Quel est le site Web ?

https://www.facebook.com/877541475438474/

Cyber security ar, Algiers (2026)

27/01/2026

⚠️ تحذير للمطورين: هجمات ClickFix تتخفى في رداء أدوات الحماية!

كشف تقرير حديث من SentinelLabs عن تطور خطير في استراتيجية عصابات (Cybercrime)، حيث بدأت حملة (ClickFix) الشهيرة باستهداف (Developers) و (Security Researchers) عبر أدوات (Pe*******on Testing) مفخخة.
📌 كيف يتم الهجوم؟
المهاجمون لا يبحثون عن ثغرات في نظامك فحسب، بل يدفعونك لتثبيت الثغرة بنفسك عبر:
Malicious GitHub Repos: إنشاء مستودعات (GitHub) وهمية تدعي تقديم أدوات مفيدة مثل (BrowserStealer) أو نسخ معدلة من (HackBrowserData).
Social Engineering: التواصل مع الضحايا عبر (LinkedIn) أو منصات المطورين لإقناعهم بتجربة هذه الأدوات "المفتوحة المصدر".
Payload Deployment: بمجرد تشغيل الأداة، يتم زرع (Malware) متطور يقوم بجمع (Session Cookies) و (Passwords) وحتى (Crypto Wallets).
🔍 لماذا استهداف المطورين تحديداً؟
المطور يمثل صيداً ثميناً لأنه يمتلك غالباً:
Elevated Privileges: صلاحيات وصول واسعة للأنظمة.
Source Code Access: القدرة على الوصول إلى (Repositories) الشركة، مما يمهد لهجمات (Supply Chain Attacks) كارثية.
Trust Factor: المطورون يثقون عادة في أدوات (Open Source)، وهذا ما يستغله المهاجمون.
🛡️ كيف تحمي نفسك وبيئة عملك؟
Strict Verification: لا تقم بتحميل (Tools) من مستودعات (GitHub) مجهولة أو حديثة المنشأ دون فحص الـ (Commit History).
Isolation: استخدم (Virtual Machines) أو (Isolated Containers) عند تجربة أي أداة جديدة.
Endpoint Detection: تأكد من تفعيل أنظمة (EDR) قوية قادرة على رصد (Behavioral Anomalies).
Token Security: قم بتقليل صلاحيات (Access Tokens) واستخدم (Hardware MFA) لحماية حساباتك الحساسة.
الأمان يبدأ بـ (Mindset) واعية؛ فالمهاجمون يطورون أدواتهم باستمرار، والوقاية خير من (Incident Response) متأخر.

23/01/2026

🚨 تنبيه أمني: CISA تضيف 4 ثغرات جديدة إلى قائمة KEV

أعلنت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) عن إضافة 4 ثغرات أمنية جديدة إلى كتالوج (Known Exploited Vulnerabilities - KEV)، وذلك بعد ثبوت استغلالها فعلياً في هجمات سيبرانية.
🔍 أبرز الثغرات المضافة:
CVE-2025-68645 (Zimbra Collaboration):
ثغرة خطيرة من نوع (Remote File Inclusion) في منصة Zimbra. تتيح للمهاجمين غير المصرح لهم الوصول إلى ملفات حساسة عبر ثغرة في (endpoint) الخاص بالخدمة. سجلت هذه الثغرة مستوى خطورة (CVSS score) يصل إلى 8.8.
CVE-2025-54313 (Supply Chain Attack):
تتعلق بهجوم على (NPM packages) الشهيرة مثل (eslint-config-prettier). تم استغلالها لحقن (Malicious Code) يؤدي لتحميل برمجية خبيثة تُعرف باسم (Scavenger Loader) لسرقة البيانات (Information Stealer).
ثغرات Fortinet:
تضمنت القائمة أيضاً ثغرات تتيح (Authorization Bypass) في أنظمة (FortiOS)، مما يسمح للمهاجمين بتجاوز مصادقة الدخول (SSO) والوصول إلى الشبكات الداخلية.
💡 لماذا هذا التحديث مهم؟
تعتبر قائمة KEV المرجع الأساسي لخبراء (Vulnerability Management) لتحديد أولويات التحديث (Patching). وجود الثغرة في هذه القائمة يعني أن (Threat Actors) يستخدمونها حالياً في هجمات (In the wild).
🛠️ ما المطلوب فعله؟
أصدرت CISA توجيهاً (BOD 22-01) لجميع الوكالات الفيدرالية بضرورة معالجة هذه الثغرات قبل تاريخ 12 فبراير 2026. وتنصح المنظمات والشركات بـ:
إجراء (Update) فوري للأنظمة المصابة.
مراقبة (Indicators of Compromise - IoCs) المرتبطة بهذه الثغرات.
تعزيز حماية (Software Supply Chain) خاصة لمطوري البرمجيات.
⚠️ الأمن السيبراني ليس خياراً، بل ضرورة. تأكد من تحديث أنظمتك الآن لتجنب أي (Data Breach) محتمل.

20/01/2026

🚨 ثغرة "حقن الأوامر" في Google Gemini:
كشف موقع The Hacker News عن خلل أمني خطير يتعلق بذكاء جوجل الاصطناعي (Gemini)،:
🔍 طبيعة الثغرة: تكمن المشكلة في ميزة "حقن الأوامر غير المباشر" (Indirect Prompt Injection). حيث يمكن للمهاجمين استغلال قدرة Gemini على قراءة البيانات من خدمات جوجل الأخرى مثل (Calendar) و (Gmail) لتنفيذ مهام خبيثة 😈.
📅 كيف يتم الاختراق؟: يقوم المهاجم بإرسال دعوة اجتماع عادية لتقويمك. داخل وصف هذا الاجتماع، يتم إخفاء أوامر برمجية نصية (Payload). بمجرد أن تطلب من Gemini تلخيص يومك أو قراءة جدولك، "ينخدع" النظام وينفذ الأوامر المخفية بدلاً من مجرد القراءة 📑 المسمومة.
⚠️ خطورة الهجوم: يعتبر هذا الهجوم من نوع "بدون نقرة" (Zero-click)، أي أنك لست بحاجة للضغط على روابط مشبوهة. قد يؤدي ذلك لتسريب معلوماتك الخاصة 🔐، أو إرسال بياناتك الحساسة إلى خوادم خارجية دون علمك 📤.
✅ رد فعل جوجل: لحسن الحظ، أشار التقرير إلى أن جوجل قامت بإغلاق هذه الثغرة وتصحيحها فور اكتشافها من قبل الباحثين الأمنيين، مما يؤكد أهمية التحديثات المستمرة لأنظمة الذكاء الاصطناعي 🛠️.

🔐

14/01/2026

🔒 تحديث أمني عاجل: مايكروسوفت تعالج 114 ثغرة! 💻🛡️
أصدرت شركة مايكروسوفت أول تحديث أمني لعام 2026 (Patch Tuesday)، والذي تضمن إصلاحات لـ 114 ثغرة أمنية في نظام ويندوز ومختلف برامجها. 🛠️✨
العنوان:
Microsoft Fixes 114 Windows Flaws in January 2026 Patch Tuesday
🔍 أبرز ما جاء في التقرير:
ثغرات حرجة: تم إصلاح 8 ثغرات مصنفة بدرجة "حرجة" (Critical) و106 ثغرة بدرجة "هامة". ⚠️
ثغرة "يوم الصفر": حذرت الشركة من وجود ثغرة واحدة (CVE-2026-20805) يتم استغلالها فعلياً من قبل القراصنة، وتتعلق بمدير نافذة سطح المكتب (DWM) لتسريب معلومات حساسة. 🕵️‍♂️
تنوع التهديدات: شملت الإصلاحات ثغرات تتعلق بـ "رفع الصلاحيات"، "تنفيذ كود عن بُعد"، و"تجاوز ميزات الأمان" مثل الـ Secure Boot. 🛡️🔐
🚩 تنبيه هام:
أضافت وكالة الأمن السيبراني الأمريكية (CISA) الثغرة المستغلة إلى قائمة التهديدات واجبة المعالجة فوراً. ⏳
💡 نصيحة الخبراء:
لا تتردد! قم بتحديث نظام ويندوز وجهازك فوراً لضمان سد هذه الثغرات وحماية بياناتك من أي اختراق محتمل. 🔄✅
#مايكروسوفت #ويندوز #تكنولوجيا #تحديث #حماية #برمجة

14/01/2026

⚠️ تحذير أمني: ملايين أجهزة الأندرويد في خطر! 📱📺
كشف تقرير أمني جديد عن شبكة بوت نت ضخمة تدعى "Kimwolf" نجحت في اختراق أكثر من 2 مليون جهاز أندرويد حول العالم! 🌏
🔍 ما الذي يحدث؟
الشبكة تستهدف بشكل أساسي أجهزة Android TV الرخيصة وأجهزة البث المنزلي التي تفتقر للأمان 🛡️. يتم استغلال ثغرات تقنية لتحويل جهازك إلى "جسر" (Proxy) ينفذ من خلاله المهاجمون هجمات إلكترونية وأنشطة مشبوهة دون علمك! 🕵️‍♂️
🚩 الدول الأكثر تأثراً:
الإصابات تتركز بقوة في عدة دول منها المملكة العربية السعودية، البرازيل، والهند 🇸🇦🇧🇷🇮🇳.
💡 كيف تحمي نفسك؟
1️⃣ تجنب شراء أجهزة البث المجهولة أو الرخيصة جداً.
2️⃣ تأكد من إغلاق خاصية "تصحيح أخطاء USB" (ADB) في الإعدادات.
3️⃣ حدث نظام جهازك باستمرار لسد الثغرات الأمنية 🔄.
لا تترك جهازك يكون جزءاً من جيش الهكرز! 🛑
#أندرويد #تكنولوجيا #حماية #تجسس #تطبيقات

29/11/2025

"Bloody Wolf" يوسع حملته بـ "Java-based RAT" في آسيا الوسطى 🐺

كشف تقرير أمني جديد صادر عن "Group-IB" عن توسع في نشاط مجموعة التهديد المعروفة باسم "Bloody Wolf". استهدفت المجموعة، التي تُرجح أنها نشطة منذ أواخر 2023، قطاعات حساسة في قيرغيزستان (منذ يونيو 2025) ووسعت هجماتها مؤخراً لتشمل أوزبكستان. تركز الأهداف على القطاعات الحكومية والمالية وتكنولوجيا المعلومات.
آلية الهجوم والتكتيكات:
تعتمد حملة "Bloody Wolf" على مزيج من Spear-Phishing و Social Engineering (الهندسة الاجتماعية) بمهارة عالية. حيث يقوم المهاجمون بما يلي:
انتحال الصفة: ينتحلون صفة وزارات حكومية موثوقة (مثل وزارة العدل في قيرغيزستان).
التوزيع: يرسلون مستندات PDF تبدو رسمية وتحتوي على رابط ضار.
التضليل: يُخدع الضحايا للنقر على الروابط التي تقوم بتنزيل ملف Malicious Java Archive (JAR) loader. يُطلب منهم أيضاً تثبيت Java Runtime بحجة أنها ضرورية لعرض المستندات.
بمجرد تشغيله، يقوم الـJAR loader بجلب الحمولة النهائية: وهي NetSupport RAT (Remote Access Trojan)، وهي أداة تجارية معروفة تُستخدم لأغراض خبيثة.
تطور الحملة:
تمتاز مرحلة استهداف أوزبكستان بتطبيق قيود تحديد الموقع الجغرافي (Geofencing)، حيث يتم إعادة توجيه الطلبات القادمة من خارج البلاد إلى مواقع شرعية، لضمان أن الـMalware لا يتم تنزيله إلا من داخل الدولة المستهدفة، مما يساهم في إبقاء الحملة تحت إطار "Low Operational Profile".
تُظهر حملة "Bloody Wolf" كيف يمكن للأدوات المتاحة تجارياً ومنخفضة التكلفة أن تتحول إلى Sophisticated Cyber Operations (عمليات سيبرانية معقدة) عند استغلال الثقة في المؤسسات الحكومية، مما يُشكل تهديداً كبيراً على Central Asian Threat Landscape.

29/11/2025

ثغرة في "MS Teams Guest Access" تسمح بتجاوز "Microsoft Defender" 🚨

كشف باحثو Cybersecurity عن "نقطة عمياء عابرة للمستأجرين" (Cross-Tenant Blind Spot) في ميزة وصول الضيوف (Guest Access) بتطبيق "MS Teams"، مما يسمح للمهاجمين بتجاوز حماية Microsoft Defender for Office 365 للمستخدمين.
آلية الثغرة:
تكمن المشكلة في أن حماية المستخدم تعتمد كلياً على بيئة الاستضافة الخارجية عند الانضمام كضيف إلى Tenant (مستأجر) آخر، وليس على سياسات الأمان الخاصة بمؤسسته الأم.
يمكن للمهاجم استغلال هذا "Architectural Gap" عبر إنشاء "Protection-Free Zone" (منطقة خالية من الحماية) في Tenant خاص به (باستخدام تراخيص منخفضة التكلفة لا تشمل ميزات Safe Links أو Safe Attachments).
سلسلة الهجوم:
يرسل المهاجم دعوة Teams عبر بريد إلكتروني إلى الضحية.
تنشأ الدعوة من بنية مايكروسوفت التحتية، مما يسمح لها بتجاوز ضوابط أمان البريد الإلكتروني التقليدية (SPF, DKIM, DMARC) دون أن تُصنّف كـMalicious.
إذا قبل الضحية الدعوة، يصبح ضيفاً غير محمي.
يستطيع المهاجم بعد ذلك إرسال روابط Phishing أو مرفقات تحتوي على Malware، دون أن يتم تفعيل ضوابط الأمان الخاصة بمنظمة الضحية، لأن الهجوم يحدث خارج حدودها الأمنية (Security Boundary).
للحماية:
يجب على المنظمات تقييد إعدادات التعاون بين الشركات (B2B Collaboration) للسماح بدعوات الضيوف من النطاقات الموثوقة فقط، وتطبيق Cross-Tenant Access Controls، وتدريب الموظفين على التيقظ لدعوات Teams الخارجية غير المرغوبة.

29/11/2025

حملة "TraderTraitor": قراصنة كوريا الشمالية يخترقون مطوري "npm" ⚠️

أصدرت وكالات الأمن السيبراني تحذيراً حول حملة تجسس إلكتروني معقدة تُنفذها مجموعة "Kimsuky" التابعة لكوريا الشمالية، والمعروفة أيضاً باسم "TraderTraitor" و "APT". تستهدف الحملة مطوري "npm" (مدير حزم JavaScript) لسرقة بيانات حساسة وتوزيع برمجيات خبيثة ضمن سلاسل إمداد البرمجيات (Software Supply Chain).
كيف يعمل الهجوم؟
تعتمد المجموعة على هجمات الهندسة الاجتماعية (Social Engineering Attacks) عبر رسائل بريد إلكتروني تصيدية (Phishing Emails) تنتحل صفة شركات توظيف شرعية. الهدف هو إغراء الضحايا لتنزيل مشاريع برمجية من حسابات "GitHub" مزيفة.
تحتوي هذه المشاريع على ملفات "JavaScript" ضارة. عند فتح المشروع في بيئة تطوير متكاملة (IDE) مثل "VS Code"، يتم تفعيل الـ"payload" (الحمولة) وتثبيت برمجيات خبيثة متعددة المراحل (Multi-Stage Malware) على نظام الضحية.
البرمجيات الخبيثة المستخدمة:
"Harkonnen": هو "Malware" متخصص في جمع المعلومات الأساسية عن النظام المصاب.
"Bluelight": هو "Remote Access Trojan" (RAT) يمنح المهاجمين قدرة التحكم الكامل عن بعد.
يتم استغلال حسابات المطورين المخترقة لرفع حزم "npm" خبيثة، مما يوسع نطاق الهجوم ليشمل الآلاف من المستخدمين الآخرين.
خطوات الحماية الأساسية:
تفعيل المصادقة متعددة العوامل (Multi-Factor Authentication - MFA) على جميع حسابات "npm" و "GitHub".
التدقيق في هوية المُرسلين المشبوهين والتحقق من الروابط قبل النقر.
تحديث البرمجيات وأنظمة الحماية بشكل دوري.
تُؤكد هذه الحملة على ضرورة تعزيز "Supply Chain Security" واليقظة المستمرة للمطورين.

🔐

29/11/2025

خطر "Domain Takeover" عبر "Legacy Python Bootstrap Scripts" في حزم "PyPI" 🛡️
كشفت أبحاث حديثة أجرتها شركة "ReversingLabs" عن ثغرة أمنية محتملة تهدد أمن سلاسل إمداد البرمجيات (Software Supply Chain) الخاصة بمنصة "PyPI" (Python Package Index). تكمن المشكلة في وجود نصوص برمجية قديمة ومتروكة، تُعرف باسم "Legacy Python Bootstrap Scripts"، والتي لا تزال مُضمنة في العديد من حزم "Python" المعروفة.
تتعلق الثغرة تحديداً بـ"script" الإقلاع (bootstrap.py) الذي كان يُستخدم مع أداة الأتمتة "zc.buildout" لتهيئة بيئة العمل. عند تشغيل هذا الـ"script"، فإنه يحاول بشكل تلقائي جلب وتثبيت حزمة "Distribute" القديمة عن طريق سحب ملف التثبيت (distribute_setup.py) من مجال محدد مُبرمج بداخله (Hard-Coded Domain): python-distribute[.]org.
تكمن خطورة الأمر في أن هذا المجال أصبح "Legacy Domain" (نطاق قديم) ومتاحاً للشراء منذ عام 2014. هذا الوضع يفتح الباب أمام هجوم "Domain Takeover" (الاستيلاء على النطاق)؛ حيث يمكن لمهاجم شرائه واستخدامه لاستضافة شفرة خبيثة (Malicious Code). عندئذ، إذا قام مطور أو مستخدم بتشغيل الـ"bootstrap script"، فسيتم تنزيل وتنفيذ الـ"payload" (الحمولة) الخبيث، مما قد يؤدي إلى "Arbitrary Code Ex*****on" (تنفيذ تعليمات برمجية عشوائية) وربما "Privilege Escalation" (تصعيد الامتيازات) على النظام المستهدف.
يُشدد الباحثون على أن هذا النمط البرمجي، الذي يعتمد على جلب وتنفيذ حمولة من نطاق ثابت، هو نمط شائع يُلاحظ في البرمجيات الخبيثة ذات سلوك "Downloader". وعلى الرغم من أن هذه النصوص البرمجية مكتوبة بلغة Python 2 ولا تُنفذ تلقائياً أثناء التثبيت، فإن مجرد وجودها يمثل "Unnecessary Attack Surface" (سطح هجوم غير ضروري) يمكن استغلاله.
من بين الحزم المتأثرة التي كانت تشحن هذا الـ"script": tornado و pypiserver، ويُلاحظ أن حزمة slapos.core لا تزال تحتوي على الشفرة المعرضة للخطر. لذا، يجب على المطورين العمل على إزالة هذه النصوص القديمة بشكل عاجل لتعزيز أمن سلاسل الإمداد (Supply Chain Security).

🔐

20/11/2025

🚨 "Sturnus": حصان طروادة جديد يسرق محادثاتك المُشفرة ويتولى السيطرة الكاملة على جهازك! 📱

كشف باحثون في الأمن السيبراني عن تفاصيل حول Android banking trojan جديد يُطلق عليه اسم Sturnus. يهدف هذا البرنامج الخبيث إلى سرقة بيانات الاعتماد (credential theft) والسيطرة الكاملة على الجهاز (full device takeover) لتنفيذ عمليات احتيال مالي.
Hook: التشفير لم يعد درعاً! 💬
يتميز Sturnus بقدرة فريدة وخطيرة على تجاوز المراسلات المشفرة (encrypted messaging). كيف؟ يقوم بسرقة المحتوى مباشرة من شاشة الجهاز بعد فك تشفيره، مما يمكنه من مراقبة محادثاتك عبر تطبيقات مثل WhatsApp وTelegram وSignal.
💥 تكتيكات الاختراق والتحكم عن بعد
يعمل Sturnus كـ "مُقلد صوتي" ماهر (مشابه لطائر الزرزور الأوروبي الذي سُمي باسمه)، حيث يمزج أنماط اتصال مختلفة (نص عادي، AES، وRSA) للتواصل مع خادم التحكم عن بعد.
هجمات التراكب (Overlay Attacks): يعرض شاشات تسجيل دخول وهمية فوق تطبيقات البنوك لاصطياد بيانات الاعتماد.
التحكم المرئي عن بعد: ينشئ قناة WebSocket للسماح للمهاجمين بالتفاعل مع الجهاز المخترق عن بُعد من خلال جلسات VNC (الحوسبة الشبكية الافتراضية).
إساءة استخدام خدمات الوصول (Accessibility Services Abuse): يستخدم خدمات Android لالتقاط ضربات المفاتيح (keystrokes) وتسجيل تفاعلات واجهة المستخدم (UI interactions).
التخفي والمناورة: يعرض تراكباً يملأ الشاشة بالكامل يحاكي شاشة تحديث نظام التشغيل لإخفاء الإجراءات الخبيثة التي تُنفذ في الخلفية. كما يمنع المستخدم من محاولة إلغاء حقوق المسؤول الخاصة به عن طريق رصد محاولات الوصول إلى إعدادات الأمان والتنقل بعيداً عنها تلقائياً.
🛑 مقاومة الإزالة (Persistence) والانتشار
يتمتع Sturnus بحماية قوية ضد الإزالة: فهو يمنع إلغاء التثبيت العادي والإزالة عبر أدوات مثل ADB ما لم يتم إبطال حقوق administrator يدوياً.
على الرغم من أن انتشاره لا يزال محدوداً في أوروبا الوسطى والجنوبية حالياً، فإن مزيجه من الاستهداف الجغرافي المحدد والوظائف المتقدمة يشير إلى أن المهاجمين يقومون بصقل أدواتهم تحضيراً لعمليات أوسع وأكثر تنسيقاً في المستقبل.
🔐

19/11/2025

🚧 Ringfencing: الدرع الذي يمنع البرامج الموثوقة من التجسس! 🛡️

في ظل تحديات الأمن الرقمي، لم يعد EDR كافياً. الحل يكمن في Zero Trust (الثقة الصفرية)، حيث يبرز Application Containment (Ringfencing) كمعيار أساسي لتطبيق least privilege.
Hook: الوثوق بالبرنامج لا يعني الوثوق بسلوكه! 🛑
يستغل المهاجمون برامج شرعية (مثل أدوات scripting) لتنفيذ هجمات living off the land. Ringfencing هو الدرع الذي يوقف هذا السلوك.
🛡️ Ringfencing: الأمان بعد السماح بالتشغيل
Ringfencing هي استراتيجية احتواء متقدمة تُطبق على التطبيقات المسموح بها (allowlisting). وظيفتها تقييد قدرات البرنامج بدقة متناهية، بحيث تحدد ما يمكنه الوصول إليه من Files, Network Resources, أو عمليات أخرى.
هذا التحكم يمنع التطبيق من "الإفراط في الوصول" (overreach) ويمنعه من بدء عمليات فرعية خطيرة (risky child processes) مثل PowerShell.
🔑 الفوائد الأمنية
يُعد Ringfencing ضرورياً لأنه:
يوقف الحركة الجانبية (Mitigating Lateral Movement): يعزل سلوكيات التطبيق، مما يعيق انتقال الهجوم عبر الشبكة.
يحتوي المخاطر العالية: يقيّد برامج مثل Word من تشغيل محركات script engines عالية المخاطر.
يمنع التسريب والتشفير: يحد من قدرة التطبيق على القراءة/الكتابة في مسارات حساسة، مما يوقف Data Exfiltration و Ransomware.
⚙️ التطبيق
يتم تطبيق Ringfencing على مراحل تبدأ بـ monitoring agent (وكيل مراقبة) في وضع التعلم (Learning Mode)، تليها مرحلة محاكاة (simulation) لمعرفة الإجراءات التي سيتم حظرها، ثم الإنفاذ على التطبيقات عالية المخاطر مثل Command Prompt.
هذا النهج يحول المؤسسات من نموذج الأمان التفاعلي إلى بنية استباقية.

19/11/2025

🚨 "WrtHug": حملة تجسس ضخمة تستغل 6 ثغرات لاختراق آلاف أجهزة ASUS Routers (الموجهات)! 🌐
كشفت حملة أمنية جديدة، أُطلق عليها اسم Operation WrtHug، عن موجة واسعة من الهجمات التي استهدفت عشرات الآلاف من أجهزة ASUS WRT routers (الموجهات اللاسلكية من طراز ASUS WRT) القديمة أو التي وصلت إلى نهاية العمر الافتراضي (End-of-Life - EoL) حول العالم، مع تركيز كبير في تايوان والولايات المتحدة وروسيا.
📉 جوهر الهجوم: استغلال ثغرات n-day vulnerabilities
تعتمد الحملة على استغلال ستة ثغرات أمنية معروفة في أجهزة ASUS WRT routers التي لم تعد تتلقى تحديثات دعم من الشركة. الهدف الأساسي هو خدمة ASUS AiCloud التي تسمح بالوصول إلى التخزين المحلي عبر الإنترنت، حيث يستغل المهاجمون هذه الثغرات للحصول على امتيازات عالية (high privileges) على الأجهزة المُصابة.
من بين الثغرات المستغلة، تم تحديد مجموعة من نقاط الضعف مثل CVE-2023-41345 وCVE-2025-2492 وغيرها، والتي يتم استغلالها لانتشار الهجوم.
🔗 آلية الاختراق والسيطرة
تُظهر الأجهزة المخترقة سمة مشتركة مثيرة للقلق: جميعها تشترك في شهادة self-signed TLS certificate فريدة ذات تاريخ انتهاء صلاحية ممتد. هذا يشير إلى عملية منظمة على نطاق واسع.
هدف المهاجم: الهدف هو السيطرة على هذه الموجهات وضمها إلى شبكة ضخمة (شبيهة بـ botnet أو Operational Relay Box - ORB) يمكن استخدامها لاحقاً لأغراض التجسس أو شن هجمات أخرى.
ثبات الاختراق: يعتمد المهاجمون على "سلسلة" من هجمات حقن الأوامر (command injections) وتجاوز المصادقة (authentication bypasses) لنشر أبواب خلفية دائمة (persistent backdoors) عبر SSH. هذا يضمن بقاء وجودهم على الجهاز حتى بعد إعادة التشغيل أو تحديثات الـFirmware (إذا كانت متاحة).
🌍 الارتباطات المحتملة والمخاطر
على الرغم من عدم الكشف عن هوية الجهة المنفذة للحملة بشكل قاطع، فإن الاستهداف المكثف لتايوان وتداخل التكتيكات مع حملات سابقة لوكلاء صينيين (China-linked ORBs) يشير إلى احتمال وقوف جهة تابعة للصين وراء العملية.
تؤكد هذه الحملة على الاتجاه المتزايد للممثلين الخبثاء في استهداف أجهزة الشبكات المنزلية وأجهزة IoT (Internet of Things) في عمليات عدوى واسعة النطاق، مما يجعل تأمين الأجهزة الطرفية أمراً بالغ الأهمية.

Cyber security ar

27/01/2026

23/01/2026

20/01/2026

14/01/2026

14/01/2026

29/11/2025

29/11/2025

29/11/2025

29/11/2025

20/11/2025

19/11/2025

19/11/2025

Adresse

Site Web

Notifications

Raccourcis

Partager

Type