ملخص تهديدات الأمن السيبراني07-01-2026

يوم حافل بتسريبات واختراقات بيانات، موجات تصيّد وهندسة اجتماعية متقدمة، وتصاعد في نشاط البرمجيات الخبيثة والبوت نت. بالتوازي، صدرت تحديثات حرجة لمعالجة ثغرات في أنظمة ومنتجات متعددة، مع مؤشرات متنامية لهجمات مدعومة بالذكاء الاصطناعي.

تسريبات واختراقات بيانات

  • حملة سرقة بيانات بسبب غياب التحقق الثنائي: مهاجم واحد اخترق بيانات 50 شركة عالمية عبر بيانات دخول مسروقة من أجهزة موظفين مصابة ببرمجيات سرقة معلومات مثل RedLine وLumma وVidar، وبيع بيانات حساسة لقطاعات الطاقة والدفاع والصحة والطيران. لم تُستغل ثغرات، بل كلمات مرور سُرقت من أجهزة لا تطبق MFA.
  • تسريب بيانات عملاء Ledger عبر اختراق Global-e: تسريب بيانات شخصية أساسية وتفاصيل الطلبات دون مساس بالأموال أو العبارات السرية، مع بدء موجات تصيّد تنتحل Ledger أو Global-e. يمكن التحقق من عنوان المرسل المشروع: [email protected].
  • اختراق Brightspeed: مجموعة Crimson Collective تعرض بيانات أكثر من مليون عميل للبيع مقابل 3 بيتكوين، وتتضمن الأسماء ووسائل الاتصال وعناوين السكن ومعرّفات الجلسات وسجلات وطرق الدفع وآخر 4 أرقام من البطاقات، مع نشر عينات لإثبات الاختراق.

توصيات

  • تفعيل المصادقة متعددة العوامل على جميع الحسابات، وتغيير كلمات المرور، وفحص الأجهزة لرصد البرمجيات الخبيثة.
  • لعملاء Ledger: تجاهل أي رسائل أو مكالمات مشبوهة وعدم مشاركة عبارة الاسترجاع مطلقاً.
  • لمتعاملي Brightspeed: مراقبة الحسابات البنكية، الحذر من التصيّد، وتفعيل التحقق بخطوتين.

تصيّد وهندسة اجتماعية

  • رسائل تبدو داخلية: استغلال إعدادات البريد وحماية تزوير ضعيفة لإرسال تصيّد باسم نطاق المؤسسة، مع اعتماد منصات تصيّد كخدمة مثل Tycoon2FA وتجاوز التحقق بخطوتين. المؤشرات الفنية: 51.89.59.188, 176.111.219.85, 162.19.129.232, 163.5.169.67, scanuae.com, online.amphen0l-fci.com, valoufroo.in.net, goorooyi.yoshemo.in.net, 2fa.valoufroo.in.net, integralsm.cl, absoluteprintgroup.com.
  • استغلال خدمات جوجل: رسائل تمر عبر الفلاتر وتوجّه إلى صفحة تسجيل دخول شبيهة بمايكروسوفت 365 بعد تجاوز CAPTCHA، باستغلال خدمات مثل Google Cloud Storage وgoogleusercontent.com دون وجود ثغرة في جوجل.
  • ClickFix يستغل شاشة زرقاء مزيفة: تصيّد باسم «Booking.com» لقطاع الضيافة يعرض «تحميل بطيء» ثم شاشة BSOD مزيفة لدفع الضحية لتشغيل سكريبت PowerShell ينزّل DCRat ويعطل Windows Defender. المؤشرات الفنية: MSBuild.exe aspnet_compiler.exe DCRat PowerShell script.
  • تطور التصيّد نحو 2026: اعتماد روابط نظيفة ومنصات موثوقة وتأخير التنفيذ لتجاوز الكشف، مع توصية بالتحليل السلوكي داخل بيئة معزولة.

توصيات

  • تشديد DMARC/SPF/DKIM إلى وضع الرفض، ومراجعة موصلات البريد، وتفعيل Safe Links وZAP، وتدريب الموظفين.
  • عدم الضغط على الروابط المشبوهة، والتحقق من عنوان الموقع قبل إدخال بيانات الدخول.
  • عدم اتباع تعليمات تشغيل أوامر غير متوقعة، وفحص الأجهزة عند ظهور رسائل أو شاشات زرقاء غير اعتيادية.

برمجيات خبيثة وبوت نت

  • VVS Stealer يستهدف Discord: حزمة PyInstaller على ويندوز تعرض رسالة خطأ وهمية، تعدّل ملفات Discord، وتسرق رموز الدخول والرسائل والدفع وكلمات المرور وبيانات المتصفح واللقطات، وترسلها عبر webhooks.
  • CloudEyE: ارتفاع عالمي بأكثر من 100,000 محاولة إصابة في النصف الثاني من 2025، كخدمة لإخفاء ونشر برمجيات مثل Rescoms وFormbook وAgent Tesla عبر PowerShell وJavaScript وNSIS والتصيّد والتنزيلات المفخخة.
  • بوت نت Kimwolf على أجهزة أندرويد TV وصناديق البث: تقارير تشير إلى إصابة تتجاوز 1.8 مليون وحتى أكثر من 2 مليون جهاز مع تركّز في السعودية، وبعض الأجهزة تأتي مصابة مسبقاً. تُستغل في هجمات DDoS وبيع البروكسي وتنصيب تطبيقات عبر SDK مثل Byteconnect، مع استغلال خدمات ADB المكشوفة؛ رُصد حتى 12 مليون عنوان IP أسبوعياً. المؤشرات الفنية: 5555, 5858, 12108, 3222.
  • استغلال Office Assistant لنشر إضافة Mltab ضارة: حملة نشطة منذ مايو 2024 تُثبت إضافة تجمع بيانات التصفح وتعيد التوجيه وتضيف قوائم مزيفة، مع أكثر من 210,000 تثبيت عبر متجر Edge. المؤشرات الفنية: ofsd.fh67k.com ofsg.fh67k.com of2sg.fh67k.com api.g6ht.com cjrx.cjtab.com d.giw36.com/down/MLNewtab.dat.

توصيات

  • عدم الاستجابة لرسائل الخطأ المريبة وإعادة التشغيل دون سبب، وفحص الأنظمة ببرامج حماية، وتغيير كلمات المرور وتفعيل المصادقة الثنائية.
  • حظر مرفقات NSIS وملفات السكريبت عند الإمكان وتفعيل كشف السلوك.
  • تجنّب الأجهزة الرخيصة أو مجهولة المصدر، وتعطيل أو تأمين ADB، ومسح الأجهزة المصابة أو استبدالها.
  • فحص إضافات المتصفح وإزالة أي امتدادات مرتبطة بـ Mltab أو MadaoL Newtab.

ثغرات وتحديثات أمنية

  • Argo CD: تصحيح ثغرتي DoS CVE-2025-59538 وCVE-2025-59531 بإصدارات 2.14.20 و3.2.0-rc2 و3.1.8 و3.0.19.
  • macOS: ثغرة CVE-2025-43530 تتجاوز TCC عبر ScreenReader.framework وتتيح تنفيذ AppleScript وقراءة بيانات حساسة؛ الحل التحديث إلى macOS 26.2 أو أحدث.
  • AdonisJS: ثغرة كتابة ملفات عبر @adonisjs/bodyparser بسبب عدم تعقيم أسماء الملفات وتمكين تسلسل ../ (CVE-2026-21440)؛ التحديث إلى 10.1.2 أو 11.0.0-next.6.
  • n8n: تنفيذ أوامر عبر Python Code Node بتجاوز العزل (CVE-2025-68668) يؤثر على الإصدارات 1.0.0 حتى 1.999.999؛ التحديث إلى 2.0.0 أو تعطيل العقدة/دعم Python أو تفعيل العزل الجديد.
  • متصفح كروم: إصلاح ثغرة عالية الخطورة في WebView (CVE-2026-0628)؛ التحديث إلى 143.0.7499.192 أو أحدث.
  • ويندوز: تصعيد صلاحيات محلي في Windows Credential SSP (CVE-2025-47987) تمت معالجته في تحديثات يوليو 2025.
  • راوترات D-Link قديمة: تنفيذ أوامر عن بُعد عبر dnscfg.cgi (CVE-2026-0625) على موديلات متعددة خارجة من الدعم؛ يُنصح بالاستبدال أو العزل.
  • RondoDox وReact2Shell: استغلال CVE-2025-55182 في React Server Components ضد خوادم Next.js وأجهزة إنترنت الأشياء، مع نشر برمجيات خبيثة وبوت نت من نوع Mirai.
  • سوق إضافات IDEs: ثغرة إمداد برمجي سمحت برفع إضافات خبيثة على OpenVSX مع تثبيت أكثر من 1000 مرة؛ جرى التصحيح في Cursor وGoogle Antigravity بينما Windsurf لم تُعلّق بعد.
  • تحديثات ويندوز لشهر ديسمبر 2025: التأكيد على تحديث شهادات Secure Boot قبل يونيو 2026، إطلاق تقرير CVEs في Windows Autopatch، تحسينات أمان وأداء BitLocker، واعتماد WebView2 لتسجيل دخول Microsoft Entra ID.

توصيات

  • التحديث الفوري للإصدارات المُصحّحة المذكورة، ومراجعة التحكم في رفع الملفات وتعقيم المدخلات.
  • استبدال أجهزة الشبكات غير المدعومة، وتعطيل الخدمات غير الضرورية، ومراقبة الشبكة لمؤشرات الاستغلال.
  • تحديث شهادات Secure Boot قبل يونيو 2026، ومراجعة تقارير CVEs عبر Autopatch، وتثبيت آخر تحديثات الأمان.
  • على المطورين: تدقيق الإضافات المثبتة من OpenVSX وإزالة أي امتدادات غير موثوقة.

فدية وتهديدات مدعومة بالذكاء الاصطناعي

  • هجمات الفدية: انتشار عبر التصيّد واستغلال الثغرات وسلاسل التوريد، مع اتجاهات كالابتزاز الثلاثي واستفادة من الذكاء الاصطناعي. قطاعات التعليم والصحة والطاقة والمالية والتصنيع وتكنولوجيا المعلومات ضمن الأكثر استهدافاً. أمثلة بارزة: PowerSchool «62 مليون طالب»، Yale New Haven Health «5.6 مليون مريض»، Change Healthcare «193 مليون متضرر».
  • كسر كلمات المرور بالذكاء الاصطناعي: أدوات مثل PassGAN قادرة على كسر 51٪ من الكلمات الشائعة خلال دقيقة و81٪ خلال شهر، بالاعتماد على بيانات اختراقات سابقة ومعلومات عامة لصنع تخمينات مستهدفة.
  • مشاكل محتملة في Microsoft Copilot: حقن أوامر مباشر وغير مباشر، تجاوز سياسات أنواع الملفات عبر base64، وتنفيذ أوامر في بيئة لينكس معزولة؛ الشركة لا تعتبرها ثغرات أمنية، مع بقاء المخاطر على المستخدم.

توصيات

  • تطبيق نسخ احتياطية مع اختبارات استعادة، وتدريب الوعي الأمني، واستخدام أدوات حماية من الفدية.
  • فرض كلمات مرور طويلة وعشوائية، ومنع استخدام كلمات المرور الشائعة أو المسرّبة، وتفعيل MFA.
  • تجنّب رفع ملفات حساسة أو خطيرة إلى أدوات الذكاء الاصطناعي، ومراقبة الاستخدام المؤسسي لها.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون