حصاد التهديدات السيبرانية: ضربات الإنتربول، وبرمجيات الفدية بالذكاء الاصطناعي، وثغرات اليوم الصفر

شهد المشهد العالمي للأمن السيبراني تصعيداً هائلاً خلال الـ 48 ساعة الماضية، تميز بعمليات إسقاط منسقة من قبل وكالات إنفاذ القانون، وتصحيحات عاجلة لثغرات اليوم الصفر، وتصاعد هجمات برمجيات الفدية المدعومة بالذكاء الاصطناعي. يعد هذا التحديث الشامل لمعلومات التهديدات أمراً بالغ الأهمية لمسؤولي تكنولوجيا المعلومات، وفرق عمليات التطوير والأمن (DevSecOps)، ومحترفي الأمن السيبراني. يتيح فهم هذه النواقل الناشئة للمؤسسات تحديد أولويات التصحيح وتعزيز دفاعاتها ضد اختراقات البيانات المعقدة.

مع تزايد اعتماد الجهات الفاعلة في مجال التهديدات على الذكاء الاصطناعي واستغلال الأنظمة القديمة، تتقلص نافذة المعالجة بسرعة. تثبت الحوادث الأخيرة أن كلاً من الشركات الضخمة والبنية التحتية الحيوية لا تزال عرضة بشكل كبير للحملات الموجهة. يجب على فرق الأمن التصرف بسرعة لتأمين البيانات غير المهيكلة وتحديث نقاط النهاية الضعيفة.

اختتمت منظمة الإنتربول مؤخراً عملية Synergia III، وهي مبادرة عالمية ضخمة نجحت في تفكيك 45,000 عنوان IP ضار وأسفرت عن 94 عملية اعتقال في جميع أنحاء العالم. في انتصار موازٍ لجهات إنفاذ القانون، عطلت السلطات الأمريكية والأوروبية خدمة الوكيل socksEscort التي كانت مرتبطة بشكل وثيق بشبكة الروبوتات (Botnet) المعروفة باسم AVrecon. على الرغم من هذه الانتصارات، يواصل مجرمو الإنترنت الإيقاع بضحايا بارزين عبر مختلف القطاعات.

أعلن مشغلو برمجيات الفدية Payload Ransomware مسؤوليتهم عن اختراق مستشفى البحرين الملكي، بينما استهدف قراصنة المركز الوطني للبحوث النووية في بولندا. في قطاع الشركات، أثر خرق بيانات شركة Starbucks على 889 موظفاً. علاوة على ذلك، عانى قطاع الرعاية الصحية من ضربة أخرى مع خرق بيانات شركة Bell Ambulance، والذي أدى إلى كشف المعلومات الشخصية لأكثر من 238,000 شخص.

أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) بشكل عاجل ثغرات جديدة في متصفح Google Chrome وثغرة في منصة n8n إلى كتالوج الثغرات المستغلة المعروفة الخاص بها. طرحت شركة Google بالفعل إصلاحات لثغرتين يتم استغلالهما بنشاط في متصفح Chrome. في غضون ذلك، أصدرت شركة Apple إصلاحات طارئة لمعالجة ثغرات Coruna التي تستهدف تحديداً الإصدارات القديمة من نظام التشغيل iOS.

تتعرض البنية التحتية للمؤسسات والويب أيضاً لتهديد شديد من أخطاء مكتشفة حديثاً. تهدد ثغرة حرجة من نوع حقن الأوامر (SQL Injection) في إضافة Ally حالياً أكثر من 400,000 موقع يعمل بنظام WordPress. بالإضافة إلى ذلك، أصدرت شركة Hewlett Packard Enterprise تصحيحاً لثغرة تجاوز المصادقة الحرجة التي تؤثر على أنظمة Aruba AOS-CX.

تطور الجهات الفاعلة في مجال التهديدات تكتيكاتها بسرعة، حيث تعمل البرمجيات الخبيثة Slopoly المدعومة بالذكاء الاصطناعي الآن على تشغيل حملات برمجيات الفدية الخاصة بمجموعة Hive0163. تقوم مجموعة التهديد Storm-2561 بنشاط باستدراج الضحايا إلى مواقع شبكات افتراضية خاصة (VPN) مزيفة لسرقة بيانات تسجيل الدخول الخاصة بالشركات. على صعيد الأجهزة المحمولة، تستهدف البرمجيات الخبيثة BeatBanker مستخدمي نظام Android، وتعمل كفيروس حصان طروادة مصرفي مزدوج الوضع ومُعدّن للعملات المشفرة.

تستمر التوترات الجيوسياسية في الامتداد إلى الفضاء السيبراني، حيث استهدفت مجموعة القرصنة المؤيدة للفلسطينيين Handala شركة التكنولوجيا الطبية Stryker في حملة تعطيل عالمية. لمساعدة المؤسسات على التنقل بين هذه التهديدات المعقدة، أصدرت وكالة ENISA استشارة فنية حول مديري الحزم الآمنة، مما يوفر إرشادات أساسية لفرق DevSecOps.

لضمان رؤية شاملة للتهديدات، يجب على فرق الأمن أيضاً مراقبة سلالات البرمجيات الخبيثة المكتشفة حديثاً، ومجموعات الاستغلال، والتطورات الأكاديمية التالية:

• برمجيات خبيثة واستغلالات جديدة: برمجية سرقة البيانات BoryptGrab Stealer، ومجموعة استغلال نظام iOS المعروفة باسم Coruna، وبرمجية ClipXDaemon (مختطف حافظة X11 مستقل)، وبرمجية A0Backdoor، وبرمجية VOID#GEIST (محمل Python متعدد المراحل وخفي).
• التهرب وشبكات الروبوتات: تقنية Zombie ZIP الجديدة، وشبكة الروبوتات KadNap، وبرمجية BlackSanta EDR-Killer، وحقن الأكواد عبر إضافة Pixel Perfect.
• تهديدات الهواتف المحمولة والبنوك: فيروس TAXISPY RAT، وفيروس Oblivion لنظام Android البالغ سعره 300 دولار، ومجموعة APT36، وبرمجية Sednit، وبرمجية VENON (فيروس حصان طروادة مصرفي برازيلي مكتوب بلغة Rust).
• أبحاث: انتشار البرمجيات الخبيثة عبر الإنترنت: الديناميكيات والتحكم من خلال نموذج الوباء SEIRV مع الانتكاس والتدخل.
• أبحاث: التنفيذ الموجه التآزري والتحليل المدفوع بالنماذج اللغوية الكبيرة لاكتشاف البرمجيات الخبيثة المولدة بالذكاء الاصطناعي في اليوم الصفر.
• أبحاث: دراسات حول النهج المتمحور حول التمثيل لتصنيف البرمجيات الخبيثة في نظام Android، والتقييم المنهجي لنماذج التعلم الآلي والتعلم العميق لاكتشاف البرمجيات الخبيثة في إنترنت الأشياء.

يشير النشر السريع للبرمجيات الخبيثة Slopoly المدعومة بالذكاء الاصطناعي من قبل مجموعة Hive0163 إلى تحول نموذجي خطير في عمليات برمجيات الفدية. من خلال الاستفادة من الذكاء الاصطناعي، يمكن للجهات الفاعلة في مجال التهديدات أتمتة تسليم الحمولات والتكيف مع أنظمة اكتشاف نقاط النهاية في الوقت الفعلي. علاوة على ذلك، يسلط ظهور فيروس Oblivion لنظام Android، والذي يبلغ سعره 300 دولار فقط، الضوء على التسليع العدواني لبرامج التجسس المتقدمة على الأجهزة المحمولة.

يضمن هذا الحاجز المنخفض للدخول تدفقاً للمهاجمين غير المتمرسين الذين ينشرون أدوات على مستوى المؤسسات ضد أهداف ضعيفة. لمواجهة ذلك، لم يعد تنفيذ بنية نموذج انعدام الثقة (Zero Trust) والمراقبة المستمرة خياراً؛ بل أصبحا ضرورات مطلقة للمؤسسات الحديثة التي تهدف إلى البقاء في مشهد التهديدات المتصاعد هذا.

ما هي نتيجة عملية Synergia III التي قادتها منظمة الإنتربول؟
نجحت عملية إنفاذ القانون العالمية في تفكيك 45,000 عنوان IP ضار وأدت إلى 94 عملية اعتقال في جميع أنحاء العالم.

ما هي إضافة WordPress التي تعرض المواقع حالياً لخطر حقن الأوامر؟
تم اكتشاف ثغرة حرجة من نوع حقن الأوامر (SQL Injection) في إضافة Ally، مما يهدد أكثر من 400,000 تثبيت نشط لنظام WordPress.

ما هو فيروس Oblivion؟
برمجية Oblivion هي فيروس حصان طروادة للوصول عن بُعد (RAT) تم اكتشافه حديثاً لأجهزة Android، ويُباع بمبلغ 300 دولار، ويُقال إنه قادر على تجاوز الإجراءات الأمنية لكبرى الشركات المصنعة للهواتف.