ملخص تهديدات الأمن السيبراني09-01-2026

يوم حافل باستغلالات نشطة لثغرات مؤثرة تمتد من منصات الويب إلى منتجات البنية التحتية، مع حملات تصيّد وملفات خبيثة تستهدف المستخدمين والمطورين. كما برز نشاط لبوتنت وبنى C2، وتحديثات أمنية عاجلة لعدد من المنتجات.

ثغرات واستغلال نشط

  • n8n: ثغرة بالغة الخطورة تتيح تنفيذ أوامر عن بُعد دون تسجيل دخول بسبب ارتباك نوع المحتوى عبر webhooks وتؤدي لكشف أسرار حساسة CVE-2026-21858؛ الحل هو التحديث إلى 1.121.0 أو أحدث.
  • React Server Components/Next.js: استغلال مكثف لثغرة React2Shell مع أكثر من 8.1 مليون محاولة وهجمات تستخدم PowerShell مشفر وتجاوز AMSI CVE-2025-55182.
  • HPE OneView وMicrosoft PowerPoint: ثغرتان مضافتان لقائمة المستغَلّة بنشاط؛ الأولى RCE في OneView CVE-2025-37164، والثانية تنفيذ برمجيات عند فتح ملف بوربوينت قديم CVE-2009-0556.
  • Cisco: ثغرة في ISE/ISE-PIC لقراءة ملفات حساسة عبر رفع XML خبيث مع كود استغلال علني CVE-2026-20029، مع الإشارة إلى ثغرة سابقة مستغَلة في ISE CVE-2025-20337 وأخرى في AsyncOS قيد الاستهداف ولم يصدر تحديث بعد CVE-2025-20393. إضافة إلى ثغرتين في Snort 3 قد تتسببان بتسريب معلومات أو تعطيل الفحص CVE-2026-20026، CVE-2026-20027.
  • Trend Micro Apex Central: ثلاث ثغرات خطيرة أبرزها تنفيذ أوامر بامتيازات SYSTEM عبر تحميل DLL خبيث CVE-2025-69258، CVE-2025-69259، CVE-2025-69260؛ المتأثر الإصدارات قبل Build 7190.
  • VMware ESXi: مجموعة ناطقة بالصينية استغلت سلسلة يوم-صفر للهروب من الأجهزة الافتراضية بعد دخول أولي عبر SonicWall VPN CVE-2025-22224 CVE-2025-22225 CVE-2025-22226.
  • Control Web Panel: استغلال الثغرة CVE-2025-48703 لتنزيل Mythic C2 على لينوكس وويندوز باستخدام عناوين ومؤشرات محددة مثل vc2.b1ack[.]cat و196.251.116[.]232.
  • ثغرات TLS/Autodiscover في عملاء البريد: عيوب في 49 تطبيقاً تسمح بخفض الأمان وتسريب بيانات الدخول نتيجة إعدادات غير صلبة ودعم TLS ضعيف.

توصيات

  • تحديث n8n إلى 1.121.0+ وفحص الأنظمة لنشاط غير مألوف.
  • تحديث React وNext.js فوراً ومراقبة PowerShell واستخدام حظر ديناميكي لعناوين IP.
  • تحديث HPE OneView وMicrosoft Office، وتجنب فتح ملفات PowerPoint غير موثوقة.
  • تحديث Cisco ISE وISE-PIC، وتفعيل المصادقة متعددة العوامل لحسابات المديرين، وتحديث Snort 3 إلى 3.9.6.0 وتثبيت تصحيحات FTD/Meraki عند توفرها.
  • تحديث Trend Micro Apex Central إلى Build 7190 وتقييد المنفذ 20001.
  • تحديث VMware ESXi ومراجعة السجلات ومراقبة الشبكة.
  • تحديث CWP، مراجعة الاتصالات مع المؤشرات vc2.b1ack[.]cat و196.251.116[.]232 وملفات SHA256 الواردة، وعزل الأجهزة المصابة.
  • تدقيق إعدادات TLS في البريد والابتعاد عن الاعتماد الكامل على الاكتشاف التلقائي.

برمجيات خبيثة وبوتنت وبنى C2

  • NodeCordRAT عبر NPM: ثلاث حزم خبيثة تستهدف مطوري العملات الرقمية وتثبّت فيروس التحكم عن بُعد تلقائياً عند تثبيت «bip40» و«bitcoin-lib-js» و«bitcoin-main-lib»، مع قدرات تنفيذ أوامر والتقاط شاشة وسرقة ملفات وبيانات محافظ.
  • بوت نت Kimwolf على Android TV: إصابة أكثر من مليوني جهاز غير رسمي وتحويلها إلى بروكسيات سكنية لهجمات DDoS والاحتيال واستغلال الحسابات؛ مؤشرات مثل 93.95.112.59 وresi.to وByteConnect SDK.
  • UAT-7290 المرتبطة بالصين: تجسس على الاتصالات والبنى التحتية في جنوب آسيا وأوروبا الشرقية باستخدام RushDrop وDriveSwitch وSilentRaid وBulbature على لينوكس وويندوز؛ مؤشرات 723c1e59accbb781856a8407f1e64f36038e324d3f0bdb606d35c359ade08200، 59568d0e2da98bad46f0e3165bcf8adadbf724d617ccebcfdaeafbb097b81596، 961ac6942c41c959be471bd7eea6e708f3222a8a607b51d59063d5c58c54a38d، 918fb8af4998393f5195bafaead7c9ba28d8f9fb0853d5c2d75f10e35be8015a.
  • Winzipper عبر مثبت WinRAR مزيف: توزيع برمجية خبيثة من مواقع غير رسمية، بسرقة بيانات وفتح باب خلفي؛ مؤشرات مثل winrar-tw[.]com، winrar-x64[.]com، winrar-zip[.]com، وملفات winrar-x64-713scp.zip وsetup.hta.

توصيات

  • إزالة حزم NPM «bip40» و«bitcoin-lib-js» و«bitcoin-main-lib»، فحص الأجهزة، وتغيير كلمات المرور وعبارات الاسترداد.
  • فصل أجهزة Android TV المشبوهة عن الشبكة، إعادة ضبط المصنع أو الاستغناء عنها، وتجنب الأجهزة والتطبيقات المجهولة المصدر.
  • تحميل البرامج فقط من المواقع الرسمية واستخدام حلول حماية محدّثة.

تصيّد وهندسة اجتماعية وسرقة بيانات

  • DocuSign مزيف يوزّع Vidar: رسائل بريد تقود إلى موقع وهمي وتنزيل ملف موقع رقمياً باسم DocuSign_PackageInstaller.exe مع نطاق خبيث docu[.]sign-platform[.]app لسرقة بيانات المتصفح والمحافظ.
  • Astaroth عبر واتساب: ملفات ZIP تنتشر تلقائياً بين جهات الاتصال، تثبيت خفي، ومراقبة جلسات البنوك مع إرسال ذاتي لجهات الاتصال.
  • PhaaS: مجموعات مثل Tycoon 2FA وMamba 2FA وCephas وWhisper 2FA وGhostFrame توفر تجاوز MFA وخداع متقدم عبر صفحات مزيفة وروابط مشفّرة.
  • إضافات كروم خبيثة تسرق محادثات ChatGPT وDeepSeek: «Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI» و«AI Sidebar with Deepseek, ChatGPT, Claude and more» تجمع محتوى الصفحات وترسله دورياً إلى deepaichats.com وchatsaigpt.com; معرفات fnmihdojmnkclgjpcoonokmkhjpjechg وinhcgfpbfdjbjogdfjbclgolkmhnooop.
  • ConsentFix ضد Microsoft Entra: خداع المستخدم للحصول على رمز OAuth من رابط شرعي ثم سرقة الوصول لخدمات Azure وأدوات مثل Azure CLI وPowerShell وVisual Studio.
  • ZombieAgent ضد ChatGPT: حقن أوامر في الرسائل يسرّب بيانات مباشرة إلى موقع المهاجم ويمنح بقاءً دائماً عبر ذاكرة طويلة الأمد؛ تم تقييد فتح الروابط من البريد مؤخراً.

توصيات

  • حذف إضافات «AI Sidebar» و«Chat GPT for Chrome» ومراجعة صلاحيات كل الإضافات.
  • تجاهل رسائل DocuSign غير المتوقعة وعدم تنزيل الملفات المرفقة.
  • عدم فتح ملفات ZIP الواردة عبر واتساب حتى لو كانت من جهة معروفة، وفحص الجهاز عند الاشتباه.
  • تفعيل MFA المقاومة للتصيّد، وتدريب المستخدمين على أساليب الخداع الحديثة.
  • عدم نسخ أو مشاركة رموز OAuth، وتفعيل Token Protection ومراجعة سجلات الدخول.
  • تجنب تلخيص رسائل بريد مشبوهة عبر ChatGPT.

اتجاهات وتقنيات هجومية

  • استخدام الذكاء الاصطناعي في تطوير البرمجيات الخبيثة وهجمات الفدية يزداد، مع مخاطر تسرب بيانات وحقن أوامر واعتماد على واجهات برمجة لأنظمة الذكاء الاصطناعي.
  • تصاعد هجمات البوتات الذكية بنسبة 135% في ديسمبر 2025 مستهدفة قطاعات التجزئة والتذاكر والخدمات المالية مع تقليد سلوك المستخدمين.
  • ارتفاع هجمات الفدية في 2025: أكثر من 8,000 ضحية منشورة، وتركيز متزايد على الهندسة الاجتماعية وسرقة بيانات الدخول؛ مجموعات بارزة تشمل Qilin وAkira وCl0p وPlay.
  • تقنية جديدة لإخفاء العمليات الخبيثة في ويندوز تتجاوز PatchGuard وHVCI وتستلزم صلاحيات kernel أو تعريفات ضعيفة، ما يعزّز بقاء البرمجيات دون كشف.

توصيات

  • مراجعة بشرية للأكواد المنتَجة بالذكاء الاصطناعي وتقييد صلاحياتها واستخدام إطار عمل SHIELD.
  • تفعيل المصادقة متعددة العوامل، تدريب مستمر ضد التصيّد، وأخذ نسخ احتياطية منتظمة.
  • مراقبة تحميل التعريفات وتفعيل سياسات سلامة الكود ورصد السلوكيات الشاذة.

تحديثات أمنية

  • ChromeOS: إصدار مستقر جديد برقم النظام 16463.72.0 والمتصفح 143.0.7499.196 يشمل تحسينات أمنية لمعظم الأجهزة.
  • Chrome Dev على أندرويد: نسخة 145.0.7620.0 تتضمن تحسينات وإصلاحات.
  • IPFire: التحديث 2.29 Core Update 199 مع نواة لينكس 6.12.58، دعم Wi‑Fi 6/7، تحسينات IPS وإصلاحات للبروكسي وOpenVPN.

توصيات

  • تحديث ChromeOS وChrome Dev وIPFire فوراً للحصول على آخر التصحيحات الأمنية.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون