→ العودة إلى المدونة
Security Briefing4 دقائق قراءة2026-04-27

الإحاطة الأمنية، 27 أبريل 2026: برمجية Snow عبر Teams، واختراق شبكة Itron الخدمية، وFakeWallet في App Store، وتحذير LMDeploy خلال 13 ساعة

النمط هذا الصباح قبيح لكنه واضح: قنوات الدعم الموثوقة، والبنية التحتية الموثوقة، ومتاجر التطبيقات الموثوقة، وأدوات الذكاء الاصطناعي الموثوقة كلها تتحول إلى مسارات هجوم سريعة جداً.


الخلاصة: هناك أربع قصص تستحق الانتباه قبل أن تنهي معظم الفرق اجتماعها الصباحي: هندسة اجتماعية عبر الدردشة تؤدي إلى تبعات على مستوى الدومين، واختراق لشبكة داخلية في قطاع المرافق، وسرقة محافظ عبر App Store، وثغرة في بنية AI Serving جرى استغلالها خلال أقل من نصف يوم.


1. برمجية Snow تحول الثقة في Microsoft Teams helpdesk إلى مسار لاختراق الدومين

بحسب Google Mandiant، تجمع UNC6692 بين قصف البريد الإلكتروني والتواصل المزيف عبر Microsoft Teams على أنه مكتب مساعدة لدفع الضحية إلى تثبيت تحديث مزعوم لمكافحة الرسائل المزعجة. ذلك التحديث يثبت مجموعة Snow: ‏SnowBelt للاستمرارية داخل المتصفح، وSnowGlaze للأنفاق، وSnowBasin لتنفيذ الأوامر. بعد ذلك يقوم المهاجمون بتفريغ LSASS والتحرك جانبياً وتهريب مواد Active Directory. هذا لم يعد تصيداً تقليدياً؛ بل هو تحويل الثقة في قنوات الدعم إلى وصول عميق داخل الشبكة.


2. اختراق Itron الداخلي في أنظمة IT هو إنذار للبنية التحتية الحرجة حتى من دون تأكيد أثر على العملاء

أفادت Itron بوجود وصول غير مصرح به إلى بعض الأنظمة الداخلية، وقالت إنها أوقفت النشاط وبدأت تحقيقاً ولا ترى حالياً تعطلاً تشغيلياً مادياً. هذا خبر جيد، لكنه لا يكفي للاطمئنان. فـ Itron متداخلة بعمق مع تقنيات المرافق في الطاقة والمياه. وعندما يعلن مورد بهذا المستوى من الاندماج عن اختراق داخلي، يجب أن تقرأه الجهات العاملة في المرافق كتحذير يتعلق بالتقسيم الشبكي ووصول الموردين والاستعداد للاستجابة.


3. FakeWallet في Apple App Store يثبت أن التوزيع المحمول الموثوق ما زال قناة سرقة حية

اكتشف الباحثون 26 تطبيقاً من نوع FakeWallet في Apple App Store تستهدف عبارات الاسترداد والمفاتيح الخاصة، بما في ذلك نسخاً تحاكي محافظ شهيرة. وفي بعض الحالات كانت التطبيقات تعيد توجيه المستخدمين إلى مسارات تثبيت لمحافظ مزروعة ببرمجيات خبيثة، مع الإشارة إلى توفرها في متجر الصين. الدرس يتجاوز العملات المشفرة: حتى المتجر الموثوق يمكن أن يصبح قناة لتسليم سرقة الاعتمادات والأصول عندما يكون تقليد العلامة والثقة المحمولة مقنعين بما يكفي.


4. قائمة المراقبة: LMDeploy يثبت أن نافذة استغلال الذكاء الاصطناعي تنهار

ثغرة LMDeploy ‏CVE-2026-33626، وهي SSRF في حزمة مفتوحة المصدر لتقديم نماذج LLM، استُغلت بحسب التقارير خلال 12 ساعة و31 دقيقة من الإفصاح. وهذا يجب أن يقلق أي فريق يتعامل مع بنية الذكاء الاصطناعي كما لو كانت مجرد برمجية داخلية عادية. فالإرشادات الأمنية باتت قريبة جداً من أن تتحول إلى prompt استغلال، وأصبح تأخر التصحيح بحد ذاته سطح تعرض.


ما الذي يجب على فرق الأمن فعله اليوم؟

  1. أعد التحقق من كل مسار دعم يعتمد على Teams وافرِض تأكيداً خارج القناة لأي طلب عاجل من مكتب المساعدة.
  2. راجع افتراضات العزل في البنية التحتية الحرجة والشبكات الداخلية، خصوصاً حول الموردين والإدارة عن بُعد.
  3. انشر فوراً إرشادات نظافة المحافظ المحمولة وامنع أنماط التثبيت الخطرة حيثما تسمح إدارة الأجهزة بذلك.
  4. صحح مكونات AI Serving بسرعة وامنع افتراضياً الوصول إلى metadata وloopback والخروج غير الضروري من بنية النماذج.

المصادر


الخلاصة النهائية: النمط هذا الصباح قبيح لكنه واضح: قنوات الدعم الموثوقة، والبنية التحتية الموثوقة، ومتاجر التطبيقات الموثوقة، وأدوات الذكاء الاصطناعي الموثوقة كلها تتحول إلى مسارات هجوم سريعة جداً.

اعثر على كسور الثقة قبل أن تتحول إلى حوادث

تساعد KENSAI الفرق على كشف مسارات الهجوم المكشوفة عبر سير عمل الهوية والبنية الداخلية وسلاسل توريد البرمجيات المحمولة وحزم تقديم الذكاء الاصطناعي قبل أن يحول المهاجمون الثقة إلى وصول فعلي.

فحص مجاني →

ابقَ متيقظاً.

🗡️ KENSAI Security Team