ملخص تهديدات الأمن السيبراني03-03-2026

يوم حافل بتصعيد عمليات هجومية مرتبطة بالصراع الإقليمي، إلى جانب موجات تصيّد متقدمة وتوزيع برمجيات خبيثة عبر قنوات غير تقليدية. كما برزت ثغرات حرجة وتحديثات أمنية مهمة عبر أنظمة وتطبيقات واسعة الانتشار. فيما يلي خلاصة مركّزة وأبرز المؤشرات الفنية وإجراءات عاجلة مقترحة.

تصعيد عمليات هجومية مرتبطة بالصراعات

• زيادة الهجمات الإيرانية على إسرائيل ودول الخليج شملت تجسساً وفحص بنى تحتية وهجمات DDoS، مع رصد برمجيات مثل WezRat وهجمات فدية WhiteLock، وإعلانات من مجموعات مثل Cotton Sandstorm وCyber Islamic Resistance باستهداف أنظمة صناعية في الأردن ودول خليجية، إضافة إلى حملات تضليل إعلامي.
• هجمات سيبرانية متبادلة عطّلت مواقع حكومية وإخبارية وأنظمة اتصالات وتطبيقات محلية في إيران عبر DDoS وتخريب بيانات، مقابل محاولات إيرانية لاستهداف دفاع جوي وأهداف صناعية في إسرائيل وتعطيل بنى طاقة في الأردن؛ أُبلغ عن انقطاعات إنترنت في إيران لأكثر من ٤٨ ساعة، مع استخدام بنى C2 وأسماء مجموعات مثل HydraC2 وHandala وSicarii.
• رُصدت أنشطة تشويه مواقع وهجمات DDoS داعمة لإيران من هاكتيفست، مع تحذير من استغلال المجرمين للصراع لنشر برمجيات خبيثة عبر روابط ووثائق مزيفة؛ لم تُرصد هجمات كبيرة حتى الآن لكن الوضع قابل للتغير سريعاً. ذُكرت مجموعات إيرانية مثل Muddy Water وShrouded Snooper بهجمات تجسس وتخريب وتسريب بيانات.
• تنفيذ هجمات سيبرانية أمريكية وإسرائيلية عطّلت أنظمة اتصالات ومجسّات في إيران؛ الأردن أحبط هجوماً على أنظمة تخزين القمح، مع تحذيرات من هجمات انتقامية مرتبطة بإيران.
• اختراق قنوات باكستانية Geo News وARY News وSamaa TV عبر قمر PAKSAT لبث رسائل غير مصرح بها؛ لا دليل على تسريب بيانات المستخدمين والتحقيق مستمر.
• اختراق تطبيق التقويم الإيراني بادصبا لاستغلال نظام الإشعارات في بث رسائل تحث العسكريين على الاستسلام؛ تزامن ذلك مع تعطل وكالات أنباء رسمية وانخفاض اتصال الإنترنت في إيران إلى 4٪؛ لم يُذكر تسريب بيانات.

التصيّد والهندسة الاجتماعية

• دبي: محتالون ينتحلون صفة إدارة الأزمات بالشرطة لطلب بيانات الهوية وUAE Pass بهدف تنفيذ تبديل شريحة SIM والسيطرة على رموز الدخول للحسابات المصرفية. الشرطة تؤكد أنها لا تطلب أسراراً أو رموز تحقق، ويُنصح بالإبلاغ عبر 901 أو منصة eCrime.
• إساءة استخدام إعادة التوجيه في OAuth لاستهداف مستخدمي مايكروسوفت عبر بريد وملفات PDF: تحميل ملفات ZIP تحوي اختصارات LNK ومحملات HTML؛ تشغيل PowerShell لجمع معلومات واستغلال ملف شرعي لتحميل DLL خبيث يفتح اتصال C2. مؤشرات: login.microsoftonline.com/common/oauth2/v2.0/authorize وsteam_monitor.exe وcrashhandler.dll وcrashlog.dat.
• حملة تنتحل اجتماعات Zoom وGoogle Meet وتفرض «تحديثاً» مزيفاً يثبّت برنامج المراقبة Teramind خلسة لتسجيل المفاتيح واللقطات ومنح وصول مستمر.
• GTFire تستغل Firebase وGoogle Translate لإخفاء صفحات دخول مزيفة على نطاقات .web.app داخل روابط translate.goog، مع طلب إدخال بيانات مرتين وتهريبها عبر HTTP؛ استهدفت أكثر من 1000 جهة في أكثر من 100 دولة و200 قطاع، وتضم الروابط أحياناً بيانات مشفرة Base64.
• مرفقات تصيّد بعنوان «New PO 500PCS.pdf.hTM» بامتداد مزدوج .pdf.htm تطلب كلمة المرور وتجمع البريد وكلمة المرور وIP ونظام التشغيل وترسلها إلى بوت تيليجرام، ثم تعرِض صورة غير واضحة لخداع الضحية.
• موقع وهمي باسم أمان جوجل يدفع لتثبيت PWA خبيث عبر google-prism[.]com بطلب أذونات واسعة وسرقة OTP وعناوين محافظ العملات، وأحياناً يعرض تنزيل APK خبيث على أندرويد بحزمة com.device.sync.

برمجيات خبيثة وأدوات هجومية وبنية C2

• نسخ مزيفة من FileZilla 3.69.5 على مواقع غير رسمية تضمن version.dll خبيثاً يسرق بيانات FTP ويرسلها عبر DNS-over-HTTPS مع قدرات تخفٍّ. مؤشرات: filezilla-project[.]live وwelcome.supp0v3[.]com و95.216.51[.]236:31415 و665cca285680df321b63ad5106b167db9169afe30c17d349d80682837edcc755 وe4c6f8ee8c946c6bd7873274e6ed9e41dec97e05890fa99c73f4309b60fd3da4.
• منصة CyberStrikeAI مفتوحة المصدر استُخدمت لاختراق أكثر من 500 جهاز Fortinet FortiGate خلال 5 أسابيع عبر تجميع أدوات وهجمات مؤتمتة، مع بنية تحتية موزعة في عدة دول. مؤشر: 212.11.64.250.

ثغرات وتحديثات أمنية

• Langflow ثغرة حرجة CVE-2026-27966 في CSV Agent تتيح تنفيذ أوامر غير مصرح بها بسبب تفعيل افتراضي لخيار allow_dangerous_code وأداة Python REPL؛ المتأثر: جميع الإصدارات قبل 1.6.9؛ يُوصى بالتحديث إلى 1.8.0 أو تعيين allow_dangerous_code إلى False.
• OneUptime ثغرة حرجة CVE-2026-27728 تُمكّن مستخدمين مخولين من تنفيذ أوامر على خادم Probe نتيجة استخدام exec في performTraceroute دون تحقق كافٍ؛ المتأثر: قبل 10.0.7؛ يُنصح بالتحديث الفوري ومراجعة المدخلات ومراقبة الخوادم.
• Windows Error Reporting تصعيد صلاحيات CVE-2026-20817 يمنح صلاحيات SYSTEM عبر خلل في SvcElevatedLaunch مع توافر PoC علني؛ توصية مؤقتة عند تعذر التحديث: تعطيل الخدمة بالأوامر: sc config WerSvc start=disabled وsc stop WerSvc ومراقبة الأحداث Event ID 4688 وSysmon ID 10.
• MSHTML يوم صفـر CVE-2026-21513 مستغل قبل تصحيح فبراير 2026 عبر ملف .lnk يحمل حمولة HTML تتصل بنطاق wellnesscaremed[.]com متجاوزة Mark of the Web وIE ESC، وقابلة للاستغلال عبر أي تطبيق يستخدم MSHTML.
• Chrome Gemini Live ثغرة عالية الخطورة CVE-2026-0628 تسمح لإضافات خبيثة بالتحكم بالكاميرا والميكروفون والملفات من اللوحة الجانبية؛ صُححت في يناير 2026.
• DuckDuckGo لأندرويد: ثغرة UXSS في AutoConsent JS bridge تتيح تنفيذ جافاسكريبت ضار وتجاوز SOP بسرقة الكوكيز والجلسات؛ تم تصحيحها في التحديثات الأخيرة.
• أندرويد: تحديث أمني يعالج 129 ثغرة بينها ثغرة مستغلة فعلياً في شرائح Qualcomm CVE-2026-21385 تؤثر على مكون العرض المفتوح المصدر.
• IPFire: إصدار 200 يرقّي النواة إلى Linux 6.18.7 ويصلح ثغرات في OpenSSL وglibc مع تحسينات Suricata. الثغرات المذكورة: CVE-2025-11187 CVE-2025-15467 CVE-2025-15468 CVE-2025-15469 CVE-2025-66199 CVE-2025-68160 CVE-2025-69418 CVE-2025-69419 CVE-2025-69420 CVE-2025-69421 CVE-2026-22795 CVE-2026-22796 CVE-2026-0861 CVE-2026-0915 CVE-2025-15281.
• Wireshark: إصدار 4.6.4 يُصلح ثلاث ثغرات أمنية و15 خطأ برمجي.
• ويندوز 11 وويندوز سيرفر: تحديثات فبراير 2026 تضيف إدارة شهادات Secure Boot، وتحكم تدوير مفاتيح النسخ الاحتياطي، وتكامل وظائف Sysmon ضمن سجل الأحداث، ودعم DNS over HTTPS في السيرفر.
• TPMS: ثغرة في أنظمة مراقبة ضغط الإطارات ببث معرفات ثابتة غير مشفرة عبر 315/433 ميغاهرتز تمكّن من تتبع السيارات من مسافات بعيدة دون تفاعل.

توصيات

• طبّق تحديثات فبراير 2026 لأنظمة ويندوز وكروم وWireshark وIPFire، وحدّث أندرويد لسد CVE-2026-21385، وعالج ثغرات CVE-2026-21513 وCVE-2026-20817 وCVE-2026-0628 وCVE-2026-27966 وCVE-2026-27728 فوراً.
• شدّد ضوابط البريد والويب ضد حملات التصيّد: راجع الروابط بعناية، واحذر إعادة التوجيه في OAuth والملفات ذات الامتداد المزدوج، وتحقق من دعوات الاجتماعات قبل التثبيت.
• لا تشارك رموز التحقق أو بيانات الهوية عبر الهاتف، وابلغ فوراً عن محاولات تبديل شريحة SIM؛ فعّل المصادقة المتعددة ومراقبة الدخول.
• نزّل البرمجيات من المواقع الرسمية فقط؛ افحص مجلد FileZilla بحثاً عن version.dll واستبدل كلمات مرور FTP إن وُجدت مؤشرات عدوى.
• راقب الشبكات لمؤشرات C2 والنطاقات وعناوين IP المذكورة، وفعّل سجلات الأحداث للكشف المبكر عن التنفيذ المشبوه.