ملخص تهديدات الأمن السيبراني17-10-2025
يوم حافل بإنذارات حرجة: اختراقات مؤثرة لسلاسل التوريد وتسريبات بيانات واسعة، إلى جانب ثغرات عالية الخطورة في بنى الشبكات وأنظمة لينكس. كما تصاعدت حملات التصيّد وتوزيع البرمجيات الخبيثة عبر npm ووسائط اجتماعية ومثبّتات مزيفة، مع استمرار ضغوط الفدية والابتزاز.
الثغرات والتحديثات الأمنية
- Cisco SNMP Rootkit: ثغرة
CVE-2025-20352في SNMP على أجهزة IOS/IOS XE تتيح تنفيذ أوامر عن بُعد بعد الحصول على بيانات الاعتماد، وزرع rootkit يبقى بعد إعادة التشغيل ويخفي الآثار. لوحظ استهداف طرازات 9400 و9300 و3750G. منفذ SNMPUDP 161. - هواتف Cisco: ثغرتا
CVE-2025-20350(DoS) وCVE-2025-20351(XSS) على Desk 9800 وIP 7800/8800 وVideo 8875 عند تفعيل Web Access؛ التحديث لبرمجيات SIP ضروري، وتعطيل Web Access يخفف الخطر. - WatchGuard Firebox: ثغرة حرجة
CVE-2025-9242في IKEv2 تمكّن RCE دون مصادقة عبرUDP 500مع صلاحيات root؛ تحديثات عاجلة متاحة. - ConnectWise Automate: ثغرات عالية الخطورة (
CVE-2025-11492،CVE-2025-11493) تسمح بحقن تحديثات خبيثة في النُّسخ المحلية؛ الإصدار 2025.9 يفرض HTTPS وTLS 1.2+. - Squid: ثغرة سرية البيانات
CVE-2025-62168تؤثر على 7.x قبل 7.2؛ يتطلب تحديثًا فوريًا. - Moxa: عدة ثغرات تمكّن وصولًا غير مصرّح ورفع صلاحيات في أجهزة مثل EDF-G1002-BP وEDR-8010 وEDR-G9010 وNAT-102 وNAT-108 وOnCell G4302-LTE4 وTN-4900 (قبل v3.21).
- لينكس/أوبونتو: تحديثات أمنية تعالج مجموعة كبيرة من الثغرات عبر إصدارات 18.04 ESM و20.04 ESM و22.04 LTS و24.04 LTS و25.04.
- لينكس/Debian LTS: تحديثات للنواة لمعالجة ثغرات متعددة في bullseye قبل 5.10.244-1 و6.1.153-1~deb11u1.
- Red Hat: تحديثات نواة تعالج ثغرات قد تؤدي إلى تنفيذ تعليمات أو تصعيد صلاحيات أو تسريب بيانات.
- MongoDB Connector for BI: ثغرة تصعيد صلاحيات على ويندوز قبل 2.14.25 (
CVE-2025-11535). - SAP: تحذير من ثغرة يوم الصفر تستهدف أنظمة ERP/CRM، ما يستدعي مراقبة وضبط إعدادات صارمَين.
توصيات
- التحديث الفوري لجميع المنتجات المتأثرة، مع أولوية للبوابات المعرضة للإنترنت.
- تقييد أو تعطيل SNMP خارجيًا، وحصر IKEv2 و
UDP 500على الشبكات الموثوقة. - فرض HTTPS وTLS 1.2+، وتعطيل ميزات إدارة الويب غير الضرورية حتى إتمام التحديث.
البرمجيات الخبيثة وبنية C2
- AdaptixC2 عبر npm: حزمة مزيفة باسم
https-proxy-utilsتُثبّت وكيل C2 على ويندوز/لينكس/ماك وتمنح تحكمًا كاملاً. مؤشرات:DFBC0606E16A89D980C9B674385B448E،B8E27A88730B124868C1390F3BC42709،cloudcenter[.]top/sys/update. - حملة تيك توك: أوامر PowerShell خادعة تُنزل AuroStealer عبر
file-epq.pages.dev/updater.exeوتمكث بمهام مجدولة، مع مرحلة ثانيةsource.exe. مؤشرات:slmgr.win/photoshop، SHA256 مثل6D897B56...60C6B23. - مثبّتات Teams مزيفة: مجموعة Vanilla Tempest (Vice Society) نشرت Oyster الموقعة زورًا لتسهيل فدية Rhysida عبر نطاقات مثل
teams-download[.]buzz،teams-install[.]run،teams-download[.]top. - حملات كورية شمالية: برمجيات مثل
BeaverTailوOtterCookieوتقنيةEtherHidingمع طعوم «وظائف» لسرقة كلمات المرور ولقطات الشاشة وضغطات المفاتيح واستهداف العملات الرقمية.
توصيات
- التحقق من أسماء الحِزم ومصداقية الناشرين قبل التثبيت، ومراجعة سلاسل التوريد البرمجية.
- عدم تنفيذ أوامر PowerShell من محتوى مرئي أو مصادر غير موثوقة.
- تحميل Teams والبرمجيات فقط من القنوات الرسمية، وتفعيل حماية النقاط النهائية.
التصيّد والهندسة الاجتماعية وسبام الويب
- دعم مايكروسوفت المزيف: رسائل بريد مع روابط تؤدي إلى CAPTCHA مزيف وشاشة مجمّدة تدفع للاتصال برقم دعم وهمي لسرقة بيانات الدخول أو تثبيت أدوات تحكم. مؤشرات:
alphadogprinting[.]com،amormc[.]com،107[.]180[.]26[.]155،184[.]168[.]97[.]153،toruftuiov[.]com،highbourg[.]my[.]id،104[.]21.32.1،104[.]21.112.1،18[.]160.41.101. - عناوين Clickbait: طُعوم إخبارية وعروض وهمية تقود لصفحات تصيّد أو تنزيل برمجيات خبيثة وطلب بيانات حساسة.
- استغلال Zendesk: إغراق بريد الضحايا برسائل مسيئة عبر إنشاء تذاكر دون تحقق من المرسِل؛ الردود ترتد إلى الشركات المتأثرة.
- سبام SEO وروابط مخفية: حقن HTML وروابط خارجية خفية عبر ثغرات مثل SQLi وRCE وXSS أو كلمات مرور ضعيفة، ما يضرّ بسمعة المواقع.
توصيات
- توخّي الحذر من الرسائل غير المتوقعة، والتحقق من النطاقات قبل النقر.
- تفعيل MFA المقاوم للتصيّد، وتدريب المستخدمين على أنماط الخداع الشائعة.
- تقييد إنشاء تذاكر Zendesk بالتحقق من هوية المرسِل، وتفعيل WAF وتحديث الإضافات ونُظم إدارة المحتوى.
التسريبات والاختراقات والابتزاز
- F5: جهة تهديد دولية سرقت شيفرة BIG-IP ومعلومات ثغرات غير مُعلنة وتفاصيل إعدادات العملاء بعد وصول طويل الأمد لأنظمة هندسية؛ تحذيرات لسلسلة التوريد وطلب تحديث الأجهزة أو فصل الأنظمة المنتهية الدعم.
- Prosper: اختراق كشف بيانات شخصية ومالية واسعة تشمل أسماء وأرقام ضمان اجتماعي وعناوين وتواريخ ميلاد وحالة وظيفية ودخل وحالة ائتمانية وعناوين IP وتفاصيل متصفح، مع تأكيد تسريب 17.6 مليون بريد إلكتروني.
- Oracle E-Business Suite: عصابة Clop استغلت ثغرة يوم الصفر
CVE-2025-61882لاستهداف جهات منها Envoy Air وجامعة هارفارد؛ تسريب محدود لمعلومات الأعمال، وتحديثات أمنية صدرت. - ShinyHunters: هجمات على شركات أزياء كبرى عبر اختراق Salesforce ومفاوضات ابتزاز، مع جدل حول هوية القائد رغم اعتقال مشتبه به.
- اختراق بريد جون بولتون: وصول غير مصرّح لحسابه في 2021 مع تهديدات بالتسريب وإبلاغ فوري للـ FBI.
- اتجاهات الفدية: مجموعتا Akira وQilin الأبرز في يوليو وأغسطس 2025، مع 37 مجموعة جديدة في النصف الأول من 2025 واستغلال غياب MFA وثغرات قديمة وبيانات دخول مسروقة.
توصيات
- تغيير كلمات المرور وتفعيل MFA، ومراقبة السجلات لاكتشاف النشاط غير المعتاد.
- تحديث Oracle E-Business Suite وبيئات F5 فورًا، وفصل الأنظمة المنتهية الدعم.
- تحذير المستخدمين من حملات التصيّد المحتملة باستخدام البيانات المسرّبة.
إنفاذ القانون والبنى الإجرامية
- تفكيك شبكة SIM-Box: اعتقال 7 أشخاص وضبط 1,200 جهاز SIM box تضم 40,000 شريحة نشطة مسؤولة عن أكثر من 3,200 عملية احتيال وخسائر تتجاوز 5.8 مليون دولار، وإنشاء أكثر من 49 مليون حساب وهمي وإغلاق مواقع
gogetsms.comوapisim.com. الخدمة وفّرت أرقامًا لأكثر من 80 دولة مع خسائر بلغت 4.5 مليون يورو في النمسا و420 ألف يورو في لاتفيا.
توصيات
- الحذر من المكالمات والرسائل المشبوهة وتفعيل المصادقة الثنائية على الحسابات الحساسة.
- تعزيز آليات التحقق عبر الهاتف لدى المنصات واعتماد حلول كشف الأرقام الوهمية.
