ملخص تهديدات الأمن السيبراني12-03-2026
يوم حافل بهجمات تخريبية منسوبة لدوافع دولة، واستهداف مكثّف للمطورين وسلاسل التوريد، مع نشر تحديثات حرجة وسرد لثغرات مؤثرة. تتوزع المخاطر بين اختراقات وتسريبات، برمجيات خبيثة وتصّيـد، وبوتنت يهدد البنى التحتية.
تسريبات واختراقات بيانات وتعطيل خدمات
- شركة Stryker: مجموعة Handala المرتبطة بإيران ادّعت مسح بيانات أكثر من 200,000 جهاز/خادم وسرقة 50 تيرابايت، مع انقطاع عالمي وإغلاق مكاتب في 79 دولة. أُفيد باستخدام أوامر مسح عن بُعد عبر Microsoft Intune، وعدم وجود مؤشرات على فدية أو عائلات خبيثة معروفة وفق الشركة. المجموعة زعمت أيضاً اختراق Verifone التي نفت التأثر.
- Salesforce Experience Cloud: مجموعة ShinyHunters استغلت صلاحيات الضيف في مواقع عامة عبر أداة Aura Inspector للوصول إلى بيانات حساسة بدون تسجيل دخول. لا ثغرة في المنصة، إنما سوء إعدادات وصول، مع ادعاء استهداف نحو 100 شركة.
- تطبيق Quittr: تسريب بيانات شخصية شديدة الحساسية شمل عادات خاصة وبعضها يخص قُصّر، مع عدم استجابة كافية لإغلاق الثغرة رغم التحذير.
توصيات
- لمتأثري Stryker: فصل الأجهزة عن الشبكة، عدم تشغيل أصول الشركة قبل تعليمات رسمية، مراجعة سياسات Intune، تغيير كلمات المرور، ومراقبة الأنشطة الشاذة.
- لمستخدمي Salesforce Experience Cloud: تقليل صلاحيات الضيف إلى الحد الأدنى، تعطيل التسجيل الذاتي وواجهات API غير الضرورية، ومراجعة سجلات Aura لأي نشاط غير معتاد.
- لمستخدمي Quittr: حذف الحساب فورًا، تجنب مشاركة بيانات حساسة، ورصد محاولات الابتزاز أو التصيّد.
استهداف المطورين وسلسلة التوريد
- حملة مقابلات توظيف مزيفة تُوجّه المرشحين لتشغيل حزم NPM خبيثة تثبّت أبوابًا خلفية مثل Invisible Ferret وFlexibleFerret لسرقة رموز الدخول ومفاتيح التوقيع ومحافظ العملات.
- هجوم PhantomRaven عبر 88 حزمة npm مزيفة تستخدم تبعيات ديناميكية عن بعد لسرقة إعدادات التطوير ورموز CI/CD من GitHub وGitLab وJenkins وCircleCI.
- اختراق سلسلة توريد: مجموعة UNC6426 أدرجت كود QUIETVAULT في حزمة NPM شهيرة، ما أدّى إلى سرقة بيانات الاعتماد واستغلال علاقة الثقة مع AWS عبر OIDC للوصول بصلاحيات مدير خلال 72 ساعة.
- هجوم Slopsquatting: تسجيل حزم خبيثة بأسماء تقترحها أدوات الذكاء الاصطناعي، ما يعرّض المشاريع لتثبيت تبعيات ضارة دون قصد.
- المؤشرات الفنية:
InvisibleFerret FlexibleFerret OtterCookie BeaverTail vercel.app short.gy QUIETVAULT
توصيات
- عدم تشغيل حزم أو أوامر من مجندين مجهولين؛ إجراء الاختبارات داخل بيئات معزولة.
- التحقق اليدوي من الحزم والناشرين، وتعطيل سكربتات post-install حيث أمكن.
- مراجعة أذونات أدوار CI/CD وتطبيق أقل صلاحية، وتدوير جميع رموز GitHub وAWS عند الاشتباه.
تحديثات وثغرات مايكروسوفت
- تحديثات مارس 2026 عالجت 79 ثغرة بينها ثلاث حرجة واثنتان من نوع يوم الصفر كُشفت علنًا. أبرزها تصعيد صلاحيات في SQL Server وهجوم حجب خدمة في .NET، مع توصيف بعض الثغرات بأنها أكثر عرضة للاستغلال ولم يُرصد استغلال نشط عند الإصدار.
- ثغرة يوم الصفر في .NET تسمح بتعطيل الخدمات عن بُعد عبر قراءة خارج حدود الذاكرة عند معالجة Base64Url غير صحيحة، تؤثر على .NET 9.0 و10.0.
- Active Directory Domain Services: ثغرة تصعيد صلاحيات قد تمنح صلاحيات SYSTEM لمهاجم مُصرّح على الشبكة، مع مخاطر على Kerberos والحركة الأفقية.
- Office/Excel: ثغرات تنفيذ أوامر وتسريب بيانات يمكن تفعيلها حتى عبر المعاينة.
- الثغرات:
CVE-2026-21262 CVE-2026-26127 CVE-2026-21536 CVE-2026-26110 CVE-2026-26113 CVE-2026-26144 CVE-2026-25177 CVE-2026-26123
توصيات
- تحديث ويندوز وSQL Server وOffice وSharePoint وAzure و.NET فورًا، مع أولوية للأنظمة الحرجة.
- مراقبة سجلات Active Directory لأي تصعيد مفاجئ للصلاحيات، وتطبيق ضوابط لحركة الشبكة.
- تطبيق ضوابط معدّل الطلبات وتخفيف هجمات DoS على خدمات .NET.
ثغرات بارزة خارج منظومة مايكروسوفت
- pac4j-jwt: ثغرة تجاوز مصادقة تمكّن الوصول غير المصرّح به إلى أنظمة تعتمد المكتبة.
CVE-2026-29000 - n8n: تنفيذ أوامر عن بُعد بعد تسجيل الدخول، تم إصلاحه في الإصدار v1.122.0.
CVE-2025-68613 - WordPress Elementor Ally: حقن SQL غير موثق يؤثر على الإصدارات حتى 4.0.3 ويتطلب اتصال الإضافة بحساب Elementor وتفعيل Remediation؛ تم الإصلاح في 4.1.0.
CVE-2026-2313 - Zombie Zip: إنشاء ملفات ZIP تبدو غير مضغوطة وهي مضغوطة فعليًا لتجاوز الحماية.
CVE-2026-0866
توصيات
- تحديث المكتبات والتطبيقات المتأثرة فورًا، والتحقق من سجلات الوصول لعلامات تجاوز مصادقة.
- لووردبريس: تحديث إضافة Ally إلى 4.1.0 وتحديث نواة ووردبريس إلى 6.9.2.
- عدم فتح أرشيفات ZIP مجهولة المصدر، واستخدام أدوات فحص متقدمة.
برمجيات خبيثة وتصّيـد وبوتنت
- Android Red Alert: تطبيق إنذار صواريخ مزيف يُوزّع عبر رسائل SMS، يعمل كتطبيق شرعي ظاهريًا ويستحوذ على رسائل وجهات اتصال وموقع وحسابات الجهاز ويرسلها إلى خادم تحكم.
ra-backup[.]com api.ra-backup[.]com/analytics/submit.php RedAlert.apk com.red.alertx - BeatBanker على أندرويد: ينتشر عبر صفحات تصيّد تقلد متجر Play ويزرع تعدين Monero وBTMOB RAT مع مراقبة محافظ العملات وتغيير العناوين.
cupomgratisfood[.]shop fud2026[.]com pool.fud2026[.]com:9000 pool-proxy.fud2026[.]com:9000 libludwwiuh.so - برمجيات خبيثة مدعومة بالذكاء الاصطناعي تتكيّف لحظيًا لتجاوز الدفاعات، مع أسماء مرصودة مثل:
PROMPTFLUX PROMPTSTEAL FRUITSHELL QUIETVAULT - تصيّد صوتي Vishing: منصة p1bot تولّد أصواتًا مقنعة وتزوّر أرقامًا لاستدراج الضحايا للكشف عن بيانات حساسة.
- تصيّد ينتحل United Healthcare بعرض فرشاة Oral‑B مجانية عبر روابط معقدة وإخفاء بالـ IPv6‑IPv4.
81.17.142.40 15.204.145.84 redirectingherenow[.]com redirectofferid[.]pro - موجة ابتزاز جنسي عبر البريد: رسائل تدّعي اختراق الكاميرا وتستعرض أحيانًا كلمات مرور مأخوذة من صناديق بريد مؤقتة عامة لابتزاز الضحايا بالدفع.
- تصعيد الهجمات الإيرانية على بنى حيوية، مع استغلال ثغرات كاميرات مراقبة شائعة.
CVE-2017-7921 CVE-2021-33044 CVE-2021-36260 CVE-2023-6895 CVE-2025-34067 CVE-2017-11882 CVE-2020-0688 - بوتنت KadNap يُصيب آلاف أجهزة التوجيه (لا سيما Asus) عبر ثغرات غير مُحدّثة، ويحوّلها لبنية بروكسي مدفوعة؛ إعادة التشغيل لا تزيل العدوى.
- خطر الإبقاء على بيانات الدخول الافتراضية في أجهزة إنترنت الأشياء يُسهّل الاختراق وبناء الشبكات الخبيثة.
root admin 123456 HASSH: 2ec37a7cc8daf20b10e1ad6221061ca5
توصيات
- على الهواتف: عدم تثبيت أي تطبيق عبر روابط SMS أو خارج المتجر الرسمي، مراجعة الصلاحيات، وإزالة التطبيقات المشبوهة فورًا.
- التصيّد: تجاهل العروض والاتصالات غير المتوقعة، عدم الإفشاء الهاتفي للمعلومات الحساسة، والتحقق المستقل من الجهة المتصلة.
- الموجهات وأجهزة إنترنت الأشياء: تحديث البرمجيات الثابتة، تغيير كلمات المرور الافتراضية، تعطيل الوصول عن بُعد غير الضروري، وإجراء إعادة ضبط مصنع عند الاشتباه بالإصابة.
