ملخص تهديدات الأمن السيبراني28-02-2026

صورة اليوم تكشف تصاعدًا في حملات التصيد ونشاط البرمجيات الخبيثة، إلى جانب ثغرات حرجة طالت منصات وأنظمة واسعة الانتشار. اللافت تزاوج التكتيكات بين سرقة البيانات والابتزاز، وتسارع ملحوظ في وتيرة الاختراقات المدعومة بالذكاء الاصطناعي.

التصيد والهندسة الاجتماعية وتوزيع البرمجيات الخبيثة

• حملة بريد FedEx مزيفة تُسقط DonutLoader ثم XWorm عبر ملف مضغوط (fedex_shipping_document.7z) يحوي ملف .bat، مع حقن shellcode في عملية explorer والاتصال بـ C2 على 204.10.160.190:7003، ومؤشر تجزئة: a02d54db4ecd6a02f886b522ee78221406aa9a50b92d30b06efb86b9a15781f5.
• منصة «1Campaign» تعتمد الإخفاء في إعلانات Google لتمرير صفحات خبيثة وسرقة العملات وبيانات الدخول، مع تمييز الزوار وحجب الباحثين وعمليات VPN.
• تصيد يستهدف مطوري البرمجيات عبر مهام برمجية مزيفة تؤدي إلى تثبيت برمجيات خبيثة عند تشغيل الكود.
• صفحة مزيفة لفحص أمان حساب جوجل تدفع لتثبيت PWA ثم تطبيق أندرويد خبيث يمنح صلاحيات واسعة (إشعارات، جهات اتصال، موقع، حافظة) مع بنية تحتية على google-prism[.]com ومؤشر: 1fe2be4582c4cbce8013c3506bc8b46f850c23937a564d17e5e170d6f60d8c08.

برمجيات خبيثة وبُنى تحكم بعد الاختراق

• حصان طروادة «Steaelite» يجمع بين سرقة البيانات والفدية على ويندوز (سرقة كلمات المرور والرموز وبيانات العملات، تعطيل Windows Defender، مراقبة حيّة، ابتزاز مزدوج، واستبدال عناوين محافظ العملات عند النسخ/اللصق).
• أداة التحكم «Vshell» (بديلة لـ Cobalt Strike) تنتشر في عمليات ما بعد الاختراق وتدعم قنوات TCP/UDP/WebSocket/DNS وتمويه الحركة؛ يُنصح برصد المنافذ العالية مثل TCP/8084 ونشاط DNS/WebSocket غير المعتاد والبحث عن لوحات تحكم Vshell.
• حملة APT37 «Ruby Jumper» لاختراق الشبكات المعزولة عبر وسائط USB وملفات LNK، باستخدام عائلات: RESTLEAF SNAKEDROPPER THUMBSBD VIRUSTASK FOOTWINE مع مستندات طُعم عربية.
• وحدة Go خبيثة تقلّد مكتبة التشفير: github.com/xinfeisoft/crypto، تخزن كلمات المرور في /usr/share/nano/.lock وترسلها، وتثبت باب Rekoobe الخلفي عبر تنزيل sss.mp5 و555.mp5 من img.spoolsv.cc والاتصال بـ 154.84.63.184 على المنفذ 443. مؤشرات: sss.mp5: 4afdb3f5914beb0ebe3b086db5a83cef1d3c3c4312d18eff672dd0f6be2146bc، 555.mp5: 8b0ec8d0318347874e117f1aed1b619892a7547308e437a20e02090e5f3d2da6.
• برمجية «RESURGE» على أجهزة Ivanti Connect Secure تستغل ثغرة يوم صفر CVE-2025-0282 بزرع خلفي بقدرات rootkit/bootkit، مع ملفات: liblogblock.so - 3526af9189533470bc0e90d54bafb0db7bda784be82a372ce112e361f7c7b104، libdsupgrade.so - 52bbc44eb451cb5e16bf98bc5b1823d2f47a18d71f14543b460395a1c1b1aeda، dsmain - b1221000f43734436ec8022caaa34b133f4581ca3ae8eccd8d57ea62573f301d.

ثغرات حرجة وتحديثات أمنية

• OpenClaw: ثغرة CVE-2026-25253 تسمح لموقع خبيث بالتحكم في وكيل الذكاء الاصطناعي عبر WebSocket وتخمين كلمة المرور والوصول لرسائل Slack ومفاتيح API؛ تم الإصلاح في الإصدار 2026.2.25.
• FreeBSD: ثغرة عزل حرجة CVE-2025-15576 تؤثر على 14.3 و13.5، ناتجة عن تفاعل غير آمن بين nullfs ومقابس يونكس ضمن jails متجاورة؛ لا حلول مؤقتة ويوصى بالتحديث وإعادة التشغيل.
• RustFS Console: ثغرة XSS حرجة CVE-2026-27822 عبر رفع HTML بامتداد .pdf وتبديل نوع المحتوى، ما يسمح بسرقة مفاتيح S3؛ يُنصح بالتحديث إلى 1.0.0-alpha.83 وفصل النطاقات وتفعيل رؤوس أمان مثل Content-Security-Policy وX-Content-Type-Options: nosniff.
• ChromeOS: إصدار LTS-138.0.7204.305 يصلح ثغرات عالية الخطورة، بينها: CVE-2026-2441 CVE-2026-0904 CVE-2026-2649 CVE-2026-0902 CVE-2025-37890 CVE-2025-38177 CVE-2025-38000 CVE-2025-38001 CVE-2025-38083 CVE-2025-38350 CVE-2025-38477 CVE-2025-38618 CVE-2025-38617 CVE-2025-38616.

هوية وحسابات: إساءة استخدام المفاتيح وتعبئة بيانات SSO

• هجمات حشو بيانات الاعتماد على أنظمة الدخول الموحد (SSO) خصوصًا على F5 BIG-IP باستخدام بيانات مسروقة من RedLine وRaccoon وVidar، مع مؤشر عنوان IP: 219.75.254.166؛ الاعتماد على إعادة استخدام كلمات المرور وضعف MFA.
• مفاتيح Google API العامة باتت تتيح وصولًا غير مصرّح إلى Gemini AI بعد تفعيل الخدمة؛ عُثر على 2800 مفتاح نشط في شيفرات عامة، ما يعرّض المؤسسات لاستهلاك غير مشروع وتنفيذ عمليات.

اتجاهات وهجمات مدعومة بالذكاء الاصطناعي

• تقارير حديثة تظهر انخفاض متوسط بقاء المهاجم إلى 11 يومًا في 2024، والتحرك الجانبي إلى 34 دقيقة، وسرعة سرقة البيانات إلى 6 دقائق، مع استخدام أدوات مثل BoaLoader. أكثر من نصف ثغرات الفدية كانت «يوم صفر» شملت: CVE-2025-55182 وCVE-2025-53770.
• تحذيرات من زيادة الهجمات التي توظّف الذكاء الاصطناعي، مع إعلان تعطيل حملات خبيثة استغلّت النماذج في التصيد وتطوير البرمجيات الضارة.

تهديدات الأجهزة المحمولة والتجسس

• «Predator» قادر على تعطيل مؤشرات الكاميرا والميكروفون في iOS للتسجيل السرّي بعد اختراق كامل للجهاز.
• تروجان وصول عن بُعد لأندرويد «Oblivion» يُباع بسعر منخفض، يتجاوز الحماية ويسرق البيانات ويبقى خفيًا.

توصيات

• تحديث عاجل للأنظمة المتأثرة: OpenClaw (إلى 2026.2.25)، FreeBSD، RustFS Console (1.0.0-alpha.83)، ChromeOS، وأجهزة Ivanti المتأثرة بـ CVE-2025-0282.
• تشديد حماية الهوية: فرض MFA قوي على SSO، منع إعادة استخدام كلمات المرور، ومراقبة محاولات الدخول والمؤشر 219.75.254.166.
• رفع الوعي ضد التصيد: تجنب الإعلانات المموّلة المشبوهة، عدم فتح مرفقات FedEx المزعومة، وتجاهل صفحات «فحص أمان جوجل» المزيفة والمهام البرمجية غير الموثوقة.
• للمطورين: فحص go.mod/go.sum بحثًا عن github.com/xinfeisoft/crypto، حذفها وتدوير كلمات المرور، والبحث عن sss.mp5 و555.mp5 واتصالات 154.84.63.184 وimg.spoolsv.cc.
• مراقبة الشبكات: رصد المنافذ العالية (مثل TCP/8084) ونشاط DNS/WebSocket الشاذ لاكتشاف Vshell، والتحقق من مؤشرات RESURGE على Ivanti بالملفات والتجزئات المذكورة.