تشهد الساحة السيبرانية تطورات متسارعة، حيث تتزايد تهديدات الأمن السيبراني تعقيداً وتغلغلاً. كشفت تقارير حديثة عن استراتيجيات جديدة للمهاجمين تستهدف استغلال الأدوات اليومية والتطبيقات الموثوقة، وحتى مساعدات الذكاء الاصطناعي، مما يجعل التمييز بين النشاط الطبيعي والخبيث أمراً بالغ الصعوبة.
يُظهر التحليل الأخير نمطاً واضحاً يعتمد على الدقة والصبر والإقناع. فالحملات الجديدة لا تسعى إلى لفت الانتباه بل تتسلل عبر واجهات مألوفة، وتحديثات وهمية، وشفرات برمجية مصقولة. الخطر لا يكمن فقط فيما يتم استغلاله، بل في المظهر الطبيعي الذي تبدو عليه هذه الهجمات.
تطور استراتيجيات تهديدات الأمن السيبراني
يسلط تقرير “ThreatsDay” الضوء على هذه الخيوط المتشابكة، بدءاً من الشبكات المؤسسية وصولاً إلى التقنيات الاستهلاكية. يكشف التقرير كيف أن التلاعب الهادئ والأتمتة يعيدان تشكيل المشهد العام للتهديدات. إنها دعوة للانتباه إلى أن مستقبل الأمن السيبراني لن يعتمد فقط على جدران الحماية الأكبر، بل على الوعي المعلوماتي الأكثر حدة.
استغلال الأدوات مفتوحة المصدر
يستغل المهاجمون أداة المراقبة مفتوحة المصدر “Nezha” للوصول عن بعد إلى الأنظمة المخترقة. فقدرة هذه الأداة على السماح للمسؤولين بعرض صحة النظام، وتنفيذ الأوامر، ونقل الملفات، وفتح جلسات طرفية تفاعلية تجعلها خياراً جذاباً للمهاجمين. في إحدى الحوادث التي حققت فيها Ontinue، تم نشر الأداة كأداة وصول عن بعد بعد الاختراق، من خلال برنامج نصي (bash script) يشير إلى لوحة تحكم عن بعد مستضافة على البنية التحتية السحابية لشركة Alibaba في اليابان.
يقول مايوريش داني، مدير أبحاث الأمن في Qualys: “إن استخدام Nezha يعكس استراتيجية هجوم حديثة ناشئة حيث يستغل المهاجمون بانتظام البرامج المشروعة لتحقيق الثبات والحركة الجانبية مع التهرب من الدفاعات القائمة على التواقيع”. يُعد إساءة استخدام Nezha جزءاً من جهود أوسع حيث يستغل المهاجمون الأدوات المشروعة للتهرب من الكشف القائم على التواقيع، والمزج مع النشاط الطبيعي، وتقليل جهود التطوير.
مقارنة الوجه البيومترية لتفعيل شرائح SIM
ستبدأ كوريا الجنوبية قريباً في مطالبة الأفراد بتقديم وجوههم للتعرف عليها عند الاشتراك في رقم هاتف محمول جديد، وذلك في محاولة لمكافحة عمليات الاحتيال وسرقة الهوية، وفقاً لوزارة العلوم وتكنولوجيا المعلومات. وذكرت الوزارة: “من خلال مقارنة الصورة الموجودة على بطاقة الهوية مع وجه حاملها الفعلي في الوقت الفعلي، يمكننا منع تفعيل الهواتف المسجلة باسم مستعار باستخدام هويات مسروقة أو مزورة بالكامل”.
تنطبق هذه السياسة الجديدة على شركات SK Telecom وKorea Telecom وLG Uplus، ومشغلي شبكات الهواتف المحمولة الافتراضية الأخرى. وتدخل حيز التنفيذ في 23 مارس بعد فترة تجريبية. وقد أكدت الوزارة على أنه لن يتم تخزين أي بيانات كجزء من السياسة الجديدة. وأضافت: “نحن ندرك جيداً أن الجمهور يشعر بالقلق بسبب سلسلة حوادث الاختراق في شركات الاتصالات المحلية. وعلى عكس المخاوف التي أثارها البعض، لا يتم تخزين أو حفظ أي معلومات شخصية، ويتم مسحها فور التحقق من الهوية”.
ارتفاع تهديدات أندرويد عبر تقنية NFC
كشفت بيانات من ESET عن نمو اكتشافات برامج أندرويد الضارة التي تستغل تقنية NFC بنسبة 87% بين النصف الأول والنصف الثاني من عام 2025. وقد صاحب هذه الزيادة التطور المتزايد للبرامج الضارة المستندة إلى NFC، مثل سرقة جهات اتصال الضحايا، وتعطيل التحقق البيومتري، ودمج هجمات NFC مع ميزات أبترويدات الوصول عن بعد (RAT) وقدرات نظام التحويل الآلي (ATS).
في هذه الحملات، تطلب التطبيقات الضارة التي توزع برامج ضارة مثل PhantomCard من الضحايا تقريب هواتفهم من بطاقة الدفع وإدخال رقم التعريف الشخصي للمصادقة. وفي هذه العملية، يتم إرسال المعلومات الملتقطة إلى المهاجمين. وحسب ESET: “توضح الابتكارات الأخيرة في مجال NFC أن المهاجمين لم يعودوا يعتمدون فقط على هجمات الترحيل: إنهم يمزجون استغلال NFC بقدرات متقدمة مثل الوصول عن بعد والتحويلات الآلية”. وأضافوا: “تتغذى كفاءة عمليات الاحتيال بشكل أكبر من خلال الهندسة الاجتماعية المتقدمة والتقنيات التي يمكنها تجاوز التحقق البيومتري”.
نشرات وهمية تنشر البرمجيات الضارة
يستهدف المهاجمون حالياً المحترفين والطلاب عديمي الخبرة في مجال أمن المعلومات، وذلك باستخدام أدوات وهمية لإثبات المفهوم (PoC) لثغرات أمنية مثل CVE-2025-59295 و CVE-2025-10294 و CVE-2025-59230، لخداعهم لتثبيت WebRAT عبر ملف أرشيف ZIP مستضاف في المستودعات. وذكرت كاسبرسكي: “لبناء الثقة، قاموا بإعداد المستودعات بعناية، ودمجوا معلومات تفصيلية عن الثغرة الأمنية في الأوصاف”.
تتضمن المستودعات أقساماً مفصلة مع لمحة عامة عن الثغرة الأمنية، وتأثيرها على النظام، وأدلة التثبيت، وخطوات الاستخدام، وحتى نصائح التخفيف. ويشير الاتساق في تنسيق كتابة PoC احترافية إلى أن الأوصاف يتم إنشاؤها آلياً لتجنب الاكتشاف. يوجد داخل ملف ZIP ملف تنفيذي يسمى “rasmanesc.exe”، قادر على تصعيد الامتيازات، وتعطيل Microsoft Defender، وجلب WebRAT من خادم خارجي. WebRAT هو باب خلفي يسمح للمهاجمين بالتحكم في النظام المصاب، وكذلك سرقة البيانات من محافظ العملات المشفرة، وحسابات Telegram و Discord و Steam. ويمكنه أيضاً أداء وظائف تجسس مثل تسجيل الشاشة، والمراقبة عبر الميكروفون والكاميرا، وتسجيل ضربات المفاتيح. يتم بيع WebRAT بواسطة NyashTeam، الذي يعلن أيضاً عن DCRat.
حملات برمجيات ضارة مستهدفة
كشفت تقارير عن زيادة ملحوظة في حملات البرمجيات الضارة في الأشهر الأخيرة. وتشمل هذه التطورات استغلال أدوات مفتوحة المصدر، وبرامج ضارة تستهدف تقنيات الاتصال اللاسلكي، بالإضافة إلى انتشار أدوات ضارة جديدة تهدف إلى تجاوز الدفاعات الأمنية. وتؤكد هذه الظواهر الحاجة الملحة لتحديث استراتيجيات الأمن السيبراني باستمرار.
تشهد صناعات مثل التصنيع والحكومة في إيطاليا وفنلندا والمملكة العربية السعودية، هجوماً جديداً باستخدام برنامج تحميل سلعي (commodity loader) لتوصيل مجموعة واسعة من البرمجيات الضارة، مثل PureLogs و XWorm و Katz Stealer و DCRat و Remcos RAT. ووفقاً لـ Cyble: “تستخدم هذه الحملة تكتيكات متقدمة، وتوظف مجموعة متنوعة من نواقل العدوى بما في ذلك مستندات Office المسلحة (لاستغلال CVE-2017-11882)، وملفات SVG الضارة، وأرشيفات ZIP التي تحتوي على اختصارات LNK”. وأضافوا: “على الرغم من تنوع طرق التسليم، فإن جميع النواقل تستخدم برنامج تحميل سلعي موحد”.
يشير استخدام برنامج التحميل لتوزيع مجموعة متنوعة من البرمجيات الضارة إلى أنه من المرجح أن يتم مشاركته أو بيعه عبر مجموعات تهديد مختلفة. ومن الجوانب البارزة في الحملة استخدام تقنيات إخفاء المعلومات (steganography) لاستضافة ملفات الصور على منصات تسليم مشروعة، مما يسمح للشفرة الضارة بالمرور عبر أنظمة الكشف المستندة إلى الملفات من خلال التنكر كحركة مرور حميدة. ويُقدّر برنامج التحميل السلعي بأنه Caminho بناءً على حملات مماثلة مفصلة من قبل Nextron Systems و Zscaler.
تعطيل أداة Kiler EDR
يقوم جهة تهديد معروفة باسم AlphaGhoul بالترويج لأداة تسمى NtKiller، والتي يدعي أنها قادرة على إنهاء برامج مكافحة الفيروسات والحلول الأمنية بشكل خفي، مثل Microsoft Defender و ESET و Kaspersky و Bitdefender و Trend Micro. الوظيفة الأساسية، حسب Outpost24، متاحة مقابل 500 دولار، مع إضافة جذرية (rootkit) وإضافة تجاوز UAC مقابل 300 دولار لكل منهما. يأتي الكشف بعد أسابيع من قيام باحث أمني، يُعرف باسم Zero Salarium، بتوضيح كيفية تقويض برامج الكشف والاستجابة لنقطة النهاية (EDR) على نظام Windows عن طريق استغلال مشغل (driver) Bind Filter (“bindflt.sys”).
في الأشهر الأخيرة، حدد مجتمع الأمن أيضاً طرقاً لتجاوز جدران حماية تطبيقات الويب (WAF) عن طريق إساءة استخدام تلوث المعلمات في ASP.NET، وتحوير أنظمة EDR باستخدام محمل ملف تنفيذي محمول في الذاكرة (in-memory PE loader)، وحتى التلاعب بـ Microsoft Defender Antivirus لتحميل DLLs جانبياً وحذف الملفات التنفيذية لمنع الخدمة من العمل عن طريق استغلال آلية التحديث الخاصة بها لاختطاف مجلد التنفيذ.
مخاطر استغلال مساعدي الدردشة بالذكاء الاصطناعي
تم اكتشاف ثغرات متعددة في روبوت الدردشة بالذكاء الاصطناعي (AI) العام الخاص بـ Eurostar، والتي يمكن أن تسمح بتجاوز قيود الحماية (guardrail bypass) من خلال استغلال حقيقة أن الواجهة الأمامية تقوم بتمرير سجل الدردشة بأكمله إلى واجهة برمجة التطبيقات (API) مع تشغيل فحوصات فقط على أحدث رسالة لضمان سلامتها.
يفتح هذا الباب أمام سيناريو حيث يمكن للمهاجم التلاعب بالرسائل السابقة، والتي عند تغذيتها إلى واجهة برمجة تطبيقات النموذج، تتسبب في تقديم ردود غير مقصودة عبر حقن الأوامر (prompt injection). تضمنت المشكلات الأخرى التي تم تحديدها القدرة على تعديل معرفات الرسائل مما قد يؤدي إلى اختراق بين المستخدمين، وحقن كود HTML ناتج عن نقص التحقق من المدخلات. وذكرت Pen Test Partners: “يمكن للمهاجم استخراج الأوامر، وتوجيه الإجابات، وتشغيل البرامج النصية في نافذة الدردشة”. وخلصوا إلى أن “الدرس الأساسي هو أن نقاط الضعف القديمة في الويب وواجهات برمجة التطبيقات لا تزال سارية حتى عند وجود نموذج لغوي كبير (LLM) ضمن العملية”. تم إصلاح بعض هذه الثغرات منذ ذلك الحين، ولكن ليس قبل عملية إفصاح مربكة شهدت اتهام شركة Eurostar لمجلة الأمن السيبراني بالابتزاز.
اكتشاف ثغرات حرجة في المكونات الأساسية
أدى مسابقة اختراق نظمتها Wiz و zeroday.cloud إلى اكتشاف 11 ثغرة أمنية حرجة من نوع zero-day تؤثر على مكونات مفتوحة المصدر أساسية مستخدمة في البنية التحتية السحابية الحرجة، بما في ذلك محركات الحاويات (container runtimes)، والبنية التحتية للذكاء الاصطناعي مثل vLLM و Ollama، وقواعد البيانات مثل Redis و PostgreSQL و MariaDB.
تم اكتشاف أخطر الثغرات في Linux. وصرّحت Wiz: “تسمح الثغرة الأمنية بـ ‘الهروب من الحاوية’ (Container Escape)، مما يمكّن المهاجمين غالباً من الخروج من خدمة سحابية معزولة، مخصصة لمستخدم واحد، والانتشار إلى البنية التحتية الأساسية التي تدير جميع المستخدمين”. وأضافوا: “هذا يكسر الوعد الأساسي للحوسبة السحابية: ضمان بقاء العملاء المختلفين الذين يعملون على نفس الأجهزة منفصلين وغير قابلين للوصول من قبل بعضهم البعض. هذا يعزز بشكل أكبر أن الحاويات لا ينبغي أن تكون الحاجز الأمني الوحيد في البيئات متعددة المستأجرين”.