التصيد الاحتيالي المستمر والتهديدات الجديدة: نظرة على مستجدات الأمن السيبراني
شهد الأسبوع الماضي ظهور شبكة واسعة من التهديدات السيبرانية التي تستهدف المؤسسات والأفراد حول العالم، مما يؤكد على الحاجة الماسة لتعزيز إجراءات الأمن السيبراني. تتضمن أبرز التطورات حملات تصيد احتيالي متطورة تستخدم تقنيات جديدة، بالإضافة إلى استغلال ثغرات في برمجيات شائعة. يستعرض هذا التقرير أبرز هذه التهديدات وكيفية عملها.
تستمر الجهات الفاعلة بالتهديد في صقل أساليبها القديمة وابتكار طرق جديدة اختراق الأنظمة. وتكشف الأبحاث الجديدة باستمرار عن هشاشة بعض الافتراضات الأمنية التقليدية. هناك أيضاً تطورات في أدوات البنية التحتية واستخدامها خارج نطاقها الطبيعي، بالإضافة إلى حالات تتكشف فيها أن الحلقة الأضعف لا تزال تتمثل في العامل البشري.
تكتيكات الهجوم السيبراني الجديدة والمستمرة
مخاطر تطبيقات OAuth الخبيثة
حذرت شركة أمن سحابي من المخاطر المرتبطة بتطبيقات OAuth الخبيثة. أشار التقرير إلى أن “إرهاق الموافقة” قد يفتح الباب أمام المهاجمين للوصول إلى بيانات حساسة. بمجرد قبول الأذونات المطلوبة من تطبيق OAuth مخادع، يتم إرسال رمز الوصول إلى المهاجم، مما يمنحه القدرة على الوصول إلى ملفات وبيانات البريد الإلكتروني للمستخدم دون الحاجة إلى معرفة كلمة المرور.
كشفت الشركة عن حملة واسعة النطاق استهدفت مؤسسات متعددة، تضمنت 19 تطبيق OAuth مختلف يحاكي علامات تجارية معروفة مثل Adobe و DocuSign و OneDrive.
اختراق حسابات المراسلة
تحاول مجموعات قرصنة مرتبطة بروسيا اختراق حسابات Signal و WhatsApp لمسؤولين حكوميين وصحفيين وعسكريين عالميًا. لا يتم ذلك عن طريق كسر التشفير، بل من خلال خداع المستخدمين لتسليم رموز التحقق أو أرقام التعريف الشخصية. يتمثل الأسلوب الأكثر شيوعًا في التنكر كـ”دردشة دعم Signal” لخداع الأهداف ودفعهم للإفصاح عن رموزهم.
يمكن للمهاجمين بعد ذلك استخدام هذه الرموز للاستيلاء على حساب المستخدم. تستغل جهات القرصنة الروسية أيضاً وظيفة “الأجهزة المرتبطة” داخل Signal و WhatsApp. وقد أصدرت ألمانيا تحذيراً مشابهاً في وقت سابق.
اختراق السحابة عبر ثغرات البرامج
كشفت جوجل أن الجهات الخبيثة تستغل بشكل متزايد الثغرات الأمنية في البرامج الخارجية لاختراق البيئات السحابية. تقلصت الفترة الزمنية بين الإعلان عن الثغرة واستغلالها على نطاق واسع من أسابيع إلى أيام. بينما زادت الهجمات القائمة على استغلال البرامج، انخفضت حالات الوصول الأولي عبر الأخطاء في التكوين، مما يشير إلى أن آليات الحماية الآلية تجعل أخطاء الهوية والتكوين أكثر صعوبة في الاستغلال.
كان الهدف الرئيسي في معظم الهجمات هو استخلاص كميات كبيرة من البيانات بصمت دون ابتزاز فوري أو محاولة التمركز لفترة طويلة.
تجاوز تصحيح المتحكمات الدقيقة
وجدت أبحاث جديدة أنه من الممكن تجاوز الحماية بكلمة مرور المكونة من 16 بايت للوصول إلى وضع التصحيح في عدة أنواع من عائلة متحكمات RH850. يتم ذلك باستخدام تقنية “حقن الأخطاء الجهدية” في أقل من دقيقة. تقنية “حقن الأخطاء الجهدية” تتضمن تقليل أو زيادة جهد الشريحة لفترة زمنية محددة لتغيير سلوكها.
حملة برامج PlugX الخبيثة
كشفت شركة Check Point عن حملات مستهدفة ضد كيانات في قطر، تستخدم محتوى متعلق بالصراعات كطعم لتوصيل عائلات برامج خبيثة مثل PlugX و Cobalt Strike. يستخدم سلسلة الهجوم ملفات اختصار Windows (LNK) الموجودة داخل أرشيفات ZIP، والتي تقوم عند فتحها بتنزيل حمولة مرحلة تالية من خادم مخترق.
يتم عزو هذا النشاط، الذي تم اكتشافه مؤخراً، إلى مجموعة Mustang Panda. تم ملاحظة هجوم ثانٍ يستخدم أرشيفاً محميًا بكلمة مرور لتنفيذ مُحمل Rust غير موثق سابقًا مسؤول عن نشر Cobalt Strike. مع أن هذا الهجوم يُقيّم على أنه مرتبط بالصين، إلا أنه لم يُعزى إلى جهة فاعلة محددة.
بائعو مجموعات DDoS في سن المراهقة
أحالت الشرطة البولندية سبعة مشتبه بهم في جرائم سيبرانية قاصرين إلى محكمة الأسرة فيما يتعلق بمخطط لبيع مجموعات الحرمان من الخدمة (DDoS) عبر الإنترنت. يواجه المشتبه بهم، الذين تتراوح أعمارهم بين 12 و 16 عامًا وقت وقوع الجرائم المزعومة، اتهامات تتعلق ببيع أدوات DDoS كجزء من مخطط ربحي يستهدف المواقع الشهيرة.
تسجيل الدخول إلى Windows مقاوم للتصيد
تطرح مايكروسوفت دعم المفاتيح (Passkeys) لـ Microsoft Entra على أجهزة Windows، مضيفةً مصادقة بدون كلمات مرور مقاومة للتصيد عبر Windows Hello. يسمح هذا التحديث للمستخدمين بإنشاء مفاتيح مرتبطة بالجهاز وتخزينها في حاوية Windows Hello والمصادقة باستخدام طرق Windows Hello (الوجه، بصمة الإصبع، أو رقم PIN).
دمج Sysmon في Windows
قامت مايكروسوفت بدمج وظائف System Monitor (Sysmon) بشكل أصلي مباشرة في Windows 11 و Windows Server 2025 كميزة اختيارية مدمجة. مع هذا الدمج، لم تعد هناك حاجة لحزم Sysmon ديناميكياً، حيث يمكن تمكينه برمجياً عبر PowerShell. يمثل هذا الأمر فوزاً تشغيلياً هائلاً للمدافعين عن الشبكات.
حملة تصيد احتيالي في كندا
هناك حملة تصيد احتيالي نشطة تستهدف المقيمين الكنديين، مستخدمة نطاقات احتيالية تحاكي مؤسسات موثوقة، بهدف جمع المعلومات الشخصية وتفاصيل بطاقات الائتمان. ترتبط البنية التحتية للاستضافة وراء هذه الحملة بمزود خدمات اتُهم علناً في السابق بتزويد خدمات لجهات فاعلة في مجموعات قرصنة تدعمها دول.
تعمل البنية التحتية الاستضافة خلف هذه الحملة بشكل وثيق مع مزود خدمات استضافة، والذي كان قد واجه اتهامات سابقة بتوفير خدمات لمجموعات قرصنة تدعمها دول.
أمان الروابط الخاصة في المحادثات
فصلت Meta في آلية عمل “الحماية المتقدمة للتصفح” (ABP) في Messenger، والتي تحمي خصوصية الروابط التي يتم النقر عليها داخل المحادثات مع التحذير من الروابط الضارة. تستخدم Safe Browsing نماذج على الجهاز لتحليل الروابط الضارة المشتركة في الدردشات، مع امتداد ABP الذي يستخدم قائمة محدثة باستمرار تضم ملايين المواقع التي يحتمل أن تكون ضارة.
برنامج BlackSanta لقتل EDR
جمعت حملة هجوم متطورة تستهدف أقسام الموارد البشرية ووظيفتها في التوظيف، بين الهندسة الاجتماعية وتقنيات التهرب المتقدمة لاختراق الأنظمة سراً عن طريق تجنب بيئات التحليل والاستفادة من وحدة متخصصة مصممة لقتل برامج مكافحة الفيروسات وبرامج الكشف عن نقاط النهاية. يبدأ الهجوم بملف ISO ذي طابع السيرة الذاتية يتم تسليمه عبر رسائل البريد الإلكتروني العشوائي أو التصيد الاحتيالي.
تقنية ZIP للتخريب
تسمح تقنية جديدة تسمى “Zombie ZIP” للمهاجمين بإخفاء حمولات في ملفات مضغوطة مصممة خصيصاً يمكنها تجاوز أدوات الأمان. يمكن أن تؤدي رؤوس ZIP غير الصحيحة إلى إنتاج نتائج سلبية خاطئة في برامج مكافحة الفيروسات وبرامج الكشف عن نقاط النهاية والاستجابة. على الرغم من وجود رؤوس غير صحيحة، لا يزال بعض برامج الاستخراج قادراً على فك ضغط أرشيف ZIP، مما يسمح بتشغيل الحمولات الضارة المحتملة.
وكيل ذكاء اصطناعي يخترق منصة
قال باحثون في شركة ناشئة متخصصة في الأمن الهجومي المستقل إن وكيل الذكاء الاصطناعي الخاص بهم تمكن من اختراق منصة الذكاء الاصطناعي الداخلية لشركة McKinsey، Lili، وحصل على وصول كامل للقراءة والكتابة إلى منصة الدردشة الآلية في ساعتين فقط. سمح هذا بالوصول إلى قاعدة بيانات الإنتاج بأكملها، بما في ذلك ملايين رسائل الدردشة حول الاستراتيجية وعمليات الاندماج والاستحواذ، بالإضافة إلى ملفات تحتوي على بيانات سرية للعملاء وحسابات المستخدمين.
برامج خبيثة تعتمد على Teams في الهندسة الاجتماعية
اتصل القراصنة بالموظفين في المنظمات المالية والصحية عبر Microsoft Teams لخداعهم لمنحهم وصولاً عن بعد من خلال Quick Assist ونشر برامج خبيثة جديدة تسمى A0Backdoor. يعمل هذا الأسلوب، الذي يتماشى مع أساليب Storm-1811، على استخدام الهندسة الاجتماعية لكسب ثقة الموظف عن طريق إغراق بريده الإلكتروني بالبريد العشوائي أولاً، ثم الاتصال بهم عبر Teams، متظاهرًا بأنه فريق تكنولوجيا المعلومات في الشركة ويقدم المساعدة.
شبكة معلومات مضللة منظمة
تم وصف عملية التأثير الروسية المعروفة باسم Doppelgänger بأنها منظمة وتعطي الأولوية لمرونة البنية التحتية وقابليتها للتوسع والاستمرارية التشغيلية. تميزت هذه الشبكة بكونها جهاز تأثير منسق ومدار باحترافية. تعتمد المنظومة في جوهرها على انتحال العلامات التجارية الإعلامية بشكل منهجي على نطاق واسع.
حملة RAT تستهدف الهند
تم عزو جهة فاعلة من خلف الكواليس مرتبطة بباكستان، تُعرف باسم Transparent Tribe، إلى مجموعة جديدة من الهجمات التي تستهدف الكيانات الحكومية الهندية لإصابة الأنظمة ببرنامج وصول عن بعد (RAT) يتيح تنفيذ الأوامر عن بعد ومراقبة العمليات وإنهاؤها وتحميل الملفات وتنزيلها والتقاط لقطات الشاشة والمراقبة الحية للشاشة.
برامج خبيثة مزيفة بتوقيع رقمي
تحذر مايكروسوفت من حملات تصيد احتيالي متعددة تستخدم طُعماً لاجتماعات العمل وملفات PDF مرفقة، بالإضافة إلى إساءة استخدام الملفات التنفيذية المشروعة لتوصيل برامج خبيثة موقعة رقمياً. تم رصد هذا النشاط في فبراير 2026، ولم يُعزى إلى جهة فاعلة محددة. تهدف هذه الحملات إلى استغلال العلامات التجارية المألوفة والتوقيعات الرقمية الموثوقة لتجاوز شكوك المستخدم والحصول على موطئ قدم أولي في بيئات المؤسسات.
TikTok مسموح به في كندا
بعد مراجعة أمنية وطنية لـ TikTok، صرحت وزيرة الصناعة الكندية بأن الشركة يمكنها الاحتفاظ بعملياتها التجارية. ستطبق TikTok إجراءات حماية معززة للمعلومات الشخصية للكنديين، بما في ذلك بوابات أمنية جديدة وتقنيات تعزيز الخصوصية للتحكم في الوصول إلى بيانات المستخدمين الكنديين. يأتي هذا التطور بمثابة تحول كامل عن قرار عام 2024، عندما صدر أمر بإغلاق عملياتها.
زيادة الثغرات بنسبة 12%
سجلت Flashpoint 44,509 إفصاحًا عن ثغرات في عام 2025، بزيادة قدرها 12% مقارنة بالعام السابق. من بينها، تم تأكيد استغلال 466 ثغرة في البرية. زادت هجمات برامج الفدية بنسبة 53% في عام 2025، مع تسجيل 8,835 هجومًا. كانت الصناعة التصنيعية الأكثر استهدافًا، تليها التكنولوجيا والرعاية الصحية.
بوت نت يستغل 174 ثغرة
تم العثور على شبكة الروبوت DDoS المسماة RondoDox وهي تنفذ 174 استغلالاً مختلفًا بين مايو 2025 وفبراير 2026. يُعتقد أن الجهات الخبيثة تستخدم عناوين IP سكنية مخترقة كبنية تحتية للاستضافة. تُلاحظ RondoDox بسرعة إضافتها للثغرات المكتشفة حديثًا، وفي بعض الحالات، دمج دليل إثبات المفهوم (PoC) حتى قبل نشر رقم CVE.
هجوم مسجل ضغط المفاتيح في الذاكرة
تُستخدم رسائل البريد الإلكتروني للتصيد الاحتيالي التي تحمل طُعماً لأوامر الشراء لتوزيع ملف تنفيذي داخل أرشيفات RAR. عند التشغيل، يقوم البرنامج الثنائي بتشغيل VIP Keylogger في الذاكرة دون لمس القرص. يمكن لهذا المسجل التقاط ملفات تعريف الارتباط للمتصفح، وتسجيلات الدخول، وتفاصيل بطاقات الائتمان، وعناوين URL التي تمت زيارتها.
التصيد الاحتيالي المحمي بـ Cloudflare
تم رصد حملة جديدة لجمع بيانات اعتماد Microsoft 365 وهي تستغل خدمات Cloudflare لتأخير الكشف عنها وتصنيف المخاطر. تم تصميم هذه البوابات لضمان أن يكون الزائر هدفًا حقيقيًا وليس ماسحًا أمنيًا أو روبوتًا. طبقت الحملة تقنيات متعددة للكشف المضاد، بما في ذلك استخدام التحقق البشري من Cloudflare وقوائم IP المحظورة المضمنة وفحص وكيل المستخدم.
بعض التكتيكات التي تم الكشف عنها هذا الأسبوع تبدو عملية للغاية، فهي لا تعتمد على اختراقات ضخمة بل على حيل بسيطة تستخدم في المكان والزمان المناسبين. هناك أيضاً استخدام مبتكر للأدوات والميزات الحالية، حيث تبدو مسارات العمل العادية وكأنها مسارات هجوم.
بهذه التطورات، تتغير اشكال مشاكل الأمن السيبراني باستمرار، مما يستدعي يقظة دائمة وتحديثاً مستمراً للإجراءات الوقائية.