لم تتوقف التهديدات السيبرانية خلال الأسبوع الماضي، بل إن المهاجمين أصبحوا أكثر ذكاءً. نشهد برمجيات خبيثة مختبئة داخل الآلات الافتراضية، وتسربات القناة الجانبية تكشف محادثات الذكاء الاصطناعي، وبرامج تجسس تستهدف أجهزة أندرويد بصمت في الواقع.
هذا مجرد غيض من فيض. من القنابل المنطقية الكامنة إلى تحالف جديد بين مجموعات التهديد الرئيسية، يسلط ملخص هذا الأسبوع الضوء على تحول واضح: الجريمة السيبرانية تتطور بسرعة، والخطوط الفاصلة بين التخفي التقني والتنسيق الاستراتيجي بدأت تمتزج.
⚡ التهديد الأبرز هذا الأسبوع
مجموعة Curly COMrades تستغل Hyper-V لإخفاء البرمجيات الخبيثة في آلات لينكس الافتراضية
لوحظ أن مجموعة التهديد Curly COMrades، الداعمة لمصالح روسيا الجيوسياسية، تستغل تقنية Hyper-V من مايكروسوفت على أجهزة ويندوز المخترقة لإنشاء آلة افتراضية مبطنة بلينكس Alpine وإطلاق حمولات خبيثة. تسمح هذه الطريقة للبرمجيات الخبيثة بالعمل خارج نطاق رؤية نظام التشغيل المضيف، متجاوزة بذلك أدوات أمن نقاط النهاية بفعالية.
شهدت الحملة، التي رصدت في يوليو 2025، نشر برمجيات CurlyShell و CurlyCat. لم يتم الكشف عن الضحايا علنًا. يُقال إن الجهات الفاعلة في التهديد قامت بتهيئة الجهاز الافتراضي لاستخدام محول شبكة “Default Switch” في Hyper-V، مما يضمن مرور حركة مرور الجهاز الافتراضي عبر مكدس شبكة المضيف باستخدام خدمة “NAT” الداخلية لـ Hyper-V. هذا يجعل جميع الاتصالات الخارجية الخبيثة تبدو وكأنها صادرة من عنوان IP الخاص بالجهاز المضيف الشرعي.
كشفت المزيد من التحقيقات أن المهاجمين استخدموا أولاً أداة سطر الأوامر DISM لتمكين Hyper-V، مع تعطيل واجهة الإدارة الرسومية الخاصة به. ثم قامت المجموعة بتنزيل أرشيف RAR متنكر في شكل ملف فيديو MP4 واستخراج محتوياته. تضمن الأرشيف ملفي VHDX و VMCX يتوافقان مع آلة افتراضية Alpine Linux جاهزة. أخيراً، استخدم الجهات الفاعلة في التهديد أوامر PowerShell لاستيراد الجهاز الافتراضي وتشغيله تحت اسم WSL، كخطة لخداع الآخرين ليعتقدوا أنها تستخدم نظام Windows Subsystem for Linux.
“يعكس التعقيد الذي أظهرته Curly COMrades اتجاهًا رئيسيًا: فبينما أصبحت حلول EDR/XDR أدوات شائعة، أصبح الجهات الفاعلة في التهديد أفضل في تجاوزها من خلال استخدام الأدوات أو التقنيات مثل عزل الأجهزة الافتراضية،” حسبما ذكرت Bitdefender. ترسم النتائج صورة لجهات فاعلة تستخدم أساليب متطورة للحفاظ على وصول طويل الأمد في الشبكات المستهدفة، مع ترك بصمة استقصائية ضئيلة.
🔔 الأخبار العاجلة
-
“Whisper Leak” يكشف عن مواضيع محادثات الذكاء الاصطناعي في حركة المرور المشفرة
كشفت مايكروسوفت تفاصيل هجوم قناة جانبية جديد يستهدف نماذج اللغة عن بعد، والذي قد يمكّن خصمًا سلبيًا قادرًا على مراقبة حركة مرور الشبكة من استخلاص تفاصيل حول مواضيع محادثات النموذج، على الرغم من تشفيرها.
تفيد الشركة: “يمكن للمهاجمين السيبرانيين الذين يمكنهم مراقبة حركة المرور المشفرة (على سبيل المثال، جهة فاعلة على مستوى مزود خدمة الإنترنت، شخص ما على الشبكة المحلية، أو شخص متصل بنفس جهاز التوجيه Wi-Fi) استخدام هذا الهجوم السيبراني لاستنتاج ما إذا كان استعلام المستخدم يتعلق بموضوع معين”. تم تسمية الهجوم بـ Whisper Leak. في اختبار إثبات المفهوم (PoC)، وجد الباحثون أنه من الممكن استخلاص مواضيع المحادثة من نماذج Alibaba و DeepSeek و Mistral و Microsoft و OpenAI و xAI بمعدل نجاح يزيد عن 98%. وكاستجابة، قامت OpenAI و Mistral و Microsoft و xAI بتطبيق تدابير وقائية لمواجهة هذا الخطر.
-
ثغرة في هواتف سامسونج الذكية استُغلت ثغرة يوم الصفر لنشر برنامج التجسس LANDFALL على أجهزة أندرويد
تم استغلال ثغرة أمنية تم تصحيحها الآن في أجهزة Samsung Galaxy Android كثغرة يوم صفر لنشر برنامج تجسس “تجاري” على أجهزة أندرويد يسمى LANDFALL في هجمات دقيقة في العراق وإيران وتركيا والمغرب. تضمن النشاط استغلال CVE-2025-21042 (CVSS score: 8.8)، وهي ثغرة كتابة خارج الحدود في مكون “libimagecodec.quram.so” يمكن أن تسمح للمهاجمين عن بعد بتنفيذ تعليمات برمجية عشوائية، وفقًا لتقرير Unit 42 من Palo Alto Networks. تم معالجة المشكلة بواسطة سامسونج في أبريل 2025.
بمجرد تثبيته وتشغيله، يعمل LANDFALL كأداة تجسس شاملة، قادرة على جمع البيانات الحساسة، بما في ذلك تسجيلات الميكروفون، والموقع، والصور، وجهات الاتصال، ورسائل SMS، والملفات، وسجلات المكالمات. بينما ذكرت Unit 42 أن سلسلة الاستغلال قد شملت استخدام نهج “النقر الصفري” لتشغيل استغلال CVE-2025-21042 دون الحاجة إلى أي تفاعل من المستخدم، فلا توجد حاليًا أي مؤشرات على حدوث ذلك أو وجود مشكلة أمنية غير معروفة في WhatsApp لدعم هذه الفرضية. برنامج التجسس Android مصمم خصيصًا لاستهداف سلسلة أجهزة Samsung Galaxy S22 و S23 و S24، بالإضافة إلى Z Fold 4 و Z Flip 4. لا توجد أدلة قاطعة حتى الآن على هوية المتورطين، ولا يتضح عدد الأشخاص المستهدفين أو المستغلين.
-
قنابل منطقية مخفية في حزم NuGet الخبيثة تنفجر بعد سنوات من النشر
تم تحديد مجموعة من تسع حزم NuGet خبيثة على أنها قادرة على إسقاط حمولات متأخرة زمنيًا لتعطيل عمليات قاعدة البيانات وإتلاف أنظمة التحكم الصناعي.
تم نشر الحزم في عامي 2023 و 2024 بواسطة مستخدم باسم “shanhai666” وهي مصممة لتشغيل تعليمات برمجية خبيثة بعد تواريخ تشغيل محددة في أغسطس 2027 ونوفمبر 2028. مع استثناء مكتبة واحدة، والتي تدعي توسيع وظائف حزمة NuGet شرعية أخرى تسمى Sharp7.
Umbrella، المسماة Sharp7Extend، من المقرر أن تقوم بتنشيط منطقها الخبيث فور التثبيت وتستمر حتى 6 يونيو 2028، عندما تتوقف آلية الإنهاء بنفسها.
-
ثغرات في Microsoft Teams تعرض المستخدمين لمخاطر انتحال الشخصية
مجموعة من أربع ثغرات أمنية تم إصلاحها الآن في Microsoft Teams كانت يمكن أن تعرض المستخدمين لهجمات خطيرة لانتحال الشخصية والهندسة الاجتماعية.
“سمحت هذه الثغرات للمهاجمين بالتلاعب بالمحادثات، وانتحال شخصية الزملاء، واستغلال الإشعارات،” وفقًا لـ Check Point. تجعل هذه العيوب من الممكن تغيير محتوى الرسالة دون ترك علامة “تم التعديل” وهوية المرسل، وتعديل الإشعارات الواردة لتغيير المرسل الظاهري للرسالة، وبالتالي السماح للمهاجم بخداع الضحايا لفتح رسائل خبيثة عن طريق جعلها تبدو وكأنها صادرة من مصدر موثوق، بما في ذلك كبار المسؤولين التنفيذيين.
كما منحت العيوب القدرة على تغيير أسماء العرض في محادثات الدردشة الخاصة عن طريق تعديل موضوع المحادثة، بالإضافة إلى تعديل أسماء العرض بشكل تعسفي المستخدمة في إشعارات المكالمات وأثناء المكالمة، مما يسمح للمهاجم بتزوير هويات المتصلين. تم الآن معالجة هذه المشكلات بواسطة مايكروسوفت.
-
ثلاث مجموعات بارزة تتوحد
Scattered LAPSUS$ Hunters (SLH)، وهو اندماج بين Scattered Spider و LAPSUS$ و ShinyHunters، مر على ما لا يقل عن 16 قناة Telegram منذ 8 أغسطس 2025. المجموعة، التي أعلنت عن عرض “الابتزاز كخدمة” وتختبر أيضًا برمجيات الفدية “Sh1nySp1d3r”، تم تحديدها الآن ليس فقط كتعاون مرن ولكن كتحالف منسق يمزج التكتيكات التشغيلية للمجموعات الإجرامية الثلاثة البارزة تحت راية مشتركة للابتزاز والتجنيد والتحكم في الجمهور.
تجمع المجموعة الجديدة بشكل متعمد رأس المال السمعي المرتبط بالعلامات التجارية لإنشاء هوية تهديد قوية وموحدة. يُنظر إلى هذا الجهد على أنه أول تحالف متماسك داخل The Com، وهي شبكة تقليديًا فضفاضة، مستفيدة من الاندماج كقوة مضاعفة للهجمات ذات الدوافع المالية.
️🔥 الثغرات الأكثر رواجاً (CVEs)
المهاجمون يتحركون بسرعة. غالبًا ما يستغلون الثغرات الأمنية الجديدة في غضون ساعات، ويحولون تصحيحًا واحدًا فاشلاً إلى خرق كبير. يمكن أن تكون ثغرة CVE واحدة غير مصححة كافية لاختراق كامل. أدناه أهم الثغرات الحرجة التي حظيت بالاهتمام في هذا الأسبوع عبر الصناعة. قم بمراجعتها، وتحديد أولويات إصلاحها، وسد الفجوة قبل أن يستغلها المهاجمون.
تتضمن قائمة هذا الأسبوع – CVE-2025-20354، CVE-2025-20358 (Cisco Unified CCX)، CVE-2025-20343 (Cisco Identity Services Engine)، CVE-2025-62626 (AMD)، CVE-2025-5397 (Noo JobMonster theme)، CVE-2025-48593، CVE-2025-48581 (Android)، CVE-2025-11749 (AI Engine plugin)، CVE-2025-12501 (GameMaker IDE)، CVE-2025-23358 (NVIDIA App for Windows)، CVE-2025-64458، CVE-2025-64459 (Django)، CVE-2025-12058 (Keras AI)، CVE-2025-12779 (Amazon WorkSpaces client for Linux)، CVE-2025-12735 (JavaScript expr-eval)، CVE-2025-62847، CVE-2025-62848، CVE-2025-62849 (QNAP QTS and QuTS hero)، CVE-2024-12886، CVE-2025-51471، CVE-2025-48889 (Ollama)، CVE-2025-34299 (Monsta FTP)، CVE-2025-31133، CVE-2025-52565، CVE-2025-52881 (RunC)، CVE-2025-55315 (ASP.NET Core Kestrel server)، CVE-2025-64439 (langgraph-checkpoint)، CVE-2025-37735 (Elastic Defend on Windows)، وسبع ثغرات في django-allauth.
📰 حول عالم الأمن السيبراني
-
اختراق حسابات RDP لإسقاط برمجيات الفدية Cephalus
برمجية فدية جديدة تعتمد على لغة Go تسمى Cephalus اخترقت مؤسسات عن طريق سرقة بيانات الاعتماد عبر حسابات بروتوكول سطح المكتب البعيد (RDP) التي لا تحتوي على مصادقة متعددة العوامل (MFA) منذ منتصف يونيو 2025. لا يُعرف حاليًا ما إذا كانت تعمل تحت نموذج “برمجيات الفدية كخدمة” (RaaS).
“عند التنفيذ، تقوم بتعطيل الحماية في الوقت الفعلي لـ Windows Defender، وحذف نسخ الاحتياطي VSS، وإيقاف الخدمات الرئيسية مثل Veeam و MSSQL لزيادة معدل نجاح التشفير وتقليل فرص الاسترداد،” حسبما ذكرت AhnLab. “تستخدم Cephalus مفتاح AES-CTR واحد للتشفير، ويتم إدارة هذا المفتاح لتقليل التعرض على القرص وفي الذاكرة. أخيرًا، يتم تشفير مفتاح AES باستخدام مفتاح RSA عام مضمن، مما يضمن أن الجهات الفاعلة في التهديد فقط التي تمتلك مفتاح RSA الخاص المقابل يمكنها فك تشفير المفتاح. إنه يعطل التحليل الديناميكي عن طريق إنشاء مفتاح AES وهمي.”
-
واتساب تطلق حماية معززة للحسابات عالية المخاطر
سيحظى المستخدمون الأكثر عرضة لخطر التعرض لهجمات القرصنة قريبًا بخيار تمكين مجموعة إضافية من الميزات الأمنية على WhatsApp، وفقًا لإصدار تجريبي من التطبيق تم تحليله بواسطة WABetaInfo.
على غرار وضع “Lockdown Mode” من Apple، تمنع الميزة الوسائط والمرفقات من المرسلين غير المعروفين، وتضيف قيودًا على المكالمات والرسائل، وتتيح إعدادات أخرى، بما في ذلك كتم صوت المتصلين غير المعروفين، وتقييد الدعوات التلقائية للمجموعات إلى جهات الاتصال المعروفة، وتعطيل معاينات الروابط، وإخطار المستخدمين بتغييرات رمز التشفير، وتنشيط التحقق بخطوتين، والحد من رؤية المعلومات الشخصية للمستخدمين غير المعروفين.
-
Aurologic توفر الاستضافة للكيانات المعاقب عليها
برزت شركة الاستضافة الألمانية aurologic GmbH كـ “مركز رئيسي ضمن النظام البيئي للبنية التحتية الخبيثة العالمية” توفر خدمات العبور الصاعد وخدمات مراكز البيانات لعدد كبير من شبكات الاستضافة عالية المخاطر، بما في ذلك شبكة المعلومات المضللة Doppelgänger وشبكة Aeza Group المعاقب عليها مؤخرًا، بالإضافة إلى Metaspinner net GmbH (AsyncRAT، njRAT، Quasar RAT)، Femo IT Solutions Limited (CastleLoader وبرامج خبيثة أخرى)، Global-Data System IT Corporation (Cobalt Strike، Sliver، Quasar RAT، Remcos RAT، وبرامج خبيثة أخرى)، و Railnet.
تأسست الشركة في أكتوبر 2023. “على الرغم من تركيزها الأساسي على عمليات الشبكات ومراكز البيانات المشروعة، برزت Aurologic كمركز لبعض الشبكات الأكثر إساءة وعالية المخاطر التي تعمل ضمن النظام البيئي العالمي للاستضافة،” حسبما ذكرت Recorded Future.
-
أستراليا تفرض عقوبات على جهات فاعلة تهديدية كورية شمالية
فرضت الحكومة الأسترالية عقوبات مالية وحظر سفر على أربعة كيانات وفرد واحد – Park Jin Hyok، Kimsuky، Lazarus Group، Andariel، و Chosun Expo – لمشاركتهم في الجريمة السيبرانية لدعم وتمويل برامج أستراليا غير المشروعة لأسلحة الدمار الشامل والصواريخ الباليستية.
“حجم تورط كوريا الشمالية في الأنشطة الخبيثة المدعومة بأنشطة سيبرانية، بما في ذلك سرقة العملات المشفرة، وأعمال تكنولوجيا المعلومات الاحتيالية والتجسس، أمر مقلق للغاية،” حسبما ذكرت وزارة الخارجية.
-
المملكة المتحدة تتخذ إجراءات بشأن أرقام الهواتف المحمولة المزيفة
ستقوم شركات الاتصالات المتنقلة في المملكة المتحدة بترقية شبكاتها “لإلغاء القدرة على انتحال مراكز الاتصال الأجنبية لأرقام المملكة المتحدة”. ستضع الشركات علامة على المكالمات الواردة من الخارج لمنع المحتالين من انتحال أرقام الهواتف في المملكة المتحدة.
ستقوم الشركات أيضًا بطرح “تقنية تتبع المكالمات المتقدمة” لتزويد سلطات إنفاذ القانون بالأدوات اللازمة لتعقب المحتالين الذين يعملون في جميع أنحاء البلاد وتفكيك عملياتهم. “سيجعل من الصعب أكثر من أي وقت مضى على المجرمين خداع الناس من خلال مكالمات الاحتيال، باستخدام تكنولوجيا متطورة لكشف المحتالين وتقديمهم للعدالة،” حسبما ذكرت حكومة المملكة المتحدة.
-
ثغرة أمنية في Advanced Installer
تم الكشف عن ثغرة أمنية في Advanced Installer (الإصدار 22.7)، وهو إطار عمل لبناء مثبتات Windows. يمكن للخلل تمكين الجهات الفاعلة في التهديد من اختطاف آليات تحديث التطبيق وتشغيل تعليمات برمجية خارجية خبيثة إذا لم تكن حزم التحديث موقعة رقميًا. افتراضيًا، وفي الممارسة الشائعة، لم يتم توقيعها رقميًا، وفقًا لـ Cyderes.
وفقًا لموقعها على الإنترنت، يستخدم Advanced Installer من قبل المطورين ومسؤولي النظام في أكثر من 60 دولة “لتعبئة أو إعادة تعبئة كل شيء من منتجات shareware الصغيرة، والتطبيقات الداخلية، وبرامج تشغيل الأجهزة، إلى الأنظمة الضخمة الحيوية”. يشكل الخطر الأمني خطرًا كبيرًا على سلسلة التوريد بسبب شعبية Advanced Installer، مما يفتح الباب أمام “إحضار تحديثاتك الخاصة” (BYOU)، مما يمكّن المهاجمين من اختطاف أدوات التحديث الموثوقة لتنفيذ تعليمات برمجية عشوائية، مع تجاوز الضوابط الأمنية.
“هذه الهجمات خطيرة بشكل خاص لأنها تستغل الثقة والنطاق: تحديث واحد ملوث من أداة مستخدمة على نطاق واسع (على سبيل المثال، أداة تثبيت أو بناء مثل Advanced Installer) يمكن أن يوزع سرًا برمجيات خبيثة موقّعة وموثوقة لعدد لا يحصى من الشركات العالمية، مما يتسبب في سرقة واسعة للبيانات، وانقطاعات تشغيلية، وعقوبات تنظيمية، وأضرار جسيمة بالسمعة عبر العديد من القطاعات،” حسبما ذكر الباحث الأمني Reegun Jayapaul.
-
اكتشاف كسر الحماية (Jailbreak Detection) في تطبيق المصادقة
ذكرت مايكروسوفت أنها ستقدم اكتشاف كسر الحماية/الجذر (Jailbreak/Root detection) لبيانات اعتماد Microsoft Entra في تطبيق Authenticator بدءًا من فبراير 2026.
“يعزز هذا التحديث الأمان عن طريق منع بيانات اعتماد Microsoft Entra من العمل على الأجهزة التي تم كسر حمايتها أو جذورها. سيتم مسح جميع بيانات الاعتماد الحالية على هذه الأجهزة لحماية مؤسستك،” حسبما ذكرت. ينطبق هذا التغيير على أجهزة Android و iOS.
-
المحتالون يستغلون الثغرات في برامج RMM
تم اكتشاف جهات فاعلة تهديدية وهي تستغل الثغرات الأمنية المعروفة في منصة SimpleHelp Remote Monitoring and Management (RMM) (CVE-2024-57726، CVE-2024-57727، و CVE-2024-57728) للحصول على وصول ثانوي إلى بيئات العملاء ونشر برمجيات الفدية Medusa و DragonForce.
“من خلال اختراق خوادم RMM الخاصة بطرف ثالث تعمل كـ SYSTEM، حقق المهاجمون سيطرة كاملة على شبكات الضحايا، ونشروا أدوات الاكتشاف، وعطلوا الدفاعات، واستخرجوا البيانات عبر RClone و Restic، وفي النهاية قاموا بتشفير الأنظمة،” حسبما ذكرت Zensec.
-
كمبوديا تداهم مجمعات الاحتيال في مدينة بافيت
داهمت الحكومة الكمبودية مجمعين للاحتيال السيبراني في مدينة بافيت في 4 نوفمبر 2025، واحتجزت أكثر من 650 مشتبهًا بهم، معظمهم من الأجانب.
تخصص أحد المجمعات في انتحال شخصية السلطات الحكومية لتهديد الضحايا، بينما كان الموقع الثاني يدير مخططات استثمارات زائفة عالية الربح، ومنصات مصرفية مزورة، وعمليات احتيال رومانسية، وتسجيلات ماراثون وهمية، واستخدام مقاطع فيديو وصور تزييف عميق الذكاء الاصطناعي لتزوير الهويات.
-
المؤسس المشارك لمحفظة Samourai يُحكم عليه بالسجن 5 سنوات
حُكم على Keonne Rodriguez، المؤسس المشارك والرئيس التنفيذي لخدمة خلط العملات المشفرة Samourai Wallet، بالسجن خمس سنوات. قامت السلطات بإغلاق موقع Samourai Wallet الإلكتروني في أبريل 2024. تم استخدام الخدمة لغسل أكثر من 237 مليون دولار من العملات المشفرة المرتبطة بالاختراقات والاحتيال عبر الإنترنت واتجار المخدرات. من المتوقع صدور حكم ضد كبير مسؤولي التكنولوجيا في Samourai Wallet، William Lonergan Hill، لاحقًا هذا الشهر. اعترف كلا الفردين بالذنب في تهم غسيل الأموال في أغسطس.
-
روسي يقر بالذنب في هجمات Yanluowang
أقر مواطن روسي يبلغ من العمر 25 عامًا، Aleksei Olegovich Volkov، بالذنب في اختراق شركات أمريكية وبيع الوصول إلى مجموعات برمجيات الفدية. عمل فولكوف عبر الإنترنت تحت اسم القرصان “chubaka.kor”، وعمل كوسيط وصول أولي (IAB) لبرمجيات الفدية Yanluowang عن طريق استغلال الثغرات الأمنية بين يوليو 2021 ونوفمبر 2022. تعرض ما يصل إلى سبع شركات أمريكية للهجوم خلال تلك الفترة، دفعت منها شركة استشارية وبنك إجماليهما 1.5 مليون دولار كفدية. تم القبض على فولكوف في 18 يناير 2024 في روما وتم تسليمه لاحقًا إلى الولايات المتحدة لمواجهة التهم.
-
بوتات الذكاء الاصطناعي الخبيثة تنتحل شخصية الوكلاء الشرعيين
تم اكتشاف جهات فاعلة تهديدية وهي تطور وتنشر بوتات تنتحل شخصية وكلاء الذكاء الاصطناعي الشرعيين من مزودين مثل Google و OpenAI و Grok و Anthropic.
“يمكن للجهات الفاعلة الخبيثة استغلال سياسات البوتات المحدثة عن طريق انتحال هويات وكلاء الذكاء الاصطناعي لتجاوز أنظمة الكشف، مما قد ينفذ هجمات اختطاف حسابات واسعة النطاق (ATO) وهجمات احتيال مالي،” حسبما ذكرت Radware. “يحتاج المهاجمون فقط إلى انتحال معرّف المستخدم الخاص بـ ChatGPT واستخدام وكلاء سكنيين أو تقنيات انتحال IP ليتم تصنيفهم كـ “بوت AI جيد” مع أذونات POST.”
-
مثبتات زائفة تحاكي أدوات الإنتاجية في حملات مستمرة
تستفيد حملات سرقة المعلومات من مثبتات خبيثة تنتحل أدوات إنتاجية شرعية مع إمكانية وجود أبواب خلفية، والتي من المحتمل أن تم إنشاؤها باستخدام EvilAI لتوزيع برمجيات خبيثة تعرف باسم TamperedChef/BaoLoader.
“الباب الخلفي قادر أيضًا على استخراج أسرار DPAPI ويوفر وظائف كاملة للتحكم والسيطرة، بما في ذلك تنفيذ التعليمات البرمجية العشوائية، وتحميل وتنزيل الملفات، واستخراج البيانات،” حسبما ذكرت CyberProof. “في معظم الحالات المرصودة، تواصل البرامج الضارة نشر الثنائيات من المرحلة الثانية وتقوم بإنشاء آليات استمرارية إضافية، مثل مفاتيح تشغيل rejestry ASEP وملفات بدء التشغيل .LNK.”
🎥 ندوات عبر الإنترنت حول الأمن السيبراني
-
تعرف على كيفية تأمين كبار الخبراء لأعباء العمل متعددة السحب دون إبطاء الابتكار
انضم إلى هذه الجلسة بقيادة الخبراء لمعرفة كيفية حماية أعباء العمل السحابية الخاصة بك دون إبطاء الابتكار. ستكتشف طرقًا بسيطة ومثبتة للتحكم في الهويات، وتلبية قواعد الامتثال العالمية، وتقليل المخاطر عبر البيئات السحابية المتعددة.
سواء كنت تعمل في مجال التكنولوجيا أو التمويل أو العمليات، ستغادر بخطوات واضحة وعملية لتعزيز الأمان والحفاظ على مرونة عملك، والامتثال، واستعداده لما هو قادم.
-
الحواجز، وليس التخمين: كيف تؤمن فرق تكنولوجيا المعلومات الناضجة خطوط أنابيب التصحيح الخاصة بها
انضم إلى هذه الجلسة لمعرفة كيفية التصحيح بشكل أسرع دون المساس بالأمان. سترى أمثلة حقيقية لكيفية تعرض مستودعات المجتمع مثل Chocolatey و Winget لشبكتك إذا لم تتم إدارتها بأمان – وستحصل على حواجز واضحة وعملية لتجنب ذلك.
سيُظهر لك Gene Moody، كبير مسؤولي التكنولوجيا الميداني في Action1، بالضبط متى تثق في مستودعات المجتمع، ومتى تذهب مباشرة إلى المورد، وكيف توازن بين السرعة والسلامة حتى يظل التصحيح سريعًا وموثوقًا وآمنًا.
-
اكتشف كيف تخفض الشركات الرائدة وقت التعرض إلى النصف باستخدام DASR
انضم إلى هذه الجلسة المباشرة لاكتشاف كيف تساعد تقنية Dynamic Attack Surface Reduction (DASR) في تصفح قوائم الثغرات التي لا تنتهي وإيقاف الهجمات فعليًا قبل حدوثها.
ستشاهد كيف يمكن للأتمتة الذكية والقرارات المستندة إلى السياق تقليص سطح الهجوم الخاص بك، وإغلاق نقاط الدخول المخفية، وتحرير فريقك من إرهاق التنبيهات. ستغادر بخطة واضحة لتقليل التعرض بشكل أسرع، وتعزيز الدفاعات، والبقاء متقدمًا بخطوة على المتسللين – دون إضافة عمل إضافي.
🔧 أدوات الأمن السيبراني
-
FuzzForge هي أداة مفتوحة المصدر تساعد مهندسي الباحثين الأمنيين على أتمتة اختبارات التطبيق والاختبارات الأمنية الهجومية باستخدام الذكاء الاصطناعي و Fuzzing. تسمح لك بتشغيل فحوصات الثغرات الأمنية، وإدارة سير العمل، واستخدام وكلاء الذكاء الاصطناعي لتحليل التعليمات البرمجية، والعثور على الأخطاء، والاختبار بحثًا عن نقاط الضعف عبر منصات مختلفة. إنها مصممة لجعل اختبار السحابة و AppSec أسرع وأكثر ذكاءً وأسهل في التوسع للأفراد والفرق.
-
Butler هي أداة تفحص جميع المستودعات في مؤسسة GitHub للعثور على سير العمل والإجراءات والأسرار والتبعيات الخارجية ومراجعتها. تساعد فرق الأمان على فهم ما يتم تشغيله في بيئة GitHub الخاصة بهم وتنتج تقارير HTML و CSV سهلة القراءة لعمليات التدقيق، وعمليات التحقق من الامتثال، وإدارة سير العمل.
-
Find-WSUS هي أداة PowerShell تساعد فرق الأمان ومسؤولي النظام في العثور على كل خادم WSUS محدد في Group Policy. يتحقق هو من إعدادات السياسة العادية وتفضيلات Group Policy المخفية التي لا تظهر في التقارير القياسية. هذا مهم لأنه يمكن لخادم WSUS مخترق دفع تحديثات وهمية والسيطرة على جميع أجهزة الكمبيوتر في النطاق. يضمن Find-WSUS أن تعرف بالضبط مكان تكوين خوادم التحديث الخاصة بك – قبل المهاجمين.
إخلاء مسؤولية: هذه الأدوات مخصصة للاستخدام التعليمي والبحثي فقط. لم يتم اختبارها بالكامل من الناحية الأمنية وقد تشكل مخاطر إذا تم استخدامها بشكل غير صحيح. قم بمراجعة الكود قبل تجربتها، واختبر فقط في بيئات آمنة، واتبع جميع القواعد الأخلاقية والقانونية والتنظيمية.
🔒 نصيحة الأسبوع
منع وصول البيانات الحساسة إلى محادثات الذكاء الاصطناعي
تستخدم فرق عديدة أدوات الدردشة بالذكاء الاصطناعي لإنجاز المهام بشكل أسرع، مثل كتابة البرامج النصية، وإصلاح الأخطاء، أو تلخيص التقارير. ولكن كل ما يتم كتابته في هذه الأنظمة يغادر شبكة شركتك وقد يتم تخزينه أو تسجيله أو إعادة استخدامه. إذا كانت هذه البيانات تتضمن بيانات اعتماد، أو تعليمات برمجية داخلية، أو معلومات عملاء، فإنها تصبح نقطة تسرب سهلة.
يمكن للمهاجمين والمطلعين استرداد هذه البيانات لاحقًا، أو قد تكشف النماذج عن غير قصد عنها في مخرجات مستقبلية. يمكن لموجه واحد مهمل أن يكشف أكثر بكثير مما هو متوقع.
✅ أضف طبقة أمنية قبل الذكاء الاصطناعي. استخدم OpenGuardrails أو أطر عمل مفتوحة المصدر مماثلة لفحص وحظر النصوص الحساسة قبل إرسالها إلى النموذج. تتكامل هذه الأدوات مباشرة في تطبيقاتك أو أنظمة الدردشة الداخلية.
✅ قم بإقرانها بمراقبة DLP. يمكن لأدوات مثل MyDLP أو OpenDLP مراقبة البيانات الصادرة بحثًا عن أنماط مثل كلمات المرور، ومفاتيح API، أو معرفات العملاء.
✅ ضع سياسات للموجهات. حدد ما يمكن للموظفين مشاركته مع أنظمة الذكاء الاصطناعي وما لا يمكنهم مشاركته. عامل الموجهات مثل البيانات، التي تغادر شبكتك.
لا تثق بشركات الذكاء الاصطناعي في الحفاظ على أسرارك آمنة. أضف حواجز إلى سير عملك وراقب ما يغادر مساحتك. أنت لا تريد أن ينتهي الأمر ببيانات حساسة في تدريب نماذج شخص آخر.
الخلاصة
إن مجرد قراءة العناوين لن يكون كافياً. تظهر هذه الهجمات ما هو قادم – أكثر تخفياً، وأكثر تركيزًا، وأصعب في الكشف.
سواء كنت تعمل في مجال الأمن أو تريد فقط البقاء على اطلاع، فإن هذا التحديث يقدم لك ملخصًا سريعًا. واضح، مفيد، بدون ضوضاء إضافية. خذ بضع دقائق واستعد قبل أن يصل التهديد الكبير القادم.