ملخص تهديدات الأمن السيبراني25-03-2026

يوم حافل بتهديدات متعددة المحاور: هجمات سلسلة توريد على أدوات مطوّرين، حملات تصيّد تتجاوز المصادقة، وتسريبات بيانات بارزة. بالتوازي، صدرت تحديثات حرجة لمعالجة ثغرات واسعة في متصفحات وأنظمة ومنتجات مؤسسية.

اختراقات وتسريبات بيانات

  • اختراق بيانات موظفي HackerOne عبر مزود خارجي: استغلال ثغرة BOLA لدى Navia كشف بيانات نحو 300 موظف، منها أرقام الضمان الاجتماعي وتفاصيل التأمين الصحي. تحذير من احتمال تصيّد واحتيال لاحق. مؤشر: BOLA vulnerability. ما العمل: مراقبة الحسابات المالية، الحذر من رسائل مشبوهة، تفعيل تنبيهات الائتمان.
  • Lapsus$ تزعم اختراق AstraZeneca: سرقة قرابة 3 جيجابايت تشمل مستودعات الشيفرة، أسرار دخول، وبيانات بنية سحابية (AWS/Azure/Terraform) وحزم تطوير. ما العمل: تغيير كلمات المرور وتفعيل المصادقة المتعددة، ومراقبة الحسابات لمن يرتبط عمله بالشركة.

هجمات سلسلة التوريد

  • اختراق أداة Trivy ومكوّناتها: استغلال وصول إلى GitHub Actions لنشر نسخ خبيثة تُنفّذ تعليمات المهاجمين في CI/CD وتسرّب أسرار البيئة وبيانات اعتماد سحابية. أُشير إلى إصدار خبيث v0.69.4 ولاحقًا إصدارات v0.69.5 وv0.69.6؛ التأثير قد يصل إلى 10,000 ضحية منذ 19 مارس 2026. مؤشرات: scan.aquasecurtiy.org، 45.148.10.212، tpcp.tar.gz، trivy-action، setup-trivy. ما العمل: تحديث/تثبيت إصدار آمن (مثل v0.69.3 أو أقل وفق الإرشادات الواردة)، تثبيت مراجع GitHub Actions عبر SHA ثابت، تدوير الأسرار، وفحص السجلات لاتصالات بالمؤشرات.
  • اختراق حزمة LiteLLM على PyPI: نسختان خبيثتان 1.82.7 و1.82.8 تسرقان مفاتيح SSH وأسرار Kubernetes ورموز السحابة مع باب خلفي دائم. مؤشرات: models.litellm.cloud، checkmarx.zone، litellm_init.pth. ما العمل: إزالة النسخ المصابة والرجوع إلى 1.82.6، تدوير جميع الأسرار، ومراقبة الشبكة.

ثغرات وتحديثات أمنية حرجة

  • Chrome 146: إغلاق 8 ثغرات عالية الخطورة في WebAudio ومكوّنات أخرى. CVEs: CVE-2026-4673، CVE-2026-4674، CVE-2026-4675، CVE-2026-4676، CVE-2026-4677، CVE-2026-4678، CVE-2026-4679، CVE-2026-4680. ما العمل: التحديث الفوري.
  • Firefox 149: إصلاح 46 ثغرة بينها مشاكل استخدام بعد التحرير وتجاوز حدود. ما العمل: التحديث الفوري.
  • macOS Tahoe 26.4: معالجة 64 ثغرة بالنظام و7 في WebKit، مع تحديثات للبرمجيات الثابتة. ما العمل: التحديث عبر الإعدادات.
  • Ubuntu systemd: ثغرتان تؤديان لتعطيل الخدمات أو تنفيذ كود بصلاحيات مرتفعة؛ منها CVE-2026-29111. ما العمل: sudo apt update && sudo apt upgrade ثم إعادة التشغيل.
  • TP-Link Archer NX200/NX210/NX500/NX600: ثغرات عالية الخطورة تسمح بتجاوز المصادقة وتنفيذ أوامر. CVEs: CVE-2025-15517، CVE-2026-15518، CVE-2026-15519، CVE-2025-15605. ما العمل: ترقية البرمجيات الثابتة فورًا.
  • Dell Wyse Management Suite (On-Prem): سلسلة استغلال تُمكّن من ترقية الصلاحيات وRCE. CVEs: CVE-2026-22765، CVE-2026-22766. ما العمل: التحديث إلى الإصدار 5.5.
  • Citrix NetScaler ADC/Gateway: ثغرات بينها CVE-2026-3055 قد تسمح باستخراج رموز جلسات من الذاكرة؛ تؤثر على أدوار SAML IDP وGateway/AAA. الإصدارات المتأثرة تشمل 14.1 قبل 14.1-66.59 و13.1 قبل 13.1-62.23 ونسخ FIPS/NDcPP قبل 13.1-37.262. ما العمل: التحديث العاجل وتقييد الوصول الشبكي.
  • PTC Windchill وFlexPLM: ثغرة حرجة CVE-2026-4681 (deserialization) قد تفضي إلى RCE؛ لا ترقيع متاح حاليًا. مؤشرات: GW.class، payload.bin، dpr_*.jsp، طلبات مثل run?p= أو .jsp?c= مع User-Agent غريب. ما العمل: حجب المسار المتأثر أو عزل الأنظمة عن الإنترنت مؤقتًا.

برمجيات خبيثة واستهداف البنية

  • CanisterWorm يضرب بنى Kubernetes في إيران: ينشر DaemonSet خبيث لمسح الملفات وإعادة التشغيل؛ خارج Kubernetes في إيران يُنفّذ حذف شامل للنظام. حركة جانبية عبر SSH ومنفذ Docker 2375 وملفات تمويه مرتبطة بـ PostgreSQL. مؤشرات: tdtqy-oyaaa-aaaae-af2dq-cai.raw.icp0.io، /tmp/pglog، /var/lib/pgmon/، host-provisioner-iran، host-provisioner-std، واتصالات إلى icp0[.]io. ما العمل: تدقيق DaemonSets والخدمات والملفات المذكورة، وإغلاق منفذ 2375.
  • Larva-26002 تستهدف خوادم MS-SQL: برمجية ICE Cloud Client تُزرع بعد اختراق كلمات المرور، وتنقل حمولة api.exe عبر BCP وتتصل بسيرفر C2. ما العمل: كلمات مرور قوية، تقييد الوصول الخارجي، ومراقبة استخدام BCP وcurl وPowerShell.
  • تسريب أداة DarkSword لأجهزة iPhone: تسريب الأداة على GitHub يسهّل استغلال ثغرات iOS 18، مع استهدافات رُصدت في السعودية وتركيا وماليزيا. ما العمل: تحديث الجهاز وتفعيل وضع القفل.
  • هجمات فدية على SQL Server: استغلال منفذ 1433 وضعف المصادقة لتفعيل xp_cmdshell وميزات أخرى ثم تشفير قواعد البيانات وحذف النسخ الاحتياطية خلال وقت قصير. ما العمل: إغلاق المنفذ عن الإنترنت، تعطيل حساب sa والميزات غير الضرورية، وعزل النسخ الاحتياطية واختبار الاستعادة دوريًا.

التصيّد والهندسة الاجتماعية

  • منصة Tycoon2FA تعود بهجمات تجاوز المصادقة: تصيّد يستهدف Microsoft 365 وGoogle عبر تقنيات المهاجم في المنتصف وسرقة ملفات الجلسة. مؤشرات بنية تحتية: 811inboard.aeroprimelink.za.com، awssecrets.saidiosea.dev، twig.lifeworkinc.com، traelyst.dk. ما العمل: التحقق من الروابط، استخدام تطبيق مصادقة رسمي، ومراقبة الجلسات النشطة.
  • تصيّد يستهدف حسابات Signal وWhatsApp: انتحال دعم تقني لطلب أكواد التحقق والسيطرة على الحساب. ما العمل: عدم مشاركة الأكواد، تفعيل قفل التسجيل والتنبيهات، وإعادة تسجيل الرقم فور الاشتباه.
  • احتيال توظيف ينشر PureHVNC: استخدام Google Forms وروابط تنزيل تحتوي على ملفات ZIP مع msimg32.dll الخبيث؛ يتصل بخادم C2 207.148.66.14. مؤشرات: Project_Information_Summary_2026.zip، Company_Project_Interview_Materials.zip. ما العمل: عدم تنزيل ملفات من نماذج وروابط غير موثوقة، والتحقق عبر القنوات الرسمية.
  • برامج مزيفة للتجسس على مستخدمي ويندوز: استدراج الضحايا عبر انتحال صفة دعم أو أصدقاء وتقديم ملفات مثل WhatsApp.exe، Telegram_authenticator.exe، KeePass.exe، مع مؤشرات إضافية: MicDriver، Winappx.exe، MsCache.exe. ما العمل: تنزيل البرمجيات من المواقع الرسمية فقط وتفعيل تحديثات النظام واستخدام المصادقة المتعددة.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون