كشفت تقارير أمنية حديثة عن تزايد موجة التهديدات السيبرانية، مع التركيز على ثغرات جديدة وتقنيات هجوم متطورة تستهدف الأفراد والمؤسسات على حد سواء. وتسلط هذه التطورات الضوء على الحاجة الملحة لتعزيز إجراءات الأمن السيبراني في ظل التغييرات المستمرة في مشهد التهديدات.
وتشير التحليلات إلى أن الهجمات لم تعد تقتصر على الأساليب التقليدية، بل أصبحت أكثر تعقيدًا وتستغل الثغرات الأمنية بشكل مبتكر، مما يستدعي يقظة مستمرة وتحديثًا دوريًا لأنظمة الحماية. وتشمل أبرز التهديدات ظهور برامج فدية جديدة تستغل ثغرات في أجهزة الشبكات، إضافة إلى سلاسل هجوم تسمح بتنفيذ تعليمات برمجية عن بعد.
تطورات حديثة في مشهد التهديدات السيبرانية
يشهد العالم الرقمي تصاعدًا مستمرًا في الهجمات السيبرانية، حيث تتعدد الأساليب التي يتبعها المخترقون للوصول إلى الأنظمة الحساسة أو لابتزاز المستخدمين. وبينما تظهر تقنيات جديدة، تستمر أساليب قديمة في الظهور والتأثير، مما يؤكد على أهمية فهم شامل لطبيعة المخاطر.
برامج الفدية تستغل ثغرات الأجهزة
كشف تقرير صادر عن شركة Group-IB عن ظهور عملية جديدة لبرامج الفدية كخدمة (RaaS) تُعرف باسم “The Gentlemen”، والتي تستفيد بشكل أساسي من ثغرة حرجة في أجهزة FortiGate، وهي ثغرة تجاوز المصادقة CVE-2024-55591. وتحتفظ هذه العملية بقاعدة بيانات تضم حوالي 14,700 جهاز FortiGate مخترق عالميًا، بالإضافة إلى 969 مجموعة بيانات اعتماد VPN مخترقة تم التحقق منها وجاهزة للهجوم.
وتستخدم المجموعة أيضًا تقنيات متقدمة للتخفي، مثل تقنية “احضر برنامج التشغيل الضعيف الخاص بك” (BYOVD) لإيقاف عمليات الأمان على مستوى النواة. وقد تعرضت حوالي 94 منظمة لهجمات من قبل هذه المجموعة منذ ظهورها في يوليو/أغسطس 2025.
ثغرات متسلسلة تتيح تنفيذ التعليمات البرمجية عن بعد
تم الكشف عن أربع ثغرات أمنية (CVE-2025-71257, CVE-2025-71258, CVE-2025-71259, و CVE-2025-71260) في BMC FootPrints، وهو حل رائد لإدارة خدمات تكنولوجيا المعلومات (ITSM). يمكن ربط هذه الثغرات معًا لتنفيذ تعليمات برمجية عن بعد قبل المصادقة. يبدأ تسلسل الهجوم بتجاوز للمصادقة، يتبعه استخراج رمز جلسة الضيف، والذي يُستخدم بعد ذلك للوصول إلى نقطة نهاية غير مفلترة تسمح بتنفيذ تعليمات برمجية عن بعد.
بالإضافة إلى ذلك، يمكن للمهاجم استغلال ثغرات ثغرة البرمجة الخدمية (SSRF) لتسريب بيانات داخلية. وتم معالجة هذه المشكلات في سبتمبر 2025.
برامج تحميل خبيثة ونوافذ تحكم مخفية
يتم استخدام حمّال البرامج الضارة المعروف باسم Hijack Loader لتسليم إطار عمل جديد غير موثق يعتمد على لغة C++ للتحكم والسيطرة (C2) يُعرف باسم SnappyClient. يمتلك SnappyClient قائمة موسعة من القدرات، بما في ذلك التقاط لقطات الشاشة، وتسجيل ضغطات المفاتيح، وإنشاء طرفية عن بعد، وسرقة البيانات من المتصفحات والإضافات والتطبيقات الأخرى. ينشر SnappyClient ملفي تكوين من خادم C2، يحتويان على قائمة بالإجراءات التي يجب اتخاذها عند استيفاء شرط محدد، بالإضافة إلى قائمة بالتطبيقات المستهدفة لسرقة البيانات.
تم اكتشاف هذا الإطار لأول مرة في ديسمبر 2025، ويتضمن سلسلة هجوم لتوزيع حمولات خبيثة بعد زيارة المستخدم لموقع ويب ينتحل صفة شركة الاتصالات الإسبانية Telefónica. ويُعتقد أن الاستخدام الأساسي لـ SnappyClient هو سرقة العملات المشفرة.
استغلال الروابط العميقة لتنفيذ الأوامر
كشفت شركة Proofpoint عن تقنية جديدة تُسمى CursorJack، والتي تستغل دعم Cursor لروابط Model Context Protocol (MCP) العميقة لتنفيذ أوامر محلية أو السماح بتثبيت خادم MCP خبيث عن بعد. تستفيد هذه التقنية من حقيقة أن خوادم MCP تحدد عادةً أمرًا في ملف تكوين “mcp.json” الخاص بها. يمكن إساءة استخدام معالج البروتوكول cursor:// من خلال الهندسة الاجتماعية في تكوينات محددة.
مضيفةً أن نقرة واحدة متبوعة بقبول المستخدم لطلب تثبيت قد تؤدي إلى تنفيذ أوامر عشوائية. يمكن استخدام هذه التقنية لتنفيذ تعليمات برمجية محلية عبر المعلمة “command” أو لتثبيت خادم MCP عن بعد خبيث عبر المعلمة “URL”. وأصدرت الشركة إثبات مفهوم (PoC) للاستغلال على GitHub.
حملات استغلال واسعة النطاق لثغرات Citrix
تستهدف حملة جديدة حاليًا ثغرات أمنية معروفة في Citrix NetScaler (CVE-2025-5777 و CVE-2023-4966). ووفقًا لـ Defused Cyber، تم تسجيل أكثر من 500 محاولة استغلال ضد نظام الـ honeypot الخاص بها في 16 مارس 2026. وغالبًا ما يسبق النشاط الاستغلالي المرتفع للثغرات الأمنية القديمة ظهور ثغرة يوم الصفر.
وبالإضافة إلى ذلك، تشهد حملات التصيد الاحتيالي عبر Microsoft Teams زيادة، بهدف إقناع المستخدمين بتشغيل Quick Assist، مما يمنح الجهات الخبيثة وصولاً عن بعد لنشر البرامج الضارة أو سرقة البيانات. كما تم اكتشاف حملات ClickFix تستخدم مواقع حكومية مخترقة لتقديم إغراءات CAPTCHA مزيفة، مما يؤدي إلى تثبيت البرامج الضارة. وتتوسع مجموعة RagaSerpent، المرتبطة بـ SideWinder، في عمليات تجسس متعددة المناطق، مستغلةً موضوعات متعلقة بالضرائب والامتثال الحكومي.
تُظهر هذه التطورات تزايدًا في تعقيد الهجمات السيبرانية، مما يتطلب استجابة سريعة ومتكاملة من قبل المؤسسات والأفراد لضمان أمنهم الرقمي.