في عالم الأمن السيبراني، أصبح الخط الفاصل بين التحديث العادي وحادثة خطيرة رفيعاً للغاية. الأنظمة التي كانت تبدو موثوقة سابقاً تتعرض لضغوط مستمرة بسبب التغيير المتواصل. أدوات الذكاء الاصطناعي الجديدة، الأجهزة المتصلة، والأنظمة الآلية تخلق طرقاً إضافية للاختراق، غالباً أسرع مما يمكن لفرق الأمن الاستجابة له. قصص هذا الأسبوع توضح مدى سهولة تحول خطأ صغير أو خدمة مخفية إلى اختراق فعلي.
خلف الأضواء، النمط واضح. يتم استخدام الأتمتة ضد من قام ببنائها. المهاجمون يعيدون استخدام الأنظمة القائمة بدلاً من بناء أنظمة جديدة، ويتحركون أسرع مما تستطيع معظم المؤسسات إصلاحه أو الاستجابة له. من عيوب الكود الخفية إلى البرمجيات الخبيثة التي تتغير أثناء تشغيلها، تركز الهجمات بشكل أقل على السرعة وأكثر على البقاء مخفية وفي موقع السيطرة.
إذا كنت تحمي أي شيء متصل بالشبكة، سواء كانت أدوات تطوير، أنظمة سحابية، أو شبكات داخلية، فإن هذا الملخص يوضح وجهة الهجمات القادمة، وليس ما كانت عليه في الماضي.
⚡ تهديد الأسبوع
ثغرة حرجة في Fortinet تتعرض للاستغلال — ثغرة أمنية حرجة في نظام Fortinet FortiSIEM تتعرض حالياً للاستغلال النشط في البرية. تسمح الثغرة، التي تحمل المعرف CVE-2025-64155 (بدرجة CVSS: 9.4)، لمهاجم غير مصادق عليه بتنفيذ تعليمات برمجية أو أوامر غير مصرح بها عبر طلبات TCP مصممة خصيصًا. وصف تحليل فني من Horizon3.ai المشكلة بأنها تتكون من جزأين: ثغرة حقن معاملات غير مصادق عليها تؤدي إلى كتابة ملفات اعتباطية، مما يسمح بتنفيذ تعليمات برمجية عن بعد بصلاحيات المسؤول، وثغرة تصعيد امتيازات الكتابة فوق الملفات التي تؤدي إلى صلاحيات الجذر والاختراق الكامل للجهاز. تؤثر الثغرة على خدمة phMonitor، وهي مكون داخلي لـ FortiSIEM يعمل بصلاحيات مرتفعة ويلعب دوراً أساسياً في مراقبة صحة النظام. نظرًا لكون الخدمة متجذرة بعمق في سير عمل FortiSIEM التشغيلي، فإن الاستغلال الناجح يمنح المهاجمين السيطرة الكاملة على الجهاز.
🔔 الأخبار الأبرز
برمجية VoidLink الخبيثة لنظام لينكس تتيح وصولاً طويل الأمد — إطار عمل جديد للبرمجيات الخبيثة السحابية لنظام لينكس يُدعى VoidLink يركز على البيئات السحابية، ويزود المهاجمين بمجموعة واسعة من حمولات التحميل المخصصة، والبرمجيات الخبيثة، والجذور الخفية، والإضافات المصممة لزيادة التخفي ولأغراض الاستطلاع، وتصعيد الامتيازات، والحركة الجانبية داخل شبكة مخترقة. تم تصميم الإطار الغني بالميزات للوصول طويل الأمد والمراقبة وجمع البيانات بدلاً من التعطيل قصير المدى، مما يسمح للمشغل بالتحكم في العملاء والبرمجيات الخبيثة والإضافات عبر لوحة تحكم ويب محلية للمستخدمين الصينيين. المفتاح لبنية البرمجية الخبيثة هو “أتمتة التهرب قدر الإمكان” عن طريق نمذجة بيئة لينكس واختيار الاستراتيجية المثلى للعمل دون اكتشاف. بالفعل، عند اكتشاف علامات عبث أو تحليل للبرمجيات الخبيثة على جهاز مصاب، يمكن للبرمجية حذف نفسها واستدعاء وحدات مضادة للتحقيق مصممة لإزالة آثار نشاطها. إنها مجهزة بـ “مجموعة مميزات واسعة بشكل غير عادي”، بما في ذلك قدرات على نمط الجذر الخفي، ونظام إضافات في الذاكرة لتوسيع الوظائف، والقدرة على تعديل التهرب في وقت التشغيل بناءً على منتجات الأمان التي تكتشفها. تستمد VoidLink إلهامها من Cobalt Strike، وهو إطار محاكاة خصوم تم اعتماده على نطاق واسع وإساءة استخدامه من قبل المهاجمين على مر السنين. يُعتقد أنها من عمل مطورين صينيين. “معًا، تجلس هذه الإضافات فوق تطبيق أساسي متطور بالفعل، مما يثري قدرات VoidLink بما يتجاوز البيئات السحابية إلى محطات عمل المطورين والمسؤولين التي تتفاعل مباشرة مع تلك البيئات السحابية، محولة أي جهاز مخترق إلى نقطة انطلاق مرنة لوصول أعمق أو اختراق سلسلة التوريد،” حسب قول Check Point. “يعكس تصميمها مستوى من التخطيط والاستثمار يرتبط عادةً بالجهات الفاعلة الاحترافية التهديدية بدلاً من المهاجمين الانتهازيين.” ومع ذلك، يظل الاستخدام المقصود غير واضح، ولم يتم ملاحظة أي دليل على إصابات واقعية، مما يدعم الافتراض بأن البرمجية الخبيثة المعيارية تم إنشاؤها “إما كعروض منتج أو كإطار عمل تم تطويره لعميل”.
مايكروسوفت تعطل خدمة RedVDS الإجرامية — تم تعطيل خدمة اشتراك إجرامية مسؤولة عن حملات احتيالية تسببت في خسائر بمليارات الدولارات في إجراء منسق أجرته مايكروسوفت بالتعاون مع شركاء قانونيين في الولايات المتحدة، ولأول مرة، في المملكة المتحدة. صرحت شركة ويندوز بأنها صادرت موقع البنية التحتية لـ RedVDS، وهي منصة كانت تستضيف أدوات الجريمة السيبرانية كخدمة لحملات التصيد الاحتيالي والاحتيال، والتي كانت تكلف المستخدمين 24 دولارًا شهريًا فقط. أدت خدمة الاشتراك إلى خسارة ضحايا في الولايات المتحدة وحدها لأكثر من 40 مليون دولار منذ مارس 2025. بشكل إجمالي، حددت مايكروسوفت ما يقرب من 190,000 منظمة حول العالم وقعت ضحية لحملات مدعومة من RedVDS. في شهر واحد، لاحظت الشركة أن ما يقرب من 2600 جهاز افتراضي تابع لـ RedVDS أرسل ما متوسطه مليون رسالة تصيد احتيالي لعملاء مايكروسوفت يوميًا. قدمت RedVDS للمجرمين السيبرانيين وصولاً إلى أجهزة كمبيوتر افتراضية رخيصة وفعالة وقابلة للاستهلاك تعمل ببرامج غير مرخصة، بما في ذلك ويندوز، مما يسمح للمجرمين بإجراء هجمات التصيد الاحتيالي ومخططات اختراق البريد الإلكتروني للأعمال (BEC). ويُقال إن الخدمة لعبت دوراً في انتشار عمليات تحويل مدفوعات العقارات، مما أثر على أكثر من 9000 عميل بشكل أساسي في كندا وأستراليا. لم تمتلك RedVDS مراكز بيانات فعلية، بل استأجرت خوادم من مقدمي خدمات استضافة خارجيين في الولايات المتحدة وكندا والمملكة المتحدة وفرنسا وهولندا. “بمجرد توفيرها، وفرت هذه المضيفات المستنسخة من ويندوز للمهاجمين منصة جاهزة للبحث عن الأهداف، وتنظيم بنية التصيد الاحتيالي، وسرقة بيانات الاعتماد، واختطاف صناديق البريد، وتنفيذ احتيال مالي قائم على انتحال الشخصية بأقل قدر من الاحتكاك،” حسب ما ذكرت مايكروسوفت. “استفاد المهاجمون من الوصول الإداري غير المقيد لـ RedVDS وتسجيلات بسيطة، مما سمح لهم بالعمل دون إشراف ذي مغزى. سمحت الطبيعة الموحدة والقابلة للاستهلاك لخوادم RedVDS للمجرمين السيبرانيين بتكرار الحملات بسرعة، وأتمتة التسليم على نطاق واسع، والانتقال بسرعة من الاستهداف الأولي إلى السرقة المالية.”
تم حظر أكثر من 550 عقدة تحكم وسيطرة لشبكة بوتنت Kimwolf — قامت مختبرات Black Lotus التابعة لشركة Lumen Technologies بحظر أكثر من 550 عقدة تحكم وسيطرة (C2) مرتبطة بخوادم Aisuru و Kimwolf منذ أكتوبر 2025، حيث اكتسبت شبكات البوتنت اهتمامًا لدورها في تنظيم هجمات الحرمان الموزع عالي الحجم (DDoS). Kimwolf، التي يُقال إنها تستهدف بشكل أساسي أجهزة Android TV غير المعتمدة، انتشرت بسرعة، حيث جمعت أكثر من مليوني جهاز في شبكة البوتنت الخاصة بها. كان لتعطيل RapperBot واعتقال زعيمه المزعوم في أغسطس 2025 دور رئيسي في صعود Aisuru و Kimwolf. كشف بحث حديث أجرته QiAnXin XLab و Synthient كيف استفاد مشغلو شبكة البوتنت من خدمات الوكيل لتوسيع نطاق وصولها. في تقرير منفصل، ذكرت Infoblox أن ما يقرب من 25٪ من عملائها السحابيين أجروا استعلامًا إلى نطاق Kimwolf منذ 1 أكتوبر 2025. “النتيجة الرئيسية هي أن هذه الوكلاء السكنية موجودة في كل مكان حرفياً،” صرح كريس فورمولا، كبير مهندسي أمن المعلومات في مختبرات Black Lotus بشركة Lumen Technologies. “في كل مكان تقريبًا وفي معظم المؤسسات التي يمكنك تخيلها. نظرًا لأننا نعلم أن المهاجمين قاموا باستغلالها، فإن القصة هي في الأساس قصة العديد من الشبكات التي قد تفكر أنها آمنة، ولكن لديها أجهزة تشغل وكلاء سكنية يمكن أن توفر للمهاجمين فرصة للحصول على موطئ قدم أولي، متجاوزة غالبية أجهزتك التي من المحتمل أن تكون لديك”.
هجوم Reprompt يستهدف Microsoft Copilot — اكتشف باحثو الأمن هجومًا جديدًا يُدعى Reprompt سمح لهم باستخلاص بيانات المستخدم من Microsoft Copilot بمجرد أن ينقر الضحية على رابط مصمم خصيصًا يشير إلى روبوت الدردشة بالذكاء الاصطناعي (AI). يتجاوز الهجوم حماية تسرب البيانات ويسمح باستخلاص الجلسة المستمر حتى بعد إغلاق جلسة Copilot. يستغل الهجوم مزيجًا من حقن معلمة المطالبة الثانية (P2P) (أي استغلال المعلمة “q”)، وتقنية الطلب المزدوج، وتقنية ربط الطلبات للحصول على آلية لاستخلاص البيانات. “لن تلتقط أدوات المراقبة من جانب العميل هذه المطالبات الخبيثة، لأن تسرب البيانات الحقيقي يحدث ديناميكيًا خلال الاتصال ذهابًا وإيابًا – وليس من أي شيء واضح في المطالبة التي يقدمها المستخدم،” حسب قول Varonis. لا يؤثر الهجوم على عملاء المؤسسات الذين يستخدمون Microsoft 365 Copilot. قامت مايكروسوفت بمعالجة المشكلة منذ ذلك الحين.
سوء تكوين AWS CodeBuild يخلق مخاطر لسلسلة التوريد — سوء تكوين حرج في Amazon Web Services (AWS) CodeBuild كان يمكن أن يسمح بالاستيلاء الكامل على مستودعات GitHub الخاصة بمقدم خدمة السحابة، بما في ذلك AWS JavaScript SDK، مما يعرض كل بيئة AWS للخطر. الثغرة، التي تحمل الاسم الرمزي CodeBreach، تم إصلاحها بواسطة AWS في سبتمبر 2025. “باستغلال CodeBreach، كان بإمكان المهاجمين حقن تعليمات برمجية خبيثة لبدء اختراق على مستوى المنصة، مما قد يؤثر ليس فقط على عدد لا يحصى من التطبيقات التي تعتمد على SDK، بل على وحدة التحكم نفسها، مما يهدد كل حساب AWS،” حسب قول Wiz.
️🔥 الـ CVEs الرائجة
يتصرف المتسللون بسرعة. يمكنهم استخدام الأخطاء الجديدة في غضون ساعات. تحديث واحد تم تجاهله يمكن أن يسبب خرقًا كبيرًا. إليك أخطر الثغرات الأمنية لهذا الأسبوع. تحقق منها، أصلح ما يهم أولاً، وحافظ على حمايتك.
تتضمن قائمة هذا الأسبوع – CVE-2025-20393 (Cisco AsyncOS Software)، CVE-2026-23550 (Modular DS plugin)، CVE-2026-0227 (Palo Alto Networks PAN-OS)، CVE-2025-64155 (Fortinet FortiSIEM)، CVE-2026-20805 (Microsoft Windows Desktop Window Manager)، CVE-2025-12420 (ServiceNow)، CVE-2025-55131، CVE-2025-55131، CVE-2025-59466، CVE-2025-59465 (Node.js)، CVE-2025-68493 (Apache Struts 2)، CVE-2026-22610 (Angular Template Compiler)، CVE-2025-66176، CVE-2025-66177 (Hikvision)، CVE-2026-0501، CVE-2026-0500، CVE-2026-0498، CVE-2026-0491 (SAP)، CVE-2026-21859، CVE-2026-22689 (Mailpit)، CVE-2026-22601، CVE-2026-22602، CVE-2026-22603، CVE-2026-22604 (OpenProject)، CVE-2026-23478 (Cal.com)، CVE-2025-14364 (Demo Importer Plus plugin)، CVE-2025-14502 (News and Blog Designer Bundle)، CVE-2025-14301 (Integration Opvius AI for WooCommerce plugin)، CVE-2025-52493 (PagerDuty Runbook)، CVE-2025-55315 (ASP.NET Core Kestrel server)، CVE-2026-20965 (Microsoft Windows Admin Center)، و CVE-2025-14894 (Livewire Filemanager).
📰 في عالم الأمن السيبراني
ثغرة غير مصححة في Livewire Filemanager — تم الكشف عن ثغرة أمنية غير مصححة في Livewire Filemanager، وهو مكون لإدارة الملفات لمواقع الويب المبنية على Laravel يسمح بتحميل الملفات. يمكن لهذه الثغرة (CVE-2025-14894، درجة CVSS: 7.5) أن تسمح للجهات التهديدية بتحميل ملفات PHP خبيثة إلى خادم بعيد وتشغيل تنفيذها. “عندما يقوم المستخدم بتحميل ملف PHP إلى التطبيق، يمكن الوصول إليه وتنفيذه عن طريق زيارة دليل استضافة الملفات الذي يمكن الوصول إليه عبر الويب،” حسب ما ذكر مركز التنسيق CERT. “يسمح هذا للمهاجم بإنشاء ملف PHP خبيث، وتحميله إلى التطبيق، ثم إجبار التطبيق على تنفيذه، مما يسمح بتنفيذ تعليمات برمجية اعتباطية غير مصادق عليها على الجهاز المضيف”.
مزيد من إضافات GhostPoster تم رصدها — ذكرت LayerX أنها وجدت مجموعة جديدة تتكون من 17 إضافة مرتبطة بـ GhostPoster تؤثر على Google Chrome و Microsoft Edge. الإضافات الجديدة، المصممة لاختطاف روابط المنتسبين، وحقن رموز التتبع، والقيام بالاحتيال في النقرات والإعلانات، لديها قاعدة تثبيت جماعية تضم أكثر من 840,000 مستخدم، وبعضها يعود إلى عام 2020. GhostPoster، الذي تم الكشف عنه لأول مرة الشهر الماضي، هو جزء من حملة أوسع يقوم بها جهة تهديدية صينية تُدعى DarkSpectre. تظهر النتائج الجديدة أن GhostPoster نشأ لأول مرة على Microsoft Edge في فبراير 2020 ثم توسع إلى Firefox و Chrome.
RedLineCyber يوزع برمجيات خبيثة لاختطاف حافظة النسخ — تم رصد جهة تهديدية تُدعى RedLineCyber تستغل شهرة برنامج RedLine الذي يسرق المعلومات المعروف لتوزيع ملف تنفيذي يسمى “Pro.exe” (أو “peeek.exe”). إنه حصان طروادة لاختطاف حافظة النسخ يعتمد على Python ومصمم لسرقة العملات المشفرة عن طريق مراقبة حافظة Windows باستمرار بحثًا عن عناوين محافظ العملات المشفرة واستبدالها بعنوان محفظة تحت سيطرتهم لتسهيل سرقة العملات المشفرة. “تستغل الجهة التهديدية علاقات الثقة داخل مجتمعات Discord التي تركز على الألعاب، والمقامرة، وبث العملات المشفرة،” حسب قول CloudSEK. “يتم التوزيع من خلال الهندسة الاجتماعية المباشرة، حيث تبني الجهة علاقات مع الضحايا المحتملين، وخاصة مؤثري بث العملات المشفرة، لفترات طويلة قبل تقديم الحمولة الخبيثة كـ “أداة أمنية” أو “أداة بث”.
مستندات الشحن المزيفة تسلم Remcos RAT — حملة تصيد احتيالي جديدة تستخدم طُعومًا ذات طابع شحن لخداع المستلمين لفتح مستند Microsoft Word خبيث، والذي بدوره يشغل استغلالًا لثغرة أمنية قديمة في Microsoft Office (CVE-2017-11882) لتوزيع إصدار جديد من Remcos RAT يتم تنفيذه مباشرة في الذاكرة، حسب ما ذكرت Fortinet. يشغل الاستغلال الناجح للثغرة تنزيل نص برمجي Visual Basic Script، الذي ينفذ تعليمات PowerShell برمجية مشفرة Base64 لتنزيل وتشغيل وحدة تحميل DLL تعتمد على .NET مسؤولة عن تشغيل RAT بالإضافة إلى إعداد المثابرة باستخدام المهام المجدولة. Remcos RAT (الإصدار 7.0.4 Pro) هو برنامج خبيث جاهز يوفر قدرات شاملة لجمع البيانات، بما في ذلك إدارة النظام، والمراقبة، والشبكات، والاتصالات، والتحكم في العملاء.
جوجل تصدر جداول قوس قزح لتسريع زوال Net-NTLMv1 — أصدرت فرقة استخبارات التهديدات من Mandiant التابعة لجوجل مجموعة بيانات شاملة لجداول قوس قزح Net-NTLMv1 للتأكيد على الحاجة الملحة للتخلي عن البروتوكول القديم. بينما أعلنت مايكروسوفت سابقًا عن خططها لإلغاء NTLM لصالح Kerberos، قالت جوجل إنها تواصل تحديد استخدام Net-NTLMv1 في البيئات النشطة، مما يترك المؤسسات عرضة لسرقة بيانات الاعتماد البسيطة. “بينما توجد أدوات لاستغلال هذا البروتوكول منذ سنوات، غالبًا ما كانت تتطلب تحميل بيانات حساسة إلى خدمات طرف ثالث أو أجهزة باهظة الثمن لكسر المفاتيح بالقوة الغاشمة،” قالت جوجل. “يسمح إصدار مجموعة البيانات هذه للمدافعين والباحثين باستعادة المفاتيح في أقل من 12 ساعة باستخدام أجهزة استهلاكية تكلف أقل من 600 دولار أمريكي”.
بحار أمريكي سابق يُحكم عليه بالسجن 200 شهرًا للتجسس لصالح الصين — تم الحكم على جينتشاو وي (المعروف أيضاً باسم باتريك وي)، 25 عامًا، وهو بحار سابق في البحرية الأمريكية، بالسجن لمدة 200 شهرًا في الولايات المتحدة لبيعه أسرارًا للصين عن طريق إساءة استخدام تصريح الأمن الخاص به والوصول إلى معلومات حساسة عن الدفاع الوطني تتعلق بسفينة الإنزال البرمائي U.S.S. Essex. أُدين وي بتهم التجسس في أغسطس 2025 بعد اعتقاله في أغسطس 2023. “من خلال مشاركة آلاف الوثائق، وأدلة التشغيل، والمعلومات الخاضعة للرقابة السرية مع ضابط استخبارات صيني، خان الملازم وي بوعي زملائه من أفراد الخدمة والشعب الأمريكي،” صرح مدير NCIS عمر لوبيز. تم تجنيد وي من قبل ضابط استخبارات صيني في فبراير 2022 وأرسل صورًا ومقاطع فيديو لسفينة Essex عبر تطبيق مراسلة مشفر، وقدم للضابط معلومات عن موقع سفن البحرية المختلفة. كما وصف الأسلحة الدفاعية لسفينة Essex، وأرسل آلاف الصفحات من المعلومات الفنية والتشغيلية حول سفن البحرية الأمريكية، وباع حوالي 60 كتيبًا فنيًا وتشغيليًا حول سفن البحرية الأمريكية. في المقابل، تلقى وي أكثر من 12000 دولار على مدى 18 شهرًا. بعد اعتقاله، اعترف وي لمكتب التحقيقات الفيدرالي (FBI) بأن ما فعله يرقى إلى مستوى التجسس وأنه “أنا مأزوم”.
أستراليا تحذر الشركات المحلية بشأن مخاطر أمن الذكاء الاصطناعي — حذرت مديرية الإشارات الأسترالية (ASD) الشركات المحلية من تحميل بيانات العملاء وملفاتهم إلى روبوتات دردشة الذكاء الاصطناعي أو منصات الذكاء الاصطناعي التوليدي دون إخفاء الهوية المناسبة. “قد يستخدم بعض مقدمي خدمات الذكاء الاصطناعي البيانات المقدمة من العملاء لتدريب أو تحسين نماذجهم. يمكن أن يعتمد هذا على إعدادات التكوين أو نوع الاشتراك،” حسب ما ذكرت ASD. “نتيجة لذلك، يمكن إعادة استخدام المعلومات التي تم إدخالها في هذه المنصات أو الكشف عنها في سياقات غير متوقعة لاحقًا.” وحذرت أيضًا من أن أنظمة الذكاء الاصطناعي عرضة للهلوسة ويمكن أن يتم خداعها من قبل الجهات الفاعلة السيبرانية الخبيثة من خلال حقن المطالبات، والتي تشير إلى المدخلات الخبيثة المتنكرة كطلبات مشروعة مصممة لإرباك أو خداع الذكاء الاصطناعي لتقديم إجابات حساسة أو خاطئة أو غير آمنة. علاوة على ذلك، حذرت ASD من مخاطر سلسلة التوريد المحتملة الناتجة عن تكامل الذكاء الاصطناعي، مع التأكيد على الحاجة إلى نشر آمن لروبوتات دردشة الذكاء الاصطناعي.
مواطن أردني يقر بالذنب ببيع الوصول — أقر مواطن أردني بالذنب في الولايات المتحدة بتهمة بيع الوصول إلى شبكات ما لا يقل عن 50 شركة عبر منتدى إجرامي سيبراني. يواجه فراس خليل أحمد البشيتي (المعروف أيضًا باسم r1z، فراس البشيتي، وفراس بشيتي)، 40 عامًا، عقوبة قصوى بالسجن لمدة 10 سنوات بعد توجيه الاتهام له بالاحتيال والأنشطة ذات الصلة المتعلقة ببيانات الاعتماد. تم اعتقال البشيتي في يوليو 2024. سيتم تحديد موعد صدور الحكم عليه في مايو 2026. مكتب التحقيقات الفيدرالي، الذي اتصل بالمدعى عليه في سبتمبر 2026 تحت غطاء، قال إنه تمكن من تتبع حساب منتدى الجريمة السيبرانية “r1z” إلى البشيتي لأنه تم تسجيله في عام 2018 بنفس عنوان Gmail الذي استخدم للتقدم بطلب للحصول على تأشيرة أمريكية في أكتوبر 2016. وفقًا لتقرير من SentinelOne، قام حساب “r1z” بتسويق أداة إسقاط برمجيات خبيثة وخدمة تجاوز تُدعى EDR Killer على منتديات تحت الأرض. تم تحديد الحساب سابقًا على أنه يعلن عن الوصول إلى 50 خادم Confluence ضعيف تم الحصول عليها عن طريق استغلال ثغرة RCE الحرجة غير المصادق عليها في Confluence، والتي تحمل المعرف CVE-2022-26134، وزعم أنه يمتلك قائمة تضم أكثر من 10000 خادم Confluence ضعيف. شملت الأدوات الأخرى إصدارات غير شرعية من Cobalt Strike، واستغلالات خاصة لتصعيد الامتياز المحلي (LPE) في خدمات مختلفة، والوصول إلى 30 جهاز SonicWall VPN و 50 خادم Microsoft Exchange مع ثغرة استغلال تعمل، بالإضافة إلى خدمة تشتري بيانات اعتماد VPN و RDP المخترقة من مجرمين آخرين على منتدى XSS. يُقال إن r1z نشط على XSS منذ عام 2019.
جوجل توافق على دفع 8.25 مليون دولار لتسوية انتهاكات خصوصية الأطفال — وافقت جوجل على دفع 8.25 مليون دولار لتسوية دعوى قضائية جماعية زعمت أن الشركة قامت بشكل غير قانوني بجمع بيانات من أجهزة تابعة لأطفال دون سن 13 عامًا، حسبما أفادت The Record. تم رفع القضية قبل أكثر من عامين من قبل والدي ستة قصّر زُعم أنهم قاموا بتنزيل تطبيقات وألعاب من Play Store موجهة للأطفال، مثل Fun Kid Racing و GummyBear و Friends Speed Racing. وفقًا للدعوى القضائية، جاءت التطبيقات مع مجموعة تطوير البرمجيات AdMob من جوجل التي جمعت بيانات من الأطفال على نطاق واسع، مما ينتهك قانون خصوصية الأطفال عبر الإنترنت (COPPA).
بنك أمريكي مستهدف ببرنامج سرقة ضغطات المفاتيح — حددت Sansec برنامج سرقة ضغطات المفاتيح على متجر بضائع الموظفين لبنك أمريكي كبير. يستخدم المتجر ما مجموعه 200,000 موظف في البنك لطلب سلع تحمل علامة تجارية للشركة. “يعترض البرنامج الخبيث كل ما يتم كتابته في نماذج الموقع: بيانات الاعتماد، أرقام بطاقات الدفع، المعلومات الشخصية،” حسب ما ذكرت الشركة الهولندية. “يتم إخراج البيانات المسروقة عبر منارة صور، وهي تقنية شائعة تتجاوز العديد من الضوابط الأمنية.” تم إزالة البرنامج الخبيث من الموقع منذ ذلك الحين. يُقدر أن النشاط يتقاسم نقاط تداخل مع خرق متجر Green Bay Packers Pro Shop في أكتوبر 2024، مشيرًا إلى تشابهات في نمط البنية التحتية.
“Payroll Pirates” يعيدون توجيه رواتب الموظفين إلى حسابات تحت سيطرتهم — في هجوم هندسة اجتماعية جديد استهدف منظمة غير مسماة، تواصل الجهات التهديدية وراء “Payroll Pirates” عبر الهاتف، انتحال صفة موظفين للتلاعب بمتعددة مكاتب المساعدة وإجراء عمليات إعادة تعيين كلمات المرور وإعادة تسجيل أجهزة المصادقة متعددة العوامل (MFA) بنجاح. لوحظ أيضًا أن الجهة التهديدية تحاول إنشاء الثبات عن طريق تسجيل عنوان بريد إلكتروني خارجي كطريقة مصادقة لحساب خدمة داخل بيئة Azure AD للعميل. “بمجرد المصادقة على نظام الرواتب، تحرك المهاجم بسرعة،” حسب ما ذكرت Palo Alto Networks Unit 42. “إجمالاً، قاموا باختراق حسابات موظفين متعددة، منح كل منها الوصول إلى معلومات رواتب حساسة. ثم شرع المهاجم في تعديل تفاصيل الإيداع المباشر لأفراد متعددين، وإعادة توجيه رواتبهم إلى حسابات بنكية تحت سيطرة المهاجم. نظرًا لأن بيانات الاعتماد كانت صالحة وبدا أن المصادقة متعددة العوامل شرعية، فقد اختلط النشاط مع العمليات الطبيعية. تم اكتشاف الحادث فقط عندما أبلغ الموظفون عن رواتب مفقودة”.
هجوم جديد يستخدم التحميل الجانبي لـ DLL لتوزيع برمجيات PDFSIDER الخبيثة — جهة تهديدية غير معروفة تستفيد من التحميل الجانبي لـ DLL لنشر PDFSIDER، وهو برنامج خلفي بقدرات مشفرة للتواصل مع خادم التحكم والسيطرة (C2)، باستخدام ملف تنفيذي شرعي مرتبط بـ PDF24 Creator (“pdf24.exe”). يعمل البرنامج الخبيث بشكل أساسي في الذاكرة، مما يقلل من آثار القرص. “يجمع PDFSIDER بين سلوكيات التجسس السيبراني التقليدية ووظائف الأوامر عن بعد الحديثة، مما يمكّن المشغلين من جمع معلومات النظام وتنفيذ أوامر shell عن بعد سرًا،” حسب قول Resecurity. “يستخدم البرنامج الخبيث ملف cryptbase.dll مزيف لتجاوز آليات الكشف عن نقطة النهاية. بمجرد التحميل، يوفر البرنامج الخبيث للمهاجمين واجهة أوامر مخفية تفاعلية ويمكنه استخلاص مخرجات الأوامر عبر قناة مشفرة.” يتم تسليم البرنامج الخبيث عبر رسائل بريد إلكتروني تصيدية توجه الضحايا إلى أرشيف ZIP مرفق بالرسالة.
🎥 ندوات عبر الإنترنت حول الأمن السيبراني
كيف تستخدم أكبر شركات MSSP الذكاء الاصطناعي للنمو في عام 2026: تعرف على صيغتهم — بحلول عام 2026، تواجه شركات MSSP ضغطًا للقيام بالمزيد بأقل، ويصبح الذكاء الاصطناعي هو القوة التي تفصل بين من يوسعون نطاق أعمالهم ومن يتعثرون. تستكشف هذه الجلسة كيف تقلل الأتمتة من العمل اليدوي، وتحسن هوامش الربح، وتمكن النمو دون إضافة موظفين، مع رؤى واقعية من مؤسس Cynomi ديفيد بريمور، ورئيس قسم الأمن السيبراني في Secure Cyber Defense تشاد روبنسون حول تحويل الخبرة إلى خدمات قابلة للتكرار وذات قيمة عالية.
توقف عن تخمين استراتيجية SOC الخاصة بك: تعلم ما يجب بناؤه، شراؤه، أو أتمتته — فرق SOC الحديثة غارقة في الأدوات، والضوضاء، والوعود التي لا تترجم إلى نتائج، مما يجعل من الصعب معرفة ما يجب بناؤه، شراؤه، أو أتمتته. في هذه الجلسة، يقطع الرئيس التنفيذي لشركة AirMDR كومار ساوراب، والرئيس التنفيذي لشركة SACR فرانسيس أودوم الضجيج من خلال نظرة عملية وغير ملزمة للبائعين على نماذج تشغيل SOC، والنضج، وأطر صنع القرار الواقعية – مما يترك الفرق بمسار واضح وقابل للتنفيذ لتبسيط مجموعة أدواتهم وجعل SOC الخاص بهم يعمل بشكل أكثر فعالية.
🔧 أدوات الأمن السيبراني
AuraInspector — إنها أداة مفتوحة المصدر لتدقيق أمان Salesforce Experience Cloud. تساعد في العثور على التكوينات الخاطئة التي قد تعرض البيانات أو وظائف المسؤول عن طريق التحقق من السجلات المتاحة، وخيارات التسجيل الذاتي، و “عناوين URL الرئيسية” المخفية. تقوم الأداة بأتمتة الكثير من الاختبار، بما في ذلك اكتشاف الكائنات من خلال طرق GraphQL، وتعمل في سياقات الضيف والمصادق عليه. إنها أداة بحث، وليست منتجًا رسميًا من جوجل، مصممة لجعل اختبار أمان Salesforce Aura أسرع وأكثر موثوقية.
Maltrail — إنها أداة مفتوحة المصدر للكشف عن حركة مرور الشبكة الخبيثة. تقارن نشاط الشبكة بقوائم سوداء معروفة للنطاقات وعناوين IP وعناوين URL وعوامل المستخدم المشبوهة المرتبطة بالبرمجيات الخبيثة أو الهجمات، ويمكنها أيضًا الإبلاغ عن التهديدات الجديدة باستخدام الاستدلال. يستخدم النظام أجهزة استشعار لمراقبة حركة المرور وخادم مركزي لتسجيل وعرض الأحداث من خلال واجهة ويب، مما يساعد في تحديد المضيفات المصابة أو الأنشطة غير الطبيعية في الوقت الفعلي.
إخلاء مسؤولية: هذه الأدوات هي لأغراض التعلم والبحث فقط. لم يتم اختبارها بالكامل من أجل الأمان. إذا تم استخدامها بشكل خاطئ، فقد تسبب ضررًا. تحقق من التعليمات البرمجية أولاً، اختبر فقط في أماكن آمنة، واتبع جميع القواعد والقوانين.
الرسالة واضحة. تهديدات اليوم ليست مجرد اختراقات فردية. إنها تأتي من نقاط ضعف متصلة، حيث يمكن لخدمة مكشوفة واحدة أو أداة مسيئة أن تؤثر على نظام بأكمله. المهاجمون لا يرون المنصات السحابية، أو أدوات الذكاء الاصطناعي، أو برامج المؤسسات ككيانات منفصلة. إنهم يرون مساحة مشتركة. يحتاج المدافعون إلى التفكير بنفس الطريقة، ويعاملون كل جزء من بيئتهم على أنه متصل ويستحق المراقبة طوال الوقت، وليس فقط بعد حدوث شيء خاطئ.
ما حدث هذا الأسبوع ليس غريبًا. إنه تحذير. كل تحديث، وإعداد، وقاعدة وصول لها أهميتها، لأن الهجوم التالي سيبدأ على الأرجح من شيء موجود بالفعل في الداخل. يوضح هذا الملخص كيف تحولت الثغرات الصغيرة إلى فتحات كبيرة – وما الذي يتم القيام به لإغلاقها قبل بدء الجولة التالية.