ملخص تهديدات الأمن السيبراني13-03-2026

يوم حافل بثغرات حرجة وتكتيكات خبيثة متعددة المراحل، مع حملات بارزة على سلاسل التوريد والبنى التحتية، ونشاط لافت لمجموعات مرتبطة بإيران والصين. كما تبرز مخاطر التصيّد المدعوم بالذكاء الاصطناعي وسرقة الحسابات، ما يستدعي تحديثات عاجلة وتشديد المراقبة.

الثغرات والتحديثات الأمنية العاجلة

• Splunk RCE: ثغرة تنفيذ أوامر عن بعد عبر واجهة REST عند الرفع عبر ‎/splunkd/__upload/indexing/preview‎ بسبب حقن في ‎unarchive_cmd‎ وتتطلب صلاحية ‎edit_cmd‎. تحديثات فورية مطلوبة إلى 10.0.4، 9.4.9، 9.3.10. الثغرة: CVE-2026-20163.
• Veeam Backup & Replication: أربع ثغرات حرجة تتيح تنفيذ أوامر عن بعد وامتيازات أعلى. يُنصح بالتحديث إلى 12.3.2.4465 أو 13.0.1.2067. المؤشرات: CVE-2026-21666 CVE-2026-21667 CVE-2026-21669 CVE-2026-21708.
• Palo Alto Cortex XDR Broker VM: ثغرة متوسطة تؤدي إلى كشف/تعديل معلومات حساسة عبر جلسة طرفية محلية بصلاحيات إدارية قبل الإصدار 30.0.49. الثغرة: CVE-2026-0231.
• Microsoft Authenticator (Android/iOS): تطبيق خبيث قد يسرق رموز الدخول عند فتح روابط التسجيل عبره. حدّث التطبيق فوراً. الثغرة: CVE-2026-26123.
• هواتف أندرويد بمعالجات MediaTek: تجاوز قفل الجهاز عبر USB مع قدرة على استخراج بيانات حساسة في أجهزة تستخدم TEE من Trustonic. الثغرة: CVE-2026-20435.
• البروكسي العكسي والمصادقة: ثغرتان في Fabio وOAuth2-proxy تسمحان بتجاوز المصادقة نتيجة اختلاف معالجة رؤوس HTTP. الثغرات: CVE-2025-48865 CVE-2025-64484.
• أجهزة المنزل الذكية: كلمات مرور افتراضية وضعف التحديثات، مع حادثة إعدادات سحابية مكشوفة سمحت بالوصول لآلاف المكانس الروبوتية وبث الكاميرا/الميكروفون.

توصيات

• تطبيق التحديثات المشار إليها لمنتجات Splunk وVeeam وPalo Alto وAndroid وAuthenticator فوراً.
• تقييد صلاحيات الحسابات المرتفعة ومراجعة السجلات بحثاً عن استغلال.
• تشديد سياسات رؤوس HTTP خلف البروكسي العكسي والتحقق منها على الخوادم الخلفية.
• للأجهزة الذكية: تغيير كلمات المرور الافتراضية، تفعيل التحديثات التلقائية، استخدام شبكة ضيوف، وتفعيل المصادقة الثنائية.

سلاسل التوريد والبوتنت والبنى التحتية

• Polyfill: هجوم سلسلة توريد عبر cdn.polyfill.io حقن شيفرة خبيثة استهدفت أكثر من 100,000 موقع لإعادة توجيه مستخدمي الجوال، مع ربط العملية بجهات كورية شمالية وسرقة بيانات إدارة DNS وCloudflare. يُنصح بإزالة أي مراجع لـ«polyfill.io» وفحص الأنظمة وتغيير كلمات المرور.
• تفكيك SocksEscort: تعطيل 23 خادماً و34 نطاقاً لشبكة استخدمت AVRecon لتحويل الموجّهات المنزلية لبوتنت استُغلت في فدية واحتيال وسرقة حسابات، مع بيع وصول لأكثر من 369,000 عنوان IP.
• KadNap: إصابة أكثر من 14,000 راوتر (خاصة Asus) وتحويلها لبروكسيات ضمن خدمة Doppelganger، باستخدام بروتوكول Kademlia لإخفاء C2. مؤشرات: 212.104.141.140 45.135.180.38 45.135.180.177 aic.sh .asusrouter kad.

توصيات

• إزالة cdn.polyfill.io فوراً وفحص المواقع للكود الخبيث.
• تحديث برمجيات الموجّهات، تغيير كلمات المرور الافتراضية، تعطيل الإدارة عن بُعد، ومراقبة النشاط غير المعتاد.

برمجيات خبيثة وحملات هجومية

• CastleRAT عبر Deno: خداع المستخدم لتشغيل أمر يُنزل Deno ويشغّل سكريبتات خبيثة، مع تحميل صورة JPEG تحقن حمولة بالذاكرة، وسرقة كلمات المرور ورموز الجلسات والمحافظ والوصول للكاميرا/الميكروفون. مؤشرات: 23.94.145.120 CFBAT.jpg Trojan.CastleLoader Trojan.CastleRAT.
• MacSync على macOS: هجمات ClickFix تدفع المستخدم لنسخ أمر طرفية لتثبيت برمجية تسرق بيانات Keychain ومفاتيح SSH ومحافظ العملات وTelegram. مؤشرات: OSX/InfoStl-FQ OSX/InfoStl-FR OSX/InfoStl-FH.
• PlugX يستهدف الخليج: سلاسل تحميل عبر ZIP/LNK وملف CHM خبيث تُنزل ShellFolderDepend.dll وPlugX للتحكم عن بُعد. مؤشرات: hxxps://www.360printsol[.]com/2026/alfadhalah/thumbnail?img=index.png 91.193.17[.]117 photo_2026-03-01_01-20-48.pdf.lnk ShellFolderDepend.dll PlugX.
• استغلال أدوات RMM: إساءة استخدام ScreenConnect وAction1 للوصول الأولي عبر حملات تصيّد منتحلة، وإخفاء البنية الخبيثة عبر خدمات سحابية.
• Slopoly (فدية): حمولة PowerShell تعمل كخلفية، تتصل بـ C2 كل 30 ثانية، تبقى أسبوعاً وتسرق بيانات قبل التشفير، وتثبّت مهمة «Runtime Broker». مؤشرات: المسار C:\ProgramData\Microsoft\Windows\Runtime\، مهمة مجدولة باسم Runtime Broker، ومسار C2 /api/commands.

توصيات

• عدم تنفيذ أوامر من صفحات أو إعلانات مشبوهة، والتحقق من مصدر البرمجيات قبل التثبيت.
• تفعيل الحماية السلوكية ومراقبة عمليات غير معتادة مثل Deno أو Python والمهام المجدولة الغريبة.
• تحديث مضادات الفيروسات وتدقيق المرفقات (ZIP/LNK/CHM) قبل الفتح.
• حصر أدوات RMM المعتمدة، ومراجعة أي تثبيتات غير مصرّح بها، وتفعيل MFA.

التصيّد والاحتيال وسرقة الحسابات

• تصيّد مدعوم بالذكاء الاصطناعي: رسائل أكثر إحكاماً تتجاوز الفلاتر عبر خدمات موثوقة وروابط HTTPS وتغييرات طفيفة، مع استهداف أدوار مالية وموارد بشرية وتقنية المعلومات.
• سرقة برامج الولاء: اختراق حسابات أميال السفر ونقاط الفنادق عبر برمجيات سرقة معلومات أو تصيّد أو تخمين كلمات المرور، وبيعها لاحقاً.

توصيات

• تعزيز تدريب الكشف عن التصيّد وتفعيل قنوات الإبلاغ السريع.
• عدم التفاعل مع الروابط/المرفقات غير المتوقعة.
• تفعيل التحقق المتعدد للعوامل وكلمات مرور قوية وفريدة، ومراقبة أرصدة المكافآت والإبلاغ عن أي نشاط مريب.

تهديدات مرتبطة بالصراع في الشرق الأوسط

• Handala/نشاط إيراني: المجموعة نفّذت هجمات تسريب وابتزاز ومسح بيانات (Wiper) واستهدفت شركات غربية وإسرائيلية، مع تقارير عن اختراق كبير لشركة Stryker وتعطيل أنظمة ومسح أجهزة وزعم بسرقة 50 تيرابايت، واستخدام برمجيات مثل Coolwipe وChillwipe وBibiwiper، وتصاعد نشاط التصيّد.
• استهداف حكومي إقليمي: Handala وAPT34 كثّفتا هجماتهما على جهات حكومية في السعودية والعراق والأردن والإمارات ودول الخليج، باستخدام Hatef wiper وRhadamanthys stealer وبدايات عبر التصيّد.
• تصاعد عام للهجمات: زيادة في هجمات التخريب وDDoS وتشويه المواقع مع احتمال امتداد الأثر خارج المنطقة. مؤشرات: SHA256: 9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507 SHA256: 90b1456cdbe6bc2779ea0b4736ed9a998a71ae37390331b6ba87e389a49d3d59 SHA256: 96fa6a7714670823c83099ea01d24d6d3ae8fef027f01a4ddac14f123b1c9974 SHA256: 38d053135ddceaef0abb8296f3b0bf6114b25e10e6fa1bb8050aeecec4ba8f55 SHA256: 5e6060df7e8114cb7b412260870efd1dc05979454bd907d8750c669ae6fcbcfe.

توصيات

• تعزيز خطط الاستجابة للحوادث والنسخ الاحتياطي المعزول.
• تقليل التعرض الخارجي للأنظمة الحساسة وتفعيل MFA للوصول البعيد.
• تحديث الأنظمة وسد الثغرات، ومراقبة المؤشرات المذكورة.