ملخص تهديدات الأمن السيبراني19-12-2025

يوم حافل باستغلالات حرجة على بوابات البريد والبنى الطرفية، مع حملات برمجيات خبيثة وهندسة اجتماعية تقودها مجموعات مرتبطة بدول. تصاعد ابتزاز الفدية وتكتيكات سرقة العملات الرقمية، إلى جانب تسريبات تكشف بنى تحتية هجومية نشطة.

ثغرات واستغلالات نشطة

  • React2Shell: ثغرة خطيرة في React Server Components تُستغل لنشر فدية وتعدين وتنفيذ أوامر، مع ربط حملات بالصين وإيران ونصف الخوادم بلا تصحيح. المؤشر: CVE-2025-55182.
  • SonicWall SMA 1000: يوم صفر يتيح رفع الصلاحيات واستغلالاً متسلسلاً مع ثغرة سابقة لتنفيذ أوامر بصلاحيات الجذر. المؤشرات: CVE-2025-40602 وCVE-2025-23006.
  • Cisco Secure Email: استغلال نشط ليوم صفر يطاول أجهزة البريد وإدارة الويب على AsyncOS من مجموعة صينية ويمنح سيطرة كاملة، ولا تصحيح متاح حالياً. المؤشر: CVE-2025-20393.
  • HPE OneView: ثغرة حرجة بدرجة 10/10 تسمح بتنفيذ أوامر عن بُعد دون مصادقة في الإصدارات قبل 11.00. المؤشر: CVE-2025-37164.
  • Fortinet: ثغرتان بدرجة 9.8 تُستغلان في FortiOS وFortiWeb وFortiProxy وFortiSwitchManager بسبب تحقق تشفيري غير صحيح. المؤشرات: CVE-2025-59718 وCVE-2025-59719.
  • ASUS Live Update: إضافة إلى قائمة الثغرات المستغلة فعلياً بعد هجوم سلسلة توريد وتضمين شيفرة خبيثة ضمن تحديثات رسمية. المؤشر: CVE-2025-59374.
  • متصفحات مدمجة قديمة في سيارات وتلفازات وقارئات إلكترونية وتطبيقات ألعاب تجعل المستخدمين عرضة لتصيّد وثغرات معروفة.
  • LiDAR للقيادة الذاتية: هجمات حقن كهرومغناطيسي قادرة على التلاعب بالنقاط أو تعطيل الحساس في عدة أنظمة تجارية.
  • تحديث أمني لكروم على ويندوز وماك ولينكس مع إصلاحات مهمة؛ يُنصح بالتحديث الفوري.
  • تقرير WAF: 52٪ من الثغرات تتجاوز جدران حماية تطبيقات الويب وقواعد الحماية تتأخر، مع إبراز React2Shell CVE-2025-55182.

توصيات

  • تحديث فوري لخوادم React وSonicWall SMA 1000 وHPE OneView (إلى 11.00) ومنتجات Fortinet، واتباع إرشادات ASUS أو إيقاف المنتج عند تعذّر التصحيح.
  • عزل أجهزة البريد من Cisco خلف جدار ناري وحصر الوصول وتعطيل الميزات المكشوفة للعموم حتى صدور تصحيح.
  • تقييد لوحات الإدارة على شبكات موثوقة وتفعيل مراقبة شاذات الشبكة وتحديث قواعد WAF باستمرار.
  • تجنّب إدخال بيانات حساسة عبر متصفحات الأجهزة المدمجة، واختبار ضوابط التداخل الكهرومغناطيسي في منصّات LiDAR.

برمجيات خبيثة وبنية C2

  • BeaverTail من Lazarus: حملات توظيف مزيفة بهويات مسروقة وبتزييف عميق؛ النسخة V5 تسرق بيانات المتصفح وبطاقات الدفع ومفاتيح محافظ العملات الرقمية، تسجّل ضغطات المفاتيح وتلتقط الشاشة كل 4 ثوانٍ، ومخبأة داخل إضافات VS Code وحزم npm مع تقنيات EtherHiding.
  • بنية Lazarus وKimsuky: خوادم C2 وأدوات مثل BADCALL وQuasar RAT وMythic C2 مع عُقد FRP متطابقة وشهادات RDP معاد استخدامها. مؤشرات: 23.27.140.49:8080 و207.254.22.248:8800 و149.28.139.62:8080 و154.216.177.215 وFRP على المنفذ 9999 وhwc-hwp-7779700.
  • GachiLoader عبر يوتيوب: أكثر من 100 فيديو من حسابات مخترقة توزع أرشيفات مموهة تُثبّت Rhadamanthys وتُعطّل Windows Defender وتُخفي الحمولات.
  • NuGet خبيث يستهدف مطوري .NET بمكتبات تنتحل Nethereum لسرقة العبارات المفاتيح وتبديل عناوين التحويل وسرقة OAuth لمديري الإعلانات. مؤشر: solananetworkinstance[.]info.
  • تجسس صيني عبر Group Policy: نشر أدوات NosyHistorian وNosyDoor وNosyStealer وNosyLogger، مع نقل أوامر وبيانات عبر OneDrive وGoogle Drive ووصول عن بُعد عبر SOCKS5.
  • عودة «أمير فارس» الإيرانية: استهداف تيليجرام وبرمجيات Foudre وTonnerre وانتشار عبر حزمة Notable Martyrs.zip مع بوت خاص. مؤشرات: Foudre وTonnerre و@ehsan8999100 وNotable Martyrs.zip.
  • تعدين عملات عبر حسابات AWS مخترقة: استغلال مفاتيح IAM عالية الامتياز لنشر SBRMiner-MULTI خلال 10 دقائق وإنشاء موارد مستمرة ووظائف Lambda بلا مصادقة.

توصيات

  • تشديد التحقق متعدد الخطوات في التوظيف، وتجنّب تنزيل أدوات أو إضافات من مصادر غير موثوقة، ومراقبة سلوك التطوير غير الاعتيادي.
  • مراقبة الشبكة لعُقد FRP والمنفذ 9999 والدلائل المفتوحة، وتفعيل قدرات كشف البرمجيات الخبيثة.
  • لمطوري .NET: مراجعة حزم NuGet والمؤلفين وتواريخ النشر وحذف أي حزمة مشبوهة وتدوير مفاتيح المحافظ وبيانات الاعتماد.
  • على مستخدمي AWS: تفعيل المصادقة الثنائية، مراجعة صلاحيات IAM، إزالة المفاتيح طويلة الأجل، وتفعيل GuardDuty.

فدية وابتزاز

  • RansomHouse: ابتزاز مزدوج بسرقة البيانات أولاً ثم تشفيرها، مع أدوات MrAgent لنشر الفدية على ESXi وMario لتشفير معقّد.
  • CLOP على CentreStack: اختراق خوادم معرّضة للإنترنت لسرقة الملفات وترك ملاحظات فدية مع تهديد تسريب.
  • استغلال React2Shell استُخدم لنشر برمجيات فدية ضمن حملات واسعة.

توصيات

  • تقسيم الشبكات، تقوية حماية VMware ESXi، ونشر نُسخ احتياطية معزولة خارج الشبكة.
  • عدم تعريض CentreStack مباشرة للإنترنت وتحديثه ومراجعة السجلات بحثاً عن نشاط مشبوه.

تصيّد واحتيال وهندسة اجتماعية

  • PDF مزيف بعنوان «NEW Purchase Order #52177236.pdf»: يحوّل إلى صفحة وهمية على بنية موثوقة ويجمع بيانات الجهاز والكوكيز ويرسلها إلى بوت تيليجرام. مؤشرات: ionoscloud.com و5485275217.
  • تصيّد Microsoft 365 عبر رموز الأجهزة: إجبار الضحية على إدخال رمز في صفحة رسمية لمنح وصول كامل، باستخدام أدوات Squarephish وGraphish.
  • Scripted Sparrow: تصيّد مالي بلا روابط أو برمجيات، عبر فواتير PDF وحسابات بنكية متعددة ورسائل بموافقات تنفيذية وهمية.
  • واتساب: خدعة ربط الأجهزة لقرصنة الحساب ونشر الرسائل الاحتيالية وجمع بيانات حساسة.
  • منصة «Haotian»: تزييف وجوه وأصوات لحظي في مكالمات الفيديو ضمن حملات احتيال استثماري ورومانسي، مع تحسينات لتجاوز اختبارات الكشف.

توصيات

  • تدريب الموظفين على التحقق عبر قناة مستقلة لأي طلب دفع أو تسجيل دخول غير متوقّع وعدم إدخال رموز الأجهزة إلا بطلب رسمي.
  • تفعيل الوصول الشرطي و2FA، ومراجعة الأجهزة المرتبطة بحسابات واتساب وإزالة أي جهاز غير معروف.
  • عدم الوثوق بمكالمات الفيديو كدليل هوية وطلب حركات عشوائية وفحص المؤشرات التقنية وتمريرها للفِرق الأمنية.

تسريبات وحوادث كبرى

  • كوريا الشمالية: سرقة قياسية بأكثر من 2 مليار دولار في 2025، بينها 1.5 مليار من Bybit، مع استهداف 158,000 محفظة وتأثّر 80,000 شخص وارتفاع نصيب المحافظ الشخصية إلى 44٪.
  • تسريب APT35: وثائق البنية التحتية والمدفوعات تكشف نطاقات وهوّيات وهمية وارتباطاً بمجموعة Moses Staff، مع أكثر من 50 بريد ProtonMail و80 مجموعة بيانات اعتماد مكشوفة.
  • امتدادات Urban VPN: تحديث خبيث جمع محادثات منصات الذكاء الاصطناعي وسجل التصفح وربطها بمعرّفات الأجهزة لدى ملايين المستخدمين. مؤشرات: urban-vpn وbi-science.
  • إغلاق E-Note: مصادرة منصة استخدمت لغسل أكثر من 70 مليون دولار من عائدات الفدية وسرقة الحسابات منذ 2017.

توصيات

  • لمستخدمي العملات الرقمية: تفعيل 2FA واستخدام محافظ باردة ومراقبة التحويلات.
  • تدوير كلمات المرور والمفاتيح، ومراقبة محاولات الدخول غير المصرح بها، والاستعداد لأي تواصل من جهات إنفاذ القانون عند الارتباط بمنصات مغلقة.
  • حذف امتدادات VPN المشبوهة، ومسح الكوكيز، وتغيير كلمات المرور.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون