العودة إلى المدونة →
Security Briefing4 دقائق قراءة2026-04-26

الإحاطة الأمنية، 26 أبريل 2026: برمجية Snow عبر Teams، واختراق ADT المرتبط بـ ShinyHunters، ونافذة استغلال LMDeploy خلال 13 ساعة

نمط اليوم واضح وقاسٍ: المهاجمون يسيئون استخدام الدردشة الموثوقة، وهوية SaaS الموثوقة، وبنية AI الموثوقة أسرع مما تستطيع كثير من الفرق ترقيعه أو التحقق منه.


الخلاصة: هناك ثلاث قصص تستحق اهتماماً فورياً هذا الصباح: سلسلة هندسة اجتماعية عبر Microsoft Teams قد تنتهي بالوصول إلى الدومين، واختراق حقيقي من vishing إلى SaaS لدى ADT، وثغرة SSRF في بنية AI جرى فحصها خلال أقل من نصف يوم.


1. UNC6692 يحول الثقة في helpdesk داخل Microsoft Teams إلى سلسلة كاملة من برمجية Snow

بحسب Google Mandiant، يستخدم UNC6692 قصف البريد الإلكتروني وانتحال الهوية داخل Microsoft Teams للضغط على الموظفين كي يثبتوا تحديثاً مزيفاً لمكافحة الرسائل المزعجة. الضحية في الواقع يشغل مجموعة Snow: إضافة المتصفح SnowBelt، والنفق SnowGlaze، والباب الخلفي Python SnowBasin. بعد ذلك يفرغ المهاجمون LSASS، وينفذون حركة جانبية، ويصلون إلى domain controllers، ويهرّبون بيانات Active Directory. هذا ليس مجرد رسالة تصيد إضافية؛ بل مسار اختراق مولود من داخل الدردشة ومتنكر كدعم داخلي.


2. ADT تؤكد الاختراق بعد أن زعمت ShinyHunters اختراق حساب موظف مدعوم بـ Okta عبر vishing

تقول ADT إن المهاجمين سرقوا بيانات عملاء ومهتمين محتملين، بما يشمل الأسماء وأرقام الهواتف والعناوين، وفي نسبة أصغر تواريخ الميلاد وآخر أربعة أرقام من SSN أو المعرّفات الضريبية. وأبلغت ShinyHunters موقع BleepingComputer أن التسلل بدأ بهجوم vishing على حساب Okta SSO لموظف ثم توسع إلى Salesforce. سواء كانت كل ادعاءات المهاجمين دقيقة أم لا، فالدرس التشغيلي واضح: عندما تسقط هوية SaaS موثوقة، تصبح منصات الأعمال المتصلة كلها نصف قطر الانفجار.


3. LMDeploy يثبت أن نافذة استغلال AI تنهار إلى ساعات

يقال إن ثغرة SSRF في LMDeploy، CVE-2026-33626، استُغلت خلال 12 ساعة و31 دقيقة من الإفصاح. استخدم المهاجمون vision-language image loader لفحص AWS metadata وRedis وMySQL وواجهات الإدارة المحلية ونقطة callback خارجية. وهذا مهم لأن LMDeploy هو بالضبط نوع مكونات LLM serving التي تنشرها الفرق بسرعة وتراجعها بخفة. عندما تمنح advisory سبب الخلل ومسار الكود المتأثر، فلن ينتظر المهاجمون sprint القادم لديك.


ما الذي يجب أن تفعله فرق الأمن اليوم

  1. أحكم ضبط workflows الدعم المعتمدة على Teams وأعد التحقق من أي أحداث مساعدة عن بعد حديثة.
  2. نفذ مراجعة لحادث هوية SaaS إذا كانت بيئتك تعتمد على Okta أو Salesforce أو موصلات high-trust مشابهة.
  3. احصر مكونات AI-serving المكشوفة أو القابلة للوصول وقم بترقيع LMDeploy قبل موجة الفحص التالية.
  4. استخدم هذا الصباح لإغلاق فجوات الثقة، لا مجرد إغلاق التذاكر.

المصادر


الخلاصة النهائية: نمط اليوم واضح وقاسٍ: المهاجمون يسيئون استخدام الدردشة الموثوقة، وهوية SaaS الموثوقة، وبنية AI الموثوقة أسرع مما تستطيع كثير من الفرق ترقيعه أو التحقق منه.

اعثر على كسور الثقة قبل أن تتحول إلى حوادث

تساعد KENSAI الفرق على كشف مسارات الهجوم المكشوفة عبر workflows الهوية ومنصات SaaS وأدوات التعاون وبنية AI قبل أن يحول المهاجمون ثقة العمل العادية إلى وصول اختراقي.

فحص مجاني →

ابقَ حاداً.

🗡️ KENSAI Security Team