ملخص تهديدات الأمن السيبراني07-12-2025
يوم حافل بتهديدات متعددة المستويات: استغلال نشط لثغرة خطيرة في React/Next.js، وتصاعد استخدام باكر خبيث لدعم هجمات الفدية، إلى جانب تهديدات متقدمة لأنظمة VMware. توازت ذلك مع حملات تخمين لبوابات VPN، ونشاط برمجيات مصرفية على أندرويد، واستهداف سلسلة توريد مطوري Go، مع استمرار مخاطر التصيد المعتمد على رموز OTP.
ثغرات واستغلالات نشطة
ثغرة React2Shell (CVE-2025-55182) تتيح تنفيذ أوامر على الخادم بطلب واحد، مع استغلال مؤكّد ضد أكثر من 30 جهة واستهداف واسع لأنظمة تستخدم React Server Components مثل Next.js.
- استغلال دون توثيق بسبب معالجة غير آمنة لمدخلات المستخدم.
- رُصد أكثر من 77,000 عنوان IP مكشوف، مع هجمات من جهات مدعومة من الصين.
- استخدام أوامر PowerShell وبرمجيات خبيثة مثل Cobalt Strike وSnowlight وVshell.
- المؤشرات:
CVE-2025-55182،23.235.188.3،powershell -c "40138*41979"
توصيات
- تحديث React وNext.js فورًا، ثم إعادة البناء والنشر.
- مراجعة السجلات بحثًا عن أوامر أو تحميلات مشبوهة.
هجمات فدية وبنى تخفٍ خبيثة
خدمة Shanya باكر تحت الأرض يُستخدم لحماية رansomware وبرمجيات تحكم عن بُعد من الكشف، مع نشاط ملحوظ في تونس والإمارات وباكستان خلال 2025.
- مستخدمة من مجموعات مثل Akira وQilin وCrytox، وفي هجمات على الفنادق وحملات التصيد.
- تقنيات: تحميل DLL جانبي، تجاوز AMSI، تعطيل الحماية، والتمويه داخل النظام.
- المؤشرات:
58995a6c6042ed15f765a11160690c45f76f8271،83317a42290ef8577e1980dc6085ab789dcc0c8f،6645297a0a423564f99b9f474b0df234d6613d04df48a94cb67f541b8eb829d1،59906b022adfc6f63903adbdbb64c82881e0b1664d6b7f7ee42319019fcb3d7e،biokdsl[.]com/upd،biklkfd[.]com/upd
توصيات
- تفعيل قدرات الحماية المتقدمة ومراقبة العمليات والسلوكيات الشاذة.
- تجنّب فتح ملفات وروابط غير موثوقة، وتحديث حلول الأمن باستمرار.
تهديدات متقدمة على البنى الافتراضية
BRICKSTORM باب خلفي متطور يستهدف Windows وLinux مع تركيز على VMware vSphere للبقاء طويلًا دون كشف.
- نقطة البدء: اختراق خادم ويب ثم استخدام بيانات اعتماد مسروقة للانتقال إلى vCenter وADFS.
- قدرات: تحكم كامل، سرقة لقطات للأنظمة الافتراضية، إنشاء أجهزة افتراضية مخفية، وإعادة التثبيت تلقائيًا.
توصيات
- مراجعة المؤشرات الفنية المنشورة وفحص الأنظمة لرصد نشاط مشبوه.
- تحديث كلمات المرور وتفعيل مراقبة الوصول إلى البنى الافتراضية.
هجمات على بوابات VPN وواجهات API
حملة واسعة لتخمين كلمات المرور ضد بوابات Palo Alto GlobalProtect تزامنت مع فحص واجهات SonicWall API.
- أُستخدم أكثر من 7000 عنوان IP من جهة استضافة ألمانية.
- التركيز على سرقة بيانات الدخول دون استغلال ثغرات معروفة حتى الآن.
توصيات
- تفعيل المصادقة متعددة العوامل ومراقبة محاولات الدخول الفاشلة.
- تطبيق حظر ديناميكي للعناوين المشبوهة وتتبع البصمات الفنية.
برمجيات خبيثة على أندرويد
FvncBot حصان طروادة مصرفي يتنكر كتطبيق أمان من بنك mBank لاستهداف مستخدمي تطبيقات البنوك.
- استغلال خدمات إمكانية الوصول لجمع ضغطات المفاتيح وكلمات المرور والرموز لمرة واحدة.
- نوافذ متراكبة للتصيد والسيطرة عن بُعد وتشغيل التطبيقات وبث الشاشة.
- إخفاء النشاط عبر قفل الجهاز أو عرض شاشة سوداء.
توصيات
- الاقتصار على متجر Google Play، ومراجعة أذونات إمكانية الوصول.
- حذف أي تطبيق مشبوه، تفعيل Play Protect، وتحديث النظام دوريًا.
استهداف سلسلة توريد المطورين (Go)
حزم خبيثة تنتحل مكتبة UUID لاستهداف المطورين وسرقة بياناتهم منذ مايو 2021.
- الحزم المزورة:
github.com/bpoorman/uuidوgithub.com/bpoorman/uid(أسلوب typosquatting). - تسريب معرفات المستخدم والبريد الإلكتروني والتوكنات مُشفرة إلى
dpaste.com.
توصيات
- التحقق من استخدام «github.com/google/uuid» أو «github.com/pborman/uuid» فقط وإزالة أي اعتماد للحزم المزورة.
- فحص السجلات بحثًا عن نشاط أو تسريب غير معتاد.
التصيد والمصادقة
مخاطر رموز التحقق لمرة واحدة تتصاعد مع حملات تستهدف طلاب جامعات، فيما توفر مفاتيح المرور حماية أفضل ضد التصيد.
- مفاتيح المرور تعتمد على مفاتيح تشفير مرتبطة بالجهاز ويصعب سرقتها عبر التصيد.
- اعتمدتها شركات كبرى مما خفّض أعطال الدعم ورفع الأمان، مع تحديات عند نقلها بين أنظمة تشغيل.
توصيات
- الانتقال إلى مفاتيح المرور أو مفاتيح أمان FIDO2 متى أمكن.
- تجنّب الاعتماد على رموز SMS أو البريد الإلكتروني للتحقق الثنائي.
