ملخص تهديدات الأمن السيبراني14-10-2025

يوم حافل بتسريبات واسعة وثغرات قيد الاستغلال وحملات برمجيات خبيثة وهجمات على البنية التحتية. برزت حوادث تمس سلاسل التوريد والسحابة، إلى جانب استهداف المطورين والمستخدمين النهائيين بهندسة اجتماعية متقدمة. أدناه أبرز المستجدات مصنّفة للقراءة السريعة.

تسريبات واختراقات بيانات

  • منصة Invoicely: كشف قاعدة غير محمية تضم نحو 180,000 ملف حساس (فواتير، نماذج ضريبية، صور شيكات، تفاصيل بنكية ومعلومات شخصية)، مع مخاطر سرقة الهوية والاحتيال والتصيّد الموجّه.
  • ثغرة في Salesforce: مجموعة ‘Scattered Lapsus$ Hunters’ سرّبت بيانات 989 مليون سجل من 39 شركة كبرى (منها Qantas Airways, Vietnam Airlines, GAP, Fujifilm, Albertsons, Engie Resources). البيانات تشمل أسماء، عناوين، أرقام جوازات، هواتف، بريد إلكتروني، تواريخ ميلاد، أرقام عضوية وبرامج ولاء، وبيانات داخلية؛ وأكدت Qantas نشر بيانات ملايين العملاء بحجم يتجاوز 153GB.
  • Software Unlimited Corp: كشف أكثر من 870GB من سجلات محاكم (بما فيها سرية وقضايا قُصّر) على الإنترنت بكلمات مرور افتراضية لقاعدة MySQL؛ لا دليل على اختراق، لكن الوصول كان متاحاً لأي طرف.
  • تطبيقات مرافقة ذكاء اصطناعي: تسريب محادثات خاصة جداً لملايين المستخدمين عبر تطبيقين شهيرين، مع تأثيرات كبيرة على الخصوصية.
  • اتصالات أقمار صناعية غير مشفّرة: اعتراض مكالمات ورسائل نصية وبيانات حساسة لجهات مدنية وعسكرية باستخدام معدات زهيدة؛ بعض الأطراف سارعت للتشفير بينما لا تزال جهات أخرى مكشوفة.

ثغرات واستغلالات نشطة

  • CVE-2025-11371: ثغرة Local File Inclusion في حلول مشاركة الملفات ببيئات لينكس/ويندوز المختلطة تُمكّن من قراءة إعدادات وسرقة مفاتيح وانتهاءً بتنفيذ تعليمات عن بُعد؛ استغلال فعلي مؤكد ولا تحديث رسمي بعد.
  • Happy DOM CVE-2025-61927: كسر عزل الـVM والتنفيذ على مستوى النظام (تقييم 10/10)، والتأثير يمتد لنسخ حتى الإصدار 19؛ صدرت النسخة v20 لإغلاق الثغرة وتعطيل تقييم جافاسكريبت افتراضياً.
  • إضافة Axis لـ Autodesk Revit: كشف بيانات اعتماد تخزين Azure داخل DLL موقّع (SAS tokens وaccess keys) مكّن من التحكم بملفات MSI/RFA ضمن سلسلة التوريد؛ تم الإصلاح في النسخة 25.3.718 مع إلغاء المفاتيح القديمة (المؤشرات: ZDI-24-1181, ZDI-24-1328, ZDI-24-1329, ZDI-25-858).
  • ESAFENET CDG V5: هجمات XSS على المسار /CDGServer3/SystemConfig بسبب CVE-2025-0785 مع سجل ثغرات سابق وعدم توفر تصحيحات حالياً.
  • GoAnywhere MFT CVE-2025-10035: استغلال بالغ الخطورة من مجموعة Storm-1175 بهجمات متعددة المراحل بينها الفدية، مع نشاط غير مصرّح به في البيئات السحابية وبعض العملاء.
  • Oracle E-Business Suite CVE-2025-61884: كشف معلومات حساس عن بُعد دون تسجيل دخول يؤثر على الإصدارات 12.2.3–12.2.14؛ تحديث طارئ متاح.
  • Microsoft Edge (وضع IE): استغلال مواقع مزيفة لفرض وضع IE واستغلال ثغرة يوم-صفر في Chakra لتنفيذ تعليمات، تلاها هروب من صندوق الحماية ورفع الامتيازات؛ تم تعطيل خيارات التفعيل السريع للوضع للمستخدمين الأفراد.
  • Android «Pixnapping» CVE-2025-48561: قناة جانبية عبر الـGPU لقراءة ما يظهر على الشاشة وسرقة رموز 2FA والدردشات من دون صلاحيات نظامية؛ تحديثات جزئية لا تمنع نسخاً معدلة من الهجوم.

برمجيات خبيثة وهندسة اجتماعية

  • حملة كورية شمالية على المطورين: نشر 338 حزمة npm خبيثة بأكثر من 50,000 تنزيل لاستهداف مطوري العملات الرقمية عبر انتحال توظيف على LinkedIn، وتقليد مكتبات شهيرة لزرع BeaverTail وInvisibleFerret وسرقة محافظ؛ أمثلة حزم: epxreso، dotevn، boby_parser، eslint-detector، ethrs.js، metamask-api.
  • macOS/Homebrew مزيف: مواقع تحاكي brew.sh وتحقن أمراً خبيثاً عند ضغط زر ‘Copy’، مع منع النسخ اليدوي وإمكانية تبديل الحمولة؛ رُصدت نطاقات مثل homebrewoneline[.]org مرتبطة بالعنوان 38.146.27.144 ومؤشرات على «Odyssey Stealer».
  • سوق Russian Market: انتقال إلى بيع سجلات برمجيات سرقة المعلومات بدلاً من وصول RDP؛ أكثر من 180,000 سجل في النصف الأول 2025، بأدوات مثل Lumma وRaccoon وVidar وRedLine وStealc وRhadamanthys وAcreed لاختراق البريد والسحابة وVPN.
  • ثغرات سياسات الاستخدام: برمجيات سرقة المعلومات تجمع جلسات حية وكلمات مرور وملفات تعريف الارتباط من متصفحات شائعة، وتتغذى على إعادة استخدام كلمات المرور واستخدام البريد المؤسسي ببيئات غير مصرح بها.
  • EDR-Freeze: أداة لتعليق خيوط عمل EDR/AV مؤقتاً عبر مكونات ويندوز شرعية مثل WerFaultSecure.exe وMiniDumpWriteDump، مع دلائل مثل ملفات مؤقتة (t.txt) وإمكانية رصد باستدعاءات MiniDumpWriteDump أو قواعد YARA.
  • تصيّد ضريبي في نيويورك: رسائل ومكالمات تدّعي «شيك التضخم» وتطلب بيانات حساسة وتوجّه لمواقع مزيفة لجمع معلومات شخصية بما فيها رقم الضمان الاجتماعي.

هجمات على البنية والوصول عن بُعد

  • SonicWall SSLVPN: اختراق أكثر من 100 حساب ببيانات اعتماد مسروقة مع فحص شبكي ومحاولات للوصول إلى حسابات Windows محلية؛ أبرز النشاط من 202.155.8[.]73 وتأثير على 16 بيئة منذ 4 أكتوبر.
  • بوت نت RDP: أكثر من 100,000 عنوان IP يهاجم خدمات RDP (أساساً في الولايات المتحدة) منذ 8 أكتوبر، بتقنيات توقيت على RD Web Access وتعداد تسجيل الدخول عبر RDP Web Client وبصمة TCP متشابهة.
  • OT/ICS: مجموعة TwoNet استغلت اعتمادات افتراضية ‘admin/admin’ للدخول إلى HMI، ونفّذت استعلامات SQL وأنشأت حساباً خلفياً ‘BARLATI’، واستغلت CVE-2021-26829 لتغيير صفحة الدخول وتعطيل السجلات والتنبيهات؛ مؤشرات: 45.157.234.199، المستخدم ‘BARLATI’.

فدية وابتزاز

  • SimonMed: هجوم Medusa للفدية بين 21 يناير و5 فبراير أسفر عن سرقة 212GB من البيانات (هويات، تفاصيل مرضى، تقارير طبية وبيانات مالية) وتأثر أكثر من 1.2 مليون مريض، مع مطالبة بفدية مليون دولار.
  • GoAnywhere MFT: استغلال CVE-2025-10035 أتاح هجمات فدية ضمن سلسلة هجمات متعددة المراحل.

توصيات

  • تفعيل المصادقة الثنائية وتغيير كلمات المرور ومراقبة الحسابات المالية عند الاشتباه بتسريب (Invoicely، Salesforce، SimonMed).
  • تحديثات عاجلة: Happy DOM إلى v20 أو تعطيل تقييم جافاسكريبت/استخدام --disallow-code-generation-from-strings، إضافة Axis لـ Revit إلى 25.3.718، GoAnywhere MFT، وOracle E-Business Suite.
  • عزل الأنظمة المتأثرة بـ CVE-2025-11371 وتشديد التقسيم الشبكي ومراقبة قراءات الملفات وتعطيل المعالج الضعيف مؤقتاً.
  • تعطيل وضع IE في Edge إن لم يكن ضرورياً، والانتقال لتطبيقات ويب حديثة.
  • ESAFENET CDG V5: عزل عن الإنترنت، مراقبة السجلات، وتطبيق أي تصحيحات فور صدورها.
  • VPN/RDP: لا تعرّض RDP للإنترنت، استخدم VPN مع MFA، وراجع سجلات الدخول؛ على مستخدمي SonicWall تدوير كلمات المرور والأسرار وتقييد الوصول البعيد حتى التأمين.
  • OT/ICS: تغيير الاعتمادات الافتراضية، سد الثغرات، وتفعيل مراقبة الأنشطة المشبوهة.
  • macOS/Homebrew: التأكد من الموقع «brew.sh» وفحص محتوى الحافظة قبل اللصق.
  • التصيّد الضريبي: تجاهل الرسائل/المكالمات المشبوهة وعدم فتح الروابط أو تقديم البيانات؛ التواصل فقط عبر القنوات الرسمية.
  • Android/Pixnapping: تجنب تثبيت تطبيقات غير موثوقة وتحديث النظام فور توفر تصحيحات أمنية.
  • مكافحة EDR-Freeze: مراقبة الذاكرة والسجلات واستخدام قواعد YARA لرصد أنماط الأداة.
  • اتصالات الأقمار الصناعية: فرض التشفير الشامل وتجنب إرسال معلومات حساسة عبر قنوات غير موثوقة.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون