الصفحة الرئيسية
الأرشيف

موجز أمني عاجل: تهديدات سيبرانية حديثة

ملخص احترافي لحملات البرمجيات الخبيثة، استغلال Microsoft Teams، سرقات العملات المشفّرة، حملات التضليل بالذكاء الاصطناعي، ثغرات الأجهزة والبرامج.
Cybersecurity Arab

التهديدات السيبرانية تتطور بوتيرة سريعة. يجمع المهاجمون الآن بين الهندسة الاجتماعية، التلاعب المدعوم بالذكاء الاصطناعي، واستغلال الخدمات السحابية لاختراق أهداف كانت تُعتبر آمنة سابقًا. من منصات التواصل إلى الأجهزة المتصلة، كل ميزة تسهّل حياتنا قد تُوسّع سطح الهجوم. الدفاع اليوم يحتاج إلى وعي، مرونة، ومسؤولية مشتركة.

استهداف MS Teams، اختطاف حسابات MFA، عملية كريبتو بقيمة 2 مليار$ وتحقيقات آبل في Siri

كيف يستغل المهاجمون Microsoft Teams

تشير تقارير مايكروسوفت إلى أن الجهات الخبيثة تستغل منصة Microsoft Teams على امتداد سلسلة الهجوم: استطلاع، تطوير موارد مزيفة، وصول أولي عبر رسائل تصيد أو ملفات مخادعة، المحافظة على الوصول، ثم جمع المعلومات وتسريبها أو استخدامها للابتزاز.

أمثلة على التكتيكات

  • إعادة تعيين كلمات المرور عبر خداع الموظفين للحصول على السيطرة على المصادقة متعددة العوامل (MFA).
  • استخدام الرسائل داخل Teams للضغط على الضحايا وفرض فدية.
  • البحث داخل المحادثات والملفات لاستخراج بيانات حساسة أو مفاتيح وصول.

توصيات سريعة

  • تعزيز حماية الهويات: فرض MFA قوي، مراقبة محاولات إعادة التعيين، والانتقال لأساليب Passwordless حيث أمكن.
  • تأمين تطبيق Teams والنهايات الطرفية (Endpoint security)، وتقييد صلاحيات التطبيقات والإضافات.
  • مراجعة وضبط سياسات الوصول الضيف وتقليل نفوذ الضيوف غير الضروري.

حملة برمجية خبيثة جديدة: ملفات LNK وPowerShell dropper وDLL implant

رُصدت حملة توزّع أرشيفات ZIP ذات مواضيع مثل جوازات السفر أو دفعات مالية، تحتوي على ملفات اختصار Windows (.LNK) الخبيثة. هذه الملفات تقوم بتشغيل PowerShell dropper الذي يقوم بدوره بتحميل زرع DLL على الأجهزة المصابة.

سمات تقنية بارزة

  • تنفيذ الزرع عبر rundll32.exe مع استدعاء تصدير معيّن (مثلاً: JMB).
  • أساليب تفادي بسيطة لكنها فعّالة: تجميع أسماء الدوال من مصفوفات بايت، كتم خرج الأوامر، مسح الكونسول، وتبديل أسماء ملفات الخادم على أساس عمليات مضاد الفيروسات الشائعة.
  • تشغيل الزرع في سياق المستخدم لتقليل الشذوذ واندماجه في نشاطات Windows الطبيعية.

إجراءات وقائية

  • منع تنفيذ ملفات .LNK من مصادر غير موثوقة عبر سياسات مكافحة البرمجيات الضارة أو إعدادات الـ EDR.
  • عزل وفحص مرفقات ZIP فيبيئات sandbox قبل فتحها، وتفعيل فلترة البريد مع فحص الحزم المضغوطة.
  • مراقبة استدعاءات rundll32.exe وPowerShell غير العادية والأنماط التي تدل على بناء سلاسل من بايتات.
مخطط استغلال Microsoft Teams

مخطط استغلال Microsoft Teams

تُبيّن هذه الصورة سلسلة الهجوم المحتملة داخل بيئة Microsoft Teams: يبدأ المهاجم بالاستطلاع (اكتشاف المستخدمين والمجموعات وإعدادات المستأجرين)، ثم يبني موارد مزيفة أو ينخدع مستخدمون لفتح روابط/malware، يلي ذلك الوصول الأولي عبر رسائل مزيفة أو مرفقات، ثم الحفاظ على الوصول عبر حسابات ضيف أو رموز أجهزة، ثم تنفيذ حمولات خبيثة، تصعيد الصلاحيات، جمع البيانات الحساسة من المحادثات والملفات، وأخيرًا تسريب البيانات أو استخدامها للابتزاز عبر قنوات Teams أو روابط سحابية.

التركيز في المشهد الحقيقي عادةً على: حماية الهوية، مراقبة النشاطات غير الاعتيادية داخل Teams، وسياسات صارمة على الوصولات الخارجية والضيوف.

حملات تضليل بالذكاء الاصطناعي - PRISONBREAK

تقرير Citizen Lab أظهر شبكة من حسابات على X تستخدم deepfakes ومحتوى مولَّد بالذكاء الاصطناعي لنشر دعاية مناهضة للحكومة الإيرانية باسم PRISONBREAK. الحسابات أنشئت في 2023 وبقيت خاملة حتى بداية 2025، ثم بدأت بنشر محتوى استهدف مجتمعات كبيرة وربما استخدمت دعمًا مدفوعًا للوصول.

كيفية المواجهة

  • تعزيز آليات التحقق من المصدر والتحقق الصحفي قبل إعادة النشر.
  • استعمال أدوات كشف الوسائط المزيفة وتقنيات التحقق من الهوية الرقمية للمحتوى.
  • التعاون مع المنصات لتحديد الحسابات المنسقة وإيقاف الترويج المدفوع للحملات الخبيثة.

ثغرات بارزة وتأثيراتها

Autodesk Revit — CVE-2025-5037

ثغرة في تحليل ملفات Revit يمكن استغلالها لتنفيذ رمز عن بُعد (RCE) موثوق، خاصة عند سوء تهيئة خدمات سحابية مرتبطة.

YoLink Smart Hub — CVE-2025-59448 ومرتبطات

ثغرات تسمح بتجاوز التفويض، كشف بيانات الاعتماد، والتحكم عن بعد بالأجهزة المنزلية—مما قد يؤدي إلى مخاطر سلامة فعلية مثل فتح الأبواب أو تشغيل الأجهزة الكهربائية عن بُعد.

Tesla TCU — CVE-2025-34251

تجاوز لإقفال ADB يسمح بكتابة ملفات عشوائية وتنفيذ كود بصلاحيات الروت على وحدة التحكم التليماتية عند وجود وصول مادي للمنفذ USB.

سرقات العملات المشفّرة: ارتباطات بكوريا الشمالية

سجّل عام 2025 سرقات تقارب 2 مليار دولار من أصول العملات المشفرة نسبت إلى مجموعات مرتبطة بكوريا الشمالية، كان من بينها اختراق Bybit الذي سرق نحو 1.46 مليار دولار. الحملة اعتمدت على استهداف بورصات، خدمات وسيطة، وأفراد ذوي ثروات عالية مع استخدام تقنيات تحويل وغسيل متقدمة.

أدوات وخدمات مساعدة للبرمجيات الخبيثة

Asgard Protector

خدمة crypter تُستخدم لإخفاء حمولات خبيثة (مثل Lumma Stealer) عبر حقنها في الذاكرة باستخدام تقنيات AutoIt وNullsoft لتفادي الكشف.

WARMCOOKIE (BadSpace) وCastleBot

تطوّر مستمر لقدرات تنفيذ DLL/EXE وميزات نشر تستخدم PowerShell أو rundll32 لإطلاق الحمولات على الأجهزة المستهدفة.

BlackStink

امتدادات Chrome خبيثة استهدفت بنوك أمريكا اللاتينية باستخدام تقنيات WebInject لإجراء تحويلات احتيالية في الوقت الحقيقي عبر السيطرة على جلسات المستخدم البنكية.

Mic-E-Mouse

بحث أكاديمي يحوّل فأرة الألعاب الضوئية إلى ميكروفون لالتقاط اهتزازات الصوت وتسريبها من شبكات معزولة بعد اختراق الجهاز بوسائل أخرى—دقة التقاط الكلام وصلت إلى حوالي 61% في الدراسة.

مخطط استغلال مفاتيح AWS طويلة الأمد

مخطط استغلال مفاتيح AWS طويلة الأمد

توضح الصورة كيف تبدأ الهجمات من اكتشاف مفاتيح وصول AWS طويلة الأمد (مثل باستخدام أداة TruffleHog)، ثم استخدام هذه المفاتيح للمصادقة على بيئة AWS. بعدها يتفرّع المسار إلى محاولات إنشاء مستخدمين جدد لتثبيت الاستمرارية أو تشغيل محاكيات سياسات لتقييم صلاحيات الحساب. بناءً على النتائج، يسعى المهاجم لتصعيد الصلاحيات عبر إرفاق سياسات مُدارة أو استغلال إعدادات IAM، ثم إجراء اكتشاف للبنية التحتية وتجهيز البيانات داخل خدمات AWS (S3, EC2,…)، وأخيرًا استخراج البيانات الحسّاسة من دلاء S3 أو نسخ من مثيلات EC2 إلى وجهات خارجية.

عناصر المراقبة الحيوية تشمل: نشاط مفاتيح غير متوقع، إنشاء مفاتيح/مستخدمين جدد بشكل مفاجئ، تغييرات على سياسات IAM، وحركة بيانات غير اعتيادية من دلاء S3 أو EC2.

مؤشرات اختراق (IOCs) وتوصيات عملية

مؤشرات سريعة

  • نشاط وصول بمفاتيح قديمة أو استخدام من مناطق جغرافية غير متوقعة.
  • إنشاء مستخدمين أو مفاتيح جديدة بواسطة حسابات ليست إدارية.
  • تغييرات مفاجئة على سياسات IAM أو إرفاق سياسات مُدارة.
  • تنفيذ rundll32.exe وPowerShell من ملفات LNK أو أرشيفات واردة.
  • حركة نقل بيانات كبيرة من دلاء S3 أو نسخ غير عادية في EC2.

توصيات تنفيذية

  1. دوّر أو ألغِ المفاتيح طويلة الأمد وحوّل إلى اعتماد مؤقت عبر IAM Roles وSTS.
  2. طبّق مبدأ الأقل امتياز (Least Privilege) مع مراجعة دورية على السياسات والامتيازات.
  3. فعّل CloudTrail وGuardDuty وAWS Config، وأنشئ قواعد تنبيه لتغييرات IAM وحركة البيانات الكبيرة.
  4. استخدم EDR/EDR المتقدِّم لمراقبة تنفيذ PowerShell وrundll32 وأنماط تفادي التحليل.
  5. درّب الموظفين على التعرّف على رسائل التصيّد ومراحل الهندسة الاجتماعية، واطلب دوماً تحققًا ثنائيًا قبل عمليات تحويل أموال أو تغيير صلاحيات.

خاتمة

الدفاع الفعّال يتطلّب مزيجًا من التكنولوجيا، السياسة، والتوعية البشرية. مع تطور قدرات المهاجمين، يجب أن نرفع مستوى التعاون الداخلي والخارجي، نستثمر في مراقبة مستمرة، ونبني ثقافة أمان تُقوّي الثقة في عالم مترابط.

إرسال تعليق