ملخص تهديدات الأمن السيبراني31-03-2026

يوم مزدحم بهجمات سلسلة توريد وثغرات حرجة واستهدافات تصيّد متقدمة، مع تسريبات وأدوات فدية مكشوفة. برزت حملة TeamPCP باختراقات PyPI وتحوّلها إلى الفدية، فيما سُجل استغلال نشط لثغرات في BIG-IP وFortiClient EMS. كما تصاعد استهداف iOS وروّج المهاجمون لتقنيات هندسة اجتماعية وبدائل تنفيذ تتجاوز الرصد.

سلاسل التوريد والاختراقات

  • PyPI Telnyx: اختراق سلسلة توريد استهدف مكتبة Telnyx Python SDK بالإصدارات 4.87.1 و4.87.2 عبر حمولة خبيثة مخفية في ملف WAV لسرقة كلمات المرور ومفاتيح SSH وبيانات الاعتماد السحابية ومحافظ العملات، مع بقاء دائم على ويندوز وجامع جلسات على ماك/لينكس. رُبطت العملية بحملة TeamPCP واستخدمت تشفير RSA لإرسال البيانات.
  • تحديثات TeamPCP: تحقيق محتمل لدى Databricks بسبب سرقة بيانات اعتماد؛ تشغيل مسارين للفدية (CipherForce وVect)؛ نشر LAPSUS$ لبيانات AstraZeneca بحجم 3GB؛ تأثر بنية ownCloud بثغرة CVE-2026-33634 دون تسريب لبيانات العملاء؛ لا هجمات npm/OpenVSX جديدة منذ 27 مارس.

المؤشرات الفنية Telnyx:

telnyx==4.87.1
telnyx==4.87.2
83.142.209.203:8080
checkmarx.zone
X-Filename: tpcp.tar.gz

توصيات

  • إزالة الحزمة المصابة وافتراض الاختراق، تدوير جميع الأسرار وبيانات الاعتماد، وفحص الأنظمة بحثاً عن مؤشرات الإصابة.
  • تثبيت الاعتمادات بالتجزئة hash pinning ومراجعة مسارات CI/CD، وتعطيل التحديثات التلقائية غير المختبرة.

ثغرات حرجة وتحديثات أمنية

  • F5 BIG-IP APM: ثغرة RCE حرجة CVE-2025-53521 تُستغل لنشر webshells. تؤثر على الإصدارات 17.5.0–17.5.1 و17.1.0–17.1.2 و16.1.0–16.1.6 و15.1.0–15.1.10؛ أُصلحت في 17.5.1.3 و17.1.3 و16.1.6.1 و15.1.10.8.
  • FortiClient EMS: حقن SQL حرِج CVE-2026-21643 يُستغل فعلياً. تقارير ذكرت تأثيراً على 7.4.4 عند تفعيل وضع multi-tenant، وأشير إلى استغلال غير موثق عبر طلب إلى المسار /api/v1/init_consts ضمن 7.4.0–7.4.4 مع آثار وصول لبيانات وحركة جانبية؛ أُصلح في 7.4.5. مؤشرات سجلات تشمل استخدام pg_sleep.
  • strongSwan: ثغرة تعطيل خدمة CVE-2026-25075 بسبب integer underflow في EAP-TTLS تؤثر على 4.5.0 حتى 6.0.4؛ الحل التحديث إلى 6.0.5 أو تعطيل EAP-TTLS.
  • Smart Slider 3 لووردبريس: CVE-2026-3098 تسمح بقراءة ملفات حساسة من أي مستخدم مسجّل؛ التأثير حتى 3.5.1.33 وأُصلحت في 3.5.1.34.
  • Windows: رفع صلاحيات محلي CVE-2025-59512 عبر مهمة Consolidator يؤثر على إصدارات من Windows 7 حتى 11 وServer؛ تم تصحيحه في نوفمبر 2025.
  • ChatGPT: ثغرة تسريب بيانات عبر قناة DNS من حاوية التنفيذ، استغلت عبر تطبيقات GPT طرف ثالث لتسريب معلومات حساسة؛ أُصلحت في 20 فبراير 2026.
  • OpenAI Codex: حقن أوامر سمح بسرقة رموز OAuth لـ GitHub عبر أسماء فروع بترميز Unicode، مع تخزين بيانات الدخول محلياً في auth.json.

توصيات

  • التحديث العاجل لـ BIG-IP وFortiClient EMS وstrongSwan وSmart Slider 3 وWindows.
  • تقييد الواجهات الإدارية للإنترنت ومراجعة السجلات بحثاً عن نشاط غير معتاد وملفات أو تواقيت معدّلة.
  • مراجعة صلاحيات GitHub وحذف الرموز القديمة وتفعيل المصادقة الثنائية.

التصيّد والهندسة الاجتماعية

  • استهداف iOS عبر DarkSword: مجموعتا Star Blizzard/TA446 نفّذتا حملات تصيّد بسلاسل استغلال Safari وRCE وPAC bypass لسرقة بيانات الاعتماد واستهداف iCloud. رُصدت نطاقات ضارة مستخدمة في السلسلة. 
    escofiringbijou.com
motorbeylimited.com
bridetvstreaming.org
DarkSword
GhostBlade
  • هجمات الدومين المتشابه Homoglyph: تسجيل نطاقات تحاكي العلامات الأصلية لاستدراج الضحايا إلى صفحات دخول مزيفة ونشر برمجيات خبيثة، مع ثغرات فحص للنصوص المختلطة.
  • ClickFix بأسلوب بديل: استغلال rundll32 وWebDAV لتجاوز رصد PowerShell عبر أوامر يدفع المهاجم الضحية لتنفيذها، ثم تحميل SkimokKeep والعمل في الذاكرة. 
    rundll32.exe \\ser-fluxa.omnifree.in.net@80\verification
rundll32.exe \\data-x7-sync.neurosync.in.net@80\verification
rundll32.exe \\mer-forgea.sightup.in.net@80\verification
  • احتيال توظيف مدعوم بالذكاء الاصطناعي وهوية مسروقة لاستهداف شركات تعمل عن بُعد واختراقها. 
    Astrill VPN
Tailscale
PiKVM
  • هجمات مرتبطة بإيران: موجة استهدفت قطاعات صحية وبنية تحتية برسائل تصيّد لأندرويد وروتينات فدية مدمرة ودعاية مدعومة بالذكاء الاصطناعي.

توصيات

  • الحذر الصارم من الروابط والمرفقات؛ عدم تنفيذ أوامر مجهولة في Run أو Terminal.
  • تحديث iOS وتفعيل المصادقة الثنائية لحسابات Apple ومراجعة نشاط iCloud، وحجب النطاقات الضارة على شبكات المؤسسات.
  • مكافحة هجمات Homoglyph بمراقبة تسجيل النطاقات الشبيهة وتطبيق سياسات رفض النصوص المختلطة.

برمجيات خبيثة وأدوات تحكم

  • CrySome RAT: برمجية .NET بقدرات تحكم كامل وسرقة كلمات المرور والكوكيز وتسجيل الشاشة والصوت والمفاتيح، مع AVKiller وآليات بقاء متعددة وخدع تعطيل حماية. 
    f30f32937999abe4fa6e90234773e0528a4b2bd1d6de5323d59ac96cdb58f25d
fa896cc8ce13c69f6306eff2a8698998b48b422784053df6bb078c17fe3f04c3
crysome.net
  • CTRL أداة تجسّس على ويندوز: توزَّع عبر ملفات LNK وباورشيل مخفي، تبقى عبر الريجستري والمهام المجدولة، وتخترق جلسات RDP عبر أنفاق FRP. 
    194.33.61.36:7000
109.107.168.18:7000
hui228.ru
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellStateVersion1
DriverSvcTask
ctrlPipe
CVE-2024-6387
CVE-2025-26465
CVE-2025-26466
  • RoadK1ll: أداة حركة جانبية مبنية على Node.js تستخدم WebSocket مخصص لتحويل الجهاز المصاب إلى نقطة عبور داخلية بدون بقاء دائم. 
    Hash: 0f63b7c6b2b6e4e8b5a4f8e1c2c3a1d3
IP: 185.62.57.60

توصيات

  • فحص الأنظمة بمضادات فيروسات محدثة، مراقبة العمليات والمهام المجدولة والريجستري، وتقييد استخدام RDP والأنفاق غير المصرح بها.

حوادث وتسريبات بيانات

  • CareCloud: حادث أمني أثّر على نظام السجلات الطبية الإلكترونية وانقطاع 8 ساعات، والتحقيق جارٍ حول احتمال تسريب بيانات المرضى.
  • تسريب أدوات TheGentlemen: خادم مكشوف استضاف حزمة أدوات الفدية مع بيانات اعتماد ضحايا وتوكنات ngrok وسكربت رئيسي يعطل الأمان وينشر عبر الشبكة ويمسح السجلات. 
    176.120.22.127
12gkRUQNkJyaGkvuDziSq1RGIrwl_4bGyJtv6ez2Hk8Hrd5zvq
22ozoAve91tpILCwKCbRDNz7us8e_2qLk1aLKZoV4Y6TfrcfjK

توصيات

  • مراجعة السجلات، تغيير كلمات المرور، تعطيل أدوات التحكم عن بُعد غير الضرورية، ومراقبة اتصالات ngrok.
  • لعملاء المنصات المتأثرة، متابعة الإشعارات الرسمية وتغيير كلمات المرور ومراقبة أي نشاط دخيل.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون