تشهد ساحة الأمن السيبراني تحديات مستمرة، حيث تتكشف أسبوعياً تقارير عن اختراقات جديدة وهجمات متطورة تستهدف الأنظمة والبيانات. وتبرز هذه المستجدات الحاجة الملحة لتعزيز تدابير الحماية ومواكبة التهديدات المتغيرة.
تُظهر أبرز أخبار هذا الأسبوع كيف يعمل المهاجمون على تطوير أساليبهم باستمرار، وكيف يمكن للثغرات الصغيرة أن تتسع لتصبح مخاطر كبيرة. وتوضح هذه التقارير أيضاً استمرار الاعتماد على الأدوات القديمة بابتكارات جديدة لاختراق الأنظمة.
أبرز التهديدات السيبرانية لهذا الأسبوع
مخاطر تنفيذ التعليمات البرمجية عن بعد في Redis
تم الكشف عن ثغرة أمنية خطيرة في برنامج Redis، تحمل الرقم CVE-2025-62507، وبدرجة خطورة 8.8 على مقياس CVSS. تمكن هذه الثغرة المهاجمين من تنفيذ أوامر برمجية عن بعد، وذلك عبر تجاوز سعة الـ Stack BufferOverflow. وقد تم إصلاح هذه الثغرة في الإصدار 8.3.2. كشفت تحليلات شركة JFrog أن الثغرة تنشأ عند استخدام أمر XACKDEL الجديد في Redis 8.2، وهو أمر مصمم لتسهيل وتنظيم عمليات حذف السجلات في الـ streams.
المشكلة الأساسية تكمن في عدم التحقق من عدد المعرفات (IDs) التي يرسلها العميل. عندما يتجاوز العدد سعة المصفوفة المخصصة على الـ stack، تستمر الكتابة خارج حدود الذاكرة المخصصة، مما يؤدي إلى تجاوز سعة المخزن المؤقت. يمكن استغلال هذه الثغرة عن بعد بسهولة عبر أمر XACKDEL واحد يحتوي على عدد كبير من معرفات الرسائل، خاصة وأن Redis لا يفرض أي مصادقة افتراضياً، مما يجعلها ثغرة تنفيذ تعليمات برمجية عن بعد غير مصادق عليها.
تخفي البرمجيات الخبيثة الموقعة إلكترونياً
برزت حملات BaoLoader و ClickFix و Maverick كأبرز ثلاثة تهديدات خلال الفترة من سبتمبر إلى نوفمبر 2025، وفقاً لتقرير شركة ReliaQuest. على عكس البرمجيات الخبيثة التقليدية التي تسرق الشهادات، يقوم مشغلو BaoLoader بتسجيل شركات شرعية في بنما وماليزيا لشراء شهادات توقيع أكواد صالحة من جهات إصدار شهادات رئيسية. ذلك يمكنهم من توقيع حمولاتهم الخبيثة، مما يجعل برامجهم تبدو موثوقة للمستخدمين وأدوات الأمان.
يُساء استخدام البرمجيات الخبيثة لـ “node.exe” لتنفيذ جافاسكريبت خبيث بهدف جمع المعلومات، تنفيذ الأوامر في الذاكرة، وإنشاء أبواب خلفية. كما تقوم بتوجيه حركة المرور إلى خوادم القيادة والسيطرة (C2) عبر خدمات سحابية شرعية، مما يجعل حركة المرور الخارجية تبدو كنشاط تجاري طبيعي ويقوض أساليب الحظر القائمة على السمعة.
زيادة استغلال أدوات المراقبة والإدارة عن بعد (RMM)
تُستخدم رسائل البريد الإلكتروني التصيدية، التي تنتحل صفة دعوات لحفلات الأعياد أو فواتير متأخرة أو إشعارات ضرائب، لتوصيل أدوات المراقبة والإدارة عن بعد (RMM) مثل LogMeIn Resolve و Naverisk و ScreenConnect في حملات هجومية متعددة المراحل. في بعض الحالات، يُستخدم ScreenConnect لتوصيل أدوات ثانوية، بما في ذلك برامج الوصول عن بعد الأخرى.
بينما لا تزال الاستراتيجية الدقيقة وراء تثبيت أدوات وصول عن بعد مكررة غير واضحة، يُعتقد أن الجهات الخبيثة قد تستخدم تراخيص تجريبية، مما يضطرها إلى التحول لتجنب انتهاء صلاحيتها. في حادثة أخرى، انتقل المهاجمون من استهداف حساب PayPal شخصي لموظف إلى إنشاء موطئ قدم في الشركة عبر استراتيجية RMM متعددة الطبقات باستخدام LogMeIn Rescue و AnyDesk، وذلك بخداع الضحايا لتثبيت البرنامج عبر الهاتف مدعين أنهم موظفو دعم فني. وقد تم تصميم البريد الإلكتروني لخلق إحساس بالإلحاح بانتحاله صفة تنبيهات PayPal.
القبض على مشغل خدمة مكافحة الفيروسات (CAV)
أعلنت السلطات الهولندية أنها اعتقلت شخصًا يبلغ من العمر 33 عامًا في مطار سخيبول، للاشتباه في تورطه في تشغيل AVCheck، وهي خدمة لمكافحة الفيروسات (CAV) تم تفكيكها في مايو 2025. صرح المسؤولون الهولنديون بأن الخدمة التي قدمها المشتبه به مكنت مجرمي الإنترنت من تحسين إخفاء الملفات الضارة في كل مرة، مما يعد أمراً مهماً لهم لزيادة فرص نجاحهم في العثور على ضحايا.
بهذه الطريقة، مكن الرجل المجرمين من استخدام البرمجيات الخبيثة التي طوروها للوصول إلى أكبر عدد ممكن من الضحايا. وتهدف هذه الخدمة إلى تقليل فرص اكتشاف البرامج الضارة من قبل برامج مكافحة الفيروسات، مما يسمح لهم بالعمل بشكل أكثر فعالية.
Gemini يشغل Siri
أكدت شركتا Apple و Google أن الإصدار القادم من Siri سيستخدم Gemini وتقنياتها السحابية، وذلك في إطار تعاون متعدد السنوات بين الشركتين. ستعتمد الجيل القادم من نماذج Apple الأساسية على نماذج Gemini وتقنيات Google السحابية، مما سيساعد في تشغيل ميزات Apple Intelligence المستقبلية، بما في ذلك Siri الأكثر تخصيصاً. وشددت Google على أن Apple Intelligence ستظل تعمل على أجهزة Apple و Private Cloud Compute، مع الحفاظ على معايير الخصوصية الرائدة في الصناعة.
وقد علق الرئيس التنفيذي لشركة Tesla و X، إيلون ماسك، واصفًا هذه الشراكة بأنها “تركيز غير معقول للقوة لشركة Google، نظرًا لأن لديهم أيضًا Android و Chrome”.
الصين تحظر أدوات الأمن السيبراني الأجنبية
طلبت الصين من الشركات المحلية التوقف عن استخدام برامج الأمن السيبراني المقدمة من نحو اثنتي عشرة شركة أمريكية وإسرائيلية، وذلك لاعتبارات تتعلق بالأمن القومي، حسبما أفادت وكالة “رويترز”. تشمل هذه الشركات VMware و Palo Alto Networks و Fortinet و Check Point. وتشير التقارير إلى مخاوف لدى السلطات الصينية من أن هذه البرامج قد تقوم بجمع ونقل معلومات سرية إلى الخارج.
تنفيذ تعليمات برمجية عن بعد عبر مكتبات الذكاء الاصطناعي
تم الكشف عن ثغرات أمنية في مكتبات Python مفتوحة المصدر للذكاء الاصطناعي/التعلم الآلي (AI/ML) التي نشرتها Apple (FlexTok) و NVIDIA (NeMo) و Salesforce (Uni2TS). تسمح هذه الثغرات بتنفيذ تعليمات برمجية عن بعد (RCE) عند تحميل ملف نموذج يحتوي على بيانات وصفية خبيثة. قالت Unit 42 من Palo Alto Networks إن الثغرات تنبع من استخدام المكتبات للبيانات الوصفية لتكوين نماذج وخطوط أنابيب معقدة. الإصدارات الضعيفة من هذه المكتبات تنفذ ببساطة البيانات المقدمة كأكواد.
يسمح ذلك للمهاجم بتضمين أكواد عشوائية في البيانات الوصفية للنموذج، والتي سيتم تنفيذها تلقائياً عند تحميل المكتبات المتضررة لهذه النماذج المعدلة. المكتبة الخارجية المعنية هي Meta’s Hydra، وتحديداً وظيفة “hydra.utils.instantiate()”. تم معالجة الثغرات، التي تحمل الأرقام CVE-2025-23304 (NVIDIA) و CVE-2026-22584 (Salesforce)، من قبل الشركات المعنية.
تجاوز دفاعات استنساخ الصوت بالذكاء الاصطناعي
طور فريق من الأكاديميين تقنية تسمى VocalBridge، يمكن استخدامها لتجاوز الدفاعات الأمنية الحالية وتنفيذ هجمات استنساخ الصوت. أشار الفريق إلى أن معظم طرق التنقية الحالية مصممة لمواجهة ضوضاء معادية في أنظمة التعرف التلقائي على الكلام (ASR) وليس خطوط أنابيب التحقق من المتحدث أو استنساخ الصوت. لذلك، تفشل هذه الطرق في قمع الإشارات الصوتية الدقيقة التي تحدد هوية المتحدث.
لمعالجة هذه القيود، يقترح الباحثون Diffusion-Bridge (VocalBridge)، وهو إطار عمل تنقية يتعلم تخطيطًا كامنًا بين الكلام المضطرب والنظيف في مساحة ترميز EnCodec. وباستخدام شبكة U-Net أحادية البعد مع جدول ضوضاء جيبي، يتيح النموذج تنقية فعالة وخالية من النسخ مع الحفاظ على بنية المتحدث المميزة.
شركات الاتصالات الروسية تحت المراقبة
دعا جهاز الرقابة الروسية على الاتصالات، Roskomnadzor، 33 مشغل اتصالات لعدم تركيب معدات فحص المرور وتصفية المحتوى. تم اكتشاف 35 حالة انتهاك في شبكات المشغلين. بدأت المحاكم بالفعل في النظر في أربع قضايا، وتم فرض غرامات على المخالفين. كما تم إرسال مواد حول ست حالات أخرى للمحكمة.
في أعقاب الغزو الروسي لأوكرانيا عام 2022، ألزم الجهاز جميع مشغلي الاتصالات بتثبيت معدات تقوم بفحص حركة مرور المستخدمين وحظر الوصول إلى المواقع “غير المرغوب فيها”.
تكتيكات التهرب لبرمجيات Turla الخبيثة
كشف تحليل جديد لبرنامج Turla الخبيث المعروف باسم Kazuar عن التقنيات المتنوعة التي يستخدمها هذا الباب الخلفي للتهرب من الحلول الأمنية وزيادة وقت التحليل. يشمل ذلك استخدام Component Object Model (COM)، وتقنية Event Tracing for Windows (ETW) غير المطبوعة، وتجاوز Antimalware Scan Interface (AMSI). بالإضافة إلى ذلك، يستخدم البرمجية خدعة إعادة توجيه تدفق التحكم لتنفيذ الإجراءات الخبيثة الأساسية خلال التشغيل الثاني لدالة تسمى “Qtupnngh”.
تطلق هذه الدالة ثلاثة حمولات .NET لـ Kazuar (KERNEL، WORKER، و BRIDGE) عبر سلسلة إصابة متعددة المراحل. تكمن الوظيفة الأساسية في النواة (kernel)، التي تعمل كمنظم رئيسي. تدير النواة معالجة المهام، وتسجيل المفاتيح، والتعامل مع بيانات التكوين، وما إلى ذلك. بينما يقوم العامل (worker) بإدارة المراقبة التشغيلية والوضع الأمني للمضيف المصاب. وأخيراً، يعمل الجسر (bridge) كطبقة اتصال، مما يسهل نقل البيانات وتصريفها من دليل البيانات المحلي عبر سلسلة من مسارات إضافات WordPress المخترقة.
كشف ثغرات في وحدات التحكم المنطقية القابلة للبرمجة (PLC)
كشف باحثون في الأمن السيبراني عن تفاصيل ثغرات أمنية حرجة متعددة تؤثر على وحدة التحكم المنطقية القابلة للبرمجة Delta Electronics DVP-12SE11T (PLC). تشكل هذه الثغرات مخاطر شديدة تتراوح بين الوصول غير المصرح به إلى تعطيل العمليات في بيئات تكنولوجيا التشغيل (OT). تشمل الثغرات: CVE-2025-15102 (CVSS: 9.8)، وهي تجاوز لحماية كلمة المرور، و CVE-2025-15103 (CVSS: 9.8)، وهي تجاوز للمصادقة عبر كشف جزئي لكلمة المرور، و CVE-2025-15358 (CVSS: 7.5): رفض الخدمة، و CVE-2025-15359 (CVSS: 9.8)، كتابة خارج الحدود في الذاكرة.
تم معالجة المشاكل عبر تحديثات البرامج الثابتة في أواخر ديسمبر 2025. أشار تقرير OPSWAT Unit 515، الذي اكتشف الثغرات، إلى أن نقاط الضعف في مصادقة PLC والتعامل مع الذاكرة يمكن أن تزيد بشكل كبير من المخاطر التشغيلية في بيئات OT، خاصة حيث توجد أنظمة قديمة أو تجزئة شبكة محدودة.
أداة تدقيق لمسؤولي Salesforce
أصدرت Mandiant أداة مفتوحة المصدر لمساعدة مسؤولي Salesforce في تدقيق التكوينات الخاطئة التي قد تعرض البيانات الحساسة للخطر. تسمى AuraInspector، ووُصفت بأنها “سكين الجيش السويسري” لاختبار Salesforce Experience Cloud. تسهل الأداة اكتشاف تطبيقات Salesforce Experience Cloud ذات التكوينات الخاطئة، وتؤتمت جزءًا كبيرًا من عملية الاختبار. يشمل ذلك اكتشاف السجلات التي يمكن الوصول إليها من سياقي الضيف والمصادق عليه، والقدرة على الحصول على العدد الإجمالي للسجلات باستخدام طريقة GraphQL Aura غير الموثقة، والتحقق من إمكانيات التسجيل الذاتي، واكتشاف “عناوين URL الرئيسية” التي يمكن أن تسمح بالوصول غير المصرح به إلى وظائف إدارية حساسة.
استغلال لتعطيل شبكات Wi-Fi
تسمح ثغرة أمنية خطيرة (CVSS: 8.4) في برنامج شرائح Wi-Fi من Broadcom للمهاجم غير المصادق عليه ضمن نطاق الراديو بتعطيل الشبكات اللاسلكية بالكامل عن طريق إرسال إطار واحد خبيث، بغض النظر عن مستوى أمان الشبكة المفضل. هذا يجبر الموجهات على إعادة التشغيل يدوياً قبل استعادة الاتصال. تؤثر الثغرة على شبكات Wi-Fi بتردد 5GHz وتتسبب في قطع اتصال جميع العملاء المتصلين، بما في ذلك الشبكات المخصصة للضيوف، في وقت واحد. لا تتأثر اتصالات Ethernet وشبكة 2.4 GHz.
يقوم هذا الهجوم بتجاوز حمايات WPA2 و WPA3، ويمكن تكراره إلى أجل غير مسمى للتسبب في اضطرابات طويلة الأمد في الشبكة. أصدرت Broadcom تصحيحًا لمعالجة المشكلة المبلغ عنها، وتم حجب التفاصيل الإضافية بسبب الخطر المحتمل الذي تشكله على العديد من الأنظمة التي تستخدم الشرائح.
استغلال العقود الذكية
تمكن جهات فاعلة مجهولة من سرقة ما قيمته 26 مليون دولار أمريكي من الإيثر من منصة العملات المشفرة Truebit، وذلك باستغلال ثغرة في عقد ذكي يعود تاريخه إلى خمس سنوات. ذكر تقرير Halborn أن المهاجم استغل ثغرة رياضية في تسعير رمز TRU الخاص بالعقد الذكي، مما جعل قيمته تقارب الصفر. وبفضل الوصول إلى مصدر غير مكلف لرموز TRU، تمكن المهاجم من سحب قيمة من العقد عن طريق بيعها مرة أخرى للعقد بالسعر الكامل. أجرى المهاجم سلسلة من طلبات الإنشاء ذات القيمة العالية التي حصل بها على كمية كبيرة من رموز TRU بتكلفة ضئيلة.
حملة تصيد عبر فواتير مزيفة
كشفت موجة جديدة من الهجمات عن استخدامها لفواتير مزيفة كطعم في رسائل البريد الإلكتروني التصيدية لخداع المستلمين لفتح مرفق PDF يعرض رسالة خطأ، تطالبهم بتنزيل الملف عن طريق النقر على زر. تعيد بعض الروابط التوجيه إلى صفحة تنتحل صفة Google Drive، تعرض ملفات MP4 وهمية، ولكنها في الحقيقة توقع أدوات RMM مثل Syncro و SuperOps و NinjaOne و ScreenConnect للوصول عن بعد المستمر. أفادت AhnLab بأن الجهات الخبيثة تستغل هذه الأدوات بشكل متزايد لأنها مصممة لتجنب الكشف من قبل منتجات الأمان.
مستشفيات في تايوان تتعرض لهجمات
أصيبت ست شركات على الأقل في تايوان، معظمها مستشفيات، بسلالة فدية تسمى CrazyHunter. هذا الفدية، المكتوب بلغة Go وهو نسخة معدلة من فدية Prince، يستخدم أساليب تشفير وتسليم متقدمة تستهدف أجهزة Windows. كما تحتفظ بموقع تسريب بيانات لنشر معلومات الضحايا. وأشار تقرير Trellix إلى أن الاختراق الأولي غالبًا ما يتضمن استغلال نقاط ضعف في البنية التحتية لـ Active Directory (AD) الخاصة بالمؤسسة، وغالبًا عبر استخدام كلمات مرور ضعيفة لحسابات المجال.