ملخص تهديدات الأمن السيبراني07-03-2026

يوم حافل باستغلال ثغرات حرجة وحملات تصيّد عدوانية عبر منصات متعددة. برزت هجمات تستغل عيوبًا في حلول الشبكات ونظام iOS، إلى جانب عمليات خداع تدفع المستخدمين لتنفيذ أوامر أو تسجيل أجهزتهم لدى مهاجمين. كما تواصل مجموعات تجسّس استهداف مؤسسات ومستخدمين عبر أدوات خبيثة مخصصة.

ثغرات تحت الاستغلال

• Cisco Catalyst SD-WAN Manager (vManage): ثغرتان خطيرتان تحت هجوم نشط؛ الأولى تسمح بالكتابة فوق ملفات على النظام للمهاجم المصادَق، والثانية تتيح رفع الصلاحيات إلى مستخدم DCA. الثغرات: CVE-2026-20122، CVE-2026-20128.
• iOS: ثلاث ثغرات استُخدمت ضمن أداة اختراق متقدمة تُعرف باسم Coruna لاستهداف أجهزة بنُسخ من iOS 13 حتى 17.2.1، بهجمات شملت تجاوز الحماية وتنفيذ تعليمات برمجية عن بُعد واستهداف مستخدمي العملات الرقمية. الثغرات: CVE-2021-30952، CVE-2023-41974، CVE-2023-43000.

توصيات

• تحديث Cisco vManage فورًا إلى نسخ مُصحَّحة، وتقييد الوصول الإداري ومراجعة سجلات تغييرات الملفات وصلاحيات DCA.
• تحديث iOS إلى الإصدار الأحدث (يفضَّل 17.3 أو أحدث)، وتفعيل «وضع القفل» و«التصفّح الخاص» عند الحاجة، وتجنّب الروابط والمواقع المشبوهة.

تصيّد وهندسة اجتماعية عبر الحواسيب

• حملة ClickFix على ويندوز: خداع الضحايا لفتح «Windows Terminal» ولصق أوامر PowerShell مشفَّرة تنزّل برمجية Lumma Stealer لسرقة كلمات المرور وبيانات Chrome وEdge، وتعديل إعدادات الحماية.
• صفحة تحديث Google Meet مزيفة على ويندوز: زر «تحديث الآن» يفعّل ms-device-enrollment: لتسجيل الجهاز في نظام إدارة أجهزة يتحكم به المهاجم، مع قدرة على تثبيت/إزالة برامج وتغيير الإعدادات وقراءة الملفات وقفل/مسح الجهاز.
  
  المؤشرات: tnrmuv-api.esper[.]cloud، updatemeetmicro[.]online، [email protected]، 7efe89a9-cfd8-42c6-a4dc-a63b5d20f813، 4c0bb405-62d7-47ce-9426-3c5042c62500.
• موقع مزيف لتثبيت CleanMyMac على macOS: SHub Stealer يُنزَّل عبر أمر في «Terminal»، يسرق Keychain، بيانات المتصفحات، محافظ العملات (Exodus، Atomic Wallet، Ledger Wallet، Ledger Live، Trezor Suite)، وجلسات تيليجرام؛ يثبّت نفسه كخدمة نظام باسم com.google.keystone.agent.plist لتنفيذ أوامر عن بُعد. المؤشرات: cleanmymacos[.]org، res2erch-sl0ut[.]com، wallets-gate[.]io.
• مثبّتات OpenClaw مزيفة على GitHub: توزيع Vidar لسرقة المعلومات وGhostSocks لتحويل الجهاز إلى عقدة بروكسي، بعد الترويج عبر نتائج بحث. المؤشرات: Vidar، GhostSocks، مستودعات وهمية باسم openclaw-installer.
• مواقع مزيفة لتثبيت Claude Code: صفحات مطابقة للأصل تُحمّل Amatera Stealer لسرقة كلمات المرور ومحافظ العملات وبيانات المتصفح؛ استضافة على منصات شائعة تزيد صعوبة الاكتشاف. المؤشرات: claude-code-cmd.squarespace.com، wriconsult.com، Amatera Stealer.

توصيات

• عدم لصق أو تنفيذ أي أوامر في «Windows Terminal» أو «PowerShell» أو «Terminal» من مصادر مجهولة.
• على ويندوز: ضبط سياسات تمنع تسجيل الأجهزة لدى خوادم MDM غير مصرح بها؛ فصل أي حساب عمل/مدرسة غير معروف من «الوصول للعمل أو المدرسة».
• على macOS: فحص ~/Library/LaunchAgents/ وحذف com.google.keystone.agent.plist إن وُجد؛ حذف GoogleUpdate.app من ~/Library/Application Support/Google/ إذا لم تُثبِّته يدويًا.
• في جميع الحالات: فصل الجهاز عن الإنترنت عند الاشتباه، فحص شامل ببرنامج حماية موثوق، تغيير كلمات المرور من جهاز نظيف، وتفعيل التحقق بخطوتين.

تجسّس واستهدافات موجّهة

• تطبيق طوارئ مزيف على أندرويد في إسرائيل: توزيعه عبر رسائل SMS تنتحل خدمة إنذار رسمية؛ يسرق الرسائل والموقع وجهات الاتصال، وينشئ شاشات تصيّد لسرقة كلمات المرور والرموز، ويستخدم شهادات مزوّرة ويبدأ تلقائيًا بعد إعادة التشغيل.
• مجموعة Seedworm (MuddyWater): هجمات على منظمات في الشرق الأوسط والولايات المتحدة باستخدام خلفيات جديدة مثل Dindoor (تعتمد على Deno) وFakeset (تعتمد على Python)، موقَّعة بشهادات مزوّرة، مع تركيز على سرقة البيانات باستخدام أدوات مثل Rclone وطرق تسلّل متعددة؛ استهدفت قطاعات الدفاع والصحة والطيران والحكومات.

توصيات

• على مستخدمي أندرويد: تثبيت التطبيقات من المتاجر الرسمية فقط؛ حذف أي تطبيق مشبوه وفحص الجهاز.
• على المؤسسات: مراجعة سجلات الدخول والحوادث، تفعيل التحقق بخطوتين، وتصيّد الأدلة على استخدام غير مصرّح لـ Rclone وبيئات Deno/Python داخل الشبكة.