ThreatsDay Bulletin: البوتنيت الهجين (Hybrid BotNETs)، ثغرات عندها 13 عام، وتوظيف الذكاء الاصطناعي (AI) كأداة هجوم
ThreatsDay Bulletin: Hybrid P2P Botnet, 13-Year-Old Apache RCE and 18 More Stories
ThreatsDay Bulletin: البوتنيت الهجين (Hybrid BotNETs)، ثغرات عندها 13 عام، وتوظيف الذكاء الاصطناعي (AI) كأداة هجوم
TL;DR (المفيد)
هاد السيمانة، المشهد ديال التهديدات مسيطر عليه التطور ديال البوتنيت Phorpiex اللي ولى موديل هجين (hybrid) وقوي، واكتشاف ثغرة RCE (تحكم عن بعد) عندها 13 عام فـ Apache ActiveMQ، وزيادة كبيرة فـ حملات "ClickFix" اللي كتستهدف Windows و macOS. بالإضافة لـ هادشي، الخسائر ديال النصب الإلكتروني وصلات لـ 17.7 مليار دولار فـ 2025، فـ الوقت اللي هاد المهاجمين ولاو كيستغلو أدوات الذكاء الاصطناعي ومنصات SaaS موثوقة بحال Jira و GitHub باش يتجاوزو أنظمة الحماية التقليدية.
البنية التحتية والبوتنيت (Botnets): صعود الأنظمة الهجينة
البوتنيت Phorpiex (اللي معروف حتى بـ Trik) طور راسو. واحد الـ variant جديد سميتو "Twizt" دابا كيخدم بموديل اتصال هجين، كيجمع بين الـ HTTP polling التقليدي وبروتوكولات Peer-to-Peer (P2P) فوق TCP و UDP. هاد الهيكلة ديال Command-and-Control (C2) ثنائية الطبقات كتخلي البوتنيت يبقى خدام حتى يلا طيحو السيرفورات المركزية.
حالياً كاين تقريبا 125,000 إصابة يومية — أغلبها ف إيران، أوزبكستان، والشينوا — وهاد Phorpiex كيركز على:
- سرقة العملات الرقمية: كيستعمل "clippers" باش يبدل المسار ديال المعاملات (transactions).
- السبام والـ Ransomware: كيصيفط ايميلات الابتزاز الجنسي (sextortion) بالجملة وكيخلص الطريق لـ LockBit Black.
- الانتشار بحال الدود (Worm-like): كينتشر عبر fiches USB وكيقلب على ثغرات Local File Inclusion (LFI).
الثغرات: شبح عندو 13 عام فـ الماكينة
تكتشفات واحد الثغرة خطيرة ديال Remote Code Execution (RCE) فـ الـ Apache ActiveMQ Classic. هاد الثغرة اللي معرّفة بـ CVE-2026-34197 (بسكور 8.8 فـ CVSS)، كانت كاينة هادي 13 عام وكتسمح للمهاجمين يتجاوزو الـ authentication عبر ربطها مع ثغرة قديمة أخرى (CVE-2024-32114).
عبر استغلال Jolokia API، المهاجمين كيقدروا يقلبوا على الـ message broker باش ينفذ أوامر فـ نظام التشغيل (OS). فـ الوقت اللي بزاف ديال البيئات معرضة للخطر حيت مخليين "admin:admin" فـ الكود ديفو، النسخ من 6.0.0 تال 6.1.1 هي اللي ف خطر كبير حيت ما كطلب حتى كود باش تحل الـ API. التحديثات دابا موجودة فـ ActiveMQ نسخ 5.19.4 و 6.2.3.
الأثر الاقتصادي للنصب الإلكتروني
التقرير ديال FBI (مركز IC3) كيقول باللي النصب اللي كيتدار عبر الإنترنت كلف الضحايا أكثر من 17.7 مليار دولار فـ 2025، وهادشي كيمثل 85% من كاع الخسائر اللي تبلغ عليها.
- أكبر سبب للخسارة: النصب فـ استثمارات العملات الرقمية (7.2 مليار دولار).
- تهديد المقاولات: الـ Business Email Compromise (BEC) جا فـ المرتبة الثانية بـ 3 مليار دولار.
- الـ Ransomware (فدية): تكتشفات 63 نسخة جديدة، و Akira و Lockbit هما اللي جاو فـ Top 10 ديال النسخ اللي ضربات البنيات التحتية الحساسة.
الذكاء الاصطناعي (AI): من أداة إنتاج لـ وسيلة هجوم
الذكاء الاصطناعي ولا كيتستعمل كـ "سلاح" فـ بزاف ديال الجوايه:
- تطور الـ DDoS: منصات "DDoS-for-hire" دابا ولاو كيزيدو فيها LLMs من الـ dark-web، هادشي كايخلي ناس ما عندهمش مهارات يديرو هجمات معقدة بـ "Natural Language" (كتابة عادية).
- تسريب كود Claude: من بعد ما تسرب بالغلط السورس كود ديال "Claude Code" من شركة Anthropic، الهكرز صاوبوا مخازن (repositories) وهمية ف GitHub باش ينشروا فيروسات سرقة المعلومات "Vidar" و "PureLogs" تحت غطاء هاد الكود اللي تسرب.
- استغلال مباشر: باحثين ورّاو واحد الاستغلال سميتو "GrafanaGhost"، اللي كيخدع الـ AI ديال Grafana باش يسرب معلومات ديال الشركات عبر "prompt injection" غير مباشر — وهادشي كيتجاوز حواجز الحماية بلا ما يحتاج المهاجم يتفاعل مع المستخدم.
هندسة الخداع: ClickFix والسبيطار الاجتماعي
تكتيك "ClickFix" — اللي كيعتمد على نوافذ وهمية ديال تحديث البراوزر ولا النظام — بدا كيتوسع:
- Windows: كينشر RAT خدام بـ Node.js اللي كيبقى كاعو ف الـ memory (الرام)، وكيدوز الـ traffic ديالو عبر شبكة Tor.
- macOS: كيستغل الـ URL scheme ديال
applescript://باش يتجاوز مميزات الحماية الجديدة فـ Terminal اللي بدات فـ macOS 26.4. - استغلال SaaS: المهاجمين كيخدموا بأنظمة الإشعارات (notifications) القانونية فـ Jira و GitHub باش يصيفطوا روابط Phishing. بما أن الايميلات جاية من IP وبنية تحتية موثوقة، غالباً كيتجاوزو الـ filters ديال حماية الايميل التقليدية.
سلاسل التوريد (Supply Chain) ومخاطر الـ Edge
- أنظمة التحكم الصناعية: كاين أكثر من 5,000 جهاز PLC ديال Rockwell Automation باقين عريانين لـ لانسيت، و 74% منهم ف ميريكان. هاد الأجهزة مستهدفة بزاف من طرف هكرز عندهم علاقة بـ إيران.
- Magecart: كاينة حملة جديدة كتخبي "credit card skimmers" وسط عناصر SVG (تصاور) وهمية بعبور 1x1 pixel ف المتاجر اللي خدامة بـ Magento.
- Malware فـ PyPI: واحد الـ package سميتو
hermes-px(اللي كيسوق لراسو كـ AI proxy) تكتشف باللي كيسرق الـ prompts ديال المستخدمين وكيفلترهم لـ database ديال المهاجم.
خلاصة
البيانات ديال هاد السيمانة كتشير لواحد التحول نحو "التصعيد الصامت" بلاصة ما يديرو ضجة بـ zero-days جداد. المهاجمين لقاو النجاح عبر إحياء ثغرات قديمة، استغلال الثقة ف منصات SaaS، وابتكار طرق لضرب حماية الـ OS الجديدة. المؤسسات خاصها تسبق الـ FIDO2 hardware keys، تراقب شكون كيسجل ف الـ MFA، وتكون حذرة بزاف من أدوات الـ AI اللي عندها دخول مباشر للوثائق أو قواعد البيانات الداخلية.