ملخص تهديدات الأمن السيبراني07-11-2025
يوم مكثّف بثغرات حرجة في منتجات Cisco وبروتوكول HTTP/2، مع عودة أدوات تحميل تقود لهجمات فدية وحملات تصيّد وتجسس تستهدف باحثين ومستخدمين. كما برزت حوادث اختراق للبنية التحتية وبوت نت DDoS واستغلال ثغرات في DeFi.
ثغرات وتحديثات أمنية حرجة
- Cisco UCCX: ثغرتان خطيرتان تتيحان تنفيذ أوامر عن بُعد وتجاوز المصادقة تؤثران على الإصدارات 12.5 SU3 وما قبلها و15.0 وما قبلها. الثغرات:
CVE-2025-20354،CVE-2025-20358. التحديث العاجل مطلوب إلى 12.5 SU3 ES07 أو 15.0 ES01. - Cisco ISE: ثغرة عالية الخطورة قد تؤدي إلى حجب الخدمة وإعادة التشغيل عن بُعد (
CVE-2025-20343)، وأربع ثغرات إضافية تُمكّن أصحاب الصلاحيات العالية من تنفيذ أوامر والوصول لمعلومات حساسة (CVE-2025-20374حتىCVE-2025-20377). - Cisco ASA/FTD: تأكيد استغلال نشط لثغرة تنفيذ أوامر عن بُعد عبر خادم VPN وتتطلب بيانات اعتماد VPN صحيحة. الثغرة:
CVE-2025-20333. لا حلول مؤقتة، والتحديث الفوري إلزامي. - HTTP/2: ثغرة «MadeYouReset» تُمكّن من هجمات DoS عبر إساءة إغلاق الجلسات. الثغرات:
CVE-2025-8671،CVE-2025-48989، مع تشابه مع هجوم Rapid Reset (CVE-2023-44487). - لينكس: ثغرة تصعيد صلاحيات تُستغل من مجموعات الفدية لاكتساب صلاحيات الجذر والتحرك الأفقي وسرقة البيانات.
- ChatGPT: رُصدت 7 ثغرات تتضمن حقن تعليمات مباشر وغير مباشر، استغلال الذاكرة الدائمة، وهجمات 0-Click قد تؤدي لتسريب بيانات أو تنفيذ أوامر، مع تجاوز لميزة الأمان url_safe عبر روابط Bing وثغرات في عرض الكود.
- تحديثات: إصدار Chrome Beta 143 على أندرويد (143.0.7499.15) يتضمن إصلاحات أمنية؛ يُنصح بالتحديث فوراً.
توصيات
- تحديث Cisco UCCX إلى 12.5 SU3 ES07 أو 15.0 ES01، وCisco ASA/FTD وCisco ISE إلى النسخ الآمنة دون تأخير.
- تثبيت تصحيحات HTTP/2 وتفعيل قيود مؤقتة على معدل إغلاق الجلسات حتى اكتمال التصحيحات.
- تحديث أنظمة لينكس ومراقبة محاولات تصعيد الصلاحيات.
- تجنّب تلخيص مواقع غير موثوقة عبر ChatGPT وتعطيل الذكريات الدائمة عند الشك.
- تحديث Chrome Beta على أندرويد لضمان الحصول على آخر الإصلاحات.
فدية وابتزاز
- عودة «Gootloader»: يستخدم نتائج بحث ملوثة ومواقع ووردبريس مخترقة لتحميل جافاسكريبت خبيث ثم تثبيت أبواب خلفية مثل Supper SOCKS5، وبالشراكة مع مجموعة Vanilla Tempest (Rhysida) تمكن المهاجمون خلال 17 ساعة من اختراق Domain Controller ونشر الفدية، مع تقنيات إخفاء مثل خطوط WOFF2. المؤشرات الفنية:
https://github.com/RussianPanda95/Yara-Rules/blob/main/VanillaTempest/win_mal_TextShell.yarhttps://github.com/RussianPanda95/Yara-Rules/blob/main/VanillaTempest/win_mal_SupperBackdoor.yar. - Midnight Ransomware: ضعف في التشفير (مستوحى من Babuk) يتيح استعادة الملفات دون دفع الفدية في بعض الحالات. يضيف امتدادات مثل .Midnight و.endpoint ويترك ملاحظة فدية باسم How To Restore Your Files.txt وسجلات مثل Report.Midnight وdebug.endpoint.
توصيات
- تجنّب تنزيل الملفات من مصادر غير موثوقة، وتفعيل النسخ الاحتياطي المنفصل واختبار الاستعادة.
- مراجعة الأنظمة بحثاً عن نشاط Gootloader وأي أبواب خلفية، وتفعيل 2FA للحسابات الإدارية.
- في حالات إصابة Midnight، استخدم أدوات فك التشفير الموثوقة مع صلاحيات المسؤول.
حملات تصيّد وهندسة اجتماعية
- حملة إيرانية ضد أكاديميين وخبراء سياسة خارجية: رسائل تنتحل شخصيات معروفة وروابط تبدو كـ OnlyOffice لكنها تقود لصفحات تجميع بيانات، مع تثبيت أدوات إدارة عن بعد مشروعة لاحقاً مثل PDQConnect وISL Online. المؤشرات الفنية:
thebesthomehealth.com،mosaichealthsolutions.com. - تطوّر هجمات «ClickFix»: صفحات خبيثة تكتشف نظام التشغيل وتعرض فيديوهات تعليمية وعداً تنازلياً لدقيقة لدفع الضحية لتنفيذ أوامر عبر PowerShell وMSHTA وأدوات النظام.
- خطر الاستيلاء على الحسابات ATO: يعتمد على بيانات مسربة، التصيّد، وبرمجيات مثل
EmotetوTrickBotلسرقة بيانات الدخول وإطلاق فدية واحتيال مالي. - احتيال يستهدف برلمانيين باكستانيين: خسائر مالية كبيرة عبر حيل رقمية، بينها 850,000 روبية و500,000 روبية في حادثتين منفصلتين.
توصيات
- الحذر من الرسائل غير المتوقعة وصفحات تسجيل الدخول المشبوهة، وتفعيل المصادقة متعددة العوامل.
- عدم تنفيذ أوامر من صفحات ويب غير موثوقة، والتوعية الداخلية بمخاطر «ClickFix».
- فحص الأجهزة لرصد أدوات إدارة عن بعد غير معروفة وإزالتها.
- مراجعة كشوف الحسابات والإبلاغ الفوري عن أي نشاط مريب.
برمجيات خبيثة وسلاسل توريد
- أندرويد في العراق: تطبيق تجسس ينتحل يوتيوب باسم Wibag ويعرض شاشة دخول مزيفة بشعار جهاز الأمن الوطني العراقي، لجمع الرسائل وسجلات المكالمات وبيانات الموقع.
- NGate لأندرويد: برمجية تسرق بيانات الدفع عبر NFC وتستغلها للسحب من الصرافات، تُوزّع عبر تطبيقات مزيفة بعد تصيّد أو مكالمات احتيالية. مؤشرات كشف:
Android/Trojan.Spy.NGate.C،Android/Trojan.Agent.SIB01022b454eH140،Android/Trojan.Agent.SIB01c84b1237H62،Android/Trojan.Spy.Generic.AUR9552b53bH2756،Android/Trojan.Banker.AURf26adb59C19. - سلسلة توريد التطوير: إضافة خبيثة في متجر VS Code باسم susvsex من الناشر ‘suspublisher18’ تقوم بسرقة وتشفير الملفات باستخدام AES-256-CBC مع مراقبة مستودع GitHub خاص لأوامر إضافية. المؤشرات:
susvsex،suspublisher18،AES-256-CBC.
توصيات
- تثبيت التطبيقات فقط من المتاجر الرسمية، وتجاهل رسائل ومكالمات تطلب تنزيل تطبيقات.
- تفعيل حل حماية محدث على الهاتف وفحص الجهاز عند الاشتباه.
- إزالة إضافات VS Code المشبوهة وفحص الجهاز وتغيير كلمات المرور الحساسة.
حوادث اختراق وبنية تحتية وDeFi
- SonicWall: جهة مدعومة من دولة اخترقت خدمة النسخ الاحتياطي السحابي عبر واجهة API واستهدفت ملفات إعدادات جدران الحماية. قد تكشف بعض المعلومات غير المشفرة طرق استغلال الجدران المتأثرة.
- بوت نت «Eleven11»: نفّذ آلاف هجمات DDoS وصلت لأكثر من 6 تيرابت/ث خلال 2025، مع بنية C2 على نطاقات OpenNIC وICANN؛ رغم تعطيل البنية، تبقى الأجهزة المصابة معرضة للخطر. مؤشرات:
.libre.bbs.chan.cyb.dyn.geek.gopher.indy.neo.null.o.oss.oz.parody.pirate. - Balancer DeFi: استغلال ثغرة رياضية في دالة upscale Array بعقود ComposableStablePool عبر 6 شبكات خلال نصف ساعة، مع استخدام عقد ذكي ينفّذ عشرات المبادلات الصغيرة وتحويل الأموال إلى محفظة خارجية. العناوين:
0x506D1f9EFe24f0d47853aDca907EB8d89AE03207،0x54B53503c0e2173Df29f8da735fBd45Ee8aBa30d،0xAa760D53541d8390074c61DEFeaba314675b8e3f.
توصيات
- لمستخدمي SonicWall: تقييد أو تعطيل الإدارة عبر HTTP/HTTPS وSSH من الخارج، تعطيل أو تقييد SSL VPN وIPSEC VPN وSNMP، إعادة تعيين كلمات المرور والمفاتيح وAPI tokens، تفعيل 2FA وتحديث إعدادات IAM.
- تحديث أجهزة إنترنت الأشياء، تعطيل الوصول غير الضروري، وحظر نطاقات OpenNIC المذكورة على مستوى الشبكة، ومراقبة حركة المرور.
- لمستخدمي Balancer: مراقبة الأرصدة، وقف الإيداعات في العقود المتضررة، متابعة تحديثات الفريق.
