ملخص تهديدات الأمن السيبراني17-03-2026

يوم حافل بتكتيكات تصيّد وهندسة اجتماعية متطورة، وحمولات خبيثة تستهدف المستخدمين عبر نتائج البحث والتطبيقات الشائعة، إلى جانب حملات تجسّس وهجمات مُدمّرة مرتبطة بصراعات إقليمية. كما برزت ثغرات حرجة في خوادم وأدوات سحابية، مع تحديثات أمنية عاجلة للمتصفحات والأنظمة.

التصيّد والهندسة الاجتماعية

• تصاعد الاحتيال المالي المدعوم بالذكاء الاصطناعي: مضاعفة أرباح المجرمين 4.5 مرات عبر إعادة صياغة الرسائل، انتحال بالشخصيات المزيفة، واستغلال صور/صوتيات مزيفة، مع ابتزاز جنسي وتوسّع أسواق هويات مزيفة.
• تصيّد صوتي عبر Microsoft Teams: انتحال دعم تقني لإقناع الموظفين بمنح وصول عن بُعد عبر Quick Assist، تحميل أدوات خبيثة، سرقة بيانات اعتماد وجلسات نشطة.
• تصيّد بانتحال الدردشة الحية: استخدام برنامج LiveChat لجمع بيانات شخصية ومالية حساسة وصولاً إلى رموز المصادقة الثنائية. مؤشر فني: lc.chat.
• تصيّد الشحن عبر رسائل SMS: صفحات مزيفة تطلب بيانات الدفع وتسرّبها عبر WebSocket. مؤشرات: wss://{domain}/ws، امتدادات .xyz .shop .top.
• استدراج عبر مكالمات فيديو مزيفة بالذكاء الاصطناعي لإقناع الضحايا باستثمارات وتحويلات مالية.

توصيات

• تقييد استقبال رسائل Teams من جهات غير موثوقة وتعطيل أدوات الدعم عن بُعد غير الضرورية.
• عدم مشاركة بيانات بنكية أو رموز OTP عبر دردشات أو روابط واردة؛ تحقّق يدوي من جهات الشحن وخدمات العملاء.
• توعية الموظفين بهجمات vishing وعمليات التزييف العميق.

برمجيات خبيثة وسرقة معلومات

• حملة برامج VPN مزيفة: ترويج عبر SEO لملفات ZIP على GitHub تتضمن مثبت MSI يُثبّت تروجان Hyrax لسرقة بيانات الدخول، بتوقيع رقمي أُلغي لاحقاً. مؤشرات: Hyrax Pulse Secure GitHub MSI installer.
• مواقع FileZilla مزيفة: مثبت يحوي DLL خبيث كمحمّل متعدد المراحل، بسرقة كلمات مرور وتسجيل لوحة المفاتيح والتقاط الشاشة، واتصال C2 عبر DNS-over-HTTPS.
• حملة Vidar عبر صفحات CAPTCHA مزيفة: إقناع المستخدم بتشغيل أمر mshta وإنزال ملف MSI يسرق كلمات المرور والمحافظ والكوكيز. مؤشرات: cdnwoopress[.]com woopresscdn[.]com walwood[.]be telegram[.]me/dikkh0k telegram[.]me/pr55ii steamcommunity[.]com/profiles/76561198742377525 steamcommunity[.]com/profiles/76561198735736086.
• GoPix حصان طروادة بنكي يعمل من الذاكرة، يستبدل العناوين في الحافظة وينفّذ هجمات عبر ملفات PAC وشهادة جذر خبيثة. مؤشرات: EB0B4E35A2BA442821E28D617DD2DAA2 C64AE7C50394799CE02E97288A12FFF D3A17CB4CDBA724A0021F5076B33A103 28C314ACC587F1EA5C5666E935DB716C paletolife[.]com correioez0ubcfht9i3.lovehomely[.]com webmensagens4bb7[.]com.
• ألعاب ستيم مصابة: عناوين مثل Lampy وLunara وPirateFi وغيرها تضمّنَت برمجيات خبيثة عبر تحديثات لاحقة، مع خسائر وصلت 150,000 دولار لبعض الضحايا.
• هجمات XWorm وRemcos: أساليب بدون ملفات باستخدام aspnet_compiler.exe واستغلال ثغرة WinRAR CVE-2025-8088 عبر ملفات موزعة في Discord. مؤشر إضافي: Port 7003.
• برمجية فدية Slopoly: سكريبت PowerShell عميل C2 مع تثبيت مهام مجدولة باسم ‘Runtime Broker’، واستخدام أدوات إضافية لتصعيد الهجوم وسرقة وتشفير البيانات.

توصيات

• تنزيل البرمجيات من المواقع الرسمية فقط وفحص الأجهزة بمكافحة فيروسات محدث.
• تحديث WinRAR إلى الإصدار 7.13 أو أحدث، وتقييد استخدام الأدوات الأصلية التي قد تُستغل.
• مراقبة المهام المجدولة والمسارات الحساسة، والتحقق من أي مثبّتات MSI أو DLL غير معتادة.

اختراقات وهجمات على مؤسسات

• اختراق شركة Intuitive: سرقة بيانات اعتماد موظف عبر تصيّد والوصول لبعض تطبيقات الأعمال؛ تسريب بيانات عملاء واتصال وموظفين؛ أنظمة الجراحة الروبوتية منفصلة وغير متأثرة.
• هجوم مُدمّر على Stryker: مسح بيانات نحو 80,000 جهاز باستخدام أمر المسح عن بُعد في Intune بعد الحصول على صلاحيات إدارية؛ تعطل أنظمة الطلبات دون تأثير على الأدوات الطبية.
• هجمات مرتبطة بالصراع الإيراني: زيادة 245٪ في الهجمات مع استهداف مالي وتقني وعمليات DDoS ومحاولات سرقة بيانات دخول، واستخدام بروكسيات لإخفاء المصدر.
• Handala: وصول أولي عبر بيانات VPN وهجمات brute-force، انتقال أفقي عبر RDP وNetBird، وتوزيع مُدمّر عبر Group Policy. مؤشرات: 5986ab04dd6b3d259935249741d3eff2 3cb9dea916432ffb8784ac36d1f2d3cd 3236facc7a30df4ba4e57fddfba41ec5 3dfb151d082df7937b01e2bb6030fe4a e035c858c1969cffc1a4978b86e90a30 82.25.35.25 31.57.35.223 107.189.19.52 146.185.219.235 188.92.255.X 209.198.131.X 149.88.26.X 169.150.227.X.
• CamelClone ضد جهات حكومية في الجزائر والكويت: رسائل تصيّد بأسماء رسمية، تشغيل اختصار LNK لتنفيذ PowerShell وتحميل من filebulldogs[.]com، سرقة مستندات وبيانات تيليجرام ورفعها إلى MEGA عبر Rclone. مؤشرات: 31f1a97c72f596162f0946df74838d3bef89289ce630adba8791c0f3220980ee 51af876b0f7fde362c69219f7dec39f7fb667fb53dc5fe2cbdf841d6c5951460 filebulldogs[.]com coreyroberson@onionmail[.]org l.exe.

توصيات

• تفعيل المصادقة المتعددة العوامل للحسابات الحساسة ومراقبة محاولات الدخول، وتقييد/مراجعة استخدام RDP وNetBird وعمليات GPO.
• عدم فتح ملفات ZIP أو اختصارات مشبوهة، وتفعيل الحماية من الماكرو وفحص الأجهزة وتغيير كلمات المرور عند الاشتباه.

ثغرات وتحديثات أمنية

• Wing FTP Server: استغلال نشط لثغرات حرجة قبل الإصدار 7.4.4. الثغرات: CVE-2025-47813 CVE-2025-47812 CVE-2025-27889. الإجراء: التحديث الفوري.
• AWS Bedrock AgentCore Code Interpreter: تسريب بيانات عبر قنوات DNS رغم العزل Sandbox وإمكانية استقبال أوامر خفية؛ التوصية بالانتقال إلى نمط VPC وتقليل صلاحيات IAM ومراقبة استعلامات DNS.
• Google Looker Studio: 9 ثغرات خطيرة (LeakyLooker) كسرت عزل الحسابات؛ أُغلقت جميعها؛ يُنصح بمراجعة صلاحيات التقارير والربط بالبيانات.
• Zombie ZIP: تجاوز فحص معظم مضادات الفيروسات عبر تعديل رأس ملف ZIP. ثغرة: CVE-2026-0866.
• تحديثات حرجة: تصحيحات لثغرتين zero-day في Chrome تحت هجوم، تحديثات iOS لمعالجة استغلالات في إصدارات قديمة، وثغرة تجاوز قفل الشاشة في Android.
• Microsoft Edge 146: تحسينات خصوصية وشبكة وإصلاحات أمنية من Chromium، مع سياسات مؤسسية لضبط وصول المواقع لأجهزة الشبكة المحلية.
• لينكس: روتكيتس متقدمة تتجاوز مراقبة eBPF عبر اعتراض وظائف مثل bpf_ringbuf_submit أو تقنيات io_uring؛ يُوصى بمراقبة متعددة المصادر وLSM وإشارات عتادية.

توصيات

• تحديث المتصفحات والأنظمة والتطبيقات المتأثرة فوراً، ومراجعة سياسات الوصول والصلاحيات.
• مراقبة حركة DNS لاكتشاف قنوات تهريب محتملة، واعتماد دفاعات متعددة الطبقات خاصة في بيئات لينكس.

بوتنت وبنية C2

• RondoDox: بوت نت شبيه Mirai يستغل 174 ثغرة في أجهزة إنترنت الأشياء والراوترات والكاميرات، مع فصل بنى الاستغلال والتحكم واستخدام عناوين IP منزلية. يستهدف ثغرات حال نشر تفاصيلها مثل CVE-2023-46604 CVE-2025-55182 CVE-2025-62593 CVE-2025-47812.

توصيات

• تحديث أجهزة إنترنت الأشياء والراوترات فوراً، تغيير الكلمات الافتراضية، تعطيل الخدمات غير الضرورية، ومراقبة الاتصالات غير المألوفة.