شهدت قطاعات الأمن السيبراني أسبوعًا حافلًا بالتهديدات المتطورة والثغرات المستغلة، حيث استمرت الجهات الخبيثة في استهداف الأنظمة الحساسة. تم اكتشاف هجمات شملت استغلال ثغرات قديمة إلى جانب تقنيات جديدة، مما يسلط الضوء على التحديات المستمرة التي تواجه المؤسسات والأفراد في حماية بياناتهم وبنيتهم التحتية الرقمية.
بدأت الأسبوع بتحذيرات من شركات أمنية حول استغلال ثغرات حرجة في برامج شهيرة، مما أدى إلى وصول غير مصرح به إلى الأنظمة. بالإضافة إلى ذلك، تم رصد حملات برمجيات خبيثة تستهدف البنية التحتية السحابية، مما يشكل خطرًا كبيرًا على استمرارية الأعمال وتوفر البيانات.
⚡ تهديد الأسبوع
هجمات مكثفة على ثغرات Ivanti و Palo Alto Networks
وجهت شركة Ivanti تحذيرًا لعملائها بشأن استغلال المهاجمين لثغرة CVE-2026-6973، وهي خلل في التحقق من المدخلات يسمح للمستخدمين المصرح لهم ذوي الامتيازات الإدارية بتنفيذ تعليمات برمجية عن بُعد في برنامج Endpoint Manager Mobile (EPMM). لم تحدد الشركة وقت حدوث أول استغلال أو عدد العملاء المتأثرين. في تطور مشابه، تتعرض جدران الحماية الخاصة ببعض عملاء Palo Alto Networks لهجمات تستغل ثغرة يوم الصفر. لم تكشف Palo Alto Networks عن موعد علمها بالاستغلال النشط، لكنها أشارت إلى أن الجهات الخبيثة ربما حاولت استغلال ثغرة أمنية حرجة تم الكشف عنها مؤخرًا في 9 أبريل 2026. تؤثر الثغرة، المعروفة بـ CVE-2026-0300، على بوابة المصادقة في PAN-OS وتسمح للمهاجمين غير المصرح لهم بتنفيذ تعليمات برمجية بامتيازات الجذر على جدران الحماية من طراز PA-Series و VM-Series. وقد رصدت منصة Censys لإدارة سطح الهجوم حوالي 263,000 مضيف معرض للإنترنت يعمل بنظام PAN-OS. من المتوقع إصدار تحديثات لمعالجة هذه الثغرات بدءًا من 13 مايو 2026.
🔔 الأخبار العاجلة
- ظهور برمجية Quasar Linux RAT الجديدة
- PCPJack يحل محل برمجية TeamPCP الخبيثة لسرقة أسرار السحابة
- MuddyWater يستخدم برنامج الفدية Chaos كغطاء في هجوم جديد
- هجوم سلاسل التوريد على DAEMON Tools يؤدي إلى QUIC RAT
- مجموعات الجريمة السيبرانية تستخدم Vishing لسرقة البيانات والابتزاز
وجد المهاجمون طريقة جديدة لتحويل أنظمة Linux إلى نقاط دخول لتغلغل سلاسل التوريد أو البنية التحتية السحابية، مع مقاومة ملحوظة لإيقاف هذه العمليات. هذا الإطار البرمجي الخبيث الجديد، المسمى Quasar Linux أو QLNX، هو حصان طروادة للوصول عن بعد (RAT) معياري لنظام Linux قادر على جمع البيانات من الأنظمة المخترقة. لكن ما يميزه هو استخدامه لقدرة شبكة نظير إلى نظير (P2P) التي تحول الاختراقات الفردية إلى شبكة إصابات مترابطة، مما يجعل الحملة صعبة الإيقاف ويسمح للمضيفين المصابين بالتواصل مع بعضهم البعض بدلاً من الاعتماد كليًا على الخوادم المركزية. يجمع QLNX أيضًا وظائف جذرية على مستوى النواة، وأبواب خلفية للمصادقة تعتمد على PAM، وآليات استمرارية للبقاء مخفيًا في الأنظمة المخترقة مع تمكين الوصول المستمر. كما يخفي العمليات الخبيثة تحت أسماء تحاكي خدمات Linux الشرعية وثنائيات النظام للاندماج مع سير العمل الروتيني. “Quasar Linux RAT (QLNX) هو زرعة Linux شاملة تجمع بين قدرات الوصول عن بعد وميزات التهرب المتقدمة والاستمرارية وتسجيل ضغطات المفاتيح وجمع بيانات الاعتماد.” وفقًا لـ Trend Micro.
أطلق جهة فاعلة غير معروفة حملة لتنظيف البيئات المصابة بمجموعة القرصنة سيئة السمعة TeamPCP وإسقاط أدواتها الخبيثة لسرقة بيانات الاعتماد من الخدمات السحابية والحاويات والمطورين والإنتاجية والمالية لتحقيق مكاسب مالية. الحملة، النشطة منذ أواخر أبريل، قادرة أيضًا على الانتشار عبر الحركة الجانبية داخل الشبكة وإلى أهداف أخرى عن طريق اختراق البنية التحتية السحابية المفتوحة والقابلة للاستغلال. وهذا المسح الواسع النطاق لبيانات الاعتماد يسمح للبرمجية الخبيثة باختراق المزيد من الخوادم السحابية ونشر العدوى بطريقة تشبه الدودة، مع إزالته لأي عمليات أو آثار تنتمي إلى TeamPCP. يتم تحقيق الانتشار الخارجي عن طريق تنزيل ملفات parquet من Common Crawl لاكتشاف الأهداف. في حين أن الجهات الخبيثة التي تستهدف البيئات السحابية قد بنت منذ فترة طويلة طرقًا لحذف البرمجيات الخبيثة المتنافسة، خاصة في حملات تعدين العملات المشفرة، إلا أن عدم وجود برنامج تعدين واستهدافه المحدد لأدوات TeamPCP أثار احتمال أن يكون شخصًا له علاقة سابقة بالمجموعة، أو جزءًا من طاقم منافس، أو طرفًا ثالثًا غير مرتبط يحاكي أساليب TeamPCP.
تنكرت مجموعة تجسس إيرانية ترعاها الدولة في هيئة عصابة برامج فدية عادية في هجوم جديد لبرامج الفدية تم اكتشافه في أوائل عام 2026. تخفى قراصنة إيران المعروفون باسم MuddyWater في عملياتهم كهجوم برنامج فدية Chaos، معتمدين على الهندسة الاجتماعية عبر Microsoft Teams للوصول وإنشاء استمرارية داخل بيئة الضحية. على الرغم من أن الهجوم شمل الاستطلاع وجمع بيانات الاعتماد وتسلل البيانات، لم يتم نشر أي برامج فدية لتشفير الملفات، وهو ما يتعارض مع هجمات Chaos. تمت إضافة الضحية أيضًا إلى موقع تسريب بيانات برنامج الفدية Chaos، لكن أدلة البنية التحتية وشهادة توقيع التعليمات البرمجية تشير إلى أن النشاط قد تم استخدامه كغطاء لإخفاء الأهداف التجسسية الحقيقية للجهة الخبيثة ولتعقيد عملية الإسناد. صرّحت Rapid7 لـ The Hacker News أنه لا يوجد دليل يشير إلى أن MuddyWater تعمل كشريك لـ Chaos.
قام قراصنة باختراق مثبتات DAEMON Tools في هجوم سلاسل توريد أثر على المستخدمين في أكثر من 100 دولة. أثرت الإصدارات الخبيثة، التي شوهدت لأول مرة في أوائل أبريل، على إصدارات متعددة من البرنامج تم تثبيتها على آلاف الأجهزة في روسيا، والبرازيل، وتركيا، وإسبانيا، وألمانيا، وفرنسا، وإيطاليا، والصين. يبدو أن العملية مستهدفة. تلقى معظم الضحايا فقط برنامج جمع بيانات مصمم لجمع بيانات النظام، في حين تم نشر برنامج تشغيل تعليمات برمجية أكثر تقدمًا على عدد قليل من الأهداف، بما في ذلك مؤسسات في قطاعات التجزئة، والعلمي، والحكومي، والتصنيع في روسيا، وبيلاروسيا، وتايلاند. يُعتقد أن المهاجمين ربما استخدموا جمع البيانات الأولي لتوصيف الأنظمة المصابة قبل نشر زرعة تسمى QUIC RAT بشكل انتقائي. تم نشر البرمجية الخبيثة ضد هدف واحد معروف، وهو مؤسسة تعليمية غير محددة في روسيا. اشتملت التعليمات البرمجية الخبيثة على عناصر باللغة الصينية، مما يشير إلى أن المهاجمين على دراية باللغة، لكن Kaspersky لم تُسند الحملة إلى مجموعة معينة.
لوحظت حملة تصيد احتيالي نشطة تستهدف مسارات متعددة منذ أبريل 2025 على الأقل، باستخدام برامج المراقبة والإدارة عن بُعد (RMM) الشرعية كوسيلة لإنشاء وصول عن بعد دائم إلى المضيفين المخترقين. يسلط هذا النشاط، الذي يستهدف مؤسسات عبر صناعات متعددة، الضوء على اتجاه متزايد حيث تقوم الجهات الخبيثة بتسليح أدوات إدارة تكنولوجيا المعلومات الشرعية لتجاوز ضوابط الأمان والحفاظ على الاستمرارية في الأنظمة المخترقة. ما يجعل الحملة جديرة بالملاحظة هو تجنبها المتعمد للبرمجيات الخبيثة التقليدية لصالح أدوات مراقبة وإدارة عن بُعد متاحة تجاريًا (RMM) هما SimpleHelp و ScreenConnect، للتحكم المستمر في أجهزة الضحايا. لقد شهد إساءة استخدام أدوات RMM من قبل الجهات الفاعلة السيئة زيادة في السنوات الأخيرة، حيث إنها توفر طريقة سهلة للوصول والحفاظ على الاستمرارية في بيئة الضحية. نظرًا لمدى انتشارها الواسع في بيئات المؤسسات، فإن الأدوات غالبًا ما يتم تعليمها كبرمجيات خبيثة، مما يسمح للمهاجمين بالاندماج مع العمليات العادية.
🔥 الثغرات الشائعة
تنكشف الثغرات أسبوعيًا، و الفجوة بين التصحيح والاستغلال تتقلص بسرعة. هذه هي الثغرات البارزة لهذا الأسبوع: عالية الخطورة، أو مستخدمة على نطاق واسع، أو تتعرض للاستغلال بالفعل في البرية.
راجع القائمة، وقم بتصحيح ما لديك، وعالج الثغرات ذات الأولوية القصوى أولاً – CVE-2026-6973 (Ivanti Endpoint Manager Mobile)، CVE-2026-0300 (Palo Alto Networks PAN-OS)، CVE-2026-29014 (MetInfo)، CVE-2026-22679 (Weaver E-cology)، CVE-2026-4670، CVE-2026-5174 (Progress MOVEit Automation)، CVE-2026-43284، CVE-2026-43500 (Linux Kernel)، CVE-2026-7482 (Ollama)، CVE-2026-42248، CVE-2026-42249 (Ollama for Windows)، CVE-2026-29201، CVE-2026-29202، CVE-2026-29203 (cPanel and Web Host Manager)، CVE-2026-23918 (Apache HTTP Server)، CVE-2026-42778، CVE-2026-42779 (Apache MINA)، CVE-2026-2005، CVE-2026-2006 (PostgreSQL pgcrypto)، CVE-2026-32710 (MariaDB)، CVE-2026-23863، CVE-2026-23866 (Meta WhatsApp)، CVE-2026-29146 (Apache Tomcat)، CVE-2026-1046 (Mattermost Desktop)، CVE-2026-0073 (Google Android)، CVE-2026-20188 (Cisco Crosswork Network Controller and Network Services Orchestrator)، CVE-2026-20185 (Cisco SG350 and SG350X Series Managed Switches)، CVE-2026-20034، CVE-2026-20035 (Cisco Unity Connection)، CVE-2026-7896، CVE-2026-7897، CVE-2026-7898، CVE-2026-5865 (Google Chrome)، CVE-2025-68670 (xrdp)، CVE-2026-23864 (React Server Components)، CVE-2026-23870، CVE-2026-44575، GHSA-26hh-7cqf-hhc6، CVE-2026-44579، CVE-2026-44574، CVE-2026-44578، CVE-2026-44573 (Next.js)، CVE-2026-26129، CVE-2026-26164 (Microsoft M365 Copilot)، CVE-2026-33111 (Microsoft Copilot Chat)، CVE-2026-44843 (LangChain)، و CVE-2026-33309 (Langflow).
🎥 ندوات عبر الإنترنت حول الأمن السيبراني
- مسارات الهجوم الخفية التي تتجاهلها أدوات AppSec تمامًا في عام 2026 → تعرض هذه الندوة مسارات الهجوم الحقيقية التي تفوتها معظم أدوات AppSec – من التعليمات البرمجية وخطوط أنابيب CI/CD إلى إعدادات السحابة والتبعيات والأسرار. شاهد كيف يجمع المهاجمون بين نقاط الضعف الصغيرة والخرقات الكبيرة، وتعلّم طرقًا بسيطة للعثور عليها وإيقافها. مع خبراء Wiz مايك ماكغوير وسلمان لادها.
- هجمات DDoS المدعومة بالذكاء الاصطناعي موجودة الآن – وهي أذكى وأسرع وأكثر فتكًا في عام 2026 → يستخدم المهاجمون الآن الذكاء الاصطناعي لإطلاق هجمات DDoS أسرع وأكثر ذكاءً وأكثر صعوبة في الإيقاف. توضح هذه الندوة كيف يكتشفون نقاط الضعف على الفور، ويقومون بإنشاء طرق هجوم جديدة، ويزيدون معدلات النجاح بشكل كبير – بالإضافة إلى طرق سهلة للمدافعين للرد باستخدام أدوات الذكاء الاصطناعي الأذكى والحماية الاستباقية. مثالي لقادة الأمن الذين يرغبون في البقاء في المقدمة.
📰 حول عالم السايبر
- اختراق موقع JDownloader في هجوم سلاسل التوريد
- عملية HookedWing تستهدف أكثر من 500 منظمة
- زيادة استخدام Vercel في حملات التصيد الاحتيالي
- هجوم ConsentFix V3 الجديد يقوم بأتمتة اختطاف حسابات Microsoft
- اتجاهات الاحتيال في مكان العمل في عام 2026
- الهند تضغط من أجل الاستضافة السيادية لنماذج الذكاء الاصطناعي Claude من Anthropic
- OpenAI تطلق GPT-5.5-Cyber
- برنامج FIRESTARTER الخبيث يستهدف أجهزة Cisco
- Google تطلق طرقًا للمطورين لنشر تطبيقات Android أكثر أمانًا
- بولندا تقول إن القراصنة اخترقوا محطات معالجة المياه لديها
- Claude يميل أكثر إلى مصادر الدعاية الروسية والإيرانية
- حملة WebSocket Backdoor تزرع برامج التخفيض
- كيف تتجنب تطبيقات Electron ذات الأبواب الخلفية الدفاعات
- هجمات جديدة توزع برامج Vidar Stealer و PlugX و Beagle الخبيثة
- ثغرة حرجة في خادم Kanban الخاص بـ Cline
- Mozilla تستخدم الذكاء الاصطناعي للكشف عن 423 ثغرة في Firefox
- 60٪ من تجزئات كلمات المرور MD5 يمكن كسرها في أقل من ساعة
- برنامج JobStealer الجديد يستهدف Windows و macOS
- المزيد من هجمات ClickFix
- حملة ابتزاز ShinyHunters تستهدف Instructure
تم اختراق موقع JDownloader، وهي أداة إدارة تنزيل مفتوحة المصدر، الأسبوع الماضي لتوزيع مثبتات خبيثة لنظامي Windows و Linux. وقع الاختراق في 6 مايو 2026، في الساعة 12:01 صباحًا بالتوقيت العالمي المنسق. في حين أن إصدار Linux يدمج تعليمات برمجية خبيثة، فقد تم العثور على إصدار Windows لتقديم حصان طروادة للوصول عن بعد (RAT) يستند إلى Python يقوم بتسجيل الجهاز المخترق في شبكة روبوتات وتشغيل أي تعليمات برمجية Python يتم توفيرها من قبل المشغل، وفقًا للباحث توماس كليمينك. “لقد قامت جهات الاختراق بتعديل صفحات التنزيل البديلة وتبادلت الروابط والتفاصيل” ، وفقًا للمطور وراء JDownloader في منشور على Reddit. “تفتقر الملفات الخبيثة إلى التوقيعات الرقمية وبالتالي سيقوم [Microsoft] SmartScreen بحظر / تحذير تنفيذها.” كشف المزيد من التحقيق أن متجه الهجوم كان “خللًا أمنيًا غير مصحح”، على الرغم من أنه ليس من الواضح أي ثغرة تم استغلالها من قبل الجهة الخبيثة للتلاعب بالموقع.
قامت حملة تصيد احتيالي طويلة الأمد تعود إلى عام 2022 بسرقة 2000 بيانات اعتماد تخص مستخدمين من أكثر من 500 منظمة مختلفة. وفقًا لـ SOCRadar، تأثرت الحملة في الغالب بقطاعات الطيران، والإدارة العامة، والطاقة، والبنية التحتية الحيوية. “يشير اتساع الاستهداف، جنبًا إلى جنب مع طول عمر الحملة، إلى عملية ذات موارد قوية بدلاً من نشاط انتهازي”. تمت تسمية هذا النشاط بعملية HookedWing. تستخدم الهجمات رسائل بريد إلكتروني للتصيد الاحتيالي مع إغراءات تتعلق بالموارد البشرية، أو Microsoft، أو Google لتوجيه المستخدمين إلى صفحات مقصودة مزيفة مستضافة على GitHub.io و Vercel، لالتقاط بيانات الاعتماد المدخلة، واستخراجها إلى خوادم تم اختراقها أو إنشاؤها من قبل الجهة الخبيثة. تم تحديد أكثر من 20 نطاق قيادة وتحكم (C2) متميزة و 100 نطاق توزيع.
يستخدم جهات الخبيثة بشكل متزايد Vercel لإنشاء عدد كبير من مواقع التصيد الاحتيالي الواقعية التي تنتحل علامات تجارية معروفة. “يمكن لجهات الخبيثة إعادة نشر حملات التصيد الاحتيالي بسهولة إذا تم إيقاف صفحة ويب.” وفقًا لـ Cofense. “زيادة إساءة استخدام Vercel كبيرة بمرور الوقت ومن المرجح أن تستمر في الزيادة مع بدء جهات الخبيثة ذات المهارات الدنيا في استخدام مضاعفات القوة الرخيصة أو المجانية.”
حددت Push Security عضوًا في منتدى XSS الإجرامي يعلن عن حزمة أدوات جديدة تسمى ConsentFix v3 والتي تجمع بين الهندسة الاجتماعية من طراز ClickFix مع تصيد موافقة OAuth لاختطاف حسابات Microsoft. “يسمح ConsentFix v3 للمستخدمين بتجهيز سلسلة الهجوم بأكملها، مما يمكّن المستخدمين من تشغيل بنية ConsentFix الأساسية، وإنشاء شخصيات يمكن تصديقها للتفاعل مع الضحايا، وصياغة وإدارة حملات البريد الإلكتروني، وأتمتة عملية تبادل رمز OAuth الملتقط برموز الجلسة والتحديث لإقامة الوصول إلى الحساب المخترق.” تستخدم الهجمة Cloudflare Workers لاستضافة صفحات التصيد، و ZoomInfo لتحديد الأهداف، و Dropbox لاستضافة ملفات PDF، و Pipedream كقناة استخراج.
وجد تقرير جديد من Cifas أن 13٪ من الموظفين قالوا: “لقد باعوا تفاصيل تسجيل دخول شركتهم لزميل سابق، أو يعرفون شخصًا فعل ذلك، في الأشهر الـ 12 الماضية”. كما اعتقد 13٪ آخرون من المشاركين أن بيع الوصول إلى أنظمة الشركة مبرر. “بيع تفاصيل تسجيل الدخول قد يبدو غير مهم للمشاركين، ولكنه يمكن أن يفتح الباب أمام احتيال خطير وضرر مالي.” وفقًا لـ Cifas. “تُظهر هذه النتائج مدى أهمية قيام المنظمات ببناء ثقافات واعية بالاحتيال، حيث يفهم الموظفون على جميع المستويات مسؤولياتهم وعواقب أفعالهم.”
وفقًا لتقرير من MoneyControl، يُقال إن الحكومة الهندية تضغط من أجل الاستضافة السيادية لنماذج الذكاء الاصطناعي Claude من Anthropic داخل الهند. جادل المسؤولون بأن أنظمة الذكاء الاصطناعي المتقدمة المخصصة للقطاعات الحساسة مثل الخدمات المصرفية والاتصالات والبنية التحتية الحيوية لا يمكن أن تعمل على بنية تحتية مستضافة خارجيًا بسبب مخاطر الاختصاص القضائي والامتثال والأمن القومي.
بدأت OpenAI في طرح GPT-5.5-Cyber، وهو نوع من النموذج يركز على الأمان، في قدرة معاينة محدودة لفرق الأمن السيبراني المختارة، بعد شهر من ظهور Mythos من Anthropic. “المعاينة الأولية للنماذج المسموح بها للأمان مثل GPT-5.5-Cyber ليست مخصصة لزيادة القدرة السيبرانية بشكل كبير عن GPT-5.5 – إنها مدربة بشكل أساسي لتكون أكثر تساهلاً في المهام المتعلقة بالأمان.” وفقًا لـ OpenAI. “الاختلافات بين مستويات الوصول إلى النموذج تكون أكثر وضوحًا عند مقارنة الاستعلامات والاستجابات.”
في أواخر الشهر الماضي، كشفت وكالة الأمن السيبراني والبنية التحتية الوطنية الأمريكية (CISA) أن جهاز Cisco Firepower تابع لوكالة فيدرالية مدنية لم يُذكر اسمها يعمل ببرنامج Adaptive Security Appliance (ASA) تعرض للاختراق في سبتمبر 2025 ببرمجية خبيثة جديدة تسمى FIRESTARTER. البرمجية الخبيثة جديرة بالملاحظة لقدرتها على البقاء على قيد الحياة بعد إعادة التشغيل، وتحديثات البرامج الثابتة، والتصحيحات. في تحليل جديد، وصفّت شركة Eclypsisum لأمن البرامج الثابتة الباب الخلفي بأنه Linux ELF يتصل بعملية LINA ويعيد تثبيت نفسه بعد تلقي إشارة إنهاء. “عندما يعمل lina_cs، فإنه ينسخ محتوياته الخاصة من /usr/bin/lina_cs إلى الذاكرة ويسجل معالج إشارة، مما يسمح للبرمجية الخبيثة باتخاذ إجراء استجابة للإشارات (على سبيل المثال، عندما يطلب النظام أو المستخدم إعادة تشغيل العملية).” وفقًا لباحث الأمن بول أسادوريان. “كما أنه ينطلق عند مستوى التشغيل 6، وهو مستوى تشغيل إعادة تشغيل النظام في Linux. مما يعني في كل مرة يتم فيها إيقاف تشغيل الجهاز أو إعادة تشغيله، يتم تشغيل روتين الاستمرارية الخاص بـ FIRESTARTER.”
قالت Google إنها قامت بتوسيع Play Policy Insights في Android Studio لالتقاط مشكلات السياسة الشائعة، مثل بيانات الاعتماد المفقودة، واكتشاف التهديدات الأمنية وإساءة الاستخدام باستخدام Play Integrity API. “مع زمن استجابة تهيئة أقصر بكثير، يمكنك استخدام هذه الفحوصات في الوقت الفعلي في رحلات المستخدم الأكثر حساسية للسرعة، مثل تسجيل الدخول أو المدفوعات، لالتقاط الوصول غير المصرح به والتفاعلات المحفوفة بالمخاطر.” وفقًا لـ Google. “نحن نضيف دعمًا للتشفير ما بعد الكمومي في Play App Signing هذا العام، والذي سيحمي تطبيقاتك وتحديثات تطبيقاتك من التهديدات المحتملة مع ظهور الحوسبة الكمومية.”
كشفت وكالة الأمن الداخلي البولندية (ABW) أنها اكتشفت هجمات على خمس محطات لمعالجة المياه في عام 2025، مما قد يسمح لجهات خبيثة بالسيطرة على المعدات الصناعية، وفي أسوأ الحالات، العبث بسلامة إمدادات المياه. لم تُسند وكالة الاستخبارات الهجمات إلى جهة خبيثة أو مجموعة محددة، لكن تم إسناد محاولة فاشلة من قبل قراصنة الحكومة الروسية لإسقاط شبكة الطاقة في البلاد في نهاية عام 2025.
كشف تدقيق جديد لـ Anthropic Claude أن روبوت الدردشة للذكاء الاصطناعي “كرر ادعاءات خاطئة بنسبة 15٪ من الوقت عندما سُئل عن أكاذيب مؤيدة للكرملين بصوت المستخدم العادي، مستشهدًا بوسائل الإعلام ذات الصلة بالدولة الروسية في كل مرة”، وفقًا لـ NewsGuard. تمثل هذه النسبة زيادة من 4٪ فقط. علاوة على ذلك، منذ بداية الحرب بين الولايات المتحدة وإيران، استشهد Claude بوسائل الإعلام ذات الصلة بالدولة الإيرانية في حالة واحدة عندما تم توجيهه بشأن ادعاءات إيرانية خاطئة، في حين أنه لم يستشهد بوسائل الإعلام ذات الصلة بالدولة الإيرانية من قبل. “تشير هذه الزيادة في الاستشهادات بمصادر دعاية الكرملين، بما في ذلك عندما تنشر ادعاءات خاطئة، إلى أن Claude أصبح في الأشهر الأخيرة أكثر عرضة لحملات التضليل التي ترعاها الدولة.” وفقًا لـ NewsGuard.
ذكرت Palo Alto Networks Unit 42 أن أبواب خلفية WebSocket المشفرة تُستخدم لحقن برامج تخفيض البطاقات الائتمانية في مئات المواقع المخترقة بهدف إرسال معلومات البطاقة المسروقة مرة أخرى إلى نطاقات C2 الخاصة بالجهة الخبيثة. “تقوم JavaScript المشفرة بإنشاء WebSocket backdoor باستخدام JavaScript الذي يتم تنفيذه ديناميكيًا.” وفقًا لوحدة 42. “يرسل WebSocket حمولة JavaScript مشفرة لحقن برنامج تخفيض البطاقات الائتمانية في صفحة الويب.”
شرح باحثو الأمن السيبراني تقنية تستغل تطبيقات Electron الموثوقة لتمكين الاستمرارية وتجاوز ضوابط قائمة التطبيقات الآمنة. “في الإصدارات المتقدمة من الهجوم، يتم إجراء تغييرات طفيفة على مكونات تطبيق Electron.” وفقًا لـ LevelBlue. “هذا يسمح للتطبيق بالعمل بشكل طبيعي مع تحميل وظائف القيادة والتحكم (C2) الخبيثة في الخلفية، والاختباء تحت مظلة العملية الموثوق بها.”
في سلسلة هجمات مفصلة من قبل LevelBlue، تم العثور على جهات خبيثة تستغل “MicrosoftToolkit.exe” كنقطة انطلاق لتشغيل برنامج AutoIt يقوم بإسقاط حمولة Vidar Stealer. “يسلط هذا الغزو الضوء على الفعالية المستمرة لحمولات التحميل متعددة المراحل المستندة إلى البرمجة النصية في تقديم برامج سرقة المعلومات الشائعة مثل Vidar.” وفقًا لـ LevelBlue. “حملة تحميل متعددة المراحل متطورة تستغل أدوات Windows الأصلية وتقنيات التخفي بالملفات. تتجنب الجهة الخبيثة إسقاط ثنائي برمجيات خبيثة واحد يمكن التعرف عليه وبدلاً من ذلك يعيد بناء وتنفيذ الحمولات ديناميكيًا من خلال معالجة الملفات المرحلية.” تأتي هذه التطورات في أعقاب اكتشاف موقع Claude وهمي (“claude-pro[.]com”) يعمل كقناة لتثبيت MSI وهمي مسؤول عن نشر حمولة DonutLoader التي تسقط بابًا خلفيًا بسيطًا يسمى Beagle، وهو قادر على تشغيل الأوامر وتنفيذ عمليات تحميل / تنزيل الملفات.
ثغرة حرجة في خادم Kanban المحلي الخاص بـ Cline (درجة CVSS: 9.7) كان يمكن استغلالها من قبل مهاجم لتسهيل الكشف عن المعلومات من خلال تدفق حالة وقت التشغيل، وتنفيذ التعليمات البرمجية عن بُعد من خلال نقطة نهاية الإدخال / الإخراج الطرفية، وحجب الخدمة من خلال نقطة نهاية التحكم الطرفية. قالت Oasis Security، التي اكتشفت الثغرة، إن WebSocket المحلي الخاص بوكيل الترميز بالذكاء الاصطناعي يفتقر إلى التحقق من المصدر والمصادقة. نظرًا لأن متصفحات الويب لا تفرض سياسة المصدر نفسه على اتصالات WebSocket، يمكن لأي موقع يزوره المطور الاتصال بهذه النقاط النهائية لتحقيق اختراق كامل. “أي موقع يزوره المطور أثناء تشغيل إصدار متأثر يمكن أن يتصل بصمت بجهازهم، ويستخرج بيانات مساحة العمل في الوقت الفعلي، ويحقن أوامر في وكيل الذكاء الاصطناعي للمطور.” وفقًا لـ Oasis Security. “لن يرى المطور أي شيء غير عادي. لقد كانوا يتصفحون الويب فقط.” بعد الإفصاح المسؤول، تم معالجة المشكلة في إصدار Cline Kanban 0.1.66.
كشفت Mozilla أن Anthropic’s Mythos Preview ونماذج الذكاء الاصطناعي الأخرى ساعدتها في تحديد وإصلاح 423 إصلاحًا لثغرات أمنية في Firefox في أبريل 2026، مقابل 31 إصلاحًا في العام السابق. يشمل ذلك ثغرة استخدام بعد التحرير عمرها 20 عامًا يمكن تفعيلها باستخدام XSLTProcessor DOM API دون أي تفاعل من المستخدم، بالإضافة إلى ثغرات مختلفة في نظام العزل الخاص بها. “كان هذا بسبب مزيج من عاملين رئيسيين.” وفقًا لـ Mozilla. “أولاً، أصبحت النماذج أكثر قدرة بكثير. ثانيًا، قمنا بتحسين تقنياتنا للاستفادة من هذه النماذج بشكل كبير – وتوجيهها وتوسيع نطاقها ودمجها لتوليد كميات كبيرة من الإشارات وتصفية الضوضاء.” يأتي هذا التطور في الوقت الذي يعمل فيه الذكاء الاصطناعي بالفعل على تسريع اكتشاف الثغرات، مما يقلل الجهد اللازم لتحديد الثغرات والتحقق منها وتسليحها.
كشف تحليل لـ 231 مليون كلمة مرور فريدة من تسريبات الويب المظلم بين عامي 2023 و 2026 أن ما يقرب من 60٪ منها يمكن كسرها في أقل من ساعة. لزيادة الأمر سوءًا، يمكن كسر ما يقرب من نصف جميع كلمات المرور (48٪) في غضون دقيقة واحدة. “تدين جهات الاختراق بهذه الزيادة في السرعة للمعالجات الرسومية، التي تزداد قوة كل عام.” وفقًا لـ Kaspersky. “في حين أن RTX 4090 في عام 2024 يمكنها كسر تجزئات MD5 بمعدل 164 جيجاهش (مليار تجزئة) في الثانية، فإن RTX 5090 الجديدة زادت هذه السرعة بنسبة 34٪ – لتصل إلى 220 جيجاهش في الثانية.”
تقوم جهات خبيثة بلإدراج الضحايا المحتملين إلى مواقع ويب خبيثة وتطلب منهم تنزيل تطبيق مؤتمرات الفيديو بحجة مقابلة عبر الإنترنت، فقط لتنزيل أداة سرقة يمكنها جمع البيانات من محافظ العملات المشفرة. “يتم تنزيل البرنامج الخبيث JobStealer، المتنكر في هيئة تطبيق مؤتمرات عبر الإنترنت، منهم.” وفقًا لـ Doctor Web. تتضمن بعض العلامات التجارية المزيفة التي يستخدمها جهات الخبيثة MeetLab، و Juseo، و Meetix، و Carolla. “لإقناع المستخدمين بأن هذه المنصات تعمل بكامل طاقتها، يقوم المحتالون بإنشاء قنوات Telegram وحسابات وسائل التواصل الاجتماعي المقابلة – على سبيل المثال، على X.” تستغل الهجمة تعليمات تشبه ClickFix لنسخ ولصق أمر يقوم بإسقاط برمجية سرقة المعلومات الخبيثة.
يبدو أن هجمات ClickFix لا تظهر أي علامات على التوقف في أي وقت قريب. حذرت هيئة الأمن السيبراني الأسترالية (ACSC) من أن تكتيك الهندسة الاجتماعية ClickFix يُستخدم لتسليم Vidar Stealer. “تبدأ هجمة ClickFix عادةً بقيام مهاجم بحقن نطاق توصيل حمولة خبيثة في الموقع المخترق.” وفقًا لـ ACSC. “يقوم نطاق الحمولة المحقون بتحميل رمز JavaScript من خادم API خارجي. يقوم هذا الرمز بالكتابة فوق محتوى الصفحة الشرعية، وتقديم مطالبة تحقق وهمية من Cloudflare.” في الأشهر الأخيرة، تطورت ClickFix لاستغلال أدوات Windows الأصلية مثل cmdkey و regsvr32، بالإضافة إلى إسقاط برنامج سرقة معلومات قائم على Node.js لمستخدمي Windows عبر مثبتات MSI الخبيثة وبرنامج سرقة معلومات قائم على AppleScript لمستخدمي macOS. تم العثور على هجمات مرتبطة بـ ClickFix أيضًا تستغل ميزات الدردشة القابلة للمشاركة على ChatGPT و Grok، أو المدونات ومحتوى آخر ينشئه المستخدم، لخداع المستخدمين لتشغيل AMOS Stealer، و MacSync، و Shub Stealer. “قدمت الإصدارات السابقة من هذه الحملة برامج سرقة المعلومات عبر ملفات صورة القرص (.dmg) التي تتطلب من المستخدمين تثبيت تطبيق يدويًا.” وفقًا لـ Microsoft. “يعكس هذا النشاط الأخير تحولًا في أساليب العمل، حيث يقوم جهات الخبيثة بتعليم المستخدمين بتشغيل أوامر Terminal التي تستغل الأدوات الأصلية لجلب المحتوى المستضاف عن بُعد، متبوعًا بتنفيذ برنامج تحميل قائم على البرمجة النصية.” حملة أخرى تستهدف فيتنام وتايوان وإسبانيا انتشرت عبر مستندات Google وهمية تحتوي على أمر ClickFix وملفات DMG خبيثة لنشر برنامج سرقة معلومات جديد لنظام macOS يسمى NotnullOSX يستهدف حصريًا الضحايا الذين يمتلكون أكثر من 10000 دولار في ممتلكات العملات المشفرة. تم استخدام ClickFix أيضًا من قبل نظام توزيع حركة المرور (TDS) يسمى ErrTraffic. “يستهدف ErrTraffic في المقام الأول مواقع WordPress عن طريق نشر برنامج PHP backdoor script في المكون الإضافي المستخدم (mu-plugin) الذي يلتقط بيانات اعتماد المسؤول ويضمن الاستمرارية على المواقع المخترقة.” وفقًا لـ LevelBlue. “يستخدم ErrTraffic نظام توزيع حركة المرور (TDS) لتصفية زوار الموقع وتحويلهم إلى إغراءات ClickFix [عبر EtherHiding].”
استهدفت مجموعة ShinyHunters Instructure، الشركة الموردة لنظام إدارة التعلم (LMS) Canvas، ونجحت في تشويه بوابات تسجيل الدخول لـ 330 كلية وجامعة. وفقًا لـ Dataminr، ادعت ShinyHunters أنها استخرجت 3.65 تيرابايت من البيانات عبر ما يقرب من 275 مليون سجل من ما يقرب من 9000 منظمة متأثرة مدرجة علنًا، بما في ذلك هارفارد، وستانفورد، وكولومبيا، وأبل. تشمل البيانات المكشوفة أسماء المستخدمين، وعناوين البريد الإلكتروني، وأسماء الدورات، ومعلومات التسجيل، والرسائل. قالت Instructure إنه لم يتم اختراق أي كلمات مرور أو هويات حكومية أو تواريخ ميلاد أو بيانات مالية أو محتوى للدورات. ذكرت الجهات الخبيثة استغلال “ثغرة تتعلق بتذاكر الدعم في بيئة Free for Teacher الخاصة بنا”. تم تعطيل الوصول إلى Free for Teacher حتى اكتمال مراجعة أمنية شاملة. حتى وقت الكتابة، عاد Canvas إلى الإنترنت بالكامل ومتاح للاستخدام. أظهرت الرسالة التي شاركتها مجموعة الجريمة السيبرانية سيئة السمعة أن المجموعة هددت بتسريب كمية البيانات، مع تحديد موعد نهائي في 12 مايو. حادثة 7 مايو 2026 هي استمرار لأنشطة غير مصرح بها سابقة تم اكتشافها في Canvas في 29 أبريل 2026. بعد الاختراق، حذرت وكالة التحقيقات الفيدرالية الأمريكية (FBI) الأفراد من البحث عن “رسائل بريد إلكتروني أو مكالمات أو رسائل نصية غير مرغوب فيها تدعي أنها من مدرستك، أو مزود نظام إدارة التعلم، أو جهة إنفاذ القانون والتحقق من جهة الاتصال عبر قنوات معروفة قبل الرد.”
🔧 أدوات الأمن السيبراني
- AiSOC → إنه مركز عمليات أمنية مفتوح المصدر وقابل للاستضافة ذاتيًا ويعتمد على الذكاء الاصطناعي. يجمع تنبيهات الأمان، ويستخدم وكلاء الذكاء الاصطناعي للتحقيق فيها، ويربط النتائج بـ MITRE ATT&CK، ويدعم تمارين الفريق الأرجواني وفرز الحوادث – كل ذلك ضمن حزمة واحدة يمكنك تشغيلها على البنية التحتية الخاصة بك.
- Watcher → هي منصة مفتوحة المصدر تساعد فرق الأمن على مراقبة واكتشاف التهديدات السيبرانية الناشئة. تستخدم الذكاء الاصطناعي لتحليل بيانات التهديدات، وتتبع النطاقات المشبوهة، ومراقبة تسرب المعلومات، ومتابعة أخبار الأمن السيبراني من مصادر رسمية – كل ذلك في لوحة تحكم واحدة. مصممة باستخدام Django و React، تعمل بسهولة مع Docker.
إخلاء مسؤولية: هذا لأغراض البحث والتعلم فقط. لم يخضع لتدقيق أمني رسمي، لذا لا تقم بتطبيقه في بيئة الإنتاج بشكل أعمى. اقرأ الكود، اختبره في بيئة معزولة أولاً، وتأكد من أن أي شيء تفعله يظل ضمن نطاق القانون.
الخلاصة
هذا هو تلخيص الأسبوع: تنزيلات ملوثة، فوضى في السحابة، ثغرات قديمة ترفض الموت، وجهات خبيثة تبذل جهدًا بالكاد يفوق جهد شخص يعيد تشغيل جهاز توجيه مجمد. الجميع متعب، لا أحد يثق في المثبتات بعد الآن، والإنترنت بطريقة ما يصبح أسوأ باستمرار بطرق يمكن التنبؤ بها للغاية.
نراكم يوم الاثنين المقبل، بافتراض عدم اشتعال النيران في شيء قبل ذلك.