剣 KENSAI
← All posts · security · 2026-03-11

سرقة بيانات اعتماد FortiGate، شبكة KadNap تصيب 14 ألف جهاز توجيه، Microsoft تصلح ثغرتين فوريتين

→ العودة للمدونة

1. استغلال جدران حماية FortiGate لسرقة بيانات اعتماد AD

🚨 حرج — حملة نشطة تستهدف قطاعي الرعاية الصحية والحكومة

يستغل مهاجمون أجهزة FortiGate Next-Generation Firewall (NGFW) كنقاط دخول لاختراق شبكات الضحايا. تستهدف الحملة بيئات الرعاية الصحية والحكومة ومقدمي الخدمات المُدارة، حيث تستخرج ملفات التكوين التي تحتوي على بيانات اعتماد حسابات الخدمة وبيانات طوبولوجيا الشبكة.

وفقاً لـ SentinelOne، يستغل المهاجمون ثغرات تم الكشف عنها مؤخراً — CVE-2025-59718 وCVE-2025-59719 وCVE-2026-24858 — أو بيانات اعتماد ضعيفة لاختراق أجهزة FortiGate. ولأن هذه الأجهزة غالباً ما تتصل بـ Active Directory وLDAP لتطبيق سياسات الوصول القائمة على الأدوار، فإن اختراق الجهاز يمنح المهاجمين مفاتيح البنية التحتية للمصادقة بأكملها.

في حادثة موثقة، أنشأ المهاجمون حساب مسؤول محلي مزيف باسم "support"، وأعدوا أربع سياسات جدار حماية متساهلة، ثم فكوا تشفير ملف التكوين لاستخراج بيانات اعتماد حساب خدمة LDAP بنص واضح. بعد ذلك سجلوا أجهزة عمل مزيفة في Active Directory قبل اكتشافهم.

إجراء مطلوب: قم بتحديث أجهزة FortiGate إلى أحدث إصدار من البرنامج الثابت فوراً. قم بتدوير جميع بيانات اعتماد حسابات الخدمة المتصلة بـ FortiGate. فعّل المصادقة متعددة العوامل على جميع واجهات الإدارة. راقب إنشاء الحسابات غير المصرح بها وتغييرات سياسات جدار الحماية.


2. شبكة KadNap تختطف أكثر من 14,000 جهاز توجيه ASUS

🚨 حرج — أكثر من 14,000 جهاز مخترق، 60% منها في الولايات المتحدة

أصابت برمجية خبيثة جديدة تُدعى KadNap أكثر من 14,000 جهاز شبكات طرفي — معظمها أجهزة توجيه ASUS — لتشغيل شبكة بروكسي خفية. أكثر من 60% من الضحايا يقعون في الولايات المتحدة.

اكتشفتها Black Lotus Labs في Lumen، تستخدم KadNap نسخة مخصصة من بروتوكول Kademlia Distributed Hash Table (DHT) لإخفاء بنيتها التحتية للقيادة والتحكم ضمن شبكة نظير إلى نظير، مما يجعلها شديدة المقاومة لمحاولات الإسقاط.

يتم توجيه الأجهزة المخترقة إلى خدمة بروكسي تُدعى Doppelgänger (إعادة تسمية لشبكة Faceless للبروكسي)، التي تبيع بروكسيات سكنية "مجهولة 100%" في أكثر من 50 دولة. تستهدف البرمجية معالجات ARM وMIPS، وتثبت نفسها عبر مهام cron، وتغلق الوصول عبر SSH على المنفذ 22 بشكل نشط لمنع المعالجة.

التفاصيلالمعلومات
الأجهزة المصابةأكثر من 14,000
الهدف الرئيسيأجهزة توجيه ASUS
الضحايا في الولايات المتحدةأكثر من 60%
بروتوكول C2Kademlia DHT مخصص (P2P)
خدمة البروكسيDoppelgänger (إعادة تسمية Faceless)
نشطة منذأغسطس 2025

إجراء مطلوب: قم بتحديث البرنامج الثابت لجهاز توجيه ASUS فوراً. تحقق من وجود مهام cron غير مصرح بها وعمليات غير معروفة. في حالة الاختراق، أعد ضبط الجهاز إلى إعدادات المصنع. احظر عنوان C2 المعروف 212.104.141.140.


3. تحديثات Microsoft لشهر مارس 2026: ثغرتان فوريتان و79 ثغرة أمنية

⚠️ حدّث الآن — ثغرتان فوريتان تم الكشف عنهما علنياً

تعالج تحديثات Microsoft لشهر مارس 2026 79 ثغرة أمنية، بما في ذلك ثغرتان فوريتان تم الكشف عنهما علنياً و3 مشكلات مصنفة حرجة. تؤثر ثغرتان حرجتان لتنفيذ التعليمات البرمجية عن بُعد على Microsoft Office ويمكن تفعيلهما عبر جزء المعاينة.

أبرز النقاط من دورة التحديثات هذا الشهر:

  • ثغرة فورية في SQL Server لتصعيد الصلاحيات: تحكم وصول غير صحيح يمنح صلاحيات SQLAdmin عبر الشبكة
  • ثغرة فورية في .NET لحجب الخدمة: قراءة خارج الحدود تسمح بحجب الخدمة غير المصرح به عبر الشبكة
  • CVE-2026-26110 وCVE-2026-26113: ثغرات حرجة لتنفيذ التعليمات البرمجية عن بُعد في Office قابلة للاستغلال عبر جزء المعاينة
  • CVE-2026-26144: ثغرة كشف معلومات في Excel يمكن أن تسرّب البيانات عبر Microsoft Copilot — مما يتيح سرقة البيانات دون نقرة عبر وضع الوكيل الذكي

ثغرة Copilot (CVE-2026-26144) جديرة بالملاحظة بشكل خاص — فهي تمثل ناقل هجوم جديد حيث يمكن تسليح المساعدين الذكيين لتسريب البيانات دون تفاعل المستخدم. هذا نذير بسطح الهجوم المدعوم بالذكاء الاصطناعي الذي تواجهه المؤسسات الآن.

إجراء مطلوب: انشر جميع تحديثات مارس 2026 فوراً. أعطِ الأولوية لتحديثات Office بسبب استغلال جزء المعاينة. راجع صلاحيات Copilot Agent وقيّد قدرات الخروج من الشبكة.


4. أداة BlackSanta لتعطيل EDR تستهدف أقسام الموارد البشرية

⚠️ حملة نشطة — مهاجم ناطق بالروسية

حملة متطورة تعمل منذ أكثر من عام تنشر أداة جديدة لتعطيل EDR تُدعى BlackSanta لأقسام الموارد البشرية عبر رسائل تصيد موجهة تحتوي على ملفات ISO خبيثة متخفية كسير ذاتية.

سلسلة الهجوم شديدة التخفي: تحتوي ملفات ISO على اختصار Windows متخفٍ كملف PDF، وسكريبت PowerShell، وصورة تخفي كوداً خبيثاً عبر تقنية إخفاء المعلومات (Steganography). يستخدم الكود المستخرج تحميل DLL الجانبي عبر ملف SumatraPDF التنفيذي الشرعي، ويجري فحصاً مكثفاً لاكتشاف بيئات الحماية والأجهزة الافتراضية، ثم ينشر BlackSanta.

يعطل BlackSanta حماية نقاط النهاية بشكل منهجي عبر:

  • إضافة استثناءات Microsoft Defender لملفات .dls و.sys
  • تقليل القياس عن بُعد وإرسال العينات التلقائي إلى سحابة Microsoft
  • إخفاء إشعارات Windows لتجنب تنبيه المستخدم
  • استخدام تجويف العمليات لتنفيذ الحمولات داخل عمليات شرعية

إجراء مطلوب: نبّه فرق الموارد البشرية حول هجمات التصيد المتخفية كسير ذاتية. احظر مرفقات ملفات ISO عند بوابة البريد الإلكتروني. راقب تغييرات استثناءات Defender غير المصرح بها. طبّق القوائم البيضاء للتطبيقات.


5. ثغرة حرجة لتجاوز المصادقة في HPE AOS-CX

🚨 حرج — إعادة تعيين كلمة مرور المسؤول دون مصادقة

صححت HPE ثغرة CVE-2026-23813، وهي ثغرة حرجة لتجاوز المصادقة في نظام تشغيل Aruba Networking AOS-CX تسمح للمهاجمين عن بُعد غير المصادق عليهم بـإعادة تعيين كلمات مرور المسؤولين على محولات سلسلة CX للحرم الجامعي ومراكز البيانات.

توجد الثغرة في واجهة الإدارة المستندة إلى الويب وتتطلب هجمات منخفضة التعقيد لاستغلالها. أي مؤسسة تشغل محولات HPE AOS-CX مع واجهات إدارة مكشوفة معرضة لخطر فوري.

إجراءات التخفيف في حالة تأخر التحديث:

  • اعزل واجهات الإدارة في شبكة VLAN مخصصة
  • طبّق ضوابط وصول صارمة من الطبقة 3 وما فوق لحركة مرور الإدارة
  • عطّل واجهات HTTP(S) على منافذ SVI والمنافذ الموجهة حيث لا تكون مطلوبة
  • فعّل قوائم التحكم في الوصول لمستوى التحكم على نقاط نهاية إدارة REST/HTTP

6. APT28 تنشر BEARDSHELL وCOVENANT ضد الجيش الأوكراني

تواصل مجموعة APT28 الروسية (Fancy Bear / GRU Unit 26165) حملتها للتجسس السيبراني ضد أوكرانيا، حيث تنشر زرعتين — BEARDSHELL وCOVENANT — للمراقبة طويلة الأمد للعسكريين الأوكرانيين منذ أبريل 2024.

تُفيد ESET أن الترسانة تشمل أيضاً SLIMAGENT، القادرة على تسجيل ضربات المفاتيح والتقاط لقطات الشاشة وجمع بيانات الحافظة. تؤكد الحملة على البُعد السيبراني المستمر للصراع الروسي الأوكراني والاستهداف المتواصل للاتصالات العسكرية.


7. تقنية Zombie ZIP تتجاوز أدوات الأمان

تقنية جديدة تُدعى "Zombie ZIP" تسمح للمهاجمين بإخفاء حمولات خبيثة في ملفات مضغوطة مصممة خصيصاً تتجاوز اكتشاف مكافحة الفيروسات وEDR. تستغل التقنية الاختلافات في كيفية تحليل أدوات الأمان وبرامج الأرشيف الشرعية لملفات ZIP، مما يخلق نقاطاً عمياء يمكن للبرمجيات الخبيثة التسلل عبرها.

إجراء مطلوب: تأكد من أن أدوات الأمان قادرة على فحص تنسيقات الأرشيف المتداخلة والمشوهة. فكّر في وضع جميع مرفقات الملفات المضغوطة في بيئة حماية قبل تسليمها للمستخدمين النهائيين.


8. CISA: ثغرة Ivanti EPM تحت الاستغلال النشط

أضافت CISA ثغرة مصححة حديثاً في Ivanti Endpoint Manager (EPM) إلى كتالوج الثغرات المستغلة المعروفة (KEV) بعد تأكيد استغلالها النشط في البرية. يجب على المؤسسات التي تستخدم Ivanti EPM إعطاء الأولوية للتحديث فوراً.

يستمر نمط التسليح السريع لثغرات Ivanti — هذه هي الأحدث في سلسلة طويلة من ثغرات Ivanti الحرجة التي تنتقل من الكشف إلى الاستغلال في أيام.


9. برمجية BeatBanker الخبيثة لنظام Android تتخفى كتطبيق Starlink

يتم توزيع حصان طروادة مصرفي جديد لنظام Android يُدعى BeatBanker عبر مواقع مزيفة لمتجر Google Play، متخفياً كـتطبيق Starlink. بعد التثبيت، تختطف البرمجية الأجهزة لاعتراض بيانات الاعتماد المصرفية والمعاملات المالية.

إجراء مطلوب: ثبّت التطبيقات من متجر Google Play الرسمي فقط. فعّل Google Play Protect. وعّي المستخدمين حول متاجر التطبيقات المزيفة.


10. دعم Microsoft Entra لمفاتيح المرور على Windows

على صعيد إيجابي، تطرح Microsoft دعم مفاتيح المرور لـ Microsoft Entra على أجهزة Windows، مما يتيح مصادقة بدون كلمات مرور ومقاومة للتصيد عبر Windows Hello. هذه خطوة مهمة نحو القضاء على الهجمات القائمة على كلمات المرور — يجب على المؤسسات البدء في التخطيط لنشر مفاتيح مرور Entra.


المزيد من العناوين

الخبرالتأثير
مجموعة UNC4899 الكورية الشمالية تخترق شركة عملات رقميةملف AirDrop مفخخ + تقنيات العيش من السحابة تسرق ملايين من العملات الرقمية
إصدار تحديث Windows 10 KB5078885 ESUتحديث أمني ممتد لـ Windows 10 يعالج ثغرات تحديثات مارس بما في ذلك الثغرتين الفوريتين
حزمة npm خبيثة تنتحل هوية OpenClawالحزمة تنشر RAT وتسرق بيانات اعتماد macOS ومفاتيح SSH ومحافظ العملات الرقمية وسجل iMessage

كيف يحميك KENSAI

مراقبة الأجهزة الطرفية — اكتشف أجهزة FortiGate وASUS وHPE المخترقة قبل أن يتعمق المهاجمون أكثر

استخبارات التحديثات — تتبع CVE ذو أولوية لـ Microsoft وIvanti والبنية التحتية للشبكات خلال ساعات من الكشف

فحوصات سلامة EDR — اكتشف التلاعب بتكوينات أمان نقاط النهاية على نمط BlackSanta

وضعية أمان الذكاء الاصطناعي — راقب صلاحيات Copilot ووكلاء الذكاء الاصطناعي لمنع نواقل تسريب البيانات مثل CVE-2026-26144


الإجراءات الموصى بها

  1. فوري: حدّث FortiGate إلى أحدث إصدار من البرنامج الثابت. انشر تحديثات Microsoft لشهر مارس 2026. حدّث محولات HPE AOS-CX.
  2. اليوم: تحقق من أجهزة توجيه ASUS بحثاً عن مؤشرات KadNap. دوّر جميع بيانات اعتماد حسابات الخدمة المتصلة بـ FortiGate. راجع إعدادات خروج الشبكة لـ Copilot Agent.
  3. هذا الأسبوع: احظر مرفقات ISO عند بوابات البريد الإلكتروني. دقق في عمليات نشر Ivanti EPM. خطط لطرح مفاتيح مرور Entra.
  4. مستمر: راقب أنماط التلاعب بـ EDR. أطلع فرق الموارد البشرية على التصيد المتخفي كسير ذاتية. طبّق مبدأ الثقة المعدومة لإدارة أجهزة الشبكة.

احمِ مؤسستك مع KENSAI

فحص ثغرات مدعوم بالذكاء الاصطناعي ومراقبة أمنية مستمرة. ابدأ فحصك المجاني اليوم.

← ابدأ الفحص المجاني

ابقَ آمناً. ابقَ يقظاً.

🗡️ فريق KENSAI الأمني

🛡️ هل موقعك آمن؟

اكتشف الثغرات قبل المهاجمين.

افحص موقعك مجاناً →

All posts · Permalink