剣 KENSAI
← All posts · security · 2026-03-08 · 3 min

نشرة أمنية: OpenAI Codex Security و MuddyWater Dindoor و ClickFix CastleRAT — 8 مارس 2026

أطلقت OpenAI أداة Codex Security، وهو وكيل أمني يعمل بالذكاء الاصطناعي فحص 1.2 مليون عملية إيداع للكود وحدد 10,561 ثغرة عالية الخطورة. مجموعة MuddyWater الإيرانية تخترق البنوك والمطارات الأمريكية باستخدام باب خلفي جديد Dindoor. برنامج الفدية Termite ينشر CastleRAT عبر هندسة اجتماعية ClickFix. Microsoft تحذر من أن القراصنة يسيئون استخدام الذكاء الاصطناعي في كل مرحلة من دورة حياة الهجوم. إليك كل ما تحتاج معرفته اليوم.


🤖 OpenAI Codex Security يفحص 1.2 مليون عملية إيداع ويكتشف 10,561 ثغرة عالية الخطورة

⚠️ وكيل أمني مدعوم بالذكاء الاصطناعي يبدأ العمل

أطلقت OpenAI أداة Codex Security، وهو وكيل أمني مدعوم بالذكاء الاصطناعي يراجع عمليات إيداع الكود بشكل مستقل بحثاً عن الثغرات. في أسبوعه الأول من التوفر العام، فحص 1.2 مليون عملية إيداع وحدد 10,561 ثغرة عالية الخطورة — بما في ذلك حقن SQL وتجاوز المصادقة والأسرار المشفرة في الكود.

القدرات الرئيسية

التطور والتوفر

المعلم التاريخ التفاصيل
النسخة التجريبية الخاصة Aardvark أكتوبر 2025 اختبار داخلي مع شركاء مؤسسيين مختارين
إطلاق Codex Security مارس 2026 التوفر العام لمستخدمي ChatGPT Pro/Enterprise/Business
نتائج الأسبوع الأول 8 مارس 2026 فحص 1.2 مليون عملية إيداع، واكتشاف 10,561 نتيجة عالية الخطورة

💡 التأثير على الصناعة

يمثل Codex Security تحولاً كبيراً في أمن التطبيقات — الانتقال من الفحص الدوري إلى مراجعة الكود المستمرة المدعومة بالذكاء الاصطناعي. تشير 10,561 نتيجة عالية الخطورة في أسبوع واحد فقط إلى أن العديد من الثغرات تفلت من أدوات SAST/DAST التقليدية. متاح لمشتركي ChatGPT Pro و Enterprise و Business بدون تكلفة إضافية.


🦟 برنامج الفدية Termite ينشر CastleRAT عبر هندسة اجتماعية ClickFix

⚠️ تقنية جديدة لتوصيل برامج الفدية

مجموعة التهديد Velvet Tempest تنشر برنامج الفدية Termite باستخدام تقنية الهندسة الاجتماعية ClickFix بالتزامن مع أدوات Windows المشروعة لتوصيل برنامج DonutLoader الخبيث والباب الخلفي CastleRAT.

سلسلة الهجوم

  1. طُعم ClickFix — يواجه الضحايا رسائل خطأ مزيفة تطلب منهم "إصلاح" مشكلة عن طريق تشغيل أمر
  2. تنفيذ PowerShell — يقوم "الإصلاح" بتنفيذ نص PowerShell مشفر
  3. نشر DonutLoader — يستخدم أدوات Windows المشروعة (mshta.exe و certutil) لتحميل DonutLoader
  4. تثبيت CastleRAT — يقوم DonutLoader بنشر الباب الخلفي CastleRAT للوصول المستمر
  5. برنامج الفدية Termite — بمجرد رسم خريطة الشبكة وتسريب البيانات، يتم نشر برنامج الفدية Termite

قدرات CastleRAT

🛡️ توصيات الدفاع

حظر هجمات نمط ClickFix من خلال تدريب المستخدمين على عدم تنفيذ الأوامر من رسائل الخطأ المنبثقة أبداً. تطبيق القوائم البيضاء للتطبيقات لمنع الاستخدام غير المصرح به لـ mshta.exe و certutil. مراقبة مؤشرات DonutLoader وأنماط تنفيذ PowerShell غير العادية.


🧠 Microsoft: جهات التهديد تسيء استخدام الذكاء الاصطناعي في كل مرحلة من الهجمات

⚠️ مشهد تهديدات متسارع بالذكاء الاصطناعي

يؤكد أحدث تقرير استخبارات التهديدات من Microsoft أن جهات التهديد تستخدم الذكاء الاصطناعي بشكل متزايد عبر جميع مراحل دورة حياة الهجوم — من الاستطلاع والهندسة الاجتماعية إلى تطوير البرامج الخبيثة والتهرب.

إساءة استخدام الذكاء الاصطناعي عبر سلسلة القتل

مرحلة الهجوم تطبيق الذكاء الاصطناعي التأثير
الاستطلاع جمع OSINT بالذكاء الاصطناعي، تنميط الأهداف تحليل أسرع وأكثر شمولاً للأهداف
الهندسة الاجتماعية التزييف العميق للصوت/الفيديو، تصيد بالذكاء الاصطناعي معدلات نجاح أعلى، حملات متعددة اللغات
تطوير البرامج الخبيثة كود مولد بالذكاء الاصطناعي، برامج خبيثة متعددة الأشكال دورات تطوير أسرع، التهرب من التوقيعات
هجمات بيانات الاعتماد رش كلمات المرور المحسن بالذكاء الاصطناعي، حل CAPTCHA إنتاجية أعلى، تجاوز الحماية
التهرب حمولات معدلة بالذكاء الاصطناعي لتجاوز EDR/AV معدلات اكتشاف أقل

🎯 الخلاصة الرئيسية

تؤكد Microsoft أن الذكاء الاصطناعي يخفض حاجز الدخول للجرائم الإلكترونية — يمكن للجهات الأقل مهارة الآن تنفيذ هجمات متطورة. يجب على المنظمات اعتماد دفاعات مدعومة بالذكاء الاصطناعي لمواكبة الهجمات المدعومة بالذكاء الاصطناعي. الاكتشاف التقليدي القائم على التوقيعات أصبح غير كافٍ بشكل متزايد.


🇮🇷 MuddyWater الإيراني يستهدف الولايات المتحدة بباب خلفي جديد Dindoor

⚠️ تجسس حكومي في البنية التحتية الحيوية الأمريكية

مجموعة MuddyWater (المعروفة أيضاً باسم Seedworm)، التابعة لوزارة الاستخبارات والأمن الإيرانية (MOIS)، تقوم بنشاط بالتغلغل في شبكات الشركات الأمريكية بما في ذلك البنوك والمطارات والمنظمات غير الربحية باستخدام باب خلفي جديد يسمى Dindoor.

الجدول الزمني للحملة

التاريخ الحدث
فبراير 2026 رصد نشاط الحملة الأولي الذي يستهدف منظمات أمريكية
أواخر فبراير 2026 تكثيف الحملة بعد الضربات الأمريكية/الإسرائيلية على المنشآت النووية الإيرانية
مارس 2026 تحديد باب Dindoor الخلفي في شبكات مالية ونقل أمريكية متعددة

التفاصيل التقنية لباب Dindoor الخلفي

🏛️ السياق الجيوسياسي

يرتبط تكثيف هذه الحملة ارتباطاً مباشراً بتصاعد التوترات الأمريكية الإيرانية في أعقاب الضربات العسكرية. استهداف MuddyWater للبنوك والمطارات يشير إلى جمع المعلومات الاستخباراتية والتموضع المحتمل لهجمات تخريبية. أصدرت CISA الأمريكية تحذيراً يحث مشغلي البنية التحتية الحيوية على البحث عن مؤشرات Dindoor.


🍎 CISA تأمر بتصحيح ثغرات Apple iOS المستغلة من مجموعة Coruna

⚠️ الوكالات الفيدرالية يجب أن تصحح فوراً

أمرت CISA جميع الوكالات الفيدرالية بتصحيح ثلاث ثغرات أمنية في Apple iOS يتم استغلالها بنشاط من قبل مجموعة استغلال Coruna في حملات التجسس الإلكتروني وسرقة العملات المشفرة.

الثغرات المستهدفة

مجموعة استغلال Coruna

تقوم مجموعة استغلال Coruna بربط هذه الثغرات الثلاث معاً لتحقيق استغلال بدون نقر قادر على اختراق أجهزة iOS بالكامل. تمت ملاحظتها في حملتين مختلفتين:

📱 إجراء مطلوب

قم بتحديث جميع أجهزة iOS إلى أحدث إصدار فوراً. الوكالات الفيدرالية لديها موعد نهائي إلزامي للامتثال. يجب على المنظمات التحقق من تصحيح جميع أجهزة iOS المدارة مؤسسياً ومراقبة مؤشرات الاختراق المرتبطة بمجموعة استغلال Coruna.


🔍 FBI يحقق في اختراق أنظمة المراقبة والتنصت

⚠️ اختراق أنظمة إنفاذ القانون

أكد FBI أنه يحقق في اختراق أنظمة تُستخدم لإدارة المراقبة وأوامر التنصت — مما قد يكشف تفاصيل التحقيقات الجارية وأهداف المراقبة.

بينما تبقى التفاصيل محدودة بسبب حساسية التحقيق، تشمل المخاوف الرئيسية:

🏛️ التداعيات الأوسع

يأتي هذا الاختراق ضمن نمط من الهجمات التي تستهدف أنظمة إنفاذ القانون ومجتمع الاستخبارات. اختراق أنظمة إدارة التنصت حساس بشكل خاص — فقد يقوض التحقيقات الجنائية والأمن القومي الجارية ويضعف ثقة الجمهور في قدرة الحكومة على تأمين عملياتها الأكثر حساسية.


⚠️ أدلة تثبيت مزيفة لـ Claude Code تنشر برنامج InstallFix الخبيث

⚠️ هجوم انتحال أدوات المطورين

متغير جديد من ClickFix يسمى InstallFix يستهدف المطورين من خلال إنشاء أدلة تثبيت مزيفة لأدوات CLI الشائعة — بما في ذلك Claude Code من Anthropic — لخداع المستخدمين لتشغيل أوامر خبيثة.

كيف يعمل InstallFix

  1. تسميم SEO — أدلة مزيفة "كيفية تثبيت Claude Code" تحتل مراتب عالية في نتائج البحث
  2. مظهر شرعي — الصفحات تحاكي التوثيق الرسمي بعلامة تجارية دقيقة
  3. أمر خبيث — تتضمن تعليمات التثبيت سطر واحد curl | bash يجلب البرامج الخبيثة
  4. توصيل الحمولة — يقوم النص البرمجي بتثبيت الأداة الشرعية والباب الخلفي في وقت واحد
  5. الاستمرارية — يبقى الباب الخلفي بعد تحديثات الأداة وإعادة تشغيل النظام

الأدوات المستهدفة

🛡️ نصائح الحماية

قم دائماً بتثبيت أدوات المطورين من المصادر الرسمية فقط. بالنسبة لـ Claude Code، استخدم توثيق Anthropic الرسمي على docs.anthropic.com. لا تقم أبداً بتشغيل أوامر curl | bash من مواقع غير رسمية. تحقق من المجاميع الاختبارية للحزم واستخدم مديري الحزم (npm، pip) بدلاً من نصوص Shell البرمجية الخام.


🦠 Transparent Tribe تُصنّع البرامج الخبيثة بالذكاء الاصطناعي — ظهور "Vibeware"

⚠️ إنتاج ضخم للبرامج الخبيثة بالذكاء الاصطناعي

مجموعة Transparent Tribe (APT36)، وهي مجموعة APT متحالفة مع باكستان، تستخدم أدوات الترميز بالذكاء الاصطناعي لإنتاج البرامج الخبيثة بكميات كبيرة بلغات غير شائعة مثل Nim و Zig و Crystal — مما أنشأ ما يسميه الباحثون "Vibeware": برامج خبيثة مُنتجة بالترميز الحدسي على نطاق صناعي.

تهديد Vibeware

الجانب البرامج الخبيثة التقليدية Vibeware
وقت التطوير أسابيع إلى أشهر ساعات إلى أيام
اللغات C/C++ و Python و C# Nim و Zig و Crystal و V و Odin
التهرب من التوقيعات تشفير يدوي متأصل — ثنائيات اللغات غير الشائعة تتهرب من معظم برامج مكافحة الفيروسات
الحجم عشرات المتغيرات مئات الثنائيات الفريدة يومياً
قابلية التخلص يُعاد استخدامها عبر الحملات استخدام مرة واحدة، يُتخلص منها بعد الاكتشاف

لماذا هذا مهم

🎯 التأثير الاستراتيجي

يمثل Vibeware تحولاً جوهرياً في اقتصاد البرامج الخبيثة. استخدام Transparent Tribe للذكاء الاصطناعي لتصنيع البرامج الخبيثة يعني أن المدافعين يجب أن ينتقلوا إلى ما وراء الاكتشاف القائم على التوقيعات نحو التحليل السلوكي والتحليل الجنائي للذاكرة واكتشاف التهديدات بالذكاء الاصطناعي. يصبح مفهوم "البرامج الخبيثة المعروفة" أقل أهمية عندما يمكن للمهاجمين إنشاء متغيرات فريدة حسب الطلب.


🛡️ أولويات التخفيف اليوم

لفرق التطوير

  1. تقييم أدوات الأمن بالذكاء الاصطناعي — النظر في Codex Security أو أدوات مشابهة لمراجعة الكود المستمرة
  2. التحقق من مصادر التثبيت — استخدام التوثيق الرسمي فقط لتثبيت أدوات المطورين
  3. تطبيق التحقق من الحزم — فرض التحقق من المجاميع الاختبارية والحزم الموقعة في خطوط أنابيب CI/CD

للبنية التحتية الحيوية

  1. البحث عن مؤشرات Dindoor — التحقق من شذوذ DNS-over-HTTPS والخدمات المشبوهة في Windows وإساءة استخدام LOLBin
  2. تصحيح أجهزة iOS — تطبيق أحدث تحديثات iOS للدفاع ضد مجموعة استغلال Coruna
  3. مراجعة الوصول لأنظمة التنصت — يجب على وكالات إنفاذ القانون مراجعة ضوابط الوصول للأنظمة الحساسة

لجميع المنظمات

  1. التدريب ضد ClickFix — يجب أن يفهم المستخدمون أن البرامج الشرعية لا تطلب منهم أبداً تشغيل أوامر من نوافذ الأخطاء المنبثقة
  2. نشر الاكتشاف السلوكي — مكافحة الفيروسات القائمة على التوقيعات وحدها لا تستطيع التعامل مع Vibeware؛ استثمر في EDR السلوكي والمدعوم بالذكاء الاصطناعي
  3. مراقبة الهجمات المدعومة بالذكاء الاصطناعي — تحديث نماذج التهديد لمراعاة الاستطلاع والهندسة الاجتماعية المعززة بالذكاء الاصطناعي
  4. حظر إساءة استخدام LOLBin — تقييد mshta.exe و certutil وأدوات Windows الأخرى الشائعة الإساءة

📊 ملخص مشهد التهديدات

التهديد الجهة الفاعلة الخطورة الإجراء المطلوب
إطلاق OpenAI Codex Security غير متاح (دفاعي) 🟢 معلومات تقييم التكامل مع CI/CD
برنامج الفدية Termite + CastleRAT Velvet Tempest 🔴 حرج حظر ClickFix، مراقبة مؤشرات DonutLoader
إساءة استخدام الذكاء الاصطناعي عبر مراحل الهجوم متعددة 🔴 حرج نشر دفاعات الذكاء الاصطناعي، تحديث نماذج التهديد
باب MuddyWater Dindoor الخلفي إيران (MOIS) 🔴 حرج البحث عن شذوذ DoH، مراجعة البنية التحتية الحيوية
مجموعة استغلال Coruna لـ iOS غير معروف (تجسس) 🔴 حرج تصحيح جميع أجهزة iOS فوراً
اختراق نظام التنصت FBI غير معروف 🔴 حرج مراجعة ضوابط الوصول لأنظمة إنفاذ القانون
أدلة التثبيت المزيفة InstallFix مجرمون إلكترونيون 🟠 عالي التحقق من جميع التثبيتات من المصادر الرسمية
Transparent Tribe Vibeware APT متحالفة مع باكستان 🟠 عالي نشر الاكتشاف السلوكي، تجاوز التوقيعات