ملخص تهديدات الأمن السيبراني21-10-2025
صورة اليوم تُظهر تصاعد هجمات التصيّد والابتزاز، مع برمجيات خبيثة تنتشر عبر منظومات التطوير والمتصفحات، وثغرات حرجة بعضها قيد الاستغلال الفعلي. كما برزت اختراقات بيانات واسعة أثّرت على قطاعات صحية ومالية ولوجستية، وتحذيرات جدية للبنية التحتية الحيوية.
التصيّد والهندسة الاجتماعية
- تصاعد التصيّد عبر البريد المدعوم بالذكاء الاصطناعي: 90٪ من الهجمات تبدأ برسائل تصيّد، وخسائر BEC تتجاوز 3 مليارات سنوياً، وظهور «quishing» برموز QR، مع استهداف مكثّف للموظفين.
- الهند: ارتفاع هجمات التصيّد 175٪ في 2024 على القطاع المالي، وقفزة 550٪ في التزييف العميق منذ 2019، مع خسائر متوقعة 8.3 مليار دولار وتكلفة اختراق 6.08 مليون للمؤسسة.
- حملات على الطلاب والأهالي: منح وهمية ونماذج «Google Forms» ورسائل تنتحل «MySchoolBucks» لسرقة بيانات مالية وهوّيات.
- رسائل نصية احتيالية واسعة تقودها عصابات من الصين: قفزة 350٪ في رسائل رسوم الطرق، استخدام «مزارع شرائح SIM»، وتجاوز التحقق الثنائي عبر محافظ رقمية.
- أداة Evilginx تُستغل لتجاوز MFA عبر اعتراض رموز الجلسات، من قبل جماعات مثل Scattered Spider وVoid Blizzard، مع آثار مالية جسيمة.
توصيات
- تجنّب الضغط على الروابط أو رموز QR غير الموثوقة، والتحقق من المرسِل قبل أي تفاعل.
- تفعيل المصادقة الثنائية واستخدام مفاتيح أمان مادية حيثما أمكن، وتمكين إشعارات تسجيل الدخول.
- للطلبة والأهالي: قنوات الدفع والبيانات الحساسة يجب أن تمر فقط عبر بوابات رسمية.
برمجيات خبيثة وبنى C2 والسحابة
- 131 إضافة خبيثة على كروم تستهدف واتساب ويب لإرسال سبام جماعي، معظمها مرتبطة بحسابات تابعة لـ DBX Tecnologia وGrupo OPT، والحملة نشطة منذ 9 أشهر.
- GlassWorm يصيب >35,800 جهاز مطوّر عبر إضافات مسمومة لـ OpenVSX وVS Code، يسرق حسابات GitHub وnpm ومحافظ العملات، ويستخدم Solana وGoogle Calendar كقنوات C2.
- تطبيقات OAuth خبيثة في Microsoft 365: وجود Traitorware في 10٪ من البيئات المدروسة، مع Stealthware يمنح وصولاً دائماً للبريد والملفات؛ أداة «Cazadora» للمراجعة.
- سلاسل هجوم على Azure Blob Storage: استغلال إعدادات وصول عامة أو رموز SAS ومفاتيح مسرّبة للتصيّد، التوزيع الخبيث، أو قنوات C2؛ أدوات مثل Goblob وQuickAZ تُستخدم للاستطلاع.
المؤشرات الفنية
- MITRE ATT&CK:
T1593.002،T1566.001،T1098.001،T1486 - تنبيهات Defender for Cloud: «Publicly accessible storage containers discovered»، «Phishing content hosted on a storage account»، «Unusual amount of data extracted»
- إضافات مصابة (أمثلة):
[email protected]،[email protected]،[email protected]،[email protected]،[email protected]،[email protected]،[email protected]،[email protected]،[email protected]،[email protected]،[email protected]،[email protected]
توصيات
- إزالة الإضافات المشبوهة ومراجعة أذوناتها دورياً، وفحص الأجهزة بمنتج مضاد للبرمجيات الخبيثة.
- مراجعة جميع تطبيقات OAuth وحذف غير المعروف، وتقييد الأذونات حسب الحاجة.
- في Azure: تفعيل «Defender for Storage»، إغلاق الوصول العام، تدوير المفاتيح وSAS، ومراقبة التنبيهات.
اختراقات وتسريبات بيانات
- Verisure: اختراق أنظمة Alert Alarm في السويد وتسريب بيانات نحو 35,000 عميل (أسماء، عناوين، بريد، أرقام هوية)، مع تحقيقات للاشتباه بالابتزاز.
- موجة هجمات في أكتوبر: استغلال
CVE-2025-61882ضد Oracle E-Business Suite (جامعة هارفارد)، تسريب بيانات 1.2 مليون مريض لدى SimonMed، سرقة جزء من شيفرة BIG-IP وبيانات ثغرات لدى F5، وتسريب بيانات 1.5 مليون شخص لدى Allianz Life عبر طرف ثالث؛ إضافة إلى استغلالCVE-2025-4008في Meteobridge وهجوم على نظام مياه بواسطة TwoNet. - Scattered LAPSUS$ Hunters تجمع ملفات عن >22,000 مسؤول حكومي أمريكي من اختراقات Salesforce، ومحاولة ابتزاز للشركة.
- اختراق بريد جون بولتون ومحاولة ابتزاز بمعلومات سرية أُرسلت عبر البريد والدردشة المشفرة.
- Prosper: تسريب بيانات يقارب 17 مليون مستخدم مع مخاطر سرقة هوية واحتيال مالي.
المؤشرات الفنية
CVE-2025-61882،CVE-2025-4008،CVE-2025-61927
توصيات
- مراقبة الحسابات المالية والبريدية، وتغيير كلمات المرور، والحذر من رسائل التصيّد.
- تحديث الأنظمة وسد الثغرات، وتدقيق صلاحيات الأطراف الثالثة وتقسيم الشبكات.
فدية وتعطيل خدمات
- Askul اليابانية: هجوم فدية عطّل المواقع والطلبات والشحنات وخدمة العملاء؛ تأثرت شركات تعتمد على لوجستياتها مثل موچي وLoft وSogo & Seibu؛ التحقيق جارٍ في احتمال تسرب بيانات.
- تحذيرات أمريكية من تصاعد هجمات الفدية على الطاقة والمياه والصحة والنقل، مع استهداف أنظمة قديمة وحركة جانبية متقدمة قد تُعطّل خدمات حيوية.
توصيات
- تسريع التحديثات، تعزيز التقسيم الشبكي والمراقبة السلوكية، واعتماد حلول كشف واستجابة مدعومة بالذكاء الاصطناعي.
- للمتضررين من تعطّل الخدمات: اليقظة تجاه رسائل احتيالية أو طلبات مشبوهة.
ثغرات وتحديثات أمنية
- محاولة اختراق لمجموعة Salt Typhoon ضد شركة اتصالات أوروبية عبر استغلال جهاز «Citrix NetScaler Gateway»، باستخدام SNAPPYBEE/Deed RAT وتحميل DLL جانبي عبر منتجات مضاد الفيروسات، مع بنية C2 معقدة تم رصدها مبكراً.
- Moxa تصلح 5 ثغرات خطرة في أجهزة صناعية، أبرزها
CVE-2025-6950لتجاوز المصادقة عبر تزوير JWT، مع إمكانية سيطرة كاملة عن بُعد؛ الأجهزة المتأثرة تشمل: EDR-G9010 وEDR-8010 وEDF-G1002-BP وTN-4900 وNAT-102 وNAT-108 وOnCell G4302-LTE4. - Windows SMB: استغلال نشط لـ
CVE-2025-33073لرفع الصلاحيات إلى SYSTEM؛ التصحيح متاح منذ يونيو 2025. - WatchGuard Firebox: ثغرة حرجة
CVE-2025-9242لتنفيذ أوامر عن بُعد عبر حزم IKEv2 معدلة؛ أكثر من 75,000 جهاز مكشوف والتحديثات متاحة، مع توقف دعم فرع 11.x. - مشاكل ويندوز بعد تحديثات أكتوبر: أعطال مصادقة البطاقات الذكية والشهادات بسبب إصلاح
CVE-2024-30098(حل مؤقت عبر مفتاح السجلDisableCapiOverrideForRSA=0)، ومشكلة مزامنة مجموعات كبيرة في Active Directory بعدKB5065426مع سياسة KIR ومفتاح سجل2362988687، وتعطّل أجهزة USB داخل WinRE بعدKB5066835. - الصين تتهم وكالة الأمن القومي الأمريكية بهجمات على مركز التوقيت الوطني: استغلال ثغرات بهواتف موظفين منذ 2022، نشر 42 أداة بين 2023 و2024 لاستهداف الأنظمة مع استخدام VPN وشهادات مزورة وقنوات مشفرة؛ تم الاكتشاف وتعزيز الدفاعات.
توصيات
- تحديث عاجل لأنظمة ويندوز وSMB، وأجهزة WatchGuard إلى إصدارات آمنة (مثل 2025.1.1 و12.11.4 و12.5.13 و12.3.1_Update3)، وأجهزة Moxa إلى 3.21 أو أحدث.
- تقييد تعريض الأجهزة الصناعية والبوابات للخارج، وتفعيل MFA وعدم استخدام مفاتيح JWT الافتراضية.
- مع أعطال التحديثات: تطبيق KIR أو تعديلات السجل حسب الإرشادات، واستخدام بدائل مؤقتة لـ USB داخل WinRE.
