النمط اليوم قاسٍ لكنه واضح: أجهزة الحافة، وصناديق البريد، ومسارات الثقة في مكتب المساعدة كلها تُستغل بطرق لا توقفها معالجة سطحية.
الخلاصة: هناك ثلاث قصص تستحق اهتماماً فورياً هذا الصباح: برمجية خبيثة على الجدار الناري يمكنها البقاء بعد دورة التصحيحات، ومنصة بريد تحتوي على آلاف الخوادم المكشوفة الضعيفة، ومجموعة ابتزاز تعتمد على التصيد الصوتي وتحول إجراءات الدعم العادية إلى مسارات اختراق.
تحذر CISA وNCSC البريطانية من أن الباب الخلفي Firestarter يمكن أن يستمر على أجهزة Cisco Firepower وSecure Firewall حتى بعد إعادة التشغيل وتحديثات البرامج الثابتة والتصحيحات الأمنية. هذه البرمجية، المرتبطة بجهة تجسس تتبعها Cisco، ترتبط بعملية LINA، وتعيد تثبيت نفسها عند إيقافها، ويمكن تشغيلها عبر حركة WebVPN مُعدة خصيصاً. رسالة Cisco واضحة: الإصدارات المصححة مهمة، لكن مسار التنظيف الموصى به هو إعادة تصوير الجهاز بالكامل.
تقول Shadowserver إن أكثر من 10,500 خادم Zimbra Collaboration Suite مكشوف على الإنترنت ما زال عرضة لـ CVE-2025-48700، وهي ثغرة XSS أدرجتها CISA بالفعل ضمن الثغرات المستغلة فعلياً. تؤثر المشكلة في عدة فروع من ZCS، وقد تسمح لمهاجم غير موثّق بتنفيذ JavaScript داخل جلسة webmail الخاصة بالضحية عند فتح رسالة خبيثة في الواجهة الكلاسيكية. وهذا مهم لأن Zimbra يملك تاريخاً طويلاً كمنصة انطلاق لسرقة البريد وحملات مدعومة من دول.
يتم ربط BlackFile بموجة من هجمات الابتزاز المعتمدة على التصيد الصوتي ضد قطاعات التجزئة والضيافة. ينتحل المهاجمون صفة دعم تقنية المعلومات، ويسرقون بيانات الدخول والرموز أحادية الاستخدام عبر صفحات تسجيل دخول مزيفة، ثم يسجلون أجهزتهم الخاصة لتجاوز MFA. بعد ذلك ينهبون أنظمة مثل Salesforce وSharePoint عبر واجهات API القياسية، ويسرقون الملفات الحساسة، ويزيدون الضغط عبر طلبات الفدية وحتى swatting.
النتيجة: النمط اليوم قاسٍ لكنه واضح: أجهزة الحافة، وصناديق البريد، ومسارات الثقة في مكتب المساعدة كلها تُستغل بطرق لا توقفها معالجة سطحية.
تساعد KENSAI الفرق على كشف مسارات الهجوم المكشوفة عبر أجهزة الحافة وأنظمة البريد وتدفقات الهوية وأدوات السحابة قبل أن يحول المهاجمون سير العمل الطبيعي إلى بنية اختراق.
فحص مجاني →ابقَ يقظاً.
🗡️ فريق KENSAI الأمني