剣 KENSAI
← All posts · security · 2026-03-10

تصيد Teams ينشر A0Backdoor، حملة اختطاف Signal، Salesforce Aura تحت الهجوم

→ العودة إلى المدونة

1. تصيد Microsoft Teams ينشر برمجية A0Backdoor الخبيثة

🚨 حرج — حملة نشطة تستهدف القطاعين المالي والصحي

يستخدم المهاجمون رسائل Microsoft Teams لاستهداف الموظفين في القطاعين المالي والصحي. بعد بدء التواصل عبر Teams، يقنع المهاجمون الضحايا بمنح وصول عن بُعد عبر Quick Assist، وهو أداة دعم عن بُعد شرعية في Windows. بمجرد الاتصال، يقومون بنشر باب خلفي غير موثق سابقاً يُدعى A0Backdoor.

تتميز سلسلة الهجوم بتطور هندستها الاجتماعية — ينتحل المهاجمون صفة موظفي الدعم التقني ويخلقون شعوراً بالإلحاح حول مشاكل أمنية مزعومة. يوفر A0Backdoor وصولاً مستمراً وقدرات سرقة بيانات الاعتماد والتحرك الجانبي.

الإجراءات المطلوبة: تقييد استخدام Quick Assist عبر سياسات المجموعة. توعية الموظفين بشأن طلبات الدعم غير المطلوبة عبر Teams. مراقبة نشاط أدوات الوصول عن بُعد غير المعتاد.


2. Google: هجمات السحابة تنتقل من بيانات الاعتماد إلى استغلال الثغرات

يكشف أحدث تقرير لاستخبارات التهديدات من Google عن تحول كبير في تكتيكات هجمات السحابة. يقوم القراصنة بشكل متزايد باستغلال الثغرات المكتشفة حديثاً في برمجيات الطرف الثالث بدلاً من الاعتماد على بيانات اعتماد ضعيفة أو مسروقة للوصول الأولي إلى السحابة.

الاكتشاف الأكثر إثارة للقلق: تقلصت الفترة بين الكشف عن الثغرة واستغلالها النشط من أسابيع إلى أيام قليلة فقط، وأحياناً ساعات. هذا يفرض ضغطاً هائلاً على فرق الأمن لتطبيق التصحيحات فوراً.

المقياسسابقاًحالياً
متوسط وقت الاستغلال2–4 أسابيع1–3 أيام
ناقل الوصول الأولي الرئيسيبيانات اعتماد مسروقةاستغلال الثغرات
مشاركة برمجيات الطرف الثالثمعتدلةهدف رئيسي

3. قراصنة GRU الروسي يختطفون حسابات Signal وWhatsApp

🚨 هجوم دولتي — تحذير الحكومة الهولندية

أصدرت الحكومة الهولندية تحذيراً رسمياً بشأن حملة تصيد جارية ترعاها الدولة الروسية ومرتبطة بجهاز GRU (الاستخبارات العسكرية الروسية). تستهدف الحملة المسؤولين الحكوميين والعسكريين والصحفيين، محاولةً اختطاف حساباتهم على Signal وWhatsApp.

يستخدم المهاجمون هندسة اجتماعية متطورة لخداع الأهداف وربط حسابات المراسلة الخاصة بهم بأجهزة يتحكم فيها المهاجمون. بمجرد الاختراق، يحصل المهاجمون على وصول كامل إلى المحادثات المشفرة وجهات الاتصال والوسائط المشتركة.

الإجراءات المطلوبة: مراجعة الأجهزة المرتبطة في إعدادات Signal وWhatsApp. تفعيل قفل التسجيل على Signal. إطلاع الأفراد ذوي القيمة العالية على هذا التهديد المحدد.


4. خرق بيانات Ericsson الأمريكية

كشفت الشركة الفرعية الأمريكية لـ Ericsson عن خرق بيانات ناتج عن اختراق مزود خدمة من طرف ثالث. تمت سرقة بيانات الموظفين والعملاء، بما في ذلك معلومات التعريف الشخصية.

يبرز هذا الحادث المخاطر المستمرة لـهجمات سلسلة التوريد — حتى عندما يكون أمنك الخاص قوياً، يمكن أن يصبح الموردون ومزودو الخدمات الحلقة الأضعف.


5. ShinyHunters تستغل ثغرة Salesforce Aura

⚠️ استغلال نشط — Salesforce Experience Cloud

تستغل عصابة الابتزاز الشهيرة ShinyHunters بنشاط خطأ جديد في Salesforce Experience Cloud (إطار عمل Aura) لسرقة البيانات من الحالات المُعدّة بشكل خاطئ. المؤسسات التي لديها مواقع Salesforce Experience Cloud مكشوفة معرضة لخطر فوري.

لدى ShinyHunters سجل حافل بالخروقات الضخمة للبيانات وعادةً ما تبتز الضحايا بالتهديد بتسريب البيانات المسروقة. تسمح ثغرة Salesforce Aura بالوصول غير المصرح به إلى السجلات الحساسة عندما تكون الحالات مُعدّة بشكل غير صحيح.

الإجراءات المطلوبة: تدقيق تكوينات Salesforce Experience Cloud فوراً. مراجعة أذونات المستخدمين الضيوف. التحقق من أنماط الوصول غير المتوقعة للبيانات.


6. حزمة npm خبيثة تنتحل صفة OpenClaw

تم اكتشاف حزمة npm خبيثة تحمل اسم @openclaw-ai/openclawai تتنكر كمثبّت شرعي. تنشر الحزمة حصان طروادة للوصول عن بُعد (RAT) وتسرق بيانات حساسة من أنظمة macOS بما في ذلك:

  • بيانات اعتماد النظام وبيانات سلسلة المفاتيح
  • ملفات تعريف الارتباط للمتصفح وكلمات المرور المحفوظة
  • ملفات محافظ العملات المشفرة
  • مفاتيح SSH والتكوين
  • سجل iMessage

حققت الحزمة 178 عملية تنزيل قبل اكتشافها. هذا هجوم كلاسيكي على سلسلة التوريد يستغل الثقة في مديري الحزم.


7. مجموعة UNC4899 الكورية الشمالية تخترق شركة عملات مشفرة

تنسب Mandiant التابعة لـ Google اختراق شركة عملات مشفرة إلى UNC4899 (المعروفة أيضاً باسم TraderTraitor)، وهي مجموعة تهديدات كورية شمالية. اخترق المهاجمون الهدف عبر ملف AirDrop مفخخ، ثم انتقلوا إلى البنية التحتية السحابية باستخدام تقنيات العيش من السحابة — إساءة استخدام خدمات سحابية شرعية للاندماج مع النشاط العادي.

يمثل هذا تطوراً في العمليات السيبرانية الكورية الشمالية، مما يدل على تزايد التطور في تقنيات الهجوم السحابية الأصلية.


8. إضافات Chrome تتحول إلى خبيثة بعد نقل الملكية

وُجد أن إضافتين لـ Chrome تحولتا إلى خبيثتين بعد نقل ملكيتهما إلى مطورين جدد. دفع المالكون الجدد تحديثات مكّنت حقن الكود وسرقة البيانات، مما أثر على المستخدمين الذين لديهم الإضافات مثبتة مع تفعيل التحديث التلقائي.

الإجراءات المطلوبة: تدقيق إضافات المتصفح عبر المؤسسة. تطبيق قوائم السماح للإضافات. مراقبة تحديثات الإضافات غير المتوقعة.


9. Cisco Catalyst SD-WAN CVE-2026-20127 تحت هجوم واسع

🚨 ثغرة حرجة — استغلال جماعي نشط

ثغرة حرجة في Cisco Catalyst SD-WAN (CVE-2026-20127) تتعرض الآن لاستغلال واسع النطاق من عناوين IP عديدة. يجب على المؤسسات التي تشغل بنية Cisco SD-WAN المتأثرة تطبيق التصحيحات فوراً أو تطبيق إجراءات التخفيف.

الإجراءات المطلوبة: تطبيق تصحيحات تنبيه Cisco الأمني فوراً. إذا لم يكن التصحيح ممكناً، تنفيذ الحلول البديلة الموصى بها ومراقبة مؤشرات الاختراق.


10. هجوم ClickFix يتطور مع Windows Terminal

تطورت تقنية الهندسة الاجتماعية ClickFix. يستخدم المهاجمون الآن صفحات CAPTCHA مزيفة تطلب من الضحايا لصق أوامر خبيثة في Windows Terminal بدلاً من مربع حوار التشغيل التقليدي. تتجاوز تقنية التهرب هذه العديد من ضوابط الأمان التي تراقب مربع حوار التشغيل.

يُعد التحول إلى Windows Terminal مهماً لأنه يوفر بيئة تنفيذ أكثر قوة وقد لا تتم مراقبته بواسطة أدوات اكتشاف النقاط الطرفية القديمة.


11. عناوين أخرى

الخبرالتأثير
FBI يحقق في اختراق نظام مراقبةFBI يفحص نشاطاً سيبرانياً مشبوهاً على نظام يحتوي معلومات مراقبة حساسة
CISA تضيف ثغرات iOS إلى KEVمجموعة استغلال Coruna تستهدف 23 ثغرة في iOS 13–17.2.1؛ مستوى دولتي
تحديث الاستراتيجية السيبرانية الأمريكيةاستراتيجية جديدة تستهدف الخصوم وحماية البنية التحتية الحيوية والذكاء الاصطناعي/التشفير ما بعد الكمي

كيف تحميك KENSAI

مراقبة CVE في الوقت الفعلي — تتبع CVE-2026-20127 وجميع الثغرات الحرجة خلال ساعات من الكشف

تحليل سلسلة التوريد — اكتشاف الحزم الخبيثة مثل مثبّت OpenClaw npm المزيف

تدقيق تكوين السحابة — تحديد أخطاء تكوين Salesforce قبل ShinyHunters

إدارة مستمرة لسطح الهجوم — مراقبة تعرضك عبر جميع النواقل


الإجراءات الموصى بها

  1. فوري: تصحيح Cisco SD-WAN CVE-2026-20127. تقييد Quick Assist عبر سياسات المجموعة.
  2. اليوم: تدقيق تكوينات Salesforce Experience Cloud. مراجعة الأجهزة المرتبطة في Signal/WhatsApp.
  3. هذا الأسبوع: تدقيق إضافات المتصفح عبر المؤسسة. فحص تبعيات npm بحثاً عن الحزم الخبيثة.
  4. مستمر: تطبيق إدارة مستمرة للثغرات. تدريب الموظفين على تقنيات تصيد Teams وClickFix.

احمِ مؤسستك مع KENSAI

فحص ثغرات مدعوم بالذكاء الاصطناعي ومراقبة أمنية مستمرة. ابدأ فحصك المجاني اليوم.

← ابدأ الفحص المجاني

ابقَ آمناً. ابقَ يقظاً.

🗡️ فريق أمن KENSAI

🛡️ هل موقعك آمن؟

اكتشف الثغرات قبل المهاجمين.

افحص موقعك مجاناً →

All posts · Permalink