ملخص تهديدات الأمن السيبراني23-12-2025

يوم حافل بتهديدات متنوّعة: برمجيات خبيثة تستهدف واتساب وأندرويد وmacOS، حملات تصيّد موجّهة ضد قطاع التصنيع، وثغرات حرجة في أجهزة الشبكات والفيرموير وأنوية الأنظمة. كما سُجّلت تسريبات بيانات وحالات ابتزاز، إلى جانب تقنيات التفاف على المصادقة الثنائية.

برمجيات خبيثة وحملات استغلال

  • حزمة npm خبيثة تسرق واتساب: حزمة «lotusbail» تعمل كنسخة معدّلة من Baileys لاعتراض رسائل واتساب وبيانات الدخول والملفات وربط حساب الضحية بجهاز المهاجم حتى بعد حذفها. المؤشر: lotusbail.
  • استغلال أداة Nezha كحصان طروادة للتحكم عن بعد: تمنح المهاجم صلاحيات SYSTEM/root مع صعوبة اكتشافها على Windows وLinux وmacOS وأجهزة التوجيه.
  • Frogblight (أندرويد/تركيا): تنتحل تطبيقات رسمية وتسرق بيانات الدخول البنكي وجهات الاتصال وسجلات المكالمات مع تسجيل ضغطات المفاتيح.
  • Wonderland (أندرويد/أوزبكستان): اختطاف رموز OTP وإعادة توجيه المكالمات عبر WebSocket وتقنيات مراوغة وتحزيم متقدّمة.
  • MacSync (macOS): يتجاوز Gatekeeper عبر تطبيق Swift موقّع وموثّق، لسرقة كلمات مرور iCloud وبيانات المتصفحات والمحافظ الرقمية. المؤشرات: zkcall.net/download Developer Team ID: GNJLS3UYZ4.
  • Loki 2.1 (تصيّد موجّه لقطاع التصنيع): رسائل تصيّد بروابط مواقع مُقلَّدة وأرشيف ZIP يحوي ملفات LNK تُسقط الحمولة وتنفّذها في الذاكرة مباشرة.

توصيات

  • حذف «lotusbail»، فصل الأجهزة المرتبطة بواتساب، تغيير كلمة المرور وتفعيل التحقق بخطوتين.
  • حظر أدوات مراقبة غير مُعتمدة ومراجعة البرمجيات المثبتة وتفعيل مراقبة الشبكة.
  • تجنّب تثبيت ملفات APK من مصادر خارجية ومراجعة الأذونات وتحديث النظام والتطبيقات دورياً.
  • عدم تنزيل تطبيقات macOS من روابط غير موثوقة وفحص الأجهزة بانتظام.
  • التحقق من عناوين المرسلين والروابط وعدم فتح مرفقات مشبوهة.

ثغرات حرجة وتحديثات أمنية

  • WatchGuard Firebox: ثغرة حرجة CVE-2025-14733 في عملية IKED تتيح تنفيذ أوامر عن بُعد دون مصادقة على أكثر من 115,000 جهاز. الإصدارات الآمنة: «v2025.1.4» أو «v12.11.6» أو «v12.5.15» أو «12.3.1_Update4 (B728352)». مؤشرات: IP: 4 عناوين مشبوهة من WatchGuard.
  • فيرموير اللوحات الأم (Sleeping Bouncer): حقن أكواد خبيثة أثناء الإقلاع بسبب قصور حماية Pre-Boot DMA على لوحات جيجابايت وMSI وASRock وASUS. الثغرات: CVE-2025-11901 CVE-2025-14302 CVE-2025-14303 CVE-2025-14304.
  • نواة لينكس (أندرويد ARM 32-بت): ثغرة استخدام بعد التحرير في مؤقتات POSIX CPU بنسبة نجاح استغلال تصل 50% على الأنظمة المعرضة. الثغرة: CVE-2025-38352.
  • ويندوز bfs.sys: ثغرة رفع امتيازات محلياً بسبب «use-after-free» عند تنظيف السياسات في BFS. الثغرة: CVE-2025-29970.
  • Chrome: رُصدت ثغرتان خطيرتان يمكن استغلالهما بمجرد تصفح مواقع ضارة؛ يُنصح بالتحديث الفوري.
  • ASUS Live Update: توثيق ثغرة قديمة «ShadowHammer» دون تهديد جديد للإصدارات المدعومة حالياً. الثغرة: CVE-2025-59374.
  • مايكروسوفت وRC4: إيقاف دعم خوارزمية RC4 الضعيفة والانتقال إلى AES.

توصيات

  • تحديث Firebox فوراً، فحص سجلات IKED وتدوير الأسرار المحلية، ومراجعة إعدادات BOVPN.
  • تحديث فيرموير اللوحات الأم وتفعيل «Secure Boot» و«IOMMU».
  • تحديث أنظمة أندرويد المتأثرة والتواصل مع الشركة المصنّعة عند غياب تحديثات.
  • تثبيت تحديثات ويندوز وChrome فور صدورها، وإزالة/تحديث «ASUS Live Update» القديمة إلى «3.6.15» أو تعطيلها.
  • تعطيل أي استخدام متبقٍ لـ RC4 في البيئات المؤسسية.

تسريبات بيانات وابتزاز

  • نيسان – فوكوكا: تسريب بيانات لنحو 21,000 عميل (أسماء، عناوين، هواتف وأجزاء بريد إلكتروني) عقب وصول غير مصرح به إلى خادم يُدار على Red Hat.
  • ابتزاز بعد تسريب Pornhub Premium: اختراق مزوّد تحليلات طرف ثالث كشف بعض بيانات النشاط بما يُغذي حملات ابتزاز عبر البريد الإلكتروني.

توصيات

  • الحذر من الاتصالات المشبوهة وعدم مشاركة البيانات الشخصية.
  • تجاهل رسائل الابتزاز وعدم الدفع، تغيير كلمات المرور وتفعيل المصادقة الثنائية للبريد.

تقنيات هجومية وهندسة اجتماعية

  • تجنيد موظفين من الداخل: مجموعات إجرامية تعرض مبالغ بين 3,000 و15,000 دولار لشراء وصول داخل الشركات التقنية والبنوك والاتصالات، مع أمثلة واقعية على تسريب بيانات.
  • Black Basta: تسريبات الدردشات تكشف التركيز على ESXi وExchange وVPNs من Citrix وFortinet وPalo Alto وJuniper، واستغلال ثغرات مثل: CVE-2024-21762 CVE-2024-3400 CVE-2024-1086 CVE-2022-30190 وغيرها، مع أساليب لتجاوز EDR/SIEM.
  • سرقة رموز الجلسات: الاستيلاء على الكوكيز/التخزين المحلي يتيح تجاوز المصادقة الثنائية والدخول كأنّ المهاجم هو المستخدم.

توصيات

  • مراجعة الصلاحيات ومراقبة الداخل، والتدريب ضد الهندسة الاجتماعية.
  • تحديث الأنظمة المعرّضة للثغرات المذكورة، وتفعيل حلول EDR ومراقبة الشبكة.
  • تقليل وصول السكربتات لرموز الجلسة، ومراقبة تسجيلات الدخول من أجهزة جديدة.

حجب الخدمة عبر أجهزة NAT

دراسة تُظهر قابلية معظم أجهزة NAT التجارية لهجمات قطع الاتصال عن بُعد عبر استغلال ضعف في آلية PMTUD وخداع الجهاز لحذف اتصالات TCP الشرعية.

توصيات

  • تحديث برمجيات أجهزة التوجيه وتفعيل ميزات الحماية الإضافية.
  • مراقبة الانقطاعات غير المبررة واتخاذ إجراءات تخفيفية سريعة.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون