ملخص تهديدات الأمن السيبراني22-01-2026

يوم حافل بثغرات حرجة وهجمات تصيّد وحملات برمجيات خبيثة امتدت من منصات الاتصالات والبنى السحابية إلى أنظمة الدفع والمتصفحات. أبرز العناوين: تسريب ضخم لمستخدمي Under Armour، استغلال نشط لثغرات في Cisco وFortinet وGitLab، وحملات تصيّد تستهدف LastPass ومستخدمي إيثريوم.

الفدية والتسريبات

  • Under Armour: كشف تسريب بيانات 72.7 مليون حساب بعد هجوم فدية نسب إلى مجموعة Everest. البيانات تشمل أسماء وبريدًا إلكترونيًا وتواريخ ميلاد وجنسًا ومواقع وتفاصيل شراء، مع مزاعم بتسريب أرقام هواتف وعناوين ومعلومات ولاء. نُشرت البيانات على منتدى إجرامي بعد فشل دفع الفدية. التوصية: تغيير كلمات المرور فورًا، تفعيل المصادقة الثنائية، الحذر من تصيّد ومراقبة أي نشاط مشبوه.
  • LockBit 5.0: تسريب لوحة تحكم وأربع متغيرات تشفير تستهدف ويندوز ولينكس وVMware ESXi ومتغير خاص للنشر، مع استمرار تطوير المنصة. التوصية: تعزيز قدرات EDR وتحديث التواقيع.

التصيّد والهندسة الاجتماعية

  • LastPass: رسائل احتيالية تزعم الحاجة إلى نسخة احتياطية خلال 24 ساعة وتدّعي «صيانة النظام»، وتستهدف كلمة المرور الرئيسية عبر مواقع تصيّد مثل group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf وmail-lastpass[.]com. التوصية: عدم إدخال كلمة المرور الرئيسية، تجنب الروابط المفاجئة، وتفعيل التحقق بخطوتين.
  • إيثريوم: هجمات تصيّد معاملات عبر الحمولات PTXPHISH بخسائر تجاوزت 341 مليون دولار خلال 300 يوم وأكثر من 130,000 معاملة احتيالية، تتضمن استهلاك الغاز وتسميم العناوين. التوصية: تدقيق العقود الذكية قبل الموافقة واستخدام محافظ تدعم التحذيرات.
  • GlitchFix: خداع بصري يعرض تنبيهات تحديث مزيفة ويؤدي لتثبيت أدوات RMM موقعة مثل FleetDeck وITarian وConnectWise Control، مع معدل نجاح مرتفع. مؤشرات: /api/css.js.php، /api/css.js، /api/index.php?action=، errtraffic_session=. التوصية: تحديث من المصادر الرسمية فقط ومراقبة أي أدوات RMM غير معروفة.
  • تقويم Google وGemini: حقن تعليمات خفية في وصف الأحداث قد يدفع Gemini لتلخيص وتسريب تفاصيل اجتماعات. التوصية: تعطيل الإضافة التلقائية للدعوات المشبوهة، وتجنب وضع بيانات حساسة في العناوين/الوصف.

البرمجيات الخبيثة والهجمات

  • Magecart: سكريبتات جافاسكريبت خبيثة لسرقة بيانات الدفع من صفحات الدفع، ترسل البيانات إلى بنية هجومية تشمل cc-analytics.com/app.js وpstatics.com وjgetjs.com وutilanalytics.com وعنوان 45.61.136.141. التوصية للمسؤولين: مراجعة السكريبتات، مراقبة الاتصالات المشبوهة، وتفعيل CSP وفحص سلامة السكريبتات.
  • VoidLink: برمجية خبيثة طُورت كليًا عبر الذكاء الاصطناعي تستهدف لينكس السحابي بقدرات rootkit عبر eBPF وLKM وجمع بيانات اعتماد مزودي السحابة وقنوات C2 متعددة. التوصية: تشديد إعدادات الأمان، مراقبة الأنشطة غير الاعتيادية، ومراجعة صلاحيات الحسابات.
  • استغلال برنامج RogueKiller: حملة تستخدم برنامج التشغيل الضعيف truesight.sys نسخة 2.0.2 لتعطيل الدفاعات ثم نشر فدية أو أداة HiddenGh0st. مؤشرات: truesight.sys، IOCTL 0x22E044، TCLService. التوصية: تحديث Microsoft Vulnerable Driver Blocklist، تفعيل HVCI، وتقييد تثبيت السواقات.
  • استغلال أدوات ويندوز: استخدام forfiles.exe وmshta.exe وPowerShell لجلب ملفات HTA وPDF مزيفة تؤدي إلى Remcos وNetSupport RAT، مع ثبات عبر السجل. مؤشر: 79.141.162.189. التوصية: عدم فتح ملفات مشبوهة، ومراقبة العمليات غير الاعتيادية.
  • أندرويد: تروجانات نقر إعلاني مدعومة بتعلم آلي تعمل في وضع «الشبح» وتُوزع عبر GetApps وقنوات خارجية، وتستنزف البطارية والبيانات. عينات: Theft Auto Mafia، Cute Pet House، Creation Magic World، وغيرها. التوصية: إزالة التطبيقات المشبوهة وتجنب التثبيت من خارج المتجر الرسمي.
  • بيئات الاختبار المخترقة: استغلال إعدادات خاطئة لتطبيقات اختبار الأمان للوصول إلى السحابة ونشر XMRig وزرع filemanager.php وتشغيل watchdog.sh. التوصية: عزل بيئات الاختبار، تغيير الافتراضيات، وتطبيق مبدأ أقل الامتيازات.

الثغرات والتحديثات الأمنية

  • Cisco Unified Communications/Webex: ثغرة حرجة CVE-2026-20045 تتيح تنفيذ أوامر عن بُعد عبر واجهة الإدارة على الويب، ويجري استغلالها. لا حلول مؤقتة؛ يجب التحديث فورًا.
  • Fortinet FortiGate: ثغرة تخطي مصادقة نشطة CVE-2025-59718 ومعها CVE-2025-59719 عبر استجابات SAML خبيثة لمسار FortiCloud SSO، ورصد إنشاء حسابات مدير وتصدير الإعدادات. مؤشرات: [email protected]، 104.28.244.114. التوصية: تعطيل تسجيل دخول مدير FortiCloud فورًا حتى صدور تحديث آمن.
  • GitLab: ثغرة تجاوز 2FA CVE-2026-0723 وثغرات DoS (CVE-2025-13927، CVE-2025-13928، CVE-2025-13335، CVE-2026-1102) تؤثر على 18.6 حتى 18.8.1. التوصية: التحديث إلى 18.8.2 أو 18.7.2 أو 18.6.4 فورًا.
  • Zoom Node MMR: حقن أوامر حرجة CVE-2026-22844 يؤثر على Meetings Hybrid وMeeting Connector قبل 5.2.1716.0. التوصية: التحديث الفوري.
  • Anthropic MCP: ثلاث ثغرات في mcp-server-git (CVE-2025-68143 وCVE-2025-68144 وCVE-2025-68145) تُمكّن تنفيذ أوامر وقراءة/حذف ملفات عبر حقن برومبت. المتأثرون قبل إصدار 2025.12.18. التوصية: التحديث إلى 2025.12.18.
  • GNU InetUtils telnetd: تجاوز مصادقة في إصدارات 1.9.3 حتى 2.7 يسمح بالوصول كـ root عبر استغلال المتغير USER لتمرير «-f root». التوصية: إيقاف telnetd، تطبيق التصحيحات، واستخدام SSH.
  • NVIDIA Nsight Graphics على لينكس: CVE-2025-33206 يسمح بتنفيذ أوامر عشوائية وتصعيد صلاحيات قبل الإصدار 2025.5. التوصية: التحديث والرقابة على الوصول المحلي.
  • Chainlit: ثغرتان عاليتا الخطورة (CVE-2026-22218 قراءة ملفات عشوائية وCVE-2026-22219 SSRF) قبل 2.9.4 قد تكشف أسرارًا حساسة. التوصية: التحديث إلى 2.9.4 أو أحدث.

توصيات

  • تصحيح عاجل للأنظمة المتأثرة: Cisco (CVE-2026-20045)، GitLab، Zoom، Anthropic MCP، NVIDIA Nsight، وChainlit.
  • على مستخدمي FortiGate تعطيل تسجيل دخول مدير FortiCloud SSO فورًا ومراقبة الحسابات الإدارية الجديدة.
  • تعزيز الحماية من التصيّد: عدم التفاعل مع رسائل نسخ احتياطي/صيانة مزعومة لـ LastPass، واستخدام التحقق بخطوتين.
  • تأمين بوابات الدفع: فحص السكريبتات ورصد الاتصالات إلى النطاقات المشبوهة وتفعيل سياسات CSP.
  • على بيئات ويندوز تحديث قائمة حظر السواقات الضعيفة وتفعيل HVCI، ومراقبة أدوات النظام التي تُستخدم في الهجمات.
  • في البيئات السحابية ولينكس: تقليل الامتيازات، مراقبة السلوك غير الاعتيادي، ومراجعة مفاتيح وبيانات اعتماد الخدمات.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون