ملخص تهديدات الأمن السيبراني01-03-2026

يوم حافل بتهديدات طالت أجهزة إنترنت الأشياء وحملات تصيّد استغلت أدوات نظامية لتوزيع برمجيات خبيثة، إلى جانب حوادث لافتة في الساحة الإيرانية وتسريب كلّف ملايين الدولارات. فيما يلي خلاصة مركّزة مع أبرز المؤشرات الفنية والتوصيات العملية.

ثغرات في أجهزة إنترنت الأشياء

  • كاميرات AVTECH (CVE-2024-7029): استغلال ثغرة حقن أوامر في وظيفة السطوع أتاح تنفيذ أوامر بصلاحيات مرتفعة واستخدام الأجهزة في هجمات حجب الخدمة وتحويلها لنقاط دخول للشبكات. رُصد أكثر من 37,995 كاميرا مكشوفة بلا تحديثات، والشركة لم تصدر تصحيحًا أو تستجب للجهات الأمنية. المتأثرون: منشآت النقل والخدمات المالية التي تستخدم الإصدارات القديمة.
  • مكانس DJI Romo: ثغرة أتاحت التحكم عن بُعد في 6,700 جهاز فقط بمعرفة الرقم التسلسلي، ما يعرّض فيديو وصوت وخرائط المنازل للانكشاف. الشركة أصلحت الثغرة بعد التبليغ. المتأثرون: مستخدمو الأجهزة المزودة بكاميرا في 24 دولة.

توصيات

  • عزل أو إزالة أجهزة AVTECH القديمة فورًا، وتطبيق جدار حماية، ومراجعة جميع أجهزة إنترنت الأشياء المنتهية الدعم.
  • تحديث مكانس DJI Romo فورًا ومراجعة إعدادات الخصوصية.

المؤشرات الفنية: CVE-2024-7029

التصيّد والهندسة الاجتماعية لنشر برمجيات خبيثة

  • استغلال WebDAV ومستكشف ملفات ويندوز: حملة توزع برمجيات XWorm RAT وAsync RAT وDcRAT عبر روابط وملفات اختصار (.url و .lnk) تفتح خوادم WebDAV عن بُعد داخل المستكشف، فتبدو الملفات محلية وتزداد احتمالية التنفيذ. تُستضاف البنية الضارة على trycloudflare[.]com وتستهدف مؤسسات أوروبية برسائل تصيّد مالي. ما العمل الآن: تعطيل WebDAV إذا لم يكن ضروريًا، الحذر من اختصارات مجهولة، ومراقبة الاتصالات إلى trycloudflare[.]com.
  • انتحال Zoom وGoogle Meet: صفحات مزيفة مثل googlemeetinterview[.]click وuswebzoomus[.]com توزّع ملف MSI يثبت برنامج Teramind بوضعية «Hidden Agent» دون ظهور واضح، مع خدمات نظامية باسم tsvchst وpmon للاستمرار بعد إعادة التشغيل، ودعم بروكسي SOCKS5 للاتصال بخادم C2: rt.teramind.co. ما العمل الآن: فحص وجود tsvchst أو pmon أو مجلد ProgramData بالمعرّف {4CEC2908-5CE4-48F0-A717-8FC833D8017A}، إزالة البرنامج وإعادة التشغيل، وعدم الوثوق إلا بالمصادر الرسمية.

المؤشرات الفنية (WebDAV):

  • module-brush-sort-factory[.]trycloudflare[.]com
  • tiny-fixtures-glossary-advantage[.]trycloudflare[.]com
  • nasdaq-aged-sf-cheers[.]trycloudflare[.]com
  • lose-croatia-acdbentity-lt[.]trycloudflare[.]com
  • discounted-pressed-lc-vcr[.]trycloudflare[.]com
  • skills-statute-alberta-demand[.]trycloudflare[.]com
  • whats-menu-familiar-zshops[.]trycloudflare[.]com
  • publicity-jenny-paintball-gilbert[.]trycloudflare[.]com

المؤشرات الفنية (Zoom/Meet):

  • googlemeetinterview[.]click
  • uswebzoomus[.]com
  • rt.teramind.co
  • SHA-256: 644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425fa
  • MD5: AD0A22E393E9289DEAC0D8D95D8118B5

برمجيات خبيثة عبر المتصفّح: إضافة QuickLens

  • إزالة إضافة QuickLens من كروم: النسخة 5.8 احتوت سكريبتات خبيثة تنفذ هجمات ClickFix وتزيل رؤوس الأمان وتستقبل أوامر من خادم C2 (api.extensionanalyticspro[.]top)، مع تنبيهات تحديث مزيفة ودفع المستخدمين لتنفيذ أكواد ضارة. تستهدف محافظ العملات الرقمية مثل MetaMask وCoinbase وTrust Wallet لسرقة العبارات السرية والأصول، كما تجمع بيانات تسجيل الدخول والدفع والبريد والتواصل الاجتماعي. ما العمل الآن: حذف الإضافة وفحص الجهاز وتغيير كلمات المرور ونقل الأصول إلى محافظ جديدة إن كانت متأثرة.

المؤشرات الفنية:

  • api.extensionanalyticspro[.]top
  • google-update[.]icu
  • drivers[.]solutions/META-INF/xuoa.sys

حوادث وتهديدات سيبرانية مرتبطة بإيران

  • اختراق تطبيق BadeSaba: إرسال إشعارات تدعو للاستسلام إلى ملايين المستخدمين، بينها العسكريون، بالتزامن مع انقطاعات واسعة للإنترنت وهجمات سيبرانية على وكالات أنباء. ما العمل الآن: عدم الوثوق بإشعارات غير رسمية وتحديث التطبيقات من مصادر رسمية وتفعيل التحقق بخطوتين إن توفر.
  • هجوم سيبراني واسع على البنية التحتية: تقارير عن توقف شبه كامل للإنترنت والمرافق الحيوية في إيران وانخفاض الاتصال إلى 4% من المعدل الطبيعي. ما العمل الآن: توخّي الحذر عند استعادة الاتصال وتجنّب مشاركة معلومات حساسة واستخدام أدوات حماية الخصوصية متى أمكن.
  • تصاعد التهديدات السيبرانية الإيرانية: مجموعات APT مثل OilRig وAPT33 واعتماد واجهات هاكتفيست وهمية، مع تحذيرات للقطاعات الحيوية كالمياه والطاقة والرعاية الصحية. ما العمل الآن: تحديث الأنظمة، تغيير كلمات المرور الافتراضية، تفعيل المصادقة الثنائية، ومراجعة إعدادات الأجهزة المتصلة بالإنترنت وتعزيز التنسيق بين فرق الأمن السيبراني والأمن المادي.

تسريبات وخسائر رقمية

  • تسريب عبارة استرجاع محفظة في كوريا الجنوبية: خطأ نشر صور محفظة Ledger مع عبارة الاسترجاع أتاح لمهاجم سحب أصول بقيمة 4.8 مليون دولار ونقل 4 ملايين رمز PRTG على دفعات. ما العمل الآن: عدم رقمنة عبارات الاسترجاع أو تخزينها إلكترونيًا ونقل الأصول فورًا إلى محفظة جديدة عند كشفها.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون