ملخص تهديدات الأمن السيبراني14-01-2026

يوم حافل بتحديثات تصحيحية حرجة وثغرات قيد الاستغلال، مع نشاط لافت لبرمجيات خبيثة تستهدف أندرويد ولينكس. كما تصاعدت حملات التصيّد بطرق ملتوية تشمل ملفات PDF ورموز QR وواجهات تسجيل دخول مزيفة، إلى جانب عودة نشاط سرقة بيانات الدفع عبر Magecart.

ثغرات وتحديثات أمنية حرجة

• GeoServer: استغلال ثغرة CVE-2024-36401 لتنفيذ أوامر عن بعد وتثبيت XMRig لتعدين Monero، مع محاولات لتعطيل Windows Defender واستخدام PowerShell وBash وcertutil، وأحياناً إخفاء XMRig كملفات Java وتشغيله كخدمة.
• Gogs (خدمة Git ذاتية): ثغرة يوم صفر CVE-2025-8110 تسمح بكتابة ملفات عشوائية وتنفيذ أوامر؛ تأكد اختراق أكثر من 700 خادوم مع استغلال عبر C2 Supershell؛ لا يوجد تحديث بعد، والتوصية بعزل الخوادم خلف VPN وتعطيل التسجيل المفتوح.
• تحديثات مايكروسوفت (يناير 2026): معالجة 114 ثغرة بينها ثلاث قيد الاستغلال: CVE-2026-20805 (تسريب معلومات في Desktop Window Manager)، CVE-2026-21265 (تجاوز Secure Boot)، CVE-2023-31096 (رفع صلاحيات في تعريف Agere Modem). شملت القائمة أيضاً ثغرات مثل CVE-2026-20854 وCVE-2026-20944 وCVE-2026-20953 وCVE-2026-20952 وCVE-2026-20955 وCVE-2026-20957، مع إزالة تعريفات مودم ضعيفة.
• SAP: 17 تنبيهاً أمنياً جديداً تشمل ثغرات حرجة مثل CVE-2026-0501 (حقن أوامر SQL في S/4HANA) وCVE-2026-0500 (تنفيذ أوامر عن بعد في Wily Introscope)، إلى جانب ثغرات في HANA وNetWeaver وFiori. قائمة الثغرات: CVE-2026-0501 CVE-2026-0500 CVE-2026-0498 CVE-2026-0491 CVE-2026-0492 CVE-2026-0507 CVE-2026-0511 CVE-2026-0506 CVE-2026-0503 CVE-2026-0499 CVE-2026-0514 CVE-2026-0513 CVE-2026-0494 CVE-2026-0493 CVE-2026-0497 CVE-2026-0504 CVE-2026-0510.
• متصفح كروم: الإصدار 144 يصلح 10 ثغرات عالية الخطورة، منها CVE-2026-0899 وCVE-2026-0900 وCVE-2026-0901 وصولاً إلى CVE-2026-0908. يُوصى بالتحديث إلى 144.0.7559.59 أو أحدث.
• iOS/WebKit: تصحيح عاجل لثغرتين يوم صفر CVE-2025-XXXX وCVE-2025-YYYY تُستغل عبر محتوى ويب خبيث؛ التصحيحات متاحة لأجهزة محدّثة إلى iOS 26.2 وما فوق، فيما تظل الأجهزة الأقدم معرضة.
• ServiceNow: ثغرة حرجة CVE-2025-12420 في Now Assist AI Agents وVirtual Agent API قد تسمح بانتحال الهوية وتنفيذ أوامر؛ التحديث إلى الإصدارات 5.1.18/5.2.19 و3.15.2/4.0.4 أو أحدث.
• Apache Struts2: ثغرة قديمة لتنفيذ أوامر عن بعد لا تزال تُستغل بسبب اعتماد إصدارات غير محدثة على نطاق واسع.
• محملات الإقلاع: اكتُشفت 39 ثغرة في 9 محملات (بعضها في GRUB) قد تتجاوز الإقلاع الآمن؛ تم تخصيص 5 ثغرات CVE حتى الآن.
• تيليجرام (تسريب IP): خلل في روابط أسماء المستخدمين المزيفة يكشف عنوان IP الحقيقي عند النقر، حتى مع استخدام VPN داخل التطبيق، ويؤثر على أندرويد وiOS.

توصيات

• تحديث ويندوز وأوفيس فوراً، وتفعيل إعادة التشغيل بعد التثبيت؛ راقب المؤشرات المرتبطة بـ CVE-2026-20805 وCVE-2026-21265 وCVE-2023-31096.
• عزل خوادم Gogs المعرّضة وتعطيل التسجيل المفتوح ووضعها خلف VPN، وتحديث GeoServer وإزالة أي XMRig/AnyDesk غير مصرح بهما.
• تطبيق تحديثات SAP حسب الإصدارات المدعومة، وتحديث كروم إلى أحدث نسخة، وترقية iOS إلى 26.2.
• تطبيق تصحيحات ServiceNow الموصى بها، وتحديث/تأمين محملات الإقلاع، ومراجعة مشاريع Struts2 وترقيتها.
• تجنب النقر على روابط أسماء مستخدمين غير معروفة في تيليجرام واستخدام VPN على مستوى الجهاز.

برمجيات خبيثة واستهداف الأنظمة

• VoidLink (لينكس/السحابة): إطار خبيث متقدم بآليات تحميل وروتكيت وأكثر من 30 إضافة، يستهدف AWS وAzure وGCP وعلي بابا وتينسنت، يجمع بيانات الاعتماد ويتخفى ويعدل سلوكه وفق مستوى الحماية، مع قدرة على حذف الذات ومسح السجلات.
• Telegram X مزيف على أندرويد: برمجية تجسس Android.Backdoor.Baohuo.1.origin تنتشر عبر متاجر خارجية وتمنح المهاجمين تحكماً بحساب تيليجرام؛ أصابت قرابة 58,000 جهاز بما فيها تلفزيونات وأنظمة سيارات. لوحظ ارتفاع متزامن في هجمات Android.Banker وعودة برمجية Joker.
• deVixor (أندرويد/إيران): سرقة مالية وتجسس وتنفيذ فدية عند أمر ‘RANSOMWARE’، تستهدف 26 بنكاً و14 منصة عملات رقمية، وتستغل حقن جافاسكريبت داخل تطبيقات البنوك وصلاحيات إمكانية الوصول، مع بنية تحكم عبر Firebase وتلغرام. مؤشرات: asankhodroo[.]shop asan-khodro.store naftyar.info LockTouch.json.
• SHADOW#REACTOR → Remcos RAT (ويندوز): سلسلة متعددة المراحل تبدأ بسكريبت VBS يتلوه PowerShell في الذاكرة وجلب مراحل مخفية عبر ملفات نصية (‘qpwoe64.txt’/’qpwoe32.txt’) مع حماية عبر .NET Reactor، وتنفيذ نهائي عبر MSBuild.exe.

توصيات

• حذف أي تطبيق تيليجرام غير رسمي، وتفعيل Google Play Protect، وتغيير كلمات المرور والرموز البنكية عند الاشتباه.
• مراقبة العمليات الحساسة على ويندوز (wscript.exe وpowershell.exe وMSBuild.exe) وتفعيل سياسات منع تنفيذ السكريبتات غير الموثوقة.
• في بيئات لينكس السحابية: تطبيق مبدأ أقل امتياز، تدوير مفاتيح الوصول بانتظام، وتفعيل مراقبة السجلات والشبكة لرصد نشاط VoidLink.

تصيّد وهندسة اجتماعية

• تصيّد بالتزييف العميق: استخدام صور/فيديو/أصوات مزيفة لطلب تحويلات مالية أو بيانات حساسة، مع محاولات لتجاوز المصادقة متعددة العوامل.
• PDF خبيثة → تثبيت أدوات RMM شرعية (Syncro وScreenConnect وNinjaOne وSuperOps) عبر روابط مزيفة وتوقيعات رقمية صحيحة لتفادي الكشف.
• تصيّد عبر رموز QR في التعليم: إعادة توجيه لمواقع سرقة الدخول أو تحميل برمجيات خبيثة؛ مؤشر: ucpathidproxyca.com.
• انتحال لينكدإن في التعليقات: روابط تصيّد لجمع بيانات الدخول؛ مؤشرات: very1929412.netlify.app very128918.site.
• هجمات BitB: نوافذ تسجيل دخول مزيفة داخل الصفحة لخداع المستخدمين وسرقة الاعتمادات.

توصيات

• عدم فتح مرفقات/روابط غير متوقعة، والتحقق من النطاق قبل إدخال بيانات، وتفعيل المصادقة الثنائية.
• تفعيل تصفية بريد متقدمة قادرة على تحليل الصور/رموز QR، ومراقبة تثبيت أدوات RMM الجديدة.
• الانتباه لخصائص نافذة الدخول: تجاهل أي نافذة لا يتعرف عليها مدير كلمات المرور أو لا يمكن سحبها خارج المتصفح.

سرقة بيانات الدفع عبر Magecart

• حملة نشطة منذ يناير 2022 تزرع JavaScript خبيثاً في صفحات الدفع لإنشاء نموذج وهمي مطابق للأصلي، تجمع بيانات البطاقة ثم تُظهر خطأ مزيفاً لإعادة المحاولة.
• إرسال البيانات المسروقة إلى خوادم خارجية مثل cdn-cookie.com وlasorie[.]com، مع إخفاء الشيفرة وتعطيلها تلقائياً عند رصد مسؤول الموقع.

توصيات

• للأصحاب: فحص الشيفرات الخارجية بانتظام، تطبيق سياسات CSP، واستخدام WAF ومراجعة صفحات الدفع.
• للمستخدمين: مراقبة كشوف البطاقات، وتجنب إعادة إدخال البيانات عند ظهور أخطاء مفاجئة، ويفضل استخدام بطاقات افتراضية.

تعريض البيانات في Salesforce بسبب الإعدادات

• أداة مفتوحة المصدر AuraInspector تساعد مديري Salesforce على اكتشاف سوء إعدادات الوصول في إطار Aura لمواقع Experience Cloud، والتي قد تتيح لغير المصرح لهم الوصول لسجلات حساسة عبر طرق مثل ‘getItems’ أو واجهة GraphQL API.

توصيات

• فحص المواقع باستخدام AuraInspector، وتقييد صلاحيات الضيوف، ومراجعة إعدادات التحكم في الوصول، وتعطيل واجهات API غير الضرورية.