ملخص تهديدات الأمن السيبراني16-04-2026

يوم مزدحم بثغرات حرجة وتحديثات عاجلة إلى جانب حملات تصيّد وبرمجيات خبيثة تستهدف المؤسسات والمستخدمين. برزت إصلاحات واسعة في متصفحات وأنظمة، وتهديدات لسلاسل توريد الذكاء الاصطناعي وووردبريس، إضافة إلى هجمات فدية وتسريبات بيانات وحجم غير مسبوق لشبكات DDoS.

الثغرات والتحديثات الأمنية

  • مايكروسوفت: استغلال نشط لثغرة قديمة في إكسل يسمح بتنفيذ أوامر عن بُعد عبر ملفات معدلة مع ارتباط ببرمجية Trojan.Mdropper.AC، وثغرة تزوير بيانات في SharePoint، ورفع صلاحيات محلي في Defender. التحديث التراكمي لويندوز 11 (KB5083769) يحسّن حماية Secure Boot وملفات RDP ويعالج CVE-2026-26151.
  • الثغرات: CVE-2009-0238، CVE-2026-32201، CVE-2026-33825، CVE-2026-26151
  • Active Directory: ثغرة حرجة تسمح بتنفيذ تعليمات عن بُعد عبر RPC داخل نفس النطاق وتمنح صلاحيات النظام الكاملة.
  • الثغرات: CVE-2026-33826
  • FortiSandbox (فورتينت): ثغرتان حرجتان للتنفيذ عن بُعد وتجاوز المصادقة عبر HTTP وواجهة JRPC API تؤثران على فروع 4.4.x و5.0.x، مع إتاحة أدوات فحص علنية.
  • الثغرات: CVE-2026-39808، CVE-2026-39813
  • FreeBSD: ثغرة RCE عبر NFS تمنح وصول root؛ اكتُشفت ضمن مشروع Glasswing.
  • الثغرات: CVE-2026-4747
  • جوجل كروم: تحديث عاجل للإصدار 147.0.7727.101/102 يُغلق 31 ثغرة (منها حرجة)، مع طرح تحديث Extended Stable 146.0.7680.201.
  • الثغرات: CVE-2026-6296، CVE-2026-6297، CVE-2026-6298، CVE-2026-6299، CVE-2026-6358، CVE-2026-6359، CVE-2026-6300، CVE-2026-6301، CVE-2026-6302، CVE-2026-6303، CVE-2026-6304، CVE-2026-6305، CVE-2026-6306، CVE-2026-6307، CVE-2026-6308، CVE-2026-6309، CVE-2026-6360، CVE-2026-6310، CVE-2026-6311، CVE-2026-6312، CVE-2026-6313، CVE-2026-6314، CVE-2026-6315، CVE-2026-6316، CVE-2026-6361، CVE-2026-6362، CVE-2026-6317، CVE-2026-6363، CVE-2026-6318، CVE-2026-6319، CVE-2026-6364
  • Windows Task Host: ثغرة تصعيد صلاحيات لمرتبة SYSTEM على ويندوز 11 وسيرفر 2025 (مصححة).
  • الثغرات: CVE-2025-60710
  • Raspberry Pi OS: تعديل افتراضي جديد يفرض كلمة مرور مع sudo على التثبيتات الحديثة فقط.

توصيات

  • تحديث ويندوز وOffice وSharePoint وDefender وكروم وFortiSandbox وFreeBSD فوراً، وتطبيق تصحيحات Active Directory.
  • عدم فتح ملفات إكسل غير موثوقة، ومراجعة سياسات RPC داخل النطاق، وحفظ مفتاح استرداد BitLocker قبل تثبيت تحديثات ويندوز.

برمجيات خبيثة وحملات تصيّد

  • HanGhost loader: سلسلة إصابة بدون ملفات تعتمد JavaScript وPowerShell وتحميل حمولة من صورة، مع عائلات مثل PureHVNC وXWorm وMeduza وAgentTesla وPhantom وUltraVNC؛ تستهدف موظفي المالية واللوجستيات.
  • Remcos RAT عبر Google Cloud: صفحات تصيّد على storage.googleapis.com تسرق بيانات الحساب ثم تُنزّل JavaScript يبدأ إصابة متعددة المراحل وتشغيل Remcos عبر PowerShell وRegSvcs.exe.
  • المؤشرات الفنية: Bid-Packet-INV-Document.js، %APPDATA%\WindowsUpdate، RegSvcs.exe، HKEY_CURRENT_USER\Software\Remcos-{ID} 🚨
  • PlugX ينتحل Claude AI: موقع مزيف وملف MSI يثبت اختصاراً وهمياً وتقنية DLL sideloading باستخدام NOVUpdate.exe وملف avk.dll خبيث، اتصال بـ 8.217.190.58:443.
  • المؤشرات الفنية: 8.217.190.58، NOVUpdate.exe، avk.dll
  • NWHStealer: ينتشر عبر مواقع وأدوات وهمية (VPN وألعاب)، يسرق كلمات المرور وبيانات المتصفحات والمحافظ ويحقن نفسه في عمليات شرعية ويتجاوز UAC عبر cmstp.exe.
  • المؤشرات الفنية: vpn-proton-setup[.]com، get-proton-vpn[.]com، newworld-helloworld[.]icu، e97cb6cbcf2583fe4d8dcabd70d3f67f6cc977fc9a8cbb42f8a2284efe24a1e3، 2494709b8a2646640b08b1d5d75b6bfb3167540ed4acdb55ded050f6df9c53b3، https://t[.]me/gerj_threuh
  • تصيّد يستهدف منشئي يوتيوب: إشعارات مزيفة لحقوق النشر تقود لصفحات دخول وهمية لسرقة الحساب.
  • المؤشرات الفنية: dmca-notification[.]info، blacklivesmattergood4[.]com، dopozj[.]net، ec40pr[.]net، xddlov[.]net
  • Pushpaganda: إشعارات متصفح خادعة تدفع المستخدمين لمواقع نصب وسرقة بيانات.
  • تطبيق مزيف ينتحل Ledger Live على متجر آبل: سرقة تفوق 9.5 مليون دولار من محافظ عملات رقمية بعد إدخال بيانات حساسة.
  • المؤشرات الفنية: bc1qf7wdsx03xdwkqxznjzfhz2q98law46yyje5rvy، bc1q34u3g5r0m00a9dk6trhj6e69vgzvdaw8xnt6dl، 0x6876e75730125618d09df064091a1094275bda39، 0x2cddfc496c9ba7765955773f4dcc5920cc147d72، TLPgiPEniadnUNKMApu4oGZynwzvUbUUTs، 2bmPSvwCYnQAeJW115vuLDgKSdf5Nn3sBqgYTpTwxKiV، FCPwCE4TNuQKwLwPJrfvSTfSdhN6a7Nc6mtHi8yuFt7p، rnrQZFpVCUcNgi9dBrSd7BcEnLNooGcBUQ
  • استغلال قواعد بريد خفية في Microsoft 365: إنشاء قواعد بأسماء مبهمة مثل ‘.’ أو ‘;’ لتحويل/إخفاء رسائل الشركات حتى بعد تغيير كلمة المرور.
  • حملة إقليمية شبيهة بـ MuddyWater: استطلاع وهجمات ضد الطيران والطاقة والحكومة في مصر والإمارات وإسرائيل، وسرقة بيانات حساسة، مع أدوات تخمين كلمات مرور OWA وبنى C2 متقدمة.
  • المؤشرات الفنية: 157.20.182.49، owa.py، Patator، tcp_serv.py، udp_3.0.py، ex-server
  • الثغرات: CVE-2025-54068، CVE-2025-52691، CVE-2025-68613، CVE-2025-9316، CVE-2025-34291

توصيات

  • تفعيل المصادقة متعددة العوامل، وحظر إعادة التوجيه الخارجي للبريد، ومراجعة القواعد الجديدة في صناديق البريد.
  • عدم تنزيل أدوات من روابط غير رسمية؛ فحص المرفقات في بيئات معزولة؛ مراقبة PowerShell وعمليات مثل RegSvcs.exe.

فدية وتسريبات بيانات

  • Autovista: هجوم فدية عطّل تطبيقات وخدمات في أوروبا وأستراليا؛ لا إعلان لمسؤولية أو تسريب مؤكد حتى الآن.
  • McGraw Hill: تسريب محدود لبيانات غير حساسة بسبب خطأ تهيئة في Salesforce، مع ادعاء ابتزاز من مجموعة ShinyHunters.

توصيات

  • متابعة إشعارات المزودين؛ الحذر من رسائل واردة منهم خلال الاحتواء؛ تعزيز ضوابط البريد ومراجعة الحسابات المرتبطة.

بوت نت وهجمات DDoS وبنية C2

  • تصاعد DDoS: أكبر شبكة بوت نت بلغت 13.5 مليون جهاز مع هجمات حتى 2 تيرابت/ثانية واستهداف FinTech والبنوك وأنظمة الدفع، واستخدام Aeternum C2 المبني على Polygon لإطالة عمر البنية.

توصيات

  • تطبيق حماية DDoS متعددة الطبقات، مراقبة حركة الشبكة، وخطط استجابة سريعة لتبديل التكتيكات.

سلاسل التوريد وتهديدات الذكاء الاصطناعي والبنية

  • وكلاء الذكاء الاصطناعي على GitHub: هجمات حقن تعليمات على Claude Code Security Review وGoogle Gemini CLI وGitHub Copilot تؤدي لتسريب مفاتيح API ورموز الدخول في بيئات Actions.
  • نقص أمان بروتوكول MCP: ثغرة معمارية في Model Context Protocol لتنفيذ أوامر عبر STDIO بصمت تؤثر على معظم خوادم MCP المحلية المعتمدة على كود Anthropic.
  • ShareLeak وPipeLeak: ثغرات حقن أوامر في Microsoft Copilot Studio وSalesforce Agentforce؛ إحداها موثقة برقم ثغرة.
  • المؤشرات الفنية: CVE-2026-21520
  • حملة اختراق إضافات EssentialPlugin: باب خلفي زُرع في أكثر من 30 إضافة ووردبريس منذ أغسطس 2025 مع حقن شيفرة في wp-config.php واتصالات خبيثة.
  • المؤشرات الفنية: analytics.essentialplugin.com، wp-comments-posts.php
  • تهيئات Kubernetes الخاطئة: صلاحيات RBAC واسعة، وتشغيل حاويات بامتيازات مرتفعة، وسياسات شبكة ضعيفة تفتح مسارات اختراق دون ثغرات جديدة.

توصيات

  • على GitHub: عدم استخدام وكلاء لمراجعة PRs من مصادر غير موثوقة؛ تفعيل «تتطلب الموافقة لجميع المساهمين الخارجيين»؛ تقييد أسرار Actions ومراقبة التسريب.
  • في MCP ووكالات الذكاء الاصطناعي: تفعيل العزل والتحقق من الأوامر والصلاحيات؛ مراقبة السجلات للنشاط غير المعتاد.
  • ووردبريس: تحديث الإضافات، فحص wp-config.php وإزالة الأكواد المشبوهة، واستعادة نسخ احتياطية عند الحاجة.
  • Kubernetes: تقييد RBAC، منع الامتيازات المرتفعة، تطبيق سياسة شبكة «منع كل شيء افتراضياً»، وتفعيل seccomp وAppArmor/SELinux.

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

الأكثر مشاهدة

التشفير الكامل للقرص في Ubuntu وWindows 11 للمبتدئين
أفضل خدمات البريد الإلكتروني الآمنة والمجانية لحماية خصوصيتك
كيفية تحميل وتثبيت متصفح تور على ويندوز
أفضل 12 تطبيقًا مجانيًا لحماية الخصوصية على الآيفون