剣 KENSAI
← Back to archive

الإحاطة اليومية للتهديدات

2026-03-17 · الثلاثاء · 04:00 CET
تحليل آلي للمشهد الأمني خلال 24 ساعة
4
اختراقات
3
ثغرات حرجة
2
حملات APT
3
أدوات جديدة

⚡ الخلاصة — ما يهم اليوم

  • هجوم Stryker المدمّر: مجموعة Handala المرتبطة بإيران استخدمت Intune للمسح عن بُعد على ~80 ألف جهاز — بدون برمجيات خبيثة، فقط حساب Global Admin مسروق
  • تصعيد GlassWorm في سلسلة التوريد: استُخدمت رموز GitHub المسروقة لحقن برمجيات خبيثة في مئات مستودعات Python (Django، تعلّم الآلة، حزم PyPI)
  • تصحيح ثغرات Chrome يوم-صفر: CVE-2026-3909 (Skia) و CVE-2026-3910 (V8) مُستغلّتان بنشاط — قم بالتحديث فوراً
  • اختراق Oracle EBS: 4 شركات كبرى فقط (Broadcom، Bechtel، Estée Lauder، Abbott) لم تصدر بياناً بعد حول التأثير
  • باب خلفي DRILLAPP: جهات مرتبطة بروسيا تستهدف أوكرانيا عبر تصحيح أخطاء متصفح Edge — وصول للميكروفون وكاميرا الويب
  • إطلاق Betterleaks: ماسح أسرار مفتوح المصدر جديد من مبتكر Gitleaks — أسرع وأذكى بترخيص MIT

🔓 الاختراقات والحوادث

Stryker: هجوم مدمّر مرتبط بإيران يصيب ~80,000 جهاز

📅 16 مارس 🏢 Stryker (تقنيات طبية) 🌍 عالمي

اخترقت مجموعة Handala (المرتبطة بإيران) حساب مسؤول في Stryker، وأنشأت حساب Global Administrator جديداً في Microsoft Entra ID، واستخدمت أمر المسح عن بُعد في Intune لمحو ~80,000 جهاز بين الساعة 5:00 و8:00 صباحاً بتوقيت UTC في 11 مارس. لم يتم نشر أي برمجيات خبيثة — حوّل المهاجمون إمكانيات MDM المشروعة إلى سلاح. فقد بعض الموظفين بيانات شخصية من أجهزة BYOD المسجّلة في الشبكة المؤسسية. أنظمة الطلبات الإلكترونية لا تزال معطّلة؛ الأجهزة الطبية مؤكّد سلامتها. يحقق فريقا Microsoft DART و Palo Alto Unit 42 في الحادثة.

منظور KENSAI: يكشف هذا الهجوم عن نقطة عمياء حرجة — يمكن تسليح منصات MDM مثل Intune للتدمير بدون برمجيات خبيثة. تتطلب المادة 21 من NIS2 ضوابط سلسلة التوريد والتحكم في وصول المسؤولين. يجب على المؤسسات فرض MFA مقاوم للتصيّد على جميع حسابات Global Admin وتطبيق مراقبة حسابات الطوارئ.
حرج مدمّر إساءة استخدام MDM إيران

اختراق Oracle EBS: 4 شركات عملاقة لا تزال صامتة

📅 16 مارس 🏢 Broadcom، Bechtel، Estée Lauder، Abbott

يستمر اختراق Oracle E-Business Suite بالتكشّف حيث أن Broadcom و Bechtel و Estée Lauder و Abbott Technologies هي الشركات الكبرى الوحيدة التي لم تُصدر بيانات عامة حول التأثير المحتمل. لا تزال تفاصيل ناقل الاختراق الأولي ونطاقه طيّ الكتمان مع استمرار التحقيق.

عالي ERP اختراق بيانات

اختراق بيانات موظفي Starbucks عبر التصيّد الاحتيالي

📅 16 مارس 🏢 Starbucks

أكدت Starbucks اختراقاً للبيانات أثّر على مئات الموظفين بعد هجمات تصيّد استهدفت بوابة الموظفين. تم اختراق معلومات شخصية للموظفين. تُبرز الحادثة المخاطر المستمرة من الهجمات القائمة على بيانات الاعتماد على أنظمة الموارد البشرية الداخلية.

عالي تصيّد احتيالي بيانات موظفين

اختراق بيانات عملاء Loblaw

📅 16 مارس 🏢 Loblaw Companies 🌍 كندا

كشفت شركة التجزئة الكندية العملاقة Loblaw أن قراصنة وصلوا إلى بيانات شخصية للعملاء تشمل الأسماء وعناوين البريد الإلكتروني وأرقام الهواتف. لم يتم الكشف بالكامل عن نطاق الاختراق وناقل الهجوم.

متوسط تجزئة PII

ثغرة أمنية في UK Companies House كشفت بيانات الشركات منذ أكتوبر 2025

📅 16 مارس 🏢 UK Companies House 🌍 المملكة المتحدة

تم إيقاف خدمة WebFiling التابعة للوكالة الحكومية البريطانية يوم الجمعة بعد اكتشاف ثغرة أمنية كانت تكشف معلومات الشركات منذ أكتوبر 2025 — ما يقارب 5 أشهر من التعرّض غير المكتشف. الخدمة عادت للعمل مع تطبيق الإصلاح.

عالي حكومي كشف بيانات

🛡️ الثغرات الحرجة

ثغرات Chrome يوم-صفر: CVE-2026-3909 و CVE-2026-3910 (مُستغلّة بنشاط)

📅 16 مارس ⚠️ CVSS: عالي 🔴 مُستغلّة فعلياً

CVE-2026-3909: كتابة خارج الحدود في مكتبة الرسوميات ثنائية الأبعاد Skia. CVE-2026-3910: تنفيذ غير سليم في محرك V8 JavaScript/WebAssembly يؤدي إلى وصول خارج الحدود. كلتاهما مُستغلّتان بنشاط. أصدرت Google تصحيحات — قم بتحديث Chrome فوراً.

منظور KENSAI: تظل ثغرات المتصفحات ناقل الهجوم الأول على جانب العميل. يمكن لفحص DAST من KENSAI التحقق من أن المؤسسات تفرض سياسات تحديث المتصفح من خلال تحليل الترويسات واكتشاف الإصدارات.
حرج يوم-صفر Chrome استغلال نشط

Wing FTP Server — CISA تُحذّر من استغلال نشط

📅 16 مارس ⚠️ مُدرج في KEV 🔴 مُستغلّ فعلياً

أضافت CISA ثغرة في Wing FTP Server إلى كتالوج الثغرات المُستغلّة المعروفة، محذّرةً من استغلالها بشكل نشط مع ثغرات أخرى لتنفيذ التعليمات البرمجية عن بُعد. يجب على الوكالات الفيدرالية التصحيح وفق مواعيد BOD 22-01.

حرج RCE CISA KEV

HPE AOS-CX: إعادة تعيين كلمة مرور المسؤول بدون مصادقة

📅 16 مارس ⚠️ CVSS: حرج

تسمح ثغرة حرجة في محوّلات شبكة HPE Aruba AOS-CX للمهاجمين عن بُعد غير المصادق عليهم بإعادة تعيين كلمات مرور المسؤولين، متجاوزين بالكامل ضوابط المصادقة الحالية. قم بالتصحيح فوراً — هذا يؤثر على البنية التحتية الأساسية للشبكة.

حرج بنية تحتية للشبكة تجاوز المصادقة

استغلال ثغرة في منصة أتمتة n8n

📅 16 مارس 🔴 مُستغلّة فعلياً

يتم استغلال ثغرة في منصة أتمتة سير العمل الشائعة n8n بشكل نشط. ظهرت التفاصيل في ملخص SecurityWeek الأسبوعي. يجب على المؤسسات التي تشغّل نسخ n8n المستضافة ذاتياً التحقق من التحديثات ومراجعة ضوابط الوصول فوراً.

عالي أتمتة مُستغلّة

🐛 سلسلة التوريد والبرمجيات الخبيثة

GlassWorm ForceMemo: رموز GitHub مسروقة → برمجيات خبيثة في مستودعات Python

📅 17 مارس ⚠️ حملة نشطة 🌍 عالمي

تصاعدت حملة GlassWorm بشكل كبير. يستخدم المهاجمون رموز GitHub المسروقة في هجوم إضافات VS Code السابق لحقن برمجيات خبيثة مشفّرة في مئات مستودعات Python — تطبيقات Django وأكواد أبحاث تعلّم الآلة ولوحات Streamlit وحزم PyPI. تقنية (أُطلق عليها "ForceMemo") تعيد تأسيس الإيداعات الخبيثة على الإيداعات المشروعة، محافظةً على معلومات المؤلف الأصلي ورسائل الإيداع لتجنب الاكتشاف. أي شخص يشغّل pip install من مستودع مخترق يُفعّل البرمجية الخبيثة. تعود الحقن إلى 8 مارس.

منظور KENSAI: هذا هجوم نموذجي على سلسلة التوريد — بالضبط نوع التهديد الذي كُتبت المادة 21(2)(د) من NIS2 لمعالجته. يجب على المؤسسات تدقيق تبعيات Python الخاصة بها والتحقق من توقيعات الإيداعات والبحث عن مؤشرات الاختراق. يمكن لإمكانيات SBOM وتحليل التبعيات في KENSAI الكشف عن الحزم المخترقة.
حرج سلسلة التوريد Python GitHub

حملات ClickFix تنشر سارق المعلومات MacSync على macOS

📅 16 مارس 🍎 macOS

ثلاث حملات ClickFix منفصلة توزّع سارق المعلومات MacSync عبر مُثبّتات أدوات ذكاء اصطناعي مزيفة (بما فيها متصفح "OpenAI Atlas" مزيف). يعتمد الهجوم كلياً على تفاعل المستخدم — يقوم الضحايا بنسخ وتنفيذ أوامر طرفية مشفّرة. يتم التوصيل عبر نتائج بحث Google المموّلة التي تقود إلى صفحات Google Sites مزيفة. وثّق باحثو Sophos السلسلة الكاملة منذ نوفمبر 2025.

عالي macOS سارق معلومات هندسة اجتماعية

Storm-2561: عملاء VPN مزيفون يسرقون بيانات الاعتماد

📅 16 مارس ⚠️ حملة نشطة

يوزّع ممثل التهديد Storm-2561 عملاء VPN محقونين بأحصنة طروادة عبر تسميم محركات البحث، وينشر أحصنة طروادة ويجمع بيانات تسجيل الدخول من المستخدمين الذين يبحثون عن برامج VPN شرعية.

عالي VPN تسميم SEO سرقة بيانات اعتماد

ظهور برمجية Slopoly الخبيثة

📅 16 مارس

تم رصد عائلة برمجيات خبيثة جديدة أُطلق عليها "Slopoly" في ملخص SecurityWeek الأسبوعي. لا تزال التفاصيل تتكشّف، لكنها أُشير إليها إلى جانب تهديدات بارزة أخرى هذا الأسبوع.

متوسط جديد برمجيات خبيثة

🎯 نشاط APT والدول

DRILLAPP: باب خلفي مرتبط بروسيا يستهدف أوكرانيا عبر تصحيح أخطاء Edge

📅 16 مارس 🏴 Laundry Bear / UAC-0190 🎯 أوكرانيا

باب خلفي جديد مبني على JavaScript يُدعى DRILLAPP يستغل ميزة التصحيح عن بُعد في Microsoft Edge للتجسس الخفي على كيانات أوكرانية. يمكن للبرمجية الخبيثة تحميل/تنزيل الملفات والوصول إلى الميكروفون والتقاط صور كاميرا الويب — كل ذلك عبر إمكانيات المتصفح الأصلية. يتم التوصيل عبر إغراءات بمواضيع قضائية وخيرية مع ملفات LNK. منسوب إلى Laundry Bear (Void Blizzard)، مجموعة تهديد مرتبطة بروسيا. رُصدت الحملة منذ فبراير 2026.

حرج APT روسيا تجسس

CL-STA-1087: الصين تستهدف جيوش جنوب شرق آسيا

📅 13 مارس 🏴 CL-STA-1087 🎯 جيوش جنوب شرق آسيا

كشف فريق Palo Alto Unit 42 عن عملية تجسس صبورة مرتبطة بالصين (نشطة منذ 2020) تستهدف مؤسسات عسكرية في جنوب شرق آسيا ببرمجيتي AppleChris و MemFun المخصصتين. أظهر المهاجمون "صبراً عملياتياً استراتيجياً" وركّزوا على وثائق القدرات العسكرية المحددة بدلاً من سرقة البيانات بالجملة.

عالي APT الصين عسكري

قراصنة مرتبطون بإيران يوسّعون أهدافهم للبنية التحتية الأمريكية

📅 16 مارس 🏴 مجموعات مؤيدة لإيران 🎯 الولايات المتحدة، الشرق الأوسط

يوسّع قراصنة مؤيدون لإيران نطاق أهدافهم من الشرق الأوسط إلى الولايات المتحدة، مما يرفع المخاطر على مقاولي الدفاع ومحطات الطاقة ومنشآت معالجة المياه خلال النزاعات الإقليمية المستمرة.

عالي إيران بنية تحتية حيوية ICS/OT

مركز الأبحاث النووية في بولندا: محاولة اختراق (يُحتمل إيران)

📅 16 مارس 🎯 بولندا

تم الإبلاغ عن محاولة اختراق في مركز الأبحاث النووية في بولندا. تشير الأدلة الأولية إلى إيران، رغم أن المسؤولين أقرّوا بأنها قد تكون عملية تمويه. التحقيق جارٍ.

عالي نووي بنية تحتية حيوية

🔧 أدوات وإصدارات أمنية

Betterleaks: ماسح أسرار مفتوح المصدر (خليفة Gitleaks)

📅 15 مارس 📦 ترخيص MIT 🔗 GitHub

أنشأه Zach Rice (مبتكر Gitleaks الأصلي، حالياً رئيس فحص الأسرار في Aikido Security)، Betterleaks هو إعادة كتابة من الصفر مع تحسينات كبيرة: التحقق من القواعد بـ CEL، ترميز BPE بنسبة استرجاع 98.6% (مقابل 70.4% مع الإنتروبيا)، تنفيذ Go خالص، معالجة تلقائية للأسرار متعددة الترميز، فحص Git متوازي، ومجموعة قواعد موفّرين موسّعة. تشمل الميزات القادمة التصنيف بمساعدة LLM وإلغاء الأسرار التلقائي.

إصدار جديد فحص الأسرار مفتوح المصدر

Bold Security: إطلاق خفي بتمويل $40M — وكلاء ذكاء اصطناعي للأجهزة

📅 16 مارس 💰 تمويل $40M

خرجت Bold Security من وضع التخفي بتمويل قدره $40M. نهجهم: تحويل الأجهزة إلى وكلاء ذكاء اصطناعي نشطين يفهمون إجراءات المستخدم ويوفرون حماية فورية. جديرة بالمتابعة كمنافس/شريك محتمل في مجال أمن الذكاء الاصطناعي.

جديد أمن الذكاء الاصطناعي شركة ناشئة

Android 17: تقييد Accessibility API لمنع البرمجيات الخبيثة

📅 16 مارس 📱 Android

تختبر Google ميزة أمنية في Android 17 Beta 2 تحظر التطبيقات غير المتعلقة بإمكانية الوصول من استخدام Accessibility Services API ضمن وضع الحماية المتقدمة. يستهدف هذا مباشرةً ناقل الهجوم الرئيسي لأحصنة طروادة المصرفية وبرمجيات التجسس على Android.

جديد Android أمن الأجهزة المحمولة

📊 الأنماط الناشئة

الاتجاهات الرئيسية هذا الأسبوع

عدة أنماط متقاربة تستحق المتابعة:

1. MDM كسلاح: يثبت هجوم Stryker أن أدوات الإدارة المشروعة (Intune، SCCM، Jamf) أصبحت الآن أسطح هجوم من الدرجة الأولى. لا حاجة لبرمجيات خبيثة — فقط بيانات اعتماد المسؤول وأمر مسح. توقّع هجمات مقلّدة.

2. تسلسل سلسلة التوريد (GlassWorm → ForceMemo): اختراق واحد لسلسلة التوريد (إضافات VS Code) يتسلسل الآن إلى هجوم من الدرجة الثانية على مستودعات Python. هذا النمط المتسلسل — حيث تغذّي بيانات الاعتماد المسروقة من هجوم الهجوم التالي — يتسارع.

3. ClickFix يعبر المنصات: عبرت تقنية الهندسة الاجتماعية ClickFix (خداع المستخدمين لتشغيل أوامر طرفية) من Windows إلى macOS، موصّلة عبر مُثبّتات أدوات ذكاء اصطناعي مزيفة. حمّى الذكاء الاصطناعي هي طُعم التصيّد الجديد.

4. المتصفح كخادم C2: يُظهر كل من DRILLAPP (تصحيح أخطاء Edge) وثغرات Chrome يوم-صفر أن المتصفحات تظل أهم سطح هجوم. الخط الفاصل بين "التصفح" و"الاختراق" يزداد رقّة.

5. التصعيد الإيراني: ثلاث قصص مرتبطة بإيران في 24 ساعة — هجوم Stryker المدمّر، واستهداف البنية التحتية الأمريكية، ومنشأة بولندا النووية. التوترات الجيوسياسية تترجم مباشرةً إلى عمليات سيبرانية.

منظور KENSAI: ترتبط قصص متعددة هذا الأسبوع مباشرةً بمتطلبات الامتثال لـ NIS2: أمن سلسلة التوريد (المادة 21.2د)، التعامل مع الحوادث (المادة 21.2ب)، التحكم في الوصول (المادة 21.2ط). هذا هو مشهد التهديدات الذي بُني KENSAI لمعالجته.

📌 إشارات بارزة أخرى

أخبار سريعة

انقطاع Microsoft Exchange Online — مشكلة مستمرة تمنع الوصول للبريد والتقويم (16 مارس)
Google دفعت $17M مكافآت أخطاء في 2025 — $3.7M لـ Chrome وحده، $3.5M لأمن السحابة
حوكمة الذكاء الاصطناعي الظلّي — Nudge Security تُبلغ عن تبنّي متزايد غير مراقب لأدوات الذكاء الاصطناعي في المؤسسات
استهداف مسؤول شركة أمنية — تصيّد متطور باستخدام رسائل بريد موقّعة بـ DKIM وإعادات توجيه موثوقة وصفحات تصيّد محمية بـ Cloudflare
حملة Interpol لمكافحة الجرائم الإلكترونية — عملية متعددة الجنسيات أُشير إليها في الملخصات الأسبوعية
اختراق بيانات Telus Digital — تأثرت شركة اتصالات كندية فرعية
ثغرات Linux AppArmor — عيوب تسمح بتصعيد صلاحيات الجذر