شهدت الأخبار الأمنية الإلكترونية سلسلة من التطورات الهامة خلال الأسبوع الماضي، حيث تم اكتشاف ثغرات حرجة واستغلالها، وظهور برمجيات خبيثة جديدة، وتأتي هذه التطورات لتؤكد على التحديات المستمرة التي تواجه قطاع الأمن السيبراني.
في ظل التطور المتسارع للتهديدات الرقمية، تسلط هذه التطورات الضوء على ضرورة اليقظة المستمرة وتحديث الإجراءات الأمنية لمواجهة المخاطر المتجددة والمتنوعة التي تهدد الأفراد والمؤسسات على حد سواء.
فيما يلي أبرز المستجدات في عالم الأمن السيبراني، والتي تستدعي انتباه المختصين لمواجهة التحديات القائمة.
⚡ تهديد الأسبوع: ثغرة خطيرة في Dell RecoverPoint for VMs
تم استغلال ثغرة أمنية خطيرة للغاية في نظام Dell RecoverPoint for Virtual Machines كـ “ثغرة يوم الصفر” (Zero-Day) منذ منتصف عام 2024، من قبل مجموعة تهديدات يُشتبه في ارتباطها بالصين، والتي تُعرف باسم UNC6201. تستغل هذه الهجمات الثغرة CVE-2026-22769، ذات درجة خطورة قصوى (CVSS score: 10.0)، والتي تتعلق بوجود بيانات اعتماد مدمجة في النظام.
وفقًا لتقرير جوجل، سمحت بيانات الاعتماد “admin” المدمجة هذه بالوصول غير المصرح به إلى واجهة Dell RecoverPoint Tomcat Manager. تمكن المهاجمون من تحميل برنامج خبيث (web shell) يُدعى SLAYSTYLE، وتنفيذ أوامر بصلاحيات الجذر (root) على الجهاز، لزرع برمجية خبيثة تُعرف باسم BRICKSTORM، وإصداراتها الأحدث مثل GRIMBOLT.
🔔 أهم الأخبار
مهندسون سابقون في جوجل يواجهون اتهامات بسرقة أسرار تجارية
تم توجيه اتهامات في الولايات المتحدة ضد اثنين من المهندسين السابقين في جوجل وزوج أحدهما، بزعم ارتكاب سرقة أسرار تجارية من الشركة وغيرها من شركات التكنولوجيا، ونقل المعلومات إلى مواقع غير مصرح بها، بما في ذلك إيران. وُجهت لـ “سمانة غندالي” (41 عامًا) وزوجها “محمدجواد خسروي” (40 عامًا)، وشقيقتها “سرور غندالي” (32 عامًا)، اتهامات بالتآمر لارتكاب سرقة أسرار تجارية، وسرقة ومحاولة سرقة أسرار تجارية، وإعاقة سير العدالة.
يُزعم أن المتهمين قاموا بنقل مئات الملفات الحساسة إلى منصة اتصالات لطرف ثالث، ثم الوصول إليها من إيران بعد سفر “سمانة غندالي” و”خسروي” إلى إيران في ديسمبر 2023.
برمجية PromptSpy الخبيثة تستغل Gemini للبقاء نشطة على أندرويد
حلل باحثون في ESET ما وصفوه بأنه أول برمجية خبيثة لنظام أندرويد تستغل الذكاء الاصطناعي التوليدي (AI) أثناء تنفيذها لضمان استمرار نشاطها. تُعرف هذه البرمجية باسم PromptSpy، وتستخدم Gemini من جوجل لتحليل الشاشة الحالية وتقديم تعليمات خطوة بخطوة لضمان بقاء التطبيق الخبيث مثبتًا في قائمة التطبيقات الأخيرة، وذلك بالاستفادة من خدمات الوصول لنظام التشغيل.
تُشير الدلائل إلى أن الحملة تستهدف بشكل خاص مستخدمين في الأرجنتين. وأفادت جوجل لـ The Hacker News بأنها لم تعثر على أي تطبيقات تحتوي على هذه البرمجية الخبيثة موزعة عبر متجر Google Play.
هاتف ناشط كيني يتم اختراقه باستخدام أداة Cellebrite
ظهرت أدلة تفيد بأن السلطات الكينية استخدمت أداة استخراج بيانات جنائية تجارية من شركة Cellebrite الإسرائيلية لاختراق هاتف أحد المعارضين البارزين. ووجد Citizen Lab مؤشرات على ذلك في هاتف شخصي يعود لـ “بونيفاس موانجي”، وهو ناشط كيني مؤيد للديمقراطية أعلن عن نيته الترشح للرئاسة في عام 2027.
في تطور ذي صلة، وجدت منظمة العفو الدولية أن هاتف “تيكسيرا كانديدو”، وهو صحفي أنغولي ومدافع عن حرية الصحافة، قد تعرض للاستهداف بنجاح باستخدام برنامج التجسس Predator من Intellexa في مايو 2024، بعد أن فتح رابطًا مصابًا عبر WhatsApp.
اكتشاف برمجية خبيثة جديدة مثبتة مسبقًا على أندرويد تسمى Keenadu
قالت شركة كاسبرسكي إن برمجية تجسس (backdoor) جديدة لنظام أندرويد، مضمنة بعمق في برنامج الجهاز الثابت (firmware)، يمكنها جمع البيانات بصمت والتحكم عن بعد في سلوك الجهاز. يُقال إن البرمجية الخبيثة، التي تحمل الاسم الرمزي Keenadu، تم تسليمها عبر برنامج ثابت مخترق من خلال تحديث عبر الهواء (OTA). تسمح هذه الطريقة بتشغيلها بصلاحيات عالية منذ لحظة تفعيل الجهاز، مما يمنح المهاجمين سيطرة واسعة على الجهاز.
يمكنها أيضًا إصابة تطبيقات أخرى مثبتة، ونشر برامج إضافية من ملفات APK، ومنح تلك التطبيقات أي إذن متاح على النظام. بمجرد تنشيطها، ترث Keenadu صلاحيات مرتفعة وتعمل بأقل قدر من الظهور. الزنهافaha البرمجية الخبيثة فقط تحت ظروف محددة، وتبقى خاملة على الأجهزة التي تم ضبطها على لغات أو مناطق زمنية صينية، وتلك التي تفتقر إلى متجر Google Play وخدمات Google Play. ومع ذلك، لا يقتصر توزيع Keenadu على مكونات النظام المثبتة مسبقًا. في بعض الحالات، لوحظ أن البرمجية الخبيثة مضمنة أيضًا في تطبيقات موزعة من خلال متاجر تطبيقات أندرويد. ومع ذلك، هناك القليل جدًا الذي يمكن للمستخدم فعله عندما يتم تثبيت برمجية خبيثة مسبقًا على جهازه اللوحي الجديد. نظرًا لوجود المكونات الخبيثة في البرنامج الثابت بدلاً من تثبيتها لاحقًا كتطبيقات، قد يواجه المستخدمون المتأثرون صعوبة في اكتشافها أو إزالتها بالطرق التقليدية. لم يتم عزو النشاط إلى جهة تهديد محددة، لكن كاسبرسكي ذكرت أن المطورين أظهروا “فهمًا عميقًا لبنية أندرويد، وعملية بدء تشغيل التطبيق، والمبادئ الأمنية الأساسية لنظام التشغيل”.
اختبار ادعاءات “المعرفة الصفرية” لمديري كلمات المرور
قوضت دراسة جديدة أجراها باحثون من ETH Zurich وجامعة Università della Svizzera italiana ادعاءات من Bitwarden و Dashlane و LastPass بأن مديري كلمات المرور يضمنون “المعرفة الصفرية” – وهو تأكيد يفيد بعدم وجود طريقة لمطلع داخلي خبيث أو جهة تهديد نجحت في اختراق البنية التحتية السحابية للوصول إلى بيانات الخزنة. على وجه التحديد، وجدوا أن هذه الادعاءات غير صحيحة في جميع الظروف، خاصة عند تفعيل استرداد الحساب، أو تعيين مديري كلمات المرور لمشاركة الخزنات أو تنظيم المستخدمين في مجموعات.
الهجمات الأكثر خطورة، والتي استهدفت Bitwarden و LastPass، يمكن أن تسمح لمطلع داخلي أو مهاجم بقراءة أو كتابة محتويات خزائن بأكملها. تتيح الهجمات الأخرى قراءة وتعديل الخزنات المشتركة. “يمكن منع الهجمات على البنية التحتية لمزود الخدمة من خلال تدابير أمنية تشغيلية مصممة بعناية، ولكن من المعقول تمامًا افتراض أن هذه الخدمات مستهدفة من قبل خصوم متطورين على مستوى الدول، على سبيل المثال عبر هجمات سلسلة توريد البرامج أو التصيد الاحتيالي،” قال الباحثون.
️🔥 الثغرات الشائعة (CVEs)
تظهر ثغرات جديدة يوميًا، والمهاجمون يتحركون بسرعة. يساعد التحديث والترقيع المبكر في الحفاظ على مرونة أنظمتك.
فيما يلي أهم الثغرات الحرجة التي يجب التحقق منها هذا الأسبوع – CVE-2026-22769 (Dell RecoverPoint for Virtual Machines)، CVE-2026-25926 (Notepad++), CVE-2026-26119 (Microsoft Windows Admin Center)، CVE-2026-2329 (Grandstream GXP1600 series)، CVE-2025-65717 (Live Server)، CVE-2026-1358 (Airleader Master)، CVE-2026-25108 (FileZen)، CVE-2026-25084، CVE-2026-24789 (ZLAN)، CVE-2026-2577 (Nanobot)، CVE-2026-25903 (Apache NiFi)، CVE-2026-26019 (@langchain/community)، CVE-2026-1670 (Honeywell CCTV)، CVE-2025-7740 (Hitachi Energy SuprOS)، CVE-2025-61928 (better-auth)، CVE-2026-20140 (Splunk Enterprise for Windows)، CVE-2026-27118 (@sveltejs/adapter-vercel)، CVE-2026-27099، CVE-2026-27100 (Jenkins)، CVE-2026-24733 (Apache Tomcat)، CVE-2026-2648، CVE-2026-2649، CVE-2026-2650 (Google Chrome)، CVE-2025-29969 (Windows Fundamentals)، CVE-2025-64127، CVE-2025-64128، CVE-2025-64129، CVE-2025-64130 (Zenitel)، CVE-2025-32355، CVE-2025-59793 (TRUfusion Enterprise)، CVE-2026-1357 (WPvivid Backup plugin)، CVE-2025-9501 (W3 Total Cache plugin)، CVE-2025-13818 (ESET Management Agent for Windows)، CVE-2025-11730 (ZYXEL ATP/USG series)، CVE-2025-67303 (ComfyUI)، وثغرات قراءة/حذف ملفات غير مصادق عليها وحقن SQL في Novarain/Tassos Framework (بدون CVEs).
🎥 ندوات عبر الإنترنت حول الأمن السيبراني
- تعلم كيف تجعل تشفيرك جاهزًا للمستقبل قبل أن يكسره الكمّ الحاسوبي → تتسارع الحوسبة الكمومية، ويقوم المهاجمون بجمع البيانات المشفرة لفك تشفيرها مستقبلًا. تغطي هذه الندوة التشفير الكمومي ما بعد التشفير العملي، والتشفير الهجين، واستراتيجيات الثقة الصفرية لحماية البيانات الحساسة قبل أن تصبح التهديدات الكمومية حقيقية.
- ما وراء النموذج: تأمين وكلاء الذكاء الاصطناعي في الأنظمة الواقعية → مع قيام المؤسسات بنشر وكلاء ذكاء اصطناعي مستقلين لديهم إمكانية الوصول إلى الأدوات وصلاحيات النظام، يتحول سطح الهجوم إلى ما وراء النموذج نفسه. تستكشف هذه الجلسة مشاكل الحقن غير المباشر للأوامر، وتصعيد الامتيازات، ومخاطر تعدد الوكلاء، واستراتيجيات عملية لتأمين أنظمة الذكاء الاصطناعي الواقعية دون تعطيل سير العمل.
- اختبر ضوابطك من خلال التحقق المستمر المستند إلى استخبارات التهديدات السيبرانية (CTI) → تتزايد ميزانيات الأمن، ومع ذلك تستمر الاختراقات. توضح هذه الجلسة كيف يمكن الانتقال من الاختبار القائم على الافتراضات إلى التحقق المستمر من التعرض المستند إلى CTI – اختبار الضوابط ضد سلوك المهاجمين الفعلي، وأتمتة الفحوصات الأمنية، وبناء مرونة قابلة للقياس دون إنفاق مبالغ زائدة.
📰 حول العالم السيبراني
- متجر إلكتروني مصاب ببرمجية “المتسلل” (Skimmer) → تم إصابة المتجر الإلكتروني لسلسلة متاجر عالمية كبرى ضمن أفضل 10 متاجر ببرمجية “متسلل” (skimmer) تقوم بفحص مستخدمي الإدارة لأنظمة WordPress، Magento، PrestaShop، و OpenCart لتجنب الاكتشاف. “يجمع هذا الهجوم بين مكونين: إطار متسلل جاهز يبدو للوهلة الأولى مع تكاملات لأربع منصات تجارة إلكترونية شهيرة، ونموذج دفع وهمي مُخصص بعناية،” قالت Sansec. “تُسمى هذه الاحتيال “تسلل مزدوج”: يقوم العملاء بإدخال تفاصيل بطاقتهم في النموذج المزيف أولاً، ثم يرون نموذج الدفع الحقيقي حيث يتعين عليهم إدخال بياناتهم مرة أخرى. معظم الناس تقبل ذلك وتكمل الطلب، غير مدركين أنه تم سرقة بياناتهم للتو.” يتزامن هذا الخرق مع موجة أوسع من الهجمات التي تستهدف متاجر PrestaShop. في يناير 2026، حثّت PrestaShop التجار على فحص متاجرهم بحثًا عن برامج متسللة تم حقنها في ملفات قوالب السمات.
- نيجيريا تعتقل 7 أشخاص يديرون مركز احتيال → ألقت السلطات النيجيرية القبض على سبعة مشتبه بهم كانوا يديرون مركز احتيال سيبراني في مدينة أغبور. استخدمت المجموعة إعلانات وسائل التواصل الاجتماعي لجذب ضحايا من المملكة المتحدة إلى بوابات استثمار وهمية للعملات المشفرة. من المحتمل استخدام مئات الحسابات المزيفة على فيسبوك لاستهداف الضحايا. “باستخدام هذه الحسابات الوهمية لوسائل التواصل الاجتماعي لانتحال صفة تجار العملات المشفرة، استهدفوا الأشخاص الذين يستخدمون منصات استثمار مشروعة، ونشروا مراجعات إيجابية كاذبة لجذب الناس لإرسال الأموال إلى المحتالين،” قالت الوكالة الوطنية لمكافحة الجريمة (NCA) في المملكة المتحدة. وقد صرحت Meta بأنها تعمل مع جهات إنفاذ القانون لتحديد وإزالة جميع الحسابات المستخدمة في هذه العمليات. “استخدمت المجموعة حسابات مزيفة على وسائل التواصل الاجتماعي لانتحال صفة تجار العملات المشفرة، إلى جانب مجموعات فيسبوك وهمية تتميز بشهادات ملفقة، لاستهداف الأفراد الذين يتفاعلون مع منصات الاستثمار المشروعة،” أضافت. في النصف الأول من عام 2025، لاحظت الشركة أنها أزالت 12 مليون حساب عبر Facebook و Instagram و WhatsApp مرتبطة بمراكز احتيال إجرامية.
- تحليل بروتوكول LonTalk → سلطت Claroty الضوء على المخاطر الأمنية التي يشكلها بروتوكول LonTalk الخاص، والذي يُستخدم للاتصال من جهاز إلى جهاز في أنظمة إدارة المباني والأتمتة (BMS و BAS). “لا ينبغي الاستهانة بـ LonTalk كمتجه هجوم للقراصنة الكيانات الإجرامية، خاصة وأن BMS ممكّن عبر شبكات IP،” قالت الشركة. “لا يزال LonTalk ذا صلة بشكل مؤكد بمناقشات الأمن السيبراني لأنظمة BMS، خاصة مع دخول BMS إلى الإنترنت لعدد من الأسباب الاستراتيجية ولتحسين الأرباح. تعتمد قطاعات العقارات التجارية، والتجزئة، والضيافة، ومراكز البيانات على أنظمة BMS مثل HVAC (التدفئة والتهوية وتكييف الهواء)، والإضاءة، وإدارة الطاقة، والأمن. في السابق، كانت هذه الأنظمة تُدار بشكل مستقل من قبل إدارة المرافق، ولكنها الآن متصلة ومدمجة بشكل متزايد من خلال إمكانيات BMS و BAS المتقدمة.”
- GrayCharlie يستخدم مواقع WordPress المخترقة لتوزيع RATs → لوحظ أن جهة تهديد معروفة باسم GrayCharlie (المعروفة أيضًا باسم HANEYMANEY، SmartApeSG، و ZPHP) تقوم باختراق مواقع WordPress وحقنها بروابط لبرامج JavaScript مستضافة خارجيًا تقوم بإعادة توجيه الزوار إلى payloads NetSupport RAT يتم تسليمها عبر صفحات تحديث متصفح مزيفة أو آليات ClickFix. ظهر التهديد لأول مرة في منتصف عام 2023. “غالبًا ما تتطور هذه الإصابات إلى نشر StealC و SectopRAT،” قالت Recorded Future. في حين أن معظم المواقع المخترقة تبدو عشوائية وتمتد عبر صناعات متعددة، فإن شركة الأمن السيبراني ذكرت أنها حددت مجموعة من مواقع شركات المحاماة الأمريكية التي ربما تم اختراقها حوالي نوفمبر 2025، من المحتمل أن يكون ذلك عبر هجوم سلسلة توريد يتضمن مزود خدمة تكنولوجيا معلومات مشترك.
- لماذا “تحديث كل شيء” هو وصفة للإرهاق → كشف تقرير Dataminr السنوي عن مشهد التهديدات السيبرانية لعام 2026 أن “عجلة التحديث معطلة”، مدفوعة بالاعتماد على درجات CVSS وزيادة في تجاوزات التحديث، حيث لا تعالج الشركات الموردة الأسباب الجذرية للمشكلات، مما يفتح الباب لإعادة استغلالها من قبل جهات التهديد بعد أيام أو أسابيع من إصدار التحديث الأولي. “مع وجود آلاف الثغرات (CVEs) التي يتم الكشف عنها سنويًا، لا يمكن لفرق الأمان الاعتماد فقط على درجة خطورة الثغرة الشائعة (CVSS) لتحديد ما يجب تحديثه،” قالت Dataminr. “تركز هذه الدرجات على التأثيرات التقنية للثغرة، ولكنها لا تخبرك بالكثير عن المخاطر الفعلية لمؤسستك. يجب أن يكون هناك توازن بين CVSS، والتأثير الاقتصادي المحتمل، والتعرض، واحتمالية الاستهداف. يجب أن يتحول التركيز من “هل هذه ثغرة حرجة؟” إلى “هل يتم استهداف هذه الثغرة المحددة في قطاعي، وهل يمكن للمهاجم الوصول فعليًا إلى كنوزي من خلالها؟””.
- حملات التصيد الاحتيالي في تايوان توزع Winos 4.0 → استهدفت حملات التصيد الاحتيالي تايوان بمواضيع مصممة لاستغلال عمليات الأعمال المحلية وفي النهاية تسليم حصان طروادة معروف للوصول عن بعد يُدعى Winos 4.0 (المعروف أيضًا باسم ValleyRAT) وملحقات خبيثة عبر مرفقات سلاح أو روابط مضمنة. “تحاكي الطُعم الاتصالات الرسمية، مثل إشعارات تدقيق الضرائب، وبرامج تثبيت برامج إيداع الضرائب، وتنزيلات فواتير البريد الإلكتروني المستندة إلى السحابة،” قالت Fortinet FortiGuard Labs. “على مدار الشهرين الماضيين، حددنا تقنيات تسليم مختلفة، بما في ذلك ملفات LNK الخبيثة المستخدمة لوظيفة تنزيل، وتحميل DLL جانبي عبر ملفات تنفيذية مشروعة لتحميل shellcode، وهجمات BYOVD (إحضار برنامج تشغيل ضعيف خاص بك) باستخدام ‘wsftprm.sys.'” يُستخدم برنامج التشغيل لإنهاء العمليات المتعلقة بقائمة مدمجة ببرامج الأمان. استخدام Winos 4.0 فريد من نوعه لمجموعة جريمة سيبرانية صينية معروفة باسم Silver Fox.
- Teams تحصل على حماية انتحال العلامة التجارية → أعلنت Microsoft أنها ستبدأ في طرح حماية انتحال العلامة التجارية للمكالمات على Teams بدءًا من منتصف مارس 2026 للكشف عن المكالمات الخارجية المشبوهة وتحذير المستخدمين منها لتقليل مخاطر الاحتيال. “سيتم تمكينها افتراضيًا، ولا تتطلب أي إجراء إداري، وتهدف إلى تعزيز الأمان دون تغيير السياسات الحالية،” قالت Microsoft. تخطط الشركة أيضًا لتقديم ميزة “الإبلاغ عن مكالمة” بحلول منتصف مارس 2026 للسماح للمستخدمين بالإبلاغ عن المكالمات الفردية المشبوهة.
- 2025 يسجل 508 تحذيرات ICS من CISA → بين مارس 2010 و 31 يناير 2026، نشرت CISA/ICS-CERT 3,637 تحذيرًا لأنظمة ICS حول 12,174 ثغرة تؤثر على 2,783 منتجًا من 689 موردًا، حسبما ذكرت Forescout. سجل عام 2025 ذروة بلغت 508 تحذيرات ICS، تغطي 2,155 ثغرة عبر منتجات وموردين مختلفين. يمثل هذا التطور العام الأول الذي يتجاوز 500 تحذير. ارتفع متوسط الشدة إلى درجة CVSS تبلغ 8.07 وتم تصنيف 82% من التحذيرات على أنها عالية أو حرجة. في المقابل، في عام 2010، كان المتوسط 6.44، وتم تصنيفه على أنه متوسط الشدة.
- Microsoft تطلق LiteBox → أصدرت Microsoft مشروع LiteBox، وهو مشروع قائم على Rust موصوف بأنه “نظام تشغيل مكتبي يوفر بيئة معزولة تقلل بشكل كبير الواجهة إلى المضيف، وبالتالي تقلل سطح الهجوم”. بالتعاون مع مشروع Linux Virtualization Based Security (LVBS)، الهدف هو عزل التطبيقات عن طريق تقليل التفاعلات مع النظام المضيف ودعم حالات استخدام مختلفة مثل تشغيل برامج Linux على Windows أو عزل تطبيقات Linux.
- ChainedShark تستهدف قطاع البحث الصيني → تستهدف مجموعة APT جديدة تحمل اسم ChainedShark قطاع البحث العلمي والأكاديمي في الصين. المجموعة، النشطة منذ مايو 2024، تركز بشكل أساسي على جمع المعلومات الاستخباراتية حول الدبلوماسية الصينية والتكنولوجيا البحرية. شمل الضحايا السابقون جامعات ومؤسسات بحثية متخصصة في العلاقات الدولية. يدمج ترسانتها استغلالات الثغرات القديمة (N-day) وبرامج خبيثة مخصصة معقدة للغاية مثل LinkedShell. “يُظهر ChainedShark دوافع جيوسياسية واضحة، حيث يركز هجماته على الخبراء والعلماء في العلاقات الدولية والعلوم البحرية داخل المؤسسات الأكاديمية والبحثية الصينية،” قالت NSFOCUS. “تُظهر المجموعة قدرات هندسة اجتماعية قوية، حيث تصيغ طُعومًا صينية بطلاقة وطبيعية وعالية الجودة. تستغل ببراعة السيناريوهات المهنية – مثل دعوات المؤتمرات والدعوات الأكاديمية لتقديم الأوراق – لإنشاء نواقل هجوم خادعة، مما يقلل بفعالية من حذر الأهداف.”
- تطبيق Samsung Weather كطريقة لتحديد بصمات المستخدمين → كشفت أبحاث جديدة أن تطبيق الطقس المثبت مسبقًا من Samsung يقوم بتحديد بصمات المستخدمين من خلال معلمة “placeid” يمكن لمزود واجهة برمجة تطبيقات الطقس ملاحظتها بسهولة. وجد اختبار أُجري على 42 جهاز Samsung أن بصمات الأصابع كانت فريدة لكل جهاز وظلت ثابتة عبر تغييرات IP لمقدمي الخدمة واستخدام VPN. “يكشف تحليل 9,211 طلبًا لواجهة برمجة تطبيقات الطقس من 42 مالك جهاز Samsung على مدار خمسة أيام أن مجموعات placeid تنتج معرفات فريدة للمستخدم في 96.4% من الحالات،” ذكرت Buchodi’s Threat Intel. “كل مستخدم لديه موقعان أو أكثر محفوظين كان لديه بصمة مشتركة مع لا أحد آخر في مجموعة البيانات.” هذا بدوره يحول المواقع المحفوظة إلى معرف تتبع ثابت عبر الجلسات، حيث يحدد كل placeid موقعًا فريدًا. تمثل البصمة مجموعة من جميع قيم placeid المرتبطة بالمواقع المحفوظة للجهاز. بعبارة أخرى، يمكن تحديد مستخدم يتتبع مجموعة من أكثر من موقعين أو ثلاثة مواقع بشكل فريد.
- هجمات DDoS ترتفع بنسبة 168% في 2025 → كشف تحليل جديد صدر عن Radware أن عدد هجمات DDoS على الويب ارتفع بنسبة 101.4% في عام 2025 مقارنة بعام 2024، وزاد نشاط الروبوتات الخبيثة بنسبة 91.8%، مدفوعًا بأدوات الذكاء الاصطناعي التوليدي. ارتفعت معاملات تطبيقات الويب وواجهات برمجة التطبيقات الضارة بنسبة 128% على أساس سنوي. ارتفعت هجمات DDoS على مستوى الشبكة بنسبة 168.2% على أساس سنوي، حيث وصلت أحجام الهجمات القصوى إلى ما يقرب من 30 تيرابايت في الثانية (Tbps). “كانت التكنولوجيا والاتصالات والخدمات المالية هي القطاعات الأكثر استهدافًا، حيث شكلت معًا غالبية حملات DDoS واسعة النطاق على مستوى الشبكة،” قالت Radware. “مثل قطاع التكنولوجيا وحده 45% من جميع هجمات DDoS على مستوى الشبكة، بزيادة حادة عن 8.77% في عام 2024.” ظل النشاط التخريبي (Hacktivism)، المدعوم بالصراع الجيوسياسي والأيديولوجي، دافعًا رئيسيًا لنشاط DDoS.
- أكثر من 2,500 صورة خبيثة تم وضع علامة عليها في Docker Hub → اكتشفت Qualys أكثر من 2,500 صورة خبيثة مستضافة على Docker Hub. من بين هذه الصور، احتوى حوالي 70% منها على معدّن عملات مشفرة مخفي. احتوى البعض الآخر على برامج تجسس (backdoors)، واستغلالات، وبرامج فدية، وسجلات ضغطات المفاتيح، وبنية تحتية بروكسي. “سحب صور الحاويات من السجلات العامة لم يعد خطوة تشغيلية محايدة،” قالت الشركة. “إنه قرار ثقة يؤثر بشكل مباشر على استقرار البنية التحتية، وتكاليف السحابة، والمخاطر الأمنية.”
- ما يقرب من 1 تريليون إعلان احتيالي تم تقديمه على وسائل التواصل الاجتماعي في 2025 → وفقًا لنتائج جديدة من Juniper Research، حققت منصات التكنولوجيا عبر الإنترنت إيرادات قدرها 3.8 مليار جنيه إسترليني (5.2 مليار دولار) من الإعلانات الخبيثة أو الاحتيالية في أوروبا وحدها. تم عرض ما يقرب من تريليون إعلان احتيالي على مستخدمي وسائل التواصل الاجتماعي في عام 2025. كشفت شركة التحليلات أيضًا في وقت سابق من هذا الشهر أن احتيال التجارة الإلكترونية سيرتفع من 56 مليار دولار في 2025 إلى 131 مليار دولار في 2030، مسجلاً زيادة بنسبة 133% خلال الفترة.
- حزم npm الخبيثة تسيطر على نتائج القمار → اكتشف الباحثون حزم npm الخبيثة، json-bigint-extend، jsonfx، و jsonfb، والتي تقلد مكتبة json-bigint الشرعية، ولكنها تحتوي على وظائف لتثبيت برامج تجسسية لتنفيذ شفرات إضافية تم جلبها من نقطة نهاية، وتشغيل أوامر SQL عشوائية، وتنزيل محتويات الملفات، وسرد ملفات ودلائل الخادم. “عند المزيد من الفحص للشفرة التي تم جلبها، يبدو أنها نظام معقد لإعادة كتابة تدفق النقد يُستخدم للتلاعب بلعبة قمار،” قالت Aikido. “المكون الأكثر تطورًا في هذا البرنامج التجسسي هو وظيفة fixFlow، وهي محرك لتعديل الرصيد يقوم بإعادة كتابة تاريخ القمار للمستخدم بأثر رجعي لتحقيق تغيير في الرصيد مرغوب فيه مع الحفاظ على مظهر اللعب الشرعي.” يُشتبه في أن البرمجية الخبيثة مصممة لاستهداف تطبيق قمار يُدعى Bappa Rummy. لم يعد مدرجًا في متجر Google Play الرسمي.
- Telegram يجادل بشأن الادعاءات المتعلقة بالتشفير → اتهم رئيس جهاز الأمن الفيدرالي الروسي Telegram بإيواء نشاط إجرامي وفشله في التصرف بشأن تقارير السلطات الروسية. قال “بورتنيكوف” إن Telegram تجاهل أكثر من 150,000 طلب إزالة من السلطات الروسية. ادعى المسؤولون الروس أيضًا أن أجهزة المخابرات الأجنبية يمكنها قراءة الرسائل التي يرسلها الجنود الروس عبر التطبيق. قالت منصة المراسلة “لم يتم اكتشاف أي خروقات لتشفير Telegram مطلقًا”. يأتي هذا التطور في الوقت الذي بدأت فيه روسيا في حظر وتقييد حركة مرور Telegram الأسبوع الماضي.
- رجل نيجيري يُحكم عليه بالسجن ثماني سنوات بتهمة مخطط استرداد ضرائب وهمي → حُكم على رجل نيجيري يبلغ من العمر 37 عامًا يُدعى ماثيو أ. أكاندي، والذي كان يعيش في المكسيك، بالسجن ثماني سنوات في الولايات المتحدة لتورطه في عملية إجرامية تضمنت الوصول غير المصرح به إلى شبكات الكمبيوتر لشركات إعداد الضرائب في ماساتشوستس. بين يونيو 2016 ويونيو 2021 تقريبًا، تآمر أكاندي لاستخدام معلومات دافعي الضرائب المسروقة لتقديم أكثر من 1,000 إقرار ضريبي احتيالي يطالب بملايين الدولارات كاستردادات ضرائب، حسبما ذكرت وزارة العدل. أُمر المتهم أيضًا بدفع 1,393,230 دولارًا كتعويض. تم القبض عليه في أكتوبر 2024 في المملكة المتحدة وتم تسليمه إلى الولايات المتحدة في مارس 2025. “لتنفيذ المخطط، قام أكاندي بإرسال رسائل بريد إلكتروني تصيدية احتيالية إلى خمس شركات لإعداد الضرائب في ماساتشوستس،” ذكرت الوزارة. زعمت رسائل البريد الإلكتروني أنها من عميل محتمل يطلب خدمات شركات إعداد الضرائب، ولكن في الحقيقة تم استخدامها لخداع الشركات لتنزيل برامج ضارة حصان طروادة للوصول عن بعد (RAT malware)، بما في ذلك برمجية خبيثة تُعرف باسم Warzone RAT. استخدم أكاندي برنامج RAT malware للحصول على معلومات التعريف الشخصية ومعلومات السنة السابقة لعملاء شركات إعداد الضرائب، والتي استخدمها أكاندي لتقديم إقرارات ضريبية احتيالية تطلب استردادات. تم الاستيلاء على بنية Warzone RAT التحتية من قبل مكتب التحقيقات الفيدرالي الأمريكي في فبراير 2024.
- حملات جديدة توزع njRAT، Pulsar RAT، XWorm، و Prometei → في حملة جديدة، تستغل جهات التهديد برنامج njRAT للوصول عن بعد لتسليم برنامج سرقة المعلومات MassLogger. تم اكتشاف حملة أخرى تستخدم برنامج Donut loader لتوزيع Pulsar RAT كجزء من هجوم متطور متعدد المراحل. ما هو جدير بالملاحظة في هذا النشاط هو أن Pulsar RAT يُستخدم للتحكم بنشاط في مضيف مخترق، مما يسمح للمهاجم ببدء جلسة دردشة في الوقت الفعلي مع الضحية للتفاعل واستكشاف استخدام النظام. تم أيضًا اكتشاف حملتين تستخدمان رسائل البريد الإلكتروني التصيدية لتوزيع XWorm: تستخدم إحداها برنامج إسقاط JavaScript لاستهداف المستخدمين البرازيليين، وتبدأ الأخرى برسائل بريد إلكتروني تصيدية تقدم مرفق Excel خبيثًا للمستخدمين المستهدفين. يستغل ملف Excel الثغرة CVE-2018-0802، وهي ثغرة في الذاكرة في Office تم تصحيحها في عام 2018، لتنزيل وتنفيذ ملف HTA على جهاز الضحية، والذي بدوره يقوم بتشغيل PowerShell لتنزيل وتشغيل وحدة .NET بدون ملف مباشرة في الذاكرة. تقوم الوحدة بعد ذلك باستخدام عملية التلويث (process hollowing) لحقن وتنفيذ حمولة XWorm داخل عملية MSBuild.exe تم إنشاؤها حديثًا. وأخيرًا وليس آخرًا، تستهدف خوادم Windows من قبل جهات التهديد لإصابتها ببروتوكول شبكة botnet يُعرف باسم Prometei. “يتميز بقدرات واسعة، بما في ذلك وظائف التحكم عن بعد، وحصاد بيانات الاعتماد، والتعدين المشفر (Monero)، والحركة الجانبية، والقيادة والتحكم (C2) عبر شبكة clearnet وشبكة TOR، وإجراءات الحفظ الذاتي التي تقوي الأنظمة المخترقة ضد جهات التهديد الأخرى، للحفاظ على وصول حصري،” قالت eSentire.
- Gixy Next → هي أداة تحليل أمان مفتوحة المصدر مصممة لتدقيق تكوينات NGINX بحثًا عن الأخطاء الشائعة والثغرات الأمنية. تقوم بفحص ملفات التكوين للكشف عن مشكلات مثل التوجيهات غير الآمنة، وضوابط الوصول غير الصحيحة، وإعدادات البروكسي غير الآمنة التي يمكن أن تعرض التطبيقات للهجمات. تم بناؤها كخليفة لمشروع Gixy الأصلي، وتهدف إلى توفير فحوصات محدثة وتغطية قواعد محسنة لنشريات NGINX الحديثة.
- The-One-WSL-BOF → هو ملف كائن Cobalt Strike Beacon مفتوح المصدر يسمح للمشغلين بالتفاعل مع Windows Subsystem for Linux (WSL) مباشرة من جلسة Beacon. يمكنه سرد توزيعات WSL وتشغيل الأوامر داخلها دون تشغيل wsl.exe، مما يقلل من نشاط العمليات المرئي وبعض آثار التسجيل.
🔧 أدوات الأمن السيبراني
إخلاء مسؤولية: يتم توفير هذه الأدوات لأغراض البحث والتعليم فقط. لم يتم تدقيقها أمنيًا وقد تسبب ضررًا إذا تم إساءة استخدامها. قم بمراجعة الشفرة، والاختبار في بيئات خاضعة للرقابة، والامتثال لجميع القوانين والسياسات المعمول بها.
الخلاصة
إذا كان هناك سمة واحدة تتخلل هذا الأسبوع، فهي التعرض الهادئ. يظهر الخطر في التحديثات الروتينية، والأدوات الموثوقة، والميزات التي نادرًا ما تشكك فيها معظم الفرق حتى يحدث خطأ ما.
القضية الحقيقية ليست خطأ واحدًا بل النمط الكامن وراءه. يتم ربط نقاط الضعف الصغيرة ببعضها البعض وتوسيع نطاقها باستخدام الأتمتة بشكل أسرع مما يمكن للمدافعين التكيف معه.
قم بفحص القائمة الكاملة بعناية. من المحتمل أن يتطابق أحد هذه التحديثات القصيرة بشكل أقرب إلى بيئتك الخاصة مما يبدو للوهلة الأولى.