ملخص تهديدات الأمن السيبراني10-04-2026

يوم حافل بثغرات حرجة واستغلالات نشطة، مع حملات تصيّد وهجمات سرقة معلومات استهدفت مؤسسات وفرق دعم ومستخدمين نهائيين على مختلف الأنظمة. برزت تحديثات عاجلة لإغلاق ثغرات في منصات مؤسسية، إلى جانب تحسينات دفاعية في ويندوز وكروم. أدناه خلاصة مركّزة لأبرز المستجدات.

الثغرات والاستغلالات

  • Apple Intelligence: هجوم حقن التعليمات — باحثو RSAC نجحوا في تجاوز الحماية باستخدام Neural Execs وتلاعب Unicode بنجاح 76٪، ما قد يسمح بأوامر غير مرغوبة على أجهزة iPhone 15 Pro وما بعده، iPad بمعالج A17 Pro، Mac بمعالجات M1+ وApple Vision Pro. تم الإصلاح في iOS 26.4 وmacOS 26.4. ما العمل: التحديث فوراً.
  • Adobe Reader: ثغرة يوم الصفر قيد الاستغلال — ملف PDF خبيث يجمع بيانات وقد يسمح بتنفيذ أوامر عن بُعد أو الهروب من العزل، ويصيب أحدث الإصدارات. رُصدت عينات منذ نوفمبر 2025 مع طُعوم باللغة الروسية تخص قطاع النفط والغاز. ما العمل: تجنّب فتح ملفات غير معروفة وارقُب تحديثات Adobe.
  • Ivanti EPMM (CVE-2026-1340) — تنفيذ أوامر عن بُعد دون مصادقة ويجري استغلالها حالياً. التأثير يشمل السيطرة على إدارة الأجهزة والحركة الجانبية. ما العمل: تحديث عاجل، مراقبة السجلات، وإيقاف الخدمة مؤقتاً إذا لزم. الثغرات: CVE-2026-1340
  • Cisco SSM On-Prem (CVE-2026-20160) — خدمة داخلية مكشوفة تسمح بتجاوز المصادقة وتنفيذ أوامر كـ root عن بُعد. الإصدارات المتأثرة: من 9-202502 حتى 9-202510؛ الإصدار الآمن 9-202601+. ما العمل: التحديث الفوري وتشغيل اختبار NodeZero للتأكد من الإغلاق. الثغرات: CVE-2026-20160
  • Apache ActiveMQ Classic (CVE-2026-34197) — ضعف تحقق مُدخلات يؤدي لحقن أوامر وتنفيذها عن بُعد. التحديث إلى 6.2.3 أو 5.19.4 مطلوب، مع الانتباه إلى CVE-2024-32114. مؤشرات: نشاط network connector مع vm:// URIs و brokerConfig=xbean:http طلبات POST إلى /api/jolokia/ تحتوي على addNetworkConnector طلبات HTTP صادرة من عملية ActiveMQ إلى وجهات غير متوقعة عمليات فرعية غير متوقعة تنشأ من عملية Java الخاصة بـ ActiveMQ الثغرات: CVE-2026-34197 CVE-2024-32114

التصيّد والهندسة الاجتماعية

  • UNC6783 ضد مراكز الدعم وBPO — صفحات دخول مزيفة تشبه Okta، تجاوز 2FA وتسجيل أجهزة جديدة، ونشر وصول عن بُعد عبر تحديثات أمنية مزيفة. أُبلغ عن سرقة 13 مليون تذكرة دعم و15 ألف سجل موظف من إحدى الحالات لدى Adobe. مؤشر: [.]zendesk-support<##>[.]com
  • استغلال Google Storage لنشر Remcos RAT — صفحة دخول مزيفة على storage.googleapis.com تتبعها سلسلة JS → VBS → PowerShell وتنفيذ عبر RegSvcs.exe من مجلد مؤقت. مؤشرات: Bid‑Packet‑INV‑Document.js DYHVQ.ps1 ZIFDG.tmp RegSvcs.exe من %TEMP%
  • تصيّد عبر إشعارات SaaS — استغلال قنوات GitHub وJira لإرسال رسائل تبدو رسمية وتجاوز فلاتر البريد بهدف سرقة بيانات الدخول.
  • انتحال أمازون باسترجاع منتج — رسائل عامة تقود لصفحات دخول مزيفة. ما العمل: التحقّق عبر الحساب مباشرة وتفعيل 2FA.
  • VENOM ضد التنفيذيين — طُعوم شيربوينت مع رموز QR، أسلوب المهاجم في الوسط لجمع MFA وتسجيل أجهزة جديدة، وأيضاً تصيّد رموز الأجهزة للوصول الدائم.
  • موقع تحديث ويندوز مزيف — microsoft-update[.]support يوزع حزمة MSI خبيثة (WindowsUpdate 1.0.0.msi) مُغلّفة داخل Electron مع بقاء بعد الإقلاع واسم اختصار مزيف. مؤشرات: microsoft-update[.]support datawebsync-lvmv[.]onrender[.]com sync-service[.]system-telemetry[.]workers[.]dev store8[.]gofile[.]io 13c97012b0df84e6491c1d8c4c5dc85f35ab110d067c05ea503a75488d63be60 c94de13f548ce39911a1c55a5e0f43cddd681deb5a5a9c4de8a0dfe5b082f650

برمجيات خبيثة وحملات

  • notnullOSX على macOS — خداع عبر مستندات Google وأوامر طرفية لمنح صلاحية وصول كامل للقرص، واستبدال Ledger Live/Trezor بنسخ مزيفة وسرقة محادثات iMessage وملاحظات Apple وكلمات مرور Safari. مؤشرات: wallpapermacos.com wallspaceapp.com
  • STX RAT — سلسلة VBScript/JScript تنتهي بحقن في ذاكرة PowerShell مع سطح مكتب خفي (Hidden VNC) وسرقة كلمات المرور وملفات تعريف الارتباط من متصفحات Chromium/Firefox وبيانات محافظ التشفير.
  • Magecart على Magento — استغلال PolyShell لزرع سكريبتات ضمن SVG (1×1) وعرض صفحة دفع مزيفة مع إرسال البيانات إلى خوادم المهاجمين. مؤشرات: statistics-for-you.com wellfacing.com 23.137.249.67
  • ClickFix ينشر Atomic Stealer — صفحات دعم مزيفة تستدعي Script Editor عبر applescript:// لتنزيل وتشغيل البرمجية وسرقة بيانات المتصفح وKeychain والمحافظ. مؤشرات: dryvecar[.]com https://dryvecar[.]com/cleaner3/update
  • ClipBanker ينتحل Proxifier — حِزم مزيفة على GitHub تُضيف استثناءات في Defender وتنفّذ سلاسل بدون ملفات لتبديل عناوين محافظ التشفير من الحافظة. مؤشرات: https://pastebin[.]com/raw/FmpsDAtQ https://github[.]com/lukecodix/Proxifier/releases/download/4.12/Proxifier.zip 34a0f70ab100c47caaba7a5c85448e3d 7528bf597fd7764fcb7ec06512e073e0 8354223cd6198b05904337b5dff7772b
  • سلسلة توريد إضافات الويب: Smart Slider 3 Pro — إصدار خبيث 3.5.1.35 (ووردبريس/جوملا) يُنشئ مستخدماً مديراً مخفياً ويزرع أبواباً خلفية. ما العمل: حذف النسخة المصابة وتثبيت 3.5.1.36 أو الأقدم 3.5.1.34، تنظيف المستخدمين/الملفات وتحديث كلمات المرور والمفاتيح.

تسريبات/اختراقات بيانات

  • MyLovely.AI — تسريب بيانات أكثر من 100,000 مستخدم شمل محادثات وصور وروابط مولّدة ومعرّفات تواصل، مع ربط ~70,000 من 113,000 محادثة صريحة بمستخدميها، ما يرفع مخاطر الابتزاز.
  • Figure — كشف 967,200 بريد إلكتروني قد يُستغل في التصيّد وحشو بيانات الاعتماد دون ثغرة تقنية مباشرة.
  • Meta (حادثة داخلية) — موظف سابق سرّب 30,000 صورة خاصة عبر سكريبت تجاوز أنظمة الكشف؛ المستخدمون أُبلغوا والقضية قيد التحقيق.

تحديثات وحماية دفاعية

  • ويندوز 11/سيرفر 2025 — تغييرات تعيق مشاركة المصادقة بين أجهزة لها SID متماثل بسبب الاستنساخ غير الصحيح؛ فشل SMB/RDP/NTLM/Kerberos مع أحداث LsaSrv Event ID 6167 وLsaSrv Event ID 6168. ما العمل: استخدام Sysprep وتجنّب الحل المؤقت إلا مرحلياً.
  • Microsoft Defender — قدرات ذكاء لرصد ومنع هجمات على الأصول الحساسة، منع سرقة NTDS، تعطيل حسابات مخترقة تلقائياً، وكشف وحذف webshells على IIS وExchange.
  • Google Chrome (DBSC) — ربط الجلسة بالجهاز عبر TPM يحبط سرقة الكوكيز في كروم 146 على ويندوز (وقريباً macOS) مع انخفاض ملحوظ في سرقات الجلسات.

توصيات

  • تحديثات عاجلة: iOS/macOS 26.4، Ivanti EPMM وفق إرشادات البائع، Cisco SSM إلى 9-202601+، ActiveMQ إلى 6.2.3 أو 5.19.4، وإزالة Smart Slider 3 Pro 3.5.1.35.
  • تحصين الوصول: فعّل 2FA/FIDO2، راقب تسجيل أجهزة جديدة، واعتبر تعطيل device code flow إن لم يكن ضرورياً.
  • سلامة المستخدم: لا تفتح PDFs أو ملفات JS/VBS من مصادر مجهولة، لا تنسخ أوامر إلى الطرفية من مستندات/صفحات، وتجنّب «تحديثات ويندوز» من مواقع غير رسمية.
  • الرصد والاستجابة: راقب مؤشرات الحملة المذكورة، تحقّق من أحداث LsaSrv، راقب الاتصالات إلى النطاقات المشبوهة، وأجرِ فحصاً شاملاً بمضاد فيروسات محدث.
  • المتصفح: حدّث كروم إلى الإصدار 146 للاستفادة من DBSC، وطبّق سياسات فصل الأصول الحساسة.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون