ملخص تهديدات الأمن السيبراني04-03-2026

موجز اليوم يرصد ثغرات حرجة واستغلالات نشطة تمس متصفحات وأنظمة ومكونات مؤسسية، إلى جانب حملات تصيّد متقدمة وأدوات خبيثة تستهدف المطورين والبنى التحتية. كما برزت تسريبات بيانات ومفاتيح API قد تفضي إلى خسائر مالية واختراق حسابات. فيما يلي أبرز المستجدات مرتبة بحسب الفئة.

الثغرات والتحديثات الأمنية

  • Google Chrome ثغرة تصعيد صلاحيات عبر الإضافات تمكّن من السيطرة على لوحة Gemini Live والوصول للكاميرا والميكروفون ولقطات الشاشة والملفات المحلية. الثغرة CVE-2026-0628 أُصلحت في الإصدارات 143.0.7499.192 و143.0.7499.193، واستغلت ضعف سياسات WebView وواجهة declarativeNetRequest لحقن جافاسكريبت.
  • Comet ومتصفحات الذكاء الاصطناعي إمكانية سحب ملفات محلية عبر دعوة تقويم خبيثة واستغلال بروتوكول file://، مع خطر استيلاء كامل على امتداد 1Password. أُصلح نهائياً في 13 فبراير 2026، ورُصدت ثغرات إضافية تسمح بالتحكم بمدير كلمات المرور.
  • MS-Agent ثغرة تنفيذ أوامر نظام عبر أداة Shell بسبب ضعف تصفية المدخلات CVE-2026-2256 في الإصدار 1.5.2، تتيح قراءة أسرار مثل مفاتيح API وتعديل الملفات وزرع برمجيات خبيثة. لا تصحيح حتى الآن.
  • عزل عملاء الواي فاي هجمات تتجاوز العزل عبر إساءة استخدام مفتاح البث الجماعي، وهجوم تحويل البوابة، وانتحال عنوان MAC، مع تعرض غالبية الشبكات للاختبار.
  • HPE AutoPass تجاوز تحقق عن بُعد دون صلاحيات CVE-2026-23600 يؤثر على APLS قبل 9.19، ويسمح بالوصول لوظائف محمية.
  • VMware Aria Operations تنفيذ أوامر عن بُعد دون تسجيل دخول أثناء الترحيل CVE-2026-22719، مع تحديث وتصحيح موقت عبر سكربت aria-ops-rce-workaround.sh.
  • أندرويد تصحيحات 129 ثغرة بينها ثغرة يوم صفر خطيرة في معالجات كوالكوم مكون العرض CVE-2026-21385 تؤثر على 235 شريحة، إضافة إلى ثغرات حرجة أخرى.
  • n8n ثغرة XSS مخزنة في إدارة بيانات الاعتماد عبر الحقل ‘Authorization URL’ قبل الإصدار 2.6.4 تؤدي للاستيلاء على الجلسات وحسابات المسؤولين.
  • Safari على iOS مجموعة D-Shortiez تستغل سلوك WebKit لحبس المستخدمين بمنع زر العودة وعرض صفحات احتيالية؛ رُصد أكثر من 300 مليون إعلان خبيث خلال 6 أشهر.
  • تصحيحات مايكروسوفت لشهر فبراير معالجة 59 ثغرة بينها مُستغَلّة فعلياً في Windows وOffice وAzure وVS Code وNotepad، منها: CVE-2026-21510 CVE-2026-21513 CVE-2026-21514 CVE-2026-21533 وغيرها (CVE-2026-21508 CVE-2026-21519 CVE-2026-21525 CVE-2026-20841 CVE-2026-21228).

توصيات

  • تحديث Chrome فوراً، وإزالة الإضافات المشبوهة؛ ترقية Comet إلى أحدث إصدار، ورفع قيود الوصول للملفات.
  • تطبيق تصحيحات VMware Aria وHPE AutoPass وتحديث أندرويد؛ ترقية n8n إلى 2.6.4 أو أحدث.
  • تشديد عزل وصلاحيات MS-Agent ريثما يصدر التصحيح، وعدم الوثوق بعزل الواي فاي والاعتماد على VPN على الشبكات العامة.
  • تثبيت تحديثات مايكروسوفت العاجلة لأنظمة ويندوز ومنتجاتها.

برمجيات خبيثة وبوتنت وتجسس

  • Zerobot حملة نشطة تنشر حمولة مبنية على Mirai عبر ثغرتين حرِجتين: راوترات Tenda AC1206 CVE-2025-7544 ومنصة n8n تنفيذ أوامر عن بُعد CVE-2025-68613، باستخدام أدوات wget وcurl وTFTP لتنزيل سكربت tol.sh والاتصال بـ 0bot.qzz[.]io.
  • StegaBin على npm ٢٦ حزمة مزيفة تسحب أوامر مخفية من Pastebin وتتصل ببنية C2 على Vercel، تنصّب RAT مخصصاً لكل نظام وتسرق كلمات المرور وبيانات المتصفحات ومفاتيح SSH ومحافظ العملات الرقمية. مؤشرات: vendor/scrypt-js/version.js، 103.106.67.63:1244.
  • استهداف Fortinet FortiGate أداة CyberStrikeAI الخبيثة استُخدمت لاختراق أكثر من 600 جهاز في 55 دولة بين 11 يناير و18 فبراير 2026 عبر منافذ إدارة مكشوفة وكلمات مرور ضعيفة. راقب الاتصالات مع 212.11.64.250 والمنفذ 8080.
  • iOS Coruna مجموعة استغلال متقدمة تضم 5 سلاسل و23 ثغرة استهدفت iOS من 13 حتى 17.2.1، واستخدمت في تجسس وجرائم مالية وسرقة محافظ رقمية. مؤشرات: CVE-2024-23222 CVE-2022-48503 CVE-2023-43000 CVE-2023-38606 CVE-2023-32434 CVE-2023-32409.
  • SloppyLemming حملة تجسس على باكستان وبنغلاديش عبر PDF خبيثة وروابط ClickOnce لنشر BurrowShell وRAT بلغة Rust، مع بنية أوامر عبر عناوين workers.dev وتقنيات DLL sideloading باستخدام NGenTask.exe وmscorsvc.dll وsppc.dll.
  • اختراق كاميرات المرور في طهران تجسس طويل الأمد على كاميرات المدينة لمراقبة تحركات مسؤولين كبار ونقل البيانات المشفّرة إلى خوادم خارجية.

توصيات

  • تحديث راوترات Tenda أو عزلها، وترقية n8n إلى الإصدارات الآمنة 1.120.4 أو 1.121.1 أو 1.122.0 وما بعدها، وتقييد تحرير المهام.
  • تعطيل منافذ إدارة FortiGate على الإنترنت، تفعيل التحقق بخطوتين، وتغيير كلمات المرور.
  • تحديث أجهزة iOS إلى آخر إصدار وتفعيل وضع الحماية القصوى عند الإمكان.
  • حجب عناوين workers.dev المشبوهة ومراقبة أنماط DLL sideloading.

التصيّد والهندسة الاجتماعية

  • استغلال نطاق .arpa حملة تصيّد تتجاوز الفلاتر عبر استضافة صفحات احتيالية داخل نطاق محجوز باستخدام خدمات IPv6 tunnels وتقنيات domain shadowing وCNAME منتهي الصلاحية لاستهداف بيانات الدفع.
  • انتحال غرف انتظار الاجتماعات صفحات مزيفة لمنتجات الاجتماعات تدفع لتنزيل تحديث وهمي يثبّت برنامج مراقبة يعمل خفية على ويندوز مع خدمات دائمة باسم tsvchst وpmon.
  • سلسلة إعادة توجيه خادعة بريد DocuSign مزيف يمر عبر خرائط جوجل ثم صفحة HTML على S3 لمحاكاة تسجيل دخول Microsoft 365. مؤشرات: maps[.]google[.]be، bucket-secure-cdn-cdn-media-static[.]s3[.]us-east-1[.]amazonaws[.]com/about[.]html.
  • إساءة استخدام إعادة توجيه OAuth رصد حملة نشطة تستهدف جهات حكومية وعامة؛ تبدأ بصفحات تسجيل أصلية ثم تعيد التوجيه تلقائياً لموقع المهاجم لسرقة بيانات الدخول أو تنزيل حمولة خبيثة، مع استغلال معلمة state وأطر مثل EvilProxy لتخطي التحقق بخطوتين.
  • إطار Starkiller بروكسي عكسي يعرض صفحات دخول أصلية ويسرق كلمات المرور وملفات الجلسة بعد المصادقة الثنائية، ويدعم إخفاء الروابط باستخدام الرمز ‘@’ والاختصارات ومراقبة الجلسات الحية.

توصيات

  • تفعيل مصادقة مقاومة للتصيّد (FIDO/WebAuthn) ومراجعة الجلسات النشطة فور الاشتباه.
  • عدم تنزيل تحديثات من روابط الاجتماعات، والتحقق من الروابط المختصرة أو التي تتضمن ‘@’ أو نطاقات غير معتادة مثل .arpa.
  • مراجعة أذونات تطبيقات OAuth، وحذف غير الضروري، وتفعيل سياسات وصول مشروط.

تسريبات واختراقات بيانات وبيانات اعتماد

  • إضافات متصفح تجمع محادثات الذكاء الاصطناعي إضافات مجانية مثل VPN أو حجب الإعلانات تتجاوز وظائف المتصفح لالتقاط محادثات المستخدمين مع خدمات الذكاء الاصطناعي وبيعها، بما فيها بيانات حساسة صحية وقانونية وشخصية.
  • تسريب مفاتيح Google API المرتبطة بـ Gemini العثور على 2,863 مفتاح نشط متاح علناً؛ شركة ناشئة خسرت أكثر من 82 ألف دولار خلال 48 ساعة بسبب استخدام غير مصرح به. السبب: مفاتيح قديمة منحت صلاحيات موسعة بعد تفعيل Gemini.
  • LexisNexis تسريب قديم بحجم 2 جيجابايت يضم ملايين السجلات وعناوين بريد حكومي وحسابات جهات حكومية ومكاتب محاماة وكلمات مرور وتذاكر دعم فني قبل 2020؛ دون أرقام ضمان اجتماعي أو بيانات مالية.
  • Cloud Imperium Games تسريب محدود لبيانات حسابات قراءة فقط يشمل الاسم واسم المستخدم وتاريخ الميلاد وبيانات تواصل، مع خطر تصيّد لاحق.
  • بيع بيانات دخول cPanel تداول واسع لبيانات دخول مخترقة تُستخدم لزرع أبواب خلفية وإنشاء حسابات إدارية وسرقة بيانات وإطلاق حملات تصيّد.
  • استغلال تليجرام للوصول الأولي بيع مباشر لبيانات VPN وRDP والسحابة المسروقة، ما يسهّل هجمات الفدية وسرقة البيانات والاختراقات السريعة ضد الشركات.

توصيات

  • حذف الإضافات غير الموثوقة، تجنّب خدمات VPN المجانية، ومراجعة أذونات الإضافات، والامتناع عن مشاركة بيانات حساسة في المحادثات.
  • مراجعة جميع مفاتيح Google API، إزالة أو تدوير أي مفتاح منشور علناً، وتفعيل القيود، واستخدام أدوات فحص تسريبات مثل TruffleHog.
  • تفعيل المصادقة الثنائية، استخدام كلمات مرور قوية وفريدة، تحديث أنظمة إدارة المحتوى والإضافات، ومراقبة الحسابات الجديدة والنشاطات غير المعتادة.
  • الحذر من رسائل تصيّد بعد أي حادثة تسريب، وتغيير كلمات المرور للحسابات المتأثرة.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون