ملخص تهديدات الأمن السيبراني25-12-2025
يوم حافل بتهديدات فعلية وثغرات حرجة شملت منصات ويب وبنى مراقبة الشبكات وقواعد البيانات، مع حملات تجسس وتوزيع برمجيات خبيثة تستهدف الأفراد والمؤسسات. تبرز استغلالات ضد خوادم Next.js وعمليات تسميم DNS، إلى جانب تحديثات أمنية عاجلة لمنتجات عدة.
استغلالات نشطة وبنى تحكم C2
هجوم PCPcat يستهدف خوادم Next.js عبر ثغرات خطيرة
- سرقة بيانات اعتماد من أكثر من 59,000 خادم عبر استغلال ثغرتين لتنفيذ أوامر عن بعد:
CVE-2025-29927وCVE-2025-66478. - تنفيذ prototype pollution بحقن أوامر خبيثة في JSON واستخراج ملفات .env ومفاتيح SSH وبيانات السحابة.
- استخدام بنية تحكم وسيطرة C2 وعناوين IP مخصصة لجمع البيانات وتوزيع المهام.
المؤشرات الفنية: 67.217.57.240:666 67.217.57.240:888 67.217.57.240:5656 http://67.217.57.240:5656/domains http://67.217.57.240:5656/result http://67.217.57.240:5656/health http://67.217.57.240:5656/stats http://67.217.57.240:666/files/proxy.sh http://67.217.57.240:666/files/react.py
حملة Evasive Panda عبر هجمات AitM وتسميم DNS
- اعتراض وتحويل الحركة لتوزيع برمجيات متنكرة كتحديثات لتطبيقات معروفة مثل SohuVA وTencent QQ وiQIYI وIObit Smart Defrag.
- تنفيذ حمولة MgBot داخل عمليات شرعية مع بقاء الاختراق لأكثر من عام لدى بعض الضحايا.
- استهداف مستخدمي ويندوز في تركيا والصين والهند.
المؤشرات الفنية:
c340195696d13642ecf20fbe75461bed 7973e0694ab6545a044a49ff101d412a 9e72410d61eaa4f24e0719b34d7cad19 60.28.124.21 123.139.57.103 140.205.220.98 112.80.248.27 116.213.178.11 60.29.226.181 58.68.255.45 61.135.185.29 103.27.110.232 117.121.133.33 139.84.170.230 103.96.130.107 158.247.214.28 106.126.3.78 106.126.3.56
توصيات
- لخوادم Next.js وReact: مراجعة الأنظمة لرصد وصول غير مصرح، تغيير جميع بيانات الاعتماد المخزنة، تقسيم الشبكة، وتفعيل مراقبة الأنشطة المشبوهة.
- لمستخدمي ويندوز: التحقق من إعدادات DNS والتحديث من المصادر الرسمية فقط، تفعيل حماية نقاط النهاية، ومراقبة الاتصالات الشبكية غير الاعتيادية.
الثغرات والتحديثات الأمنية الحرجة
- Net-SNMP (snmptrapd) —
CVE-2025-68615: تجاوز سعة يؤدي لتعطيل الخدمة عن بعد بدون مصادقة؛ التأثير 9.8. التحديث إلى 5.9.5 أو 5.10.pre2 وتقييد منافذ SNMP. - M-Files Server —
CVE-2025-13008: مهاجم مصادق يستطيع سرقة رموز جلسات عبر الويب وانتحال الهوية. تتأثر إصدارات قبل 25.12.15491.7 وLTS 25.8 SR3 وLTS 25.2 SR3 وLTS 24.8 SR5. تحديث فوري ومراجعة السجلات. - NVIDIA Isaac Launchable —
CVE-2025-33222وCVE-2025-33223وCVE-2025-33224: تنفيذ أوامر عن بُعد بدون مصادقة وتصعيد صلاحيات. التحديث إلى الإصدار 1.1. - MongoDB —
CVE-2025-14847: تنفيذ أوامر عن بُعد بسبب عدم اتساق طول البيانات. يُنصح بالترقية إلى الإصدارات الآمنة 8.2.3 و8.0.17 و7.0.28 و6.0.27 و5.0.32 و4.4.30 أو تعطيل zlib مؤقتًا. - Windows LDAP —
CVE-2024-49112: ثغرة عالية الخطورة بزيرو-كليك قد تؤدي لتعطيل الخادم أو تنفيذ تعليمات برمجية عبر طلبات RPC معدلة تُطلق استعلامات DNS وCLDAP خبيثة. تحديث خوادم ويندوز فورًا ومراقبة CLDAP وDNS.
توصيات
- تطبيق التحديثات العاجلة لكل منتج متأثر حسب الإصدارات المذكورة.
- عدم تعريض الخدمات الحساسة للإنترنت، وتقييد الوصول عبر الجدار الناري.
- مراجعة السجلات لرصد نشاط غير اعتيادي بعد التحديث.
برمجيات خبيثة وأدوات هجومية
WebRAT تستهدف اللاعبين عبر GitHub ويوتيوب
- تنتحل أدوات غش لألعاب مثل Rust وCounter-Strike وRoblox أو باتشات لتجاوز حظر تطبيقات مثل Discord.
- تمنح المهاجمين تحكمًا كاملاً بالجهاز، تجسسًا عبر الكاميرا والشاشة، وسرقة محافظ العملات وحسابات Steam وTelegram وDiscord، مع ابتزاز وتهديد بسواتينغ.
NtKiller لتجاوز الحماية على ويندوز
- أداة خبيثة تُسوّق لتعطيل حلول مكافحة الفيروسات وEDR بصمت، ودعم تقنيات BYOVD وتجاوز HVCI وVBS وMemory Integrity، مع بدء تشغيل مبكر ووحدات لإخفاء الذات وتجاوز UAC.
- لم تُتحقق فعاليتها بشكل مستقل بعد، لكنها تمثل خطرًا على المؤسسات.
Cosmali Loader عبر موقع تفعيل ويندوز مزيف
- استغلال خطأ إملائي في موقع MAS بإنشاء نطاق مشابه «get.activate[.]win» بدل «get.activated.win» لتوزيع Cosmali Loader.
- ينزّل أدوات تعدين وXWorm RAT للتحكم عن بُعد عبر سكربتات PowerShell ويمنح وصولًا كاملاً للجهاز.
المؤشرات الفنية: get.activate[.]win Cosmali Loader XWorm RAT
إضافة Urban VPN تتجسس على محادثات الذكاء الاصطناعي
- تعترض محتوى الدردشات مع منصات مثل ChatGPT وClaude وGemini وCopilot وتجمع الرسائل والمعرّفات وبيانات الجلسة دون علم المستخدم.
- التجسس فعّال حتى دون اتصال VPN ولا خيار لتعطيله سوى حذف الإضافة.
توصيات
- الامتناع عن تثبيت برمجيات من مصادر غير رسمية أو روابط التعليقات، وفحص الأجهزة التي استخدمت أدوات غش أو باتشات مشبوهة.
- مراقبة تثبيت برامج تشغيل غير معروفة أو توقف خدمات الحماية بشكل مفاجئ، وتفعيل طبقات حماية متعددة وتحديث الأنظمة.
- حذف إضافة Urban VPN فورًا وتغيير كلمات مرور حسابات أدوات الذكاء الاصطناعي إن استُخدمت عبرها.
- إذا زرت النطاق المزيف المشار إليه، تفقد عمليات PowerShell المشبوهة وامسح الجهاز ببرنامج حماية، ويفضّل إعادة تثبيت ويندوز.
تصيّد وهندسة اجتماعية
حملة متقدمة تستهدف منظمات إسرائيلية عبر مستندات Word وPDF
- مستندات مموهة بشعارات SentinelOne وCheck Point لنشر برمجيات خبيثة عبر سلسلتين: PDF يقود إلى أداة «PYTRIC» المدمّرة المتصلة ببوت تيليجرام، وWord بماكرو ينشر «RUSTRIC» لجمع معلومات النظام والأمن.
- استهداف قطاعات التقنية والموارد البشرية وتطوير البرمجيات برسائل باللغة العبرية.
المؤشرات الفنية: help.pdf PYTRIC RUSTRIC Backup2040 netvigil.org
توصيات
- تفعيل فلترة البريد وتعطيل الماكرو في أوفيس.
- مراقبة الاتصالات مع تيليجرام أو خوادم مجهولة، والحذر من مرفقات تحمل شعارات شركات أمنية.
