أفادت تقارير أمنية حديثة بتصاعد وتيرة الهجمات السيبرانية، مستخدمةً ثغرات متنوعة لتصبح نقاط دخول رئيسية. تتنوع هذه الهجمات بين استغلال أدوات موثوقة، إضافات برمجية، إعدادات سحابية، وسير عمل معتاد، مما يكشف عن أساليب متطورة يتبعها المهاجمون.
وتشير هذه التقارير إلى مزيج من الأساليب القديمة والحديثة، بما في ذلك تكتيكات شبكات الروبوتات التقليدية، وأساليب إساءة استخدام الموارد السحابية، والاستعانة بالذكاء الاصطناعي، واستغلال نقاط الضعف في سلاسل الإمداد، وذلك لاختيار المسار الأسهل للوصول.
⚡ تهديد الأسبوع: اختراق Munge
تم اكتشاف ثغرة أمنية خطيرة في Munge، وهي خدمة مصادقة تُستخدم في بيئات الحوسبة عالية الأداء. تسمح هذه الثغرة، المعروفة بالرقم CVE-2026-25506، للمهاجم المحلي بتسريب مفاتيح التشفير من ذاكرة العمليات، مما يمكنه من تزوير شهادات مصادقة للمستخدمين، بما في ذلك صلاحيات الجذر (root).
هذه الثغرة موجودة في الكود منذ ما يقرب من 20 عامًا، وتؤثر على جميع الإصدارات حتى 0.5.17. وقد تم إصدار حل للمشكلة في الإصدار 0.5.18. تتيح الثغرة للمهاجم تزوير رموز Munge صالحة عبر الكتلة الحاسوبية، مما يمثل تصعيدًا محليًا للصلاحيات.
🔔 أهم الأخبار
إصلاح ثغرة حرجة في BeyondTrust: كشفت شركة BeyondTrust عن ثغرة أمنية حرجة في منتجات الدعم عن بعد والمساعدة المميزة عن بعد (Remote Support and Privileged Remote Access)، والتي بدأ استغلالها بنشاط في البرية بعد أقل من 24 ساعة من نشر شرح لاستغلالها. الثغرة، CVE-2026-1731، تسمح للمهاجم غير المصادق عليه بتنفيذ تعليمات برمجية عن بعد.
ووفقًا لـ BeyondTrust، يمكن للمهاجم تنفيذ أوامر نظام التشغيل بصلاحيات المستخدم، مما يؤدي إلى وصول غير مصرح به، أو سرقة بيانات، أو تعطيل الخدمة. أشارت بيانات GeyNoise إلى أن عنوان IP واحد كان مسؤولاً عن 86% من جلسات الاستطلاع المرصودة.
Apple تصدر تحديثات لثغرتين مستغلتين: أصدرت Apple تحديثات لأنظمة iOS وiPadOS وmacOS Tahoe وtvOS وwatchOS وvisionOS لمعالجة ثغرة يوم الصفر (zero-day) التي تم استغلالها في هجمات سيبرانية متطورة ضد أفراد محددين. الثغرة، CVE-2026-20700، هي مشكلة تلف في الذاكرة مرتبطة بـ dyld.
ويمكن أن يسمح استغلالها بتنفيذ تعليمات برمجية عشوائية. وقد شكرت Apple فريق تحليل التهديدات في Google (TAG) على اكتشاف الثغرة والإبلاغ عنها. تم حل المشكلة في إصدارات iOS 26.3 وما بعدها.
SSHStalker يستخدم IRC كمركز قيادة: ظهرت شبكة روبوتات جديدة للينكس تُعرف باسم SSHStalker، وتستخدم بروتوكول الدردشة عبر الإنترنت (IRC) لعمليات القيادة والتحكم (C2). تركز هذه الشبكة على المتانة، النطاق الواسع، وتكاليف C2 المنخفضة.
يعتمد SSHStalker على المسح الآلي لـ SSH وهجمات القوة الغاشمة، مستخدمًا ملفاً ثنائيًا بلغة Go يتنكر في هيئة أداة اكتشاف الشبكات nmap. وتُستخدم الأجهزة المخترقة لمسح أهداف SSH إضافية، مما يسمح بالانتشار السريع. كما يتم تنزيل حمولات إضافية لتصعيد الصلاحيات، وسرقة مفاتيح AWS، والتعدين.
TeamPCP تستغل البنية التحتية السحابية: تستهدف مجموعة التهديدات TeamPCP بشكل منهجي البيئات السحابية ذات التهيئة الخاطئة والمكشوفة، وتسخر بنيتها التحتية لتحقيق عائدات مالية عبر تعدين العملات المشفرة، وخدمات الوكيل (proxyware)، وسرقة البيانات، والابتزاز.
يشمل أسلوب TeamPCP البحث عن واجهات برمجة تطبيقات Docker المكشوفة، ومجموعات Kubernetes، وخوادم Redis، وألواح معلومات Ray، والأنظمة المعرضة لثغرة React2Shell. بمجرد الوصول، يقوم المهاجم بتثبيت برامج نصية خبيثة تستدعي حمولات إضافية، بما في ذلك أدوات الاتصال المستمر.
مهاجمون مدعومون من دول يستخدمون الذكاء الاصطناعي: أعلنت Google عن أدلة على أن مجموعات القرصنة الحكومية تستخدم روبوت الدردشة بالذكاء الاصطناعي Gemini في مراحل متعددة من دورة الهجوم السيبراني. يشير هذا إلى تزايد دمج أدوات الذكاء الاصطناعي في العمليات الخبيثة، حتى لو لم تزود المهاجمين بقدرات جديدة تمامًا.
أحد مجالات القلق الرئيسية هو أتمتة تطوير استغلال الثغرات، مما يسمح للمهاجمين بالتحرك بسرعة أكبر. ويتم أيضًا استخدام Gemini في طرق أخرى، مثل دمج واجهات برمجة التطبيقات الخاصة به مباشرة في التعليمات البرمجية الخبيثة، كما هو الحال في عائلة البرامج الضارة HONESTCUE.
قراصنة مدعومون من دول يستهدفون القاعدة الصناعية الدفاعية: تتوسع التهديدات الرقمية التي تستهدف قطاع القاعدة الصناعية الدفاعية (DIB) لتشمل هجمات سلسلة التوريد، واختراق القوى العاملة، والعمليات السيبرانية التي تمنح الدول ميزة استراتيجية. تأتي هذه التطورات مع تزايد تداخل المجال السيبراني مع الدفاع الوطني.
تواجه قطاع DIB “وابلًا مستمرًا” من العمليات السيبرانية التي يقوم بها جهات فاعلة مدعومة من دول وجماعات إجرامية، مدفوعة بشكل أساسي من جهات فاعلة صينية وإيرانية وكورية شمالية وروسية. ويشمل ذلك أيضًا جهودًا استباقية لاختراق الأجهزة الطرفية عبر ثغرات يوم الصفر لضمان الوصول المستمر.
️🔥 الثغرات الشائعة (CVEs)
تظهر ثغرات جديدة يوميًا، ويتحرك المهاجمون بسرعة. يؤدي مراجعة وإصلاح الثغرات مبكرًا إلى الحفاظ على مرونة أنظمتك.
أبرز الثغرات الخطيرة التي يجب التحقق منها هذا الأسبوع تشمل: CVE-2026-2441 (Google Chrome)، CVE-2026-20700 ( Apple)، CVE-2026-1731 (BeyondTrust)، وعدة ثغرات في Microsoft Windows، بالإضافة إلى ثغرات أخرى في أدوات ومنصات متنوعة.
🎥 ندوات عبر الإنترنت حول الأمن السيبراني
- الأمن المستعد للكموميوم: استكشف كيف يمكن للتشفير ما بعد الكمومي (PQC) حماية البيانات الحساسة، وضمان الامتثال، وإعداد مؤسستك للتهديدات المستقبلية.
- وكلاء الذكاء الاصطناعي يوسعون نطاق الهجوم: تعرف على كيفية قيام وكلاء الذكاء الاصطناعي بتصفح الويب وتشغيل التعليمات البرمجية والوصول إلى أنظمة الشركة، وما هي المخاطر الأمنية الجديدة التي تنشأ.
- تحليل أسرع لاختراق السحابة: تعلم كيف تساعد الأدوات والبيانات المستندة إلى السياق في التحقيق في الحوادث السحابية بشكل أسرع.
📰 في عالم الأمن السيبراني
- تفاصيل حول عصابة برامج الفدية DragonForce: تم الكشف عن تفاصيل عمل مجموعة برامج الفدية DragonForce، التي تعمل منذ ديسمبر 2023، وتتبع نموذج (Ransomware-as-a-Service (RaaS، وتُروّج لنفسها كـ “عصابة” لتوسيع نفوذها.
- تقنية بصمات متصفح جديدة تستخدم فلاتر حظر الإعلانات: يشير بحث جديد إلى أن قوائم فلاتر حظر الإعلانات الخاصة بالبلدان والمثبتة على المتصفح يمكن استخدامها لإزالة إخفاء هوية مستخدمي VPN.
- عودة هادئة لـ Tianfu Cup الصينية: عادت مسابقة القرصنة Tianfu Cup الصينية، وهي تحت إشراف الحكومة، بعد توقف. أثارت المسابقة اهتمامًا في عام 2021 بإظهار ثغرات نقدية في الأجهزة والبرامج.
- موظف في وزارة الدفاع الأمريكية متهم بالعمل كـ “صراف أموال”: تم توجيه اتهام لموظف في وزارة الدفاع الأمريكية، صمويل د. ماركوس، بالعمل كـ “صراف أموال” وغسيل ملايين الدولارات لصالح محتالين نيجيريين.
- Palo Alto Networks لم تربط TGR-STA-1030 بالصين: تسبب أسباب تتعلق بالانتقام الانتقامي المحتمل من بكين، اختارت Palo Alto Networks عدم ربط حملة تجسس سيبراني واسعة النطاق بالصين.
- Trend Micro تفصل في تصنيف جديد للجهات الفاعلة في التهديدات: وضعت Trend Micro إطار عمل جديدًا لتحديد الجهات الفاعلة في التهديدات، يطبق تقييمًا موحدًا للأدلة ورسم خرائط للعلاقات.
- زيادة تدفقات العملات المشفرة إلى خدمات الاتجار بالبشر المشتبه بها: ارتفعت تدفقات العملات المشفرة إلى خدمات الاتجار بالبشر المشتبه بها، والتي يقع مقر معظمها في جنوب شرق آسيا، بنسبة 85% في عام 2025.
- ثغرة أمنية في Munge: تم الكشف عن ثغرة أمنية عالية الخطورة في Munge قد تسمح لمهاجم محلي بتسريب مفتاح تشفير من ذاكرة العمليات.
- حملة جديدة توزع Lumma Stealer ومتصفح Ninja: تستغل حملة برامج ضارة واسعة النطاق خدمات Google الموثوقة لتوزيع Lumma Stealer ومتصفح Ninja المخترق.
- Disney توافق على غرامة 2.75 مليون دولار: وافقت شركة Walt Disney على غرامة بقيمة 2.75 مليون دولار مع ولاية كاليفورنيا ردًا على مزاعم انتهاك قانون خصوصية المستهلك.
- بيانات الاعتماد المسربة عرضت أنظمة المطارات لمخاطر أمنية: اكتشفت CloudSEK أن بيانات اعتماد تسجيل الدخول لبوابة خدمة مطار أوروبية من الطرف الرابع كانت متداولة في منتديات تحت الأرض.
🔧 أدوات الأمن السيبراني
- SCAM (Security Comprehension Awareness Measure): مقياس من 1Password يختبر مدى أمان تعامل وكلاء الذكاء الاصطناعي مع المعلومات الحساسة في مواقف العمل.
- Quantickle: أداة تصور رسوم بيانية عبر المتصفح مصممة لمساعدة المحللين في رسم خرائط واستكشاف بيانات استخبارات التهديدات.
إخلاء مسؤولية: تم تقديم هذه الأدوات لأغراض البحث والتعليم فقط. لا تتم مراجعتها بشكل أمني وقد تسبب ضررًا إذا أسيء استخدامها.
الخلاصة
تُظهر هذه الحوادث مجتمعة كيف تنتشر أنشطة التهديد عبر كل طبقة. أدوات المستخدم، وبرامج المؤسسات، والبنية التحتية السحابية، والأنظمة الوطنية، كلها أصبحت أهدافًا. تختلف نقاط الدخول، لكن الهدف يظل كما هو: اكتساب الوصول بهدوء، ثم توسيع التأثير بمرور الوقت.
القصص المذكورة أعلاه ليست مجرد تنبيهات منفصلة. بل عند قراءتها مجتمعة، فإنها تحدد أين تتزايد الضغوط، وأين من المحتمل أن يتم اختبار الدفاعات في الأسابيع المقبلة.