تصيد Teams ينشر A0Backdoor، حملة اختطاف Signal، Salesforce Aura تحت الهجوم
1. تصيد Microsoft Teams ينشر برمجية A0Backdoor الخبيثة
🚨 حرج — حملة نشطة تستهدف القطاعين المالي والصحي
يستخدم المهاجمون رسائل Microsoft Teams لاستهداف الموظفين في القطاعين المالي والصحي. بعد بدء التواصل عبر Teams، يقنع المهاجمون الضحايا بمنح وصول عن بُعد عبر Quick Assist، وهو أداة دعم عن بُعد شرعية في Windows. بمجرد الاتصال، يقومون بنشر باب خلفي غير موثق سابقاً يُدعى A0Backdoor.
تتميز سلسلة الهجوم بتطور هندستها الاجتماعية — ينتحل المهاجمون صفة موظفي الدعم التقني ويخلقون شعوراً بالإلحاح حول مشاكل أمنية مزعومة. يوفر A0Backdoor وصولاً مستمراً وقدرات سرقة بيانات الاعتماد والتحرك الجانبي.
الإجراءات المطلوبة: تقييد استخدام Quick Assist عبر سياسات المجموعة. توعية الموظفين بشأن طلبات الدعم غير المطلوبة عبر Teams. مراقبة نشاط أدوات الوصول عن بُعد غير المعتاد.
2. Google: هجمات السحابة تنتقل من بيانات الاعتماد إلى استغلال الثغرات
يكشف أحدث تقرير لاستخبارات التهديدات من Google عن تحول كبير في تكتيكات هجمات السحابة. يقوم القراصنة بشكل متزايد باستغلال الثغرات المكتشفة حديثاً في برمجيات الطرف الثالث بدلاً من الاعتماد على بيانات اعتماد ضعيفة أو مسروقة للوصول الأولي إلى السحابة.
الاكتشاف الأكثر إثارة للقلق: تقلصت الفترة بين الكشف عن الثغرة واستغلالها النشط من أسابيع إلى أيام قليلة فقط، وأحياناً ساعات. هذا يفرض ضغطاً هائلاً على فرق الأمن لتطبيق التصحيحات فوراً.
| المقياس | سابقاً | حالياً |
|---|---|---|
| متوسط وقت الاستغلال | 2–4 أسابيع | 1–3 أيام |
| ناقل الوصول الأولي الرئيسي | بيانات اعتماد مسروقة | استغلال الثغرات |
| مشاركة برمجيات الطرف الثالث | معتدلة | هدف رئيسي |
3. قراصنة GRU الروسي يختطفون حسابات Signal وWhatsApp
🚨 هجوم دولتي — تحذير الحكومة الهولندية
أصدرت الحكومة الهولندية تحذيراً رسمياً بشأن حملة تصيد جارية ترعاها الدولة الروسية ومرتبطة بجهاز GRU (الاستخبارات العسكرية الروسية). تستهدف الحملة المسؤولين الحكوميين والعسكريين والصحفيين، محاولةً اختطاف حساباتهم على Signal وWhatsApp.
يستخدم المهاجمون هندسة اجتماعية متطورة لخداع الأهداف وربط حسابات المراسلة الخاصة بهم بأجهزة يتحكم فيها المهاجمون. بمجرد الاختراق، يحصل المهاجمون على وصول كامل إلى المحادثات المشفرة وجهات الاتصال والوسائط المشتركة.
الإجراءات المطلوبة: مراجعة الأجهزة المرتبطة في إعدادات Signal وWhatsApp. تفعيل قفل التسجيل على Signal. إطلاع الأفراد ذوي القيمة العالية على هذا التهديد المحدد.
4. خرق بيانات Ericsson الأمريكية
كشفت الشركة الفرعية الأمريكية لـ Ericsson عن خرق بيانات ناتج عن اختراق مزود خدمة من طرف ثالث. تمت سرقة بيانات الموظفين والعملاء، بما في ذلك معلومات التعريف الشخصية.
يبرز هذا الحادث المخاطر المستمرة لـهجمات سلسلة التوريد — حتى عندما يكون أمنك الخاص قوياً، يمكن أن يصبح الموردون ومزودو الخدمات الحلقة الأضعف.
5. ShinyHunters تستغل ثغرة Salesforce Aura
⚠️ استغلال نشط — Salesforce Experience Cloud
تستغل عصابة الابتزاز الشهيرة ShinyHunters بنشاط خطأ جديد في Salesforce Experience Cloud (إطار عمل Aura) لسرقة البيانات من الحالات المُعدّة بشكل خاطئ. المؤسسات التي لديها مواقع Salesforce Experience Cloud مكشوفة معرضة لخطر فوري.
لدى ShinyHunters سجل حافل بالخروقات الضخمة للبيانات وعادةً ما تبتز الضحايا بالتهديد بتسريب البيانات المسروقة. تسمح ثغرة Salesforce Aura بالوصول غير المصرح به إلى السجلات الحساسة عندما تكون الحالات مُعدّة بشكل غير صحيح.
الإجراءات المطلوبة: تدقيق تكوينات Salesforce Experience Cloud فوراً. مراجعة أذونات المستخدمين الضيوف. التحقق من أنماط الوصول غير المتوقعة للبيانات.
6. حزمة npm خبيثة تنتحل صفة OpenClaw
تم اكتشاف حزمة npm خبيثة تحمل اسم @openclaw-ai/openclawai تتنكر كمثبّت شرعي. تنشر الحزمة حصان طروادة للوصول عن بُعد (RAT) وتسرق بيانات حساسة من أنظمة macOS بما في ذلك:
- بيانات اعتماد النظام وبيانات سلسلة المفاتيح
- ملفات تعريف الارتباط للمتصفح وكلمات المرور المحفوظة
- ملفات محافظ العملات المشفرة
- مفاتيح SSH والتكوين
- سجل iMessage
حققت الحزمة 178 عملية تنزيل قبل اكتشافها. هذا هجوم كلاسيكي على سلسلة التوريد يستغل الثقة في مديري الحزم.
7. مجموعة UNC4899 الكورية الشمالية تخترق شركة عملات مشفرة
تنسب Mandiant التابعة لـ Google اختراق شركة عملات مشفرة إلى UNC4899 (المعروفة أيضاً باسم TraderTraitor)، وهي مجموعة تهديدات كورية شمالية. اخترق المهاجمون الهدف عبر ملف AirDrop مفخخ، ثم انتقلوا إلى البنية التحتية السحابية باستخدام تقنيات العيش من السحابة — إساءة استخدام خدمات سحابية شرعية للاندماج مع النشاط العادي.
يمثل هذا تطوراً في العمليات السيبرانية الكورية الشمالية، مما يدل على تزايد التطور في تقنيات الهجوم السحابية الأصلية.
8. إضافات Chrome تتحول إلى خبيثة بعد نقل الملكية
وُجد أن إضافتين لـ Chrome تحولتا إلى خبيثتين بعد نقل ملكيتهما إلى مطورين جدد. دفع المالكون الجدد تحديثات مكّنت حقن الكود وسرقة البيانات، مما أثر على المستخدمين الذين لديهم الإضافات مثبتة مع تفعيل التحديث التلقائي.
الإجراءات المطلوبة: تدقيق إضافات المتصفح عبر المؤسسة. تطبيق قوائم السماح للإضافات. مراقبة تحديثات الإضافات غير المتوقعة.
9. Cisco Catalyst SD-WAN CVE-2026-20127 تحت هجوم واسع
🚨 ثغرة حرجة — استغلال جماعي نشط
ثغرة حرجة في Cisco Catalyst SD-WAN (CVE-2026-20127) تتعرض الآن لاستغلال واسع النطاق من عناوين IP عديدة. يجب على المؤسسات التي تشغل بنية Cisco SD-WAN المتأثرة تطبيق التصحيحات فوراً أو تطبيق إجراءات التخفيف.
الإجراءات المطلوبة: تطبيق تصحيحات تنبيه Cisco الأمني فوراً. إذا لم يكن التصحيح ممكناً، تنفيذ الحلول البديلة الموصى بها ومراقبة مؤشرات الاختراق.
10. هجوم ClickFix يتطور مع Windows Terminal
تطورت تقنية الهندسة الاجتماعية ClickFix. يستخدم المهاجمون الآن صفحات CAPTCHA مزيفة تطلب من الضحايا لصق أوامر خبيثة في Windows Terminal بدلاً من مربع حوار التشغيل التقليدي. تتجاوز تقنية التهرب هذه العديد من ضوابط الأمان التي تراقب مربع حوار التشغيل.
يُعد التحول إلى Windows Terminal مهماً لأنه يوفر بيئة تنفيذ أكثر قوة وقد لا تتم مراقبته بواسطة أدوات اكتشاف النقاط الطرفية القديمة.
11. عناوين أخرى
| الخبر | التأثير |
|---|---|
| FBI يحقق في اختراق نظام مراقبة | FBI يفحص نشاطاً سيبرانياً مشبوهاً على نظام يحتوي معلومات مراقبة حساسة |
| CISA تضيف ثغرات iOS إلى KEV | مجموعة استغلال Coruna تستهدف 23 ثغرة في iOS 13–17.2.1؛ مستوى دولتي |
| تحديث الاستراتيجية السيبرانية الأمريكية | استراتيجية جديدة تستهدف الخصوم وحماية البنية التحتية الحيوية والذكاء الاصطناعي/التشفير ما بعد الكمي |
كيف تحميك KENSAI
✅ مراقبة CVE في الوقت الفعلي — تتبع CVE-2026-20127 وجميع الثغرات الحرجة خلال ساعات من الكشف
✅ تحليل سلسلة التوريد — اكتشاف الحزم الخبيثة مثل مثبّت OpenClaw npm المزيف
✅ تدقيق تكوين السحابة — تحديد أخطاء تكوين Salesforce قبل ShinyHunters
✅ إدارة مستمرة لسطح الهجوم — مراقبة تعرضك عبر جميع النواقل
الإجراءات الموصى بها
- فوري: تصحيح Cisco SD-WAN CVE-2026-20127. تقييد Quick Assist عبر سياسات المجموعة.
- اليوم: تدقيق تكوينات Salesforce Experience Cloud. مراجعة الأجهزة المرتبطة في Signal/WhatsApp.
- هذا الأسبوع: تدقيق إضافات المتصفح عبر المؤسسة. فحص تبعيات npm بحثاً عن الحزم الخبيثة.
- مستمر: تطبيق إدارة مستمرة للثغرات. تدريب الموظفين على تقنيات تصيد Teams وClickFix.
احمِ مؤسستك مع KENSAI
فحص ثغرات مدعوم بالذكاء الاصطناعي ومراقبة أمنية مستمرة. ابدأ فحصك المجاني اليوم.
← ابدأ الفحص المجانيابقَ آمناً. ابقَ يقظاً.
🗡️ فريق أمن KENSAI