ملخص تهديدات الأمن السيبراني09-04-2026

يوم حافل بتهديدات متعددة المحاور: تصاعد حملات التجسس عبر أجهزة التوجيه واختطاف DNS، إلى جانب ثغرات و0-day حرجة تطال برمجيات واسعة الانتشار. رُصدت أيضاً موجات برمجيات خبيثة وتصعيد في هجمات الفدية المدفوعة بعوامل السوق والتأمين، مع حملات تصيّد تستهدف مؤسسات وحسابات مايكروسوفت 365 وصحفيين ومطوري المصادر المفتوحة.

حملات التجسس عبر أجهزة التوجيه واختطاف DNS

  • نشاط متسع لمجموعة مرتبطة بالاستخبارات الروسية (APT28/Forest Blizzard) يستغل أجهزة TP-Link وMikroTik وأجهزة SOHO لاختطاف DNS واعتراض الاتصالات وسرقة بيانات الاعتماد، مع استهداف مستخدمي Outlook ويب وقطاعات حساسة.
  • استغلال الثغرة CVE-2023-50224 لتغيير إعدادات DHCP/DNS وتنفيذ هجمات رجل في الوسط حتى على اتصالات مشفرة عند تجاهل تحذيرات الشهادات.
  • تم رصد أكثر من 200 منظمة ونحو 5,000 جهاز متضرر حول العالم، بالإضافة إلى 290,000 عنوان IP يرسل طلبات DNS لخوادم خبيثة خلال أربعة أسابيع.
  • تدخل سلطات إنفاذ القانون أعاد ضبط إعدادات DNS على آلاف أجهزة التوجيه المخترقة.

توصيات

  • تحديث برمجيات أجهزة التوجيه فوراً، تعطيل الإدارة عن بعد، وتغيير كلمات المرور الافتراضية.
  • مراجعة إعدادات DNS/DHCP بانتظام وعدم تجاهل تحذيرات الشهادات.

الثغرات والتحديثات الحرجة

  • Adobe Reader يوم-صفر عبر ملف PDF خبيث يتيح سرقة ملفات محلية وتنفيذ أوامر عن بعد؛ اتصالات مشبوهة إلى 169.40.2.68:45191.
  • Windows BlueHammer: استغلال تصعيد صلاحيات غير مرقّع لويندوز 10/11 وسيرفر يمنح صلاحيات SYSTEM ويخفي الأثر؛ لا CVE حتى الآن.
  • IBM Verify Identity Access وIBM Security Verify Access: ثغرات حرجة تشمل RCE وتصيّد صلاحيات حتى root، وضعف تشفير في crypto-js. المؤشرات: CVE-2026-1188 CVE-2026-1346 CVE-2023-46233 CVE-2026-4101 CVE-2026-1345 CVE-2026-1343 CVE-2026-2862 CVE-2026-1491 CVE-2026-21945 CVE-2026-21932 CVE-2025-12635 CVE-2026-4364 CVE-2026-2475.
  • Ivanti EPMM: ثغرة حرجة لتنفيذ أوامر عن بعد مستغلة منذ يناير. المؤشرات: CVE-2026-1340 CVE-2026-1281.
  • Flatpak 1.16.4 يسد ثغرات، أبرزها هروب من العزل. الثغرات: CVE-2026-34078 CVE-2026-34079.
  • تحديث أمني لمتصفح كروم (قناة Extended Stable) إصدار 146.0.7680.188 على ويندوز وماك.
  • Claude Mythos: نموذج ذكاء اصطناعي يكشف ويستغل ثغرات 0-day ويحقق RCE على FreeBSD عبر CVE-2026-4747 وتجاوزات حماية في لينكس؛ غالبية الثغرات المكتشفة غير مُصححة بعد.
  • واجهات API وبيئات الذكاء الاصطناعي: 92٪ من المؤسسات تفتقر للنضج الأمني، و32٪ تعرضت لحوادث مرتبطة بـ API، مع استغلالات لسوء الإعدادات وفق OWASP API8.
  • ثغرات حقن الأوامر في تطبيقات الذكاء الاصطناعي التوليدي تُمكّن تسريب مفاتيح وبيانات وتنفيذ أوامر ضارة.

توصيات

  • تطبيق تحديثات IBM وIvanti وFlatpak وكروم فوراً، ومراقبة الاتصالات إلى المؤشرات المذكورة.
  • عدم فتح ملفات PDF غير موثوقة، وتقييد صلاحيات المستخدمين ومراقبة إنشاء نسخ الظل في ويندوز.
  • تقوية ضوابط API وتقليل الصلاحيات وتفعيل المراقبة المستمرة.

برمجيات خبيثة وبوتنت

  • Masjesu Botnet يستغل ثغرات في أجهزة D-Link وGPON وHuawei وNetgear وMVPower وUPnP لتنفيذ DDoS، ويمنع إصابات منافسة عبر تعطيل wget وcurl ويستخدم قنوات C2 مشفرة.
  • Chaos لينوكس يستهدف خوادم سحابية بإعدادات Hadoop غير مؤمّنة لتنفيذ DDoS وتفعيل SOCKS proxy مع حذف ذاتي. المؤشرات: pan[.]tenire[.]com gmserver[.]osfc[.]org[.]cn.
  • Remus Infostealer (مشتق من Lumma) بنواة 64-بت يسرق كلمات المرور وبيانات المتصفحات والمحافظ، ويتجاوز حماية تشفير Chromium ويستخدم C2 عبر عقود Ethereum الذكية.
  • Atomic Stealer على macOS عبر استغلال Script Editor وروابط applescript لحقن أوامر وتنفيذ تحميل خبيث، مع سرقة Keychain ومحافظ العملات والكوكيز وبطاقات الائتمان وإضافة مكوّن خلفي.
  • LucidRook يستهدف منظمات وجامعات في تايوان عبر تصيّد وروابط لأرشيفات محمية، DLL يدمج Lua وRust ويرسل البيانات إلى خوادم FTP مخترقة مع أداة مرافقة LucidKnight. المؤشرات: d49761cdbea170dd17255a958214db392dc7621198f95d5eb5749859c603100a 1.34.253.131 D.2fcc7078.digimg.store edb25fed9df8e9a517188f609b9d1a030682c701c01c0d1b5ce79cba9f7ac809 [email protected].
  • اختراق سلسلة توريد: حزمة Python خبيثة litellm 1.82.8 تحتوي ملف litellm_init.pth ينفذ تلقائياً عند تشغيل بايثون.
  • Skimmer في Magento يحقن شيفرة داخل SVG بحجم 1×1 بكسل لاختلاس بيانات بطاقات الدفع. المؤشرات: 23.137.249.67 /fb_metrics.php _mgx_cv.

توصيات

  • تحديث برمجيات الأجهزة والخوادم، إغلاق المنافذ غير الضرورية، وتفعيل سياسات جدار ناري صارمة.
  • مراجعة مواقع التجارة للسكربتات وملفات SVG المشبوهة، وتدقيق سلامة الحزم البرمجية قبل تثبيتها.
  • على macOS، عدم فتح Script Editor من مصادر غير موثوقة وتحديث نظام الحماية.

التصيّد والهندسة الاجتماعية

  • EvilTokens: منصة تصيّد كخدمة تستغل رموز مايكروسوفت 365 المسروقة وتستخدم الذكاء الاصطناعي لتحليل الصناديق البريدية وتوليد رسائل BEC مخصصة وتجاوز كلمات المرور وMFA.
  • ClickFix: اختبارات CAPTCHA مزيفة تؤدي لتنفيذ PowerShell وتحميل RAT مبني على Node.js يستخدم Tor ويخزّن الحمولة بالذاكرة ويتفادى الحماية. المؤشرات: cloud-verificatecom NodeServer-Setup-Full.msi LogicOptimizer.
  • استهداف دعم الشركات عبر Zendesk: صفحات Okta مزيفة على نطاقات شبيهة تشجع موظفي الدعم على تسليم الاعتمادات وتجاوز MFA عبر تسجيل أجهزة جديدة وسرقة محتوى الحافظة.
  • تصيّد يستهدف صحفيين مصريين بهويات ورسائل مزيفة ومحاولات لنشر تجسس أندرويد وسرقة البيانات، مع محاولات مماثلة في المنطقة عبر برمجية ProSpy.
  • تصاعد هجمات على مطوري المصادر المفتوحة عبر انتحال شخصيات على Slack وLinkedIn وروابط تصيّد شبيهة بـ Google Workspace وطلبات تثبيت شهادات جذر مزيفة؛ استُهدفت حزم npm شائعة. المؤشر: https://sites.google.com/view/workspace-business/join.

توصيات

  • تفعيل مفاتيح أمان FIDO2 ومراقبة استخدام الرموز في مايكروسوفت 365 والتنبيه عن جلسات غير معتادة.
  • التدريب المستمر على كشف التصيّد، والتحقق عبر قنوات مستقلة قبل إدخال الاعتمادات أو تثبيت أي مكونات.

الفدية والابتزاز وحوادث البيانات

  • تطوّر هجمات الفدية مع مجموعات أقل خبرة تُحدث أضراراً تدميرية؛ Pay2Key المرتبطة بإيران استهدفت مؤسسة صحية أمريكية، ومجموعات مثل Sicarii تستخدم برمجيات معيبة تؤدي لفقدان البيانات، مع توظيف الذكاء الاصطناعي لتوسيع التأثير.
  • Storm-1175 تنشر Medusa بسرعة بالاعتماد على ثغرات N-day وأدوات إدارة عن بُعد وتعطيل الحماية. المؤشرات: CVE-2025-31324 CVE-2023-27351 CVE-2024-27198 CVE-2026-23760.
  • تقرير FBI 2025: أكثر من مليون بلاغ وخسائر 20.8 مليار دولار، أبرزها احتيال استثماري وBEC ودعم فني مزيف؛ خسائر فدية تجاوزت 32 مليون دولار مع نشاط Akira وLockbit وMedusa.
  • التأمين السيبراني يشجع رفع مبالغ الفدية؛ قد ترتفع 2.8 مرة عند علم المهاجمين بوجود تأمين، مع استمرار دفعات الفدية طالما العائد مجزٍ.
  • اختراق Eurail سرّب بيانات 308,777 مسافراً، بينها أسماء وأرقام ونسخ جوازات وعناوين وأرقام حسابات وبعض المعلومات الصحية، وعُرضت للبيع.

توصيات

  • تسريع التصحيح وتقييد الوصول وتعزيز النسخ الاحتياطي المعزول والاختبار الدوري للاستعادة.
  • مراجعة سياسات التأمين ورفع ضوابط الاستجابة والتفاوض وتقليل الاعتماد على الدفع.
  • لمستخدمي Eurail: تغيير كلمات المرور والحذر من تواصلات تطلب بيانات ومراقبة الحسابات البنكية.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون