ملخص تهديدات الأمن السيبراني03-04-2026

يوم حافل بثغرات حرجة وهجمات سلسلة توريد، مع موجات تصيّد مدعومة بالذكاء الاصطناعي وحملات برمجيات خبيثة عبر GitHub وواتساب وأندرويد. برزت أيضاً عمليات فدية وابتزاز وتسريبات، إلى جانب استغلال واسع لأطر الويب وخدمات البنية السحابية.

ثغرات حرجة وتحديثات أمنية

  • ثغرة يوم الصفر في متصفح كروم (CVE-2026-5281): خطأ use-after-free في Google Dawn يُستغل عبر صفحات ويب خبيثة ضد جميع متصفحات Chromium. ما العمل الآن: حدّث المتصفح فوراً، وتعطيل الاستخدام مؤقتاً إن لم يتوفر تصحيح.
  • ثغرة TrueConf (CVE-2026-3502): استغلال آلية التحديث لنشر برمجية خبيثة (Havoc) داخل شبكات حكومية؛ تم الإصلاح في Windows 8.5.3 (مارس 2026).
  • F5 BIG-IP APM (CVE-2025-53521): أعيد تصنيفها إلى RCE ويجري استغلالها ضد أنظمة غير محدثة ذات سياسات وصول مفعّلة.
  • Progress ShareFile S.Z.C (CVE-2026-2699 وCVE-2026-2701): تجاوز مصادقة ثم RCE بدون مصادقة على فرع 5.x؛ يلزم التحديث إلى 5.12.4 أو أحدث.
  • Vite (CVE-2025-30208): استغلال ميزة @fs لتنزيل ملفات حساسة بإضافة ?raw??؛ السبب تشغيل Vite مكشوفاً على الإنترنت بدلاً من localhost. مؤشرات: /@fs/../../../../../etc/environment?raw??، /@fs/etc/environment?raw??.
  • حملة React2Shell ضد Next.js (CVE-2025-55182): تنفيذ أوامر عن بُعد بدون مصادقة عبر RSC؛ اختراق 766 خادماً خلال 24 ساعة وسرقة أسرار سحابيّة. مؤشرات: 144.172.102.88، 172.86.127.128، 144.172.112.136، 144.172.117.112، CVE-2025-55182.
  • هجمات Rowhammer على بطاقات Nvidia (GDDRHammer وGeForge): استهداف RTX 3060 وRTX 6000 عبر ضعف GDDR6 مع IOMMU معطّل (افتراضي) وإمكان تصعيد صلاحيات على لينكس؛ تفعيل IOMMU/ECC يخفّض المخاطر.
  • OpenSSH 10.3: يعالج خمس ثغرات مهمة ويغيّر سلوك التوافق مع أنظمة قديمة (منها قضايا تنفيذ عبر أسماء مستخدمين والتحقق من الشهادات وscp).
  • تحديثات Chrome Dev: إصدارات 148.0.7766.0 (أندرويد) و148.0.7766.3 (ويندوز/ماك/لينكس) مع إصلاحات وتحسينات أمنية.
  • ثغرات حرجة في بنية Malwarebytes Privacy VPN وAzireVPN: مشاكل تحقق توقيع وتثبيت عبر PXE (CVSS 9.4 و9.3)؛ إصلاحات جارية ويُنصح بالمتابعة والتحديث.

توصيات

  • تطبيق التصحيحات فور صدورها وتفعيل التحديثات التلقائية للمتصفحات والبنى الحرجة.
  • حصر خدمات التطوير على localhost وعدم كشفها للإنترنت، ومراجعة التعرض العام للخوادم.
  • مراقبة السجلات ومؤشرات الاختراق المذكورة، وتدوير الأسرار عند الاشتباه.

هجمات سلسلة التوريد البرمجية

  • اختراق مكتبة Axios عبر npm: إصدارات خبيثة 1.14.1 و0.30.4 أدرجت تبعية ضارة plain-crypto-js@^4.2.1 لتنفيذ شيفرة أثناء التثبيت، مع اتصال C2 وتثبيت RAT عبر الأنظمة. مؤشرات: hxxp://sfrclak[.]com:8000/6202033، 142.11.206[.]73، plain-crypto-js@^4.2.1. ما العمل الآن: إزالة الإصدارات، التحديث إلى 1.14.0 أو 0.30.3، تعطيل التحديث التلقائي، مراجعة سجلات CI/CD، وتدوير الأسرار.
  • موجة هجمات سلاسل التوريد: استهداف حِزم شهيرة (مثل Trivy وLiteLLM) للوصول إلى بيئات سحابية وسرقة بيانات ونشر RAT ضد قطاعات متعددة بالمنطقة.

توصيات

  • تثبيت إصدارات موثّقة، تفعيل قفل نسخ التبعيات، ومراجعة سلاسل البناء والنشر.
  • مراقبة الاتصالات إلى المؤشرات المذكورة وتفعيل إنذارات تسريب الأسرار.

برمجيات خبيثة وحملات على الأنظمة والأجهزة

  • مستودعات GitHub مزيفة تنتحل «Claude Code»: أرشيفات تحتوي على ملف تنفيذي يثبّت Vidar Stealer وGhostSocks ويظهر ضمن نتائج البحث. مؤشرات: Vidar Stealer، GhostSocks، ClaudeCode_x64.exe. ما العمل الآن: التحميل من المصادر الرسمية فقط، فحص الأجهزة، وتغيير كلمات المرور وتفعيل 2FA.
  • Storm Infostealer الجديدة: تستهدف Chrome/Edge/Firefox ومتصفحات Chromium/Gecko، تفك التشفير من جهة الخادم وتتجاوز حماية Chrome 127، وقد تُمكّن الاستيلاء على الحسابات حتى مع MFA. ما العمل الآن: تسجيل الخروج اليدوي من الحسابات الحساسة، تحديث الحماية، والحذر من تنزيلات مشبوهة.
  • هجوم واتساب عبر ملفات VBS على ويندوز: استغلال أدوات موثوقة مُعاد تسميتها وتعديل UAC مع تنزيلات من خدمات سحابية موثوقة. ما العمل الآن: عدم فتح المرفقات غير المتوقعة، وتفعيل/تحديث مضاد الفيروسات.
  • حملة NoVoice على أندرويد: أكثر من 50 تطبيقاً مزيفاً على Google Play، استغلال 22 ثغرة قديمة للحصول على الجذر، سرقة بيانات واتساب والبقاء حتى بعد إعادة الضبط. ما العمل الآن: تحديث الجهاز، حذف التطبيقات المشبوهة، واستخدام مكافح فيروسات موثوق.
  • Web Shells PHP خفية تتحكم بها الكوكيز على لينكس: شيفرات مخفية لا تنشط إلا مع كوكيز محددة، تشفير/تضليل متعدد الطبقات، ثبات عبر cron وتقييد صلاحيات. مؤشرات: php-fpm، httpd، apache2، nginx، bash، sh، dash، jailshell، base64، echo | base64 -d > file.php، .php، cron، curl، wget.
  • تعطيل أنظمة الحماية عبر Qilin: تحميل جانبي لملف msimg32.dll وتثبيت تعريفات منخفضة المستوى (rwdrv.sys، hlpdrv.sys) لتعطيل EDR. بصمات: MD5: 89ee7235906f7d12737679860264feaf، SHA256: 7787da25451f5538766240f4a8a2846d0a589c59391e15f188aa077e8b888497، SHA256: 16f83f056177c4ec24c7e99d01ca9d9d6713bd0497eeedb777a3ffefa99c97f0، bd1f381e5a3db22e88776b7873d4d2835e9a1ec620571d2b1da0c58f81c84a56.
  • ثغرات إنترنت الأشياء في الواقع: اختراق عبر ماكينة قهوة ذكية بنظام قديم وكلمة مرور افتراضية ومن دون جدار حماية استُخدمت كنقطة تسريب بيانات عند كل استخدام. كما تم توظيف كاميرات مراقبة وأجهزة إنترنت الأشياء (مثل Hikvision وDahua) في التجسس وDDoS ونقاط انطلاق لهجمات فدية. ما العمل الآن: تغيير كلمات المرور الافتراضية، تحديث الأنظمة والبرامج الثابتة، عزل الأجهزة الذكية عن الشبكات الحساسة، والمراقبة المستمرة.

توصيات

  • تفعيل المصادقة الثنائية للوحـات ولوحات الاستضافة، ومراجعة مهام cron، ومراقبة إنشاء/تعديل ملفات PHP.
  • تقييد تحميل التعريفات والبرمجيات، والبحث عن الملفات والبصمات المذكورة.
  • تقسيم الشبكات لأجهزة إنترنت الأشياء واعتماد مبدأ «الثقة الصفرية».

تصيّد وهندسة اجتماعية واستهداف الهوية

  • منصة Tycoon2FA ومجموعة Storm-1747: تصيّد صناعي بجودة أعلى رفع النقرات إلى 54٪ واستهدف قرابة 100,000 منظمة منذ 2023 مع تجاوز MFA وسرقة الرموز؛ تم لاحقاً تعطيل المنصة بعد مصادرة 330 نطاقاً. مؤشرات: Tycoon2FA، Storm-1747.
  • احتيال «Token Giveaway» يستهدف مطوري GitHub: انتحال حسابات مدراء المشاريع وروابط مزيفة لربط المحافظ وسرقة البيانات.
  • حملة تصيّد لفرق المشتريات عبر DOCX/RTF وجافاسكريبت/بايثون تؤدي إلى نشر Cobalt Strike وتثبيت ذاتي عبر «Run». مؤشرات: NKFZ5966PURCHASE، RtkAudUService، SyncAppvPublishingServer.vbs، 2007.filemail.com، 2117.filemail.com.
  • استغلال أنظمة الهوية: إنشاء وصول مستمر عبر صلاحيات زائدة وثغرات في MFA، واحتمال إساءة استخدام وكلاء الذكاء الاصطناعي المرتبطة بالهوية.

توصيات

  • تعزيز الوعي بالتصيّد وتطبيق MFA قوية (مقاومة لهجمات الرجل في الوسط)، ومراجعة إعدادات البريد والحماية السلوكية.
  • التحقق عبر قنوات رسمية، وعدم توقيع معاملات أو ربط محافظ من روابط غير موثوقة، ومراجعة سجلات الدخول والريجستري.
  • تقليل الصلاحيات ومراجعة دورية لامتيازات الهوية والوكلاء، مع مراقبة الأنشطة الشاذة.

فدية وابتزاز وتسريبات بيانات

  • Yurei Ransomware: وصول أولي عبر كلمات مرور مسروقة، استكشاف الشبكة بأدوات مثل SoftPerfect NetScan وNetExec، تشغيل «StrangerThings.exe» عبر «Vecna.ps1»، تعطيل Defender وحذف النسخ الاحتياطية بـ SDelete.
  • Akira Ransomware: تشفير سريع خلال أقل من ساعة، عائدات تفوق 245 مليون دولار حتى سبتمبر 2025، استغلال 0-day وVPN بلا MFA، وتشفير متقطع مع تسريب وابتزاز.
  • ShinyHunters تهدد بتسريب بيانات ضخمة من Cisco: تزعم سرقة أكثر من 3 ملايين سجل من Salesforce وبيانات PII ومستودعات GitHub وحسابات AWS باستخدام vishing وتكاملات خارجية.
  • اختراق شركة PSK Wind Technologies: تسريب وثائق وصور داخلية حساسة تخص البنية العسكرية الإسرائيلية عبر استهداف مورد في سلسلة التوريد.

توصيات

  • تحديث كلمات المرور وتفعيل MFA، ومراقبة أدوات الإدارة عن بُعد غير المعروفة.
  • نسخ احتياطي منفصل واختبار الاستعادة، ومراقبة الشبكة لاستجابات سريعة.
  • مراجعة إعدادات الأمان في Salesforce وAWS، وتدوير بيانات الاعتماد فوراً ومراقبة الأنشطة المشبوهة.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون