KENSAI استخبارات أمنية
الموجز اليومي للتهديدات
الأحد، 8 مارس 2026 — 04:00 بتوقيت وسط أوروبا
3
حرجة
5
خروقات بيانات
13
ثغرات جديدة
2
إصدارات أدوات
خروقات البيانات الكبرى
كشفت شركة TriZetto Provider Solutions (التابعة لـ Cognizant) المتخصصة في تكنولوجيا معلومات الرعاية الصحية عن اختراق أدى إلى تسريب بيانات صحية حساسة — تشمل السجلات الطبية ومعلومات التأمين والبيانات الشخصية — لـ 3.4 مليون مريض. يؤثر الاختراق على شركات التأمين الصحي ومقدمي الخدمات الذين يستخدمون منصة TriZetto البرمجية. جارٍ إرسال إشعارات HIPAA.
أكد FBI أنه يحقق في اختراق أنظمة تُستخدم لإدارة أوامر المراقبة وعمليات التنصت. تم إخطار الكونغرس. لا يزال النطاق والجهة المسؤولة قيد التحقيق، مما يثير مخاوف جدية تتعلق بالأمن القومي حول تسريب بيانات أجهزة إنفاذ القانون.
كشفت هيئة النقل في لندن (TfL) أن خرقاً للبيانات أثر على أنظمتها طال ما يقارب 10 ملايين سجل عميل، بما في ذلك بيانات بطاقات Oyster ومعلومات الاتصال.
اعترف مواطن غاني بالذنب لدوره في شبكة احتيال ضخمة سرقت أكثر من 100 مليون دولار من ضحايا أمريكيين عبر اختراق البريد الإلكتروني التجاري (BEC) وعمليات الاحتيال العاطفي. استمرت العملية لسنوات متعددة واستهدفت شركات وأفراداً.
اعترف المواطن الروسي Evgenii Ptitsyn، الذي تم تسليمه من كوريا الجنوبية في نوفمبر 2024، بالذنب أمام محكمة فيدرالية أمريكية لتشغيله بنية تحتية لبرامج الفدية تستهدف مؤسسات أمريكية.
ثغرات CVE الحرجة والمكتشفة
CISA KEV: مجموعة استغلال Coruna تستهدف iOS 13–17.2.1
أمرت CISA الوكالات الفيدرالية الأمريكية بترقيع ثلاث ثغرات في iOS يتم استغلالها بنشاط من قبل مجموعة استغلال Coruna — وهي أدوات بمستوى حكومي تستهدف 23 ثغرة في iOS عبر الإصدارات من 13 إلى 17.2.1. تُستخدم في هجمات التجسس السيبراني وسرقة العملات المشفرة.
ثغرة Rockwell في أنظمة التحكم الصناعي — تأكيد الاستغلال الفعلي
تم تأكيد الاستغلال الفعلي لثغرة في Rockwell Automation (تم الكشف عنها وترقيعها في 2021) تتيح اختراق أنظمة التحكم الصناعي عن بُعد. تواجه المؤسسات التي تشغّل أنظمة Rockwell غير المحدّثة خطراً فورياً على بيئات التحكم الصناعي.
أمان OpenAI Codex — اكتشاف ثغرات CVE جديدة في البرمجيات مفتوحة المصدر
حدد ماسح OpenAI Codex Security عدد 792 نتيجة حرجة و10,561 نتيجة عالية الخطورة عبر 1.2 مليون تعديل برمجي. تم إصدار ثغرات CVE جديدة لـ:
- CVE-2026-24881/82 GnuPG — عيوب في التنفيذ التشفيري
- CVE-2025-32988/89 GnuTLS — ثغرات في مكتبة TLS
- CVE-2025-64175 GOGS — ثغرة في خادم استضافة Git
- CVE-2026-25242 GOGS — مشكلة أمنية إضافية
- CVE-2025-35430–36 Thorium — 7 ثغرات في أداة CISA للكشف عن الإشعاع
أكثر من 100 مستودع GitHub توزّع سارق البيانات BoryptGrab
تم اكتشاف أكثر من 100 مستودع خبيث على GitHub توزّع البرمجية الخبيثة BoryptGrab لسرقة البيانات، والتي تستهدف بيانات المتصفح وبيانات اعتماد محافظ العملات المشفرة ومعلومات النظام وملفات المستخدم. تتنكر كمشاريع مفتوحة المصدر مشروعة.
نشاط برامج الفدية والتهديدات المتقدمة المستمرة
تنشر مجموعة "Velvet Tempest" برنامج فدية Termite عبر تقنية الهندسة الاجتماعية ClickFix، مستخدمةً أدوات Windows المشروعة لتحميل DonutLoader والباب الخلفي CastleRAT جانبياً. تجمع بين الهندسة الاجتماعية وأدوات LOLBins للتهرب من الدفاعات.
تسللت مجموعة APT الإيرانية MuddyWater (Seedworm) التابعة لوزارة الاستخبارات الإيرانية إلى بنوك أمريكية ومطارات ومنظمة كندية غير ربحية والفرع الإسرائيلي لشركة برمجيات دفاعية/جوية. تم نشر الباب الخلفي الجديد "Dindoor". تصاعد النشاط عقب الضربات العسكرية الأمريكية/الإسرائيلية على إيران.
تستخدم مجموعة APT المتحالفة مع باكستان Transparent Tribe أدوات البرمجة بالذكاء الاصطناعي لإنتاج برمجيات خبيثة مؤقتة بكميات كبيرة بلغات Nim وZig وCrystal. تستغل Slack وDiscord وSupabase وGoogle Sheets للتحكم والسيطرة. يصف Bitdefender هذا بأنه "تصنيع البرمجيات الخبيثة بمساعدة الذكاء الاصطناعي" — إغراق الأهداف ببرمجيات متعددة اللغات مولّدة بالذكاء الاصطناعي ("vibeware") لإرباك أنظمة الكشف.
اكتشف Securonix حملة متعددة المراحل تستخدم سكريبتات دفعية مموّهة لتوصيل XWorm وAsyncRAT وXeno RAT. تستخدم بيئة تشغيل Python مدمجة وحقن Early Bird APC في explorer.exe — تنفيذ بالكامل في الذاكرة. يحاكي التوصيل عبر السكريبتات نشاط المستخدم المشروع.
يتتبع Cisco Talos مجموعة UAT-9244 المرتبطة بالصين (المرتبطة بـ FamousSparrow والمتداخلة مع Salt Typhoon) التي تستهدف البنية التحتية للاتصالات في أمريكا الجنوبية منذ 2024. تم نشر ثلاث أدوات اختراق: TernDoor وPeerTime وBruteEntry — تستهدف Windows وLinux والأجهزة الطرفية.
إصدارات أدوات الأمان وأخبار القطاع
أطلقت OpenAI أداة Codex Security في معاينة بحثية — ماسح أمني ذكي يبني نماذج تهديدات على مستوى المشروع ويتحقق من النتائج في بيئات معزولة. فحص 1.2 مليون تعديل برمجي، واكتشف 10,561 مشكلة عالية الخطورة مع تقليل يتجاوز 50% في النتائج الإيجابية الكاذبة مقارنة بالإصدارات السابقة. مجاني لمدة 30 يوماً لمستخدمي ChatGPT Pro/Enterprise/Business. أهمية KENSAI: منافس محتمل في الكشف عن الثغرات بالذكاء الاصطناعي — لكنه يعمل على مستوى الكود، وليس على مستوى البنية التحتية مثل KENSAI.
Starkiller — منصة تصيد احتيالي كخدمة جديدة (تنبيه تهديد)
تستخدم منصة التصيد كخدمة الجديدة "Starkiller" متصفح Chrome بدون واجهة في حاويات Docker لعرض صفحات تسجيل دخول حقيقية ديناميكياً (Apple وGoogle وMicrosoft وغيرها)، والتقاط بيانات الاعتماد ورموز MFA في الوقت الفعلي. تستخدم خدعة "@" في عناوين URL للخداع البصري (مثل login.microsoft.com@malicious.ru). تم تحليلها بواسطة Abnormal AI. تتجاوز أنظمة كشف التصيد الثابتة التقليدية.
جولات تمويل: ArmorCode (16 مليون دولار) و Evervault (25 مليون دولار — السلسلة B)
جمعت ArmorCode 16 مليون دولار لمنصتها لإدارة التعرض الأمني. وجمعت Evervault 25 مليون دولار في السلسلة B (إجمالي 46 مليون دولار) للتشفير وتنسيق البيانات الموجّه للمطورين. يشير كلاهما إلى استمرار شهية المستثمرين لأدوات أمان التطبيقات وحماية البيانات.
أنماط التهديدات الناشئة
تسليح الذكاء الاصطناعي يبلغ مرحلة حرجة
حذرت Microsoft من أن القراصنة يستغلون الذكاء الاصطناعي "في كل مرحلة من مراحل الهجمات السيبرانية" — من الاستطلاع إلى توليد الحمولات الخبيثة إلى ما بعد الاختراق. بالاقتران مع "vibeware" الخاص بـ Transparent Tribe (برمجيات خبيثة مُنتجة بكميات كبيرة بالذكاء الاصطناعي) وهجمات Claude Code InstallFix المزيفة، نشهد ثلاثة أنماط متقاربة:
1. برمجيات خبيثة مولّدة بالذكاء الاصطناعي على نطاق واسع — مجموعات APT تستخدم أدوات الذكاء الاصطناعي لإنتاج كميات كبيرة من البرمجيات المؤقتة بلغات برمجة غير تقليدية
2. انتحال هوية أدوات الذكاء الاصطناعي — أدلة تثبيت مزيفة لـ Claude Code وCodex وأدوات سطر أوامر AI أخرى لتوصيل سارقي المعلومات
3. الدفاع المدعوم بالذكاء الاصطناعي — دخول OpenAI Codex Security إلى السوق كوكيل أمني ذكي
1. برمجيات خبيثة مولّدة بالذكاء الاصطناعي على نطاق واسع — مجموعات APT تستخدم أدوات الذكاء الاصطناعي لإنتاج كميات كبيرة من البرمجيات المؤقتة بلغات برمجة غير تقليدية
2. انتحال هوية أدوات الذكاء الاصطناعي — أدلة تثبيت مزيفة لـ Claude Code وCodex وأدوات سطر أوامر AI أخرى لتوصيل سارقي المعلومات
3. الدفاع المدعوم بالذكاء الاصطناعي — دخول OpenAI Codex Security إلى السوق كوكيل أمني ذكي
Google: نصف ثغرات يوم الصفر الـ 90 لعام 2025 استهدفت المؤسسات
يُظهر تحليل Google السنوي لثغرات يوم الصفر أن 45 من أصل 90 ثغرة يوم صفر تم استغلالها في 2025 استهدفت منتجات المؤسسات (وليس المستهلكين). يتصدر موردو برامج التجسس والجهات الحكومية الصينية قائمة الإسناد. يستمر التحول نحو استهداف المؤسسات في التسارع — أجهزة الشبكات وأدوات الأمان ومنصات التعاون هي الأهداف الرئيسية.
إصلاح شامل للاستراتيجية السيبرانية الأمريكية في عهد إدارة Trump
تدعو الاستراتيجية السيبرانية الأمريكية الجديدة إلى ردع أقوى ضد الخصوم السيبرانيين، وتحديث الشبكات الفيدرالية، وفرض تفويضات حماية البنية التحتية الحيوية، والاستثمار في الذكاء الاصطناعي والتشفير ما بعد الكمّي. تم تعيين James "Aaron" Bishop كمدير أمن معلومات جديد للبنتاغون، خلفاً لـ David McKeown.
🎯 بنود عمل KENSAI
- كشف ClickFix/InstallFix: يستخدم كل من برنامج فدية Termite وأدلة تثبيت أدوات AI CLI المزيفة متغيرات ClickFix — حدّث توقيعات الكشف واكتب مقالاً عن هذا الاتجاه
- استخبارات تنافسية: OpenAI Codex Security أصبح متاحاً الآن — ميّز مسح KENSAI على مستوى البنية التحتية مقابل نهج Codex على مستوى الكود في المواد التسويقية
- زاوية NIS2: اختراق TriZetto للرعاية الصحية (3.4 مليون سجل) هو دراسة حالة مثالية لمحتوى الامتثال الصحي لـ NIS2
- ICS/OT: يؤكد استغلال Rockwell أن أنظمة ICS القديمة غير المحدّثة تظل أهدافاً عالية القيمة — ذو صلة بقدرات KENSAI في مسح البنية التحتية
- سلسلة التوريد: أكثر من 100 مستودع خبيث على GitHub (BoryptGrab) يعزز الحاجة إلى SBOM ومسح التبعيات — فرصة لميزة في KENSAI