MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
Access

ThreatsDay Bulletin: Codespaces RCE, AsyncRAT C2, BYOVD Abuse, AI Cloud Intrusions & 15+ Stories


نشرة ThreatsDay: ثغرات Codespaces، وبوتنت AsyncRAT، وإساءة استخدام BYOVD، واختراقات السحاب بالذكاء الاصطناعي و15+ قصة أخرى

05 فبراير 2026 | المايسترو نيرو - قسم الأمن السيبراني / أخبار الاختراق

لم يفرز هذا الأسبوع عنواناً واحداً ضخماً، بل أنتج العديد من الإشارات الصغيرة — من النوع الذي يشكل بهدوء شكل الهجمات القادمة.

تتبع الباحثون عمليات اقتحام تبدأ في أماكن عادية: سير عمل المطورين، والأدوات عن بعد، والوصول السحابي، ومسارات الهوية، وحتى إجراءات المستخدم الروتينية. لم يبدُ أي شيء درامياً على السطح. وهذه هي النقطة. أصبح الدخول أقل وضوحاً بينما يتسع التأثير لاحقاً.

"تُظهر العديد من النتائج أيضاً كيف يقوم المهاجمون بـ 'تصنيع' عملهم — بنية تحتية مشتركة، وكتب لعب قابلة للتكرار، ووصول مؤجر، وأنظمة بيئية بأسلوب الامتيازات (Affiliate). لم تعد العمليات حملات معزولة. إنها تدار مثل الخدمات."

تجمع هذه الطبعة تلك الشظايا معاً — تحديثات قصيرة ودقيقة تظهر أين تنضج التقنيات، وأين يتسع الانكشاف، وما هي الأنماط التي تتشكل خلف الضجيج.

توسع التجسس على الشركات الناشئة: عملية Nomad Leopard تستهدف أفغانستان

في إشارة إلى أن الفاعل التهديدي قد تجاوز الأهداف الحكومية، لوحظ أن مجموعة APT36 المنحازة لباكستان (المعروفة بـ Transparent Tribe) تستهدف النظام البيئي للشركات الناشئة في الهند، باستخدام ملفات ISO واختصارات LNK خبيثة تستخدم طعوماً حساسة خاصة بالشركات الناشئة لتقديم برمجية Crimson RAT، مما يتيح المراقبة الشاملة واستخراج البيانات واستطلاع النظام.

ناقل الوصول الأولي هو رسالة بريد إلكتروني للتصيد المستهدف تحمل صورة ISO. بمجرد تنفيذها، يحتوي ISO على ملف اختصار ضار ومجلد يحتوي على ثلاثة ملفات: مستند تمويهي، وسكريبت دفعي يعمل كآلية للاستمرار، وحمولة Crimson RAT النهائية، المتخفية كملف تنفيذي باسم Excel.

"على الرغم من هذا التوسع، تظل الحملة متماشية بشكل وثيق مع التركيز التاريخي لـ Transparent Tribe على جمع المعلومات الاستخباراتية المجاورة للحكومة والدفاع الهندي، مع وجود تداخل يشير إلى أن الأفراد المرتبطين بالشركات الناشئة قد يتم استهدافهم لقربهم من الحكومة أو إنفاذ القانون أو العمليات الأمنية،" كما قالت Acronis.

البنية التحتية المشتركة للجرائم الإلكترونية: ShadowSyndicate ترتقي بتكتيكات جديدة

تم ربط كتلة النشاط التهديدي المعروفة باسم ShadowSyndicate بعلامتي SSH إضافيتين تربطان عشرات الخوادم بنفس مشغل الجرائم الإلكترونية. يتم استخدام هؤلاء المضيفين بعد ذلك لمجموعة واسعة من الأنشطة الضارة من قبل مجموعات تهديد مختلفة مرتبطة بـ Cl0p وBlackCat وRyuk وMalsmoke وBlack Basta.

من النتائج الملحوظة أن الفاعل التهديدي يميل إلى نقل الخوادم بين مجموعات SSH الخاصة بهم. تستمر ShadowSyndicate في الارتباط بمجموعات أدوات تشمل Cobalt Strike وMetasploit وHavoc وMythic وSliver وAsyncRAT وMeshAgent وBrute Ratel.

"يميل الفاعل التهديدي إلى إعادة استخدام البنية التحتية المستخدمة سابقاً، وأحياناً يقوم بتدوير مفاتيح SSH مختلفة عبر خوادمهم،" كما قالت Group-IB. "إذا تم تنفيذ مثل هذه التقنية بشكل صحيح، يتم نقل البنية التحتية لاحقاً، تماماً كما هو الحال في سيناريو شرعي، عندما يذهب الخادم إلى مستخدم جديد."

توسع برامج الفدية في قائمة KEV: وكالة CISA تحدد 59 ثغرة مستغلة

قامت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) بتعديل 59 إشعاراً لثغرات مستغلة بنشاط في عام 2025 لتعكس استخدامها من قبل مجموعات برامج الفدية. تتضمن القائمة 16 إدخالاً لشركة Microsoft، وستة لشركة Ivanti، وخمسة لشركة Fortinet، وثلاثة لشركة Palo Alto Networks، وثلاثة لشركة Zimbra.

قال جلين ثورب من GreyNoise: "عندما تتحول الحالة من 'غير معروف' إلى 'معروف'، قم بإعادة التقييم، خاصة إذا كنت قد قللت من أولوية هذا التصحيح لأنه 'ليس مرتبطاً ببرامج الفدية بعد'."

اعتقالات التجسس وDDoS: السلطات البولندية تحتجز شخصين

احتجزت السلطات البولندية موظفاً يبلغ من العمر 60 عاماً في وزارة الدفاع في البلاد للاشتباه في تجسسه لصالح وكالة استخبارات أجنبية. وقال المسؤولون إن المشتبه به كان يعمل في قسم الاستراتيجية والتخطيط بوزارة الدفاع الوطني، بما في ذلك مشاريع التحديث العسكري. وبينما لم يتم الكشف عن اسم الدولة، صرح مسؤولون حكوميون بولنديون لوسائل الإعلام المحلية بأن المشتبه به عمل مع أجهزة المخابرات الروسية والبيلاروسية.

في تطور ذي صلة، قال المكتب المركزي لمكافحة الجرائم الإلكترونية في بولندا (CBZC) إنه تم القبض على رجل يبلغ من العمر 20 عاماً بتهمة إجراء هجمات حجب الخدمة الموزعة (DDoS) على مواقع ويب بارزة، بما في ذلك تلك ذات الأهمية الاستراتيجية. يواجه الفرد ست تهم وعقوبة سجن محتملة لمدة خمس سنوات.

نواقل RCE في Codespaces: هجمات سلسلة التوريد في GitHub

تم الكشف عن نواقل هجوم متعددة في GitHub Codespaces تسمح بتنفيذ الأوامر عن بعد بمجرد فتح مستودع خبيث أو طلب سحب. تتضمن النواقل المحددة:

  • (1) .vscode/settings.json مع حقن PROMPT_COMMAND
  • (2) .devcontainer/devcontainer.json مع حقن postCreateCommand
  • (3) .vscode/tasks.json مع مهام التشغيل التلقائي folderOpen

"من خلال إساءة استخدام ملفات التكوين المدمجة في VSCode التي تحترمها Codespaces تلقائياً، يمكن للخصم تنفيذ أوامر عشوائية، واستخراج رموز GitHub والأسرار، وحتى إساءة استخدام واجهات برمجة التطبيقات المخفية للوصول إلى نماذج Copilot المتميزة،" كما قال الباحث في Orca Security، روي نيسيمي.

وقد اعتبرت Microsoft هذا السلوك مقصوداً بحكم التصميم.

استهداف التمويل في الشمال: مجموعة Lazarus مرتبطة بحملة جديدة

تم استهداف القطاع المالي في دول الشمال الأوروبي من قبل مجموعة Lazarus المرتبطة بكوريا الشمالية كجزء من حملة طويلة الأمد يطلق عليها اسم Contagious Interview والتي تقوم بإسقاط سارق وتنزيل برمجية باسم BeaverTail.

قالت TRUESEC: "تحتوي BeaverTail على وظائف ستبحث تلقائياً في جهاز الضحية عن البيانات المتعلقة بالعملات المشفرة، ولكن يمكن استخدامها أيضاً كأداة وصول عن بعد لمزيد من الهجمات".

قوة DDoS المتطوعة: تفاصيل NoName057(16) ومشروع DDoSia

في تحليل جديد، قالت SOCRadar إن مجموعة القراصنة المؤيدة لروسيا المعروفة باسم NoName057(16) تستخدم سلاح DDoS موزعاً من قبل متطوعين يسمى مشروع DDoSia لتعطيل المواقع الحكومية والإعلامية والمؤسسية المرتبطة بأوكرانيا والمصالح السياسية الغربية.

من خلال قنوات تيليجرام نشطة تضم أكثر من 20,000 متابع، تؤطر المجموعة الهجمات التعطيلية (ولكن غير المدمرة) على أنها "دفاع عن النفس" ضد العدوان الغربي وتوفر أدلة فورية على الاضطرابات الناجحة. غالباً ما تتزامن حملاتها المدفوعة أيديولوجياً مع الأحداث الجيوسياسية الكبرى، لمواجهة العقوبات وإعلانات المساعدات العسكرية بهجمات إلكترونية انتقامية.

"على عكس البوتنت التقليدية التي تخترق الأنظمة دون علم المستخدم، تعمل DDoSia على فرضية مقلقة: الآلاف من المشاركين الراغبين يقومون بتثبيت الأداة عن علم وتنسيق الهجمات ضد الأهداف التي يحددها مشغلو المجموعة،" كما قالت SOCRadar.

استنزاف العملات المشفرة بالعمولة: Rublevka Team

تتخصص عملية إجرامية إلكترونية كبرى يطلق عليها اسم Rublevka Team في سرقة العملات المشفرة على نطاق واسع منذ إنشائها في عام 2023، مما أدى إلى توليد أكثر من 10 ملايين دولار من خلال حملات استنزاف المحافظ المدفوعة بالعمولة.

قالت Recorded Future: "يعد فريق Rublevka مثالاً على 'فريق الاتجار'، المكون من شبكة من الآلاف من المتخصصين في الهندسة الاجتماعية المكلفين بتوجيه حركة مرور الضحايا إلى الصفحات الضارة". "على عكس الأساليب التقليدية المستندة إلى البرامج الضارة، ينشر فريق Rublevka نصوص JavaScript مخصصة عبر صفحات هبوط مزيفة تنتحل صفة خدمات التشفير الشرعية."

يوفر Rublevka Team للشركات التابعة إمكانية الوصول إلى روبوتات Telegram المؤتمتة بالكامل، ومولدات صفحات الهبوط، وميزات التهرب، ودعم لأكثر من 90 نوعاً من المحافظ.

الموعد النهائي لإيقاف TLS: مايكروسوفت تحث على الانتقال إلى TLS 1.2

تحث مايكروسوفت العملاء على تأمين بنيتهم التحتية باستخدام بروتوكول أمان طبقة النقل (TLS) الإصدار 1.2 لخدمة Azure Blob Storage، وإزالة الاعتمادات على إصداري TLS 1.0 و 1.1.

قالت مايكروسوفت: "في 3 فبراير 2026، ستتوقف Azure Blob Storage عن دعم الإصدارين 1.0 و 1.1 من أمان طبقة النقل (TLS). سيصبح TLS 1.2 هو الحد الأدنى الجديد لإصدار TLS. يؤثر هذا التغيير على جميع حسابات التخزين الحالية والجديدة التي تستخدم TLS 1.0 و 1.1 في جميع السحب."

الهندسة الاجتماعية للبريد الصوتي: طُعم باللغة الألمانية يقود إلى الوصول عن بعد

في حملة جديدة، تم العثور على رسائل بريد صوتي مزيفة ذات نطاقات فرعية بنمط مصرفي توجه الأهداف إلى تجربة "استمع إلى رسالتك" المقنعة والمصممة لتبدو روتينية وجديرة بالثقة. في الواقع، يؤدي الهجوم إلى نشر Remotely RMM، وهو برنامج وصول عن بعد شرعي، يسجل نظام الضحية في بيئة يسيطر عليها المهاجم.

قالت Censys: "يعتمد التدفق على الهندسة الاجتماعية بدلاً من الثغرات، باستخدام الطعوم لإقناع المستخدمين بالموافقة على خطوات التثبيت. الهدف النهائي هو تثبيت أداة RMM (المراقبة والإدارة عن بعد)."

بوتنت بروكسي عالمي: SystemBC لديه أكثر من 10 آلاف عنوان IP مصاب

تم ربط عملية برمجيات خبيثة طويلة الأمد تعرف باسم SystemBC (المعروفة أيضاً باسم Coroxy أو DroxiDat) بأكثر من 10,000 عنوان IP مصاب عالمياً، بما في ذلك الأنظمة المرتبطة بالبنية التحتية الحكومية الحساسة في بوركينا فاسو وفيتنام. لوحظ أعلى تركيز لعناوين IP المصابة في الولايات المتحدة، تليها ألمانيا وفرنسا وسنغافورة والهند.

تُستخدم البرمجية الخبيثة عادة لتمرير حركة المرور عبر الأنظمة المخترقة، أو للحفاظ على الوصول المستمر للشبكات الداخلية، أو نشر برمجيات خبيثة إضافية. قالت Silent Push: "تشكل البنية التحتية المرتبطة بـ SystemBC خطراً مستداماً نظراً لدورها المبكر في سلاسل الاقتحام واستخدامها عبر العديد من الجهات الفاعلة في التهديد."

الوصول الأولي عبر شاشة التوقف: ملفات SCR تؤدي إلى نشر RMM

لوحظت حملة تصيد جديدة تستخدم طعوماً تجارية لاستدراج المستخدمين لتشغيل ملف شاشة توقف Windows (.SCR) يقوم بتثبيت أداة RMM شرعية مثل SimpleHelp بشكل سري، مما يمنح المهاجمين تحكماً تفاعلياً عن بعد.

قالت ReliaQuest: "تم بناء سلسلة التسليم لتفادي الدفاعات القائمة على السمعة من خلال الاختباء وراء خدمات موثوقة. ملفات SCR هي ناقل وصول أولي موثوق لأنها ملفات تنفيذية لا تتلقى دائماً ضوابط مستوى التنفيذ. عندما يقوم المستخدمون بتنزيلها وتشغيلها، يمكن للمهاجمين تشغيل تنفيذ التعليمات البرمجية مع تجاوز السياسات المضبوطة لملفات EXE وMSI."

تصعيد إساءة استخدام التعريفات: هجمات BYOVD تصبح المعيار

تستغل الجهات الفاعلة في التهديد تعريف نواة شرعياً ولكنه ملغى لبرنامج Guidance Software (EnCase) كجزء من هجوم "أحضر تعريفك الضعيف الخاص" (BYOVD) لرفع الامتيازات ومحاولة نزع سلاح 59 أداة أمنية.

في هجوم لوحظ في وقت سابق من هذا الشهر، استفاد المهاجمون من بيانات اعتماد SonicWall SSL-VPN المخترقة للحصول على وصول أولي ونشروا EDR أساء استخدام التعريف ("EnPortv.sys") لإنهاء العمليات الأمنية من وضع النواة (Kernel Mode).

"انتهت صلاحية شهادة تعريف EnCase في عام 2010 وتم إلغاؤها لاحقاً، ومع ذلك لا يزال Windows يقوم بتحميلها، وهي فجوة في فرض توقيع التعريف يستمر المهاجمون في استغلالها،" كما قال باحثو Huntress.

خطأ تشفير في برمجية الفدية: خلل في متغير VMware ESXi لفدية Nitrogen

اكتشف باحثو الأمن خطأ برمجياً في Nitrogen Ransomware يتسبب في تشفير جميع الملفات باستخدام المفتاح العام الخاطئ، مما يؤدي إلى إتلافها بشكل لا رجعة فيه.

قالت Coveware: "هذا يعني أنه حتى الفاعل التهديدي غير قادر على فك تشفيرها، وأن الضحايا الذين ليس لديهم نسخ احتياطية قابلة للتطبيق ليس لديهم القدرة على استعادة خوادم ESXi المشفرة الخاصة بهم. دفع الفدية لن يساعد هؤلاء الضحايا، لأن مفتاح/أداة فك التشفير لن تعمل."

تصعيد السحابة بالذكاء الاصطناعي: هجوم يحقق وصول المسؤول في أقل من 10 دقائق

انتقلت عملية سحابية هجومية تستهدف بيئة Amazon Web Services (AWS) من الوصول الأولي إلى الامتيازات الإدارية في ثماني دقائق. على الرغم من سرعة الهجوم، قالت Sysdig إن النشاط يحمل بصمات استخدام نموذج اللغة الكبير (LLM) لأتمتة الاستطلاع، وتوليد التعليمات البرمجية الضارة، واتخاذ قرارات في الوقت الفعلي.

"حصل الفاعل التهديدي على وصول أولي لحساب AWS الخاص بالضحية من خلال بيانات اعتماد تم اكتشافها في دلاء S3 العامة. ثم، قاموا بتصعيد الامتيازات بسرعة من خلال حقن كود دالة Lambda، وتحركوا أفقياً عبر 19 مديراً فريداً في AWS، وأساءوا استخدام Amazon Bedrock من أجل LLMjacking، وأطلقوا حالات GPU لتدريب النماذج."

سلسلة التصيد السحابي: حملة Dropbox وهمية تسرق البيانات

استخدم مخطط تصيد رسائل بريد إلكتروني تحت عنوان المشتريات والمناقصات لتوزيع مرفقات PDF تبدأ سلسلة هجوم متعددة المراحل لسرقة بيانات اعتماد Dropbox الخاصة بالمستخدمين وإرسالها إلى روبوت Telegram. بمجرد نقل البيانات، تحاكي عملية تسجيل الدخول باستخدام تأخير لمدة 5 ثوانٍ وتم تكوينها لعرض رسالة خطأ "بريد إلكتروني أو كلمة مرور غير صالحة".

قالت Forcepoint: "تعتمد السلسلة الخبيثة على بنية تحتية سحابية تبدو شرعية، مثل تخزين Vercel Blob، لاستضافة ملف PDF يعيد توجيه الضحايا في النهاية إلى صفحة انتحال Dropbox. نظراً لأن Dropbox علامة تجارية مألوفة وموثوقة، بدا طلب بيانات الاعتماد معقولاً للمستخدمين المطمئنين."

ثغرة الهروب من الصندوق الرملي: خلل حرج في Sandboxie

تم الكشف عن ثغرة أمنية مصنفة كحرجة في Sandboxie (CVE-2025-64721، درجة CVSS: 9.9) والتي، إذا تم استغلالها بنجاح، يمكن أن تسمح للعمليات الموجودة داخل الصندوق الرملي بتنفيذ تعليمات برمجية عشوائية بصلاحيات SYSTEM، مما يؤدي إلى اختراق المضيف بالكامل.

تكمن المشكلة في خدمة تسمى "SboxSvc.exe". قال الباحث Mav Levin: "ترك الاعتماد على حساب المؤشر اليدوي بنمط C بدلاً من تعريف واجهة آمنة فجوة. فحص تجاوز عدد صحيح مفقود واحد، إلى جانب الثقة الضمنية في أطوال الرسائل المقدمة من العميل، حول 'المسؤول البالغ' إلى ضحية."

البنية التحتية لـ AsyncRAT مكشوفة: رسم خرائط نشاط C2

قالت منصة إدارة سطح الهجوم Censys إنها تتعقب 57 مضيفاً نشطاً مرتبطاً بـ AsyncRAT مكشوفاً على الإنترنت العام اعتباراً من يناير 2026. تم إصدار AsyncRAT لأول مرة في عام 2019، ويتيح الوصول غير المصرح به طويل الأمد، وسرقة بيانات الاعتماد.

من بين الأصول الـ 57، يتم استضافة الأغلبية على شبكات APIVERSA وContabo وAS-COLOCROSSING، مما يشير إلى أن المشغلين يعطون الأولوية للاستضافة منخفضة التكلفة والمتسامحة مع الإساءة.

تداخل التكتيكات: Violet Typhoon و Volt Typhoon

كشف تحليل للحملات المختلفة التي شنتها مجموعات القرصنة الصينية Violet Typhoon و Volt Typhoon عن استخدام بعض التكتيكات المشتركة: استغلال ثغرات اليوم الصفر في الأجهزة الطرفية، وتقنيات العيش خارج الأرض (LotL) لاجتياز الشبكات، وشبكات صندوق الترحيل التشغيلي (ORB) لإخفاء عمليات التجسس.

قالت Intel471: "ليس من المؤكد فقط أن الجهات الفاعلة في التهديد للدولة القومية الصينية ستستمر في متابعة الأهداف عالية القيمة، بل من المحتمل أن توسع عملياتها لاستهداف أكبر عدد ممكن من الكيانات في كل منطقة."

زيادة توزيع ClickFix: من ErrTraffic إلى IClickFix

يستخدم الفاعلون في التهديد إطار عمل يسمى IClickFix يمكن استخدامه لبناء صفحات ClickFix على مواقع WordPress المخترقة. وفقاً لشركة Sekoia، كان إطار العمل نشطاً على أكثر من 3,800 موقع منذ ديسمبر 2024. يستخدم هذا التجمع إطار عمل JavaScript خبيثاً يتم حقنه لعرض طُعم ClickFix وتقديم NetSupport RAT.

عبر هذه التحديثات، الخيط المشترك هو الكفاءة التشغيلية. يقوم المهاجمون بتقليص الوقت بين الوصول والتأثير، وإزالة الاحتكاك من الأدوات، والاعتماد بشكل أكبر على الأتمتة. السرعة لم تعد نتاجاً ثانوياً — إنها هدف التصميم.

آخر تحديث: 05 فبراير 2026