ملخص تهديدات الأمن السيبراني15-01-2026

يوم حافل باستغلالات نشطة لثغرات حرجة وحملات برمجيات خبيثة تستهدف الخوادم والمطورين، إلى جانب تسريبات واختراقات بارزة وهجمات تصيّد متطورة. كما برزت تحديثات أمنية مهمة وإجراءات لتعطيل بنى تحتية إجرامية.

أدناه أبرز المستجدات الموجزة مع توصيات عملية.

ثغرات وتحديثات أمنية

  • GeoServer: استغلال ثغرة تنفيذ أوامر عن بُعد لنشر XMRig عبر PowerShell وBash وcertutil، مع محاولات لتعطيل Windows Defender. الثغرة: CVE-2024-36401.
  • مايكروسوفت (يناير 2026): 115 إصلاحًا تشمل ثلاث زيرو-داي؛ من بينها CVE-2026-20805 (كشف معلومات)، CVE-2026-21265 (تجاوز Secure Boot)، ومعالجة CVE-2023-31096 بحذف تعريفات قديمة، إضافة إلى RCE في أوفيس وتصعيد صلاحيات مثل CVE-2026-20822 وCVE-2026-20854. الثغرات: CVE-2026-20805 CVE-2023-31096 CVE-2026-21265 CVE-2026-20952 CVE-2026-20953 CVE-2026-20944 CVE-2026-20955 CVE-2026-20822 CVE-2026-20854 CVE-2026-20876.
  • Kibana: أربع ثغرات، أخطرها CVE-2026-0532 (سرقة بيانات عبر التحكم بمسارات الملفات وSSRF في موصل Google Gemini). ثلاث ثغرات DoS: CVE-2026-0530 CVE-2026-0531 CVE-2026-0543. الإصدارات المتأثرة: 7.x حتى 9.2.3.
  • Fortinet FortiSIEM: استغلال علني لثغرات RCE دون مصادقة عبر خدمة phMonitor. الثغرات: CVE-2025-64155 وCVE-2025-25256 (تجمع بين كتابة عشوائية وتصعيد امتيازات إلى root). نسخ متعددة من 6.7 حتى 7.5 متأثرة.
  • Spring CLI لإضافة VSCode: ثغرة حرجة لتنفيذ أوامر محليًا تؤثر على كل الإصدارات حتى 0.9.0، والإضافة منتهية الدعم. الثغرة: CVE-2026-22718.
  • ChromeOS: تحديث أمني ثابت إلى 16463.79.0 (إصدار المتصفح 143.0.7499.203) لمعظم الأجهزة.

توصيات

  • تحديث GeoServer، Kibana، FortiSIEM، وWindows/Office/Edge فورًا؛ وChromeOS عند توفر التحديث.
  • لـ FortiSIEM: الترقية إلى 7.4.1 أو 7.3.5 أو 7.2.7 أو 7.1.9، وتقييد المنفذ 7900، ومراجعة سجلات /opt/phoenix/log/phoenix.logs.
  • احذف إضافة Spring CLI من بيئات VSCode كافة.
  • في Kibana، إن تعذر التحديث، أوقف أنواع موصلات محددة عبر xpack.actions.enabledActionTypes.

برمجيات خبيثة وبوتنت

  • VoidLink يستهدف خوادم لينكس السحابية: يكتشف AWS وAzure وGoogle Cloud وAlibaba وTencent، يسرق بيانات الاعتماد ومفاتيح SSH/Git، ويستخدم تقنيات إخفاء متقدمة (LD_PRELOAD وeBPF وLKM) مع ٣٧ إضافة، وقدرة على التواجد داخل Docker/Kubernetes والحذف الذاتي.
  • موقع RustDesk مزيف يوزّع backdoor باسم Winos4.0 مع البرنامج الأصلي. مؤشرات: نطاق rustdesk.work، عنوان 207.56.13.76:5666، ملف خبيث 330016ab17f2b03c7bc0e10482f7cb70d44a46f03ea327cd6dfe50f772e6af30، ملفات مثل logger.exe وLibserver.exe.
  • Contagious Interview تستهدف المطورين عبر مستودعات Bitbucket ورسائل توظيف: طبقة Node.js (BeaverTail) لسرقة كلمات المرور وتسجيل لوحة المفاتيح، وPython (InvisibleFerret) لسرقة المحافظ والمراقبة؛ استغلال ملفات مخفية في VS Code وnpm. مؤشرات: chainlink-api-v3.com، 146.70.253.107، 172.86.116.178، ومسارات ~/.npm/vhost.ctl ~/.n2 ~/.n3 public/font/fa-brands-regular.woff2.
  • Predator: قدرات متقدمة لتفادي الكشف، تتعرف على أدوات مثل Frida وتستخدم رموز أخطاء (مثل 304) للتوقف وإخفاء الآثار.
  • بوت نت كيم وولف: سيطر على أكثر من 2 مليون جهاز أندرويد TV غير رسمي، يستخدم شبكات بروكسي سكنية ويشن هجمات DDoS قصيرة على خوادم الألعاب.

توصيات

  • تعزيز المراقبة في بيئات لينكس السحابية، مراجعة السجلات والصلاحيات وتحديث الأنظمة.
  • نزّل البرمجيات من المواقع الرسمية فقط؛ افحص الأجهزة وابحث عن الاتصالات على 5666/TCP والمؤشرات المذكورة.
  • للمطورين: عطّل المهام التلقائية في VS Code، فعّل ‘Trusted Workspace’، ولا تفتح مستودعات مجهولة المصدر.
  • تحديث أدوات الحماية ومراقبة أي سلوك غير معتاد، خصوصًا على أجهزة أندرويد TV غير الرسمية.

تسريبات واختراقات بيانات

  • Eurail: تسريب بيانات حساسة (أسماء، جوازات سفر، عناوين، هواتف)، وتأثر أكبر لمشاركي DiscoverEU مع تسريب بطاقات هوية وبيانات بنكية وصحية. لم يُعلن عدد المتأثرين، وتحذير من التصيّد وانتحال الهوية.
  • Max Messenger: اختراق شامل وقاعدة بيانات 142 جيجابايت تضم 15.4 مليون سجل، مع رموز دخول نشطة وتجاوز 2FA، كلمات مرور مشفرة وملفات وسائط غير مشفرة ومراسلات كاملة؛ استغلال RCE في محرك الوسائط والتهديد بنشر 5 جيجابايت إذا لم تُدفع فدية.
  • Betterment: وصول إلى البنية الداخلية وإرسال رسائل احتيالية تتعلق بالعملات الرقمية إلى بعض العملاء.

توصيات

  • تغيير كلمات المرور، تفعيل التحقق بخطوتين، والخروج من الجلسات؛ مراقبة الحسابات البنكية وإبلاغ الجهات المختصة.
  • الحذر من رسائل التصيّد والانتحال، وعدم مشاركة بيانات إضافية لأي جهة مشبوهة.

فدية وابتزاز

  • DeadLock: عصابة فدية تستخدم العقود الذكية على Polygon لإخفاء عناوين C2 وتغييرها، وتفضّل التهديد ببيع البيانات بدل التسريب العلني، وتطلب التواصل عبر تطبيق Session.
  • DragonForce: تحليل يوضح استخدام أكواد LockBit 3.0 وConti، تشفير ChaCha8 مع مفاتيح RSA-4096، وامتدادات ملفات .RNP و.RNP_esxi. توفّر أداة فك تشفير لبعض الضحايا إذا توفرت المفاتيح الخاصة المسربة.

توصيات

  • عزل الأنظمة المصابة، الاعتماد على نسخ احتياطية غير متصلة، والاستعانة بفِرق الاستجابة للحوادث.
  • تعزيز المراقبة الشبكية وعدم تحميل ملفات HTML مشبوهة، وتوعية الموظفين بمخاطر الفدية.

التصيّد وهجمات على أنظمة الذكاء الاصطناعي

  • هجمات على منصات الذكاء الاصطناعي: رُصد أكثر من 91,000 محاولة بين أكتوبر 2025 ويناير 2026 تستهدف أدوات مثل Ollama وواجهات OpenAI وGoogle Gemini وMeta Llama عبر SSRF وفحص 73 نقطة نهاية. مؤشرات: 45.88.186.70، 204.76.203.125.
  • Microsoft Copilot (Reprompt): طريقة هجوم تُخفي تعليمات ضارة في رابط شرعي وتستخرج بيانات من جلسة المستخدم تلقائيًا؛ أثّرت على Copilot الشخصي فقط وتم إصلاحها بتحديث يناير 2026.
  • ConsentFix: تصيّد يستغل صلاحيات OAuth للسيطرة على حسابات مايكروسوفت، يستهدف تطبيقات رسمية ويمكنه تجاوز كلمات المرور و2FA. معرفات ذات صلة: 04b07795-8ddb-461a-bbee-02f9e1bf7b46 1950a258-227b-4e31-a9cf-717495945fc2 1fec8e78-bce4-4aaf-ab1b-5451cc387264 57336123-6e14-4acc-8dcf-287b6088aa28 57fcbcfa-7cee-4eb1-8b25-12d2030b4ee0 60c8bde5-3167-4f92-8fdb-059f6176dc0 872cd9fa-d31f-45e0-9eab-6e460a02d1f1 90f610bf-206d-4950-b61d-37fa6fd1b224 9bc3ab49-b65d-410a-85ad-de819febfddc a672d62c-fc7b-4e81-a576-e60dc46e951d aebc6443-996d-45c2-90f0-388ff96faa56.
  • LinkedIn: تعليقات مزيفة تدعي تقييد الحساب وتدفع المستخدمين لروابط تصيّد تسحب بيانات الدخول. مؤشر: 103.224.182.251.
  • RedVDS: تعطيل منصة وفّرت خوادم افتراضية لحملات تصيّد وBEC على نطاق واسع؛ ارتبطت باختراق أكثر من 191,000 حساب بريد إلكتروني ونحو 130,000 مؤسسة، مع تجاوز للمصادقة الثنائية بسرقة الرموز والكوكيز واستخدام توليد محتوى مزيف.

توصيات

  • تقييد صلاحيات أنظمة الذكاء الاصطناعي ومراقبة الطلبات غير المعتادة، والسماح بتنزيل النماذج من مصادر موثوقة فقط.
  • تحديث ويندوز وCopilot، وتجنب النقر على الروابط المشبوهة.
  • تفعيل سجلات الدخول ومراقبة أنشطة OAuth، وتقييد صلاحيات التطبيقات الرسمية.
  • اعتماد 2FA، مراجعة سجلات الدخول، والحذر من رسائل التصيّد في البريد والشبكات الاجتماعية.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون