ملخص تهديدات الأمن السيبراني10-03-2026

صورة اليوم تكشف تصاعدًا في استغلال الثغرات وهجمات التصيّد عبر منصات التواصل والعمل، إلى جانب حملات توصيل برمجيات خبيثة وتسريبات ناجمة عن سوء ضبط. فيما يلي خلاصة مركّزة لأبرز التهديدات والتوصيات العملية.

الثغرات والهجمات على البيئات السحابية والأجهزة

• أندرويد/Qualcomm: ثغرة عالية الخطورة في شرائح Qualcomm تُستغل بهجمات محددة وقد تقود إلى اختراق الجهاز. المتأثرون: مستخدمو أجهزة أندرويد العاملة بشرائح Qualcomm.
• السحابة: تزايد اعتماد المهاجمين على استغلال الثغرات للوصول إلى البيئات السحابية؛ 44.5٪ من الهجمات بدأت باستغلال ثغرات مثل CVE-2025-55182 وCVE-2025-24893. استُخدمت برمجيات مثل RondoDox وBrickStorm مع نشاط لمجموعات مرتبطة بإيران والصين وكوريا الشمالية، وتسريبات لبيانات حساسة. كما استُغلت حزم npm مصابة وثغرات في GitHub OIDC وأدوات ذكاء اصطناعي.

توصيات

• تحديث نظام أندرويد فور توفر تصحيحات الشركة المصنّعة، وتجنّب تثبيت تطبيقات من مصادر غير موثوقة.
• تحديث البرمجيات والبنى السحابية فورًا، تفعيل المصادقة الثنائية، مراجعة صلاحيات الوصول، ومراقبة الحسابات لرصد أي نشاط غير معتاد.

التصيّد والهندسة الاجتماعية

• Signal وWhatsApp: حملة انتحال دعم تطلب رموز التحقق أو رمز PIN، وأحيانًا رموز QR أو روابط خبيثة لربط جهاز المهاجم بحساب الضحية. تستهدف مسؤولين وصحفيين.
• Microsoft Teams: انتحال دعم تقني لخداع الموظفين وفتح Quick Assist ثم تنزيل ملفات MSI موقعة تتضمن برمجية A0Backdoor عبر تخزين سحابي شخصي، مع تحميل DLL ضار باسم hostfxr.dll وتنفيذ تواصل مخفي عبر استفسارات DNS MX.

توصيات

• عدم مشاركة رموز التحقق أو PIN مع أي جهة، ومراجعة الأجهزة المرتبطة وحذف غير المعروف، وتفعيل التحقق بخطوتين.
• الحذر من طلبات الدعم غير المتوقعة عبر Teams، وعدم منح وصول عن بُعد إلا بعد التحقق، وتحديث برامج الحماية ومراقبة حركة DNS غير المعتادة.

برمجيات خبيثة وتوزيع خادع

• صفحات تثبيت مزوّرة لأدوات ذكاء اصطناعي (مثل Claude Code) تستبدل أوامر التثبيت بأوامر خبيثة تُنزل Amatera لسرقة كلمات المرور والكوكيز وبيانات الملء التلقائي وملفات المحافظ الرقمية على Windows وmacOS، ما يتيح اختراق الحسابات ولوحات التحكم السحابية.

توصيات

• عدم تشغيل أوامر النسخ/اللصق إلا بعد التحقق من المصدر الرسمي، والتأكد من عنوان الموقع قبل التثبيت.
• استخدام مضاد فيروسات مُحدَّث مع حماية الويب، ومراقبة الحسابات وتغيير كلمات المرور عند الاشتباه.

تسريبات بيانات بسبب سوء ضبط منصات Salesforce

• استغلال صلاحيات الضيف الخاطئة في مواقع Experience Cloud عبر واجهة /s/sfsites/aura أتاح كشف بيانات شركات؛ ادّعت مجموعة ShinyHunters استهداف مئات الشركات، واعتمد المهاجمون على أداة AuraInspector المعدلة لمسح الإعدادات الضعيفة. المشكلة ناجمة عن إعدادات العملاء لا ثغرة في المنصة.

المؤشرات الفنية

• /s/sfsites/aura
• Anthropic/RapeForceV2.01.39 (AGENTIC)
• Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 Chrome/120.0.0.0 Safari/537.36

توصيات

• مراجعة وضبط صلاحيات المستخدم الضيف وتقليلها إلى الحد الأدنى.
• تعطيل الوصول العام لواجهات البرمجة (API) للضيوف.
• ضبط الإعدادات الافتراضية للوصول الخارجي على ‘خاص’.
• تعطيل رؤية مستخدمي البوابة والقدرة على التسجيل الذاتي.
• مراجعة سجلات Aura Event Monitoring لرصد أي نشاط مشبوه أو عناوين IP غير مألوفة.

تنبيهات متصفح خادعة

• مواقع مشبوهة تستدرج المستخدمين للضغط على «السماح» لاستقبال إشعارات، ثم تُسخِّرها لإرسال إعلانات أو روابط مضللة. هذه الإشعارات إعداد في المتصفح يمكن تعطيله، وتستعين بعض المواقع بحِيَل تحديثات أو اختبارات وهمية.

المؤشرات الفنية

• unsphiperidion[.]co.in
• triviabox[.]co.in
• dailyrumour[.]co.nz
• quizcentral[.]co.in

توصيات

• مراجعة إعدادات الإشعارات في المتصفح وحظر/إزالة المواقع غير الموثوقة.
• عدم منح الإذن باستقبال الإشعارات إلا لمواقع موثوقة.