اضغط هنا لتصفح النشرة من الموقع

صباح الخير قراءنا الكرام،

مرحبًا بكم في العدد الجديد من نشرة أمن المعلومات والتي تتناول شهريًا أهم الأحداث الخاصة بأمن المعلومات، إضافةً إلى التوعية بمخاطر الفضاء الإلكتروني.

يرصد هذا العدد مجموعة من أبرز الأحداث في مجال أمن المعلومات، فضلًا عن الثغرات والهجمات الإلكترونية التي تهم المستخدمين.

أهم الأخبار:

• هجمات تخمين كلمات المرور (Password-spraying) تستهدف 80,000 حساب من Microsoft Entra ID.

• حملة جديدة لبرمجية Atomic macOS Stealer تستغل ثغرة ClickFix لاستهداف مستخدمي أجهزة Apple.

•  تسريب بيانات 7.4 ملايين مواطن باراغواي على شبكة الإنترنت المظلمة Dark Web.

• مكتب التحقيقات الفيدرالي FBI: برمجية BADBOX 2.0 الخبيثة تصيب ملايين من أجهزة Android الخاصة بالمستهلكين.

مخاطر وثغرات:

• تصدر Google تحديثًا طارئًا لمعالجة ثغرة جديدة في متصفح Chrome يتم استغلالها بنشاط.

• ثغرات أمنية حرجة في منتجات Trend Micro تتطلب تحديثات فورية.

• ثغرة حرجة في Cisco ISE تتيح تجاوز المصادقة تؤثر في عمليات النشر السحابية في AWS وAzure وOCI.

• برامج الفدية Qilin تستغل ثغرات Fortinet الحرجة في هجماتها الجديدة.

مؤشرات وإحصائيات:

• إحصائيات التهديدات على الأجهزة المحمولة: تطور التهديدات الأمنية خلال الربع الأول من عام 2025 – Securelist.

معلومة أمنية:

• الدفاع ضد البرامج الضارة: العدو الخفي.

شاهد:

• كيف يتم اختراق بريدك الإلكتروني؟

تعريفات:

• اختبار الاختراق 

• backdoor 

• Microsoft Entra ID 

• User Agent 

• OAuth 2.0 client 

• SecureWorks 

• Enumeration

• الهندسة الاجتماعية 

• The Atomic macOS Stealer (AMOS) 

• hCaptcha 

• CAPTCHA

• PureLogStealer

• DanaBot

• Lateral Movement

• PowerShell 

• Terminal 

• script 

• Turnstile 

• HTTP POST  

• LockBit 

• BADBOX 

• Command and Control (C2) 

• Insecure Deserialization 

• Apex Central 

• ConvertFrom-Json 

• POC 

• Fortinet 

• SuperBlack 

• zero-day 

• Shadowserver

• RAT 

• عنوان IP

هجمات تخمين كلمات المرور (Password-spraying) تستهدف 80.000 حساب من Microsoft Entra ID

12 يونيو 2025

تعرض أكثر من 80.000 حساب على منصة Microsoft Entra ID المعروفة سابقًا بـ Azure Active Directory لهجمات تخمين كلمات المرور (Password-Spraying) في مئات المؤسسات حول العالم.
 

• الفاعل: مجموعة تهديدات تُعرف باسم UNK_SneakyStrike، وفقًا لشركة الأمن السيبراني Proofpoint.

   

• الأداة المستخدمة: استخدم المهاجمون إطار عمل اختبار الاختراق TeamFiltration (المطور عام 2022) لتنفيذ الهجمات على نطاق واسع، فهو إطار عمل متعدد الأنظمة لإحصاء حسابات O365 EntraID، والوصول إلى بياناتها، واختراقها من خلال زرع أبواب خلفية.

   

• التوقيت والذروة: بدأت الحملة في ديسمبر 2024، وبلغت ذروتها في 8 يناير 2025، حيث استهدفت 16,500 حساب في يوم واحد.

   

• المنهجية:

  • استهداف جميع المستخدمين في المؤسسات الصغيرة، واختيار مجموعات فرعية في المؤسسات الكبيرة.

  • استخدام خوادم Amazon Web Services (AWS) في مناطق متعددة (42% من الهجمات من الولايات المتحدة).

  • إساءة استخدام واجهة برمجة تطبيقات API Microsoft Teams عبر حساب "طُعم" يحمل ترخيص Business Basic في Office 365 لتعداد الحسابات (enumeration).

     

• الكشف: 

  • ربط باحثو Proofpoint الهجمات بـ TeamFiltration من خلال:

    • وكيل مستخدم (User Agent) نادر تستخدمه الأداة.

    • تطابق هويات عملاء OAuth المضمنة في كود الأداة.

    • تطبيقات غير مخصصة للوصول المباشر.

    • وجود نسخة قديمة من مشروع FOCI لشركة Secureworks داخل كود TeamFiltration.

       

• النتيجة: 

  • نجاح المهاجمين في الاستيلاء على حسابات متعددة Account Takeover.

     

• التوصيات الأمنية:

  • حظر جميع عناوين الـ IP المذكورة في قسم مؤشرات الاختراق (IOCs) الذي نشرته شركة Proofpoint.

  • إنشاء قواعد كشف (Detection Rules) تعتمد على سلسلة User-Agent الخاصة بـ TeamFiltration.

  • تفعيل المصادقة متعددة العوامل (MFA) لجميع المستخدمين.

  • فرض استخدام OAuth 2.0 لضمان أمان الوصول.

  • استخدام سياسات الوصول المشروط (Conditional Access) ضمن Microsoft Entra ID لتقييد الوصول بناءً على عوامل مثل الموقع أو نوع الجهاز أو مستوى المخاطرة.

حملة جديدة لبرمجية Atomic macOS Stealer تستغل ثغرة ClickFix لاستهداف مستخدمي أجهزة Apple

06 يونيو 2025

حذر باحثو الأمن السيبراني من حملة برمجيات خبيثة جديدة تستخدم أسلوب الهندسة الاجتماعية المعروف باسم ClickFix لخداع المستخدمين وتحميل برمجية لسرقة المعلومات تُعرف باسم Atomic macOS Stealer (AMOS) على أنظمة Apple macOS، بالإضافة إلى استهداف أنظمة Windows ببرمجيات خبيثة أخرى.

• آلية الهجوم:
  وفقًا لشركة CloudSEK، 

  • التصيد عبر نطاقات مزيفة:

    • إنشاء مواقع تحاكي شركة الاتصالات الأمريكية Spectrum (مثل panel-spectrum[.]net).

    • عرض رسالة تطلب التحقق من hCaptcha تحت ذريعة "مراجعة أمان الاتصال".

       

  • خداع ClickFix وفشل التحقق المزعوم:

    • عند النقر على خيار "I am human"، يتم عرض رسالة خطأ تفيد: "فشل التحقق من CAPTCHA.

    • يُطلب من الضحايا استخدام "تحقق بديل" Alternative Verification

       

  • نسخ الأمر الخبيث:

    • يؤدي النقر على هذا الزر إلى نسخ أمر خبيث إلى حافظة المستخدم (clipboard).

       

  • تعليمات التنفيذ:

    • تظهر للمستخدم مجموعة من التعليمات بناءً على نظام تشغيله. فبينما يتم توجيه مستخدمي Windows لتشغيل أمر PowerShell عبر مربع تشغيل Windows (Windows Run dialog)، يتم استبداله ببرنامج نصي (shell script) يتم تنفيذه عن طريق تشغيل تطبيق Terminal على نظام macOS.

       

  • سرقة المعلومات:

    • يطلب البرنامج النصي من مستخدمي macOS إدخال كلمة مرور نظامهم، ثم يقوم بتنزيل حمولة المرحلة التالية، والتي تكون في هذه الحالة برنامج سرقة المعلومات المعروف باسم Atomic Stealer (AMOS).

       

  • يُعتقد أن النشاط يعود لمجرمين سيبرانيين ناطقين بالروسية بسبب وجود تعليقات باللغة الروسية في الشيفرة المصدرية للبرنامج الضار. 

     

• نقاط ضعف في التنفيذ:

  • تعليمات متناقضة: عرض أوامر Windows (Windows + R) لمستخدمي Mac/Linux.

  • نسخ أوامر "PowerShell" لوكيل مستخدم Linux.

     

• اتساع الحملة:

  • تم رصد هجمات ClickFix في أوروبا، الشرق الأوسط، إفريقيا (EMEA)، والولايات المتحدة، مع تزايد ملحوظ خلال 2024-2025.

  • تستخدم نفس الأسلوب بغض النظر عن التعديلات:

    • تحميل فيروسات تجسس (Stealers)

    • أحصنة طروادة (Trojans)

    • برامج وصول عن بُعد (RATs)

    • وحتى برمجيات الفدية (Ransomware)

       

  • مثال: كشفت شركة Cofense عن حملة تصيد بريد إلكتروني تنتحل موقع Booking.com وتستهدف سلاسل الفنادق وقطاع خدمات الطعام، حيث تستخدم الحملة CAPTCHA مزيفة تؤدي إلى تحميل برمجيات خبيثة مثل: PureLogs Stealer وDanaBot وأفادت Cofense أن بعض العينات تستخدم نوافذ قبول ملفات تعريف الارتباط (Cookies) مزيفة، حيث يؤدي الضغط على زر "قبول" إلى تحميل برمجيات خبيثة يُطلب من المستخدم تشغيلها يدويًّا.

     

  • في حادثة تم تحليلها في أبريل 2025، استخدم مهاجمون مجهولون أسلوب ClickFix لتنفيذ ما يلي:

    • تحميل برمجيات خفية للتوغل في النظام.

    • تنفيذ حركة أفقية داخل الشبكة (Lateral Movement).

    • إرسال بيانات النظام إلى خادم خارجي عبر طلب HTTP POST.

    • استخراج البيانات الحساسة من الأجهزة المستهدفة.

       

• ملخص:

  • ClickFix  هو أسلوب هندسة اجتماعية يعتمد على خداع المستخدمين بواجهات مزيفة.

  • هدفه أن يُجبر المستخدم على تنفيذ أوامر ضارة بنفسه.

  • تُستخدم نسخ مزيفة من:

    • Google reCAPTCHA

    • Cloudflare Turnstile

  • قد تُحقن حتى في مواقع حقيقية مُخترقة لخداع المستخدم.

  • مستخدمو الإنترنت اليوم معتادون على اختبارات CAPTCHA والتنبيهات الأمنية، وأصبحوا يضغطون عليها بسرعة دون تفكير. يستغل المهاجمون هذا الإرهاق الناتج عن تكرار التحقق، وهم يعلمون أن العديد من المستخدمين سيوافقون على أي خطوات تظهر لهم إذا بدت طبيعية.
     

تسريب بيانات 7.4 ملايين مواطن باراغواي على شبكة الإنترنت المظلمة Dark Web

13 يونيو 2025

كشفت شركة Resecurity عن تسريب بيانات 7.4 ملايين مواطن من باراغواي على شبكة الإنترنت المظلمة Dark Web، حيث طلب القراصنة فدية 7.4 ملايين دولار، ما يعادل دولارًا واحدًا لكل مواطن.

• طريقة النشر:

  • تم نشر البيانات عبر منتديات إنترنت خفية underground forums وملف تورنت Torrent لتسهيل التحميل عبر شبكات الند للند P2P.

  • هذه التكتيكات تشبه أساليب مجموعة LockBit 3.0 الإجرامية.

     

• فقدان شامل للبيانات واتهامات للحكومة

  • باراغواي فقدت بيانات المواطنين بالكامل من عدة أنظمة حكومية. 

  • القراصنة اتهموا الحكومة بـالفساد والإهمال في حماية البيانات، والحكومة رفضت دفع الفدية دون توضيحات. 

  • كما تم اختراق حساب رئيس باراغواي على تويتر قبل التسريب.

     

• المصادر المحتملة للبيانات المسربة

  • يُعتقد أن البيانات جاءت من ثلاث جهات حكومية:

    • الوكالة الوطنية للمرور والسلامة الطرقية 

    • وزارة الصحة العامة والرعاية الاجتماعية 

    • نظام حكومي ثالث غير معروف

       

• اختراقات متكررة في 2025

  • باراغواي تعرضت لهجمات كبيرة في 2025، منها:

    • تسريبات من المحكمة العليا للعدالة الانتخابية (TSJE)، وكشف عن معلومات لأكثر من 7 ملايين شخص.

    • تسريبات من وزارة المالية، والبنك المركزي، حيث تم نشر ملف يحتوي على أكثر من 17,000 سجل تضمنت معلومات حساسة، مثل؛ الرواتب والأرقام القومية.

       

• حادث تسريب سابق من الشرطة

  • في 2023، تم تسربت بيانات من الشرطة الوطنية، شملت سجلات جنائية وصور لمعتقلين، مما يبرز تكرار ضعف الأمن السيبراني في البلاد.

     

• الجهة الفاعلة ودوافعها المحتملة 

  • القراصنة يصفون أنفسهم كمرتزقة إلكترونيين.

  • المجموعة سمت نفسها Cyber PMC، وتهاجم أنظمة حكومية لتحقيق الربح. من غير الواضح ما إذا كانت جهة أجنبية ترعى هذه الجهات الفاعلة وما إذا كانت دوافعها إجرامية بحتة.

  • بالنظر إلى الهجمات السابقة من جانب الصين، يؤكد هذا التطور الجديد تزايد الهجمات السيبرانية ضد باراغواي. يمكن تفسير هذه الأحداث، التي تحمل أسلوب "الاختراق والتسريب"، على أنها علامة فارقة في حوادث الأمن السيبراني المعروفة اليوم، من حيث الحجم والنطاق، حيث تم ابتزاز دولة بأكملها بسبب اختراق بيانات هائل.

  • عرف أحد الفاعلين الرئيسين بتورطه في عدة اختراقات واسعة النطاق للبيانات في أمريكا الجنوبية، بما في ذلك بوليفيا وفنزويلا والإكوادور، مما أدى إلى سرقة ملايين السجلات الشخصية. دوافعه ليست واضحة تمامًا، حيث إن السعر الذي يقدمه لهذه البيانات ليس جوهريًا. ومن المحتمل أن تُستخدم هذه التكتيكات من قبل استخبارات أجنبية أو جهات فاعلة ترعاها الدولة، لإخفاء عمليات التجسس المستهدفة تحت ستار نشاط إجرامي سيبراني محتمل لطمس أثر الإسناد.

  • اختراق صيني لأنظمة باراغواي في 2024: مجموعة Flax Typhoon المرتبطة بالصين نفذت اختراقًا لأنظمة حكومية في باراغواي العام الماضي، دون تسريب بيانات، وذلك باستخدام برمجيات خبيثة وهجوم من نوع APT.

     

• الخلفية الجيوسياسية: تايوان والصين

  • باراغواي هي الدولة الوحيدة في أمريكا الجنوبية التي تعترف بـاستقلال تايوان، وهو ما قد يجعلها هدفًا لهجمات سيبرانية مدعومة من الصين بسبب التوترات السياسية.

مكتب التحقيقات الفيدرالي FBI: برمجية BADBOX 2.0 الخبيثة تصيب ملايين من أجهزة Android الخاصة بالمستهلكين

05 يونيو 2025

• تحذير من مكتب التحقيقات الفيدرالي (FBI):

  • برمجية BADBOX 2.0 تصيب أكثر من مليون جهاز منزلي متصل بالإنترنت.

  • حذر مكتب التحقيقات الفيدرالي من أن حملة البرمجية الخبيثة BADBOX 2.0 أصابت أكثر من مليون جهاز إلكتروني منزلي متصل بالإنترنت، حيث تم تحويل هذه الأجهزة إلى وكلاء اتصال proxies منزليين تُستخدم في أنشطة خبيثة.

     

• الأجهزة المستهدفة

  • غالبًا ما تُكتشف برمجية BADBOX في أجهزة صينية الصنع تعمل بنظام Android، مثل:

    • أجهزة التلفاز الذكية.

    • أجهزة البث.

    • أجهزة العرض (Projectors)

    • الأجهزة اللوحية.

    • وغيرها من أجهزة إنترنت الأشياء (IoT).

       

• كيف تُصاب الأجهزة؟

  • بعض الأجهزة تأتي محملة مسبقًا بالبرمجية الخبيثة، أو تُصاب بها لاحقًا عند تثبيت تحديثات البرامج الثابتة أو عبر تطبيقات خبيثة تُنشر على متجر Google Play أو متاجر خارجية.

     

• آلية الإصابة

  • وفقًا لمكتب التحقيقات الفيدرالي FBI، يتمكن القراصنة من الوصول إلى الشبكات المنزلية بإحدى طريقتين:

    • تهيئة الأجهزة مسبقًا ببرمجيات خبيثة قبل بيعها.

    • إصابة الجهاز أثناء تنزيل التطبيقات اللازمة، خاصةً في مرحلة الإعداد الأولية.

       

• أهداف البرمجية الخبيثة 

  • بمجرد إصابة الجهاز، يتصل بخوادم المهاجمين (C2) ويتلقى أوامر مثل:

    • تحويل الأجهزة إلى شبكات الوكلاء المنزلية "Proxy": تمرير حركة المرور الإجرامية عبر أجهزة الضحايا لإخفاء الهوية.

    • عمليات احتيال إعلاني: النقر تلقائيًا على إعلانات خفية لتحقيق أرباح غير مشروعة.

    • اختراق الحسابات: اختبار بيانات تسجيل مسروقة باستخدام IP الضحايا (Credential Stuffing).

       

• تطور البرمجية

  • BADBOX 2.0 تطورت من النسخة الأصلية BADBOX التي ظهرت لأول مرة في عام 2023، حين اكتُشفت في أجهزة تلفاز Android منخفضة التكلفة مثل T95.

  • رغم إيقافها مؤقتًا في ألمانيا عام 2024، فإنها ظهرت مجددًا بعدها بأسبوع على 192,000 جهاز جديد، منها أجهزة من علامات معروفة مثل Yandex وHisense.

     

• الانتشار الحالي ونطاق الإصابة:

  • وفقًا لفريق Satori من شركة HUMAN، أصابت BADBOX 2.0 أكثر من مليون جهاز استهلاكي بحلول مارس 2025. البرمجية تستهدف أجهزة:

    • غير معتمدة من Google Play Protect

    • قائمة على Android Open Source Project

    • تُصنع بالكامل في الصين وتُشحن حول العالم

  • وقد رصدت الشركة نشاط البرمجية في 222 دولة وإقليمًا، منها:

    • البرازيل (37.6٪)

    • الولايات المتحدة (18.2٪)

    • المكسيك (6.3٪)

    • الأرجنتين (5.3٪)

       

• جهود الإيقاف

  • بقيادة HUMAN وبمشاركة Google وTrend Micro ومؤسسات أخرى، تم تعطيل الاتصال بين البرمجية وخوادم القراصنة في محاولة لحماية 500,000 جهاز.

  • لكن لا تزال البرمجية تنتشر بسبب شراء المستهلكين لأجهزة مصابة حديثًا.

     

• قائمة نماذج الأجهزة المصابة

  • تشمل أجهزة مثل:
    TV98, X96mini, MX10PRO, KM9PRO, Q96MAX, Hisense smartphones, Yandex TVs …  وغيرها (القائمة الكاملة بالمصدر).

     

• أعراض الإصابة: 

  • ظهور متاجر تطبيقات مشبوهة

  • تعطيل حماية Google Play Protect

  • أجهزة بث تلفزيوني غير معتمدة أو تدعي تشغيل المحتوى المجاني

  • حركة إنترنت غريبة وغير معتادة

     

• نصائح من مكتب التحقيقات الفيدرالي (FBI)

  • فحص الأجهزة: تحقق من كل جهاز متصل بالإنترنت في المنزل.

  • تجنب المصادر غير الموثوقة: لا تثبّت تطبيقات من متاجر غير رسمية.

  • راقب حركة الإنترنت.

  • حدِّث أجهزتك باستمرار.

  • عزل الأجهزة المصابة فورًا: إذا اشتبهت أن جهازًا مصابًا، افصله عن الشبكة فورًا وقيّد وصوله إلى الإنترنت.
     

تصدر Google تحديثًا طارئًا لمعالجة ثغرة جديدة في متصفح Chrome يتم استغلالها بنشاط 
 

03 يونيو 2025

أصدرت جوجل تحديثات أمنية طارئة لمعالجة ثلاث مشكلات أمنية في متصفح Chrome، بما في ذلك ثغرة واحدة أكدت الشركة أنها تُستغل فعليًا في الهجمات.

• تفاصيل الثغرة الأمنية:

  • الثغرة الخطيرة، التي تم تتبعها تحت المعرف CVE-2025-5419 بدرجة خطورة 8.8 وفقًا لمقياس CVSS (نظام تسجيل الثغرات الشائعة).

  • صُنفت على أنها ثغرة قراءة وكتابة خارج الحدود (out-of-bounds read and write) في محرك V8 الخاص بكل من JavaScript وWebAssembly.

  • الاستغلال يتم عبر صفحة HTML معدّة خصيصًا تؤدي إلى تلف في الذاكرة.

     

• الاكتشاف:

  • تم الإبلاغ عن الثغرة يوم 27 مايو 2025، وتم إصلاحها.

  • مكتشفو الثغرة: Clément Lecigne وBenoît Sevens من فريق Google TAG.

     

• استغلال الثغرة:

  • لم تكشف جوجل عن تفاصيل الهجمات أو الجهات المهاجمة، لحماية المستخدمين ومنع مهاجمين آخرين من استغلالها.

     

• الثغرات الإضافية:

  • CVE-2025-5419 هي ثاني ثغرة "جديدة" نشطة يتم إصلاحها في 2025 (بعد CVE-2025-2783 التي استهدفت منظمات في روسيا).

     

• آلية التصحيح:

  • ينصح المستخدمون بالترقية إلى:

    • الإصدار 137.0.7151.68/.69 على Windows/macOS

    • الإصدار 137.0.7151.68 على Linux

  • مستخدمو المتصفحات المبنية على Chromium (مثل Edge، Brave، Opera، (Vivaldi  يجب أن يُحدثوا المتصفح عند توافر التحديثات.

ثغرات أمنية حرجة في منتجات Trend Micro تتطلب تحديثات فورية

12 يونيو 2025
 
  

أصدرت شركة Trend Micro تحديثات أمنية لمعالجة عدة ثغرات حرجة من نوع تنفيذ أوامر عن بُعد وتجاوز المصادقة، تؤثر في منتجات Apex Central وEndpoint Encryption (TMEE) PolicyServer. وأكدت الشركة الأمنية أنه لا توجد أدلة على استغلال هذه الثغرات فعليًا حتى الآن، لكنها توصي بشدة بتطبيق التحديثات الأمنية فورًا لتقليل المخاطر المحتملة.

• المنتجات المتضررة والثغرات:

  • Trend Micro Endpoint Encryption PolicyServer

    • هو خادم إدارة مركزي لحلول التشفير من Trend Micro، يوفّر تشفيرًا كاملًا للقرص وتشفيرًا للوسائط القابلة للإزالة لأجهزة ويندوز. يُستخدم هذا المنتج في البيئات المؤسسية، خاصة في القطاعات الخاضعة للوائح تنظيمية صارمة، حيث تُعد حماية البيانات أمرًا بالغ الأهمية.

    • الثغرات التي تمت معالجتها:

      • CVE-2025-49212

        • ثغرة تنفيذ أوامر عن بُعد RCE دون مصادقة

        • سببها التسلسل غير الآمن (Insecure Deserialization) في فئة PolicyValueTableSerializationBinder

        • يمكن للمهاجم تنفيذ تعليمات برمجية عشوائي بامتيازات SYSTEM دون تسجيل دخول

      • CVE-2025-49213

        • ثغرة تنفيذ عن بُعد RCE دون مصادقة

        • تقع في فئة PolicyServerWindowsService نتيجة تسلسل بيانات غير موثوقة

        • تُمكّن المهاجم من تشغيل تعليمات برمجية بصلاحيات SYSTEM دون مصادقة

      • CVE-2025-49216

        • ثغرة تجاوز المصادقة

        • في خدمة DbAppDomain بسبب خلل في تنفيذ المصادقة

        • يمكن للمهاجم تجاوز عملية تسجيل الدخول بالكامل وتنفيذ تعليمات برمجية على مستوى المسؤول بدون بيانات اعتماد

      • CVE-2025-49217

        • ثغرة تنفيذ عن بُعد RCE دون مصادقة

        • في دالة ValidateToken نتيجة تسلسل غير آمن

        • أصعب قليلاً في الاستغلال لكنها لا تزال تتيح تنفيذ تعليمات برمجية بصلاحيات SYSTEM دون مصادقة

  • كما عالج التحديث أيضًا أربع ثغرات إضافية عالية الخطورة تتضمن:

    • ثغرات حقن أوامر SQL

    • مشاكل تصعيد الامتيازات

  • المعالجة:

    • تمت معالجة جميع هذه الثغرات في الإصدار6.0.0.4013  - Patch 1 Update 6 وتؤثر في جميع الإصدارات السابقة، ولا توجد حلول بديلة أو طرق للتخفيف سوى التحديث.

       

• Apex Central:

  • مجموعة ثانية من الثغرات تم إصلاحها تؤثر في Apex Central، وهي وحدة تحكم مركزية تُستخدم لمراقبة وإدارة منتجات Trend Micro عبر المؤسسة.

  • الثغرات التي تمت معالجتها:

    • CVE-2025-49219 

      • درجة الخطورة (CVSS: 9.8)

      • ثغرة تنفيذ عن بُعد RCE دون مصادقة في دالة GetReportDetailView

      • ناتجة عن تسلسل غير آمن

      • تُمكّن مهاجم غير مصادق من تشغيل تعليمات برمجية ضمن صلاحيات NETWORK SERVICE

    • CVE-2025-49220

      • درجة الخطورة (CVSS: 9.8)

      • ثغرة تنفيذ عن بُعد RCE دون مصادقة في دالة ConvertFromJson

      • ناتجة عن تحقق غير كافٍ من الإدخال أثناء التسلسل

      • تتيح تنفيذ تعليمات برمجية عن بُعد دون الحاجة إلى المصادقة

  • المعالجة:

    • تم إصلاح هذه الثغرات في Patch B7007 لإصدار Apex Central 2019 (النسخة المحلية).

    • أما بالنسبة لإصدار Apex Central كخدمة (SaaS)، فقد تم تطبيق التحديث تلقائيًا في الخلفية.

ثغرة حرجة في Cisco ISE تتيح تجاوز المصادقة تؤثر في عمليات النشر السحابية في AWS وAzure وOCI

05 يونيو 2025

أصدرت شركة Cisco تحديثات أمنية لمعالجة ثغرة حرجة في منتجها Identity Services Engine (ISE)، والتي قد تسمح في حال استغلالها بنجاح لمهاجمين غير مصادقين بتنفيذ عمليات خبيثة على الأنظمة المتأثرة.

• تفاصيل الثغرة

  • الثغرة الأمنية تم تتبعها تحت المعرف CVE-2025-20286

  • حصلت على درجة 9.9 من 10 وفقًا لمقياس CVSS

  • تم وصفها بأنها ثغرة تتعلق ببيانات اعتماد ثابتة (Static Credential Vulnerability).

  • تؤثر في عمليات نشر Cisco ISE السحابية على منصات Amazon Web Services (AWS)، وMicrosoft Azure، وOracle Cloud Infrastructure (OCI).

  • يمكن أن تسمح لمهاجم عن بُعد وغير مصادق بالوصول إلى بيانات حساسة، أو تنفيذ عمليات إدارية محدودة، أو تعديل إعدادات النظام، أو التسبب في تعطيل الخدمات ضمن الأنظمة المتأثرة.

  • نُسب اكتشاف الثغرة إلى Kentaro Kawane من شركة GMO Cybersecurity.

  • أكدت Cisco أنها على علم بوجود كود إثبات مفهومي (PoC) لهذه الثغرة، لكنها لم ترصد أي استغلال ضار لها حتى الآن في الواقع.

     

• سبب الثغرة:

  • تنشأ المشكلة من أن بيانات الاعتماد تُولّد بشكل غير صحيح عند نشر Cisco ISE على منصات الحوسبة السحابية، مما يؤدي إلى مشاركة بيانات اعتماد موحدة عبر النشرات المختلفة، ما دامت نفس إصدارة البرنامج ونفس منصة السحابة مستخدمين.

  • أي أن بيانات الاعتماد الثابتة تكون خاصة بكل إصدار ومنصة، لكنها ليست مشتركة بين البيئات السحابية المختلفة.

  • على سبيل المثال، جميع عمليات النشر للإصدار 3.1 من Cisco ISE على AWS ستستخدم نفس بيانات الاعتماد.

  • لكن بيانات الاعتماد الخاصة بالإصدار 3.1 لن تعمل على 3.2، حتى على نفس المنصة. وكذلك، الإصدار 3.2 على AWS لا يمتلك نفس بيانات الاعتماد كالإصدار 3.2 على Azure.

     

• آلية الاستغلال

  • الاستغلال الناجح للثغرة قد يسمح للمهاجم بما يلي:

    • استخراج بيانات اعتماد المستخدم من إحدى عمليات نشر Cisco ISE السحابية

    • استخدام بيانات اعتماد المستخدم للوصول إلى عمليات نشر أخرى عبر منافذ غير مؤمنة

    • الوصول غير المصرح به إلى بيانات حساسة

    • تنفيذ عمليات إدارية محدودة

    • تعديل إعدادات النظام

    • التسبب في تعطيل الخدمة

       

• الإصدارات المتأثرة:

  • AWS - Cisco ISE 3.1, 3.2, 3.3, and 3.4

  • Azure - Cisco ISE 3.2, 3.3, and 3.4

  • OCI - Cisco ISE 3.2, 3.3, and 3.4

     

• الإجراءات والتوصيات:

  • أقرت الشركة بوجود رمز استغلال (Proof-of-Concept exploit) للثغرة، لكن لا يوجد دليل على استغلالها بشكل ضار حتى الآن.

  • أصدرت الشركة تصحيحات أمنية لمعالجة هذه المشكلة.

  • التوصية الأساسية: 

    • تحديث الأنظمة المتأثرة فورًا. 

  • تدابير إضافية (تخفيف المخاطر):

    • تقييد الوصول باستخدام مجموعات الأمان السحابية (Cloud Security Groups) لتقتصر فقط على المسؤولين المصرح لهم.

    • تشغيل الأمر: application reset-config ise لإعادة ضبط كلمات مرور المستخدم وتوليد بيانات اعتماد جديدة. لكن يجب التنويه أن هذا الأمر سيؤدي إلى إعادة إعداد Cisco ISE إلى إعدادات المصنع (Factory Reset).

برامج الفدية Qilin تستغل ثغرات Fortinet الحرجة في هجماتها الجديدة

06 يونيو 2025


 

بدأت عملية برنامج الفدية Qilin مؤخرًا في استغلال ثغرتين أمنيتين في أجهزة Fortinet تتيحان تجاوز آلية المصادقة وتنفيذ تعليمات برمجية ضارة عن بُعد على الأجهزة المعرضة للخطر.

• عن عصابة Qilin (Phantom Mantis)

  • ظهرت مجموعة Qilin – المعروفة أيضًا باسم Phantom Mantis – في أغسطس 2022 كعملية برنامج فدية كخدمة (RaaS) تحت اسم "Agenda"

  • الضحايا:

    • منذ ذلك الحين أعلنت مسؤوليتها عن أكثر من 310 ضحايا على موقعها في الويب المظلم لنشر التسريبات.

    • تضم قائمة ضحاياها مؤسسات بارزة، مثل شركة Yanfeng العملاقة في صناعة السيارات، ودار النشر الكبرى Lee Enterprises، وخدمات المحاكم في ولاية فيكتوريا الأسترالية، ومزود خدمات علم الأمراض Synnovis (التي أثّرت في عدة مستشفيات تابعة لهيئة الصحة البريطانية NHS في لندن، ما أدى إلى إلغاء مئات المواعيد والعمليات).

    • كشفت شركة استخبارات التهديدات PRODAFT، أن الجهات المهاجمة تركز حاليًّا على منظمات في الدول الناطقة بالإسبانية، لكنها تتوقع توسّع الحملة عالميًا. ويُقدّر أن المجموعة لا تزال تختار أهدافها بشكل غير انتقائي، وليس بناءً على نمط جغرافي أو قطاع محدد.

       

• تفاصيل الثغرات المستغلة
  من بين الثغرات التي تم استغلالها في هذه الحملة:

  • CVE-2024-55591:

    • تم استغلالها سابقًا كثغرة يوم صفر (Zero-day) من قبل مجموعات تهديد سيبراني أخرى لاختراق جدران حماية FortiGate منذ نوفمبر 2024.

    • استخدمها مشغل برنامج الفدية Mora_001 لنشر SuperBlack المرتبط بعصابة LockBit الشهيرة.

  • CVE-2024-21762

    • تم تصحيحها في فبراير 2025

    • أدرجتها وكالة الأمن السيبراني الأمريكية CISA في قائمة الثغرات النشطة، وطالبت الوكالات الفيدرالية بتأمين أجهزة FortiOS وFortiProxy بحلول 16 فبراير 2025.

    • أعلنت مؤسسة Shadowserver أن حوالي 150,000 جهاز لا يزال عرضة لهجمات تستغل الثغرة.

       

• التأثير:

  • تُعد ثغرات Fortinet الأمنية هدفًا متكررًا للاستغلال، سواء في حملات التجسس السيبراني أو لاختراق شبكات الشركات في هجمات برامج الفدية. 

  • على سبيل المثال، استخدمت مجموعة Volt Typhoon الصينية ثغرات FortiOS SSL VPN لنشر برمجية Coathanger الضارة التي كانت قد استخدمت سابقًا لاختراق شبكة عسكرية تابعة لوزارة الدفاع الهولندية.

إحصائيات التهديدات على الأجهزة المحمولة: تطور التهديدات الأمنية خلال الربع الأول من عام 2025 – Securelist*

يوضح الشكل التالي ارتفاع عدد عينات البرامج الضارة والتطبيقات غير المرغوب فيها التي تم اكتشافها على نظام Android مقارنة بالربع الرابع من عام 2024، ليصل إلى 180,405.

• عند تحليل أنواع حزم التثبيت المكتشفة حسب النوع، نلاحظ ما يلي:

  • تراجع تطبيقات RiskTool وبرامج الإعلانات المزعجة (Adware) إلى المركزين الثالث والرابع على التوالي.

  • تصدرت أكثر التهديدات شيوعًا أحصنة طروادة المصرفية Banking Trojans بنسبة 27.31% وأحصنة طروادة التجسسية spy Trojans بنسبة 24.49% 

     

• تشير هذه الإحصائيات إلى تحول في نوعية التهديدات التي تواجه مستخدمي الهواتف المحمولة.

* موقع Securelist هو الموقع الأمني لشركة Kaspersky منذ عام 2010 حيث يقدم معلومات محدثة حول التهديدات الإلكترونية وطرق تجنبها. يضم الموقع مقالات تحليلية، مدونات، موسوعة أمنية، أوصاف للبرمجيات الخبيثة، وقائمة واسعة من المصطلحات التقنية. (المصدر)

الدفاع ضد البرامج الضارة: العدو الخفي

البرامج الضارة: تهديد صامت ذو عواقب وخيمة على حياتك الرقمية

• سارة مصممة جرافيك مستقلة، في أثناء عملها فتحت بريدًا إلكترونيًّا بعنوان "فرصة مشروع رائع" مرفق به ملف بصيغة PDF. بعد فتح الملف فوجئت بتدهور أداء جهازها، بداية من بطء الجهاز مرورًا بانهيار بعض التطبيقات، ومن ثم توالت الأحداث حتى تمكَّن المُستهدِف من اختراق وسرقة حساباتها البنكية؛ حيث كان الملف ملغمًا ببرمجيات خبيثة متخفية لم تنتبه إليها سارة.

ما البرمجيات الخبيثة؟

• البرمجيات الخبيثة هي أدوات رقمية يستخدمها القراصنة لاختراق أجهزة الضحايا أو التحكم بها دون إذن. 

• أنواعها: الفيروسات، وأحصنة طروادة، وبرامج الفدية، وبرامج التجسس.

• المخاطر: تكمن خطورتها في قدرتها على التجسس وسرقة البيانات الحساسة.

طرق الحماية من البرمجيات الخبيثة

• التحديث المستمر: احرص على تحديث نظام التشغيل والتطبيقات بشكل منتظم لسد الثغرات الأمنية، وفعّل التحديث التلقائي للحصول على آخر التصحيحات.

• الحذر من رسائل البريد الإلكتروني: تجنّب الرسائل التي تحثك على اتخاذ إجراء فوري أو تبدو غير واقعية. لا تفتح مرفقات أو تنقر على روابط غير موثوقة.

• استخدام كلمات مرور قوية: استخدم كلمات مرور قوية وفريدة، وفعّل المصادقة متعددة العوامل (2FA) للحسابات المهمة لتقليل فرص الاختراق.

• التحميل من مصادر موثوقة: نزّل البرامج من المواقع الرسمية فقط، وتجنّب التطبيقات المشبوهة التي قد تحتوي على أكواد خبيثة.

• استخدم برامج الحماية: استخدم برامج مكافحة الفيروسات الموثوقة واضبطها على التحديث التلقائي. رغم أنها لا تضمن الحماية الكاملة، فإنها تساعد كثيرًا على اكتشاف البرمجيات الخبيثة.

• كيف يتم اختراق بريدك الإلكتروني؟

• اختبار الاختراق:
  يتضمن اختبار الاختراق قيام قراصنة أخلاقيين بتوسيع نطاق هجماتهم المخطط لها ضد البنية التحتية الأمنية للشركة لرصد الثغرات الأمنية التي تحتاج إلى إصلاح. ويُعد اختبار الاختراق جزءًا من استراتيجية أمنية شاملة. (المصدر)
   

• :backdoor
  الهجوم الخلفي هو طريقة سرية لتجاوز إجراءات المصادقة العادية للحصول على وصول غير مصرح به إلى النظام. (المصدر)

   

• Microsoft Entra ID:
  هي خدمة سحابية لإدارة الهوية والوصول، تتيح للمستخدمين الوصول إلى موارد خارجية. من أمثلة هذه الموارد: Microsoft 365، وبوابة Azure، وآلاف تطبيقات SaaS الأخرى. (المصدر)

   

• User Agent:
  وكيل المستخدم هو نص قصير نسبيًا يصف البرنامج/المتصفح ("الوكيل") الذي يرسل الطلب إلى موقع ويب. تضمن متصفحات الويب سلسلة وكيل المستخدم في الطلبات التي تُرسلها إلى مواقع الويب. غالبًا ما يتضمن وكيل المستخدم أوصافًا لنظام التشغيل ونوع الجهاز الذي يعمل عليه المتصفح/الوكيل. (المصدر)
   

• OAuth 2.0 client:
  يسمح مسار منح بيانات اعتماد عميل OAuth 2.0 لخدمة ويب (عميل سري) باستخدام بيانات اعتمادها الخاصة، بدلاً من انتحال شخصية مستخدم، للمصادقة عند استدعاء خدمة ويب أخرى. (المصدر)

   

• SecureWorks:
  مجموعة واسعة من حلول أمن المعلومات التي توفر نظام إنذار مبكر لمساعدة المؤسسات على منع الهجمات الإلكترونية المستقبلية واكتشافها والاستجابة لها والتنبؤ بها. (المصدر)

   

• Enumeration:
  خلال هذه العملية، يستعلم المهاجم بشكل منهجي عن النظام أو الشبكة المستهدفة لاستخراج معلومات قيّمة عنها، بما في ذلك عناوين IP للمضيف، وتفاصيل الشبكة الفرعية، ومعلومات DNS، وأسماء المستخدمين، وإصدارات البرامج، والمنافذ المفتوحة، وغيرها من التفاصيل. (المصدر)

   

• الهندسة الاجتماعية:
  أسلوب تلاعب يستغل الخطأ البشري للحصول على معلومات خاصة أو حق الوصول أو الأشياء الثمينة. وفي الجرائم الإلكترونية، تميل عمليات احتيال "القرصنة البشرية" هذه إلى إغراء المستخدمين المطمئنين لكشف بياناتهم، أو نشر إصابات البرامج الضارة، أو منح الوصول إلى الأنظمة المقيدة. ويمكن أن تحدث الهجمات عبر الإنترنت، وبشكل شخصي، وعبر تفاعلات أخرى. (المصدر)

   

• The Atomic macOS Stealer (AMOS):
  هو برنامج خبيث مصمم لسرقة معلومات حساسة من أنظمة macOS. يجمع بيانات مثل كلمات مرور Keychain، ومعلومات النظام، وملفات من مجلدات سطح المكتب والمستندات، وكلمات مرور مستخدمي macOS. (المصدر)

   

• hCaptcha:
  يساعدك hCaptcha على حماية خدماتك المفضلة عبر الإنترنت من البرامج الروبوتية والرسائل غير المرغوب فيها والإساءة من خلال طرح أسئلة بسيطة يسهل على البشر التعامل معها ويصعب على الآلات التعامل معها. (المصدر)

   

• CAPTCHA:
  هو اختصار لـ completely automated public Turing test للتمييز بين أجهزة الكمبيوتر والبشر. يشير إلى أساليب مصادقة متعددة تُثبت هوية المستخدمين كبشر، وليس روبوتات، من خلال طرح تحدٍّ بسيط للبشر ولكنه صعب على الآلات. (المصدر)

   

• PureLogStealer:
  هو برنامج متقدم لسرقة المعلومات، طُوّر باستخدام إطار عمل .NET. وهو جزء من عائلة Pure Malware، ويُباع في منتديات مجرمي الإنترنت. صُمّم هذا البرنامج الخبيث لجمع معلومات حساسة من المتصفحات، ومحافظ العملات المشفرة، وبرامج FTP، وبرامج البريد الإلكتروني، وشبكات VPN. (المصدر)

   

• DanaBot:
  هو برنامج ضار للجرائم الإلكترونية كخدمة، حدده باحثو Proofpoint وأطلقوا عليه اسمًا لأول مرة في مايو 2018. في ذلك الوقت، كانت أحصنة طروادة المصرفية هي التهديد الأكثر شيوعًا للبرامج الضارة الإجرامية الإلكترونية القائمة على البريد الإلكتروني، وأصبح DanaBot أحد البرمجيات الخبيثة المفضلة لدى TA547 قبل اعتماده من قبل جهات تهديد الجرائم الإلكترونية البارزة الأخرى. (المصدر)

   

• Lateral Movement:
  هي عندما يستخدم المهاجم حسابات غير حساسة للوصول إلى حسابات حساسة في جميع أنحاء شبكتك. يستخدم المهاجمون الحركة الجانبية لتحديد الحسابات والأجهزة الحساسة في شبكتك والوصول إليها، والتي تشترك في بيانات اعتماد تسجيل الدخول المخزنة في الحسابات والمجموعات والأجهزة. (المصدر)

   

• :PowerShell
  PowerShell هو حلٌّ متعدد المنصات لأتمتة المهام، ويتكوّن من واجهة سطر أوامر، ولغة برمجة نصية، وإطار عمل لإدارة التكوين. يعمل PowerShell على أنظمة Windows وLinux وmacOS. (المصدر)

   

• Terminal:
  هو تطبيق للمستخدمين المتقدمين والمطورين، يتيح لك التواصل مع نظام تشغيل Mac باستخدام واجهة سطر الأوامر (CLI). (المصدر)

   

• script:
  في برمجة الكمبيوتر، النص البرمجي هو برنامج أو سلسلة من التعليمات التي يفسرها أو يحملها برنامج آخر بدلاً من قيام معالج الكمبيوتر بذلك (كما هو الحال مع البرنامج المترجم). (المصدر)

   

• Turnstile:
  يؤكد Cloudflare Turnstile أن زوار الموقع حقيقيون، ويحظر البرامج الروبوتية غير المرغوب فيها دون إبطاء تجربة المستخدم الحقيقية. (المصدر)

   

• HTTP POST:
  هي طريقة HTTP مصممة لإرسال البيانات إلى الخادم من عميل HTTP. تطلب طريقة HTTP POST من خادم الويب قبول البيانات المرفقة في نص رسالة POST. (المصدر)

   

• LockBit:
  هي نوع من الهجمات الإلكترونية التي تُشفّر الملفات على أجهزة الكمبيوتر المُصابة، مما يسمح للمهاجمين بطلب فدية مقابل مفاتيح فك التشفير. (المصدر)

   

• BADBOX:
  هو برنامج ضار يعمل بنظام أندرويد، مُدمج في البرامج الثابتة للجهاز. تتصل الأجهزة المصابة فورًا بخادم القيادة والتحكم (C2)، مما يُمكّن المهاجم من الوصول إلى الشبكة المحلية (البروكسي)، واعتراض أسرار المصادقة الثنائية، وتثبيت برامج ضارة إضافية على الجهاز. (المصدر)

   

• Command and Control (C2):
  يستخدم المهاجمون خوادم القيادة والتحكم (C2) للتواصل مع الأنظمة المُخترقة. يستكشف هذا الدليل آلية عمل خوادم القيادة والتحكم، ودورها في الهجمات الإلكترونية، واستراتيجيات الكشف عنها والحد منها. (المصدر)

   

• Insecure Deserialization:
  التسلسل غير الآمن هو نوع من الثغرات الأمنية التي تنشأ عند استخدام بيانات غير موثوقة لإساءة استخدام منطق عملية التسلسل في التطبيق، مما يسمح للمهاجم بتنفيذ التعليمات البرمجية أو التلاعب بالكائنات أو تنفيذ هجمات الحقن. (المصدر)

   

• Apex Central:
  هي وحدة تحكم ويب توفر إدارة مركزية لمنتجات وخدمات Trend Micro على مستوى البوابة، وخادم البريد، وخادم الملفات، وسطح مكتب الشركة. يمكن للمسؤولين استخدام ميزة إدارة السياسات لتكوين إعدادات المنتج ونشرها على المنتجات ونقاط النهاية المُدارة. توفر وحدة التحكم الإلكترونية Apex Central نقطة مراقبة واحدة لمنتجات وخدمات مكافحة الفيروسات وأمن المحتوى في جميع أنحاء الشبكة. (المصدر)

   

• ConvertFrom-Json:
  يحوّل أمر ConvertFrom-Json سلسلة نصية بتنسيق JavaScript Object Notation (JSON) إلى كائن PSObject أو Hashtable مخصص، يحتوي على خاصية لكل حقل في سلسلة JSON. تُستخدم JSON عادةً في مواقع الويب لتوفير تمثيل نصي للكائنات. يضيف الأمر الخصائص إلى الكائن الجديد أثناء معالجة كل سطر من سلسلة JSON. (المصدر)

   

• POC:
  هو عرضٌ توضيحيٌّ لمنتج، حيث يُركّز العمل على تحديد إمكانية تحويل الفكرة إلى واقع. (المصدر)

   

• Fortinet:
  تأسست شركة Fortinet في منطقة خليج سان فرانسيسكو عام 2000، وهي تُعدّ رائدًا قويًّا في تطوير الأمن السيبراني ودمج الشبكات والأمن. (المصدر)

   

• SuperBlack:
  عصابة برامج الفدية الناشئة التي كانت تستغل ثغرتين في أجهزة جدار الحماية من شركة Fortinet مرتبطة بأعضاء حاليين أو سابقين في عملية LockBit سيئة السمعة، وفقًا لمعلومات استخباراتية نشرتها وحدة Vedere Labs التابعة لشركة Forescout Research. (المصدر)

   

• zero-day:
  هي هجوم إلكتروني يستغل ثغرة أمنية مجهولة أو غير معالجة في برامج الحاسوب أو الأجهزة أو البرامج الثابتة. (المصدر)

   

• Shadowserver:
  تجمع كميات هائلة من بيانات التهديدات، وترسل عشرات الآلاف من تقارير المعالجة اليومية المجانية، وتبني علاقات متبادلة متينة مع مزودي الشبكات والحكومات الوطنية وجهات إنفاذ القانون. (المصدر)

   

• RAT:
  يمكن لبرامج Remote Access Trojan أن تصيب أجهزة الكمبيوتر كأي نوع آخر من البرمجيات الخبيثة. قد تكون مرفقة برسالة بريد إلكتروني، أو مُستضافة على موقع ويب ضار، أو تستغل ثغرة أمنية في جهاز غير مُرقّع. (المصدر)

   

• عنوان IP:
  عنوان IP هو عنوان فريد يعرّف جهاز على الإنترنت أو شبكة محلية. ويرمز الاختصار IP إلى عبارة "بروتوكول الإنترنت"، وهو عبارة عن مجموعة من القواعد التي تحكم تنسيق البيانات المرسلة عبر الإنترنت أو الشبكة المحلية. (المصدر)