كشفت تقارير أمنية حديثة عن تصاعد ملحوظ في أساليب الهجوم السيبراني، مع تركيز متزايد على استغلال الثغرات المعروفة والتركيز على الكفاءة التشغيلية للمهاجمين. يأتي هذا التطور في ظل اعتماد متزايد على البنية التحتية المشتركة والأدوات القابلة لإعادة الاستخدام، مما يهدد بتوسيع نطاق الهجمات مع تقليل فرص اكتشافها.
وتشير التحديثات الأمنية إلى أن المهاجمين يفضلون الآن الاستفادة من التكوينات القديمة، والتكاملات الموثوقة، والثغرات التي يتم تجاهلها، وكذلك الافتراضات حول سلوك الأدوات الأمنية. هذا التحول يعكس جهودًا مستمرة لتقليل الوقت بين الوصول إلى الأنظمة وتنفيذ الهجوم، وتقليل الاحتكاكات في استخدام الأدوات، والاعتماد الأكبر على الأتمتة والأطر الجاهزة.
تطور التهديدات السيبرانية وأساليب الاختراق
يشهد المشهد السيبراني الحالي تحولاً استراتيجياً من الهجمات العشوائية إلى عمليات منظمة وفعالة. ويرصد الخبراء تزايداً في حملات التجسس التي تستهدف قطاعات حيوية، بما في ذلك قطاع الشركات الناشئة في الهند، حيث تم استخدام ملفات ISO وروابط LNK خبيثة لتوصيل برامج تجسس قادرة على مراقبة الأنظمة وسرقة البيانات.
هذه الحملات، بحسب وكالة “أكرونيس”، غالباً ما تكون مرتبطة بهجمات تجسس تاريخية تستهدف جمع المعلومات الاستخباراتية، مما يشير إلى اتجاه لجمع معلومات حول الأفراد المرتبطين بالحكومات أو المؤسسات الأمنية.
بنية تحتية مشتركة وشبكات إجرامية
من جهة أخرى، تم ربط مجموعة تعرف باسم “ShadowSyndicate” بعشرات الخوادم المستخدمة من قبل العديد من الجهات الفاعلة في مجال الجريمة الإلكترونية، بما في ذلك مجموعات مثل Cl0p و BlackCat. تستخدم هذه البنية التحتية المشتركة لتنفيذ مجموعة واسعة من الأنشطة الضارة، مع إعادة استخدام مستمر للبنية التحتية القديمة.
ووفقاً لتقرير “Group-IB”، فإن استخدام نفس مفاتيح SSH عبر خوادم مختلفة يسمح للمهاجمين بنقل البنية التحتية الخاصة بهم بسلاسة، مما يجعل اكتشافهم وتتبعهم أكثر صعوبة.
استغلال الثغرات المعروفة وحملات الفدية
أعلنت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) عن تحديث قائمة الثغرات الأمنية المستغلة بنشاط، مع التركيز بشكل خاص على تلك المستخدمة من قبل مجموعات برامج الفدية. وشملت القائمة 59 إدخالاً جديداً، بما في ذلك ثغرات خاصة بأنظمة Microsoft و Ivanti و Fortinet.
يؤكد جلين ثورب من GreyNoise على أهمية إعادة تقييم أولويات تصحيح الثغرات فور تحولها من “غير معروفة” إلى “معروفة”، خاصة إذا كانت مرتبطة ببرامج الفدية.
في سياق متصل، ألقت السلطات البولندية القبض على موظف بوزارة الدفاع للاشتباه في تجسسه لصالح جهة أجنبية، مما يسلط الضوء على استمرار التهديدات الأمنية التقليدية في العالم الرقمي. كما تم اعتقال شاب في بولندا بتهمة شن هجمات حجب الخدمة (DDoS) على مواقع ذات أهمية استراتيجية.
ثغرات جديدة في بيئات التطوير السحابية
كشف باحثون من Orca Security عن وجود متجهات هجوم متعددة في GitHub Codespaces تسمح بتنفيذ تعليمات برمجية عن بعد بمجرد فتح مستودع أو طلب سحب خبيث. يمكن للمهاجمين استغلال هذا الخلل لسرقة رموز GitHub السرية والوصول إلى نماذج Copilot المميزة.
وتعتبر هذه الثغرات خطيرة نظراً للاعتماد المتزايد على منصات التطوير السحابية لتسهيل دورات حياة تطوير البرمجيات.
تهديدات متجددة تستهدف القطاع المالي
في منطقة الشمال، استهدف فريق Lazarus المرتبط بكوريا الشمالية القطاع المالي بحملة طويلة الأمد لتنزيل برامج سرقة بيانات وإسقاط برمجيات خبيثة أخرى. تهدف هذه البرمجيات إلى البحث عن بيانات متعلقة بالعملات المشفرة وسهولة الوصول إلى النظام المخترق.
ويواصل المهاجمون تطوير تكتيكاتهم، حيث يتم استخدام برامج تطوعية في شن هجمات DDoS، كما هو الحال مع فريق NoName057(16) الذي يستهدف مواقع الحكومية والإعلامية المرتبطة بمصالح أوكرانيا والغرب. ويستغل هذا الفريق قنوات Telegram لتجنيد المتطوعين وتقديم المكافآت، مما يخلق جيشاً هجومياً موزعاً يتطلب مهارات تقنية قليلة للانضمام إليه.
كما تظهر تقارير عن فرق إجرامية مثل “Rublevka Team” المتخصصة في سرقة العملات المشفرة عبر استغلال هياكل “traffer teams” واستخدام البرامج النصية الخبيثة لخداع المستخدمين وربط محافظهم الرقمية بمعاملات احتيالية. تقدم هذه الفرق دعماً لأكثر من 90 نوعاً من المحافظ، مما يقلل من حاجز الدخول التقني للمهاجمين.
تحذيرات أمنية من Microsoft وبنية تحتية لبرامج التجسس
تحث Microsoft العملاء على تأمين بنيتهم التحتية باستخدام Transport Layer Security (TLS) الإصدار 1.2 لتخزين Azure Blob Storage، وإزالة الاعتماد على الإصدارات 1.0 و 1.1 بحلول فبراير 2026. هذا التغيير سيؤثر على جميع حسابات تخزين Blob الموجودة والجديدة.
وتكشف تحليلات أخرى عن استمرار نشاط برامج التجسس مثل “SystemBC”، والتي ترتبط بآلاف عناوين IP المخترقة عالمياً، بما في ذلك أنظمة مرتبطة ببنية تحتية حكومية حساسة. وتُستخدم هذه البرمجيات الخبيثة بشكل شائع لتوكيل حركة المرور عبر الأنظمة المخترقة، أو للحفاظ على وصول مستمر إلى الشبكات الداخلية، أو لنشر برامج ضارة إضافية.
بالإضافة إلى ذلك، يتم استغلال برامج الشاشات (screensaver) كمتجه وصول أولي في حملات التصيد الاحتيالي الجديدة، حيث يتم خداع المستخدمين لتشغيل ملفات .SCR التي تقوم بتثبيت أدوات إدارة عن بعد (RMM) لمنح المهاجمين تحكماً كاملاً عن بعد.
استغلال برامج تشغيل نظام التشغيل والثغرات السحابية
يستغل المهاجمون برامج تشغيل نواة نظام التشغيل الشرعية والموقعة، ولكن تم إلغاؤها، كجزء من هجمات “أحضر برنامج التشغيل الضعيف الخاص بك” (BYOVD) لرفع مستوى الأذونات ومحاولة تعطيل أدوات الأمان. وأشار باحثون إلى أن الشهادات الخاصة ببرامج التشغيل هذه قد انتهت صلاحيتها، ولكن نظام Windows لا يزال يقوم بتحميلها.
وفي تطور مثير للقلق، اكتشف باحثون خطأ برمجي في برنامج الفدية Nitrogen يؤدي إلى تشفير جميع الملفات بمفتاح عام خاطئ، مما يجعلها تالفة بشكل لا رجعة فيه. وهذا يعني أن المهاجم نفسه غير قادر على فك تشفيرها، وأن الضحايا الذين لا يملكون نسخاً احتياطية لن يتمكنوا من استعادة بياناتهم.
أظهرت عملية سحابية هجومية تستهدف بيئة Amazon Web Services (AWS) سرعة فائقة من الوصول الأولي إلى الامتيازات الإدارية خلال ثماني دقائق فقط. وتشير هذه الأنشطة إلى استخدام نماذج اللغة الكبيرة (LLMs) لأتمتة الاستطلاع، وتوليد التعليمات البرمجية الضارة، واتخاذ قرارات في الوقت الفعلي. تمكن المهاجمون من الوصول الأولي عبر بيانات اعتماد تم اكتشافها في مخزن S3 العام، ثم تصعيد الامتيازات بسرعة.
كما تم رصد سلسلة تصيد احتيالي تستخدم رسائل بريد إلكتروني حول المشتريات والمناقصات لتوزيع مرفقات PDF، والتي تبدأ بسلسلة هجوم متعددة المراحل لسرقة بيانات اعتماد Dropbox وإرسالها إلى بوت Telegram. تعتمد هذه السلسلة على بنية تحتية سحابية مشروعة لخداع المستخدمين.
ثغرة حرجة في Sandboxie وإدارة المخاطر
تم الكشف عن ثغرة أمنية حرجة (CVE-2025-64721) في Sandboxie، والتي تسمح للعمليات الموجودة في “صندوق الرمل” بتنفيذ تعليمات برمجية عشوائية بصلاحيات SYSTEM، مما يؤدي إلى اختراق كامل للنظام المضيف. وقد تم معالجة هذه المشكلة في الإصدار 1.16.7.
وتواصل منصات إدارة الهجوم تتبع المضيفات المرتبطة بـ AsyncRAT المكشوفة على الإنترنت العام، مما يسلط الضوء على الحاجة إلى مراقبة البنية التحتية بشكل مستمر. وتُستخدم هذه البرمجيات لتمكين الوصول غير المصرح به طويل الأمد والتحكم بعد الاختراق.
كما تكشف التحليلات عن وجود تداخل في تكتيكات مجموعات التجسس الصينية مثل Violet Typhoon و Volt Typhoon، بما في ذلك استغلال ثغرات يوم الصفر في الأجهزة الطرفية، واستخدام تقنيات “living-off-the-land” (LotL) للتنقل عبر الشبكات، وشبكات ORB لإخفاء عمليات التجسس.
وأخيراً، تشير التقارير إلى زيادة في توزيع برمجيات ClickFix الخبيثة عبر مواقع WordPress المخترقة، باستخدام إطار عمل IClickFix. يتم حقن إطار عمل JavaScript خبيث يعرض إغراء ClickFix ويقدم برامج NetSupport RAT. ويعتقد أن المهاجمين يستغلون أداة YOURLS لتقصير الروابط كأداة توزيع.