ملخص تهديدات الأمن السيبراني08-01-2026
يوم حافل بثغرات حرجة وتحديثات أمنية مستعجلة طالت منصات أتمتة ونسخ احتياطي ومتصفحات، بالتوازي مع تصعيد في هجمات الفدية والتصيّد والحملات الخبيثة. كما برزت تسريبات بيانات مرتبطة بسرقة كلمات المرور، وتحذيرات من إضافات ومتاجر وتطبيقات مزيفة.
الثغرات والتحديثات الأمنية
- n8n: ثغرة حرجة للمستخدمين الموثقين (CVE-2026-21877) قبل الإصدار 1.121.3 تسمح بتنفيذ أوامر عن بُعد، وخطورة 9.9. وثغرة أخرى (CVE-2026-21858) غير موثقة تتسبب بالسيطرة عن بُعد وقراءة ملفات حساسة؛ التنبيهات دعت للتحديث الفوري إلى الإصدارات الأحدث المتاحة.
- Veeam Backup & Replication: ثغرة حرجة (CVE-2025-59470) تمكّن أصحاب أدوار Backup Operator أو Tape Operator من تنفيذ أوامر كـ postgres، مع ثغرتين إضافيتين (CVE-2025-55125) و(CVE-2025-59468). يُوصى بالتحديث إلى 13.0.1.1071 أو أحدث ومراجعة الصلاحيات.
- jsPDF: ثغرة (CVE-2025-68428) في loadFile تُمكّن قراءة ملفات محلية وإدراجها في PDF بإصدارات أقل من 4.0.0 في بيئة Node.js؛ التوصية بالترقية إلى 4.0.0 أو أحدث وضبط صلاحيات القراءة.
- TOTOLINK EX200: ثغرة (CVE-2025-65606) في آلية التحديث تؤدي لفتح Telnet بصلاحيات root دون كلمة مرور من مستخدم مُصدّق؛ الجهاز خارج الدعم ولن يصدر تصحيح.
- IBM «Bob»: يمكن خداع الوكيل عبر حقن أوامر من ملفات README ومصادر غير موثوقة لتشغيل برمجيات خبيثة، مع ثغرة إضافية في واجهة IDE قد تُسرب بيانات دون تفاعل.
- macOS Tahoe: إطلاق آلية Background Security Improvement كقناة بيتا 26.3 (a) لتحديثات أمان سريعة وتراكمية على أجهزة M1+ وإنتل.
- Google Chrome: إصدار 144.0.7559.59 متاح في القناة المستقرة لويندوز وماك، وتحديث Beta لنفس الإصدار على ويندوز/ماك/لينكس مع تحسينات وإصلاحات أمنية.
- Outlook الكلاسيكي: مشكلة بعد الإصدار 2511 (Build 19426.20218) تمنع فتح رسائل Encrypt Only وتظهر مرفق message_v2.rpmsg؛ توجد حلول مؤقتة بانتظار إصلاح دائم.
توصيات
- تحديث n8n وVeeam وjsPDF وChrome وmacOS إلى أحدث الإصدارات فوراً، وتعطيل مكونات عالية الخطورة مؤقتاً عند تعذر التحديث.
- استبدال TOTOLINK EX200 أو عزله ومنع إدارة الجهاز من الإنترنت ومراقبة أي حركة Telnet.
- تقييد وصول مستخدمي n8n غير الموثوقين، وتعطيل عقدة Git مؤقتاً، ومراجعة السجلات.
هجمات الفدية والابتزاز
- LockBit 5.0: تشفير متقدم باستخدام ChaCha20-Poly1305 وX25519 وBLAKE2b، تعطيل نسخ احتياطي/حماية (مثل Veeam وAcronis) وإنشاء امتدادات عشوائية وحذف مؤقتات للحفاظ على الاستقرار.
- CrazyHunter (الرعاية الصحية/تايوان): استغلال كلمات مرور ضعيفة في Active Directory، إساءة استخدام SharpGPOAbuse للتوزيع، وتقنية BYOVD عبر السائق الضعيف
zam64.sysلتعطيل الحماية، وتشفير بـ ChaCha20 مع امتداد Hunter، وأدوات مثلgo.exeوgo2.exeوgo3.exeوbb.exe. - TridentLocker ضد Sedgwick: سرقة بيانات حساسة قبل التشفير وابتزاز لاحق، مع حركة جانبية واستعمال بيانات اعتماد مسروقة.
توصيات
- عزل النسخ الاحتياطية عن الشبكة، تفعيل EDR ومراقبة الشبكة، وعدم دفع الفدية.
- تقوية كلمات المرور وتفعيل MFA وتقييد تعديل Group Policy.
تسريبات واختراقات بيانات
- اختراق عالمي عبر كلمات مرور مسروقة: مهاجم يُعتقد أنه إيراني نفذ وصولاً إلى أنظمة بنى تحتية لمشاركة الملفات (مثل ShareFile وNextcloud) باستخدام بيانات مسروقة من RedLine وLumma وVidar، وتسريب ملفات طبية ومخططات عسكرية وخرائط بنية تحتية لبيعها؛ تضررت شركات بينها Iberia Airlines وPickett وIntecro Robotics وMaida Health.
- ownCloud: تحذير عام بتفعيل MFA بعد هجمات اعتمدت على بيانات دخول مسروقة (بدون اختراق للمنصة نفسها) وبيع بيانات شركات كبرى.
- Ledger: تسريب بيانات عملاء عبر اختراق مزود الدفع Global-e شمل أسماء ومعلومات اتصال؛ لا يشمل مفاتيح المحافظ أو معلومات مالية.
توصيات
- تفعيل المصادقة متعددة العوامل، تغيير كلمات المرور فوراً، وإنهاء الجلسات النشطة.
- فحص الأجهزة لبرمجيات سرقة كلمات المرور ومراقبة أي تسريب أو نشاط مشبوه.
برمجيات خبيثة وحملات استغلال
- ToddyCat ضد Microsoft Exchange: استغلال
CVE-2021-31207(ProxyLogon) وتركز على آسيا وأوروبا باستخدام China Chopper وSamurai وNinja عبر تيليجرام وDLL خبيثة مثلversion.dllوأدوات PowerShell؛ سرقة بيانات المتصفحات وملفات OST/Outlook وضغطها بـ WinRAR/7-Zip؛ مؤشرات:CVE-2021-31207وversion.dllوDBUtilDrv2.sys. - Ghost Tap على أندرويد: تطبيقات APK مزيفة عبر تيليجرام تسرق بيانات بطاقات وتستغل NFC لتمريرها عن بُعد؛ استهداف دول منها تركيا وماليزيا وإندونيسيا وأوزبكستان.
- pkr_mtsi: حزمة تُستخدم عبر حملات إعلانات خبيثة لتوزيع نسخ مزيفة من PuTTY وRufus وMicrosoft Teams، ونشر عائلات مثل Oyster وVidar وVanguard Stealer؛ مؤشرات:
oysterوshellcoderunnerوقاعدة YARA باسمTextShell. - إضافات كروم خبيثة: «Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI» و«AI Sidebar with Deepseek, ChatGPT, Claude, and more» تسرقان محادثات ChatGPT وبيانات التصفح (أكثر من 900 ألف تثبيت) وترسلا البيانات إلى
chatsaigpt[.]comوdeepaichats[.]com. - GoBruteforcer: يستهدف خوادم FTP وMySQL وPostgreSQL وphpMyAdmin بإعدادات افتراضية/ضعيفة، يرفع web shell وأدوات لسحب محافظ TRON وBSC، مع انتشار إعدادات قد تنشأ عن نصائح مولدة بالذكاء الاصطناعي.
توصيات
- تحديث Exchange وسد ProxyLogon، مراقبة PowerShell وSMB وتغيير كلمات السر المخزنة.
- على أندرويد: تثبيت التطبيقات من المتجر الرسمي فقط وفحص الجهاز عند الشك.
- تجنب تنزيل البرامج من مواقع غير رسمية، ومراقبة ظهور مؤشرات مثل ‘oyster’ و’shellcoderunner’ في تقارير الحماية.
- إزالة الإضافات الخبيثة ومراجعة صلاحيات المتصفح.
- تقوية كلمات مرور الخدمات، تعطيل الخدمات غير الضرورية وتحديث الحزم القديمة.
التصيّد والهندسة الاجتماعية
- حملة عبر Google Cloud: استغلال خاصية إرسال البريد في Application Integration لإرسال رسائل تبدو رسمية مع إعادة توجيه لصفحات تصيد تحاكي تسجيل دخول Microsoft 365 واختبار CAPTCHA مزيف؛ استهدفت آلاف المؤسسات.
- Quishing برموز QR داخل جداول HTML صغيرة بدلاً من الصور لتجاوز الفحص؛ عند المسح يتم توجيه الضحية لصفحات تصيد.
- تصيد باسم Booking.com: صفحة بشاشة BSOD مزيفة تدفع لتشغيل أمر PowerShell يعطّل Defender وينزل DCRat، مع استغلال MSBuild.exe لتفادي الكشف.
- انتشار أدوات ذكاء اصطناعي إجرامية مثل FraudGPT وWormGPT تُستخدم لتوليد رسائل تصيّد وشرح ثغرات وتجاوز قيود عبر أساليب Jailbreaking.
توصيات
- تجنب الضغط على الروابط والـ QR المشبوه، والتحقق من العناوين قبل إدخال البيانات.
- تفعيل المصادقة الثنائية واستخدام مدير كلمات مرور، وتدريب الموظفين على أساليب التصيد الحديثة.
- عدم تنفيذ أوامر مجهولة من صفحات الويب ومراقبة تشغيل PowerShell وMSBuild.
