تشهد الساحة السيبرانية تطورات متسارعة، حيث تكشف أحدث التقارير عن اعتماد المهاجمين بشكل متزايد على استراتيجيات متقدمة تستغل الأدوات الموثوقة والثغرات غير المرئية. تتجه الهجمات نحو التخفي والمثابرة لاختراق الأنظمة، مع تزايد التداخل بين الجريمة الإلكترونية والتجسس.
في هذا السياق، تبرز الحاجة الملحة لفهم أحدث التهديدات السيبرانية وكيفية تأثيرها على مختلف القطاعات. يهدف هذا التحليل إلى تسليط الضوء على الأساليب التي يتبعها المهاجمون، والاستراتيجيات الدفاعية الممكنة، مع التركيز على التهديدات التي تشكل خطرًا متزايدًا.
تطورات التهديدات السيبرانية: استغلال الأدوات الموثوقة والثغرات الخفية
استغلال معمق للميزات المعروفة
يشهد الأسبوع الحالي تركيزًا ملحوظًا على استغلال ميزات البرامج المعروفة، بدلاً من الاعتماد على ثغرات جديدة بالكامل. يتضمن ذلك إساءة استخدام الأدوات التي تثق بها المؤسسات، والعمليات المألوفة، بالإضافة إلى نقاط الضعف التي تظهر بوضوح ولكن يتم تجاهلها.
هذا التحول يعكس استراتيجية تهدف إلى تقليل فرص اكتشاف الهجمات. فبدلاً من إحداث ضجة، يسعى المهاجمون إلى التسلل بهدوء والبقاء لفترة أطول داخل الشبكات المستهدفة.
تزايد التداخل بين الأساليب
من جهة أخرى، يلاحظ تزايد في تداخل تقنيات الجريمة الإلكترونية مع أساليب التجسس الاستخباراتي والاختراقات الانتهازية. تتسرب هذه التقنيات بين المجموعات المختلفة، مما يزيد من صعوبة تحديد هوية المهاجمين ويجعل خطوط الدفاع الأساسية أقل موثوقية.
نتيجة لذلك، أصبح من الضروري للمؤسسات تبني نهج دفاعي متعدد الطبقات، يجمع بين تقنيات الكشف التقليدية والاستراتيجيات المتقدمة التي تركز على سلوكيات النظام غير الطبيعية.
Windows Notepad: ثغرة حقن الأوامر الخطيرة
صرحت مايكروسوفت بأنه تم تصحيح ثغرة أمنية خطيرة (CVE-2026-20841، درجة الخطورة: 8.8) في تطبيق Notepad الخاص بنظام ويندوز. تسمح هذه الثغرة بتنفيذ تعليمات برمجية عن بعد، حيث يمكن للمهاجم استدراج المستخدم للنقر على رابط خبيث ضمن ملف Markdown.
يؤدي استغلال هذه الثغرة إلى تنفيذ التعليمات البرمجية الضارة ضمن سياق المستخدم الذي فتح الملف، مما يمنح المهاجم نفس صلاحياته. تكمن خطورة الأمر في سهولة إنشاء ملفات Markdown تحتوي على روابط خاصة أو تشير إلى ملفات تنفيذية لتشغيل حمولات ضارة.
التهديدات المتزايدة تستهدف تايوان
كشف تقرير أن عمليات التهديد المتقدم المستمر (APT) التي تستهدف تايوان قد ارتفعت بشكل ملحوظ. تُعد تايوان هدفًا استراتيجيًا بسبب دورها في سلاسل التوريد التكنولوجية العالمية والتوترات الجيوسياسية.
وبحسب التقرير، فإن تايوان لا تقتصر على كونها هدفًا، بل تعمل كساحة اختبار لمجموعات APT الصينية لصقل تكتيكاتها قبل تطبيقها في سياقات أخرى.
برامج سرقة المعلومات تستغل Node.js و Marco
تم رصد ظهور برامج خبيثة جديدة ضمن فئة برامج سرقة المعلومات، أبرزها “LTX Stealer” التي تعمل عبر Node.js، و “Marco Stealer”. تستهدف هذه البرامج أنظمة ويندوز وتنتشر عبر مثبتات مشفرة، بهدف سرقة بيانات الاعتماد من المتصفحات، وملفات العملات المشفرة، والبيانات الحساسة الأخرى.
تعتمد هذه البرامج على بنية تحتية سحابية متطورة لإخفاء تفاصيلها. كما تستخدم تقنيات متقدمة لتجنب التحليل الثابت، وتعتمد على تشفير البيانات قبل إرسالها إلى خوادم التحكم.
استغلال Telegram: اختراق الجلسات عبر OAuth
ظهرت حملة جديدة تهدف إلى سرقة حسابات Telegram من خلال استغلال عمليات المصادقة الأصلية للتطبيق. يتم خداع المستخدمين للموافقة على طلبات المصادقة دون علمهم، مما يمنح المهاجمين وصولاً كاملاً إلى حساباتهم.
تختلف هذه الهجمات عن هجمات التصيد التقليدية، حيث تعتمد على استخدام بيانات اعتماد API خاصة بالمهاجمين ودمجها مباشرة مع بنية مصادقة Telegram الشرعية. تزيد هذه الطريقة من صعوبة اكتشاف الهجوم وتقليل شكوك المستخدم.
Discord تضيف فحص العمر عالميًا
أعلنت Discord عن فرض متطلبات جديدة للتحقق من العمر لجميع المستخدمين حول العالم، عبر تقديم صور سيلفي فيديو أو مستندات رسمية. يهدف هذا الإجراء إلى تعزيز بيئة آمنة للمستخدمين، خاصة القصر.
وتثير هذه الخطوة مخاوف بشأن خصوصية البيانات، لا سيما في ظل حوادث اختراق سابقة لخدمات طرف ثالث تستخدمها Discord. تواصل الشركة التأكيد على التزامها بحماية بيانات المستخدمين.
GuLoader: تكتيكات مراوغة متطورة
كشفت تحليلات حديثة لبرنامج GuLoader الخبيث عن استخدامه لتقنيات متطورة للتخفي ومراوغة الكشف. يشمل ذلك استخدام التعليمات البرمجية المتغيرة ديناميكيًا وآليات معقدة للتعامل مع الاستثناءات.
يعتمد GuLoader بشكل أساسي على تحميل حمولات خبيثة أخرى، مثل أدوات الوصول عن بعد (RATs) وبرامج سرقة المعلومات. كما يستغل الخدمات السحابية الموثوقة لإخفاء أماكن تواجد حمولاته.
عمليات احتيال العملات المشفرة: حكم بالسجن
صدر حكم بالسجن لمدة 20 عامًا في الولايات المتحدة ضد شخص متهم بإدارة مخطط احتيالي دولي للعملات المشفرة، يُعرف باسم “ejido de cerdos” أو “romance baiting”. بلغت خسائر الضحايا أكثر من 73.6 مليون دولار.
اعترف المتهم بإنشاء منصات تداول عملات مشفرة وهمية، والتواصل مع الضحايا عبر وسائل التواصل الاجتماعي وخدمات المواعدة لبناء الثقة قبل استدراجهم للاستثمار. ولا يزال المتهم هاربا.
ثغرة RCE ذاتية التشغيل في الذكاء الاصطناعي
تم الكشف عن ثغرة أمنية خطيرة (CVSS score: 10.0) في Claude Desktop Extensions (DXT)، تسمح بتنفيذ تعليمات برمجية عن بعد دون تدخل المستخدم. يمكن استغلال هذه الثغرة عبر حدث بسيط في تقويم Google، وبمجرد إصدار أمر بسيط مثل “اعتني بالأمر”.
تنبع المشكلة من كيفية قيام أنظمة MCP مثل Claude DXT بربط الأدوات المختلفة دون فرض حدود أمان مناسبة. هذا يسمح بتنفيذ تعليمات برمجية عشوائية، مما يهدد أمن الأنظمة المتأثرة.
زيادة هجمات برامج الفدية مع سرقة البيانات
شهدت برامج الفدية تطورًا جديدًا حيث تركز العديد من المجموعات على سرقة البيانات مع إبقاء الأنظمة قيد التشغيل، بدلاً من تشفيرها. تُعد مجموعة Coinbase Cartel مثالًا بارزًا على هذا الاتجاه، حيث استهدفت قطاعات حيوية مثل الرعاية الصحية والتكنولوجيا.
وتشير الأرقام إلى زيادة ملحوظة في عدد هجمات برامج الفدية سنويًا، مما يعكس الاحترافية المتزايدة للمهاجمين وتطور أساليبهم.
Google تعزز أدوات التحكم في الخصوصية
قامت Google بتوسيع أدواتها لتمكين المستخدمين من التحكم في معلوماتهم الشخصية الحساسة. تمت إضافة إمكانية طلب إزالة الصور الصريحة غير الرضائية، بالإضافة إلى تفاصيل مثل أرقام الهوية ورخص القيادة.
تهدف هذه الإجراءات إلى حماية المستخدمين من الانتهاكات المحتملة، وتوفير طبقات إضافية من الأمان للمعلومات الشخصية.
استخدام أدوات المراقبة في هجمات الفدية
تم رصد استخدام جهات فاعلة للتهديدات لأداة مراقبة القوى العاملة “Net Monitor” بالاشتراك مع منصة “SimpleHelp” الشرعية، وذلك كجزء من هجمات لنشر برامج الفدية. تستغل هذه الأدوات خصائص المراقبة والتحكم عن بعد لتنفيذ الهجمات.
تتيح هذه الأدوات للمهاجمين إمكانية دمج أنشطتهم ضمن بيئات العمل دون الحاجة إلى نشر برامج ضارة تقليدية، مما يعقد اكتشافها.
التشكيك في ادعاءات مجموعة 0APT
تُشير تحليلات حديثة إلى أن مجموعة 0APT قد تكون مضللة في ادعاءاتها باختراق أكثر من 200 ضحية في فترة قصيرة. يبدو أن قائمة الضحايا تتكون من أسماء عامة أو منظمات لم يتم اختراقها بالفعل.
تهدف هذه التكتيكات إلى دعم أغراض الابتزاز أو جذب انتباه مجموعات أخرى. ومع ذلك، تم العثور على عينات برامج فدية تشغيلية للمجموعة.
ثغرة RCE في Quest Desktop Authority
تم الكشف عن ثغرة أمنية عالية الخطورة (CVE-2025-67813، درجة الخطورة: 5.3) في Quest Desktop Authority، والتي قد تسمح للمهاجمين بتنفيذ تعليمات برمجية عن بعد بصلاحيات SYSTEM. يمكن لأي مستخدم مصادق عليه في الشبكة استغلال هذه الثغرة.
تسمح الثغرة بالتحكم الكامل في الأجهزة التي تعمل بوكيل Desktop Authority، مما يفتح الباب أمام العديد من المخاطر الأمنية.
روسيا تستخدم الذكاء الاصطناعي لحظر VPN
تخطط روسيا لاستخدام تقنيات الذكاء الاصطناعي لتحليل حركة مرور الإنترنت وتقييد عمل خدمات VPN. أعلنت هيئة الرقابة على الإنترنت الروسية (Roskomnadzor) عن استثمار لمثل هذه التقنيات.
يأتي هذا الإجراء في سياق جهود الحكومة الروسية المتزايدة للتحكم في تدفق المعلومات وتقييد استخدام أدوات تجاوز الحظر.
Mispadu يتوسع في الهجمات المصرفية
تم رصد حملات جديدة تستخدم برنامج Mispadu الخبيث، تستهدف بشكل خاص أمريكا اللاتينية. تستخدم هذه الحملات رسائل بريد إلكتروني تصيدية مع مرفقات HTA، مصممة لتجاوز بوابات البريد الإلكتروني الآمنة.
يتميز Mispadu بقدرته على الانتشار الذاتي عبر البريد الإلكتروني وتوسيع نطاق أهدافه لتشمل بنوكًا خارج أمريكا اللاتينية، بالإضافة إلى منصات تداول العملات المشفرة.
ScreenConnect ينتشر عبر رسائل تصيدية
تستخدم حملات تصيدية جديدة رسائل بريد إلكتروني مزيفة تحتوي على مرفقات ضارة لتثبيت ConnectWise ScreenConnect. تستهدف هذه الحملات قطاعات حكومية وصحية ولوجستية في دول مختلفة.
كما تستغل الهجمات التصيدية الحديثة خدمات سحابية مثل Amazon S3 و SES لتجنب الكشف. ويتم استخدام تقنيات مبتكرة مثل تعديل رسائل البريد الإلكتروني التجارية الشرعية لزيادة مصداقيتها.
CrashFix يوصل حمولات SystemBC
تم استخدام متغير جديد لهجوم ClickFix، يُعرف باسم CrashFix، لتوصيل حمولات ضارة متوافقة مع برامج SystemBC. يستخدم هذا الهجوم ثغرة في مصمم Windows Run لتنفيذ برامج نصية PowerShell ضارة.
يقوم PowerShell بعد ذلك بسحب محتوى إضافي، بما في ذلك أبواب خلفية وبرامج اختراق، من بنية تحتية يتحكم فيها المهاجم. تعكس هذه الاستراتيجية نهجًا متعمدًا لتجنب الدفاعات وزيادة الثبات.
اكتشاف 76 ثغرة Zero-Day في السيارات
كشفت مسابقة Pwn2Own Automotive السنوية عن 76 ثغرة أمنية فريدة من نوع “zero-day” في مجموعة متنوعة من الأنظمة، بما في ذلك أنظمة المعلومات والترفيه في السيارات، وشواحن المركبات الكهربائية، وأنظمة تشغيل السيارات.
فاز فريق Fuzzware.io بالمسابقة، محققًا جوائز مالية كبيرة. وتسلط هذه النتائج الضوء على التحديات الأمنية المتزايدة في مجال السيارات المتصلة.
إعلانات Bing تقود إلى عمليات الاحتيال التقني
تُستخدم الإعلانات الخبيثة التي تظهر في نتائج بحث Bing، خاصة عند البحث عن مواقع مثل Amazon، لتوجيه المستخدمين إلى روابط احتيال دعم فني. تستضيف هذه الروابط محتوى خبيث عبر Azure Blob Storage.
تهدف هذه الحملات إلى استهداف قطاعات حيوية مثل الرعاية الصحية والتصنيع والتكنولوجيا في الولايات المتحدة.
بنية تحتية VPN الصينية تزحف لتتوسع
تم رصد استخدام مزود خدمة VPN صيني، يُدعى LVCHA VPN، من قبل أجهزة في روسيا والصين وميانمار وإيران وفنزويلا. ينتشر التطبيق عبر موقع الشركة ومتجر Google Play.
يكشف تحليل نطاق الإنترنت عن وجود مجموعة من النطاقات المشبوهة التي تروج لنفس VPN. يشير هذا إلى محاولة واضحة لتجاوز جدران الحماية الإقليمية.
هجوم على شبكة الكهرباء يثير قلق الغرب
بعد هجوم سيبراني منسق على شبكة الكهرباء البولندية، أصدرت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) تحذيرًا لأصحاب البنية التحتية الحيوية. تُعد الأجهزة الطرفية الضعيفة هدفًا رئيسيًا للمهاجمين.
تنصح CISA بتحديث الأجهزة التي تتيح التحقق من البرامج الثابتة، وتغيير كلمات المرور الافتراضية بشكل فوري. كما شددت على أهمية وجود خطط استجابة للحوادث.
انهيار مفاجئ في حركة مرور Telnet
لاحظت شركة GreyNoise انخفاضًا حادًا في حركة مرور Telnet العالمية قبل يوم من الإعلان عن ثغرة أمنية حرجة (CVE-2026-24061). تتعلق الثغرة بتجاوز المصادقة في خدمة Telnet.
تُشير البيانات إلى انخفاض كبير في جلسات Telnet، مع اختفاء دول بأكملها من بيانات حركة المرور. يُحتمل أن تكون شركات الاتصالات قد تلقت تحذيرًا مسبقًا بشأن الثغرة.
محملات جديدة تساهم في حملات سرقة المعلومات
كشفت شركتا Cyderes و Cato Networks عن محملات برمجيات خبيثة جديدة وغير موثقة، تُعرف باسم RenEngine Loader و Foxveil. تُستخدم هذه المحملات لتوصيل حمولات متقدمة.
تستغل حملة Foxveil منصات سحابية موثوقة لإخفاء حمولاتها. بينما تعتمد RenEngine Loader على مثبتات ألعاب معدلة تم توزيعها عبر منصات القرصنة.
سلسلة ثغرات RCE في Google Looker
تم الكشف عن ثغرتين أمنيتين في Google Looker يمكن استغلالهما لتعطيل نسخة Looker بالكامل. تتضمن هذه الثغرات تنفيذ تعليمات برمجية عن بعد وتجاوز الصلاحيات.
سمحت الثغرات للمستخدمين ذوي أذونات المطورين بالوصول إلى النظام الأساسي وقاعدة البيانات الداخلية. تم تصحيح الثغرات من قبل Google في سبتمبر 2025.
7-Zip المدمر ينشر برامج بروكسي
يتم استخدام مثبت وهمي لأداة 7-Zip، تم تنزيله من نطاق مشابه للنطاق الشرعي، لتثبيت مكون بروكسي يقوم بتسجيل المضيف المصاب كعقدة بروكسي سكنية. يسمح هذا لأطراف ثالثة بتوجيه حركة المرور عبر عنوان IP الخاص بالضحية.
يُعد هذا جزءًا من حملة أوسع تستخدم مثبتات ضارة لبرامج شهيرة مثل HolaVPN و TikTok و WhatsApp. تهدف الحملات إلى توجيه المستخدمين إلى مواقع ويب وهمية باستخدام مقاطع فيديو تعليمية على YouTube.
VoidLink بتصميم AI يوسع نطاق وصوله
يُعد VoidLink إطار عمل متطور للتحكم والسيطرة (C2) مصمم لأنظمة Linux، قادر على الاختراق طويل الأمد في البيئات السحابية والمؤسسية. تشير التحليلات إلى أنه قد تم تطويره بواسطة مطور يتحدث الصينية باستخدام نموذج ذكاء اصطناعي.
يستهدف VoidLink البيئات السحابية المتنوعة، ويحصد بيانات الاعتماد، ويكتشف بيئات الحاويات. يقدم الباحثون مؤشرات قوية على وجود نسخة ويندوز مكافئة له.
بشكل عام، تُظهر هذه التطورات كيف يوازن المهاجمون بين السرعة والصبر. يتحركون بسرعة حيث تكون الدفاعات ضعيفة، ويبطئون حيث يكون التخفي أكثر أهمية من التأثير. والنتيجة هي نشاط يمتزج مع العمليات الطبيعية حتى يبدأ الضرر.
بالنسبة للمدافعين، لا يقتصر التحدي على منع الدخول فحسب. بل يتعلق بالتعرف على إساءة استخدام الوصول المشروع، واكتشاف السلوكيات غير الطبيعية داخل الأنظمة الموثوقة، وسد الثغرات التي لا تبدو خطيرة على السطح.
التحديثات التالية ليست مجرد حوادث معزولة. إنها أجزاء من صورة تشغيل أوسع – صورة تتطور باستمرار أسبوعًا بعد أسبوع.