ملخص تهديدات الأمن السيبراني22-10-2025

يوم حافل بثغرات حرجة وحملات تجسس وهجمات تصيّد وفدية طالت منصات واسعة من الخوادم إلى الأجهزة المنزلية. تبرز تحديثات عاجلة للينكس وويندوز ومنتجات شبكية، إلى جانب نشاط متزايد لسرّاقات المعلومات وعروض فدية جاهزة للبيع. فيما يلي أبرز المستجدات مجمّعة حسب الفئة.

الثغرات والتحديثات الأمنية الحرجة

  • نواة لينكس: تحديثات لسد ثغرات تتيح تصعيد الصلاحيات وتعطيل الأنظمة وتمس تعريفات GPU والشبكات وNetlink؛ التأثير يمتد للخوادم وأجهزة سطح المكتب والحاويات. المؤشرات: CVE-2024-26700, CVE-2025-38727, CVE-2023-52593, CVE-2024-26896. ما العمل: تحديث النواة وإعادة التشغيل وإعادة بناء صور الحاويات.
  • ثغرة في Microsoft 365 Copilot: حقن أوامر غير مباشر عبر مستندات يؤدي لاستخراج بيانات حساسة وإنشاء مخطط Mermaid خبيث؛ تم تعطيل الروابط التفاعلية لسد الثغرة. ما العمل: تحديث Copilot وتجنب تلخيص مستندات غير موثوقة.
  • Windows SMB: ثغرة مستغلة فعلياً تتيح تصعيد الصلاحيات إلى SYSTEM عبر خادم SMB خبيث وسكريبت مخصص. المؤشر: CVE-2025-33073. ما العمل: تحديث ويندوز وتفعيل توقيع SMB.
  • أجهزة TP-Link Omada: تنفيذ أوامر عن بُعد دون دخول أو عبر واجهة الإدارة والتصعيد إلى root في طرازات متعددة. المؤشرات: CVE-2025-6542, CVE-2025-6541, CVE-2025-8750, CVE-2025-7851. ما العمل: ترقية البرنامج الثابت فوراً.
  • مكتبة Rust async-tar: كتابة فوق الملفات قد تقود لتنفيذ تعليمات عن بُعد وتؤثر على تفرعات واسعة مثل tokio-tar. المؤشر: CVE-2025-62518. ما العمل: تدقيق الاعتمادات وتحديث أو استبدال المكتبات.
  • Cursor وWindsurf: أكثر من 94 ثغرة بسبب إصدارات Electron/Chromium/V8 قد تُستغل عبر deeplink أو إضافات أو ملفات README؛ ثغرة CVE-2025-7656 أظهرت DoS مع احتمال RCE. ما العمل: تجنّب الاستخدام لحين التحديث.
  • Chrome على أندرويد (الإصدار 141): تحديث يتضمن إصلاحات أمنية وتحسينات عامة. ما العمل: التحديث عبر متجر التطبيقات.
  • Pwn2Own Ireland 2025: اكتشاف 34 يوم-صفر في أجهزة منزلية وشبكية شملت QNAP وSynology وCanon وSonos وPhillips Hue وHome Assistant. ما العمل: ترقّب تحديثات الشركات وتثبيتها فور صدورها.
  • مشاكل مصادقة ويندوز بسبب تكرار SID: تحديثات بعد 29 أغسطس 2025 تفشل المصادقة عند وجود معرفات مكررة. ما العمل: استخدام Sysprep قبل الاستنساخ أو تطبيق سياسة مؤقتة عبر الدعم.
  • تحديث KB5066835: يعطل لوحات المفاتيح والفأرة USB داخل WinRE على Windows 11 وWindows Server 2025. المؤشر: KB5066835. ما العمل: إزالة التحديث عند الحاجة إلى WinRE أو استخدام محرك استرداد سابق.

توصيات

  • التعجيل بتطبيق تصحيحات لينكس وويندوز وTP-Link ومكونات التطوير، وإعادة تشغيل/إعادة نشر الأنظمة عند اللزوم.
  • تدقيق اعتمادات Rust لمشاريعكم وتحديث المكتبات المتأثرة.

حملات APT وتجسّس متقدم

  • Salt Typhoon: استغلال ثغرة في Citrix NetScaler Gateway واستخدام SoftEther VPN وزرع باب خلفي SNAPPYBEE باستخدام تقنية DLL sideloading داخل برامج حماية معروفة؛ تم رصد النشاط مبكراً عبر مراقبة السلوك الشبكي. المؤشرات: SNAPPYBEE (Deed RAT)، Citrix NetScaler Gateway، DLL sideloading. ما العمل: تحديث Citrix وتفعيل مراقبة السلوك وفحص الشبكة.
  • PassiveNeuron: استهداف خوادم Microsoft SQL الحكومية والمالية والصناعية عبر ثغرات أو كلمات مرور ضعيفة، نشر Web Shells بصيغ مشفرة، واستخدام Neursite وNeuralExecutor وCobalt Strike مع تقنيات تخفٍ متقدمة؛ ضحايا في آسيا وأفريقيا وأمريكا اللاتينية. المؤشرات: 12ec42446db8039e2a2d8c22d7fd2946, 406db41215f7d333db2f2c9d60c3958b, 44a64331ec1c937a8385dfeeee6678fd, 8dcf258f66fa0cec1e4a800fa1f6c2a2, d587724ade76218aa58c78523f6fa14e, f806083c919e49aca3f301d082815b30, 751f47a688ae075bba11cf0235f4f6ee. ما العمل: تحديث وتأمين SQL، مراقبة التطبيقات، ونشر حلول كشف Web Shells.
  • Coldriver/Star Blizzard: انتشار أدوات NOROBOT وYESROBOT وMAYBEROBOT عبر صفحات CAPTCHA مزيفة «أنا لست روبوت» وتقنيات ClickFix، مع استمرارية عبر السجلات وجدولة المهام؛ استهداف حكومات وصحفيين ومراكز أبحاث ومنظمات مدنية. المؤشرات: NOROBOT، YESROBOT، MAYBEROBOT. ما العمل: الحذر من صفحات التحقق المزيفة وتفعيل المصادقة المتعددة وتحديث الدفاعات.

توصيات

  • تشديد المراقبة الشبكية والسجلات على خوادم البوابات وSQL، ومطابقة المؤشرات المذكورة.

فدية وابتزاز

  • Oracle E-Business Suite: استغلال ثغرة يوم-صفر عن بُعد دون كلمة مرور ضمن حملة تقودها CL0P استهدفت مؤسسات كبرى بينها Envoy Air وجامعة هارفارد مع تهديدات تسريب بيانات؛ إصدار تصحيح طارئ في 4 أكتوبر 2025. المؤشر: CVE-2025-61882. ما العمل: تحديث Oracle EBS فوراً.
  • Monolock Ransomware: طرح نسخة V1.0 للبيع تدعم ويندوز ولينكس مع تشفير AES-256 متعدد الخيوط وتعطيل الحماية والانتشار عبر الشبكات والتخزين السحابي وتوزيع عبر التورنت وبصمة منخفضة؛ تسعير بين 2.5 و10 بيتكوين. ما العمل: تحديث خطط الاستجابة، تفعيل EDR، نسخ احتياطي غير متصل، ومراقبة الشبكة.

توصيات

  • تسريع إغلاق الثغرات المعروفة في الأنظمة الحرجة وتقوية النسخ الاحتياطي والاختبارات الدورية للاستعادة.

برمجيات خبيثة وسرّاقات معلومات وتوزيع

  • Luma Infostealer: سرقة كلمات المرور ومحافظ العملات وبيانات VPN وRDP وتوظيفها كمرحلة أولى لهجمات فدية؛ توزيع عبر مواقع تصيّد لبرامج مقرصنة وحزم NSIS وتقنيات حقن وتجزئة الشيفرة؛ قنوات C2 مشفرة. المؤشرات: rhussois.su، diadtuky.su. ما العمل: تجنّب التحميل من مصادر مشبوهة وتفعيل EDR وعدم تخزين كلمات المرور في المتصفح.
  • Vidar Stealer 2.0: إعادة كتابة بلغة C مع تجاوز تشفير Chrome وسرقة بيانات اعتماد وبطاقات ومحافظ وملفات تعريف الارتباط وحسابات Steam وTelegram وDiscord وإخفاء متقدم؛ تسريب عبر بوتات Telegram وروابط داخل ملفات Steam. ما العمل: تحديث الحماية وتجنّب الروابط والمرفقات المشبوهة.
  • اختراق موقع Xubuntu: استبدال رابط التورنت بملف Xubuntu-Safe-Download.zip يحوي برنامجاً خبيثاً TestCompany.SafeDownloader.exe يعمل كـ clipboard hijacker ويحقق الاستمرارية عبر الريجستري؛ روابط التحميل الأخرى لم تتأثر وتمت إزالة الصفحة المصابة. المؤشرات: 0f59f553fcfac3cac07aa7986eac914be069a6dd407b2d9f761f11d3e865b4f6، ec3a45882d8734fcff4a0b8654d702c6de8834b6532b821c083c1591a0217826. ما العمل: حذف الملفات المصابة، فحص الجهاز، والتحميل فقط من الخادم الرسمي مع التحقق من التواقيع.

توصيات

  • فرض سياسات منع التنفيذ والتطبيقات الموثوقة، ومطابقة المؤشرات مع سجلات DNS وHTTP وEndpoints.

تصيّد وهندسة اجتماعية وتهديدات الهوية

  • حملة عروض وظائف وهمية لسرقة حسابات فيسبوك: انتحال علامات شهيرة وإيهام باختبار أمني وصفحات دخول مزيفة ورسائل تبدو من خدمات موثوقة؛ عناوين البريد والروابط لا تتطابق مع الجهات الأصلية. ما العمل: عدم النقر على الروابط المشبوهة والتحقق من العناوين وعدم إدخال البيانات إلا في المواقع الرسمية.
  • تقنيات تصيّد البريد 2025: مرفقات PDF مع رموز QR أو محمية بكلمة مرور، دعوات تقويم خبيثة، صفحات تتحقق من البريد وتستخدم CAPTCHA، ومحاولات سرقة رموز MFA تستهدف Google وMicrosoft وpCloud. ما العمل: تجنب فتح المرفقات المشبوهة والتحقق من النطاق قبل تسجيل الدخول وتفعيل الحماية المتقدمة للبريد.
  • استغلال Direct Send في Microsoft 365: إرسال رسائل تبدو داخلية لتجاوز الفحوصات وانتحال موظفين واحتواء روابط/مرفقات خبيثة وتخطي DKIM/SPF/DMARC؛ أدوات جديدة مثل RejectDirectSend قيد التوفير. ما العمل: مراجعة استخدام Direct Send وتفعيل أدوات الحماية والانتقال إلى SMTP موثوق وتقييد الأجهزة القديمة.
  • تهديدات هوية على Active Directory: سرقة بيانات الاعتماد عبر Pass-the-Hash وKerberoasting وضعف الإعدادات وبروتوكولات قديمة، وتصعيد عبر خدمات شهادات AD واستغلالات معروفة مثل CVE-2020-1472، وخطر اختراق مزامنة الهوية مع السحابة. ما العمل: MFA وتحديثات مستمرة وتعطيل البروتوكولات القديمة وتطبيق أقل الصلاحيات.

توصيات

  • برامج توعية مستمرة للمستخدمين، وتشديد سياسات البريد والهوية، وتمكين MFA على نطاق المؤسسة.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون