ملخص تهديدات الأمن السيبراني19-03-2026

يوم حافل باستغلالات خطيرة وهجمات موجهة: ثغرة يوم-صفر في منصات Cisco غذّت حملة فدية واسعة، فيما استهدفت مجموعة «DarkSword» مستخدمي iOS بسرقة واسعة للبيانات. كما برزت حوادث تسريب وتعطيل لجهات كبرى، إلى جانب حملات تصيّد وتلويث مستودعات، وتحديثات أمنية حرجة.

فدية Interlock واستغلالات Cisco

• استغلال ثغرة CVE-2026-20131 في Cisco Secure Firewall Management Center لتنفيذ أوامر Java كـ root عن بُعد دون مصادقة؛ استُغلت كـ 0-day لنحو 36 يوماً ومنذ يناير 2026.
• الهجمات قادت إلى تشفير وتسريب وابتزاز، مع استخدام أدوات وصول خفيّة وRAT وتقنيات إخفاء، بالإضافة إلى أدوات شرعية مثل ScreenConnect وVolatility.
• استهداف لقطاعات التعليم والصحة والتصنيع والهندسة والقطاع الحكومي والصناعي.
• تنبيه متزامن حول ثغرات متعددة في منظومة Cisco SD-WAN وجدران الحماية يُستغل بعضها فعلياً.

الثغرات المرتبطة: CVE-2026-20131، CVE-2026-20127، CVE-2022-20775، CVE-2026-20122، CVE-2026-20126، CVE-2026-20128، CVE-2026-20129، CVE-2026-20133، CVE-2026-20079.

المؤشرات الفنية: 206.251.239.164 199.217.98.153 89.46.237.33 browser-updater[.]com os-update-server[.]com hxxp://ebhmkoohccl45qesdbvrjqtyro2hmhkmh6vkyfyjjzfllm3ix72aqaid[.]onion/chat.php

توصيات

• تحديث Cisco Secure FMC وجميع أجهزة Cisco المتأثرة فوراً وتغيير كلمات المرور وتفعيل المصادقة متعددة العوامل.
• مراجعة السجلات بحثاً عن نشاط غير مألوف، والبحث عن وجود ScreenConnect أو HAProxy غير معروفين.
• فحص الشبكة والأجهزة لرصد مؤشرات الاختراق المذكورة وعزل الأنظمة المشتبه بها.

تجسس على iOS عبر «DarkSword»

• سلسلة استغلال تستهدف iOS 18.4 حتى 18.7 عبر ست ثغرات، تمنح وصولاً كاملاً للجهاز وزرع برمجيات مثل GhostKnife وGhostSaber وGHOSTBLADE.
• سرقة واسعة للبيانات: الرسائل والحسابات وسجل المواقع والصور وتسجيلات الصوت وكلمات المرور وبيانات محافظ العملات الرقمية، مع حذف ذاتي أحياناً.
• رُصدت الاستهدافات في السعودية وتركيا وماليزيا، منها مواقع خبيثة مثل snapshare[.]chat.

الثغرات: CVE-2025-31277 CVE-2025-43529 CVE-2026-20700 CVE-2025-14174 CVE-2025-43510 CVE-2025-43520

توصيات

• تحديث iOS إلى آخر إصدار متاح وتفعيل نمط القفل لمن يواجهون مخاطر مرتفعة.
• تجنّب فتح الروابط المشبوهة وزيارة مواقع غير موثوقة.

هجمات موجهة وتسريبات بيانات

• Stryker: هجوم نُسب لمجموعة مرتبطة بإيران تسبب بانقطاع عالمي لأنظمة الشركة لأكثر من أسبوع. تم استخدام بيانات دخول مسروقة من برمجيات سرقة معلومات للوصول إلى حسابات إدارية في Microsoft Intune ومسح آلاف الأجهزة عن بُعد، دون أدلة على زرع برمجيات خبيثة داخل الأنظمة.
• تسريب خادم APT28: كشف خادم تجسس عن أكثر من 2800 بريد مسروق و240 مجموعة بيانات اعتماد (تتضمن رموز TOTP) و140 قاعدة تحويل تلقائي و11,500 جهة اتصال، مع استهداف حكومي وعسكري في أوكرانيا ورومانيا وبلغاريا واليونان وصربيا ومقدونيا الشمالية. الاستغلال تم عبر ثغرات XSS في Roundcube وSquirrelMail. المؤشرات: 203.161.50[.]145 zhblz[.]com.
• Aura: اختراق بيانات قرابة 900,000 جهة كشف أسماء كاملة وبريد إلكتروني وعناوين وأرقام هواتف بعد هجوم تصيّد صوتي؛ البيانات نُشرت لاحقاً.

توصيات

• تغيير كلمات المرور وتفعيل المصادقة الثنائية ومراجعة صلاحيات الحسابات الإدارية.
• تحديث منصات البريد المتأثرة، وتأمين أو تعطيل الإضافات الحساسة، وتجديد أسرار 2FA.
• رفع جاهزية المراقبة والتنبيه لمواجهة محاولات التصيّد اللاحقة.

التصيّد والهندسة الاجتماعية وسلسلة التوريد

• شبكة عمال تكنولوجيا معلومات مزيفين: توظيف بهويات مزوّرة للتسلل إلى شركات عالمية وجمع أموال/معلومات حساسة. أدوات بارزة: OConnect NetKey IP Messenger.
• LeakNet: خدع صفحات تحقق وهمية تدفع الضحايا لتنفيذ أوامر msiexec وتحميل Deno لتشغيل كود خبيث في الذاكرة، مع DLL sideloading وPowerShell/VBS واستغلال خدمات سحابية لنقل البيانات. مؤشرات: tools.usersway[.]net okobojirent[.]com apiclofront[.]com mshealthmetrics[.]com sendtokenscf[.]com verify-safeguard[.]top binclloudapp[.]com 194.31.223[.]42 144.31.2[.]161 87.121.79[.]6 87.121.79[.]25 cnoocim[.]com 144.31.54[.]243 delhedghogeggs[.]com 144.31.224[.]98 serialmenot[.]com fastdlvrss.s3.us-east-1.amazonaws[.]com backupdailyawss.s3.us-east-1.amazonaws[.]com.
• ForceMemo: تلويث مستودعات بايثون عبر اختراق حسابات GitHub باستخدام بيانات مسروقة من إضافات خبيثة، وحقن كود في ملفات مثل setup.py لتحميل حمولة عبر سولانا ثم برمجية Node.js. ابحث عن المتغير lzcdrtfxyqiplpd.
• متاجر إلكترونية وهمية: أكثر من 20,000 موقع لسرقة بيانات الدفع، مرتبطة بـ 36 عنوان IP. مؤشرات مختارة: 108.59.1.151 108.59.12.118 108.59.14.13 108.59.8.97 108.62.0.220 108.62.116.82 108.62.117.45 162.210.195.105 162.210.195.113 162.210.198.37 162.210.199.12 162.210.199.183 162.210.199.235 192.96.200.81 198.7.58.168 198.7.58.87 199.115.115.2 207.244.102.13 207.244.109.109 207.244.126.106 207.244.126.19 207.244.126.21 207.244.67.158 207.244.69.201 207.244.71.143 207.244.89.198 207.244.91.203 23.105.160.43 23.105.172.14 23.105.8.15 23.105.8.17 23.105.8.19 23.82.11.26 23.82.13.161 23.82.13.34 5.79.69.45.
• خداع المساعدات الذكية: استغلال الخطوط المخصصة وCSS لإظهار تعليمات ضارة للمستخدم لا تراها المساعدات الذكية، ما قد يؤدي لتقييمات أمنية مضللة.

توصيات

• تحقق موسّع من خلفيات المتقدمين للوظائف عن بعد ومراقبة أدوات VPN أو مراسلة غير مألوفة.
• عدم تنفيذ أوامر من صفحات تحقق مزيفة ومراقبة تشغيل Deno أو msiexec من المتصفح، وتقييد PowerShell وPsExec.
• تدقيق مستودعات GitHub قبل التثبيت، تفعيل المصادقة الثنائية وحذف الرموز القديمة.
• توخي الحذر عند التسوق عبر الإنترنت وعدم إدخال بيانات دفع في مواقع غير موثوقة.
• عدم الاعتماد حصراً على المساعدات الذكية لتقييم أوامر أو مواقع؛ انسخ النص كاملاً وراجعه يدوياً.

ثغرات وتحديثات بارزة أخرى

• GNU InetUtils telnetd: ثغرة تجاوز سعة الذاكرة CVE-2026-32746 تتيح تنفيذ أوامر كـ root عن بُعد عبر المنفذ 23 دون مصادقة؛ خطر مرتفع على الأنظمة الصناعية. توصيات: إيقاف الخدمة أو حجب المنفذ 23 وتقييد الوصول وتشغيل الخدمة بدون root.
• ScreenConnect: ثغرة CVE-2026-3564 تُمكّن من استخراج مفاتيح ASP.NET ورفع الصلاحيات؛ أُصلحت في الإصدار 26.1. توصيات: التحديث الفوري ومراجعة السجلات وحماية ملفات الإعدادات والنسخ الاحتياطية.
• Zimbra: ثغرة XSS مخزّن CVE-2025-66376 تُستغل حالياً عبر رسائل HTML؛ يتطلب تحديثاً عاجلاً أو حلول تخفيف.
• WebKit: تحديث أمني لسد CVE-2026-20643 التي تسمح بتجاوز العزل بين المواقع على Safari وتطبيقات تعتمد WebKit في iOS وiPadOS وmacOS Tahoe (الإصدار 26.3.1 و26.3.2). توصيات: تفعيل ‘تحديثات الأمان في الخلفية’ والتأكد من الإصدارات 26.3.1 (a) أو 26.3.2 (a).
• ChromeOS Beta: إصدار 16581.37.0 (متصفح 146.0.7680.152) يتضمن إصلاحات وتحسينات عامة؛ يُنصح بالتحديث.