ملخص تهديدات الأمن السيبراني16-12-2025

يوم حافل باستغلالات نشطة لثغرات برمجية تقودها مجموعات تهديد مدعومة من دول، إلى جانب حملات تجسس وتصيّد موسّعة وتسريبات بيانات ضخمة. كما برزت تحديثات أمنية مهمة وتأثيرات تشغيلية يجب التنبه لها.

ثغرات واستغلالات نشطة

• React/Next.js – React2Shell: استغلال واسع لثغرة حرجة في React Server Components وNext.js يمكّن من تنفيذ أوامر عن بُعد ونشر برمجيات خبيثة وتعدين عملات، مع تورط مجموعات صينية وإيرانية واستهداف أكثر من 50 منظمة منذ 3 ديسمبر. ثغرات إضافية قد تؤدي لتسريب أكواد أو هجمات تعطيل الخدمة.
  • الثغرات: CVE-2025-55182 CVE-2025-55183 CVE-2025-55184 CVE-2025-67779
  • مؤشرات فنية: 194.69.203.32 anywherehost.site c2867570f3bbb71102373a94c7153239599478af84b9c81f2a0368de36f14a7c superminecraft.net.br 162.215.170.26:3000 donaldjtrmp.anondns.net:1488 labubu.anondns.net:1488 krebsec.anondns.net:2316/dong f347eb0a59df167acddb245f022a518a6d15e37614af0bbc2adf317e10c4068b
  • استغلالات مرافقِة: نشر VShell وEtherRAT وShadowPAD واستهداف بيانات الاعتماد السحابية (Azure, AWS, GCP).
  • تهديدات مرتبطة: برمجية ZnDoor (RAT) تمنح سيطرة كاملة وحركة جانبية؛ مؤشر: api.qtss[.]cc. وأداة مزيفة على GitHub باسم React2shell-scanner تحمل برمجيات خبيثة؛ مؤشرات: py-installer.cc mshta.exe react2shellpy.py.
• ثغرة يوم-صفر في متصفح كروم: يجري استغلالها حاليًا وقد تتيح التحكم بالجهاز أو سرقة البيانات عند زيارة مواقع خبيثة.

توصيات

• تحديث React إلى 19.0.1 أو 19.1.2 أو 19.2.1 وNext.js إلى الإصدارات الموصى بها، وتمكين WAF مؤقتًا.
• فحص الحزم في node_modules، ومراجعة الأنظمة والاتصالات المشبوهة، والبحث عن $HOME/.systemd-utils وتغييرات ملف .bashrc.
• تحديث كروم فورًا.

حملات اختراق وتجسس متقدمة

• حملة روسية على البنية التحتية: استهداف الطاقة والاتصالات والتقنية (ومنها الشرق الأوسط) عبر أجهزة حافة سحابية مُعدة بخطأ وسرقة بيانات الاعتماد وإعادة استخدامها. تم تعطيل عمليات عدة وإبلاغ الضحايا.
  • الثغرات: CVE-2022-26318 CVE-2021-26084 CVE-2023-22518 CVE-2023-27532
  • مؤشرات فنية: 91.99.25.54 185.66.141.145 51.91.101.177 212.47.226.64 213.152.3.110 145.239.195.220 103.11.190.99 217.153.191.190
• xHunt في الكويت: هجمات على Microsoft Exchange وIIS لدى قطاعات الشحن والحكومة باستخدام BumbleBee (ويب شل) وTriFive وSnugy، وتمرير أوامر عبر EWS وسرقة بيانات اعتماد عبر حقن شيفرة وجمع NTLM.
• Ashen Lepus: تجسس يستهدف جهات حكومية ودبلوماسية في الشرق الأوسط عبر مستندات مزيفة وبرمجية AshTag؛ مؤشر: api.healthylifefeed.com.
• Storm-0249: استغلال حلول EDR عبر sideloading لـ DLL ضارة (SentinelAgentCore) داخل مثبت MSI، وتحميل سكربتات PowerShell من نطاقات شبيهة بمايكروسوفت، واتصالات C2 مشفرة. مؤشرات: 07c5599b9bb00feb70c2d5e43b4b76f228866930 423f2fcf7ed347ee57c1a3cffa14099ec16ad09c krivomadogolyhp[.]com hristomasitomasdf[.]com sgcipl[.]com 178.16.52[.]145 172.67.206[.]124

توصيات

• مراجعة إعدادات أجهزة الشبكة الافتراضية والحافة، وتحديث الثغرات المذكورة، وتفعيل MFA، ومراقبة سجلات الدخول.
• مراقبة العمليات الموثوقة لرصد تحميل DLL مشبوهة، وتقييد استخدام curl وPowerShell، وعزل الأجهزة وحظر المؤشرات الواردة.

تسريبات وابتزاز بيانات

• MongoDB غير محمية: كشف 4.3 مليار سجل مهني بحجم 16 تيرابايت، تشمل أسماء وبريدًا وهواتف وتاريخ عمل وتعليم وروابط حسابات مهنية، مع بيانات مرتبطة بشبكة Apollo.io.
• ShinyHunters تبتز PornHub: ابتزاز بعد خرق Mixpanel عبر تصيّد بالرسائل النصية مكّن من الوصول إلى بيانات تاريخية حتى 2021؛ أكثر من 200 مليون سجل لمستخدمي Premium (بريد، نشاط، موقع، روابط وأسماء فيديوهات، كلمات مفتاحية). كلمات المرور وبيانات الدفع غير متأثرة وفق التصريح.
• SoundCloud: تسريب قاعدة بيانات تضم عناوين بريد ومعلومات من الملفات العامة لنحو 28 مليون حساب (نحو 20٪). لا كلمات مرور أو بيانات مالية.
• اختراق داخلي في Opexus: حذف 96 قاعدة بيانات حكومية وسرقة بيانات حساسة شملت معلومات شخصية لـ 450 فردًا، بسبب ضعف التحقق عند التوظيف وعدم إيقاف الوصول فور الفصل.

توصيات

• استخدام كلمات مرور قوية وفريدة، وتفعيل التحقق بخطوتين، والحذر من رسائل التصيّد.
• مراقبة التنبيهات من الخدمات المتأثرة، ومراجعة السجلات بحثًا عن نشاط غير معتاد.

تصيّد وهندسة اجتماعية وبرمجيات سرقة

• ClickFix وfinger.exe: حملات تخدع المستخدمين لنسخ أوامر في Run/PowerShell، تتصل عبر منفذ TCP 79 لاستلام أوامر مشفرة ونشر برمجيات خبيثة (KongTuke وSmartApeSG). مؤشرات: [email protected] pmidpils.com/yhb.jpg.
• الاستيلاء على واتساب: احتيال برسائل مثل «وجدت صورتك» يتيح السيطرة على الحساب دون كلمة المرور.
• تصيّد عبر رسائل باي بال الرسمية: استغلال سابق سمح بإرسال رسائل من [email protected] لاصطياد الضحايا عبر رقم دعم مزيف والوصول عن بُعد/بيع حماية وهمية. مؤشرات: [email protected] [email protected] 805-500-6377 sonyusa.store.
• SantaStealer: برمجية تُباع كخدمة تسرق كلمات المرور وبطاقات الائتمان والكوكيز ومحافظ العملات وبيانات Telegram/Discord/Steam وتلتقط الشاشة، وترسل البيانات المضغوطة عبر منفذ 6767.

توصيات

• عدم تنفيذ أو لصق أوامر من صفحات مجهولة، وحجب المنفذ 79 ومراقبة عملية finger.exe.
• تجاهل الروابط والرسائل غير المعروفة، وتفعيل 2FA في واتساب والخدمات المالية.
• عدم الاتصال بأرقام الدعم في الرسائل، والتحقق عبر القنوات الرسمية، وفحص الأجهزة عند أي وصول عن بُعد.

تحديثات وإصلاحات أمنية وتأثيراتها

• Wireshark 4.6.2: إصلاح لثغرات خطيرة تشمل انهيار مع HTTP/3 (wnpa-sec-2025-07) وتوقف مع MEGACO (wnpa-sec-2025-08) ومعالجة تجاوز سعة في wiretap BER.
• تحديثات ويندوز وتعطل MSMQ: تحديث ديسمبر 2025 (خاصة KB5071546 وKB5071544 وKB5071543) غيّر صلاحيات مجلد التخزين ومنع الكتابة، ما سبب أخطاء مثل «لا يمكن إنشاء ملف الرسائل» وتوقف مواقع IIS/تطبيقات MSMQ. الثغرات: CVE-2023-21554.
• إيقاف RC4 في ويندوز: تعطيل دعم RC4 الضعيف افتراضيًا في وحدات التحكم بالنطاق منتصف 2026، مع إتاحة أدوات وسجلات لرصد الاعتمادات القديمة.

توصيات

• تحديث Wireshark فورًا.
• عدم نشر تحديثات ويندوز في الإنتاج قبل الاختبار، أو التراجع المؤقت/تعديل الصلاحيات بحذر حتى صدور إصلاح رسمي لـ MSMQ.
• مراجعة سجلات KDC وتعطيل RC4 والانتقال إلى AES-SHA1 حيث أمكن.