اضغط هنا لتصفح النشرة من الموقع

صباح الخير قراءنا الكرام،

مرحبًا بكم في العدد الجديد من نشرة أمن المعلومات والتي تتناول شهريًا أهم الأحداث الخاصة بأمن المعلومات، إضافةً إلى التوعية بمخاطر الفضاء الإلكتروني.

يرصد هذا العدد مجموعة من أبرز الأحداث في مجال أمن المعلومات، فضلًا عن الثغرات والهجمات الإلكترونية التي تهم المستخدمين.

أهم الأخبار:

• عاد TikTok للعمل في الولايات المتحدة الأمريكية بعد أن أعلن Trump أنه سيمدد الموعد النهائي.

• ستدفع Apple للمستخدمين 20 دولارًا لكل جهاز في تسوية بشأن انتهاكات خصوصية غير مقصودة من Siri.

• برمجية "FireScam" الخبيثة على أندرويد تتنكر في شكل تطبيق Telegram Premium لسرقة البيانات والتحكم في الأجهزة.

• قراصنة قاموا بتسريب ملفات التهيئة ومعلومات اعتماد الشبكة الخاصة الافتراضية VPN لأكثر من 15,000 جهاز FortiGate.

مخاطر وثغرات:

• Microsoft: ثغرة في macOS تتيح للقراصنة تثبيت برامج تشغيل خبيثة.

• تصحيح 3 ثغرات جديدة مستغلة بنشاط في آخر تحديث أمني من Microsoft.

• باحثو Google Cloud يكتشفون ثغرات في أداة مزامنة الملفات Rsync.

• تحذر شركة Fortinet من ثغرة جديدة تُستخدم في الهجمات على جدران الحماية.

مؤشرات وإحصائيات:

• ارتفاع الهجمات الإلكترونية بنسبة 75% على مستوى العالم – الربع الثالث من عام 2024 -"Check Point"

معلومة أمنية:

• المهاجمون يرفعون مستوى هجماتهم باستخدام برامج الفدية– "تقرير التنبؤ بالتهديدات لـ 2025 من Fortinet"

شاهد:

• 7 أشكال للتصيد الاحتيالي.

تعريفات:

• Siri 

• RuStore 

• CYFIRMA 

• WebView 

• Firebase Cloud Messaging (FCM) 

• القيادة والتحكم(C2) 

• CDEK 

• Malvertising 

• ملفات التكوينات

• الويب المظلم 

• جدار الحماية أو الجدار الناري 

• IP 

• SSL VPNs 

• DCSync

•  Virtual Private Server (VPS)

• Session Initiation Protocol (SIP)

• Root 

• Storage Kit 

• Secure Boot

• Hyper-v

• VMBus 

• 0patch 

• Reliable Multicast Transport Driver (RMCAST) 

• SPNEGO 

• Microsoft Digest 

• BitLocker  

• UNIX

• CERT/CC

• SSH

• bashrc

• Popt

TikTok يعود للعمل في الولايات المتحدة الأمريكية بعد أن أعلن Trump أنه سيمدد الموعد النهائي
 

19 يناير 2025

عاد تطبيق TikTok للعمل في الولايات المتحدة بعد أن أعلن الرئيس الأمريكي المنتخب Trump أنه سيمنح تمديدًا لمدة 90 يومًا للشركة لإيجاد مشترٍ أمريكي.

بعد أن صوتت المحكمة العليا بالإجماع للسماح بتنفيذ حظر TikTok، قامت الشركة بإغلاق الوصول إلى التطبيق في الولايات المتحدة في وقت متأخر من ليلة السبت 18 يناير2025.


 أعلن Trump أنه سيوقع أمرًا تنفيذيًا يمدد المهلة المقررة لـ TikTok لإيجاد مشترٍ أمريكي، وأن الشركات لن تتحمل أي مسؤولية بشأن السماح بالوصول إلى التطبيق.

بعد ساعات، استأنف TikTok خدمته في الولايات المتحدة، مقدمًا شكره لـ Trump على المساعدة.

وجاء في رسالة ترحيب عبر التطبيق: "شكرًا على صبركم ودعمكم. بفضل جهود الرئيس Trump، عاد TikTok إلى الولايات المتحدة!"

بينما يعمل التطبيق الآن للمستخدمين الحاليين، لا يزال غير متاح في متجري تطبيقات Google وApple، مما يعني أنه لا يمكن تثبيته على الأجهزة الجديدة.

سيظل أمام TikTok مهلة للعثور على مشترٍ أمريكي، وإلا فإنه سيواجه حظرًا جديدًا.

في منشور على موقع Truth Social، اقترح Trump أن تقوم الولايات المتحدة بامتلاك 50% من الشركة، مع قيام مشترٍ آخر بشراء النسبة المتبقية.

ستدفع Apple للمستخدمين 20 دولارًا لكل جهاز في تسوية بشأن انتهاكات خصوصية غير مقصودة من Siri
 

3 يناير 2025

وافقت شركة Apple على دفع 95 مليون دولار لتسوية دعوى قضائية جماعية مقترحة اتهمت صانع iPhone بانتهاك خصوصية المستخدمين باستخدام مساعدها الصوتي Siri.

تم الإبلاغ عن هذا التطور لأول مرة من قبل وكالة رويترز Reuters.

تنطبق التسوية على الأفراد المقيمين في الولايات المتحدة، سواء أكانوا مالكين حاليين أو سابقين لأجهزة مزودة بـ Siri، والذين تم الحصول على محادثاتهم الصوتية السرية مع المساعد من قبل Apple و/أو تمت مشاركتها مع أطراف ثالثة نتيجة لتفعيل غير مقصود لـ Siri" بين 17 سبتمبر 2014 و31 ديسمبر 2024.

يمكن للأفراد المؤهلين تقديم مطالبات مقابل ما يصل إلى خمسة أجهزة سيري – مثل iPhone و iPad و Apple Watch و MacBook و iMac و HomePod و iPod touch أو Apple TV – التي يدعون أنها شهدت تفعيلًا غير مقصود لـ Siri أثناء محادثة كانت تهدف إلى أن تكون سرية أو خاصة. يمكن لأعضاء المجموعة الذين يقدمون مطالبات صحيحة أن يتلقوا 20 دولارًا لكل جهاز.

تم رفع الدعوى ضد شركة Apple بعد تقرير من صحيفة "The Guardian" في عام 2019 كشف أن متعاقدين من أطراف ثالثة كانوا يستمعون إلى المحادثات الخاصة للمستخدمين الذين يصدرون أوامر صوتية إلى Siriكجزء من جهود لتحسين جودة المنتج.

وقد تم تقديم شكوى معدلة في سبتمبر 2021 تزعم أن المحادثات الخاصة التي تم تسجيلها بواسطة Apple بسبب التنشيط غير المقصود تم الكشف عنها أيضًا للمعلنين الخارجيين.

وقد طعن في الادعاءات، بحجة أنه "لا توجد حقائق، ناهيك عن الحقائق المعقولة، التي تربط بين تلقي المدعين للإعلانات المستهدفة وبين تكهناتهم بأن Siri كان يجب أن يكون قد استمع إلى محادثاتهم، وأن Apple لا بد أن تكون قد استخدمت Siri لتسهيل الإعلانات المستهدفة من قبل جهات خارجية."

في أعقاب الكشف، اعتذرت Apple عن عدم "الوفاء الكامل بمبادئنا العُليا"، وأدخلت لاحقًا خيارًا للموافقة لمساعدة Siri على التحسن من خلال التعلم من عينات الصوت التي تحتوي على طلباتهم. كما أعلنت أنها ستزيل أي تسجيل تم تحديده على أنه تنشيط غير مقصود لـ Siri.

ومنذ ذلك الحين، قامت Apple بإطلاق إعدادات جديدة عبر محفظتها البرمجية لتمكين المستخدمين من تعطيل جمع المعلومات التحليلية لتحسين Siri، بالإضافة إلى حذف كل السجل. وقد نفت Apple ارتكاب أي مخالفات في ملف التسوية.

واجهت Google أيضًا اتهامات مشابهة مع مساعدها الصوتي في عام 2019، وهي تخوض دعوى قضائية مماثلة أمام المحكمة الفيدرالية الأمريكية.

أعادت Apple التأكيد أن البيانات المتعلقة بـ Siri لم تُستخدم أبدًا لبناء ملفات تعريف تسويقية، ولم تُتح للإعلانات أو تُباع لأطراف ثالثة. كما أشارت إلى المعالجة على الجهاز لطلبات Siri كلما كان ذلك ممكنًا، مثل قراءة الرسائل غير المقروءة.

وأعلنت الشركة في بيان أصدرته في 8 يناير 2025: "على الرغم من أن Apple تحاول القيام بأكبر قدر ممكن من المعالجة على الجهاز، فإن بعض الميزات تتطلب إدخالًا في الوقت الفعلي من خوادم Apple." وأضافت: "وعندما يكون الأمر كذلك، يستخدم Siri أقل قدر ممكن من البيانات لتقديم نتيجة دقيقة."

وأضافت أيضًا أن عمليات البحث ونتائج Siri غير مرتبطة بحسابات المستخدمين في Apple، بل تعتمد على معرف عشوائي لمعالجتها.

"لا تحتفظ Apple بتسجيلات صوتية لتفاعلات Siri ما لم يوافق المستخدمون صراحةً على المساعدة في تحسين Siri، وحتى في هذه الحالة، يتم استخدام التسجيلات فقط لهذا الغرض"، حسبما أضافت الشركة. "يمكن للمستخدمين إلغاء الاشتراك بسهولة في أي وقت".

برمجية "FireScam" الخبيثة على نظام Android تتنكر في شكل تطبيق Telegram Premium لسرقة البيانات والتحكم في الأجهزة 
 

6 يناير 2025

تم اكتشاف برمجية خبيثة على أندرويد تُسمى "FireScam"، والتي تتنكر في شكل نسخة متميزة من تطبيق Telegram لسرقة البيانات والحفاظ على التحكم عن بُعد المستمر على الأجهزة المخترقة.

أفادت شركة "Cyfirma" وهي شركة رائدة في إدارة التهديدات الخارجية أن البرمجية الخبيثة "تتخفى في شكل تطبيق مزيف باسم "Telegram Premium"، ويتم توزيعها من خلال موقع تصيد مستضاف على GitHub.io، والذي يتنكر في هيئة متجر RuStore – وهو متجر تطبيقات شهير في الاتحاد الروسي". ووصفتها بأنها "تهديد معقد ومتعدد الأوجه".

وأضافت الشركة أن "البرمجية الخبيثة تستخدم عملية إصابة متعددة المراحل، تبدأ بملف APK ضار، وتنفذ أنشطة مراقبة واسعة النطاق بمجرد تثبيتها".

الموقع المضلل rustore-apk.github[.]io يُحاكي متجر " RuStore"، وهو متجر تطبيقات أطلقته شركة VK التكنولوجية الروسية، ويهدف إلى نقل ملف APK dropper ("GetAppsRu.apk").

بمجرد التثبيت، يعمل dropper كوسيلة لتوصيل الحمولة الرئيسة، التي تقوم باستخراج البيانات الحساسة، مثل الإشعارات، الرسائل، وبيانات التطبيقات الأخرى، وإرسالها إلى نقطة نهاية قاعدة بيانات Firebase Realtime.

يطلب التطبيق عدة أذونات، بما في ذلك القدرة على الكتابة على التخزين الخارجي وتثبيت أو تحديث أو حذف التطبيقات بشكل عشوائي على الأجهزة المصابة التي تعمل بنظام Android 8 أو ما بعده.

وأشار تقرير " Cyfirma" إلى أن "إذن ENFORCE_UPDATE_OWNERSHIP يقيد تحديثات التطبيقات إلى مالك التطبيق المحدد. يمكن لمثبت التطبيق الأول أن يعلن نفسه كـ 'مالك التحديث'، وبالتالي التحكم في تحديثات التطبيق."

وأضاف التقرير: "تضمن هذه الآلية أن محاولات التحديث من قبل مثبتين آخرين تتطلب موافقة المستخدم قبل المضي قدمًا. من خلال تعيين نفسه كمالك للتحديث، يمكن للتطبيق الخبيث منع التحديثات المشروعة من مصادر أخرى، مما يضمن استمراريته على الجهاز."
 

تستخدم برمجية "FireScam" تقنيات التمويه ومكافحة التحليل المختلفة للتهرب من الكشف. كما تتابع الإشعارات الواردة، وتغيرات حالة الشاشة، والمعاملات التجارية الإلكترونية، ومحتوى الحافظة، ونشاط المستخدم لجمع المعلومات المثيرة للاهتمام. من بين الوظائف البارزة أيضًا قدرتها على تحميل ومعالجة بيانات الصور من عنوان URL محدد.

عند تشغيل تطبيق Telegram Premium المزيف، يطلب التطبيق إذن المستخدم للوصول إلى قوائم الاتصال، وسجلات المكالمات، ورسائل SMS، وبعد ذلك يعرض صفحة تسجيل دخول لموقع Telegram الشرعي عبر WebView لسرقة بيانات الاعتماد. تبدأ عملية جمع البيانات بغض النظر عما إذا قام الضحية بتسجيل الدخول أم لا.

وأخيرًا، يقوم التطبيق بتسجيل خدمة لتلقي إشعارات Firebase Cloud Messaging (FCM)، مما يسمح له بتلقي الأوامر عن بُعد والحفاظ على الوصول الخفي – وهو مؤشر على قدرات المراقبة الواسعة للبرمجية الخبيثة. كما يقوم التطبيق في الوقت نفسه بإنشاء اتصال WebSocket مع خادم القيادة والتحكم (C2) الخاص به لعملية استخراج البيانات والأنشطة اللاحقة.

أعلنت شركة "Cyfirma" أن نطاق التصيد يحتوي أيضًا على عنصر خبيث آخر يُدعى "CDEK"، الذي يُحتمل أن يكون إشارة إلى خدمة تتبع الطرود والتسليم الروسية. ومع ذلك، أفادت الشركة بأنها لم تتمكن من الحصول على العنصر الخبيث أثناء عملية التحليل.

حاليًا، ليس من الواضح من هم المشغلون، أو كيفية توجيه المستخدمين إلى هذه الروابط، وما إذا كان ذلك يتضمن تقنيات تصيد عبر الرسائل القصيرة (SMS) أو الإعلانات الضارة (malvertising).

وأضافت " Cyfirma": "من خلال تقليد منصات شرعية مثل متجر تطبيقات RuStore، تستغل هذه المواقع الخبيثة ثقة المستخدمين لخداع الأفراد وتحفيزهم على تحميل وتثبيت تطبيقات مزيفة."

وتابعت: "تقوم برمجية Cyfirma بتنفيذ أنشطتها الخبيثة، بما في ذلك استخراج البيانات والمراقبة، مما يوضح فعالية طرق توزيع البرمجيات الخبيثة عبر التصيد في إصابة الأجهزة والتهرب من الكشف."

بعد نشر الخبر، قدم متحدث باسم جوجل البيان التالي:
"بناءً على اكتشافاتنا الحالية، لم يتم العثور على أي تطبيقات تحتوي على هذه البرمجية الخبيثة على متجر Google Play. تتم حماية مستخدمي Android تلقائيًا ضد الإصدارات المعروفة لهذه البرمجية الخبيثة بواسطة *Google Play Protect*، الذي يكون مفعلًا بشكل افتراضي على أجهزة Android التي تحتوي على خدمات Google Play. يمكن لـ Google Play Protect تحذير المستخدمين أو حظر التطبيقات التي تُظهر سلوكًا ضارًا، حتى وإن كانت هذه التطبيقات تأتي من مصادر خارج متجر Play."

قراصنة قاموا بتسريب ملفات التهيئة ومعلومات اعتماد الشبكة الخاصة الافتراضية VPN لأكثر من 15,000 جهازFortiGate 
 

  15 يناير 2025

قامت مجموعة قرصنة جديدة بتسريب ملفات التكوين، عناوين الـ IP، بيانات اعتماد VPN لأكثر من 15,000 جهاز FortiGate بشكل مجاني على الويب المظلم، مما يعرض كمية كبيرة من المعلومات الفنية الحساسة لخطر الاستغلال من قبل القراصنة الآخرين.

تم تسريب البيانات بواسطة مجموعة القرصنة "Belsen Group"، وهي مجموعة جديدة ظهرت لأول مرة على وسائل التواصل الاجتماعي ومنتديات الجريمة الإلكترونية هذا الشهر. وللترويج لنفسها، قامت مجموعة Belsen بإنشاء موقع على شبكة Tor، حيث أصدرت بيانات FortiGate المسربة مجانًا ليتم استخدامها من قبل المهاجمين الآخرين.

وذكر منشور على منتدى قرصنة: "في بداية العام، وكبداية إيجابية لنا، ومن أجل تثبيت اسم مجموعتنا في ذاكرتكم، يسعدنا أن نعلن عن أول عملية رسمية لنا: سيتم نشر بيانات حساسة من أكثر من 15,000 هدف حول العالم (من القطاعين الحكومي والخاص) تم اختراقها واستخراج بياناتها".

تتكون تسريبات FortiGate من أرشيف بحجم 1.6 جيجابايت يحتوي على مجلدات مرتبة حسب البلد. يحتوي كل مجلد على مجلدات فرعية إضافية لكل عنوان IP لجهاز FortiGate في ذلك البلد.

وفقًا لخبير الأمن السيبراني Kevin Beaumont، يحتوي كل عنوان IP في تسريب FortiGate على ملف "configuration.conf" (Fortigate config dump) وملف "vpn-passwords.txt"، حيث يحتوي بعض كلمات المرور على نصوص عادية. كما تحتوي ملفات التكوين على معلومات حساسة مثل المفاتيح الخاصة private keys وقواعد الجدار الناري firewall rules.

 في منشور مدونة حول تسريب FortiGate، يقول Beaumont إنه يُعتقد أن التسريب مرتبط بثغرة صفرية في 2022 والمعروفة برمز CVE-2022-40684، والتي تم استغلالها في الهجمات قبل إصدار التحديث الأمني لإصلاحها.

وأوضح Beaumont: "لقد قمت بإجراء استجابة للحوادث على جهاز في إحدى المنظمات الضحية، وكان الاستغلال بالفعل عبر CVE-2022-40684 استنادًا إلى الآثار التي تم العثور عليها على الجهاز. كما تمكنت من التحقق من أن أسماء المستخدمين وكلمات المرور التي ظهرت في التسريب تتطابق مع التفاصيل على الجهاز".

وأضاف Beaumont: "يبدو أن البيانات قد تم تجميعها في أكتوبر 2022، عندما كانت هناك ثغرة جديدة. ولسبب ما، تم نشر تفريغ البيانات اليوم، بعد أكثر من عامين."

في عام 2022، حذرت شركة Fortinet من أن المهاجمين كانوا يستغلون ثغرة صفرية تم تتبعها كـ CVE-2022-40684 لتحميل ملفات التكوين من أجهزة FortiGate المستهدفة، ثم إضافة حساب super_admin خبيث باسم "fortigate-tech-support".

موقع الأخبار الألماني Heise قام بتحليل تسريب البيانات وقال أيضًا إنه تم جمع البيانات في عام 2022، مع جميع الأجهزة التي تستخدم إصدار FortiOS 7.0.0-7.0.6  أو 7.2.0-7.2.2 .

وأفاد Heise: "كانت جميع الأجهزة مجهزة بـ FortiOS 7.0.0-7.0.6 أو 7.2.0-7.2.2، ومعظمها بإصدار 7.2.0. لم نجد أي إصدار من FortiOS في مجموعة البيانات التي كانت أحدث من الإصدار 7.2.2، الذي تم إصداره في 3 أكتوبر 2022".

ومع ذلك، قام إصدار FortiOS 7.2.2 بإصلاح الثغرة CVE-2022-40684، لذا سيكون من غير الواضح كيفية استغلال الأجهزة التي تعمل بهذا الإصدار لهذه الثغرة.

على الرغم من أن ملفات التكوين هذه تم جمعها في عام 2022، فإن Beaumont يحذر من أنها لا تزال تكشف عن الكثير من المعلومات الحساسة حول دفاعات الشبكة.

يشمل ذلك قواعد الجدار الناري وبيانات الاعتماد التي إذا لم يتم تغييرها في ذلك الوقت، يجب تغييرها على الفور بعد أن تم نشر البيانات على نطاق أوسع من قبل المهاجمين.

ويضيف Beaumont أنه يخطط لإصدار قائمة بعناوين IP الموجودة في التسريب حتى يتمكن مسؤولو FortiGate من معرفة ما إذا كان التسريب قد أثر عليهم.

في عام 2021، قام مهاجم بتسريب ما يقرب من 500,000 من بيانات اعتماد VPN الخاصة بشركة Fortinet التي تم جمعها باستخدام الثغرة CVE-2018-13379.

Microsoft: ثغرة في macOS تتيح للقراصنة تثبيت برامج تشغيل خبيثة
 

13 يناير 2025

قامت شركة آبل مؤخرًا بمعالجة ثغرة في macOS تتيح للمهاجمين تجاوز ميزة حماية تكامل النظام (System Integrity Protection "SIP") وتثبيت برامج تشغيل خبيثة عن طريق تحميل ملحقات Third-party kernel extensions.

تعد حماية تكامل النظام (System Integrity Protection "SIP") أو ما يُسمى بالوصول بدون صلاحيات "rootless" ميزة أمان في نظام تشغيل macOS تمنع البرمجيات الخبيثة من تعديل مجلدات وملفات معينة عن طريق تقليص صلاحيات حساب مستخدم مسؤول النظام root في المناطق المحمية.

يسمح SIP فقط بالعمليات الموقعة من Apple أو تلك التي تمتلك صلاحيات خاصة، مثل تحديثات برامج Apple، لتعديل المكونات المحمية في نظام macOS. يتطلب تعطيل SIP عادةً إعادة تشغيل النظام والتشغيل من وضع الاسترداد في macOS (built-in recovery system)، مما يتطلب الوصول الفعلي إلى جهاز الكمبيوتر المخترق.

تم العثور على الثغرة الأمنية (المعروفة بالرمز CVE-2024-44243)، التي يمكن استغلالها فقط من قبل المهاجمين المحليين ذوي صلاحيات الـ Root في هجمات منخفضة التعقيد تتطلب تفاعل المستخدم. وقد تم اكتشاف هذه الثغرة في خدمة Storage Kit التي تتعامل مع حفظ حالة الأقراص.

قد يسمح الاستغلال الناجح لهذه الثغرة للمهاجمين بتجاوز قيود الـ Root الخاصة بحماية تكامل النظام SIP دون الحاجة إلى الوصول الفعلي لتثبيت برامج الـ Root (kernel drivers)، وإنشاء برمجيات خبيثة دائمة وغير قابلة للحذف، أو التهرب من فحوصات أمان الشفافية والموافقة والتحكم" (Transparency, Consent, and Control "TCC") للوصول إلى بيانات الضحايا.

قامت شركة Apple بإصلاح الثغرة في التحديثات الأمنية لنظام macOS Sequoia 15.2، التي تم إصدارها منذ شهر في 11 ديسمبر 2024.

أعلنت Microsoft في تقرير يوفر المزيد من التفاصيل الفنية حول ثغرة CVE-2024-44243: "تعد حماية تكامل النظام (SIP) وسيلة أمان حاسمة ضد البرمجيات الخبيثة، والمهاجمين، والتهديدات الأخرى للأمن السيبراني، حيث توفر طبقة أساسية من الحماية لأنظمة macOS".

بالإضافة إلى: "تجاوز SIP يؤثر في أمان نظام التشغيل بالكامل وقد يؤدي إلى عواقب وخيمة، مما يبرز ضرورة وجود حلول أمان شاملة يمكنها اكتشاف السلوكيات الشاذة من العمليات ذات الصلاحيات الخاصة."

وقد اكتشف باحثو الأمن في Microsoft عدة ثغرات في macOS خلال السنوات الأخيرة. كانت هناك ثغرة SIP تُسمى "Shrootless" (CVE-2021-30892)، تم الإبلاغ عنها في 2021، والتي تتيح للمهاجمين تنفيذ عمليات تعسفية على أجهزة Mac المخترقة وقد تسمح بتثبيت أدوات الاختراق rootkits.

وفي الآونة الأخيرة، اكتشفوا أيضًا تجاوزًا SIP آخر يُسمى "Migraine" (CVE-2023-32369) وثغرة أمان تُعرف باسم "Achilles" (CVE-2022-42821)، والتي يمكن استغلالها لنشر البرمجيات الخبيثة عبر تطبيقات غير موثوقة قادرة على تجاوز قيود تنفيذ Gatekeeper.

كما اكتشف الباحث الأمني الرئيس لدى Microsoft، Jonathan Bar، ثغرة أخرى في macOS تُسمى "powerdir" (CVE-2021-30970)، التي تسمح للمهاجمين بتجاوز تقنية الشفافية والموافقة والتحكم (TCC) للوصول إلى بيانات macOS المحمية.

تصحيح 3 ثغرات جديدة مستغلة بنشاط في آخر تحديث أمني من Microsoft
 

15 يناير 2025


 
  

بدأت Microsoft عام 2025 بمجموعة جديدة من التحديثات لعدد 161 ثغرة أمنية عبر مجموعة برامجها، بما في ذلك ثلاث ثغرات أمنية نشطة تم استغلالها بنشاط في هجمات.

من بين 161 ثغرة، تم تصنيف 11 على أنها حرجة و149 على أنها مهمة من حيث الخطورة. وهناك ثغرة أخرى، وهي CVE غير مرتبطة بشركة Microsoft تتعلق بتجاوز Windows Secure Boot (CVE-2024-7344)، لم يتم تحديد شدتها بعد. وفقًا لمبادرة Zero Day Initiative، يُعد هذا التحديث هو الأكبر من حيث عدد الثغرات التي تمت معالجتها في شهر واحد منذ عام 2017 على الأقل.

تأتي هذه التصحيحات بالإضافة إلى سبع ثغرات تمت معالجتها في متصفح Edge القائم على Chromium منذ إصدار تحديثات شهر ديسمبر 2024.

من بين التصحيحات التي أصدرتها Microsoft، هناك ثلاث ثغرات بارزة في Windows Hyper V NT kernel Integration VSP (CVE-2025-21333، CVE-2025-21334، وCVE-2025-21335، درجات CVSS: 7.8) والتي أعلنت الشركة أنها تعرضت للاستغلال بنشاط.

أفادت الشركة في إشعار حول هذه الثغرات: "المهاجم الذي استغل هذه الثغرة بنجاح قد يحصل على امتيازات النظام SYSTEM".

كما هو معتاد، لا يُعرف حاليًا كيف يتم استغلال هذه الثغرات وفي أي سياق. كما لم تذكر شركة Microsoft هوية المهاجمين الذين يستغلون هذه الثغرات أو حجم الهجمات.

ولكن نظرًا لأنها ثغرات تصعيد الامتيازات، فمن المحتمل جدًا أن يتم استخدامها كجزء من الأنشطة بعد الاختراق، حيث يكون المهاجم قد تمكن بالفعل من الوصول إلى النظام المستهدف عن طريق وسيلة أخرى، كما أشار Satnam Narang، كبير مهندسي البحث في Tenable.

من جانب آخر، حذرت Microsoft من أن خمسًا من الثغرات معروفة علنًا وهي:

• CVE-2025-21186، CVE-2025-21366، CVE-2025-21395 (درجات CVSS: 7.8): ثغرة تنفيذ كود عن بُعد في Microsoft Access.

• CVE-2025-21275 (درجةCVSS: 7.8): ثغرة تصعيد امتيازات في Windows App Package Installer

• CVE-2025-21308 (درجةCVSS: 6.5): ثغرة خداع في سيمات Windows، قد تؤدي إلى الكشف غير الصحيح عن NTLM hash، تمت الإشارة إليها سابقًا من قبل 0patch باعتبارها تجاوزًا لـ CVE-2024-38030. وقد تم إصدار تصحيحات مصغرة (Micropatches) للثغرة في أكتوبر 2024.

أما بالنسبة لجميع القضايا المتعلقة بـ Microsoft Access، فقد تم نسبها إلى منصة Unpatched.ai لاكتشاف الثغرات باستخدام الذكاء الاصطناعي. كما أشارت Action1 إلى أنه على الرغم من تصنيف هذه الثغرات كـ "ثغرات تنفيذ كود عن بُعد" (RCE)، فإن استغلالها يتطلب من المهاجم إقناع المستخدم بفتح ملف مصمم خصيصًا لهذا الغرض.

يُعتبر التحديث مهمًا أيضًا لأنه قام بسد خمس ثغرات بالغة الخطورة، وهي كالتالي:

• CVE-2025-21294 (درجة CVSS: 8.1): ثغرة تنفيذ كود عن بُعد في Microsoft Digest Authentication

• CVE-2025-21295 (درجةCVSS: 8.1): ثغرة تنفيذ كود عن بُعد في آلية التفاوض الممتدة SPNEGO (NEGOEX).

• CVE-2025-21298 (درجة CVSS: 9.8): ثغرة تنفيذ كود عن بُعد في Windows Object Linking and Embedding (OLE).

• CVE-2025-21307 (درجةCVSS: 9.8):  ثغرة تنفيذ كود عن بُعد في Windows Reliable Multicast Transport Driver (RMCAST)

• CVE-2025-21311 (درجة CVSS: 9.8): ثغرة تصعيد امتيازات في Windows NTLM V1

في سيناريو هجوم عبر البريد الإلكتروني، أعلنت Microsoft في منشورها الخاص بثغرة CVE-2025-21298: "يمكن للمهاجم استغلال الثغرة عن طريق إرسال البريد الإلكتروني المصمم خصيصًا إلى الضحية."

وأضافت: "قد يتضمن استغلال الثغرة قيام الضحية بفتح البريد الإلكتروني المصمم خصيصًا باستخدام إصدار متأثر من برنامج Microsoft Outlook، أو أن تطبيق Outlook الخاص بالضحية يعرض معاينة للبريد الإلكتروني المصمم خصيصًا. قد يؤدي ذلك إلى تنفيذ كود عن بُعد على جهاز الضحية."

للحماية من الثغرة، يُوصى بقراءة رسائل البريد الإلكتروني بتنسيق النص العادي. كما يُنصح باستخدام Microsoft Outlook لتقليل خطر فتح ملفات Rich text format "RTF" من مصادر غير معروفة أو غير موثوقة.

أفاد Saeed Abbasi، مدير أبحاث الثغرات في وحدة أبحاث التهديدات لدى Qualys: "تسمح ثغرة CVE-2025-21295 في آلية التفاوض الممتدة SPNEGO Extended Negotiation (NEGOEX) للمهاجمين غير المصرح لهم بتشغيل كود ضار عن بُعد على الأنظمة المتأثرة دون تفاعل من المستخدم."

"على الرغم من تعقيد الهجوم العالي، فإن الاستغلال الناجح يمكن أن يهدد البنية التحتية للمؤسسة بالكامل عن طريق تقويض طبقة آلية الأمان الأساسية، مما يؤدي إلى تسريبات محتملة للبيانات. وبما أنه لا يُطلب وجود بيانات اعتماد صالحة، فإن خطر التأثير الواسع كبير، مما يبرز الحاجة إلى تصحيحات فورية وتهدئة مستمرة."

أما بالنسبة لـ CVE-2025-21294، فقد أعلنت Microsoft أن المهاجم يمكنه استغلال هذه الثغرة بنجاح عن طريق الاتصال بنظام يتطلب المصادقة باستخدام التجزئة digest authentication، مما يؤدي إلى حدوث حالة سباق لإنشاء سيناريو ""(use-after-free)، ثم استغلالها لتنفيذ تعليمات برمجية عشوائية.

أفاد Ben Hopkins، مهندس الأمن السيبراني في Immersive Labs: "يعتبر Microsoft Digest هو التطبيق المسؤول عن إجراء المصادقة الأولية عندما يستقبل الخادم أول استجابة من العميل. يعمل الخادم عن طريق التحقق من أن العميل لم يتم مصادقته بالفعل. تتضمن ثغرة CVE-2025-21294 استغلال هذه العملية من قبل المهاجمين لتحقيق تنفيذ تعليمات برمجية عن بُعد (RCE)".

من بين الثغرات التي تم تصنيفها على أنها أكثر احتمالًا للاستغلال، توجد ثغرة تسريب معلومات تؤثر في Windows BitLocker (CVE-2025-21210، درجةCVSS: 4.2) والتي قد تسمح باسترداد صور hibernation بنصوص قابلة للقراءة بشرط أن يتمكن المهاجم من الوصول الفعلي إلى القرص الصلب لجهاز الضحية.

أفاد Kev Breen، مدير الأبحاث الأمنية في Immersive Labs: تُستخدم صور Hibernation عندما يدخل اللاب توب في وضع السكون، وهي تحتوي على المحتويات التي كانت مخزنة في الذاكرة العشوائية (RAM) في لحظة إيقاف تشغيل الجهاز."

وأضاف: "يُعد هذا تهديدًا كبيرًا نظرًا لأن الذاكرة العشوائية قد تحتوي على بيانات حساسة (مثل كلمات المرور، والاعتمادات، والبيانات الشخصية) التي قد تكون موجودة في مستندات مفتوحة أو جلسات متصفح، ويمكن استردادها جميعًا باستخدام أدوات مجانية."

باحثو Google Cloud يكتشفون ثغرات في أداة مزامنة الملفات Rsync
 

15 يناير 2025

تم الكشف عما يصل إلى ست ثغرات أمنية في أداة مزامنة الملفات Rsync الشهيرة لأنظمة Unix، وبعضها قد يُستغل لتنفيذ تعليمات برمجية عشوائية على جهاز العميل.

وأفاد مركز تنسيق الاستجابة للطوارئ (CERT/CC) في تحذير له: "يمكن للمهاجمين السيطرة على خادم ضار وقراءة/كتابة ملفات عشوائية لأي عميل متصل". وأضاف: "يمكن استخراج بيانات حساسة، مثل مفاتيح SSH، ويمكن تنفيذ تعليمات برمجية خبيثة عن طريق الكتابة فوق ملفات مثل ~/.bashrc أو ~/.popt".

تم الكشف عن عدد من الثغرات الأمنية التي تشمل تجاوز سعة الذاكرة comprise heap-buffer overflow، تسرب المعلومات information disclosure، تسريب الملفات file leak، الكتابة على ملفات خارجية في الأدلة external directory file-write، وظروف السباق في الروابط الرمزية symbolic-link race condition، وفيما يلي الثغرات التي تم تحديدها:

• CVE-2024-12084 (درجة CVSS: 9.8): تجاوز سعة الذاكرة heap-buffer overflow أثناء Rsync.

• CVE-2024-12085 (درجة CVSS: 7.5) تسرب المعلومات Information leak عبر محتويات الـ stack.

• CVE-2024-12086 (درجة CVSS: 6.1): تسريب ملفات عشوائية من العميل server leaks arbitrary client files عبر Rsync

• CVE-2024-12087 (درجةCVSS: 6.5): ثغرة في عبور المسار Path traversal أثناء الـ Rsync

• CVE-2024-12088 (درجة CVSS: 6.5): تجاوز الخيار --safe-links يؤدي إلى عبور المسار path traversal

• CVE-2024-12747 (درجةCVSS: 5.6): حالة سباق Race condition في Rsync عند التعامل مع الروابط الرمزية symbolic links

   

تم إسناد الفضل إلى Simon Scannell، وPedro Gallegos، وJasiel Spelman من فريق أبحاث الثغرات الأمنية في Google Cloud لاكتشافهم والإبلاغ عن أول خمس ثغرات. كما تم الإقرار بالباحث الأمني Aleksei Gorban لاكتشافه ثغرة حالة السباق في الروابط الرمزية symbolic-link race condition flaw.

أفاد Nick Tait من قسم أمان المنتجات في Red Hat: "في أخطر ثغرة CVE، يتطلب المهاجم فقط الوصول للقراءة المجهولة إلى خادم Rsync، لتنفيذ تعليمات برمجية عشوائية على الجهاز الذي يعمل عليه الخادم".

كما أشار CERT/CC إلى أنه يمكن للمهاجم دمج CVE-2024-12084 وCVE-2024-12085 لتحقيق تنفيذ تعليمات برمجية عشوائية على عميل يعمل عليه خادم Rsync.

تم إصدار التصحيحات لهذه الثغرات في إصدار Rsync 3.4.0. بالنسبة للمستخدمين الذين لا يمكنهم تطبيق التحديث، يُوصى بالخطوات التالية للتخفيف:

• :CVE-2024-12084 تعطيل دعم SHA*

• :CVE-2024-12085 Compile with -ftrivial-auto-var-init=zero

تساعد هذه التعديلات على تقليل المخاطر المرتبطة بالثغرات الأمنية المذكورة.

تحذر شركة Fortinet من ثغرة جديدة تُستخدم في الهجمات على جدران الحماية
 

14 يناير 2025

يشير باحثو الأمن السيبراني إلى حملة جديدة استهدفت أجهزة جدران الحماية Fortinet FortiGate التي تحتوي على واجهات إدارة مكشوفة على الإنترنت العام.

أعلنت شركة الأمن السيبراني Arctic Wolf في تحليل نشرته: "شملت الحملة تسجيلات الدخول الإدارية غير المصرح بها على واجهات إدارة جدران الحماية، وإنشاء حسابات جديدة، والمصادقة عبر SSL VPN من خلال تلك الحسابات، بالإضافة إلى تغييرات مختلفة في الإعدادات".

ويُعتقد أن النشاط الخبيث بدأ في منتصف نوفمبر 2024، حيث تمكن مهاجمون مجهولون من الوصول غير المصرح به إلى واجهات الإدارة في جدران الحماية المتأثرة لتعديل الإعدادات واستخراج بيانات الاعتماد باستخدام DCSync.

لم يتم تحديد الطريقة الدقيقة للوصول الأولي بعد، رغم أنه تم تقييم ذلك "بثقة عالية" على أنه من المحتمل أن يكون ناتجًا عن استغلال ثغرة يوم الصفر، نظرًا لـ "الجدول الزمني المضغوط عبر المنظمات المتأثرة وكذلك إصدارات البرنامج الثابت المتأثرة".

تراوحت إصدارات البرنامج الثابت للأجهزة المتأثرة بين 7.0.14 و7.0.16، التي تم إصدارها في فبراير وأكتوبر 2024 على التوالي.

تمت ملاحظة أن الحملة مرت بأربع مراحل هجوم متميزة بدأت حوالي 16 نوفمبر 2024، مما سمح للمهاجمين بالتقدم من مسح الثغرات والاستطلاع إلى تغييرات في الإعدادات والتحرك الجانبي.

أفاد باحثو Arctic Wolf: "ما يميز هذه الأنشطة مقارنة بأنشطة جدران الحماية المشروعة هو استخدامهم المكثف لواجهة jsconsole من عدد قليل من عناوين IP غير المعتادة".

وأضافوا: "نظرًا للاختلافات الدقيقة في تقنيات وأساليب الهجوم والبنية التحتية بين الاقتحامات، من الممكن أن يكون العديد من الأفراد أو المجموعات قد شاركوا في هذه الحملة، ولكن استخدام jsconsole كان خيطًا مشتركًا عبر الجميع".

باختصار، كانت عمليات الاقتحام الرقمية تتضمن تسجيل المهاجمين الدخول إلى واجهات إدارة جدران الحماية لإجراء تغييرات في الإعدادات، بما في ذلك تعديل إعداد الإخراج من "standard" إلى "more"، وذلك كجزء من جهود الاستطلاع المبكرة، قبل إجراء تغييرات أكثر شمولاً لإنشاء حسابات مشرفين جدد في بداية ديسمبر 2024.

يقال إنه تم استخدام هذه الحسابات الجديدة لإنشاء ما يصل إلى ستة حسابات مستخدمين محليين جدد وإضافتها إلى المجموعات الموجودة التي كانت قد تم إنشاؤها مسبقًا من قبل المنظمات الضحية للوصول عبر SSL VPN. وفي حوادث أخرى، تم اختراق الحسابات الحالية وإضافتها إلى المجموعات التي لديها وصول عبر VPN.

أشارت شركة Arctic Wolf إلى أنه "تم أيضًا رصد المهاجمين وهم يقومون بإنشاء بوابات SSL VPN جديدة، حيث أضافوا إليها حسابات المستخدمين مباشرة". وأضافت: "بعد إجراء التغييرات اللازمة، أنشأ قنوات مع الأجهزة المتأثرة. وكانت جميع عناوين IP الخاصة بالعملاء في القنوات تأتي من عدد قليل من مزودي خدمات الاستضافة عبر virtual private server (VPS)".

اختتمت الحملة باستخدام المهاجمين للوصول عبر SSL VPN لاستخراج بيانات الاعتماد للتحرك الجانبي باستخدام تقنية تسمى DCSync. ومع ذلك، لا يوجد حاليًّا رؤية واضحة لأهدافهم النهائية، حيث تم مسح الأدلة من البيئات المخترقة قبل أن تتمكن الهجمات من الانتقال إلى المرحلة التالية.

ولتقليل هذه المخاطر، من الضروري ألا تقوم المنظمات بكشف واجهات إدارة جدران الحماية الخاصة بها على الإنترنت، وأن تحد من الوصول إلى المستخدمين الموثوقين فقط.

أعلنت الشركة: "لم تقتصر الضحايا في هذه الحملة على أي قطاعات أو أحجام منظمات معينة". وأضافت: "إن تنوع ملفات تعريف المنظمات الضحية إلى جانب ظهور أحداث تسجيل الدخول والخروج الآلي يشير إلى أن الاستهداف كان انتهازيًا بطبيعته بدلاً من أن يكون موجهًا عمدًا ومنهجيًا".

ارتفاع الهجمات الإلكترونية بنسبة 75% على مستوى العالم - الربع الثالث من عام 2024 - "Check Point"
 

متوسط الهجمات الإلكترونية الأسبوعية لكل منظمة (عالميًا 2021-2024)
 

• ارتفاع قياسي في الهجمات: في الربع الثالث من عام 2024، تم تسجيل ما معدله 1,876 هجوم إلكتروني لكل منظمة، مما يمثل زيادة بنسبة 75٪ مقارنة بنفس الفترة في عام 2023 وارتفاع بنسبة 15٪ عن الربع السابق.

   
  
   

• التفاصيل حسب الصناعة: كان قطاع التعليم/البحث هو الأكثر استهدافًا بـ 3,828 هجومًا أسبوعيًّا، يليه قطاع الحكومة/الجيش بـ 2553 والرعاية الصحية بـ 2434 هجومًا. والجدير بالذكر أن قطاع بائعي الأجهزة شهد أكبر زيادة سنوية، حيث ارتفعت الهجمات بنسبة 191%.

• أبرز الأحداث الإقليمية: واجهت إفريقيا أعلى متوسط للهجمات بواقع 3,370 هجومًا أسبوعيًا (+90٪ على أساس سنوي)، بينما شهدت أوروبا وأمريكا اللاتينية أيضًا زيادات كبيرة.

• برامج الفدية: تهديد مستمر: تم الإبلاغ عن أكثر من 1,230 حادثة برامج فدية، وكانت أمريكا الشمالية الأكثر تضررًا (57٪ من الحوادث)، تليها أوروبا 24) ٪).

• شهد المشهد الرقمي ارتفاعًا غير مسبوق في الهجمات الإلكترونية في جميع أنحاء العالم في الربع الثالث من عام 2024. وشهدت هذه الفترة تصعيدًا كبيرًا في حجم وشدة التهديدات الإلكترونية التي تواجهها المنظمات، مما ألقى الضوء على تكتيكات مجرمي الإنترنت المتطورة والحاجة الملحة إلى دفاعات إلكترونية معززة.

المهاجمون يرفعون مستوى هجماتهم باستخدام برامج الفدية– "تقرير التنبؤ بالتهديدات لـ 2025 من Fortinet"
 

• يفحص تقرير توقعات التهديدات لهذا العام كيف تتطور اتجاهات الهجمات السيبرانية طويلة المدى، ويشارك التهديدات الناشئة التي يجب مراقبتها في عام 2025. 

• برامج الفدية لا تزال تشكل تهديدًا خطيرًا لمعظم المؤسسات ونظرًا للمنافسة المتزايدة بين الجهات الفاعلة في هذا المجال، فقد توقعنا في عام 2023 أن يصبح مجرمو الإنترنت أكثر عدوانية وأن يوسعوا قوائم أهدافهم وخططهم.

• كما تم التوقع بأن يبحث الخصوم عن مدفوعات أكبر، مع التركيز على الأهداف ذات القيمة العالية وكما كان متوقعًا، شهد العام الماضي زيادة كبيرة في الهجمات العدوانية، حيث عطل المهاجمون الصناعات والعمليات الحيوية واستخدموا أدوات مدمرة لإحداث أضرار دائمة للضحايا، وفيما يلي نظرة عامة على العديد من أحداث برامج الفدية الرئيسة في العام الماضي والتي توضح هذه التطورات.
   

• هجمات على قطاع الرعاية الصحية: 
  يواصل مجرمو الإنترنت استهداف مقدمي الرعاية الصحية، وقد أدى العديد من الهجمات الكبرى إلى تعطيل عمليات المستشفيات وتهديد سلامة المرضى. وتسلط مثل هذه الهجمات الضوء على ضعف الصناعة أمام برامج الفدية، حيث يمكن أن يؤدي التوقف عن العمل إلى عواقب تهدد الحياة. في مارس 2024، وقعت شركة فواتير التأمين الصحي الأمريكية ضحية لهجوم برامج الفدية من قبل مجموعة BlackCat/AlphV سيئة السمعة، والتي ورد أنها دفعت فدية قدرها 22 مليون دولار لاستعادة الخدمات ومنع المزيد من الانقطاعات. وأدى الهجوم، الذي أثر على ما يصل إلى ثلث الأمريكيين، إلى انقطاع المدفوعات للأطباء ومرافق الرعاية الصحية، إلى جانب صعوبات في الفواتير وتعبئة الوصفات الطبية.
   

• اضطرابات قطاع المرافق والطاقة:
  كانت شركات المرافق، وخاصة في قطاع الطاقة، أهدافًا متزايدة لمجموعات برامج الفدية التي تسعى إلى إحداث اضطراب واسع النطاق وتأمين مدفوعات عالية. كما استهدفت هجمات برامج الفدية مرافق إدارة المياه، مما أدى إلى تعطيل خدمات تنقية المياه وتوزيعها. وتسببت إحدى الحوادث الأخيرة في دفع السلطات المحلية إلى إصدار إشعارات بغلي الماء للمجتمعات المتضررة، مما يؤكد نقاط الضعف في قطاع المرافق. في هذه الحالة، لم يكتف المهاجمون بتشفير البيانات، بل هددوا بتغيير معايير جودة المياه، مما أثار مخاوف تتعلق بالسلامة العامة وأوضح تحرك قطاع التهديدات نحو تكتيكات أكثر عدوانية وربما ضارة.
   

• استهداف قطاع التصنيع لأقصى قدر من الاضطراب:
  شهدت صناعة التصنيع أيضًا ارتفاعًا في هجمات برامج الفدية، حيث استهدف المهاجمون أنظمة التشغيل الآلي لإيقاف خطوط الإنتاج، مما أدى إلى خسائر مالية كبيرة تسبب هجوم برامج الفدية BlackSuit على أحد موردي برامج السيارات في توقف الإنتاج عبر العديد من شركات تصنيع السيارات في أمريكا الشمالية، أدى ذلك إلى تأخيرات في تصنيع المركبات، وتأثر سلاسل التوريد، وخلق آثار متتالية واسعة النطاق عبر الصناعة.
   

• المؤسسات المالية تواجه أدلة جديدة على برامج الفدية:
  وفقًا لمركز تبادل وتحليل معلومات الخدمات المالية، في عام 2024، أفاد حوالي 65٪ من المؤسسات المالية بالتعامل مع قضايا تتعلق ببرامج الفدية. مع استغلال المهاجمين بشكل متزايد للتكتيكات التي تتجاوز التشفير، أصبحت المؤسسات المالية أهدافًا رئيسة، تسلط الهجمات الأخيرة الضوء على التطور نحو أساليب تركز على الابتزاز في القطاع المالي، مثل التهديد بكشف السجلات المالية لعملاء البنوك البارزين. حساسية البيانات والسمعة تجعل المؤسسات أكثر ميلاً إلى الدفع.
   

• صعود برامج الفدية كخدمة (RaaS):
  نموذج "Ransomware as a service RaaS" ، على الرغم من أنه ليس جديدًا، فقد مكّن مجموعة أوسع من مجرمي الإنترنت من شن هجمات متطورة دون مهارات تقنية عميقة وفتح مصدر دخل جديد للشركات التابعة على سبيل المثال، كانت مجموعة برامج الفدية Black Basta لاعبًا بارزًا في عام 2024 وهي تستفيد من نموذج RaaS لإطلاق هجمات متعددة عالية التأثير عبر القطاعات في إحدى الحالات، تم استهداف متعاقد حكومي في صناعة الدفاع، مما أدى إلى كشف معلومات عقد حساسة. زادت الشركات التابعة لـ Black Basta RaaS من الهجمات على البنية التحتية الحيوية، مما يوضح كيف وسع هذا النموذج الوصول إلى قدرات برامج الفدية وشجع المهاجمين الأقل خبرة.

• 7 أشكال للتصيد الاحتيالي

• Siri:
  هو المساعد الافتراضي من Apple لأجهزة iOS وmacOS وtvOS وwatchOS والذي يستخدم التعرف على الصوت ويتم تشغيله بواسطة الذكاء الاصطناعي (AI). (المصدر)

  
   

• RuStore:
  هو متجر تطبيقات روسي تم تطويره لأجهزة Android. يحتوي كتالوج RuStore على ما يقرب من 4000 لعبة وخدمة تقدمها شركات التكنولوجيا والبنوك ومقدمو خدمات الهاتف المحمول والأسواق والمطورون الآخرون. تم إطلاق RuStore في مايو 2022 وأصبح بالفعل متجر التطبيقات الروسي الرائد بأكثر من 7 ملايين مستخدم. (المصدر)

   

• CYFIRMA:
  هي منصة توفر تحليلات استخباراتية سيبرانية قائمة على البرمجيات كخدمة (Software as a service - SaaS). وتستفيد المنصة التي تقدمها الشركة من الذكاء الاصطناعي والتعلم الآلي لتوفير حل مثل تحليل المشتبه بهم وتحليل سلوك الجهات الفاعلة المهددة واكتشاف الشذوذ. وهي توفر للعملاء استخبارات متعددة الطبقات تغطي الرؤى الاستراتيجية والإدارية والتشغيلية. وهي تخدم قطاعات مختلفة مثل التصنيع والخدمات المالية وتجارة التجزئة والمنتجات الصناعية والموارد الطبيعية والمستحضرات الصيدلانية. (المصدر)

   

• WebView:
  Android System WebView هو أحد مكونات النظام لنظام التشغيل Android (OS) الذي يتيح لتطبيقات Android عرض محتوى الويب مباشرة داخل التطبيق. (المصدر)

   

• Firebase Cloud Messaging (FCM):

  هي خدمة سحابية مجانية من Google تتيح لمطوري التطبيقات إرسال إشعارات ورسائل إلى المستخدمين عبر مجموعة متنوعة من المنصات، بما في ذلك Android وiOS وتطبيقات الويب. يتم توفير FCM بواسطة Firebase، وهي شركة استحوذت عليها Google في عام 2014. (المصدر)

   

• القيادة والتحكم (C2):

  تتضمن Command and Control "C2" عادةً قناة سرية واحدة أو أكثر، ولكن اعتمادًا على الهجوم، يمكن أن تختلف الآليات المحددة بشكل كبير. يستخدم المهاجمون قنوات الاتصال هذه لتوصيل التعليمات إلى الجهاز المخترق لتنزيل برامج ضارة إضافية أو إنشاء شبكات روبوتية أو استخراج البيانات. (المصدر)

   

• CDEK:
  هي شركة تقدم خدمات توصيل البريد السريع. تقدم خدمات توصيل المستندات والشحنات والخدمات اللوجستية والبريد السريع ومركز الاتصال غير الصوتي والقوائم الصوتية التفاعلية، والحساب الشخصي المريح والعملي وخدمات الاستشارة عبر الإنترنت والمزيد. (المصدر)

   

• Malvertising:
  يُطلق مصطلح "الإعلانات الخبيثة" على الإعلانات التي يتم التحكم فيها بشكل إجرامي داخل البرامج المتصلة بالإنترنت، وعادةً متصفحات الويب (هناك استثناءات)، والتي تضر عمدًا بالأشخاص والشركات من خلال جميع أنواع البرامج الضارة والبرامج غير المرغوب فيها والاحتيال المتنوع. بعبارة أخرى، يستخدم "الإعلانات الخبيثة" ما يبدو أنه إعلان مشروع عبر الإنترنت لتوزيع البرامج الضارة والتهديدات الأخرى دون الحاجة إلى تفاعل المستخدم. (المصدر)

   

• ملفات التكوينات:
  هي عبارة عن ملف تعريف XML أو ملف بصيغة json يتبع بنية معينة ويتكون من حمولات تقوم بتحميل معلومات المصادقة والإعدادات على أجهزة Apple. يعمل الملف على التنفيذ التلقائي لتكوين الإعدادات والحسابات والقيود وبيانات الاعتماد. يمكن إنشاء هذه الملفات بواسطة حل Mobile device management "MDM" أو أداة إعداد Apple لـ Mac، أو يمكن إنشاؤها يدويًا. قبل أن ترسل المؤسسات التكوين إلى جهاز Apple، يجب عليها تسجيل الجهاز في حل MDM باستخدام ملف تعريف التسجيل. (المصدر)

   

• الويب المظلم:
  الويب المظلم هو جزء من الإنترنت يتيح للمستخدمين إخفاء هويتهم وموقعهم الجغرافي عن الآخرين وعن هيئات إنفاذ القانون. نتيجةً لذلك، يمكن استخدام الويب المظلم لبيع معلومات شخصية مسروقة. (المصدر)

   

• جدار الحماية أو الجدار الناري:
  جدار الحماية هو جهاز أمان للشبكة يراقب حركة المرور الواردة والصادرة للشبكة، ويقرر ما إذا كان سيسمح بحركة مرور معينة، أو يحظرها بناءً على مجموعة محددة من قواعد الأمان. كانت جدران الحماية خط الدفاع الأول في أمان الشبكة لأكثر من 25 عامًا. فهي تنشئ حاجزًا بين الشبكات الداخلية المؤمنة والخاضعة للرقابة، والتي يمكن الوثوق بها والشبكات الخارجية غير الموثوق بها، مثل الإنترنت. يمكن أن يكون جدار الحماية عبارة عن أجهزة أو برامج أو البرمجيات كخدمة (SaaS) أو سحابة عامة أو سحابة خاصة (افتراضية). (المصدر)

   

• IP:
  عنوان IP هو عنوان فريد يعرّف الجهاز على الإنترنت أو شبكة محلية. ويرمز الاختصار IP إلى عبارة "بروتوكول الإنترنت"، وهو عبارة عن مجموعة من القواعد التي تحكم تنسيق البيانات المرسلة عبر الإنترنت أو الشبكة المحلية. (المصدر)

   

• SSL VPNs:
  نشأت شبكات VPN المعتمدة على بروتوكول SSL كرد فعل على تعقيد إطار عمل أمان بروتوكول الإنترنت (IPsec)، وعدم القدرة على دعم كل مستخدم نهائي - وخاصة المستخدمين عن بُعد - من كل منصة متاحة. توفر شبكة VPN المعتمدة على بروتوكول SSL بشكل عام شيئين: الوصول الآمن عن بُعد عبر بوابة ويب، والوصول على مستوى الشبكة عبر نفق مؤمن ببروتوكول SSL بين العميل وشبكة الشركة. الفائدة الأساسية لشبكة VPN المعتمدة على بروتوكول SSL هي أمان البيانات والخصوصية. (المصدر)

   

• DCSync
  هو هجوم يسمح للمهاجم بمحاكاة سلوك وحدة تحكم المجال (domain controller "DC") واسترداد بيانات كلمة المرور عبر تكرار المجال. (المصدر)

   

• Virtual Private Server (VPS):
  يعمل الخادم الخاص الافتراضي، المعروف أيضًا باسم VPS، كبيئة افتراضية معزولة على خادم فعلي، والذي يمتلكه ويديره مزود استضافة سحابي أو ويب. تستخدم استضافة VPS تقنية المحاكاة الافتراضية لتقسيم جهاز فعلي واحد إلى بيئات خادم خاصة متعددة تتشارك الموارد. (المصدر)

   

• :Session Initiation Protocol (SIP)
  هو بروتوكول إشارات يستخدم لإنشاء وإدارة وإنهاء جلسات الوسائط المتعددة، مثل المكالمات الصوتية ومؤتمرات الفيديو والمراسلة الفورية. وهو يستخدم على نطاق واسع في شبكات الاتصالات، بما في ذلك أنظمة VoIP (نقل الصوت عبر IP) ومؤتمرات الفيديو. (المصدر)

   

• Root:
  هو أعلى مستوى من الصلاحيات في نظام الكمبيوتر. يُعرف أيضًا باسم المستخدم الجذر Root User أو المستخدم الفائق Super User. (المصدر)

   

• Storage Kit:
  وهي حل لكل ما يتعلق بتخزين البيانات ومشاركتها. بعبارة أخرى، يتيح هذا المنتج الجديد تخزين البيانات المشفرة والموزعة، بالإضافة إلى مشاركة البيانات التي تحافظ على الخصوصية. ويمكن استخدامه لتخزين المفاتيح أو بيانات الهوية أو الأسرار الأخرى على الخوادم والأجهزة الطرفية ويمكنه دعم أي تطبيق. (المصدر)

   

• Secure Boot:
  ميزة أمان مهمة مصممة لمنع تحميل البرامج الضارة عند بدء تشغيل جهاز الكمبيوتر الخاص بك. تتمتع معظم أجهزة الكمبيوتر الحديثة بالقدرة على التمهيد الآمن، ولكن في بعض الحالات، قد تكون هناك إعدادات تجعل الكمبيوتر يبدو غير قادر على التمهيد الآمن. يمكن تغيير هذه الإعدادات في البرامج الثابتة للكمبيوتر. البرامج الثابتة، والتي تسمى غالبًا BIOS (نظام الإدخال/الإخراج الأساسي)، هي البرامج التي يتم تشغيلها قبل Windows عند تشغيل الكمبيوتر لأول مرة. (المصدر)

   

• Hyper-V:
  هو منتج المحاكاة الافتراضية للأجهزة من إنتاج شركة Microsoft. فهو يتيح لك إنشاء وتشغيل إصدار برمجي من جهاز كمبيوتر، يُسمى الجهاز الظاهري. يعمل كل جهاز ظاهري كجهاز كمبيوتر كامل، حيث يقوم بتشغيل نظام التشغيل والبرامج. وعندما تحتاج إلى موارد حوسبة، توفر لك الأجهزة الظاهرية مزيدًا من المرونة، وتساعد على توفير الوقت والمال، كما أنها طريقة أكثر كفاءة لاستخدام الأجهزة مقارنة بتشغيل نظام تشغيل واحد على أجهزة مادية. (المصدر)

   

• VMBus:
  هو بنية برمجية توفرها Hyper-V لأجهزة VM الضيف. وهي تتألف من مسار تحكم ومرافق مشتركة تستخدمها الأجهزة الاصطناعية التي تقدمها Hyper-V لأجهزة VM الضيف. ويُستخدم مسار التحكم لتقديم أجهزة اصطناعية إلى جهاز VM الضيف، وفي بعض الحالات، لإلغاء تلك الأجهزة. وتتضمن المرافق المشتركة قنوات برمجية للتواصل بين برنامج تشغيل الجهاز في جهاز VM الضيف وتنفيذ الجهاز الاصطناعي الذي يشكل جزءًا من Hyper-V، وبدائيات الإشارة للسماح لـ Hyper-V والضيف بمقاطعة بعضهما البعض. (المصدر)

   

• 0patch:
  توفر 0patch تصحيحات مصغرة من التعليمات البرمجية ("تصحيحات صغيرة") لأجهزة الكمبيوتر والأجهزة الأخرى في جميع أنحاء العالم من أجل إصلاح نقاط الضعف في البرامج في مختلف المنتجات، حتى تلك المغلقة المصدر. مع 0patch، لا توجد عمليات إعادة تشغيل أو توقف مؤقت عند التصحيح ولا خوف من أن يؤدي التحديث الرسمي الضخم إلى تعطيل الإنتاج. (المصدر)

   

• Reliable Multicast Transport Driver (RMCAST):
  يعد برنامج تشغيل النقل المتعدد البث الموثوق به لنظام التشغيل Windows (RMCAST) أحد المكونات داخل نظام التشغيل Windows الذي يتيح نقل البيانات المتعددة الموثوق به. (المصدر)

   

• SPNEGO:
  هي مواصفات قياسية محددة في آلية التفاوض البسيطة والمحمية لـ Generic Security Service Application Programming Interface "GSS-API" (IETF RFC 2478). (المصدر)

   

• Microsoft Digest:
  هو موفر دعم أمان (SSP) ينفذ بروتوكول Digest Access، وهو بروتوكول مصادقة للأطراف المشاركة في الاتصالات المستندة إلى بروتوكول نقل النص التشعبي (HTTP) أو طبقة أمان المصادقة البسيط (Simple Authentication and Security Layer "SASL"). (المصدر)

   

• BitLocker:
  هي ميزة أمان لنظام التشغيل Windows تعمل على توفير التشفير لمجلدات كاملة، مما يعالج تهديدات سرقة البيانات أو تعريضها للخطر من الأجهزة المفقودة أو المسروقة أو التي تم إيقاف تشغيلها بشكل غير مناسب. (المصدر)

   

• UNIX:
  هو نظام تشغيل. وتتلخص مهمة نظام التشغيل في تنظيم الأجزاء المختلفة من الكمبيوتر -- المعالج، والذاكرة المدمجة، ومحركات الأقراص، ولوحات المفاتيح، وشاشات الفيديو، وما إلى ذلك -- لأداء مهام مفيدة. ونظام التشغيل هو المتحكم الرئيس في الكمبيوتر، والربط الذي يربط بين جميع مكونات النظام، بما في ذلك المسؤولون والمبرمجون والمستخدمون. وعندما تريد من الكمبيوتر أن يقوم بشيء ما نيابة عنك، مثل بدء تشغيل برنامج، أو نسخ ملف، أو عرض محتويات دليل، فإن نظام التشغيل هو الذي يتعين عليه تنفيذ هذه المهام نيابة عنك. (المصدر)

   

• CERT/CC:
  (فريق الاستجابة لحالات الطوارئ الحاسوبية/مركز التنسيق) يعد CERT/CC، وهو جزء من معهد هندسة البرمجيات بجامعة كارنيجي ميلون، وهو مركز رئيس للإبلاغ عن مشاكل أمن الإنترنت. تأسس CERT/CC في عام 1988 ويتلقى تمويلًا فيدراليًا، ويقوم موظفوه بتنسيق الاستجابات لانتهاكات الأمن وتقديم المساعدة الفنية. (المصدر)

   

• SSH:
  هو بروتوكول شبكة يمنح المستخدمين - وخاصة مسؤولي الأنظمة - طريقة آمنة للوصول إلى جهاز كمبيوتر عبر شبكة غير آمنة. (المصدر)

   

• bashrc:
  هو ملف تكوين لواجهة Bash. يتكون الملف من أوامر ووظائف وأسماء مستعارة وبرامج نصية يتم تنفيذها في كل مرة تبدأ فيها جلسة Bash على Linux أو macOS. (المصدر)

   

• Popt:
  تحتوي حزمة Popt على مكتبات Popt التي تستخدمها بعض البرامج لتحليل خيارات سطر الأوامر. (المصدر)