ملخص تهديدات الأمن السيبراني14-03-2026

يوم حافل بتحديثات تصحيح حرجة وثغرات نشِطة الاستغلال، تزامن مع حملات تصيّد وهندسة اجتماعية متقدمة وتفكيك بنى بروكسي وبوتنت واسعة. كما برزت هجمات فدية وتخريب منسوبة لجهات مرتبطة بإيران، إلى جانب تسريبات بيانات حساسة. التالي أبرز المستجدات المركّزة.

ثغرات وتحديثات أمنية حرجة

  • لينكس – AppArmor: اكتشفت Qualys تسع ثغرات تُعرف باسم CrackArmor تمكّن المهاجم المحلي من تصعيد الصلاحيات إلى الجذر عبر سيناريو «confused deputy» باستخدام أدوات موثوقة مثل Sudo وPostfix. الثغرات موجودة منذ 2017 وتؤثر على ملايين الأنظمة في Ubuntu وDebian وSUSE؛ لم يُذكر استغلال فعلي حتى الآن، وتم إصدار تحديثات أمنية بالتعاون مع الفرق التقنية.
  • ووردبريس – إضافة Ally: ثغرة حقن SQL غير موثقة (CVE-2026-2413) تسمح بتنفيذ أوامر عبر رابط مخصص دون تسجيل دخول، ما يعرّض أكثر من 200,000 موقع لكشف بيانات حساسة. تم إصلاحها في الإصدار 4.1.0، فيما لا تزال نسبة كبيرة غير محدّثة.
  • كروم (سطح المكتب): ثغرتا يوم صفر قيد الاستغلال
    CVE-2026-3909 (out-of-bounds write في Skia) وCVE-2026-3910 (خلل في V8) تُستغل عبر مواقع ويب خبيثة. التحديثات العاجلة: 146.0.7680.75 (لينكس/ويندوز/ماك) و146.0.7680.76 (ويندوز/ماك).
  • كروم (سطح المكتب): تحديث لاحق 146.0.7680.80 يعالج الثغرة عالية الخطورة
    CVE-2026-3909.
  • iOS/iPadOS 15.8.7 للأجهزة القديمة: سد ثغرات خطيرة استغلها هجوم Coruna تشمل Kernel وWebKit مع إمكانية رفع الصلاحيات وتنفيذ أوامر خبيثة. الأجهزة المتأثرة تشمل: iPhone 6s/7/SE (الجيل الأول)، iPad Air 2، iPad mini 4، iPod touch (الجيل السابع). الثغرات:
    CVE-2023-41974، CVE-2024-23222، CVE-2023-43000، CVE-2023-43010.
  • AdGuard Home: ثغرة حرجة
    CVE-2026-32136 (درجة 9.8) تتيح تجاوز المصادقة والوصول الإداري الكامل عن بُعد عبر تعامل غير آمن مع ترقية الاتصال إلى h2c. تم إصدار تحديث طارئ بالإصدار 0.107.73.
  • ChromeOS وأندرويد: إطلاق ChromeOS 16552.59.0 (المتصفح 145.0.7632.216) مع تحسينات أمنية، وتحديث كروم لأندرويد (الإصدار 146 و146.0.7680.119) بإصلاحات أمنية مماثلة لإصدارات سطح المكتب.

توصيات

  • تحديث كروم فورًا على الأنظمة كافة، ومتابعة إصدارات أندرويد وChromeOS.
  • تثبيت iOS/iPadOS 15.8.7 على الأجهزة المؤهلة دون تأخير.
  • تحديث AdGuard Home إلى 0.107.73 وتقييد لوحة الإدارة للواجهات الداخلية فقط.
  • ترقية إضافة Ally إلى 4.1.0 أو أحدث، ومراجعة حسابات المديرين وكلمات المرور.
  • تطبيق تصحيحات AppArmor والكرنل، ومراجعة صلاحيات المستخدمين.

التصيّد والهندسة الاجتماعية والبرمجيات الخبيثة

  • برامج VPN مزيفة (Storm-2561): ترويج حِزَم MSI خبيثة بأسماء شركات شهيرة (Cisco/Fortinet/Ivanti) عبر نتائج بحث مضللة وروابط GitHub، لتثبيت DLLs تسرق بيانات الدخول ثم تعرض رسالة خطأ وتعيد التوجيه للموقع الأصلي. رُصدت حالات زرع Hyrax infostealer وبقاء الأثر عبر RunOnce.
    • المؤشرات: vpn-fortinet[.]com، ivanti-vpn[.]org، dwmapi.dll، inspector.dll، Pulse.exe
  • Remcos RAT عبر صفحات CAPTCHA مزيفة (SmartApeSG): حقن سكريبتات في مواقع شرعية مخترقة، توجيه الضحايا لتحميل ZIP يثبت Remcos بتقنيات DLL side-loading وبقاء عبر السجل، مع اتصال مُشفّر لخوادم المهاجم.
    • المؤشرات: hxxps://cpajoliette.com/d.js، hxxps://retrypoti.top/endpoint/signin-cache.js، hxxps://retrypoti.top/endpoint/login-asset.php?Iah0QU0N، hxxps://forcebiturg.com/boot، 193.178.170.155:443، SHA256: b170ffc8612618c822eb03030a8a62d4be8d6a77a11e4e41bb075393ca504ab7
  • صفحة تصيّد مبنية بـReact (EmailJS): طُعم مشاركة ملفات (WeTransfer) يجمع البريد وكلمة المرور ويُرسلها عبر خدمة EmailJS، مستضيفًا على workers.dev مع جمع معلومات جغرافية.
    • المؤشرات: crimson-pine-6e12.gstmfhxzvbxk.workers.dev، service_t8yu1k1، template_vszijae
  • طُعم $TEMU يثبت بابًا خلفيًا خفيًا ببايثون بعد نسخ أوامر إلى «سطر الأوامر» يدويًا.
    • المؤشرات: temucoin[.]lat
  • دعوات تقويم احتيالية برسوم وهمية لسرقة بيانات مالية عبر مكالمات دعم مزيفة.
    • المؤشرات: 8102282614، 8102288708، 8102686113، 8653849684، 8653850070
  • ألعاب خبيثة على Steam سرّبت محافظ عملات رقمية وبيانات حسابات؛ أمثلة: BlockBlasters، Chemia، Dashverse/DashFPS، Lampy، Lunara، PirateFi، Tokenova.

توصيات

  • تحميل برامج VPN فقط من مواقع الشركات الرسمية، وتفعيل المصادقة المتعددة العوامل.
  • تجنّب تنفيذ أي تعليمات أو أوامر تُعرض عبر صفحات ويب أو طعوم تحميل.
  • فحص الأجهزة ببرنامج حماية مُحدَّث ومراقبة المهام المجدولة وPowerShell.
  • الحذر من رسائل ومواعيد تقويم غير متوقعة، وعدم مشاركة بيانات مالية عبر الهاتف.

البوتنت والبنى الخبيثة وتطبيق القانون

  • تفكيك خدمة بروكسي SocksEscort المدعومة بشبكة AVrecon: تعطيل بنية سيئة استخدمت أجهزة توجيه وأجهزة إنترنت أشياء مخترقة (من Cisco وD-Link وHikvision وMicroTik وNetgear وTP-Link وZyxel) لهجمات DDoS وفدية. تم الاستيلاء على 34 نطاقًا و23 خادمًا وفصل الأجهزة المصابة؛ الشبكة وفّرت وصولًا إلى أكثر من 369,000 عنوان IP منذ 2020.
    • المؤشرات: AVrecon، SocksEscort
  • عملية دولية Synergia III: إزالة أكثر من 45,000 عنوان IP/خادم ضار مرتبط بحملات تصيّد ونشر برمجيات خبيثة وهجمات فدية، مع اعتقال 94 شخصًا ومصادرة 212 جهازًا بمشاركة 72 دولة، وكشف أكثر من 33,000 موقع تصيّد.

توصيات

  • تحديث البرمجيات الثابتة لأجهزة التوجيه، وتعطيل الإدارة عن بُعد، وتغيير كلمات المرور الافتراضية.
  • مراقبة الشبكات لرصد حركة غير معتادة وعزل الأجهزة المشبوهة.

هجمات فدية وتخريب واستهدافات مرتبطة بإيران

  • INC Ransomware: استغلال أدوات ويندوز الشرعية (PsExec) ومهام مجدولة لتشغيل PowerShell وسرقة بيانات عبر أداة restic المُعاد تسميتها إلى winupdate.exe، مع تعطيل الحماية قبل التشفير.
    • المؤشرات: C:\Users\Public\Documents\new.ps1، C:\Users\Public\Documents\new.txt، winupdate.exe، c:\perflogs\win.exe
  • Slopoly (Hive0163): برمجية خبيثة بدأت بخدعة «ClickFix»، تُثبَّت كـ PowerShell، تجمع المعلومات وترسل إشارات دورية وتنفّذ أوامر عن بُعد، وتُبقي وجودها عبر مهمة مجدولة باسم «Runtime Broker»؛ اختُتمت الهجمات بنشر فدية Interlock.
    • المؤشرات: C:\ProgramData\Microsoft\Windows\Runtime\، Runtime Broker، cmd.exe
  • تصاعد عمليات قراصنة مرتبطين بإيران: استهداف مراكز بيانات ومنشآت صناعية في إسرائيل ومدرسة في السعودية ومطار في الكويت، مع تعطيل خدمات وتسريبات وتشويه مواقع، وتركيز بعض الهجمات على تدمير البيانات.
  • هجوم مدمر على Stryker: مجموعة Handala استغلت صلاحيات إدارية في Microsoft Intune لمسح بيانات أكثر من 200,000 جهاز وخادم وجوال، مؤثرة على أعمال في 79 دولة وفصل آلاف الموظفين في أيرلندا؛ هجوم تدميري دون برمجية خبيثة.

توصيات

  • تقييد صلاحيات الحسابات الإدارية ومراجعة تسجيلات الدخول لمنصات الإدارة.
  • مراقبة المهام المجدولة وأنشطة PowerShell، وتفعيل حماية نقطة النهاية المتقدمة.
  • تعزيز الدفاعات للشبكات والأنظمة الحيوية وتفعيل المصادقة المتعددة العوامل.

تسريبات واختراقات بيانات

  • ستاربكس: اختراق منصة الموارد البشرية عبر تصيّد كشف بيانات 889 موظفًا، شملت الاسم الكامل وتاريخ الميلاد ورقم الضمان الاجتماعي وأرقام الحسابات البنكية والتحويل للرواتب. عُرضت مراقبة ائتمانية وحماية من سرقة الهوية لمدة 24 شهرًا للمتأثرين.
  • وزارة الدفاع البريطانية: تسريب في فبراير 2022 كشف بيانات نحو 18,700 أفغاني طلبوا الحماية؛ 87٪ تلقوا تهديدات مباشرة، ورُبط مقتل 49 من الأقارب أو الزملاء بهجمات انتقامية، مع أضرار نفسية وصحية واسعة (89٪).

توصيات

  • تغيير كلمات المرور والحذر من محاولات تصيّد لاحقة، وتفعيل مراقبة الهوية عند التبليغ بالتأثر.
  • للمتأثرين بتسريبات حساسة: تعزيز إجراءات الأمان الشخصي وتحديث وسائل التواصل.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون