ملخص تهديدات الأمن السيبراني22-03-2026

يوم شهد تصعيدًا في الاستغلالات الفعلية لسلسلة التوريد والثغرات الحرجة، إلى جانب حملات تصيّد تستهدف منصّات اتصال وخدمات سحابية. فيما يلي أبرز التهديدات الموثّقة وتوصيات الحد من أثرها.

ثغرات واستغلالات حرجة

Quest KACE SMA — CVE-2025-32975

  • ثغرة تُمكّن من تجاوز التحقق وانتحال المستخدمين بلا بيانات دخول وصولًا إلى سيطرة كاملة.
  • استغلال فعلي ضد بعض المؤسسات خاصة قطاع التعليم عبر أنظمة مكشوفة للإنترنت.
  • لا توجد تقارير عن استغلال ثغرات مرتبطة أخرى.
  • المتأثرون: مستخدمو الإصدارات غير المحدثة والمعروضة للإنترنت.
  • الثغرة: CVE-2025-32975

Oracle Fusion Middleware — CVE-2026-21992

  • تنفيذ أوامر عن بُعد دون مصادقة بسبب خلل بمعالجة الطلبات في Fusion Middleware.
  • قد يقود إلى سيطرة كاملة ونشر برمجيات خبيثة أو سرقة هويات.
  • الإصدارات المتأثرة: 12.2.1.4.0 و14.1.2.1.0 من Identity Manager وWeb Services Manager.
  • المتأثرون: المؤسسات التي تستخدم الإصدارات المذكورة.
  • الثغرة: CVE-2026-21992

توصيات

  • تحديث Quest KACE SMA فورًا وتقييد وصول الإنترنت للنظام.
  • تطبيق تصحيحات Oracle العاجلة، وإن كانت الإصدارات غير مدعومة فلتكن الترقية أولًا.

سلسلة التوريد والبرمجيات الخبيثة

اختراق Trivy وتوزيع برمجية سرقة بيانات

  • السيطرة على 75 من 76 علامة إصدار وتحويلها لقناة نشر برمجية سرقة معلومات.
  • البرمجية تعمل قبل الفحص وتسرق بيانات اعتماد من الذاكرة والملفات بما فيها مفاتيح SSH وتوكنات السحابة.
  • على منصات GitHub المستضافة ترفع الصلاحيات لسرقة أسرار أعمق، وعلى الخوادم الذاتية تُستخدم أداة Python لجمع الأسرار.
  • البيانات تُشفّر وتُنقل إلى نطاق خارجي أو عبر آلية بديلة.
  • المتأثرون: من يستخدم Trivy عبر GitHub Actions بعلامات إصدارات مُسمّمة.

CanisterWorm تستهدف مطوري npm

  • استغلال ثغرة في GitHub Actions لخدمة Trivy لسرقة رموز npm والنشر في أكثر من 50 حزمة.
  • عند التثبيت تُجمع رموز npm ويُثبت باك دور بايثون دائم على لينكس عبر systemd باسم خدمة pgmon.
  • اتصال C2 عبر بروتوكول ICP اللامركزي ما يصعّب الإيقاف.
  • انتشار تلقائي عبر إصدار نسخ مصابة في حزم المطورين المتأثرين.
  • المتأثرون: مطورو npm ومستخدمي حزم @EmilGroup و@opengov و@teale.io/eslint-config وغيرها خصوصًا من لديهم رموز مخزنة.

مؤشرات فنية

  • ~/.local/share/pgmon/service.py
  • ~/.config/systemd/user/pgmon.service
  • /tmp/pglog
  • https://tdtqy-oyaaa-aaaae-af2dq-cai.raw.icp0.io/
  • E9b1e069efc778c1e77fb3f5fcc3bd3580bbc810604cbf4347897ddb4b8c163b

توصيات

  • التوقف فورًا عن استخدام علامات الإصدارات في Trivy وتثبيت الإجراء على hash إصدار آمن فقط.
  • تدوير جميع الأسرار وفحص الحسابات لأي تسريب.
  • فحص وجود خدمة pgmon: systemctl --user status pgmon.service.
  • عند وجودها، إيقاف الخدمة وحذف الملفات ذات الصلة واعتبار رموز npm مُسربة ثم إلغاؤها وإصدار رموز جديدة.
  • مراجعة الحزم المنشورة خلال آخر 48 ساعة لرصد تحديثات غير مصرّح بها.

التصيّد والهندسة الاجتماعية

استهداف مستخدمي Signal

  • انتحال دعم Signal برسائل تزعم تسريبًا أو محاولة دخول مشبوهة.
  • خداع الضحية لمشاركة رمز التحقق أو مسح رمز QR ضار لربط جهاز المهاجم.
  • بعد السيطرة يمكن قراءة الرسائل والانضمام للمجموعات وسرقة جهات الاتصال وشن هجمات لاحقة.
  • المتأثرون: مستخدمو Signal خصوصًا الصحفيون والشخصيات العامة والمسؤولون.

استغلال تنبيهات Azure Monitor

  • إنشاء تنبيهات وهمية عبر Azure Monitor باستخدام العنوان الرسمي [email protected].
  • الرسائل تمر اختبارات SPF وDKIM وDMARC وتتضمن تحذيرات رسوم وفواتير وهمية مع أرقام هاتف مشبوهة.
  • الهدف هو دفع الضحية للاتصال وسرقة البيانات أو تثبيت أدوات تحكم عن بُعد.
  • المتأثرون: مستخدمو Microsoft Azure خصوصًا المؤسسات.

توصيات

  • عدم مشاركة رموز التحقق أو مسح رموز QR غير الموثوقة، وتجاهل رسائل دعم مفاجئة.
  • مراجعة الأجهزة المرتبطة بحساب Signal وحذف أي جهاز غير معروف، وتفعيل حذف الرسائل تلقائيًا للمحادثات الحساسة.
  • تجاهل رسائل Azure التي تطلب اتصالًا هاتفيًا أو حلًا ماليًا عاجلًا، والتحقق من صحة التنبيهات عبر منصة Azure مباشرة.
  • عدم مشاركة البيانات أو تثبيت أي برنامج عند الطلب.

مؤشرات وسلوكيات هجومية مرصودة

تم رصد تقنيات تستغل أدوات نظام شرعية وتشفير الاتصالات لتجاوز الدفاعات والتنقل داخل الشبكات.

  • إساءة استخدام Windows Installer لتشغيل برمجيات خبيثة وتسهيل هجمات فدية.
  • اتصالات خارجية مشفرة وحركة مرور غير معتادة قد تشير إلى تحكم عن بُعد أو سرقة بيانات.
  • مسح داخلي عبر المنافذ 135 و445 ومحاولات حركة جانبية.
  • صعوبة الكشف بالوسائل التقليدية والحاجة لمراقبة سلوكية سياقية.

المؤشرات الفنية:

  • Windows Installer misuse
  • outbound encrypted sessions
  • scanning ports 135/445

تقنيات مذكورة:

  • T1203
  • T1046
  • T1105
  • T1571
  • T1546

توصيات

  • عزل الأجهزة المشبوهة فورًا وإجراء فحوصات ببرمجيات مكافحة الفيروسات.
  • مراقبة الشبكة للاتصالات غير المعتادة وتحديث كلمات المرور.
  • تفعيل قدرات المراقبة السلوكية المتقدمة.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون