Cyber Security Sharks

06/02/2026

البشمهندس كيرلس أيمن ضيف مع البشمهندس احمد بدري في بودكاست عن السايبر سيكيورتي بشكل عام والـ Bug Hunting والـ CTFs وشوية مواضيع تانية لطيفة

لينك الحلقة
https://youtu.be/aZxbwzcg-E0?si=8Fsqh7973QxqcPMW

10/09/2025

📱 Apple بتغير قواعد اللعبة في الـ iPhone 17 والـ iPhone Air: Memory Integrity Enforcement (MIE)

Apple أعلنت عن Security Feature جديدة اسمها Memory Integrity Enforcement – MIE، ودي مبنية جوا الـ A19/A19 Pro Chips. الهدف الأساسي: تعمل always-on memory safety protection من غير ما تأثر على performance.

إيه المشكلة اللي MIE بتحلها؟

الهاكرز والمجموعات اللي بتطور mercenary spyware (زي Pegasus) بيعتمدوا بشكل كبير على memory exploitation techniques عشان يختراقوا الـ iPhone:

Buffer Overflows: لما برنامج يكتب أكتر من حدود الـ memory المخصصة.

Use-After-Free: لما كود يستخدم memory space بعد ما النظام حرره.

الـ exploits دي بتفتح الباب لـ remote code ex*****on وتسيطر كاملة على الجهاز.

ازاي MIE شغال؟

Apple صممت MIE على 3 حاجات أساسية:

1. Secure Memory Allocators
– طريقة Apple الخاصة لتخصيص وإدارة الـ memory بأمان.

2. Enhanced Memory Tagging Extension (EMTE)
– نسخة مطورة من MTE بتاع Arm (اللي نزل سنة 2019).
– EMTE هنا شغال synchronously، يعني بيفحص أي memory access في نفس اللحظة → يكتشف الاستغلال على طول.

3. Tag Confidentiality Enforcement (TCE)
– بيحمي الـ EMTE من هجمات speculative ex*****on زي TikTag Attack، اللي كانت بتستغل الاختلافات في الـ cache عشان تسرب الـ tags.

إيه اللي بيمنعه فعليًا؟

Buffer Overflow → أي out-of-bounds request لمكان مختلف الـ tag بتاعه → Blocked.

Use-After-Free → لما memory تتحرر وتتاخد لغاية تانية، بيتم retagging. أي محاولة للوصول بالـ old tag → Blocked.

ده معناه إن استغلالات الـ memory بقت أصعب بكتير، حتى لو كان عندك 0-day جاهز.

المقارنة مع غيره

Google Pixel كان عنده MTE من Android 13 لكن كـ developer option.

Microsoft ضافت حاجات مشابهة في Windows 11.

Apple بقى أول حد يحول MTE من debugging tool → core security feature production-level.

10/09/2025

Cursor AI Code Editor طلع فيه RCE Vulnerability
بتخلي أي malicious repo يقدر يعمل autorun للـ code أول ما تفتح الـ folder
من غير ولا warning ولا prompt

اللي اكتشف الموضوع هم Oasis Security، وبيوضحوا إن الـ Workspace Trust في Cursor بيكون disabled by default، وده فتح الباب للاستغلال.

يعني ببساطة مجرد open لملف مش مضمون ممكن يبقى entry point لسرقة
Cloud API keys, PATs, Active SaaS sessions
وكمان pivot على CI/CD pipelines و cloud infra.

Mitigation Steps

Enable Workspace Trust in Cursor.

Require startup prompt.

Set task.allowAutomaticTasks = off.

Open unknown repos only in containers/VMs.

الخطر هنا مش بس على dev machine، لأ.. ده بيهدد whole org لو حد استغله صح.

03/09/2025

تهديد جديد – Python Inf0s3c Stealer 🚨

في الأيام دي ظهر معلومات ستيلر (Inf0s3c Stealer) معمول بPython، وده واخد level عالي من obfuscation + packing (UPX + PyInstaller) علشان يفلت من الـ static analysis والـ AV detection.

الميكانيزم الأساسي....

بيجمع system info (CPU, network config, host identifiers).

بيسرق Discord tokens, browser creds, cookies, history, crypto wallets, Wi-Fi passwords، وكمان gaming sessions (Steam, Epic, Minecraft).

كل الـ data بتتجمع في %temp% في فولدرات مصنفة (Credentials, Directories, System).

بعد كده بيعمل RAR archive محمي بباسورد، وبيرفعه على Discord channel باستخدام label اسمه "Blank Grabber".

Persistence & Evasion:

بيتنسخ في Startup folder ك.scr (screensaver file) عن طريق PutInStartup().

عنده anti-VM checks, blocking لـ AV-related domains.

بيدعم melt function علشان يمسح نفسه بعد ex*****on ويقلل ـ forensic traces.

عنده كمان pump stub ينفخ حجم الملف للتمويه على size-based heuristics.

Ex*****on flow:

1. Ex*****on → run PowerShell commands → system profiling.

2. Harvest creds + data.

3. Organize in %temp%.

4. Archive + exfiltration via Discord webhook.

5. Persistence via Startup + evasion mechanisms.

Note:: حجم الملف حوالي 6.8MB و entropy عالي ( 8.0) مؤشر قوي على heavy packing.

©️ Cyber Security Sharks

02/09/2025

هجوم AppSuite PDF Editor

في أواخر أغسطس 2025، تم رصد حملة مالوير واسعة النطاق بتوزع برمجية خبيثة متخفية في صورة برنامج تحرير PDF مجاني باسم AppSuite PDF Editor. التحقيقات أظهرت إن البرمجية دي عبارة عن تروجان Backdoor قادر على تنفيذ أوامر عن بُعد (RCE) والحفاظ على استمرارية طويلة داخل النظام المصاب.

ناقل الهجوم (Attack Vector)

التوزيع: تم نشر التروجان في صورة ملف MSI عبر مواقع تبدو شرعية وتتصدر نتائج البحث.

أداة التغليف: تم استخدام WiX Toolset لإنشاء Installer.

آلية الخداع: عند التثبيت بيتم تنزيل نسخة حقيقية من محرر PDF من vault.appsuites.ai لتضليل المستخدم وإظهار وظائف طبيعية.

التنفيذ والاستمرارية (Ex*****on & Persistence)

1. Initial Ex*****on: بعد قبول اتفاقية EULA، يبدأ الـ Installer تشغيل الـ Routine الأساسي.

2. C2 Registration: الجهاز بيتواصل مع appsuites.ai و sdk.appsuites.ai للحصول على Installation ID فريد.

3. Persistence:

إنشاء Scheduled Tasks بأسماء:

PDFEditorScheduledTask

PDFEditorUScheduledTask

واحدة من التاسكات مصممة بوقت تأخير (24 ساعة + دقيقتين) بهدف تجاوز Sandbox Detection.

وظائف ـ Backdoor

التروجان بيعتمد على Command-Line Switches مترجمة داخليًا إلى ما يسمى wc routines:

--install → للتثبيت والتسجيل.

--ping → اختبار الاتصال.

--check → التحقق من حالة النظام.

--reboot → إعادة تشغيل النظام.

--cleanup → تنظيف أو إزالة آثار.

Arbitrary Command Ex*****on: عبر Command Templates يتم جلبها ديناميكيًا من C2 endpoint:

hxxps://sdk.appsuites(dot)ai/api/s3/options

وظائف إضافية (Credential & Data Theft)

التروجان يستهدف متصفحات: Chrome, Edge, Wave, Shift, OneLaunch.

يسحب مفاتيح التشفير (Encryption Keys) ويعدل إعدادات المتصفح لزيادة السيطرة.

تقنيات التخفي (Evasion & Obfuscation)

استخدام AES-128-CBC و AES-256-CBC في الاتصالات مع C2 → يقلل فرص كشفه عبر Network Monitoring.

المهاجمين رفعوا العينة إلى شركات AV كـ "False Positive" في محاولة لإلغاء توقيع الكشف.

حجم الانتشار (Impact)

تم تسجيل أكثر من 28,000 محاولة تحميل خلال أسبوع واحد في Telemetry الخاصة بـ G Data.

الحملة مصممة لتستهدف نطاق واسع من المستخدمين العاديين والمؤسسات.

التحليل والاستنتاج

نوع التهديد: تروجان Backdoor متعدد الوظائف.

الاستراتيجية: دمج وظيفة شرعية (PDF Editor) مع برمجية خبيثة → Hybrid Malware.

الأولوية: الحفاظ على استمرارية (Persistence) مع إمكانية تنفيذ أوامر مخصصة (RCE).

خطورة عالية: بسبب استخدام تقنيات Delayed Ex*****on + Encrypted C2 + Credential Theft.

التوصيات الأمنية (Mitigation)

1. Source Validation: تنزيل البرمجيات فقط من الـ Vendor الرسمي.

2. Endpoint Monitoring: مراقبة Scheduled Tasks غير المعتادة.

3. Network Defense: فلترة أو مراقبة أي اتصالات مشبوهة مع appsuites.ai.

4. Threat Hunting: البحث عن مؤشرات الإصابة (IOCs) المتعلقة بالـ MSI أو C2 domains.

5. Awareness Training: توعية المستخدمين بمخاطر تحميل "Free Tools" من مواقع غير موثوقة.

14/07/2025

🛡️ اخبار الأسبوعية – 14 يوليو 2025

---

🔥 أبرز التهديدات:

1. مجموعة NightEagle تستهدف قطاعات التكنولوجيا الصينية

مجموعة APT متقدمة تُعرف باسم "NightEagle" تستغل ثغرات غير معلنة في Microsoft Exchange لاستهداف قطاعات حيوية بالصين، مثل الذكاء الاصطناعي والحوسبة الكمية وأشباه الموصلات. تشير الأنشطة الليلية إلى احتمالية أن يكون مصدر الهجوم من أمريكا الشمالية.

---

2. استغلال التوقيعات الرقمية لتثبيت برمجيات خبيثة في نظام ويندوز

يستغل المهاجمون برامج التشغيل الموقعة ضمن برنامج التوافق الخاص بمايكروسوفت لتجاوز أنظمة الحماية، حيث تم التلاعب بأكثر من 620 برنامج تشغيل منذ 2020.

---

3. برمجية NordDragonScan الخبيثة تستهدف مستخدمي ويندوز

يتم توزيع البرمجية الخبيثة من خلال ملفات RAR وHTA، وتقوم بسرقة الملفات الشخصية ولقطات الشاشة وإرسالها إلى خادم تحكم خارجي.

---

4. هجوم فدية يستهدف Ingram Micro

تعرضت شركة Ingram Micro لهجوم فدية خلال عطلة الرابع من يوليو، ما أدى إلى تعطيل أنظمة الطلبات وعدد من الخدمات الرقمية.

---

5. إضافة خبيثة لمتصفح كروم تنشر برمجية LummaC2

تقوم الإضافة الخبيثة بنشر ملفات مضغوطة تحتوي على برمجيات لسرقة محافظ العملات الرقمية والمعلومات الحساسة.

---

6. ثغرات قديمة في بروتوكولات Bluetooth لا تزال نشطة

ثغرات مثل BrakTooth وBleedingTooth تؤثر على ملايين الأجهزة، مما يعرضها لهجمات تنفيذ التعليمات البرمجية أو تعطيل الخدمة.

---

7. ثغرة تنفيذ أوامر عن بعد في GeoServer قيد الاستغلال

ثغرة CVE-2024-36401 تسمح للمهاجمين بتنفيذ تعليمات عن بعد على خوادم GeoServer، وقد تم استغلالها لنشر برمجيات تعدين العملات الرقمية.

---

8. مجموعة Qilin تصبح الأخطر في مجال الفدية

نفذت مجموعة Qilin هجمات على 86 ضحية في شهر واحد فقط، مستهدفة قطاعات حساسة مثل الاتصالات والرعاية الصحية باستخدام تكتيكات مزدوجة الابتزاز.

---

🧩 أبرز الثغرات:

1. ثغرات خطيرة في منصة Scriptcase

تسمح الثغرات برفع ملفات ضارة، وتجاوز قيود الوصول، وتنفيذ تعليمات برمجية ضارة عبر XSS.

---

2. ثغرة تجاوز حماية الإقلاع الآمن في لينكس

يُمكن لمهاجم لديه وصول فيزيائي قصير تجاوز Secure Boot عبر initramfs، مما يفتح الباب للوصول الدائم.

---

3. ثغرات في Comodo Internet Security 2025

تتيح للمهاجم تنفيذ تعليمات برمجية بصلاحيات SYSTEM بسبب ضعف التحقق من الشهادات والثغرات في التحقق من المسارات.

---

4. تحذير من CISA بشأن استغلال Zimbra

تم استغلال عدة ثغرات في Zimbra Collaboration Suite تتيح سرقة بيانات الدخول والوصول غير المصرح به للبريد الإلكتروني.

---

5. تحديثات أمنية حرجة من SAP

أصدرت SAP 27 تنبيهاً أمنياً، شملت ثغرات ذات خطورة عالية تصل إلى CVSS 10.0 في منصات مثل S/4HANA وNetWeaver.

---

6. ثغرة في FortiOS قد تؤدي إلى تنفيذ تعليمات ضارة

ثغرة في cw_stad daemon تُمكّن مستخدمين موثوقين من تنفيذ تعليمات ورفع الصلاحيات.

---

7. تحديث يوليو من Microsoft يسد 137 ثغرة

يتضمن التحديث إصلاحًا لثغرة Zero-Day في SQL Server و14 ثغرة حرجة في منتجات متعددة مثل Azure وOffice

---

8. ثغرات خطيرة في Apache Tomcat

ثغرات تؤدي إلى استنفاد الذاكرة وهجمات DoS، بالإضافة إلى تجاوز المصادقة

---

9. ثغرة في BitLocker تتيح تجاوز التشفير

ثغرة في BitLocker تُمكن من تجاوز حماية التشفير في ظروف معينة.

---

10. مشاكل في الحزم الخارجية في Splunk SOAR

قد تؤثر هذه المشاكل على أتمتة العمليات الأمنية وتكامل الأنظمة.

---
📱 تهديدات أخرى:

نسخ مزيفة من PuTTY وWinSCP تُستخدم لنشر برمجيات تجسس على مسؤولي الأنظمة.

برمجية BERT للفدية تستهدف بيئات ESXi وتُعطل النسخ الاحتياطية.

Trojan SparkKitty يهاجم أجهزة iOS وAndroid لسرقة الصور والبيانات.

برمجيات خبيثة في إضافات VS Code تهدد المطورين من خلال سوق الإضافات.

Rhadamanthys Stealer يستخدم تقنيات ClickFix لسرقة المحافظ الرقمية

المخترقون يستغلون GitHub لمسح المستودعات وطلب فدية.

متغير جديد من برمجية Zuru يستهدف مستخدمي macOS.

26/02/2025

ملخص الايفنت

الايفنت كان ممتاز جدا وكان بجد علي اعلي مستوي ده غير كمية الناس الجامدة اوي اللي حضرت ومش هكتب اسماء عشان منساش حد بس

الtalks كانت مفيدة بصراحة وكمان التنظيم حلو وكله طلع مبسوط

مبسوط جدا بالناس اللي قابلتهم وشوفتهم ودايما متجمعين ❤️❤️❤️❤️❤️

15/02/2025

https://www.facebook.com/share/p/1Gxc72MwUv/
عندنا اول كورس في الدورات بتاعتنا في Cybrany وهي دورة "المهارات الاساسية لتطوير الويب لمختبري الاختراق" دي بنقدم فيها اكثر من حاجة عشان تبقا مؤهل انك تشتغل في اختبار الاختراق بشكل عام

يعني هتعرف التالي :

- ازاي تعمل Hosting لـ Website علي الانترنت او علي Local Server بتاعك
- هتعرف مقدمة في الشبكات وبنية الاتصالات
- الفرق بين Monolithic Architecture و Microservices
- هتعرف كيف تستخدم لينكس للمبتدئين
- هتعرف ازاي تستخدم Docker في استخدماتك اليومية

الكورس بيتحدث أسبوعيًا بناءً على طلبات المجتمع، ودايماً محدث بأجدد التريندات في سوق العمل! 💼

تقدر تحصل علي الكورس بتكلفة ٨٠٠ جنية بس ! من خلال الموقع بتاعنا
📌 احجزه دلوقتي من هنا: https://cybrany.io/courses/2

06/02/2025

بشمهندس Mahmoud Shaker من اشاطر الناس في مجال وتحديد Soc analyst | DFIR وشارح حاجات كتير علي يوتيوب منها digital forensics وغيرها
دي قناه علي اليوتيوب
https://youtube.com/?si=iXNceyYipLUsRvAv
ده الفيسبوك بتاعه
https://www.facebook.com/share/1AjqSZNs9M/

لو انت Soc أو blue team عموما لازم تتابع قناته

Soc analyst | DFIR