ملخص أسبوعي: روبوتات خبيثة، ثغرات بمكاتب، فدية قواعد بيانات، تحكم ذكاء اصطناعي وتهديدات جديدة

يقدم هذا التقرير الأسبوعي تغطية شاملة لأبرز تطورات أمن المعلومات، بدءًا من تعطيل شبكات الوكلاء السكنية الضخمة وحتى اختراق ثغرات برامج مايكروسوفت، مع تحليل معمق للتهديدات الناشئة والإجراءات الوقائية.

تسلط الأخبار الضوء على جهود جوجل الرائدة في الحد من نشاط شبكات الوكلاء السكنية المستخدمة في الهجمات السيبرانية، وفي المقابل، تستعرض مايكروسوفت والشركات الأخرى تحركاتها السريعة لسد ثغرات أمنية حرجة تم استغلالها بالفعل.

⚡ تهديد الأسبوع

جوجل تعطل شبكة IPIDEA لشبكات الوكلاء السكنية — تمكنت جوجل من تعطيل شبكة IPIDEA، وهي شبكة وكلاء سكنية ضخمة تعتمد على أجهزة المستخدمين كحلقة وصل أخيرة في سلاسل الهجمات السيبرانية. وبحسب عملاق التكنولوجيا، فإن هذه الشبكات لا تسمح للمهاجمين بإخفاء حركة مرورهم الخبيثة فحسب، بل تعرض المستخدمين الذين يسمحون لأجهزتهم بالانضمام لمزيد من الهجمات. وكانت عناوين IP السكنية في الولايات المتحدة وكندا وأوروبا الأكثر طلباً. اتخذت جوجل إجراءات قانونية لمصادرة أو إغلاق النطاقات المستخدمة كأوامر وتحكم (C2) للأجهزة المسجلة في شبكة IPIDEA، مما قطع قدرة المشغلين على توجيه حركة المرور عبر الأنظمة المخترقة. ويقدر أن هذا التعطيل قد قلل من مجموعة الأجهزة المتاحة لشبكة IPIDEA بملايين الأجهزة. يتم تثبيت برنامج الوكيل مسبقًا على الأجهزة أو قد يقوم المستخدمون بتثبيته طواعية، مغرين بوعد تحقيق الدخل من نطاقهم الترددي المتاح للإنترنت. بمجرد تسجيل الأجهزة في شبكة الوكلاء السكنية، يقوم المشغلون ببيع الوصول إليها لعملائهم. كانت العديد من العلامات التجارية للوكلاء وشبكات VPN، التي يتم تسويقها كشركات منفصلة، تسيطر عليها نفس الجهات الفاعلة وراء IPIDEA. كما روجت شبكة الوكلاء للعديد من مجموعات تطوير البرمجيات (SDKs) كأدوات لتحقيق الدخل من التطبيقات، مما يحول أجهزة المستخدمين بهدوء إلى نقاط خروج وكيلة دون علمهم أو موافقتهم بمجرد دمجها. تم ربط IPIDEA أيضًا بهجمات القوة الغاشمة واسعة النطاق التي تستهدف خدمات VPN و SSH منذ أوائل عام 2024. وأصدر فريق معلومات الأجهزة والمتصفحات قائمة بجميع عناوين IP الخاصة بنقاط خروج الوكلاء المرتبطة بـ IPIDEA.

🔔 أبرز الأخبار

مايكروسوفت ترقع ثغرة Office مستغلة — أصدرت مايكروسوفت تصحيحات أمنية خارج النطاق المعتاد لثغرة أمنية حرجة من نوع “يوم الصفر” في Microsoft Office تم استغلالها في هجمات. تحمل الثغرة، التي تم تتبعها تحت المعرف CVE-2026-21509، درجة 7.8 من 10.0 على مقياس CVSS. ووُصفت بأنها تجاوز للميزات الأمنية في Microsoft Office. “الاعتماد على المدخلات غير الموثوقة في قرار أمني في Microsoft Office يسمح لمهاجم غير مصرح به بتجاوز ميزة أمنية محليًا”، حسبما قالت الشركة في بيان. “هذا التحديث يعالج ثغرة تتجاوز تخفيفات OLE في Microsoft 365 و Microsoft Office، والتي تحمي المستخدمين من عناصر تحكم COM/OLE الضعيفة”. لم تشارك مايكروسوفت أي تفاصيل حول طبيعة ونطاق الهجمات التي تستغل CVE-2026-21509.

إيفانتي ترقع ثغرات EPMM مستغلة — طرحت إيفانتي تحديثات أمنية لمعالجة ثغرتين أمنيتين تؤثران على Ivanti Endpoint Manager Mobile (EPMM) وتم استغلالهما في هجمات “يوم الصفر”. تتعلق الثغرات، التي تم تتبعها تحت المعرفين CVE-2026-1281 و CVE-2026-1340، بحقن التعليمات البرمجية، مما يسمح للمهاجمين بتنفيذ تعليمات برمجية عن بعد دون مصادقة. “نحن على علم بعدد محدود جدًا من العملاء الذين تم استغلال حلولهم وقت الكشف”، حسبما ذكرت إيفانتي، مضيفة أنها لا تملك معلومات كافية حول تكتيكات الجهات الفاعلة في التهديد لتقديم “مؤشرات ذرية موثوقة”. اعتبارًا من 30 يناير 2026، أصبح هناك استغلال عام متاح. “نظرًا لأن EPMM هو حل لإدارة نقاط النهاية للأجهزة المحمولة، فإن تأثير اختراق خادم EPMM من قبل مهاجم يكون كبيرًا”، وفقًا لـ Rapid7. “قد يتمكن المهاجم من الوصول إلى المعلومات الشخصية التعريفية (PII) المتعلقة بمستخدمي الأجهزة المحمولة، مثل الأسماء وعناوين البريد الإلكتروني، بالإضافة إلى معلومات أجهزتهم المحمولة، مثل أرقام هواتفهم، ومعلومات GPS، ومعلومات تعريف فريدة أخرى حساسة”.

بولندا تربط الهجوم السيبراني على نظام الطاقة بـ Static Tundra — كشف فريق الاستجابة لحوادث أجهزة الكمبيوتر البولندي أن هجمات سيبرانية منسقة استهدفت أكثر من 30 مزرعة رياح وكهروضوئية، وشركة خاصة في قطاع التصنيع، ومحطة طاقة حرارية مشتركة كبيرة تزود ما يقرب من نصف مليون عميل بالتدفئة في البلاد. ذكر CERT Polska أن الحادث وقع في 29 ديسمبر 2025، واصفًا الهجمات بأنها مدمرة. نسبت الوكالة الهجمات إلى مجموعة تهديد أطلق عليها اسم Static Tundra، والتي تتتبع أيضًا بأسماء مثل Berserk Bear و Blue Kraken و Crouching Yeti و Dragonfly و Energetic Bear و Ghost Blizzard (المعروفة سابقًا باسم Bromine) و Havex. ويُعتقد أن Static Tundra مرتبطة بالوحدة 16 في دائرة الأمن الفيدرالي الروسي (FSB). ربطت تقارير سابقة من ESET و Dragos الهجوم بثقة معتدلة بمجموعة تشارك تداخلات تكتيكية مع مجموعة تسمى Sandworm. تظهر المجموعة فهمًا عميقًا لمعدات وعمليات شبكات الكهرباء، وكفاءة قوية في البروتوكولات الصناعية المستخدمة في أنظمة الطاقة، والقدرة على تطوير برامج ضارة مخصصة وأدوات مسح عبر بيئات تكنولوجيا المعلومات والتشغيل (IT و OT). يعكس النشاط أيضًا فهم الخصم لعمليات المحطات الفرعية والاعتماديات التشغيلية داخل أنظمة الكهرباء. “السيطرة على هذه الأجهزة تتطلب قدرات تتجاوز مجرد فهم عيوبها الفنية”، حسبما ذكر Dragos. “إنها تتطلب معرفة بتنفيذها المحدد. أظهر المهاجمون ذلك من خلال اختراق ناجح لوحدات RTU في حوالي 30 موقعًا، مما يشير إلى أنهم قاموا برسم خرائط للتكوينات الشائعة وأنماط التشغيل لاستغلالها بشكل منهجي.”

حملة LLMJacking تستهدف نقاط نهاية الذكاء الاصطناعي المكشوفة — يبحث مجرمو الإنترنت عن نقاط نهاية نماذج اللغات الكبيرة (LLM) و MCP المكشوفة أو غير المحمية، ويقومون باختراقها وتحقيق الدخل منها على نطاق واسع. تستهدف الحملة، التي تحمل اسم Operation Bizarre Bazaar، نقاط نهاية الذكاء الاصطناعي المكشوفة أو غير المحمية لاختراق موارد النظام، وإعادة بيع الوصول إلى واجهات برمجة التطبيقات (API)، وسرقة البيانات، والانتقال جانبيًا إلى الأنظمة الداخلية. “يختلف التهديد عن إساءة استخدام واجهة برمجة التطبيقات التقليدية لأن نقاط نهاية نماذج اللغات الكبيرة المخترقة يمكن أن تولد تكاليف كبيرة (الاستدلال مكلف)، وتكشف عن بيانات تنظيمية حساسة، وتوفر فرصًا للحركة الجانبية”، حسبما ذكرت Pillar Security. تواجه المنظمات التي تشغل بنية تحتية لنماذج اللغات الكبيرة المستضافة ذاتيًا (Ollama، vLLM، تنفيذات الذكاء الاصطناعي المحلية) أو تنشر خوادم MCP لتكاملات الذكاء الاصطناعي استهدافًا نشطًا. تشمل التكوينات الخاطئة الشائعة التي يتم استغلالها حاليًا Ollama الذي يعمل على المنفذ 11434 بدون مصادقة، وواجهات برمجة التطبيقات المتوافقة مع OpenAI على المنفذ 8000، وخوادم MCP التي يمكن الوصول إليها بدون ضوابط وصول، وبنية تحتية لتطوير/اختبار الذكاء الاصطناعي ذات عناوين IP عامة، ونقاط نهاية روبوتات الدردشة الإنتاجية التي تفتقر إلى المصادقة أو حدود المعدل. يتم الإعلان عن الوصول إلى البنية التحتية في سوق يقدم الوصول إلى أكثر من 30 نموذج لغة كبير. يسمى silver[.]inc، وهو مستضاف على بنية تحتية مقاومة للرصاص في هولندا، ويتم تسويقه على Discord و Telegram، مع إجراء المدفوعات عبر العملات المشفرة أو PayPal.

جهات فاعلة صينية تستخدم إطار عمل PeckBirdy — تستخدم جهات فاعلة مرتبطة بالصين إطار عمل JScript متعدد الوظائف وعبر المنصات يسمى PeckBirdy لشن هجمات تجسس سيبراني منذ عام 2023، مما يعزز أنشطتها بأبواب خلفية نمطية في حملتين منفصلتين تستهدفان مواقع القمار والكيانات الحكومية. يهدف إطار عمل الأوامر والتحكم (C2)، المكتوب بلغة JScript القديمة من Microsoft، إلى النشر المرن من خلال تمكين التنفيذ عبر بيئات متعددة، بما في ذلك متصفحات الويب، و MSHTA، و WScript، و Classic ASP، و Node JS، و .NET (ScriptControl).

‎️‍🔥 الثغرات الشائعة

تظهر الثغرات الجديدة يوميًا، وينتقل المهاجمون بسرعة. يضمن المراجعة والتصحيح المبكر بقاء أنظمتك مرنة.

هنا أبرز الثغرات الخطيرة لهذا الأسبوع للتحقق منها أولاً — CVE-2026-24423 (SmarterTools SmarterMail)، CVE-2026-1281، CVE-2026-1340 (Ivanti Endpoint Manager Mobile)، CVE-2025-40536، CVE-2025-40537، CVE-2025-40551، CVE-2025-40552، CVE-2025-40553 (SolarWinds Web Help Desk)، CVE-2026-22709 (vm2)، CVE-2026-1470، CVE-2026-0863 (n8n)، CVE-2026-24858 (Fortinet FortiOS، FortiManager، FortiAnalyzer، FortiProxy، و FortiWeb)، CVE-2026-21509 (Microsoft Office)، CVE-2025-30248، CVE-2025-26465 (Western Digital)، CVE-2025-56005 (PLY)، CVE-2026-23864 (React Server Components)، CVE-2025-14756 (TP-Link)، CVE‑2026‑0755 (Google gemini-mcp-tool)، CVE-2025-9142 (Check Point Harmony SASE)، CVE-2026-1504 (Google Chrome)، CVE-2025-12556 (كاميرات IDIS IP)، CVE-2026-0818 (Mozilla Thunderbird)، CCVE-2025-52598، CVE-2025-52599، CVE-2025-52600، CVE-2025-52601، CVE-2025-8075 (كاميرات Hanwha Wisenet)، CVE-2025-33217، CVE-2025-33218، CVE-2025-33219، CVE-2025-33220 (برامج تشغيل NVIDIA GPU)، CVE-2025-0921 (Iconics Suite)، CVE-2025-26385 (Johnson Controls)، و SRC-2025-0001، SRC-2025-0002، SRC-2025-0003، SRC-2025-0004 (Samsung MagicINFO 9 Server).

📰 في عالم الأمن السيبراني

• خادم قيادة وتحكم مكشوف يكشف عن بنية تحتية لـ BYOB — اكتشف باحثو الأمن السيبراني دليلاً مفتوحًا على خادم أوامر وتحكم (C2) بعنوان IP 38.255.43[.]60 على المنفذ 8081، والذي تم العثور عليه يقدم حمولات خبيثة مرتبطة بإطار عمل Build Your Own Botnet (BYOB). “الدليل المفتوح يحتوي على نشر كامل لإطار عمل BYOB لما بعد الاستغلال، بما في ذلك برامج الإسقاط، ومحملات التشغيل، والحمولات، ووحدات متعددة لما بعد الاستغلال”، حسبما ذكرت Hunt.io. “يكشف تحليل العينات الملتقطة عن سلسلة عدوى متعددة المراحل مصممة لإنشاء وصول عن بعد دائم عبر منصات Windows و Linux و macOS.” المرحلة الأولى هي برنامج إسقاط ينفذ طبقات متعددة من التعتيم لتجنب الكشف المستند إلى التوقيع، مع جلب وتنفيذ محمل تشغيل وسيط، والذي يقوم بسلسلة من عمليات التحقق الأمني ​​الخاصة به قبل نشر حمولة برنامج الوصول عن بعد (RAT) الرئيسية للاستطلاع والمثابرة. كما تأتي مع قدرات لزيادة الامتيازات، وتسجيل ضغطات المفاتيح، وإنهاء العمليات، وجمع رسائل البريد الإلكتروني، وفحص حركة مرور الشبكة. تم العثور على بنية تحتية إضافية مرتبطة بالجهة الفاعلة في التهديد لاستضافة حمولات تعدين العملات المشفرة، مما يشير إلى نهج مزدوج الاختراق لنقاط النهاية.
• “الغموض الشبح” يعود بتكتيكات جديدة — الجهات الفاعلة في التهديد وراء حملة Operation Phantom Enigma، التي استهدفت المستخدمين البرازيليين لسرقة الحسابات المصرفية في أوائل عام 2025، عادت بشن هجمات مماثلة في خريف عام 2025. تتضمن الهجمات، وفقًا لـ Positive Technologies، إرسال رسائل بريد إلكتروني تصيدية تحمل مواضيع متعلقة بالفواتير لخداع المستخدمين العاديين للنقر على روابط خبيثة لتنزيل مثبت MSI خبيث يقوم بتثبيت امتداد Chrome خبيث يسمى EnigmaBanker على متصفح الضحية لجمع بيانات الاعتماد وإرسالها إلى خادم المهاجم. تم تصميم البرامج الضارة لتنفيذ تعليمات برمجية JavaScript تستورد امتدادًا خبيثًا عبر بروتوكول Chrome DevTools (CDP) بعد تشغيل المتصفح في وضع التصحيح. من ناحية أخرى، تسقط الهجمات التي تستهدف الشركات مثبتًا لبرنامج وصول عن بعد شرعي مثل PDQ Connect أو MeshAgent أو ScreenConnect أو Syncro RMM. يُشتبه في أن الجهات الفاعلة في التهديد وراء الحملة تعمل من أمريكا اللاتينية.
• المهاجمون يستغلون بيانات اعتماد AWS المسروقة لاستهداف AWS WorkMail — تستفيد الجهات الفاعلة في التهديد من بيانات اعتماد Amazon Web Services (AWS) المخترقة لنشر البنية التحتية للتصيد الاحتيالي والبريد العشوائي باستخدام AWS WorkMail، متجاوزة ضوابط مكافحة الانتهاكات التي يفرضها عادةً Amazon Simple Email Service (SES). “هذا يسمح للجهة الفاعلة في التهديد بالاستفادة من سمعة المرسل العالية لـ Amazon للتنكر ككيان تجاري صالح، مع القدرة على إرسال البريد الإلكتروني مباشرة من البنية التحتية لـ AWS المملوكة للضحية”، حسبما ذكرت Rapid7. “إن إنشاء الحد الأدنى من القياس عن بعد الخاص بالخدمة يجعل نشاط الجهات الفاعلة في التهديد صعب التمييز عن النشاط الروتيني. أي منظمة لديها بيانات اعتماد AWS مكشوفة وسياسات إدارة الهوية والوصول (IAM) المتساهلة معرضة للخطر، لا سيما تلك التي لا تحتوي على ضوابط أو مراقبة حول تكوين WorkMail و SES”.
• ملحق VS Code الخبيث يقدم برامج سرقة — تم التعرف على ملحق Visual Studio Code (VS Code) خبيث في Open VSX (“Angular-studio.ng-angular-extension”) يتنكر كأداة لإطار تطوير الويب Angular، ولكنه يحمل وظائف يتم تنشيطها عند فتح أي ملف HTML أو TypeScript. تم تصميمه لتشغيل JavaScript مشفر مسؤول عن جلب حمولة المرحلة التالية من عنوان URL مضمن في حقل المذكرة لمحفظة Solana باستخدام تقنية تسمى EtherHiding عن طريق بناء طلب RPC إلى شبكة Solana الرئيسية. تم تصميم سلسلة العدوى أيضًا بحيث يتم تخطي التنفيذ على الأنظمة التي تطابق مؤشرات اللغة الروسية. “هذا النمط يُلاحظ بشكل شائع في البرامج الضارة التي تنشأ من جهات فاعلة تهديدية ناطقة بالروسية أو مرتبطة بها، ويتم تنفيذه لتجنب الملاحقة القضائية المحلية”، حسبما ذكر Secure Annex. يوفر هذا الهيكل العديد من المزايا: تضمن عدم قابلية تغيير سلسلة الكتل استمرار بيانات التكوين إلى أجل غير مسمى، ويمكن للمهاجمين تحديث عناوين URL للحمولات دون تعديل الامتداد المنشور. الحمولة النهائية التي يتم نشرها كجزء من الهجوم هي برامج سرقة يمكنها سرقة بيانات اعتماد أجهزة المطورين، وإجراء سرقة العملات المشفرة، وإنشاء مثابرة، وسرقة البيانات إلى خادم تم جلبه من حدث تقويم Google.
• جهات فاعلة تستغل ثغرة Adobe Commerce الحرجة — تستمر الجهات الفاعلة في التهديد في استغلال ثغرة حرجة في منصات Adobe Commerce و Magento Open Source (CVE-2025-54236، درجة CVSS: 9.1) لاختراق 216 موقعًا إلكترونيًا حول العالم في حملة واحدة، ونشر أغلفة ويب (web shells) على مواقع Magento في كندا واليابان لتمكين الوصول المستمر في حملة أخرى. “على الرغم من أن الحالات لا تُقيّم كجزء من حملة منسقة واحدة، إلا أن جميع الحوادث تظهر أن الثغرة يتم إساءة استخدامها بنشاط لتجاوز المصادقة، والاختراق الكامل للنظام، وفي بعض الحالات، نشر أغلفة الويب والوصول المستمر”، حسبما ذكر Oasis Security.
• إعلانات Google الخبيثة تؤدي إلى برامج سرقة — يتم استخدام الإعلانات الدعائية على Google عند البحث عن “منظف Mac” أو “مسح ذاكرة التخزين المؤقت لنظام macOS” لإعادة توجيه المستخدمين المطمأنين إلى مواقع مشبوهة مستضافة على Google Docs و Medium لخداعهم لاتباع تعليمات على غرار ClickFix لتقديم برامج سرقة. في تطور ذي صلة، تُستخدم رسائل البريد الإلكتروني التصيدية التي تحمل طابع DHL وتحتوي على أرشيفات ZIP لإطلاق XLoader باستخدام تحميل DLL الجانبي، والذي يستخدم بعد ذلك تقنيات تقويض العمليات (process hollowing) لتحميل Phantom Stealer.
• السلطات الأمريكية تحقق في مزاعم مقاولي Meta بأن محادثات WhatsApp ليست خاصة — تحقق الأجهزة الأمنية الأمريكية في مزاعم قدمها مقاولون سابقون لدى Meta بأن الموظفين في الشركة يمكنهم الوصول إلى رسائل WhatsApp، على الرغم من بيانات الشركة بأن خدمة الدردشة خاصة ومشفرة. زعم المقاولون أن بعض موظفي Meta لديهم وصول “غير مقيد” إلى رسائل WhatsApp، وهو محتوى يجب أن يكون محظورًا، حسبما أفادت بلومبرج. التقرير يتناقض بشكل صارخ مع أسس تشفير WhatsApp، التي تمنع الأطراف الثالثة، بما في ذلك الشركة، من الوصول إلى محتويات الدردشة. “ما يدعيه هؤلاء الأفراد غير ممكن لأن WhatsApp وموظفيها والمتعاقدين معها لا يمكنهم الوصول إلى الاتصالات المشفرة للأشخاص”، حسبما نقلت Meta عن بلومبرج. تجدر الإشارة إلى أنه عندما يبلغ المستخدم عن مستخدم أو مجموعة، يتلقى WhatsApp ما يصل إلى خمسة آخر رسائل تم إرسالها إليهم، إلى جانب البيانات الوصفية الخاصة بهم. هذا يشبه التقاط لقطة شاشة لآخر بضع رسائل، حيث أنها موجودة بالفعل على الجهاز وفي حالة فك تشفير لأن الجهاز لديه “المفتاح” لقراءتها. ومع ذلك، فإن هذه المزاعم تشير إلى وصول أوسع بكثير إلى المنصة.
• اكتشاف برامج PyRAT الجديدة — تم العثور على برنامج حصان طروادة وصول عن بعد (RAT) جديد قائم على Python يسمى PyRAT يظهر قدرات عبر المنصات، وطرق عدوى مستمرة، وميزات وصول عن بعد شاملة. يدعم ميزات مثل تنفيذ أوامر النظام، وعمليات نظام الملفات، وسرد الملفات، وتحميل/تنزيل الملفات، وإنشاء الأرشيفات لتسهيل الاستخراج المجمع للبيانات المسروقة. كما أن البرامج الضارة مزودة بقدرات تنظيف ذاتي لإلغاء تثبيتها من جهاز الضحية ومحو جميع مكونات المثابرة. “يشكل هذا RAT القائم على Python خطرًا ملحوظًا على المنظمات بسبب قدرته عبر المنصات، ووظيفته الواسعة، وسهولة نشره”، حسبما ذكرت K7 Security Labs. “على الرغم من أنه غير مرتبط بجهات فاعلة تهديدية متطورة للغاية، إلا أن فعاليته في الهجمات الواقعية ومعدلات الكشف الملحوظة تشير إلى أنه يستخدم بنشاط من قبل مجرمي الإنترنت ويستحق الاهتمام”. لا يُعرف حاليًا كيفية توزيعه.
• تفاصيل حول تقنية Exfil Out&Look الجديدة — اكتشف باحثو الأمن السيبراني تقنية جديدة تسمى Exfil Out&Look تستغل إضافات Outlook لسرقة البيانات من المؤسسات. “يمكن إساءة استخدام إضافة مثبتة عبر OWA [Outlook Web Access] لاستخراج بيانات البريد الإلكتروني بصمت دون إنشاء سجلات تدقيق أو ترك أي أثر جنائي — وهو تباين صارخ مع السلوك الملاحظ في Outlook Desktop”، حسبما ذكر Varonis. “في المؤسسات التي تعتمد بشكل كبير على سجلات التدقيق الموحدة للكشف والتحقيق، يمكن لهذا النقطة العمياء أن تسمح للإضافات الخبيثة أو المتساهلة للغاية بالعمل دون اكتشاف لفترات طويلة”. يمكن للمهاجم استغلال هذا السلوك لتشغيل الوظيفة الأساسية للإضافة عند إرسال الضحية لبريد إلكتروني، مما يسمح لها باعتراض الرسائل الصادرة وإرسال البيانات إلى خادم طرف ثالث. بعد الإفصاح المسؤول إلى Microsoft في 30 سبتمبر 2025، صنفت الشركة المشكلة على أنها ذات خطورة منخفضة ولم تقدم إصلاحًا فوريًا.
• الخوادم MongoDB المكشوفة مستغلة في هجمات الابتزاز — تم اختراق ما يقرب من نصف خوادم MongoDB المكشوفة على الإنترنت واحتجازها للمطالبة بفدية. استهدف جهة فاعلة تهديدية غير محددة الحالات المتكوّنة بشكل خاطئ لإسقاط ملاحظات فدية على أكثر من 1400 قاعدة بيانات تطالب بدفع مبلغ بالبيتكوين لاستعادة البيانات. وجد تحليل Flare أن هناك أكثر من 208,500 خادم MongoDB مكشوف علنًا، منها 100,000 يكشفون عن معلومات تشغيلية، و 3,100 يمكن الوصول إليها بدون مصادقة. علاوة على ذلك، ما يقرب من نصف (95,000) جميع خوادم MongoDB المكشوفة على الإنترنت تعمل بإصدارات أقدم معرضة لثغرات N-day. “تطالب الجهات الفاعلة في التهديد بدفع مبالغ بالبيتكوين (غالبًا حوالي 0.005 BTC، ما يعادل اليوم 500-600 دولار أمريكي) إلى عنوان محفظة معين، ووعدوا باستعادة البيانات”، حسبما ذكرت شركة الأمن السيبراني. “ومع ذلك، لا يوجد ضمان بأن الجهات الفاعلة لديها البيانات، أو ستقدم مفتاح فك تشفير عامل إذا تم الدفع”.
• نظرة متعمقة على منتديات الويب المظلم — أجرت Positive Technologies نظرة متعمقة على منتديات الويب المظلم الحديثة، ملاحظة أنها في حالة تغير مستمر بسبب تكثيف عمليات إنفاذ القانون، حتى مع تبنيها لتقنيات إخفاء الهوية والحماية مثل Tor و I2P، بالإضافة إلى حواجز الحماية من الروبوتات، وآليات مكافحة الكشط، والإشراف المغلق، ونظام ثقة صارم للهروب من التدقيق وحظر النشاط المشبوه. “ومع ذلك، فإن نتائج هذه التدخلات نادرًا ما تكون نهائية: فإن القضاء على منتدى واحد عادة ما يصبح نقطة انطلاق لظهور منتدى جديد وأكثر استدامة وأمانًا”، حسبما ذكرت. “والميزة الهامة لمثل هذه المنتديات هي المستوى العالي من تطوير الوسائل الفنية للحماية. إذا كانت الأجيال الأولى من منتديات الويب المظلم منصات ويب بدائية غالبًا ما كانت موجودة في الجزء العام من الإنترنت، فإن المنتديات الحديثة هي أنظمة موزعة معقدة ذات بنية تحتية متعددة المستويات، وواجهات برمجة التطبيقات، وروبوتات إشراف، وأدوات تحقق مدمجة، ونظام وصول متعدد المراحل.”
• حملة TA584 تسقط XWorm و Tsundere Bot — لوحظ أن سمسار وصول مبتدئ غزير الإنتاج يُعرف باسم TA584 (المعروف أيضًا باسم Storm-0900) يستخدم Tsundere Bot جنبًا إلى جنب مع حصان طروادة الوصول عن بعد XWorm للحصول على وصول للشبكة لهجمات برامج الفدية المحتملة اللاحقة. يستخدم برنامج XWorm الضار تكوينًا يسمى “P0WER” لتمكين تنفيذه. “في النصف الثاني من عام 2025، أظهر TA584 تغييرات متعددة في سلسلة الهجوم، بما في ذلك اعتماد الهندسة الاجتماعية ClickFix، وتوسيع الاستهداف لاستهداف مناطق ولغات معينة باستمرار، وتقديم برنامج ضار جديد يسمى Tsundere Bot مؤخرًا”، حسبما ذكر Proofpoint. يُقدر أن الجهة الفاعلة في التهديد نشطة منذ عام 2020 على الأقل، لكنها أظهرت وتيرة تشغيل متزايدة منذ مارس 2025. المنظمات في أمريكا الشمالية والمملكة المتحدة وأيرلندا وألمانيا هي الأهداف الرئيسية. رسائل البريد الإلكتروني المرسلة من TA584 تنتحل صفة منظمات مختلفة مرتبطة بكيانات الرعاية الصحية والحكومية، بالإضافة إلى الاستفادة من طُعم مصمم جيدًا وموثوق به لجذب الأشخاص للتفاعل مع المحتوى الخبيث. يتم إرسال هذه الرسائل عبر حسابات مخترقة أو خدمات طرف ثالث مثل SendGrid و Amazon Simple Email Service (SES). “تحتوي الرسائل عادةً على روابط فريدة لكل هدف تقوم بالتسييج الجغرافي وتصفية IP”، حسبما ذكر Proofpoint. “إذا تم اجتياز هذه الفحوصات، يتم إعادة توجيه المستلم إلى صفحة هبوط تتوافق مع الطُعم في البريد الإلكتروني”. وفرت التكرارات المبكرة للحملة مستندات Excel التي تم تمكين وحدات الماكرو فيها تحمل اسم EtterSilent لتسهيل تثبيت البرامج الضارة. الهدف النهائي للهجوم هو بدء سلسلة إعادة توجيه تتضمن أنظمة توجيه حركة مرور طرف ثالث (TDS) مثل Keitaro إلى صفحة CAPTCHA، تليها صفحة ClickFix التي تطلب من الضحية تشغيل أمر PowerShell على نظامها. من بين الحمولات الأخرى التي وزعها TA584 في الماضي Ursine و TA584 و WARMCOOKIE و Xeno RAT و Cobalt Strike و DCRat.
• كوريا الجنوبية ستخطر المواطنين بتسريبات البيانات — ستقوم الحكومة الكورية الجنوبية بإخطار المواطنين عند تعرض بياناتهم في خرق أمني. سيغطي نظام الإخطار الجديد الخروقات المؤكدة، ولكنه سينبه أيضًا الأشخاص الذين قد يكونون متورطين في خرق بيانات، حتى لو لم يتم تأكيد الحالة. ستتضمن هذه التنبيهات أيضًا معلومات حول كيفية طلب التعويض عن الأضرار.
• تفاصيل حول ثغرة Apache bRPC الحرجة — نشرت CyberArk تفاصيل حول ثغرة حرجة تم تصحيحها مؤخرًا في Apache bRPC (CVE-2025-60021، درجة CVSS: 9.8) والتي يمكن أن تسمح للمهاجم بحقن أوامر عن بعد. تكمن المشكلة في نقطة نهاية “/pprof/heap” الخاصة بالمحلل (profiler). “لم تقم خدمة محلل الكومة /pprof/heap بالتحقق من صحة معلمة extra_options المقدمة من المستخدم قبل دمجها في سطر أوامر jeprof”، حسبما ذكرت CyberArk. “قبل الإصلاح، تم إلحاق extra_options مباشرة بسلسلة الأوامر كـ –. نظرًا لأن هذا الأمر يتم تنفيذه لاحقًا لتوليد ناتج التحليل، يمكن للأحرف الخاصة بالشل في المدخلات التي يتحكم فيها المهاجم تغيير الأمر المنفذ، مما يؤدي إلى حقن الأوامر”. نتيجة لذلك، يمكن للمهاجم استغلال نقطة نهاية “/pprof/heap” التي يمكن الوصول إليها لتنفيذ أوامر تعسفية بامتيازات عملية Apache bRPC، مما يؤدي إلى تنفيذ تعليمات برمجية عن بعد. هناك حوالي 181 نقطة نهاية “/pprof/heap” يمكن الوصول إليها علنًا و 790 نقطة نهاية “/pprof/*”، على الرغم من أنه لا يُعرف عددها المعرض لهذه الثغرة.
• جهات فاعلة تستخدم خدعة Unicode جديدة للهروب من الكشف — تستخدم الجهات الفاعلة في التهديد حرف Unicode للقسمة الرياضية (∕) بدلاً من الشرطة المائلة القياسية (/) في الروابط الخبيثة للهروب من الكشف. “الاختلاف الطفيف بين الشرطة المائلة والشرطة الأمامية يتسبب في فشل أنظمة الترشيح الآلية التقليدية والأمني، مما يسمح للروابط بتجاوز الكشف”، حسبما ذكرت شركة أمن البريد الإلكتروني Barracuda. “نتيجة لذلك، يتم إعادة توجيه الضحايا إلى صفحات افتراضية أو عشوائية.”
• الصين تعدم 11 عضوًا من مافيا الاحتيال في ميانمار — نفذت الحكومة الصينية حكم الإعدام بحق 11 عضوًا من عائلة مينغ الذين أداروا مجمعات احتيال سيبراني في ميانمار. تم الحكم على المشتبه بهم في سبتمبر 2025 بعد القبض عليهم في عام 2023. في نوفمبر 2025، تم الحكم بالإعدام على خمسة أعضاء من عصابة إجرامية في ميانمار لدورهم في تشغيل مجمعات احتيال صناعية النطاق بالقرب من الحدود مع الصين. جلبت عمليات احتيال مافيا مينغ وحانات القمار الخاصة بها أكثر من 1.4 مليار دولار بين عامي 2015 و 2023، حسبما أفادت BBC News، نقلاً عن أعلى محكمة في الصين.
• مكتب التحقيقات الفيدرالي يحث المنظمات على تحسين الأمن السيبراني — أطلق مكتب التحقيقات الفيدرالي الأمريكي (FBI) عملية “Winter SHIELD” (اختصار لـ “تأمين البنية التحتية الوطنية من خلال تعزيز الدفاعات المتدرجة”)، وحدد عشرة إجراءات يجب على المنظمات تنفيذها لتحسين المرونة السيبرانية. يشمل ذلك اعتماد مصادقة مقاومة للتصيد الاحتيالي، وتنفيذ برنامج إدارة مخاطر الثغرات الأمنية، وإلغاء تشغيل التكنولوجيا المنتهية الصلاحية، وإدارة مخاطر الطرف الثالث، والحفاظ على سجلات الأمان، والاحتفاظ بنسخ احتياطية غير متصلة بالإنترنت، وجرد الأنظمة والخدمات المواجهة للإنترنت، وتعزيز مصادقة البريد الإلكتروني، وتقليل امتيازات المسؤول، وتنفيذ خطط الاستجابة للحوادث مع جميع أصحاب المصلحة. “توفر Winter SHIELD خارطة طريق عملية للصناعة لتأمين بيئات تكنولوجيا المعلومات (IT) وتكنولوجيا التشغيل (OT) بشكل أفضل، وتقوية البنية التحتية الرقمية للأمة وتقليل سطح الهجوم”، حسبما ذكر مكتب التحقيقات الفيدرالي. “هدفنا بسيط: تحريك الإبرة في المرونة عبر الصناعة من خلال مساعدة المنظمات على فهم أين يركز الخصوم وما هي الخطوات الملموسة التي يمكنهم اتخاذها الآن (والبناء نحو المستقبل) لجعل الاستغلال أكثر صعوبة.”
• 26% فقط من هجمات الثغرات يتم حظرها بواسطة المضيفين — كشف دراسة جديدة أجرتها شركة أمن المواقع PatchStack أن غالبية الثغرات الشائعة الخاصة بـ WordPress لا يتم التخفيف من حدتها بواسطة مزودي خدمة الاستضافة. في اختبار باستخدام 30 ثغرة معروفة بأنها تم استغلالها في هجمات واقعية، وجدت الشركة أن 74٪ من جميع الهجمات أدت إلى استيلاء ناجح على الموقع. “من الثغرات ذات التأثير الكبير، تم حظر هجمات تصعيد الامتيازات بنسبة 12٪ فقط”، حسبما ذكرت Patchstack. “المشكلة الأكبر ليست أن المضيفين لا يهتمون بهجمات الثغرات – بل إنهم يعتقدون أن حلولهم الحالية قد غطتهم.”
• الهجمات السيبرانية أصبحت أكثر توزيعًا في عام 2025 — خلص تقرير Forescout’s Threat Roundup لعام 2025 إلى أن الهجمات السيبرانية أصبحت أكثر توزيعًا عالميًا وتعتمد على السحابة. “في عام 2025، شكلت أكبر 10 دول 61٪ من حركة المرور الخبيثة – بانخفاض 22٪ مقارنة بعام 2024 – وعكسًا للاتجاه الملاحظ منذ عام 2022، عندما كان هذا الرقم 73٪”، حسبما ذكر Forescout. “بمعنى آخر، الهجمات أكثر توزيعًا ويستخدم المهاجمون عناوين IP من بلدان أقل شيوعًا بشكل متكرر”. كانت الولايات المتحدة والهند وألمانيا أكثر البلدان استهدافًا، حيث نشأت 59٪ من الهجمات من عناوين IP التي تديرها شركات الاتصالات، و 17٪ من شبكات الأعمال والحكومة، و 24٪ من مقدمي خدمات الاستضافة أو السحابة. نشأت الغالبية العظمى من الهجمات من الصين وروسيا وإيران. ارتفعت الهجمات التي تستخدم بروتوكولات OT بنسبة 84٪، بقيادة Modbus. يأتي هذا التطور في الوقت الذي كشفت فيه Cisco Talos أن الجهات الفاعلة في التهديد تستغل بشكل متزايد التطبيقات المواجهة للجمهور، لتتجاوز التصيد الاحتيالي في الربع الأخير من عام 2025.
• جوجل توافق على تسوية دعوى خصوصية بـ 68 مليون دولار — وافقت جوجل على دفع 68 مليون دولار لتسوية دعوى جماعية تزعم أن مساعدها الصوتي قام بتسجيل ومشاركة المحادثات الخاصة مع أطراف ثالثة بشكل غير قانوني دون موافقتهم. دارت القضية حول “القبول الخاطئ”، حيث يُقال إن مساعد Google قد تم تنشيطه وتسجيل اتصالات المستخدم حتى في السيناريوهات التي لم يتم فيها استخدام الكلمة الرئيسية الفعلية، “Ok Google”. نفت جوجل أي مخالفة. توصلت Apple إلى تسوية مماثلة بقيمة 95 مليون دولار في ديسمبر 2024 بشأن تسجيلات Siri. وبشكل منفصل، وافقت جوجل على دفع 135 مليون دولار لتسوية دعوى جماعية مقترحة اتهمت الشركة باستخدام بيانات الجوال الخاصة بالمستخدمين بشكل غير قانوني لنقل معلومات النظام إلى خوادمها دون علم المستخدم أو موافقته منذ 12 نوفمبر 2017. كجزء من التسوية، لن تنقل Google البيانات دون الحصول على موافقة من مستخدمي Android عند إعداد هواتفهم. كما ستجعل من السهل على المستخدمين إيقاف عمليات النقل، وستكشف عن عمليات النقل في شروط خدمة Google Play الخاصة بها. يأتي هذا التطور في أعقاب قرار المحكمة العليا الأمريكية بالاستماع إلى قضية ناشئة عن استخدام بكسل تتبع Facebook لمراقبة عادات بث المستخدمين لموقع رياضي.
• ثغرات أمنية في بروتوكول Google Fast Pair — تم العثور على أكثر من اثنتي عشرة طرازًا من سماعات الرأس ومكبرات الصوت معرضة لثغرة أمنية جديدة (CVE-2025-36911، درجة CVSS: 7.1) في بروتوكول Google Fast Pair. يتيح هجوم WhisperPair للجهات الفاعلة في التهديد اختطاف ملحقات المستخدم دون تدخل من المستخدم. في سيناريوهات معينة، يمكن للمهاجمين أيضًا التسجيل كمالكين لهذه الملحقات وتتبع حركة المالكين الحقيقيين عبر Google Find Hub. منحت Google الباحثين 15,000 دولار بعد الإفصاح المسؤول في أغسطس 2025. “يتيح WhisperPair للمهاجمين إقران إكسسوار Fast Pair الضعيف (مثل سماعات الرأس اللاسلكية أو سماعات الأذن) مع جهاز يتحكم فيه المهاجم (مثل الكمبيوتر المحمول) دون موافقة المستخدم”، حسبما ذكر باحثون في مجموعة COSIC بجامعة KU Leuven. “هذا يمنح المهاجم سيطرة كاملة على الملحق، مما يسمح له بتشغيل الصوت بصوت عالٍ أو تسجيل المحادثات باستخدام الميكروفون. ينجح هذا الهجوم في غضون ثوانٍ (متوسط 10 ثوانٍ) على مسافات واقعية (تم اختباره حتى 14 مترًا) ولا يتطلب وصولاً فعليًا إلى الجهاز الضعيف”. في أخبار ذات صلة، تم الكشف عن ثغرة تسرب معلومات (CVE-2025-13834) وثغرة رفض خدمة (DoS) (CVE-2025-13328) في Xiaomi Redmi Buds الإصدارات 3 Pro إلى 6 Pro. “يمكن للمهاجم ضمن نطاق راديو Bluetooth إرسال تفاعلات بروتوكول RFCOMM مصاغة خصيصًا إلى القنوات الداخلية للجهاز دون الاقتران المسبق أو المصادقة، مما يمكّن من الكشف عن بيانات متعلقة بالمكالمات الحساسة أو تشغيل تعطلاتfirmware قابلة للتكرار”، حسبما ذكر مركز تنسيق CERT (CERT/CC).

🎥 ندوات حول الأمن السيبراني

• مكدس SOC الخاص بك معطل – إليك كيفية إصلاحه بسرعة: تغرق فرق SOC الحديثة في الأدوات والتنبيهات والتعقيد. تقطع هذه الجلسة المباشرة مع الرئيس التنفيذي لـ AirMDR Kumar Saurabh والرئيس التنفيذي لـ SACR Francis Odum ضجيجًا – وتوضح ما يجب بناؤه، وما يجب شراؤه، وما يجب أتمتته لتحقيق نتائج حقيقية. تعلم كيف تصمم الفرق الرائدة SOCs فعالة ومنخفضة التكلفة تعمل بالفعل. انضم الآن لاتخاذ قرارات أمنية أذكى.
• الذكاء الاصطناعي يعيد كتابة الأدلة الجنائية السحابية – تعلم كيفية التحقيق بشكل أسرع: تصبح التحقيقات السحابية أصعب مع اختفاء الأدلة بسرعة وتغير الأنظمة دقيقة بدقيقة. الأدلة الجنائية التقليدية لا يمكنها المواكبة. انضم إلى خبراء Wiz لرؤية كيف يُحدث الذكاء الاصطناعي والأدلة الجنائية الواعية بالسياق تحولًا في الاستجابة للحوادث السحابية – مساعدة الفرق على التقاط البيانات الصحيحة تلقائيًا، وربط النقاط بشكل أسرع، وكشف ما حدث حقًا في دقائق بدلاً من أيام.
• ابنِ دفاعك الآمن الكمومي: احصل على إرشادات لقادة تكنولوجيا المعلومات: قد تكسر الحواسيب الكمومية قريبًا التشفير الذي يحمي بيانات اليوم. يسرق المتسللون بالفعل المعلومات المشفرة الآن لفك تشفيرها لاحقًا. انضم إلى ندوة Zscaler عبر الإنترنت لمعرفة كيف يحافظ التشفير ما بعد الكمومي على أمان عملك – باستخدام التشفير الهجين، والثقة الصفرية، وأدوات الأمان الجاهزة للكمومية المصممة للمستقبل.

🔧 أدوات الأمن السيبراني

• Vulnhalla: يفتح CyberArk أداة جديدة تعمل على أتمتة فرز الثغرات من خلال الجمع بين تحليل CodeQL ونماذج الذكاء الاصطناعي مثل GPT-4 أو Gemini. تقوم بفحص مستودعات الكود العامة، وتشغيل استعلامات CodeQL للعثور على مشكلات محتملة، ثم تستخدم الذكاء الاصطناعي لتحديد أي منها يمثل عيوب أمنية حقيقية مقابل نتائج إيجابية خاطئة. هذا يساعد المطورين وفرق الأمان على التركيز بسرعة على المخاطر الحقيقية بدلاً من إضاعة الوقت في فرز نتائج المسح الصاخبة.
• OpenClaw: مساعد ذكاء اصطناعي شخصي يعمل في Cloudflare Workers، ويتصل بـ Telegram و Discord و Slack مع إقران آمن للأجهزة. يستخدم Claude عبر واجهة برمجة تطبيقات Anthropic وتخزين R2 اختياري للمثابرة – مما يوضح كيف يمكن تشغيل وكلاء الذكاء الاصطناعي بأمان في بيئة Cloudflare محدودة ومقيدة.

إخلاء المسؤولية: يتم توفير هذه الأدوات لأغراض البحث والتعليم فقط. لم يتم تدقيقها أمنيًا وقد تسبب ضررًا إذا تم إساءة استخدامها. راجع الكود، واختبر في بيئات خاضعة للرقابة، وامتثل لجميع القوانين والسياسات المعمول بها.

الخلاصة

يستمر الأمن السيبراني في التطور بسرعة. تعرض قصص هذا الأسبوع كيف أن الهجمات والدفاعات والاكتشافات تستمر في تغيير التوازن. البقاء آمنًا الآن يعني البقاء متيقظًا، والاستجابة بسرعة، ومعرفة ما يتغير من حولك.

أ اثبتت الأيام القليلة الماضية أنه لا يوجد أحد صغير جدًا ليكون هدفًا ولا يوجد نظام آمن تمامًا. كل تصحيح، كل تحديث، كل إصلاح له قيمة – لأن التهديدات لا تنتظر.

استمر في التعلم، كن حذرًا، وحافظ على يقظتك. الموجة التالية من الهجمات تتشكل بالفعل.