ملخص تهديدات الأمن السيبراني05-11-2025
يوم حافل ببرمجيات خبيثة متقدمة وبوت نت نشط يستغل عشرات الثغرات، إلى جانب حزمة واسعة من الثغرات الحرجة والتحديثات الأمنية العاجلة. لوحظت أيضاً حملات تصيّد مالية موجّهة وتقنيات تسلل مبتكرة تستتر بخدمات شرعية.
برمجيات خبيثة وبنى C2
SesameOp يستغل OpenAI Assistants كقناة تحكم
- باب خلفي يمرر أوامر المهاجم عبر
api.openai.comمع تشفير وتضليل لتبدو الحركة عادية. - الزرع عبر .NET AppDomainManager injection وأدوات Visual Studio معدلة، مع مكوّن خفي باسم
OpenAIAgent.Netapi64. - تعطيل مفتاح واجهة البرمجة المرتبط بالمهاجمين بعد تنسيق بين Microsoft وOpenAI.
توصيات
- مراقبة العمليات التي تتصل بشكل غير معتاد بـ
api.openai.comوتقييد الاتصالات غير المراقبة. - فحص سجلات الشبكة والعمليات بحثاً عن نشاط مشبوه.
إخفاء برمجيات خبيثة داخل أجهزة افتراضية عبر Hyper-V
- إنشاء جهاز افتراضي Alpine Linux خفي على ويندوز المصاب لتشغيل أدوات مخصصة مثل
CurlyShellوCurlCat. - يوفر وصولاً عن بعد وتقنيات reverse shell وproxy مع تمرير الحركة عبر عنوان IP للجهاز الأصلي.
- استمرار الوصول عبر سكريبتات PowerShell لحقن تذاكر Kerberos وإنشاء حسابات محلية؛ رُصد خادم C2 في موقع جورجي.
- أسماء مؤشرات: الجهاز الافتراضي باسم
WSLوأجهزة Alpine غير معتادة.
توصيات
- مراجعة وتقييد تفعيل Hyper-V، وتعطيل أي أجهزة افتراضية غير معروفة.
- مراقبة سكريبتات PowerShell ونشاط Kerberos غير المألوف.
بوت نت RondoDox يوسّع الهجمات
- استغلال 75 ثغرة عبر منصات متعددة؛ أمثلة:
CVE-2014-6271،CVE-2015-2051،CVE-2019-16920،CVE-2020-25506،CVE-2021-41773،CVE-2021-42013،CVE-2016-6277،CVE-2020-27867،CVE-2024-12847،CVE-2025-1829،CVE-2025-7414،CVE-2017-10271،CVE-2023-47565،CVE-2023-52163. - قدرات إخفاء وقتل منافسين وتعطيل الحماية، وشن هجمات DDoS تُحاكي ألعاباً وشبكات افتراضية.
توصيات
- تحديث الأجهزة والخوادم المستهدفة وتقوية إعدادات الشبكة.
- تقييد الاتصالات مع عناوين C&C:
74.194.191.52،38.59.219.27،83.252.42.112. - مؤشرات إضافية:
rondo.dtm.sh،[email protected]،124.198.131.83.
تروجان أندرويد يستهدف التطبيقات البنكية والعملات الرقمية
- ينتحل تطبيقات شائعة ويطلب صلاحيات متقدمة للحصول على تحكم كامل وعرض صفحات تسجيل دخول وهمية.
- يرسل معلومات الجهاز ويتيح تحكماً عن بُعد، ما يهدد الأموال والأصول الرقمية.
- مؤشرات ملفات/تجزئات:
IdentitasKependudukanDigital.apk،cb25b1664a856f0c3e71a318f3e35eef8b331e047acaf8c53320439c3c23ef7c،identitaskependudukandigital.apk،19456fbe07ae3d5dc4a493bac27921b02fc75eaa02009a27ab1c6f52d0627423،a4126a8863d4ff43f4178119336fa25c0c092d56c46c633dc73e7fc00b4d0a07.
توصيات
- تثبيت التطبيقات من المتاجر الرسمية فقط ومراجعة الصلاحيات خصوصاً خدمات الوصول وإدارة الجهاز.
- تحديث النظام وتشغيل حماية Play Protect وفحص الجهاز دورياً.
تزايد التطبيقات الضارة على Google Play
- 239 تطبيقاً ضاراً بتحميلات تتجاوز 42 مليوناً؛ أبرزها: Anatsa (تروجان بنكي)، Vo1d (باب خلفي)، Xnotice الذي ينتحل تطبيقات توظيف ويستهدف باحثي عمل في قطاع النفط والغاز.
- ارتفاع هجمات برامج التجسس بنسبة كبيرة وتضاعف الإعلانات المزعجة.
توصيات
- تحديث النظام والتطبيقات، تعطيل الأذونات غير الضرورية، وتفعيل Play Protect.
ثغرات واستغلالات حرجة
حملة على أجهزة Cisco ASA
- استغلال
CVE-2025-30333وCVE-2025-20362للسيطرة عن بُعد، مع قدرة على البقاء حتى بعد التحديث.
توصيات
- تحديث فوري، إعادة ضبط للمصنع، تدوير كلمات المرور والمفاتيح والشهادات، ومراجعة السجلات.
ثغرة حرجة في أندرويد
CVE-2025-48593RCE تؤثر على إصدارات 13 إلى 16 دون تفاعل أو صلاحيات إضافية.
توصيات
- التحقق من مستوى تصحيح الأمان 2025-11-01 أو أحدث وتحديث الجهاز، وإبقاء Play Protect مفعّلاً.
ثغرات في Microsoft Teams
- انتحال هوية وتزوير رسائل ومكالمات وتعديل سجل المحادثات؛ مؤشر:
CVE-2024-38197.
توصيات
- تحديث Teams، تفعيل التحقق الثنائي، والحذر من رسائل ومكالمات غير متوقعة.
ووردبريس Post SMTP
- ثغرة حرجة
CVE-2025-11833تسمح بالوصول إلى سجلات البريد ورسائل إعادة تعيين كلمة المرور حتى الإصدار 3.6.0.
توصيات
- تحديث الإضافة إلى 3.6.1 أو أحدث وفحص الحسابات والتغييرات غير المصرح بها.
React Native CLI Server API
- RCE
CVE-2025-11953عبر نقطة/open-urlفي Metro، يؤثر على الإصدارات 4.8.0 حتى 20.0.0-alpha.2.
توصيات
- التحديث إلى 20.0.0 أو أحدث.
- إن تعذّر، تشغيل الخادم بـ
--host 127.0.0.1ومراجعة وجود الحزمة عبرnpm list @react-native-community/cli-server-apiأوnpm list -g @react-native-community/cli-server-api.
ثغرات في Fade In وTruffleHog وDell BSAFE
- Fade In 4.2.0: كتابة خارج الحدود واستخدام بعد التحرير في معالج XML.
- TruffleHog 3.90.2: تنفيذ تعليمات برمجية عبر مستودع خبيث.
- Dell BSAFE Crypto-C: ثلاث ثغرات قد تؤدي إلى قراءة خارجية أو تعطيل خدمة.
- مؤشرات:
CVE-2025-53855CVE-2025-53814CVE-2025-41390CVE-2019-3728.
توصيات
- تحديث جميع البرامج المتأثرة والامتناع عن فتح ملفات أو مستودعات غير موثوقة.
قالب JobMonster لووردبريس
- ثغرة مصادقة حرجة
CVE-2025-5397حتى الإصدار 4.8.1 عبر تسجيل دخول اجتماعي غير مُتحقق.
توصيات
- التحديث إلى 4.8.2 أو تعطيل تسجيل الدخول الاجتماعي مؤقتاً وتفعيل المصادقة الثنائية وفحص السجلات.
تحديثات أمنية من آبل
- إصلاحات تفوق 100 ثغرة في iOS وiPadOS وmacOS وSafari.
توصيات
- تحديث أجهزة آبل إلى آخر إصدار متاح.
تحديثات وسياسات أمنية
نهاية دعم ويندوز 10 وتفعيل ESU
- يتطلب شراء وتفعيل رخصة ESU للأجهزة على إصدار 22H2 مع التحديث
KB5066791أو أحدث. - التفعيل عبر مفتاح MAK ومن ثم التحقق بالأمر
slmgr.vbs /dlv. - أجهزة Windows 365 Cloud PC قد تحصل على ESU تلقائياً ضمن شروط محددة.
توصيات
- شراء وتفعيل رخص ESU وتثبيت آخر التحديثات والتحقق من الحالة على الأجهزة.
إيقاف Defender Application Guard في أوفيس
- الملفات غير الموثوقة ستُفتح في وضع «Protected View» بدلاً من العزل.
- توصية بتفعيل قواعد ASR في Defender for Endpoint وWindows Defender Application Control كبدائل.
توصيات
- التأكد من تفعيل Protected View وASR وWDAC لحماية الأجهزة من الملفات الضارة.
التصيّد والهندسة الاجتماعية
تصيّد يستهدف أنظمة الرواتب
- سرقة بيانات الدخول وتغيير إعدادات التحويل لتحويل الرواتب لحسابات المهاجمين باستخدام رسائل مُضللة.
توصيات
- تفعيل مصادقة قوية (مثل مفاتيح FIDO2)، عدم مشاركة بيانات الدخول، ومراقبة التحويلات.
تسميم إضافات النماذج اللغوية المفتوحة
- إدخال تعليمات خبيثة في محولات منخفضة التكلفة لتفعيل سلوك ضار عند محفزات محددة؛ تقنيات POLISHED وFUSION تُخفي الأثر.
توصيات
- تحميل الإضافات من مصادر موثوقة، مراجعة الكود، ومراقبة سلوك النموذج بعد أي تحديث.
