ملخص تهديدات الأمن السيبراني26-02-2026

يوم حافل بهجمات تجسس عابرة للقارات اعتمدت قنوات تحكم سحابية خفية، واستغلالات نشطة لثغرات حرجة في منتجات الشبكات، مع حملات تستهدف المطورين والأفراد ببرمجيات خبيثة وتصيد مالي. كما برزت تسريبات وابتزاز، وتحديثات أمنية عاجلة، وتقارير تؤكد تصاعد سرقة بيانات الدخول وهجمات سلسلة التوريد.

تجسس دولي وبنى C2 سحابية

  • حملة تجسس منسوبة لمجموعة صينية استهدفت حكومات وشركات اتصالات في عدة قارات باستخدام برمجية خلفية تعتمد Google Sheets كقناة C2 لإخفاء الحركة. جرى رصد ملفات وعمليات مثل /var/tmp/xapt واسم برمجية Gridtide/GRIDTIDE، مع إشارة إلى وجود بيانات شخصية حساسة على بعض الأنظمة المستهدفة دون تأكيد تسريب. ذُكر تعطيل مشاريع سحابية للبنية المستخدمة وإلغاء الوصول لواجهة Google Sheets API.
  • استغلال ميزة Live Terminal في Cortex XDR كقناة C2 مخفية عبر اعتراض الجلسات وتعديل الشهادات، مع القدرة على تنفيذ أوامر PowerShell وPython وعمليات رفع/تنزيل ملفات، وغياب تحقق متبادل للأوامر. مؤشرات: lrc-ch.paloaltonetworks.com، *.traps.paloaltonetworks.com/operations/socket.

توصيات

  • مراجعة سجلات الدخول والحسابات والمشاريع السحابية، وتعطيل أي وصول أو مشاريع مشبوهة، وتفعيل المصادقة الثنائية.
  • فحص الأنظمة بحثاً عن مؤشرات مثل /var/tmp/xapt واسم Gridtide أو استخدام غير معتاد لـ Google Sheets API.
  • تشديد ضبط الشهادات وأمن الشبكة لمنع إعادة توجيه عملاء XDR واعتراض Live Terminal.

استغلالات نشطة وثغرات حرجة في الشبكات والبنية

  • Cisco Catalyst SD-WAN: ثغرة يوم الصفر CVE-2026-20127 تُستغل منذ 2023 لتجاوز المصادقة وإضافة جهاز نظير خبيث، مع استغلال CVE-2022-20775 بعد خفض الإصدار لرفع الامتيازات إلى الجذر. مؤشرات: مفاتيح SSH غير مصرح بها، سجلات مصادقة أو أحجام سجلات غير معتادة، ورسائل مثل Accepted publickey for vmanage-admin، وملفات /home/root/.ssh/authorized_keys، ومسارات سجلات /var/log/auth.log و/var/volatile/log/vdebug و/var/log/tmplog/vdebug و/var/volatile/log/sw_script_synccdb.log، وأكواد 65938 و65958.
  • FileZen: ثغرة حقن أوامر نظام CVE-2026-25108 تُستغل فعلياً وتسمح بتنفيذ أوامر عشوائية وسيطرة كاملة.
  • Apache ActiveMQ: استغلال CVE-2023-46604 لنشر فدية LockBit عبر RDP بعد تنفيذ أوامر عن بعد ورفع صلاحيات وسرقة اعتمادات؛ مؤشرات: LB3_pass.exe، LB3.exe، AnyDesk.
  • أجهزة توجيه Zyxel: ثغرة حرجة CVE-2025-13942 (RCE عبر UPnP/SOAP) إلى جانب CVE-2025-13943 وCVE-2026-1459؛ بعض الموديلات القديمة بلا تصحيحات.
  • حملة مسح عبر بوت نت يُعرف بـ User-Agent libredtail-http تستهدف خوادم Apache وثغرات CVE-2021-41773 وCVE-2021-42013 للتجنيد كعُقد DDoS أو وكلاء.

توصيات

  • تحديث أنظمة Cisco SD-WAN فوراً، عزل واجهات الإدارة، مراجعة السجلات والمؤشرات المذكورة، وإن لزم توليد ملف admin-tech والتواصل مع الدعم.
  • تطبيق تصحيحات FileZen وActiveMQ، إغلاق المنافذ غير الضرورية، وفحص الشبكة لبرامج تحكم عن بعد غير مصرح بها مثل AnyDesk.
  • تحديث أجهزة Zyxel أو استبدال غير المدعوم، وتعطيل UPnP وWAN إذا لم تكن ضرورية.
  • تحديث Apache، مراقبة السجلات، وتعطيل الخدمات غير الضرورية وفق الإرشادات.

أدوات المطوّرين والهوية: ثغرات وحملات استدراج

  • حملة مستودعات Next.js مزيفة عبر اختبارات توظيف تستغل أدوات المطورين لتنفيذ جافاسكريبت ضار في الذاكرة والاتصال بـ C2 وسرقة أسرار ومتغيرات بيئة. تُستغل ملفات مثل next.config.js و.vscode/tasks.json وjquery.min.js، مع رصد اتصالات نحو نطاقات مثل vercel.app ومسارات /api/errorMessage و/api/handleErrors.
  • Claude Code: ثلاث ثغرات بينها CVE-2025-59536 وCVE-2026-21852 تتيح حقن أوامر عبر إعدادات .claude/settings.json وتجاوز موافقات MCP وتغيير ANTHROPIC_BASE_URL لسرقة مفاتيح API مع وصول كامل لـ workspace.
  • ثغرات OAuth في Entra ID تُمكّن مهاجمين من استغلال تطبيقات موثوقة لمنح صلاحيات بريدية مثل Mail.Read وoffline_access وتجاوز MFA عملياً. مؤشر: 3.89.177.26.

توصيات

  • عدم فتح مشاريع غير موثوقة، تفعيل وضع الثقة المقيدة في VS Code، ومراجعة ملفات التشغيل التلقائي قبل الثقة بأي مشروع.
  • تحديث Claude Code فوراً، وتقليل مشاركة مفاتيح API ومراجعة صلاحيات commit.
  • مراجعة وإلغاء موافقات التطبيقات الخارجية المشبوهة في Entra، تقييد موافقات المستخدمين، وتفعيل مراقبة الصلاحيات.

برمجيات خبيثة وتصيد يستهدفان الأفراد والأجهزة المحمولة

  • Oblivion (أندرويد): برمجية تجسس تنتشر عبر رسالة تحديث مزيفة، تستغل صلاحيات الوصول لقراءة الرسائل وسرقة رموز البنوك وتسجيل كلمات المرور وفتح الجهاز عن بعد، مع عرض شاشة تحديث وهمية أثناء مراقبة الشاشة.
  • SURXRAT (أندرويد): تروجان تحكم عن بعد يُباع كخدمة، يجمع بيانات شاملة ويدعم أوامر عن بُعد ويستخدم قنوات Firebase، وإصدارات حديثة تحمل نموذج ذكاء اصطناعي ضخم (>23GB).
  • تصيد ينتحل بوابة Avast: صفحة مزيفة تطلب نموذج استرداد ثم بيانات البطاقة البنكية وترسلها عبر سكريبت send.php، تستهدف ناطقين بالفرنسية وتستخدم دردشة مباشرة للخداع.
  • صفحة اجتماع Zoom مزيفة تثبّت برنامج مراقبة خفي (Teramind) على ويندوز عبر ملف MSI، مؤشراتها: uswebzoomus[.]com، C:\ProgramData\{4CEC2908-5CE4-48F0-A717-8FC833D8017A}، zoom_agent_x64_s-i(__941afee582cc71135202939296679e229dd7cced)(1).msi.

توصيات

  • عدم الوثوق برسائل تحديث خارج المتجر الرسمي، تفعيل حماية Google Play، ومراجعة صلاحيات التطبيقات.
  • تجنّب إدخال بيانات بطاقتك في مواقع غير رسمية، وإن حدث فإبلاغ البنك فوراً وفحص الجهاز ببرنامج حماية موثوق.
  • في حال الاشتباه بصفحات اجتماعات مزيفة، افحص المؤشرات المذكورة وغيّر كلمات المرور من جهاز نظيف وأبلغ فريق تقنية المعلومات.

تسريبات وفدية وتحديثات وتقارير

  • اختراق بيانات Odido وBen: مجموعة ShinyHunters هدّدت بنشر ملايين السجلات تتضمن الأسماء والعناوين والبريد والهواتف وIBAN ووثائق هوية؛ كلمات المرور غير متأثرة بحسب الإشعار.
  • BlackByte: سلالة فدية بنموذج خدمة تستخدم ثغرات للوصول الأولي (مثل ProxyShell)، وتعطّل الحماية وتحذف نسخ الظل وتشفّر الملفات. مؤشر معروف: SHA256: 8d2581e5cc6e6fdf17558afe025ff84d9023ea636aca74dee39900d8f523e912.
  • إحباط هجوم فدية في الإمارات استهدف البنية الرقمية والقطاعات الحيوية عبر محاولات اختراق ونشر فدية وتصيد وتوظيف أدوات ذكاء اصطناعي.
  • SolarWinds Serv-U: تصحيحات لإصلاح أربع ثغرات خطيرة (CVE-2025-40538، CVE-2025-40539، CVE-2025-40540، CVE-2025-40541) قد تتيح إنشاء مستخدم إداري وتنفيذ أوامر بامتيازات عالية عند وجود وصول إداري مسبق؛ الإصلاح في الإصدار 15.5.4.
  • تحديث أمني لمتصفح كروم (الإصدار 146.0.7680.31/.32) على ويندوز وماك يتضمن إصلاحات مهمة ضمن القناة المستقرة المبكرة.
  • اتجاهات مقلقة: تصاعد سرقة بيانات الدخول واستخدام الذكاء الاصطناعي في التصيد والتحكم عند سرقة مفاتيح API، وأكثر من 56٪ من الثغرات لا تتطلب مصادقة، مع 300,000 بيانات دخول لخدمة محادثة معروضة في الدارك ويب، وازدياد هجمات سلسلة التوريد.
  • رصد استغلالات 2025: قرابة 1٪ فقط من أكثر من 40,000 ثغرة أُبلغ عنها استُغلت فعلياً، أبرزها في SharePoint (CVE-2025-53770، CVE-2025-53771، CVE-2025-49706، CVE-2025-49704) وثغرة React2Shell في React Server Components.

توصيات

  • للضحايا المحتملين في التسريبات: الحذر من مراسلات التصيد، عدم الضغط على روابط غير موثوقة، تدقيق الفواتير، وتفعيل التحقق بخطوتين.
  • تحديث الأنظمة والمنتجات المذكورة فوراً، تفعيل النسخ الاحتياطي خارج الشبكة، ومراقبة تغييرات الريجستري والجدار الناري.
  • تفعيل المصادقة متعددة العوامل، مراجعة الصلاحيات دورياً، ومراقبة ظهور بيانات الاعتماد في الدارك ويب وتغيير كلمات المرور بانتظام.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون