دائم”. يُعتقد أن الباب الخلفي هو عمل جهة تهديد مرتبطة بإيران. لوحظ لأول مرة في منتصف إلى أواخر مارس 2026، ومن المرجح استخدامه لاستهداف كيانات في إسرائيل. BLUERABBIT “مرتبط بنفس مجموعة أنشطة المرتبطة على الأرجح بإيران التي استخدمت BLUERABBIT و SEWERGOO سابقاً في يونيو 2025”.
الخلاصة بسيطة: لا يحتاج المهاجمون دائمًا إلى استغلال الثغرات. بل يحتاجون إلى الصبر، وبيانات الاعتماد المسروقة، والأدوات الموثوقة، وإعداد سياسة واحدة لم يتحقق منه أحد منذ آخر إعادة تنظيم. لم يعد المحيط هو المشكلة الحقيقية بعد الآن. المشكلة هي كل شيء بداخله لا يزال يثق افتراضيًا.
نفس الدرس القديم: قم بتدقيق ما يمكن لوكلاءك الوصول إليه، وعامل كل هوية في خط الأنابيب على أنها خطر، وتحقق مما ترسله ملحقات المتصفح الخاصة بك إلى الوطن. نراكم يوم الخميس.