ملخص تهديدات الأمن السيبراني18-03-2026

يوم حافل بثغرات قيد الاستغلال وتحديثات عاجلة، مع حملات برمجيات خبيثة وسلاسل توريد ضارة تستهدف المطورين والمستخدمين. كما برزت حملات تصيّد متقدمة وانماط DDoS منسّقة تمزج إساءة استخدام واجهات البرمجة مع نشاط البوتات.

ثغرات وتحديثات أمنية

• ثغرة مايكروسوفت وورد (قيد الاستغلال): ثغرة CVE-2026-21514 تسمح بتجاوز الحماية وتنفيذ برمجيات خبيثة دون تنبيه، واستُهدفت بها قطاعات حكومية وصحية وتجزئة وتصنيع في الخليج. ضمن حملة أوسع طاولت منشآت طاقة وتضم مؤشرات إضافية: CVE-2024-30088 CVE-2025-32433 CVE-2024-21762 CVE-2025-59719.
• استغلال كاميرات مراقبة في المنطقة: استهداف كاميرات Hikvision وDahua بعيوب قديمة لعمليات مراقبة وجمع معلومات، مع ثغرات: CVE-2017-7921 CVE-2021-36260 CVE-2023-6895 CVE-2025-34067 CVE-2021-33044. مجموعات مثل MuddyWater وHandala مرتبطة بالنشاط.
• لينكس/AppArmor: إمكانية تبديل قواعد AppArmor المحمّلة في الذاكرة دون تنبيه (مثل USN-8098-1) بما يضعف حماية خدمات مثل nginx وapache وssh والحاويات. مؤشرات: ظهور apparmor=\"REPLACED\" في /var/log/audit/audit.log.
• ويندوز 11 (تحديثات عاجلة): تحديث KB5084897 يعالج مشكلة عرض أجهزة البلوتوث ويشمل تحديث مكدس الخدمة KB5083532. إضافة إلى KB5084597 لإصلاح ثغرات عالية الخطورة في RRAS (لم تُذكر رموز CVE).
• آبل/WebKit: تحديث أمني عبر تحسينات الأمان الخلفية يغلق ثغرة CVE-2026-20643 التي تسمح بتجاوز سياسة Same Origin.
• أندرويد: الإصدار 17.2 يقيّد استخدام «خدمات الوصول» عند تفعيل وضع الحماية المتقدمة (APM) للحد من سوء الاستغلال بواسطة برمجيات مثل DroidLock وAlbiriox.
• أجهزة IP KVM: تسع ثغرات حرجة تمكّن من تحكم كامل وتنفيذ أوامر بامتيازات عالية: CVE-2026-32290 CVE-2026-32291 CVE-2026-32292 CVE-2026-32293 CVE-2026-32294 CVE-2026-32295 CVE-2026-32296 CVE-2026-32297 CVE-2026-32298.

توصيات

• تحديث وورد فورًا لسد CVE-2026-21514 وتفعيل قواعد ASR ومراقبة سلوك العملية.
• تحديث كاميرات Hikvision/Dahua وتغيير كلمات المرور الافتراضية وعزل الوصول من الإنترنت.
• على لينكس: قارن القواعد المحمّلة مع ملفات القرص، راقب أحداث REPLACED، وأعد التحميل عبر sudo apparmor_parser -r /etc/apparmor.d/*.
• تثبيت تحديثات ويندوز 11 الأخيرة (KB5084897، KB5084597)، وتفعيل الحماية على RRAS.
• تأكيد وصول تحديث آبل لـ CVE-2026-20643، وتفعيل APM في أندرويد وتحديث الجهاز.
• تحديث برمجيات أجهزة IP KVM وحجبها خلف VPN وكلمات مرور قوية.

برمجيات خبيثة وسلاسل توريد

• Glassworm/GlassWorm (سلسلة توريد المطورين): نسخ خبيثة رُفعت في 16 مارس 2026 لحزم @aashutoshrathi/phone-number وreact-native-animated-numbers تحتوي ملف install.js ينفذ تلقائيًا على ويندوز، يسرق بيانات متصفحات ومحافظ (MetaMask وTrust Wallet) ورموز npm/GitHub، ويرسلها إلى 45.32.150.251 و217.69.3.152. كما استهدفت الحملة >400 مستودع/حزمة عبر GitHub وnpm وملحقات VSCode/OpenVSX باستخدام رموز Unicode غير مرئية وتعليمات تُحمّل JavaScript ضار من معاملات Solana. مؤشرات: lzcdrtfxyqiplpd، ~/init.json، i.js.
• حزم ثيمات خبيثة في OphimCMS: ست حزم Composer تحت نطاق «ophimcms» تُهرّب jQuery ملغّم لإعادة التوجيه والإعلانات وتعطيل التحليل. الحزم: theme-dy theme-mtyy theme-rrdyw theme-pcc theme-motchill theme-legend. مؤشرات: userstat[.]net، union[.]macoms[.]la.
• Vidar 2.0 يهاجم اللاعبين: ينتشر عبر روابط أدوات غش مزيفة في GitHub وReddit، يسرق محافظ العملات الرقمية ورموز دخول لتطبيقات مثل Discord وSteam وTelegram وبيانات FileZilla، ويستخدم بوتات Telegram وحسابات Steam لأوامر خفية.
• MacSync عبر إعلانات مزيفة: إعلانات مدفوعة تنتحل أدوات AI (مثل Claude) تقود إلى مواقع تطلب أوامر Terminal على macOS لتثبيت MacSync وسرقة كلمات مرور Keychain ومحافظ ومتصفحات؛ وعلى ويندوز تُستغل إضافات VS Code مزوّرة وتشغّل برمجيات عبر PowerShell.
• فدية LeakNet: استغلال تقنية ClickFix للوصول الأولي وتثبيت Deno.exe لتشغيل الحمولة في الذاكرة، مع تحميل DLL خبيث، حركة جانبية عبر PsExec، وتسريب بيانات إلى Amazon S3. مؤشرات: Romeo*.ps1، Juliet*.vbs، jli.dll، PsExec.

توصيات

• تدقيق الاعتمادات البرمجية وفحص سكربتات التثبيت (install.js)، وإزالة الحزم/الملفات المشبوهة (~/init.json، i.js) وتغيير كلمات مرور npm/GitHub والمحافظ.
• إزالة حزم OphimCMS الست وفحص JavaScript لاتصالات مع userstat[.]net وunion[.]macoms[.]la.
• عدم تنزيل أدوات غش أو أدوات مطورين من مصادر غير رسمية؛ تجنّب لصق أوامر مجهولة المصدر في Terminal.
• مراقبة تشغيل Deno.exe خارج بيئات التطوير وتقييد تنفيذ البرمجيات غير الموثوقة.

تصيّد وهندسة اجتماعية

• مواقع VPN مزيفة (SEO poisoning): إنشاء نطاقات شبيهة مثل vpn-fortinet.com وivanti-vpn.org تُسقط ملف ZIP موقّع ظاهريًا يحتوي حصان طروادة؛ وفي حملة مماثلة تُحقن DLLs مثل dwmapi.dll وinspector.dll لتحميل Hyrax infostealer وسرقة بيانات الدخول وملفات إعدادات VPN. مؤشر مسار: %CommonFiles%\Pulse Secure.
• انتحال لعبة Pudgy World: موقع مزيف يقلّد واجهة ربط المحافظ لسرقة كلمات المرور وعبارات الاسترداد، المؤشر: pudgypengu-gamegifts.live.
• إخفاء أوامر خبيثة عبر الخطوط: تقنية تعتمد تغيير الخطوط وCSS لعرض نص ضار للمستخدم بينما تراه أدوات الذكاء الاصطناعي آمنًا، ما يسهّل الاحتيال والهندسة الاجتماعية.

توصيات

• تحميل برامج VPN فقط من المواقع الرسمية؛ إن تم التثبيت من مصدر مشبوه فغيّر كلمات المرور وافحص الجهاز ولا تخزّن بيانات VPN في المتصفحات.
• عدم إدخال بيانات محافظ رقمية إلا عبر الموقع الرسمي للجهة، وإن كُشفَت العبارة فأنشئ محفظة جديدة وانقل الأصول.
• لا تعتمد كليًا على أدوات الذكاء الاصطناعي لكشف مخاطر صفحات الويب؛ راجع التعليمات يدويًا قبل التنفيذ.

هجمات DDoS والبوتات

• رصد نمط هجمات منسّقة تمزج بين DDoS على الطبقات 3/4/7 وإساءة استخدام واجهات API ونشاط البوتات. زيادة ملحوظة في DDoS على مستوى التطبيق خلال 3 سنوات (+104%) وارتفاع إساءة استخدام واجهات البرمجة (+113%). بعض عصابات الفدية (مثل Qilin) أضافت DDoS لأدواتها، واستغلال ثغرات API يضم خوادم مصابة إلى شبكات بوتات DDoS.

توصيات

• تعزيز حماية DDoS متعددة الطبقات، وجرد واجهات API وإغلاق غير الموثّق منها، وتفعيل حلول كشف البوتات.
• تحديث الأنظمة دوريًا وسد ثغرات واجهات البرمجة لمنع ضم الأصول إلى البوتنت.

تسريبات واختراقات

• عقوبات أوروبية على Emennet Pasargad: على خلفية هجمات إلكترونية وتسريبات، منها بيع بيانات أكثر من 200,000 من مشتركي مجلة Charlie Hebdo على الإنترنت المظلم وهجوم على شركة رسائل نصية سويدية تلاه إرسال تهديدات، إلى جانب حملات دعائية وهجمات في أوروبا وإسرائيل.

توصيات

• للمتأثرين بخدمات مستهدفة: راقب الحسابات، غيّر كلمات المرور، واحذر رسائل التصيّد.