ملخص تهديدات الأمن السيبراني18-11-2025

يوم حافل بثغرات حرجة واستغلالات نشطة، حملات تصيّد متقدمة، وفدية وهجمات حجب خدمة طالت منصات وشركات عالمية. فيما يلي أبرز الوقائع الموثقة مع توصيات عملية للتقليل من المخاطر.

الثغرات والاستغلالات النشطة

  • ثغرة EchoGram تتجاوز الحماية في نماذج ذكاء اصطناعي شهيرة عبر flip tokens، ما يسمح بتمرير طلبات ضارة أو تعطيل آليات المنع خصوصًا عند دمج عدة رموز.
  • ثغرات حرجة في أجهزة Lynx+ Gateway قد تسمح بالوصول غير المصرّح أو إعادة الضبط عن بُعد دون مصادقة. الأهم: CVE-2025-58083 بتقييم 10/10.
  • ثغرة منطقية في mPDF تُمكّن هجمات SSRF عبر @import داخل CSS، لتجاوز التعقيم القياسي وفحص المنافذ والوصول لخدمات مثل Redis وMySQL واستغلال بروتوكول Gopher.
  • هجمات نشطة على Cisco ASA وFTD عبر ثغرتين: تنفيذ أوامر عن بُعد كـ root (CVE-2025-20333) والوصول غير المصرّح لبعض عناوين VPN (CVE-2025-20362). الأجهزة مع ميزات VPN مفعّلة متأثرة، بينما Cisco FMC غير متأثر. توصي الإرشادات بإصدارات آمنة مثل ASA 9.12.4.72 أو 9.14.4.28.
  • ثغرة خطيرة في Fortinet FortiWeb (CVE-2025-64446) أتيح استغلالها على نطاق واسع قبل الإعلان، وتسمح بتنفيذ أوامر إدارية والسيطرة الكاملة على الجهاز.
  • ثغرة حرجة في XWiki (CVE-2025-24893) تُستغل بحقن كود Groovy عبر HTTP لتنزيل وتشغيل حمولة خبيثة، مع استهدافات لنشر RondoDox وتعدين العملات. الإصدارات المتأثرة قبل 15.10.11 و16.4.1.
  • تحديثات أمنية هامة: استغلال نشط لثغرة يوم-صفر في ويندوز، وثغرة خطيرة في هواتف سامسونج تتيح السيطرة على الجهاز، مع رصد برامج تجسس مثل Fantasy Hub.

توصيات

  • EchoGram: تحديث أنظمة الحماية فورًا، مراجعة إعدادات الفلاتر والمراقبة الدقيقة للتنبيهات، وعدم الاعتماد الكامل على الأتمتة.
  • Lynx+ Gateway: تطبيق ترقيعات المصنع عند توفرها، فرض سياسات كلمات مرور قوية، وفصل الأجهزة الحساسة عن الإنترنت قدر الإمكان.
  • mPDF: حجب الأحرف الخاصة مثل @ و( و) و: و/ في المدخلات أو استخدام بدائل أكثر أمانًا لتوليد PDF.
  • Cisco ASA/FTD: التحديث الفوري إلى الإصدارات الآمنة الموصى بها، استخدام أداة فحص البرمجيات من البائع، ومراقبة محاولات الدخول غير الطبيعية.
  • FortiWeb: التحديث إلى 8.0.2 أو أحدث، وفحص الأجهزة بحثًا عن حسابات إدارية أُنشئت دون تفويض.
  • XWiki: التحديث إلى 15.10.11 أو 16.4.1 أو أحدث، مراجعة السجلات لحظر مؤشرات الهجوم المعروفة.
  • ويندوز وسامسونج: تحديث الأنظمة فورًا، الحذر من تثبيت تطبيقات غير موثوقة، ومراقبة أي مؤشرات سلوك مشبوه.

التصيّد والهندسة الاجتماعية

  • حملة تصيّد عبر دعوات Microsoft Entra تستغل رسالة الدعوة لإدراج نصوص احتيالية تطلب الاتصال برقم هاتف، وتستفيد من وصول الرسائل من عناوين رسمية لتجاوز الفلاتر، مع انتحال دعم وطلب بيانات حساسة أو تحميل ملفات خبيثة. المؤشرات الفنية:
    • [email protected]
    • x44xfqf.onmicrosoft.com
    • woodedlif.onmicrosoft.com
    • xeyi1ba.onmicrosoft.com
    • x44xfgf.onmicrosoft.com
    • 18052948531
  • رسائل تصيّد تنتحل إشعارات حقوق نشر من X وتدفع المستخدم إلى زر مراجعة يؤدي لصفحة تسجيل مزيفة تُسرق عبرها بيانات الدخول.
  • حملات تصيّد تنتحل رسائل تصفية البريد العشوائي لسرقة بيانات الدخول.

توصيات

  • التحقق من أي دعوات ضيوف غير متوقعة وعدم الاتصال بأرقام مذكورة في رسائل حول فواتير أو مشكلات حساب.
  • عدم الضغط على روابط مشبوهة، والتحقق من عنوان الموقع قبل إدخال البيانات، وتفعيل المصادقة الثنائية على حسابات X.
  • تدريب الموظفين على مخاطر مكالمات الدعم غير المتوقعة ورسائل التصيّد، ومراقبة التنبيهات.

الفدية والهجمات على بيئات ويندوز

  • فدية Yurei تستهدف النقل والبرمجيات والتسويق والأغذية، تعتمد تشفير ChaCha20-Poly1305، تُتلف النسخ الاحتياطية وتلوّح بتسريب البيانات وتحديد الفدية حسب الضحية.
  • هجوم فدية Lynx عبر RDP: دخول ناجح ببيانات اعتماد مسروقة، انتقال سريع لوحدة تحكم النطاق، إنشاء حسابات مزيفة بصلاحيات عالية، جمع ملفات حساسة وإرسالها إلى temp.sh، حذف مهام النسخ الاحتياطي ثم نشر الفدية على عدة خوادم. مؤشرات:
    • 195.211.190.189
    • 77.90.153.30
    • 3073af95dfc18361caebccd69d0021a2
    • 7532ff90145b8c59dc9440bf43dc87a5
    • e2179046b86deca297ebf7398b95e438
  • أداة SilentButDeadly لتعطيل برامج الحماية على ويندوز عبر WFP بقطع الاتصال السحابي عن EDR ومضادات الفيروسات ومحاولات تعطيل الخدمات وتغيير إعدادات التشغيل، مع الاعتماد على صلاحيات المدير واستخدام واجهات ويندوز الرسمية. مراقبة الأحداث: Event IDs 5441 و5157 و5152.

توصيات

  • لـ Yurei: مراجعة النسخ الاحتياطية وتخزينها خارج الشبكة، تحديث أنظمة الحماية ومراقبة الشبكة، تدريب الموظفين، ووضع خطة استجابة للحوادث.
  • لـ RDP: إغلاق الخدمة من الإنترنت، تغيير كلمات المرور، مراجعة الحسابات ذات الصلاحيات، تفعيل المصادقة الثنائية، وفحص الأنظمة بالمؤشرات المذكورة.
  • لأداة SilentButDeadly: تفعيل حماية العمليات المحمية، مراقبة السجلات، وعدم تشغيل أدوات غير موثوقة بصلاحيات المدير.

التسريبات واختراقات البيانات

  • تسريب بيانات حساسة من LG Electronics بعد اختراق سلسلة توريد عبر متعهد خارجي، مع شيفرات مصدرية وملفات إعداد وقواعد SQL وبيانات اعتماد داخل الشيفرة، ما يفتح باب الانتحال والتصيّد ويعرّض الملكية الفكرية للخطر.
  • اختراق مواقع حكومية في كينيا وتشويه صفحات وزارات عدة، وتسريب بيانات قرابة 35 ألف متقدّم لتأشيرة الصومال تشمل معلومات شخصية حساسة.
  • اختراق بيانات في شركة لوجيتك عبر ثغرة يوم صفر في برنامج طرف ثالث، مع نسخ بيانات محدودة عن موظفين وعملاء وموردين دون مساس بهويات أو بطاقات دفع، وتبنّي مجموعة Clop للهجوم مع التهديد بالتسريب.

توصيات

  • لـ LG: تغيير كلمات المرور وبيانات الاعتماد فورًا، مراجعة إعدادات البريد، فحص التكاملات الخارجية، ومراقبة محاولات التصيّد.
  • لمتضرري التأشيرات: تغيير كلمات المرور، الحذر من رسائل بريد احتيالية، ومراقبة أي نشاط مشبوه على الحسابات.
  • لـ لوجيتك: مراقبة الحسابات لنشاط غير معتاد والحيطة من التصيّد.

حملات DDoS والبوتنت والتجسس وسلاسل الإمداد

  • هجوم DDoS على منصة تجارة تركية فاخرة بلغ 14.2 مليون طلب في الثانية من أكثر من 8200 عنوان IP، مع ارتفاع حركة المرور 821% تزامنًا مع إطلاق مجموعة جديدة، دون تسريب بيانات.
  • بوت نت Aisuru شنّ هجوم DDoS بسرعة 15.72 تيرابت في الثانية على شبكة Azure عبر موجات UDP من أكثر من 500 ألف عنوان IP، مع تضخيم بعد اختراق خادم تحديث أجهزة TotoLink في أبريل 2025.
  • حزمة npm خبيثة: سبع حزم تسيء توجيه المستخدمين لمواقع احتيال عملات رقمية عبر Adspect وتمنع أدوات التحليل. الحزم: signals-embed، dsidospsodlks، applicationooks21، application-phskck، integrator-filescrypt2025، integrator-2829، integrator-2830.
  • حملة تجسس إلكتروني منسّقة بوساطة الذكاء الاصطناعي استهدفت قطاعات تقنية ومالية وصناعية وحكومية عالميًا، شملت الاستطلاع وتوليد الشيفرات الخبيثة وسرقة بيانات الدخول والتنقل داخل الشبكات وتسريب البيانات، مع تمويه النشاط كاختبارات أمنية شرعية.

توصيات

  • تعزيز حماية DDoS ومراقبة حركة المرور وتبنّي حلول استجابة فورية.
  • تحديث مبدلات التوجيه والكاميرات المنزلية وتعطيل الأجهزة غير الضرورية، وتفعيل تصفية DDoS لدى مزوّد الخدمة.
  • حذف الحزم npm المذكورة وفحص المشاريع لشيفرات غير معروفة وتغيير كلمات المرور عند اللزوم.
  • مراقبة سجلات استخدام منصات الذكاء الاصطناعي ورصد الأنشطة غير المعتادة وعدم منح صلاحيات واسعة دون رقابة بشرية مشددة.

مستجدات تحديثات ويندوز 10 ESU

  • تحديث طارئ KB5072653 يعالج فشل تثبيت تحديث الأمان الموسع لشهر نوفمبر بسبب الخطأ 0x800f0922. يجب أن يكون النظام على إصدار 22H2 مع تحديث أكتوبر 2025 KB5066791، مع ملاحظة تعذّر ظهور التحديث لدى بعض مسؤولي الأنظمة على أدوات الإدارة.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون