ملخص تهديدات الأمن السيبراني05-12-2025

يوم حافل بثغرات حرجة مع استغلال نشط، وحملات برمجيات خبيثة وتصيد موجّه، إلى جانب موجة DDoS قياسية. فيما يلي خلاصة مركّزة لأبرز المخاطر والإجراءات العاجلة الموصى بها.

الثغرات والتحديثات الأمنية العاجلة

• React/Next.js (RSC) – تنفيذ أوامر عن بُعد: ثغرة بالغة الخطورة تُعرف بـ React2Shell تستغل مكوّنات الخادم وتسمح بتنفيذ أوامر دون مصادقة. حالات استغلال نشطة رُصدت ضد React 19.x وNext.js 15.x/16.x مع App Router، مع أداة مفتوحة لكشف نقاط RSC المكشوفة. الثغرات: CVE-2025-55182 وذُكرت أيضاً CVE-2025-66478.
• WebXR في متصفحات Chromium: تسريب ذاكرة بحجم 64 بايت عند التفاعل مع صفحات VR؛ تم الإصلاح في تحديثات جديدة. الثغرة: CVE-2025-12443.
• تحديث أمني لمتصفح كروم: 13 إصلاحاً بينها ثغرة عالية الخطورة في المعرفات الرقمية (Use After Free). المتأثرون قبل الإصدار 143.0.7499.40/41. الثغرة: CVE-2025-13633.
• سلسلة 0-day على iOS تُستغل لنشر Predator: بدءاً من متصفح Safari ثم تصعيد صلاحيات النواة. الثغرات: CVE-2023-41991، CVE-2023-41992، CVE-2023-41993.
• Synology BeeStation وDrive Server: سلسلة تؤدي إلى RCE كجذر دون مصادقة، مع كود استغلال علني وتحديثات عاجلة. الثغرات: CVE-2024-50629 CVE-2024-50630 CVE-2024-50631.
• أجهزة VPN من ArrayOS AG: استغلال لتنفيذ أوامر وزرع webshells عند تفعيل DesktopDirect حتى الإصدار 9.4.5.8؛ أُصلح في 9.4.5.9. مؤشر: 194.233.100[.]138.
• PDF XChange Editor ومنتجات Socomec: ثغرات متعددة في DIRIS Digiware M-70 وEasy Config إضافة إلى PDF XChange Editor تم تصحيحها. الثغرات: CVE-2025-58113 CVE-2024-48894 CVE-2024-53684 CVE-2024-49572 CVE-2024-48882 CVE-2025-20085 CVE-2025-23417 CVE-2025-54848 CVE-2025-54851 CVE-2025-55221 CVE-2025-55222 CVE-2025-26858 CVE-2024-45370.
• PickleScan (نماذج PyTorch): ثلاث ثغرات يوم الصفر تُتيح تنفيذ أكواد خبيثة عند تحميل نماذج غير موثوقة. الثغرات: CVE-2025-10155 CVE-2025-10156 CVE-2025-10157.
• Windows Secure Boot: تحضير لتحديث شهادات الإقلاع قبل انتهاء شهادات 2011؛ ارتباط بأهمية معالجة CVE-2023-24932 (BlackLotus).

توصيات

• تحديث React إلى 19.2.1+ وNext.js إلى الإصدارات الآمنة، وتفعيل قواعد الحماية المحدثة على WAF، وفحص السجلات لطلبات POST التي تتضمن رؤوس next-action أو rsc-action-id.
• تحديث متصفحات Chromium فوراً، وتثبيت آخر إصدار من كروم ثم إعادة التشغيل.
• تطبيق تحديثات Synology وArrayOS (9.4.5.9)، وتعطيل DesktopDirect إن تعذر التحديث.
• تحديث PickleScan إلى 0.0.31 واختبار النماذج ضمن بيئات معزولة، ويفضّل استخدام صيغ أكثر أماناً مثل Safetensors.
• على iOS: تثبيت التحديثات الأمنية وتجنّب الروابط والإعلانات المشبوهة.
• على ويندوز: التحقق من حالة شهادات Secure Boot وتحديث BIOS/UEFI قبل نشر الشهادات الجديدة.

برمجيات خبيثة وتجسس

• Predator عبر الإعلانات الخبيثة (Aladdin): إصابات دون نقر للمستخدم عبر حقن إعلانات تستهدف ضحايا محددين بالعنوان الشبكي، مع نشاط في دول منها الإمارات، واستخدام سلاسل 0-day واستهداف أجهزة سامسونج Exynos.
• Albiriox (أندرويد): تُباع كخدمة وتستهدف أكثر من 400 تطبيق مالي عبر Droppers ورسائل احتيالية، وتستغل صلاحيات الوصول للتحكم وسرقة كلمات المرور والأموال.
• ValleyRAT عبر Foxit PDF مزيف: حزمة تنفيذية بأيقونة Foxit تستغل تحميل DLL في ويندوز (ملفات مثل msimg32.dll) لزرع البرمجية وسرقة بيانات المتصفح والتموضع الدائم.
• BRICKSTORM: برمجية وصول دائم تستهدف VMware vSphere وWindows، إنشاء آلات افتراضية خفية، التحرك الأفقي والوصول إلى ADFS ومفاتيح التشفير، مع قنوات إخفاء مثل DNS-over-HTTPS وWebSockets. المؤشر: BRICKSTORM.
• حزم Rust خبيثة: evm-units وuniswap-utils حُمّلت أكثر من 14 ألف مرة وتُنفّذ سكريبتات خفية لاستهداف مطوري Web3.
• إضافات Chrome/Edge خبيثة: حملة استمرت 7 سنوات واستهدفت 4.3 مليون مستخدم عبر إضافات مثل Clean Master وWeTab لتتبع المستخدم وتنفيذ أوامر عن بعد وسرقة بيانات تُرسل إلى خوادم في الصين.
• مؤشرات ملفات خبيثة نشطة:

  SHA256: 90b1456cdbe6bc2779ea0b4736ed9a998a71ae37390331b6ba87e389a49d3d59
  SHA256: 9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
  SHA256: 96fa6a7714670823c83099ea01d24d6d3ae8fef027f01a4ddac14f123b1c9974
  SHA256: c0ad494457dcd9e964378760fb6aca86a23622045bca851d8f3ab49ec33978fe
  SHA256: 41f14d86bcaf8e949160ee2731802523e0c76fea87adf00ee7fe9567c3cec610

توصيات

• على الهواتف: تفعيل حماية متقدمة، استخدام أدوات حجب الإعلانات، وتحديث النظام باستمرار.
• على أندرويد: عدم تثبيت تطبيقات من روابط أو رسائل، تفعيل Google Play Protect، ومراجعة التطبيقات وحذف غير المعروف.
• على الحواسيب: عدم تشغيل ملفات تنفيذية من البريد، تحديث برامج الحماية، ومراقبة التشغيل التلقائي والمسارات المشبوهة.
• إزالة الإضافات المشبوهة من المتصفح، وتغيير كلمات المرور وتفعيل المصادقة متعددة العوامل.
• مطورو Web3: فحص المشاريع بحثاً عن evm-units وuniswap-utils وإزالتها وفحص الأجهزة.

التصيد والهندسة الاجتماعية

• استهداف مراسلون بلا حدود: بريد ينتحل جهات موثوقة عبر ProtonMail يمرّر إلى ملف PDF خبيث وصفحات تسجيل دخول مزورة لسرقة بيانات البريد.
• تصيّد الشركات يرتفع 400٪: أصبح المدخل الرئيسي لهجمات الفدية (35٪)، مع سرقة رموز MFA وملفات تعريف الجلسات واستهداف البريد المهني.
• احتيال تأمين عبر الرسائل النصية: جمع بيانات شخصية عبر رسائل تدّعي عروض تأمين؛ الرد يؤكد نشاط الرقم ويزيد الرسائل الاحتيالية.

توصيات

• تفعيل المصادقة متعددة العوامل، وتغيير كلمات المرور المسربة، ومراقبة تسريب البريد المهني.
• عدم الرد على الرسائل المشبوهة أو فتح روابط وملفات غير متوقعة، والتحقق عبر قناة بديلة.
• تدريب الموظفين على كشف تقنيات الانتحال وسرقة الجلسات.

هجمات DDoS والبوتنت

• بوت نت AISURU: أكبر هجمات DDoS مسجلة بقدرة 29.7 تيرابت/ث، مع 14 هجمة ضخمة يومياً (زيادة 54٪)، توظيف تقنيات مثل UDP carpet-bombing، واعتماد واسع على أجهزة إنترنت الأشياء، واستهداف قطاعات تقنية واتصالات وسيارات.

توصيات

• تحديث أجهزة إنترنت الأشياء وتعطيل الخدمات غير الضرورية، وتفعيل حماية DDoS ومراقبة الحركة.

تسريبات واختراقات مرتبطة بجهات تهديد

• تسريب بيانات مطور برمجيات خبيثة: إصابة جهاز تابع لكوريا الشمالية بـ LummaC2 كشفت بنية هجوم سرقة 1.4 مليار دولار من Bybit، وبريد تسجيل نطاقات احتيالية وأدوات تطوير واتصالات وVPN. مؤشرات: bybit-assessment.com، zoom.callapp.us، LummaC2.

توصيات

• الحذر من النطاقات المقلِّدة والبرمجيات المزيفة، وتفعيل التحقق الثنائي وتحديث كلمات المرور.