ملخص تهديدات الأمن السيبراني31-12-2025

يوم حافل بثغرات حرجة مستغَلة وحملات تجسس متقدمة، مع تصاعد واضح في هجمات التصيّد وتهديدات الويب وسلاسل التوريد. رُصدت كذلك أدوات لتعطيل الحماية وهجمات فدية مدعومة بالذكاء الاصطناعي، ما يرفع الحاجة لتحديثات عاجلة ومراقبة أدق للأنظمة.

الثغرات الحرجة والتحديثات الأمنية

  • MongoDB: ثغرة عالية الخطورة تتيح قراءة الذاكرة عبر ضغط zlib، أُدرجت ضمن الثغرات المستغلة. يُنصح بالتحديث الفوري أو تعطيل zlib مؤقتًا. الثغرات: CVE-2025-14847.
  • SmarterMail: رفع ملفات دون مصادقة يقود إلى تنفيذ أوامر عن بُعد. الحل: التحديث إلى Build 9413. الثغرات: CVE-2025-52691.
  • IBM API Connect: تجاوز للتحقق يمنح وصولًا غير مصرح به لإصدارات محددة دون تفاعل مستخدم. الإجراء: تحديثات أو iFix وتعطيل التسجيل الذاتي للمطورين مؤقتًا وفحص السجلات. الثغرات: CVE-2025-13915.
  • Copilot Studio: ميزة Connected Agents مفعّلة افتراضيًا بلا سجلات كافية، ما يسمح بوكلاء خبيثين باستغلال قدرات وكلاء رسمية لتنفيذ تصيّد وانتحال. يُنصح بالتعطيل للوكلاء الحساسين وتقييد المشاركة واعتماد موافقات مسبقة.

حملات تجسس وبرمجيات خبيثة متقدمة

  • جذور تجسس في جنوب شرق آسيا: Rootkit يعمل كـ mini-filter يخفي نفسه ويعطل Microsoft Defender ويزرع بابًا خلفيًا باسم ToneShell. مؤشرات: ProjectConfiguration.sys، avocadomechanism.com، potherbreference.com.
  • Predator: استمرار الاستخدام في العراق وربما باكستان مع قدرات مراقبة شاملة للأجهزة وتبديل نطاقات لتفادي الاكتشاف.
  • VOID KILLER: أداة BYOVD لتعطيل Windows Defender وأكثر من 50 منتج حماية، تمنح صلاحيات نواة وتُستخدم لتمهيد نشر الفدية وسرقة المعلومات.

سلاسل التوريد واستبدال الحزم والبرمجيات

  • Maven Central: حزمة مزيفة باسم قريب من Jackson تنفذ تلقائيًا مع Spring Boot وتتصل بخادم C2 لتنزيل حمولة حسب النظام، ورُصد Cobalt Strike على لينكس وماك. مؤشرات: org.fasterxml.jackson.core، http://m.fasterxml.org:51211/config.txt، .idea.pid، svchosts.exe.
  • EmEditor: استبدال زر التنزيل بملف تثبيت مزيف خلال 19–22 ديسمبر 2023 يسرق كلمات المرور وبيانات المتصفح ويزرع إضافة مزيفة للتجسس على العملات الرقمية ويتجنب أنظمة محددة. مؤشرات: emed64_25.4.3.msi موقّع من WALSHAM INVESTMENTS LIMITED، والبصمة الأصلية e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e.

التصيّد وسرقة الحسابات وتهديدات الويب

  • Spear-phishing عبر واتساب: استهداف موظفي الأمن والدفاع بدعوات مؤتمرات وهمية وروابط مختصرة لجمع بيانات الدخول وإرسال ملفات خبيثة أحيانًا. مؤشر: msnl[.]ink.
  • Magecart: أكثر من 50 سكريبت لعرض نماذج دفع مزيفة وسرقة بيانات البطاقات وتولّي الحسابات، مع إنشاء حسابات مسؤولين مزيفة للبقاء.
  • إضافات كروم خبيثة: سرقة محادثات مع نماذج الذكاء الاصطناعي وبيانات التصفح وإرسالها دوريًا، مع حيلة لدفع المستخدم لتثبيت إضافة بديلة. الأسماء: Chat GPT for Chrome with GPT-5 و AI Sidebar with Deepseek.
  • Zoom Stealer: 18 إضافة لمتصفحات متعددة تطلب صلاحيات واسعة لجمع بيانات الاجتماعات وإرسالها عبر WebSocket. مؤشرات: Chrome Audio Capture، Twitter X Video Downloader.
  • حشو بيانات الاعتماد: استغلال قوائم ضخمة من كلمات المرور وأدوات لسرقة بيانات دخول حديثة ورموز جلسات، مع أتمتة وبروكسيات وإصابات لجهات معروفة.
  • ErrTraffic و ClickFix: أعطال وهمية في مواقع مخترقة لدفع الضحايا لتنفيذ أوامر أو تثبيت برمجيات خبيثة مثل Lumma و Vidar و Cerberus و AMOS وأبواب خلفية على لينكس.

الفدية والتهديدات المدعومة بالذكاء الاصطناعي

  • موجة جديدة: برمجيات فدية وخبيثة تولّد أكواد ضارة ديناميكيًا مثل PromptLock عبر Ollama API وإنتاج شيفرات Lua متغيرة، مع عائلات إضافية كـ PromptFlux و PromptSteal و QuietVault وزيادة هجمات الفدية 40٪ في 2025 وتنامي أدوات قتل حلول الحماية عبر تعريفات ضعيفة.
  • تكتيكات العصابات: تصاعد الهجمات في عطلات نهاية الأسبوع، ابتزاز رباعي، انخفاض دفع الفدية إلى 23٪ وارتفاع التهديد بالتسريب إلى 85٪، و13٪ فقط يستعيدون البيانات بالكامل مع توقفات تشغيل واسعة.

توصيات

  • تحديث MongoDB فورًا أو تعطيل ضغط zlib مؤقتًا. تثبيت تحديثات SmarterMail إلى Build 9413 وIBM API Connect مع تطبيق iFix وتعطيل التسجيل الذاتي مؤقتًا وفحص السجلات.
  • مراجعة إعدادات Copilot Studio للوكلاء، تعطيل Connected Agents للوكلاء الحساسين، تقييد المشاركة واعتماد موافقات قبل العمليات الحساسة.
  • في Maven، عزل أي استخدام للحزمة org.fasterxml.jackson.core، البحث عن .idea.pid و svchosts.exe، وتحديث الاعتمادات من مصادر موثوقة فقط.
  • للحادثة الخاصة بـ EmEditor، التحقق من التوقيع الرقمي وإزالة أي ملف لا يحمل توقيع Emurasoft؛ عند التثبيت، فصل الإنترنت، فحص الجهاز، وتغيير كلمات المرور.
  • في حملات التجسس، تنفيذ فحوص عميقة للذاكرة ومراقبة الاتصالات وتحديث حلول الحماية والحذر من وسائط وملفات غير موثوقة.
  • التصدّي للتصيّد: الحذر من رسائل واتساب غير المتوقعة والروابط المختصرة، وتدريب الموظفين، ومراقبة أي اتصال مع msnl[.]ink.
  • فحص إضافات المتصفح وحذف المشبوهة، وتقليل الصلاحيات، وتغيير كلمات المرور المهمة ومراقبة الحسابات.
  • مكافحة حشو بيانات الاعتماد: عدم إعادة استخدام كلمات المرور، تفعيل MFA المفضل FIDO2، متابعة التنبيهات وخدمات التحقق، وتغيير كلمات المرور عند التسريب واستخدام مدير كلمات مرور.
  • تجاهل رسائل إصلاح المتصفح المفاجئة ونوافذ ClickFix، وعدم تنفيذ أوامر مجهولة، والاعتماد على تحديثات رسمية فقط.
  • على ويندوز، تفعيل Tamper Protection ومراقبة تحميل التعريفات غير الموثوقة وتقليل الصلاحيات الإدارية.
  • للتعامل مع الفدية، تحديث برامج الحماية، تعزيز النسخ الاحتياطية واختبار الاستعادة، ومراقبة السلوكيات الشاذة وتفعيل التحقق بخطوتين.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون