ملخص تهديدات الأمن السيبراني01-04-2026

يوم حافل بحملات تصيّد وهجمات سلسلة توريد طالت حسابات مؤسسية وبيئات سحابية، مع ثغرات حرجة تستلزم تحديثات فورية. برزت تكتيكات فدية لتعطيل الحماية قبل الشيفرة الخبيثة، وتحذيرات متسارعة بشأن تهديد كمّي لتشفير العملات الرقمية.

حملات تصيّد وبرمجيات خبيثة

• هجمات رش كلمات المرور على Microsoft 365 مرتبطة بإيران: استهدفت مئات الجهات في إسرائيل وأكثر من 25 جهة في الإمارات، مع تأثر جهات في السعودية. استخدم المهاجمون عناوين من Tor وVPN وانتحال وكيل مستخدم قديم لجمع معلومات حساسة عبر اختراق البريد.
  • مؤشرات: 185.191.204.X 169.150.227.X Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)
• خدمة EvilTokens لتصيّد حسابات مايكروسوفت: استغلال تدفق رمز الجهاز OAuth بسرقة رموز الوصول والتحديث عبر خداع الضحية لإدخال رمز جهاز المهاجم. استهدفت وظائف المالية والموارد البشرية واللوجستيات مع حالات مؤكدة في الشرق الأوسط.
  • مؤشرات: /api/device/start /api/device/status/ X-Antibot-Token
• احتيال ضريبي ينشر برمجيات خبيثة: رسائل تنتحل جهات ضرائب أو شركات استثمار لتثبيت أدوات تحكم عن بُعد ومرسِلات بيانات، واستهداف موظفي الموارد البشرية لسرقة نماذج حساسة.
• برمجية ResokerRAT على ويندوز: تحكم كامل عبر Telegram Bot API، قتل عمليات المراقبة، التقاط شاشات، وتعطيل UAC.
  • مؤشرات: 7a1d6c969e34ea61b2ea7a714a56d143 Resoker.exe 149.154.166.110
• رسائل وتطبيقات مزيفة تستهدف الإسرائيليين: دعوات لتحميل تطبيقات ملاجئ مزيفة تقود لسرقة بيانات، مع هجمات wiper ومسح بيانات واختراق كاميرات، ونسبتها مجموعات مرتبطة بإيران.
• تصعيد وتهديدات إيرانية ضد شركات تقنية أمريكية في المنطقة: إعلان نية بدء هجمات إلكترونية على شركات كبرى وذكر تعطل خدمات بعد استهداف مراكز بيانات بطائرات مسيرة في الخليج.

توصيات

• تفعيل المصادقة المتعددة وتغيير كلمات المرور الضعيفة ومراقبة سجلات الدخول وحظر عناوين Tor وVPN المشبوهة.
• عدم إدخال أي رمز جهاز يصل عبر قنوات غير موثوقة، وإلغاء رموز التحديث عند الشك.
• تجاهل الرسائل الضريبية غير المتوقعة، وعدم فتح الروابط أو المرفقات، ورصد أي تثبيت RMM غير معروف.
• عدم تثبيت تطبيقات من روابط الرسائل النصية؛ اعتماد متاجر رسمية فقط.

سلسلة التوريد وبيئات التطوير

• TeamPCP تستهدف مطوري البرمجيات والسحابة: إدراج برمجيات خبيثة في أدوات وحزم مفتوحة المصدر لجمع رموز وصول وأسرار، والوصول إلى AWS وAzure وسرقة بيانات من S3 وSecrets Manager؛ تأثرت مشاريع مثل LiteLLM وTelnyx.
• تنفيذ غير موثوق عبر مسارات موثوقة في لينكس وCI/CD: إعادة تعيين git tags في Trivy لتنفيذ شفرة خبيثة، وتهيئة npm لتنفيذ سكربتات تلقائياً عند اختراق هوية الناشر، وإمكان تزوير مؤلف وتواريخ Git بما يكشف أسراراً أثناء التنفيذ.
• اختراق بيئة تطوير Cisco: تسلل عبر سلسلة توريد Trivy وGitHub Actions وسرقة مفاتيح AWS ونسخ أكثر من 300 مستودع، بعضها لعملاء مؤسسيين.

توصيات

• تدوير جميع الأسرار والرموز ومفاتيح الوصول، ومراجعة الصلاحيات وتفعيل المصادقة المتعددة.
• تثبيت المراجع باستخدام commit SHA بدلاً من tags، والتحقق من توقيعات الالتزامات.
• تعطيل سكربتات npm التلقائية: npm config set ignore-scripts true
• تنفيذ الأكواد داخل حاويات معزولة مثل Podman، وعدم تصدير متغيرات البيئة الحساسة عالمياً.
• التحقق عبر checksums مثل sha256sum قبل التنفيذ، وتحديث جميع الحزم والأدوات.

ثغرات وتحديثات عاجلة

• Citrix NetScaler (حرجة): تسريب معلومات من الذاكرة وسرقة معرفات جلسات الإدارة دون مصادقة، والاستغلال جارٍ. الثغرة: CVE-2026-3055.
• Windows Storage LPE: تصعيد محلي لصلاحيات النظام عبر تحميل DLL خبيثة من سجل المستخدم؛ نُشر إثبات مفهوم. الثغرة: CVE-2026-21508.
• libpng: ثغرتان عاليتي الخطورة قد تؤديان لتنفيذ عن بُعد أو تسريب بيانات. الثغرات: CVE-2026-33416 CVE-2026-33636.
• Vim وEmacs: تنفيذ أوامر ضارة عند فتح ملفات معدّة خصيصاً؛ إصلاح Vim في 9.2.0272، وثغرة Emacs غير مصححة بعد. مؤشرات: Vim <= 9.2.0271 Emacs (آخر إصدار).
• GIGABYTE Control Center: تحكم كامل عبر الشبكة عند تفعيل «الاقتران». الثغرة: CVE-2026-4415.
• macOS Tahoe 26.4: تنبيه يمنع لصق أوامر خبيثة في Terminal للتصدي لهجمات ClickFix.
• iOS 18: تحديث أمني ضد أداة DarkSword التي تستغل مواقع مخترقة للتحكم عن بعد.

توصيات

• تحديث Citrix NetScaler فوراً والتحقق من الجلسات والسجلات.
• تحديث ويندوز عبر Windows Update لسد CVE-2026-21508.
• تحديث libpng إلى 1.6.56 أو 1.8.0؛ وعلى ARM تعطيل Neon عند التعذر: -DPNG_ARM_NEON_OPT=0
• تحديث Vim إلى 9.2.0272 وتجنب فتح ملفات أو أرشيفات مجهولة في Emacs حتى صدور تصحيح.
• تحديث GIGABYTE GCC إلى 25.12.10.01، وتعطيل «الاقتران» إن لم تكن هناك حاجة.
• تحديث macOS إلى 26.4 والامتناع عن لصق أوامر غير معروفة في الطرفية.
• تحديث أجهزة iOS 18 أو الانتقال إلى iOS 26.

هجمات الفدية وتطور الابتزاز

• تعطيل الحماية قبل التشفير: استغلال أدوات ويندوز شرعية وسواقات قديمة مثل PROCEXP.SYS لتعطيل AV وEDR قبل نشر فديات مثل LockBit وMedusaLocker.
• حماية Google Drive: ميزات اكتشاف واسترجاع ضد الفدية تعتمد نموذج ذكاء اصطناعي؛ توقف المزامنة وتتيح استعادة جماعية للحالة السليمة.
• تطور التكتيكات: اعتماد على حسابات شرعية وأدوات إدارية مثل RDP وPowerShell وPsExec؛ 40٪ من الوصول الأولي عبر التصيد؛ مجموعة Qilin نشطة والقطاعات الأكثر استهدافاً هي التصنيع والخدمات التقنية والمهنية.
• Leak Bazaar: خدمة لمعالجة وبيع البيانات المسروقة من هجمات الفدية، ما يزيد فرص الابتزاز وإساءة الاستخدام.

توصيات

• تقييد وتشديد سياسات تشغيل الأدوات الخطِرة وتمكين الحماية الذاتية لبرامج الأمن والتحكم بالتطبيقات.
• مراقبة الأنشطة غير المعتادة، وتقوية النسخ الاحتياطية والاختبار الدوري لخطط الاستجابة.
• تحديث Google Drive for Desktop إلى الإصدار 114 أو أحدث وضبط سياسات Workspace المناسبة.

تهديدات التشفير الكمي للعملات الرقمية

• تحذير متسارع: أبحاث من Google خفّضت متطلبات كسر تشفير المنحنيات البيضاوية بنحو 20 مرة، مع إمكانية استخراج المفاتيح خلال دقائق على أجهزة كمومية متقدمة، وجرى استخدام إثبات معرفة صفرية للتحقق من النتائج دون كشف التفاصيل.
• نطاق التأثير: تهديد مباشر لبيتكوين وإيثريوم ومعظم الأنظمة المعتمدة على ECC، مع تعرض خاص للمحافظ القديمة وغير النشطة وإمكان استهداف المعاملات الجارية أو المفاتيح المكشوفة.
• مستجدات بحثية إضافية: دراسات تشير لإمكان كسر ECC-256 بأطر موارد أقل بكثير، بعضها لم يخضع للتحكيم العلمي بعد.

توصيات

• تجنب إعادة استخدام العناوين ومراقبة تحديثات الشبكات.
• الاستعداد للانتقال إلى تشفير مقاوم للكم والضغط على المنصات لاعتماده عند توفره.