ملخص تهديدات الأمن السيبراني21-03-2026

يوم حافل بالثغرات الحرجة والاستغلالات الفعلية، مع تصاعد ملحوظ في حملات التصيّد والهندسة الاجتماعية. تواصل مجموعة هاندالا المرتبطة بإيران ترك بصمتها عبر هجمات تعطيليّة ومصادرة لمواقع دعائية، فيما برزت مخاطر سلسلة التوريد عبر اختراق أداة Trivy.

ثغرات واستغلالات حرجة وتحديثات عاجلة

  • Langflow: ثغرة حرجة تتيح تنفيذ أوامر عن بُعد دون مصادقة عبر نقطة POST لإنشاء تدفقات عامة؛ استغلال فعلي خلال 20 ساعة شمل سرقة مفاتيح وقواعد بيانات مع حركة عبر عناوين IP متعددة وC&C واحد. المتأثرون قبل الإصدار 1.8.1. CVE-2026-33017
  • Jenkins وLoadNinja: عدة ثغرات خطيرة تعرض خوادم CI/CD لخطر RCE وسرقة بيانات الاعتماد، منها إنشاء ملفات تعسفية، DNS rebinding عبر WebSocket، وتخزين مفاتيح API غير مشفرة في LoadNinja. التحديثات: Jenkins 2.555 أو LTS 2.541.3 وإضافة LoadNinja إلى 2.2، مع تفعيل المصادقة وإلغاء صلاحيات المجهولين واستخدام HTTPS. CVE-2026-33001 CVE-2026-33002 CVE-2026-33003 CVE-2026-33004
  • UniFi Network من Ubiquiti: ثغرة شديدة الخطورة من نوع path traversal تتيح السيطرة على الحسابات دون مصادقة، مع ثغرة ثانية لرفع الصلاحيات. تم الإصلاح في آخر تحديث. CVE-2026-22557 CVE-2026-22558
  • Oracle Identity Manager/WSM: تحديث عاجل خارج الجدول لمعالجة RCE دون مصادقة عبر HTTP، يؤثر على إصدارات محددة من المنتجين، بدرجة خطورة 9.8/10، دون تأكيد استغلال نشط حتى الآن. CVE-2026-21992
  • UNISOC مودمات: تنفيذ أوامر عن بُعد عبر مكالمة خلوية فقط باستغلال رسائل SDP معدلة خلال مكالمة فيديو، بسبب خلل في معالجة acap يؤدي إلى فيضان ذاكرة. لا تصحيح رسمي بعد. مؤشرات: T612 T616 T606 T7250 SDPDEC_AcapDecoder CWE-674
  • هجوم سلسلة التوريد على Trivy: اختراق معظم إصدارات trivy-action وsetup-trivy عبر force-push ببيانات اعتماد مسروقة، لزرع برمجية خبيثة تجمع رموز GitHub وبيانات السحابة ومفاتيح SSH ورموز Kubernetes وترسلها لخوادم المهاجم. التأثير طال مستخدمين في CI/CD وعلى أجهزة المطورين؛ المتأثرون كل من استخدم العلامات المصابة عدا @0.35.0.

المؤشرات الفنية

  • scan.aquasecurtiy[.]org
  • 45.148.10.212
  • plug-tab-protective-relay.trycloudflare.com

توصيات

  • تحديث Langflow وJenkins وUniFi وOracle إلى الإصدارات الموصى بها فوراً، وتعطيل الوصول العام لواجهات الإدارة.
  • مراجعة السجلات لرصد إنشاء تدفقات أو أوامر غير معتادة، وتدوير جميع المفاتيح وكلمات المرور المخزنة.
  • إيقاف استخدام Trivy مؤقتاً، واستبدال جميع الأسرار ومراجعة خطوط الأنابيب.
  • لمستخدمي أجهزة UNISOC: تجنّب استقبال مكالمات من أرقام غير معروفة حتى صدور تصحيح.

نشاط مجموعة هاندالا: مصادرة مواقع وحوادث تعطيل

أكدت السلطات الأمريكية ارتباط مجموعة هاندالا بوزارة الاستخبارات الإيرانية، وصادرت أربعة مواقع استُخدمت لنشر بيانات مسروقة وعمليات نفسية، مع تعطيل حساب المجموعة على منصة X. نُسبت للمجموعة هجمات ضد إسرائيل وشركات أمريكية شملت حذف بيانات وسرقة معلومات.

  • Stryker: هجوم واسع أدى لتعطيل التصنيع والشحن؛ استُخدمت أداة Microsoft Intune لمسح بيانات آلاف الأجهزة عن بُعد. المهاجمون زعموا سرقة 50 تيرابايت ومسح 200 ألف جهاز وتعطيل مكاتب في 79 دولة، دون استخدام فدية أو برمجيات خبيثة وبتركيز داخل بيئة مايكروسوفت. تأثرت خدمات طبية في ولاية ماريلاند واضطرت بعض المستشفيات لقطع الاتصال مؤقتاً مع Stryker.
  • أساليب الوصول: سرقة بيانات دخول عبر VPN ثم حركة جانبية بأدوات إدارية مثل RDP وPowerShell وWMI وSSH، مع استخدام أدوات نفقية مثل NetBird للحفاظ على الوصول، وهجمات مسح مدمرة عطّلت الإنتاج والخدمات اللوجستية.

المؤشرات الفنية

  • Justicehomeland[.]org
  • Handala-Hack[.]to
  • Karmabelow80[.]org
  • Handala-Redwanted[.]to

توصيات

  • تفعيل المصادقة متعددة العوامل لجميع الحسابات، ومراجعة صلاحيات مسؤولي Intune وتقييد وصول الأدمن.
  • مراقبة القنوات النفقية غير المصرح بها، وعزل الأنظمة المشتبه بها فوراً.
  • مراجعة احتمالات التسريب وتغيير كلمات المرور ومفاتيح الربط.

حملات تصيّد وهندسة اجتماعية وبرمجيات خبيثة

  • دعوات زووم وهمية: رسائل بريد تحوي زر انضمام لا يقود لزووم، مع شاشة انتظار واختبارات أمان مزيفة تنتهي بطلب تحديث مزيف يثبت ScreenConnect للسيطرة الكاملة على الجهاز. تستهدف ويندوز حصراً وتتوقف عند اكتشاف ماك. مؤشرات: وصول من بريد Gmail ورابط اجتماع غير تابع لزووم.
  • تصيّد يستهدف Signal وWhatsApp: حملة عالمية يقودها قراصنة مرتبطون بالاستخبارات الروسية تستهدف سرقة الحسابات بانتحال دعم فني وطلب أكواد التحقق أو مسح رموز QR لربط أجهزة المهاجمين، دون كسر للتشفير بل عبر خداع المستخدم؛ سُجّل اختراق لآلاف الحسابات.
  • PureHVNC عبر Google Forms: انتحال شركات وإرسال روابط عبر LinkedIn أو البريد إلى نماذج Google Forms وروابط مختصرة تنتهي بملف ZIP يحوي ملفاً تنفيذياً يحمّل DLL خبيثاً لتثبيت PureHVNC وسرقة بيانات النظام والمتصفحات ومحافظ العملات الرقمية مع تقنيات DLL hijacking وملفات PDF وهمية.

المؤشرات الفنية

  • 207.148.66.14
  • https://goo[.]su/CmLknt7
  • https://www.fshare[.]vn/file/F57BN4BZPC8W
  • ca6bd16a6185c3823603b1ce751915eaa60fb9dcef91f764bef6410d729d60b3
  • d6b7ab6e5e46cab2d58eae6b15d06af476e011a0ce8fcb03ba12c0f32b0e6386
  • e7b9f608a90bf0c1e477a28f41cb6bd2484b997990018b72a87268bf46708320

توصيات

  • التحقق من عنوان المرسل والرابط قبل فتح دعوات الاجتماعات؛ عدم تثبيت تحديثات من صفحات انتظار مزيفة.
  • عدم مشاركة أكواد التحقق أو مسح رموز QR مجهولة؛ تفعيل التحقق بخطوتين ومراقبة إشعارات ربط الأجهزة.
  • تجنّب تنزيل ملفات من نماذج Google Forms أو روابط مختصرة ما لم يتم التحقق عبر القنوات الرسمية.
  • استخدام حلول الحماية وتحديثها بشكل مستمر.

تسريبات واختراقات وابتزاز

  • أسترازينيكا: مجموعة LAPSUS$ تدّعي اختراقاً وتسريب 3 جيجابايت تشمل شيفرات مصدرية وإعدادات بنية سحابية وبيانات موظفين، مع عينات لأسماء وأدوار وحالة المصادقة الثنائية ورسائل داخلية؛ التسريب يرفع مخاطر التصيّد والهندسة الاجتماعية، ولم تتأكد صحة جميع البيانات بعد.
  • LeakNet: مجموعة فدية نشطة منذ أواخر 2024 تعتمد أساليب ‘ClickFix’ لخداع الضحايا بتنفيذ أوامر خبيثة عبر صفحات CAPTCHA مزيفة أو رسائل خطأ؛ تسرق وتشفّر البيانات وتبتز بالنشر. شملت الضحايا مؤسسات مالية في الدومينيكان وموريشيوس، ولا معلومات مؤكدة حول دفع الفدية أو ضحايا في الشرق الأوسط.

توصيات

  • تغيير كلمات المرور فوراً وتفعيل المصادقة الثنائية، ومراقبة البريد ومحاولات التصيد.
  • تطبيق نسخ احتياطية خارجية واختبارات استعادة، وتحديث الأنظمة والوعي الأمني للموظفين.

هجمات على منصات الويب والتجارة الإلكترونية

حملة تشويه واسعة استهدفت أكثر من 7500 موقع Magento منذ 27 فبراير عبر استغلال ثغرة رفع ملفات بدون مصادقة لنشر رسائل سياسية وأسماء المهاجمين، وشملت علامات عالمية وخدمات حكومية وجامعات في قطر، دون تأكيد لتسريب بيانات العملاء بحسب التقرير.

  • رُصدت ثغرة جديدة في REST API باسم PolyShell قد تسمح برفع ملفات تنفيذية، دون هجمات نشطة معلنة عليها حتى الآن. PolyShell

توصيات

  • تحديث Magento وAdobe Commerce إلى 2.4.9 أو أحدث عند توفره، وتشديد مراقبة مجلدات الرفع وتطبيق سياسات أمان إضافية.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون