MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
weekly_recap

موجز أمني: هجمات شايربوينت، برمجيات تجسس، واستغلال الثغرات في السحابة والبنية التحتية

استعرض أبرز التهديدات السيبرانية لهذا الأسبوع: هجمات صينية على SharePoint، استغلال نشط لثغرات في Cisco ISE، حملات تصيد متقدمة، وتحذيرات من برمجيات فدي


أسبوع الأمن السيبراني: هجمات شايربوينت، تجسس، اختراقات إنترنت الأشياء، احتيال من كوريا الشمالية، وسرقة عملات رقمية

28 يوليو 2025 | مايستر نيرو - قسم الأمن السيبراني

بعض المخاطر لا تخترق الحدود — بل تصل عبر برامج موقعة، أو سير ذاتية نظيفة، أو موردين معتمدين لا يزالون مختبئين في العراء. هذا الأسبوع، لم تكن التهديدات الأوضح هي الأعلى صوتًا — بل كانت الأكثر شرعية من حيث المظهر. في بيئة يتقاطع فيها الهوية والثقة والأدوات، فإن أقوى مسار هجوم هو غالبًا ذلك الذي يبدو وكأنه ينتمي. أصبحت الفرق الأمنية اليوم مطالبة بالدفاع ليس فقط ضد الاختراقات، بل ضد تحول الثقة نفسها إلى سلاح.

التهديد الرئيسي لهذا الأسبوع

هجمات على خوادم Microsoft SharePoint تُنسب إلى الصين — لا تزال تتوسع آثار سلسلة هجمات استهدفت ثغرات في خوادم Microsoft SharePoint المحلية، بعد أسبوع من اكتشاف الثغرات الصفرية، حيث تم اختراق أكثر من 400 منظمة حول العالم. وُصِفت الهجمات بأنها من عمل جماعتين صينيتين معروفتين: Linen Typhoon (تُعرف أيضًا بـ APT27)، وViolet Typhoon (تُعرف بـ APT31)، بالإضافة إلى كيان تهديدي مشتبه به يحمل الاسم الرمزي Storm-2603، استُخدمت فيه الوصول لنشر برمجية الفدية Warlock. تعتمد الهجمات على الثغرتين CVE-2025-49706 (خلل تزوير) وCVE-2025-49704 (تنفيذ تعليمات عن بُعد)، وتُعرف مجتمعة باسم ToolShell. وأفادت بلومبرغ أن مايكروسوفت تحقق فيما إذا كان تسريب من برنامج الحماية النشطة (MAPP)، الذي يُزوّد مزودي برامج الأمن بمعلومات مبكرة عن الثغرات، قد ساهم في استغلال الثغرات الصفرية. وقد نفت الصين اتهامات تورطها في الحملة.

استخبارات التهديدات

عملاء Flare حققوا عائد استثمار 321% — كشفت دراسة جديدة أجرتها Forrester Consulting بالنيابة عن Flare أن منصة إدارة التعرض للتهديدات التابعة لها حققت عائد استثمار بنسبة 321%، وقلّصت العمل اليدوي بنسبة 75%، وسدّدت تكلفتها في أقل من 6 أشهر لمنظمة نموذجية تمثل العملاء المشاركين في الدراسة.

أهم الأخبار

وزارة الخزانة الأمريكية تفرض عقوبات على شركة كورية شمالية بسبب برنامج عمال تقنية — فرضت مكتب مراقبة الأصول الأجنبية (OFAC) التابع لوزارة الخزانة الأمريكية عقوبات على شركة وهمية كورية شمالية وثلاثة أفراد مرتبطين بها، لمشاركتهم في مخطط احتيالي يستخدم عمال تقنية معلومات من كوريا الشمالية يعملون عن بُعد لكسب إيرادات غير مشروعة للنظام. وفي قضية متصلة، حُكم على كريستينا ماري تشابمان، وهي "مزراعة لابتوبات" من أريزونا، بالسجن 8.5 سنة بعد جمعها 17 مليون دولار لصالح النظام. يستخدم هؤلاء العمال سيرًا ذاتية مصقولة، وملفات على وسائل التواصل، وصورًا محسّنة بالذكاء الاصطناعي وتقنيات التزييف العميق، بالإضافة إلى هويات مسروقة لاجتياز الفحوصات والانضمام إلى شركات أمريكية. بمجرد التوظيف، يستخدمون وسيطًا لاستلام أجهزة الشركة، ثم يتصلون بها عن بُعد، مما يوحي بأنهم داخل الدولة. يهدف المخطط إلى تمويل البرنامج النووي للنظام، وإنشاء موطئ قدم داخل الشبكات المؤسسية لزرع برمجيات خبيثة أو سرقة أسرار.

Soco404 وKoske يستهدفان حالات سوء تهيئة في البيئات السحابية لزرع عمال تعدين — استهدفت حملتان مختلفتان من البرمجيات الخبيثة ثغرات وسوء تهيئة في البيئات السحابية لتوزيع برامج تعدين العملات الرقمية. أُطلق على هذه الحملات اسم Soco404 وKoske. بينما يستهدف Soco404 أنظمة لينكس وويندوز، فإن Koske يركّز على لينكس فقط. وهناك أدلة تشير إلى أن Koske تم تطويره باستخدام نماذج لغوية ضخمة (LLM)، نظرًا لوجود تعليقات منظمة، ومنطق برمجي متقن، وصور دببة باندا اصطناعية لاستضافة الحمولة الخبيثة.

إغلاق منتدى XSS واعتقال المشرف المشتبه به — حققت قوات إنفاذ القانون انتصارًا كبيرًا ضد اقتصاد الجريمة الإلكترونية بإغلاق المنتدى الشهير XSS واعتقال المشرف المشتبه به. ومع ذلك، فإن إغلاق منصات مماثلة غالبًا ما يكون مؤقتًا، حيث ينتقل المهاجمون إلى منصات جديدة مثل قنوات تيليجرام. وفي سياق متصل، تم اكتشاف أن منتدى LeakZone، الذي يُقدّم نفسه كمنصة "تسريب وقرصنة"، كان يسرب عناوين IP للمستخدمين المسجلين إلى الويب المفتوح.

برمجية Coyote الخبيثة تستغل إطار عمل ويندوز UI Automation — أصبحت برمجية Coyote، التي تستهدف المستخدمين في البرازيل، أول برمجية خبيثة معروفة تستغل إطار عمل إمكانية الوصول في ويندوز (UIA) لجمع المعلومات الحساسة. تمتلك البرمجية القدرة على تسجيل ضغطات المفاتيح، وتصوير الشاشة، وعرض طبقات على صفحات تسجيل الدخول المصرفية. ووفقًا لتحليل Akamai، فإن البرمجية تستخدم واجهة GetForegroundWindow() لاستخراج عنوان النافذة النشطة، ثم تستخدم UIA لتحليل عناصر واجهة المستخدم والبحث عن علامات تبويب المتصفح أو شريط العناوين، ومقارنتها بقائمة مخزنة مسبقًا من المواقع المستهدفة.

سيسكو تؤكد استغلالًا نشطًا لثغرات في نظام ISE — حذّرت سيسكو من أن مجموعة من الثغرات الأمنية في منتجي Identity Services Engine (ISE) وISE Passive Identity Connector (ISE-PIC) تتعرض لاستغلال نشط في البيئة الحقيقية. تسمح الثغرات — CVE-2025-20281 وCVE-2025-20337 وCVE-2025-20282 — لمهاجم بتنفيذ تعليمات عشوائية على نظام التشغيل بصفة الجذر، أو برفع ملفات إلى الجهاز المتأثر وتنفيذها. لم تكشف الشركة عن الثغرات المستغلة حاليًا، أو هوية الجماعات، أو نطاق الهجمات.

أهم الثغرات (CVEs) لهذا الأسبوع

يستغل المهاجمون الثغرات البرمجية الجديدة بسرعة — أحيانًا خلال ساعات. سواء كان ذلك بسبب تحديث مفقود أو خلل مخفي، فإن وجود ثغرة واحدة غير مُصلحة يمكن أن يفتح الباب أمام أضرار جسيمة. تشمل قائمة هذا الأسبوع:

  • CVE-2025-54068 (Laravel Livewire Framework)
  • CVE-2025-34300 (Lighthouse Studio)
  • CVE-2025-6704, CVE-2025-7624 (جدار حماية Sophos)
  • CVE-2025-40599 (SonicWall SMA 100 Series)
  • CVE-2025-49656, CVE-2025-50151 (Apache Jena)
  • CVE-2025-22230, CVE-2025-22247 (VMware Tools من Broadcom)
  • CVE-2025-7783 (form-data)
  • CVE-2025-34140 إلى 34143 (Hexagon ETQ Reliance)
  • CVE-2025-8069 (AWS Client VPN لنظام ويندوز)
  • CVE-2025-7723, CVE-2025-7724 (TP-Link VIGI NVR)
  • CVE-2025-7742 (LG Innotek LNV5110R)
  • CVE-2025-24000 (Post SMTP)
  • CVE-2025-52449 إلى 52455 (Salesforce Tableau Server)
  • CVE-2025-6241 (SysTrack)

حوارات سيبرانية

جوجل تحذف آلاف قنوات يوتيوب مرتبطة بحملات تأثير — أزالت جوجل ما يقارب 11,000 قناة يوتيوب وحسابات أخرى مرتبطة بحملات دعاية تابعة للدول من الصين وروسيا في الربع الثاني من 2025. وشملت العملية أكثر من 7,700 قناة مرتبطة بالصين، و2,000 قناة مرتبطة بروسيا، بما في ذلك قنوات تابعة لـ RT.

شركة مراقبة تتجاوز حمايات بروتوكول SS7 — استخدمت شركة مراقبة غير معلنة تقنية جديدة للالتفاف على حمايات بروتوكول SS7، من خلال التلاعب بطلبات TCAP بطريقة لا تُحللها أنظمة الحماية في الشبكة المستهدفة.

ارتفاع عدد مواقع التصيد الموجهة لمستخدمي تيليجرام — ارتفع عدد مواقع التصيد المزيفة لمنصة تيليجرام إلى 12,500 في الربع الثاني من 2025. يستخدم أحد الأساليب صفحة تسجيل دخول مزيفة، بينما يوهم الآخر الضحية بشراء هدية رقمية نادرة ويدفع بعملات وهمية.

سجين سابق في وكالة الجريمة الوطنية يُحكم عليه بالسجن 5.5 سنة — حُكم على بول تشاولز، وهو موظف سابق في وكالة الجريمة الوطنية البريطانية (NCA)، بالسجن 5.5 سنة بعد سرقته جزءًا من البتكوين المصادَر من موقع Silk Road. استخدم خدمات مزج العملات لإخفاء الأثر.

المملكة المتحدة تفرض عقوبات على 3 وحدات تابعة للاستخبارات الروسية — شملت العقوبات الوحدات 26165 (APT28)، 29155 (Cadet Blizzard)، و74455 (Sandworm)، بالإضافة إلى شبكة "المبادرة الأفريقية" التي تدير حملات دعاية في غرب إفريقيا.

المملكة المتحدة تدرس حظر دفع الفدية للجهات العامة — تقترح الحكومة البريطانية تشريعًا يحظر على الجهات العامة وبنية تحتية حيوية دفع الفدية، مع فرض غرامات تصل إلى 10% من الإيرادات في حال عدم تطبيق التحديثات.

برمجية Lumma Stealer تعود للنشاط — عادت برمجية Lumma Stealer للعمل بعد تفكيك بنيتها التحتية، مع تحولها إلى مزودات روسية مثل Selectel لتجنب طلبات إنفاذ القانون. وتواصل تسجيل عشرات النطاقات الجديدة أسبوعيًا.

الحكومة الأمريكية تحذر من برمجية Interlock ransomware — تستهدف الهجمات أنظمة ويندوز ولينكس باستخدام مواقع مخترقة أو حيل مثل ClickFix، وتستخدم نموذج الابتزاز المزدوج (تشفير + تسريب بيانات).

آبل تُخطر إيرانيين باستهدافهم ببرمجيات تجسس حكومية — أرسلت آبل إشعارات إلى أكثر من عشرة أشخاص في إيران، بينهم نشطاء ومهنيون تقنيون، تحذرهم من استهداف أجهزتهم ببرمجيات تجسس متقدمة.

خوادم لينكس مستهدفة ببرمجية SVF Bot — تستهدف حملة خوادم لينكس ضعيفة الإدارة ببرمجية SVF Bot، التي تُستخدم في هجمات DDoS عبر خادم Discord.

شركات تركية مستهدفة ببرمجية Snake Keylogger — تستهدف حملة تصيد شركات دفاع وجويًا بتركيا عبر رسائل مزيفة تُنسب لشركة TUSAŞ، وتُنفذ برمجية تسرق كلمات المرور والكوكيز.

مهندس سابق يعترف بسرقة أسرار تكنولوجية حساسة — اعترف تشنغوانغ غونغ، مهندس صيني-أمريكي سابق، بسرقة أكثر من 3,600 ملفًا تتعلق بتقنيات رصد الصواريخ الباليستية للجيش الأمريكي.

مكتب التحقيقات الفيدرالي يحذر من "العنف كخدمة" (VaaS) — حذر FBI من جماعة تُسمى IRL Com تقدم "العنف كخدمة"، مثل إطلاق نار، اختطاف، أو طعن، عبر منصات التواصل. وتُعد جزءًا من شبكة أوسع تُعرف بـ "The Com".

تفكيك عصابة إجرامية منظمة متورطة في احتيال واسع — دُمّرت عصابة من رومانيا نفذت احتيالًا مصرفيًا عبر سحب نقد من ماكينات الصراف الآلي باستخدام تقنية عكس المعاملة (TRF)، وسرقت ما يقارب 580,000 يورو.

Endgame Gear تُقرّ باختراق سلسلة التوريد — اعترفت الشركة المصنعة للمعدات الإلكترونية بإصابة صفحة منتج OP1w 4k v2 ببرمجية Xred، دون تسريب بيانات العملاء.

حملة WEEVILPROXY تستهدف مستخدمي العملات منذ مارس 2024 — استخدمت إعلانات فيسبوك وشبكة جوجل للإعلان عن برامج مزيفة لمنصات مثل Binance وKraken، بهدف سرقة العملات الرقمية.

VMDetector Loader يوزع برمجية Formbook عبر صور JPG — تُوزع برمجية Formbook عبر صور JPG تحتوي على الحمولة في بيانات البكسل، وتُجلب عبر روابط من archive.org.

المهاجمون يستخدمون أمر mount في هجمات على كاميرات Hikvision — يستغلون ثغرة CVE-2021-36260 لتركيب مشاركة NFS عن بُعد وتنفيذ ملف خبيث.

كيف يمكن تسليح مشغلات ويندوز؟ — كشف تحليل جديد عن تقنية BYOVD التي يستخدم فيها المهاجمون مشغلات موقعة لكنها معيبة للتحايل على حمايات النواة والسيطرة على النظام.

يزداد سطح الهجوم على المنظمات — وفقًا لـ ReliaQuest، ارتفع عدد المنافذ المكشوفة 27%، وعدد مفاتيح الوصول المكشوفة تضاعف بين أواخر 2024 وأوائل 2025.

البنك الإيراني باسارجاد مستهدف خلال صراع يونيو — تعرض البنك لهجوم إلكتروني خلال الصراع الإيراني-الإسرائيلي، وادعى فاعل يُدعى Predatory Sparrow المسؤولية.

عطل CrowdStrike أثر على أكثر من 750 مستشفى أمريكي — كشفت دراسة أن تحديثًا خاطئًا من CrowdStrike تسبب في تعطيل خدمات في 759 مستشفى، بما في ذلك خدمات طبية مباشرة.

مهاجمون من كوريا الشمالية يستخدمون طُعمًا مرتبطة بشركة NVIDIA — يستخدمون حيلًا تشبه ClickFix لخداع الباحثين عن عمل لتنزيل تحديث وهمي يُنفّذ برمجية PylangGhost.

مُتغيرة جديدة من ACRStealer تُوزع بأساليب تجنب الكشف — تستخدم تقنية Heaven's Gate لتنفيذ تعليمات x64 داخل عمليات WoW64، وتُباع الآن باسم Amatera Stealer.

مجموعة Aeza تُعيد توجيه بنيتها بعد العقوبات الأمريكية — بدأت في نقل عناوين IP من AS210644 إلى AS211522 (بموجب شركة Hypercore Ltd.) لتجنب العقوبات.

احتيالات "طلب اقتباس سعر" تُظهر تطورًا في التلاعب — يستخدم المهاجمون طلبات شراء حقيقية لسرقة منتجات إلكترونية باهظة، باستخدام تمويل Net وحسابات مسروقة.

ألعاب وهمية تُوزع برمجيات سرقة — تروج حملة لألعاب مستقلة عبر يوتيوب وديسكورد، وتُنفّذ برمجيات مثل Leet Stealer وRMC Stealer.

اللجنة الفيدرالية للاتصالات الأمريكية تخطط لحظر معدات صينية في الكابلات البحرية — تهدف القواعد الجديدة إلى حماية البنية التحتية للاتصالات تحت الماء من التهديدات الأجنبية.

الصين تحذر من أجهزة مُختَرَقة ومخاطر سلسلة التوريد — حذّرت وزارة الأمن الوطني الصينية من وجود ثغرات خلفية في الأجهزة والبرمجيات، وحثّت على استخدام أنظمة تشغيل محلية.

تُفكك بنية تحتية لمجموعة القرصنة NyashTeam — دمّرت شركة F6 الروسية شبكة نطاقات تُستخدم لبيع برمجيات DCRat وWebRAT عبر نموذج MaaS.

تُفصّل تقنية الهجوم RenderShock — تُعدّ هجومًا بدون نقر (zero-click) يستغل سلوك النظام الموثوق (مثل المعاينة التلقائية) لتنفيذ حمولات خبيثة عبر بيانات الملفات.

تُعدّ إشارات هذا الأسبوع دعوة للتأمل أكثر من كونها خاتمة: ما الذي قد نخطئ في تصنيفه؟ ما البيانات المألوفة التي قد تصبح ذات معنى من منظور مختلف؟ إذا كان العدو يفكر بنظم، وليس بأعراض، فعلينا أن نطور دفاعاتنا وفقًا لذلك. أحيانًا، لا يكون أفضل رد هو التصحيح — بل التغيير في المنظور. هناك قيمة في النظر مرتين إلى حيث توقف الآخرون عن النظر تمامًا.

تم التعديل في: 28 يوليو 2025