ملخص تهديدات الأمن السيبراني06-03-2026

يوم حافل بتهديدات متنوّعة: حملات تجسّس نشطة، منصّات تصيّد تتجاوز التحقق بخطوتين، وثغرات حرجة تمس منتجات مؤسسية ومتصفحات وخوادم قواعد بيانات. كما سُجّلت تفكيكات لمنتديات وبُنى تصيّد، مع تحذيرات من سلاسل توريد سحابية واستهدافات لمواقع ومنصات واسعة الانتشار.

اختراقات وتجسّس متقدم (APT)

  • استهداف من MuddyWater شبكات شركات برمجيات وبنوك ومنظمات غير حكومية في إسرائيل وأمريكا وكندا باستخدام أبواب خلفية Dindoor وFakeset، ومحاولات تسريب عبر Rclone تبدأ غالباً بتصيّد أو استغلال ثغرات.
    • المؤشرات: Dindoor Fakeset شهادة 'Amy Cherne' Rclone
    • ما العمل الآن: مراجعة السجلات، تحديث الأنظمة، تفعيل المصادقة الثنائية، مراقبة حسابات التخزين السحابي، وفحص الشهادات الرقمية غير المعروفة.
  • APT36 الباكستانية تستهدف شبكات حكومية هندية ببرمجيات «Vibeware» منخفضة الجودة مطوّرة بالذكاء الاصطناعي، ولغات غير شائعة (Nim/Zig/Crystal)، وسرقة بيانات المتصفحات وخداع عبر ملفات PDF وروابط، مع استخدام Google Sheets وSlack وDiscord للتسيير وتسريب البيانات.
    • ما العمل الآن: تحديث الحماية، الحذر من المرفقات والروابط، مراجعة اختصارات سطح المكتب، وتفعيل المصادقة الثنائية.

التصيد والهندسة الاجتماعية وإضافات المتصفح

  • تفكيك منصة Tycoon 2FA التي قدّمت خدمة اشتراك لتصيّد واسع يحاكي Microsoft 365 وOutlook وGmail بتقنية «المهاجم في المنتصف» لسرقة رموز الجلسة وتجاوز 2FA؛ حُجز أكثر من 330 نطاق تصيّد.
  • إضافات كروميوم خبيثة تنتحل أدوات ذكاء اصطناعي وتسرق سجلات دردشات ChatGPT وDeepSeek وبيانات التصفّح (قرابة 900,000 تثبيت)، وتعيد تفعيل الجمع بعد التعطيل.
    • المؤشرات: deepaichats.com chatsaigpt.com chataigpt.pro chatgptsidebar.pro fnmihdojmnkclgjpcoonokmkhjpjechg inhcgfpbfdjbjogdfjbclgolkmhnooop
    • ما العمل الآن: مراجعة الإضافات وحذف المشبوه، مراقبة الحركة نحو النطاقات المذكورة، تفعيل SmartScreen وسياسات تثبيت الإضافات.
  • صفحات تحميل مزيفة لأداة Claude Code تسلّم برمجية تجسس عبر تشغيل mshta.exe من اختصار/ملف نصي؛ تسرق كلمات المرور وبيانات المتصفح.
    • المؤشرات: it[.]com mshta.exe
    • ما العمل الآن: التحميل من المواقع الرسمية فقط، مراقبة تشغيل mshta المتصل بالإنترنت، وفحص الجهاز بحلول محدثة.
  • مستودعات OpenClaw مزيفة على GitHub مُروّجة عبر نتائج بحث مدعومة بالذكاء الاصطناعي تُثبت برمجيات مثل Atomic Stealer (macOS) وVidar Stealer وGhostSocks (ويندوز).
    • ما العمل الآن: حذف أي مثبتات غير رسمية، فحص الأجهزة، وتغيير كلمات المرور.

ثغرات وتحديثات أمنية حرجة

  • Cisco Secure Firewall Management Center: ثغرتان خطيرتان تسمحان بالحصول على صلاحيات الجذر وتنفيذ أوامر عن بُعد.
    • التفاصيل: عدم أمان في deserialization عبر الويب وتنفيذ سكريبت بسبب عملية نظام غير آمنة عند الإقلاع.
    • الثغرات: CVE-2026-20131 CVE-2026-20079
    • ما العمل الآن: التحديث الفوري للإصدارات الآمنة؛ لا حلول مؤقتة؛ لمستخدمي SCC لا حاجة لإجراء يدوي.
  • Cisco Catalyst SD-WAN: ثغرة يوم-صفر تُستغل بنشاط لتجاوز المصادقة مع إمكانية تصعيد إضافي عبر ثغرة قديمة.
    • الثغرات: CVE-2026-20127 CVE-2022-20775
    • ما العمل الآن: مراجعة السجلات والحسابات والمفاتيح، تطبيق تعليمات Cisco فوراً.
  • Google Chrome: تحديث عاجل يسد 10 ثغرات خطيرة في ANGLE وSkia وPowerVR؛ متاح لإصدارات ويندوز وماك (145.0.7632.159/160) ولينكس (145.0.7632.159).
    • المؤشرات الفنية:
      • CVE-2026-3536
      • CVE-2026-3537
      • CVE-2026-3538
      • CVE-2026-3539
      • CVE-2026-3540
      • CVE-2026-3541
      • CVE-2026-3542
      • CVE-2026-3543
      • CVE-2026-3544
      • CVE-2026-3545
    • ما العمل الآن: تحديث كروم من قائمة المساعدة ثم إعادة التشغيل فوراً.
  • pac4j-jwt (جافا): ثغرة حرجة تسمح بتجاوز التوثيق وانتحال أي مستخدم باستخدام المفتاح العام RSA بسبب فحص null خاطئ.
    • الثغرة: CVE-2026-29000
    • ما العمل الآن: تحديث pac4j-jwt إلى 4.5.9+ أو 5.7.9+ أو 6.3.3+ والتحقق من إعدادات JwtAuthenticator.
  • MongoDB: ثغرة إسقاط خادم عن بُعد في بروتوكول ضغط البيانات OP_COMPRESSED عبر حزمة صغيرة بحجم غير مضغوط وهمي.
    • الثغرة: CVE-2026-25611
    • متأثرة: 7.0 و8.0 و8.2 قبل الإصدارات 7.0.29 و8.0.18 و8.2.4.
    • المؤشرات: اتصالات TCP كثيفة على المنفذ 27017 من نفس IP OP_COMPRESSED بحجم uncompressedSize > 10MB وحجم إجمالي < 100KB ارتفاع مفاجئ في الذاكرة/رسائل OOM
    • ما العمل الآن: التحديث الفوري، إغلاق المنفذ 27017 عن الإنترنت، وتقييد الوصول بقوائم IP.
  • FreeScout: تنفيذ أوامر عن بُعد عبر بريد يتضمن ملف .htaccess بسبب تجاوز فحص أسماء الملفات مع Apache AllowOverride All.
    • الثغرة: CVE-2026-28289
    • ما العمل الآن: التحديث إلى v1.8.207 وتعطيل AllowOverride All.
  • WordPress: إضافة User Registration & Membership تسمح بإنشاء حسابات مدير بلا تسجيل دخول بسبب قبول دور المستخدم من المدخلات.
    • الثغرة: CVE-2026-1492
    • ما العمل الآن: تحديث الإضافة إلى 5.1.4 أو تعطيلها.
  • متصفح Comet AI: ثغرات أتاحت تحكّم بالمساعد وسرقة ملفات وخزنة 1Password بهجوم «PleaseFix» عبر دعوات تقويم؛ أُصلحت في فبراير 2026 وبعض الحمايات تتطلب تفعيلاً يدوياً.
    • ما العمل الآن: تحديث المتصفح وتفعيل إعدادات الأمان مثل «اسأل قبل الملء» في 1Password والحذر من دعوات تقويم غير معروفة.
  • ويندوز: منصة طباعة حديثة تعتمد تعريفاً عالمياً عبر IPP تلغي الحاجة لتعريفات طرف ثالث ذات صلاحيات واسعة، بما يقلل سطح الهجوم.
    • ما العمل الآن: تحديث ويندوز والاستغناء عن تعريفات الطابعات القديمة.

تسريبات وبنى إجرامية

  • إغلاق منتدى LeakBase لبيع البيانات المسروقة مع الاستيلاء على قاعدة بياناته واتخاذ إجراءات ضد 37 من أبرز المستخدمين.
    • ما العمل الآن: تغيير كلمات المرور وتفعيل التحقق بخطوتين لمن تضرر أو استخدم بياناته هناك.
  • اختراق محتمل لسلسلة توريد SaaS: مجموعة ShinyHunters تدّعي اختراق Woflow وسرقة مئات الملايين من السجلات عبر إساءة استخدام OAuth وهويات غير بشرية.
    • ما العمل الآن: مراجعة صلاحيات OAuth وإلغاؤها عند عدم الحاجة، تقييد صلاحيات حسابات الخدمة، المراقبة المستمرة، وتدوير رموز الوصول.

حملات خبيثة على المنصات والبنية

  • Funnull/RingH23: استغلال MacCMS وخوادم GoEdge في شبكات CDN لحقن جافاسكريبت خبيث وإعادة توجيه انتقائي لملايين المستخدمين، مع استخدام نطاق مزيف يحاكي Cloudflare وأدوات إخفاء.
    • المؤشرات: cdnjs.clondflare.com libutilkeybd.so /etc/ld.so.preload /var/adm application/extra/active.php addons.php
    • ما العمل الآن: تدقيق ملفات MacCMS، إزالة تحديثات maccms.la المشبوهة، وفحص مسارات النظام المذكورة؛ استخدام المتغير RING04H لتعطيل Badhide2s مؤقتاً عند الحاجة.

حوادث بارزة

  • ويكيبيديا: دودة جافاسكريبت ذاتية الانتشار عدّلت MediaWiki:Common.js وملفات common.js لمستخدمين وقرابة 3996 صفحة في Meta-Wiki قبل إيقافها.
    • المؤشرات: //basemetrika.ru/s/e41
    • ما العمل الآن: تفقد ملفات السكريبت الشخصية وتفعيل المصادقة الثنائية وتغيير كلمة المرور عند الاشتباه.
  • تطبيق BadeSaba الإيراني: اختراق لإرسال رسائل دعائية إلى ملايين المستخدمين عبر الإشعارات خلال 30 دقيقة.
    • ما العمل الآن: حذف التطبيق مؤقتاً أو تعطيل الإشعارات ومتابعة التحديثات الأمنية.
  • اختراق كاميرات المرور في طهران لأغراض استخباراتية، ما يبرز ضعف أنظمة المراقبة.
    • ما العمل الآن: تحديث أنظمة الأمان وتغيير كلمات المرور الافتراضية وتقييد الوصول.

اتجاهات وتقارير

  • ارتفاع استغلال ثغرات اليوم-الصفر في تقنيات المؤسسات خلال 2025: 90 ثغرة، 43 ضد تقنيات المؤسسات، مع نشاط بارز لمجموعات تجسس حكومية وشركات برامج تجسس.
  • تقرير أسبوعي: رُصدت زيادة في الثغرات المستغلة فعلياً وثغرات أجهزة الشبكات وتضاعف الثغرات المرتبطة بالذكاء الاصطناعي؛ أبرز المؤشرات:
    • الثغرات: CVE-2026-21385
    • SHA256:
      • 96fa6a7714670823c83099ea01d24d6d3ae8fef027f01a4ddac14f123b1c9974
      • 90b1456cdbe6bc2779ea0b4736ed9a998a71ae37390331b6ba87e389a49d3d59
      • 9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
      • 38d053135ddceaef0abb8296f3b0bf6114b25e10e6fa1bb8050aeecec4ba8f55
      • 5bb86c1cd08fe5e1516cba35c85fc03e503bd1b5469113ffa1f1b9e10897f811
  • تصاعد هجمات سيبرانية متبادلة في الشرق الأوسط: حملات تصيّد ورسائل نصية وتطبيقات خبيثة مثل RedAlert APK وهجمات DDoS ومسح بيانات، مع نشاط مجموعات مثل MuddyWater وAPT35 وOilRig وAgrius وبرمجيات RustyWater وWezRAT وMuddyViper.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون