MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
weekly_recap

مراجعة أسبوعية: احتيال NFC، Curly COMrades، ثغرات N-able، بوابات Docker والمزيد

مراجعة أسبوعية لأهم التهديدات السيبرانية بما في ذلك حصان أندرويد PhantomCard يستغل NFC، ومجموعة APT Curly COMrades، وثغرات N-able N

مراجعة أسبوعية: احتيال NFC، Curly COMrades، ثغرات N-able، بوابات Docker والمزيد

مايسترو نيرو - قسم الأمن السيبراني

الطاقة لا تختفي في اختراق كبير واحد. ت熘 في الأمور الصغيرة - تصحيح مفقود، إعداد خاطئ، نظام لا أحد يراقبه. الأمن عادة لا يفشل دفعة واحدة؛ بل ينهار ببطء، ثم فجأة. البقاء في الأمان ليس حول معرفة كل شيء - بل حول التصرف بسرعة ووضوح قبل تراكم المشاكل. الوضوح يحافظ على السيطرة. التردد يخلق المخاطر.

تهديد الأسبوع:

Ghost Tap: احتيال NFC المتنقل ينطلق - أصبحت حصان أندرويد خبيث جديد يُسمى PhantomCard أحدث البرمجيات الخبيثة التي تستغل تقنية الاتصال القريب (NFC) لإجراء هجمات ترحيل تسهيل المعاملات الاحتيالية في هجمات تستهدف عملاء البنوك في البرازيل. في هذه الهجمات، يُطلب من المستخدمين الذين ينتهي بهم المطاف بتثبيت التطبيقات الخبيثة وضع بطاقة الائتمان/الخصم على ظهور الهاتف لبدء عملية التحقق، فقط لإرسال بيانات البطاقة إلى خادم ترحيل NFC تحت سيطرة المهاجم. تُمرر تفاصيل البطاقة المسروقة إلى وسطاء ماليين يربطون المعلومات بأنظمة الدفع بدون لمس مثل Apple Pay أو Google Pay شخصيًا للحصول على سلع مادية.

الأمان من الكود إلى السحابة:

سوء التكوين في السحابة لا ينتظر. ولا يجب عليك أيضًا. تسريع تطوير البنية التحتية كرمز (IaC)، ولكن حتى الأخطاء الصغيرة في القوالب يمكن أن تصبح مخاطر إنتاجية رئيسية - مثل حاويات S3 غير المشفرة أو إعدادات الوصول المفرطة. يوضح هذا الدليل الممارسات الجيدة كيفية إصلاح أخطاء IaC في المصدر لتأمين بيئة السحابة من البداية.

أهم الأخبار:

  • ثغرتان في N-able N-central تستغلان في البرية - تعرّضت ثغرتان أمنيتان تؤثران على N-able N-central للاستغلال النشط في البرية. الثغرتان، CVE-2025-8875 و CVE-2025-8876، تسمحان بتنفيذ الأوامر وحقن الأوامر على التوالي. تم معالجة المشكلات في إصدارات N-central 2025.3.1 و 2024.6 HF2 الصادرة في 13 أغسطس 2025. تحث N-able العملاء على التأكد من تمكين المصادقة متعددة العوامل (MFA)، خاصة لحسابات المسؤولين.
  • APT 'Curly COMrades' الجديد يستهدف جورجيا ومولدوفا - تم رصد فاعل تهديد غير موثق سابقًا يُدعى Curly COMrades يستهدف كيانات في جورجيا ومولدوفا كجزء من حملة تجسس سيبراني مصممة لتسهيل الوصول طويل المدى إلى الشبكات المستهدفة. النشاط، الذي تتبعته شركة أمن سيبراني رومانية منذ منتصف 2024، استهدف هياكل قضائية وحكومية في جورجيا، وكذلك شركة توزيع طاقة في مولدوفا. تم تقييم Curly COMrades على أنه يعمل بأهداف تتماشى مع الاستراتيجية الجيوسياسية لروسيا. تحصل اسمها من الاعتماد الكبير على أداة curl لنقل البيانات والتحكم، واختطاف كائنات نموذج الكائنات المكونة (COM). يتم تحقيق الوصول المستمر إلى نقاط النهاية المصابة من خلال بوابة خلفية مخصصة تُسمى MucorAgent.
  • تم العثور على بوابة XZ Utils في صور Docker Hub العشرات - تحتوي عدة صور Docker مبنية حول وقت اختراق XZ Utils على البوابة، وبعضها لا يزال متاحًا عبر مكتبة صور الحاويات Docker Hub. قال Binary إنه حدد 35 صورة Debian على Docker Hub تضمنت البوابة. وهذا يشمل 12 صورة Docker و23 صورة من الدرجة الثانية. الخلاصة الرئيسية هي أن المستخدمين يجب أن يعتمدوا فقط على الصور المحدثة. النتائج تشير إلى بقاء آثار تهديد سلسلة التوريد بعد أكثر من عام من كشف الحادث.
  • الولايات المتحدة توسع العقوبات على Garantex - فرضت وزارة الخزانة الأمريكية عقوبات على بورصة العملات المشفرة الروسية Garantex، وخليفتها Grinex، والشركات التابعة ذات الصلة كجزء من الجهود المستمرة للحكومة لوقف تدفق عائدات الفدية المُسهلة من قبل المنصات. يُقدر أن Garantex قد معالجت أكثر من 100 مليون دولار في المعاملات المرتبطة بالأنشطة غير المشروعة منذ 2019. "تلعب الأصول الرقمية دورًا حاسمًا في الابتكار الاقتصادي والتنمية العالمية، ولن تتسامح الولايات المتحدة مع إساءة استخدام هذه الصناعة لدعم الجرائم السيبرانية وتهرب العقوبات"، قالت وزارة الخزانة.
  • EncryptHub يستمر في استغلال ثغرة Windows لتهاجم السارقين - يستمر الفاعل الخبيث الموافق لروسيا المعروف باسم EncryptHub في استغلال ثغرة أمنية مصححة الآن تؤثر على Microsoft Windows لتقديم حمولات خبيثة، بما في ذلك سارق يُسمى Fickle Stealer. تجمع الحملة بين الهندسة الاجتماعية واستغلال ثغرة في إطار وحدة تحكم Microsoft (MMC) (CVE-2025-26633، المعروفة باسم MSC EvilTwin) لتشغيل روتين العدوى عبر ملف وحدة تحكم Microsoft (MSC) مزيف.

CVEs الشائعة:

المهاجمون لا ينتظرون - يضربون خلال ساعات من كشف الثغرة. تصحيح مفقود، خطأ مخفي، أو حتى CVE مهمل واحد كافٍ لتسليم المفاتيح لهم. ما يبدأ كـ "فجوة واحدة فقط" يمكن أن يتصاعد إلى اضطراب أو سرقة أو اختراق قبل أن يدرك المدافعون حدوثه. فيما يلي ثغرات الأسبوع عالية المخاطر. راجعها، صححها بسرعة، وابق ahead قبل أن يتحرك الآخرون أولاً.

تشمل قائمة هذا الأسبوع - CVE-2025-20265 (Cisco Secure Firewall Management Center)، CVE-2025-8671 (HTTP/2)، CVE-2025-8875، CVE-2025-8876 (N-able N-central)، CVE-2025-25256 (Fortinet FortiSIEM)، CVE-2025-53779 (Microsoft Windows)، CVE-2025-49457 (Zoom Clients for Windows)، CVE-2025-8355، CVE-2025-8356 (Xerox FreeFlow Core)، CVE-2025-30404، CVE-2025-30405، CVE-2025-1468 (OPC UA .NET Standard Stack)، CVE-2025-42950، CVE-2025-42957 (SAP)، CVE-2025-54472 (Apache bRPC)، CVE-2025-5456، CVE-2025-5462 (Ivanti Connect Secure)، CVE-2025-53652 (Jenkins)، CVE-2025-49090، CVE-2025-54315 (Matrix)، CVE-2025-52970 (Fortinet FortiWeb)، CVE-2025-7384 (Database for Contact Form 7، WPforms، Elementor forms plugin)، CVE-2025-53773 (GitHub Copilot)، CVE-2025-6186، CVE-2025-7739، CVE-2025-7734 (GitLab)، CVE-2025-8341 (Grafana Infinity Datasource Plugin)، CVE-2025-47227, CVE-2025-47228 (ScriptCase)، CVE-2025-30404، CVE-2025-30405، CVE-2025-54949، CVE-2025-54950، CVE-2025-54951، CVE-2025-54952 (Meta ExecuTorch)، CVE-2025-55154, and CVE-2025-55004 (ImageMagick).

حول العالم السيبراني:

  • ثغرات في برامج ZTNA - اكتشف باحثون في الأمن السيبراني ثغرات أمنية متعددة تؤثر على حلول الوصول إلى الشبكة ذات الثقة الصفرية (ZTNA) من Zscaler (CVE-2025-54982)، وNetSkope وCheck Point Perimeter 81 يمكن استغلالها من قبل المهاجمين لتصعيد الامتيازات على أجهزة المستخدمين النهائيين وتجاوز المصادقة بالكامل، ومنح الوصول إلى الموارد الداخلية كأي مستخدم. تأتي النتائج بعد اكتشاف نقاط ضعف حرجة في عميل Cato Networks، بما في ذلك واحدة يمكن أن تسمح لمهاجم بالحصول على السيطرة الإدارية الكاملة لجهاز المستخدم فقط بزيارة صفحة ويب خبيثة.
  • جوجل تعالج هجوم Promptware - عالجت جوجل مشكلة أمنية خطيرة سمحت بدعوات تقويم Google مزيفة للسيطرة على عوامل Gemini عن بُعد التي تعمل على جهاز الهدف، وتسريب بيانات المستخدم الحساسة، والسيطرة على أنظمة المنزل الذكي. يبدأ الهجوم المستهدف ببساطة بإرسال دعوة تقويم Google إلى ضحية اسمه يحتوي على حقن موجه غير مباشر. عندما يُطلب من مساعد الدردشة الذكي الرئيسي لجوجل تلخيص أحداث التقويم القادمة، يتم تفعيل تلك التعليمات الكامنة، مما يؤدي إلى فوضى في البيئة المادية، مثل التحكم عن بُعد بأجهزة منزل الضحية. تستخدم الهجمات نهجًا يُسمى استدعاء الأداة التلقائي المؤجل للتحايل على تدابير السلامة الحالية في جوجل. كما أنها تُظهر تأثيرًا جانبيًا محتملاً لامتيازات Gemini الواسعة لاتخاذ إجراءات عبر النظام البيئي لجوجل. "نتيجة لذلك، تمكنا من اختطاف سياق التطبيق، وتشغيل عوامله المتكاملة، واستغلال أذوناتها لتنفيذ مجموعة مذهلة من الأنشطة الخبيثة - بما في ذلك تحديد موقع الضحية، وتسجيل الضحية، وحتى إجراء تغييرات داخل البيئة المادية للضحية." يُظهر هذا النهج أن Promptware، وهو متغير من EchoLeak، قادر على تنفيذ كل من الحركة الجانبية بين العوامل، من خلال تشغيل نشاط خبيث بين عوامل Gemini المختلفة، والحركة الجانبية بين التطبيقات، من خلال الخروج من حدود Gemini والاستفادة من التطبيقات المثبتة على هاتف الضحية الذكي، لتنفيذ أنشطة خبيثة بعواقب حقيقية. تُظهر هجمات promptware أيضًا أن Gemini يمكن جعله يرسل روابط البريد العشوائي، ويولد محتوى فاحش، ويفتح تطبيق Zoom ويبدأ مكالمة، وي窃取 تفاصيل البريد الإلكتروني والاجتماعات من متصفح الويب، وينزل ملفًا من متصفح الهاتف الذكي. منذ ذلك الحين، أصدرت جوجل تصحيحات مثل تعزيز التفكير الأمني لمعالجة المشكلات. الحقن الموجه غير المباشر تهديد ذكي أكبر، حيث يتم إدخال الموجه الخبيث من مصدر خارجي، إما مضمنًا داخل صفحة ويب أو كنص بخط أبيض في بريد إلكتروني غير مرئي للعين المجردة، ولكن يمكن أن تحلله أنظمة الذكاء الاصطناعي. معالجة الحقن الموجه مشكلة صعبة لأن طرق خداع نماذج اللغة الكبيرة لا تتوقف عن التطور، ومساحة الهجوم تصبح في الوقت نفسه أكثر تعقيدًا.
  • Matter يضيف ميزات أمان جديدة - تلقت Matter، وهي بروتوكول اتصال موحد يعتمد على IP ومعيار تقني للأجهزة الذكية في المنزل وأجهزة إنترنت الأشياء (IoT)، تعزيزات أمنية عديدة في الإصدار 1.4.2، بما في ذلك (1) التسجيل عبر Wi-Fi فقط، مما يمكّن الأجهزة من التسجيل في أنظمة Matter عبر Wi-Fi دون الحاجة إلى راديو Bluetooth Low Energy (LE)، (2) التحقق من Vendor ID (VID)، مما يسمح للمتحكمين بالتحقق تشفيرياً من أن المشرفين المثبتين على الجهاز هم فعلاً من البائعين الذين يدّعون، (3) قوائم تقييد الوصول (ARLs)، التي توفر آلية لتقييد الوصول إلى الإعدادات والبيانات الحساسة للمتحكمات الموثوقة والمحققة فقط، و(4) قوائم إلغاء الشهادات (CRLs)، التي تقدم دعماً لإلغاء شهادات Device Attestation غير المستخدمة أو المخترقة.
  • يمكن اختراق الحافلات الذكية عن بُعد - اكتشف باحثون في الأمن السيبراني أن الحافلات الذكية التايوانية التي تتضمن أنظمة متنوعة لتحسين السلامة والكفاءة وتجربة الركاب، مثل خدمات النقل العام المتقدمة (APTS) وأنظمة مساعدة السائق المتقدمة (ADAS) يمكن اختراقها عن بُعد. أظهر البحث أنه من الممكن تجاوز مصادقة جهاز التوجيه على متن الطائرة والحصول على وصول غير مصرح به إلى واجهة إدارته، ثم السيطرة على وظائف APTS وADAS بسبب عدم وجود تجزئة للشبكة. يمكّن هذا المهاجم من الاستفادة من الوصول عن بُعد لتتبع حركات المركبة، أو التلاعب في الضوابط، أو الوصول إلى الكاميرا. تؤثر الثغرات على أجهزة التوجيه من BEC Technologies، والتي تُثبت عادة على الحافلات الذكية في تايوان.
  • Cmimai Stealer يُرى في البرية - تم رصد برمجية سارقة جديدة مكتوبة بلغة Visual Basic Script (VBS) تُسمى Cmimai Stealer في البرية منذ يونيو 2025، تستخدم إمكانيات لحصاد مجموعة واسعة من المعلومات من المضيفين المصابين وتسريب البيانات باستخدام خطاف ويب Discord. "إنها خفيفة الوزن وتفتقر إلى ميزات متقدمة مثل الاستمرارية عند إعادة تشغيل النظام، والتواصل المشفر، وسرقة بيانات الاعتماد؛ ربما عن تصميم"، قالت K7 Security. "على الرغم من أنها تجمع بيانات المتصفح ولقطات الشاشة، مما يجعلنا نصنفها كـ Infostealer، إلا أنها يمكن استخدامها لغرضين مزدوجين كسارق وأيضًا كأداة استطلاع من الدرجة الثانية تُستخدم لتخطيط الهجمات المستقبلية."

Windows Hello أم Windows Hell No؟ - قدم باحثون في الأمن السيبراني هجومًا جديدًا يستهدف Windows Hello for Business (WHfB) يستغل نظام تخزين وحدة القياسات الحيوية لإجراء هجمات تجاوز. في الأساس، يمكن للهجوم تسهيل حقن القياسات الحيوية من كمبيوتر آخر مما يخترق المصادقة الحيوية، ومنح الوصول إلى أي وجه أو بصمة مقدمة. أظهر بحث ERNW أن المشرف المحلي، أو أي شخص لديه وصول إلى بيانات الاعتماد الخاصة بهم عبر البرمجيات الخبيثة أو وسائل أخرى، يمكنه حقن معلومات حيوية في كمبيوتر يسمح له بالتعرف على أي وجه أو بصمة. بينما تكون قوالب القياسات الحيوية "مشفرة"، يمكن للمشرف المحلي تبادل ميزات القياسات الحيوية في قاعدة البيانات، مما يسمح بالمصادقة باسم أي مستخدم مسجل بالفعل في النظام المستهدف، بما في ذلك إمكانية الحركة الجانبية من خلال انتحال هوية مسؤول المجال. تمنع Microsoft's Enhanced Sign-in Security (ESS)، التي تعمل على مستوى الثقة الافتراضي الأعلى (VTL1)، هذا الخط من الهجوم.

نصيحة الأسبوع:

أذونات الحافظة - تسرب بيانات مخفي ينتظر أن يحدث - يعتقد معظم الناس أن حافظتهم غير ضارة - نسخ بعض النصوص، ولصقه حيث تحتاجه، وانتهى. ولكن في المتصفحات الحديثة مثل Chrome، الحافظة مساحة مشتركة بين جهاز الكمبيوتر وأي موقع ويب تمنحه الإذن للوصول. بمجرد السماح، يمكن لأي موقع قراءة أي شيء موجود حاليًا في حافظتك - ليس فقط ما نسخته من ذلك الموقع، ولكن من أي مكان: مدير كلمات المرور الخاص بك، أو ملف PDF، أو مستند مؤسسي، أو حتى ملاحظات آمنة.

الخطر ليس مجرد "شذوذ تقني" - الوصول إلى الحافظة هدف معروف للمهاجمين لأنه يتجاوز العديد من حدود الأمان. إذا سمحت لموقع بقراءة حافظتك:

يمكنه قراءة بيانات حساسة من تطبيقات أخرى - (مثل كلمات المرور، أو الهويات الشخصية، أو معلومات البنك) إذا كانت تلك البيانات في حافظتك أثناء فتح الموقع.

يمكنه قراءة أكثر من ما تلصقه - بمجرد منح الإذن، يمكن لموقع قراءة حافظتك عندما تتفاعل معه (مثل النقر على زر). يمكنه رؤية البيانات المنسوخة من أي مكان، وليس فقط من ذلك الموقع.

silent - لا توجد نافذة منبثقة أو تنبيه لكل قراءة. لن تعرف أنها تحدث.

على سبيل المثال، تسمح لـ design-tool[.]com بقراءة حافظتك لأنك تريد لصق صورة مباشرة في الموقع. لاحقًا في اليوم، تنسخ:

كلمة مرور من مدير كلمات المرور الخاص بك،

مقتطف بريد إلكتروني سري لعميل،

أو عنوان محفظة عملة رقمية.

أثناء العمل في design-tool[.]com، يمكن لرمز الموقع (بشكل خبيث أو بسبب اختراق) إرسال كل قراءة للحافظة إلى خادم بعيد - دون الضغط على "لصق" أبدًا.

على عكس تنزيلات الملفات أو الوصول إلى الميكروفون، إذن حافظة Chrome هي "كل شيء أو لا شيء" لذلك الموقع. بمجرد السماح، يمكن للموقع القراءة متى شاء حتى تلغي الإذن يدويًا.

ما يمكنك فعله:

  • امنح الوصول فقط عند الحاجة: انتقل إلى chrome://settings/content/clipboard وقم بتعيين الأذونات على "اسأل قبل الوصول."
  • ألغِ الوصول بعد الاستخدام: انقر على رمز القفل بجوار شريط العنوان → إعدادات الموقع → احجب الوصول إلى الحافظة.
  • استخدم ملفات تعريف منفصلة: احتفظ بالمواقع الموثوقة للحافظة في ملف تعريف Chrome مخصص؛ أغلقه عند عدم الاستخدام.
  • تجنب نسخ البيانات الحساسة أثناء فتح موقع: إذا كان يجب عليك نسخ معلومات حساسة، أغلق علامة التبويب لأي موقع لديه أذونات للحافظة أولاً.

الوصول إلى الحافظة مثل إعطاء غريب نافذة على مكتبك - قد تريده أن ينظر مرة واحدة فقط، ولكن إذا تركت النافذة مفتوحة، يمكنه الاستمرار في النظر دون سؤال. تعامل مع أذونات الحافظة بعناية مثل الوصول إلى الكاميرا أو الميكروفون.

الخلاصة:

السرعة لا تتباطأ، والمخاطر لا تنتظر. كل تأخير، وكل نقطة عمياء، تصبح فرصة يستخدمها الآخرون. ما هو عاجل ليس فقط التصحيح أو التفاعل - بل البقاء خطوة واحدة أمامهم.

آخر تحديث: 7 أكتوبر 2025

```