剣 KENSAI
← Back to archive
KENSAI Intelligence

التقرير الأمني

2026-03-20 · الخميس → الجمعة · 04:00 CET
3
اختراقات بيانات
6
ثغرات حرجة
3
Zero-Day
4
جولات تمويل

⚡ ملخص — أهم أحداث اليوم

  • مجموعة استغلال DarkSword لنظام iOS — ثاني مجموعة استغلال كاملة السلسلة لنظام iOS خلال شهر، 3 ثغرات zero-day، مجموعة التجسس الروسية UNC6353 تستهدف أوكرانيا. iOS 18.4–18.7 متأثر.
  • مجموعة Handala الناشطة مسحت 80,000 جهاز Stryker عبر Microsoft Intune — FBI صادر موقع التسريب. CISA أصدرت إرشادات تعزيز Intune.
  • PolyShell RCE في جميع إصدارات Magento/Adobe Commerce v2 — تنفيذ أكواد بدون مصادقة عبر تحميل ملفات متعددة الأغراض. لا يوجد تصحيح للإنتاج بعد.
  • ثغرة Cisco FMC zero-day مستغلة من قبل برنامج الفدية Interlock منذ يناير — Amazon اكتشفت روابط مع روسيا.
  • اختراق Navia يؤثر على 2.7 مليون شخص — بيانات مزايا حساسة مكشوفة.
  • APT28 (روسيا) يستغل ثغرة تنظيف CSS في Zimbra ضد الحكومة الأوكرانية.
  • 9 ثغرات حرجة في IP KVM عبر 4 موردين — وصول جذري غير مصادق على مستوى BIOS.
🔓

اختراقات البيانات

Navia Benefit Solutions — كشف 2.7 مليون سجل

أعلنت شركة إدارة المزايا Navia عن اختراق يؤثر على ما يقرب من 2.7 مليون فرد. وصل المهاجمون إلى معلومات شخصية حساسة تشمل بيانات المزايا وأرقام الضمان الاجتماعي والسجلات المالية. تقدم الشركة خدمات مراقبة الائتمان للأفراد المتأثرين.

CRITICAL 2.7M متأثر source →

Aura Security — 900,000 سجل عبر التصيد

في مفارقة ساخرة، أعلنت شركة حماية الهوية Aura عن اختراق يؤثر على 900,000 سجل. وقع أحد الموظفين ضحية لهجوم تصيد هاتفي مستهدف (فيشينغ صوتي)، مما أتاح للمهاجمين الوصول إلى أداة تسويق تحتوي على بيانات العملاء.

HIGH 900K سجل source →

اختراق Marquis — تأكيد 672,000 متأثر

تم تعديل التقدير بالخفض من 1.6 مليون شخص في البداية، ويؤكد اختراق Marquis الآن تأثر 672,000 فرد. لا تزال تفاصيل أنواع البيانات ونواقل الهجوم قيد التحقيق.

HIGH 672K متأثر source →
⚠️

الثغرات الحرجة

مجموعة استغلال DarkSword لنظام iOS — 6 ثغرات، 3 Zero-Day

كشفت Google Threat Intelligence وiVerify وLookout بشكل مشترك عن "DarkSword" — مجموعة استغلال كاملة السلسلة لنظام iOS تستهدف iOS 18.4–18.7. تستغل 6 ثغرات بما فيها 3 ثغرات zero-day (CVE-2026-20700 وCVE-2025-43529 وCVE-2025-14174). تستخدمها المجموعة الروسية UNC6353 وموردو المراقبة التجارية وجهات فاعلة مدعومة من دول تستهدف أوكرانيا والسعودية وتركيا وماليزيا. تتبع نهج "اضرب واهرب" لسرقة البيانات في ثوانٍ. ثاني مجموعة استغلال iOS بعد Coruna يتم اكتشافها خلال شهر.

3 ZERO-DAYS UNC6353 / RUSSIA iOS 18.4–18.7 source →

PolyShell — RCE بدون مصادقة على جميع Magento/Adobe Commerce v2

اكتشفت Sansec ثغرة "PolyShell" في معالجة تحميل ملفات REST API في Magento. يقوم المهاجمون بتحميل ملفات متعددة الأغراض (صالحة كصورة وسكريبت في آن واحد) لتحقيق تنفيذ أكواد عن بُعد بدون مصادقة أو XSS مخزن للاستيلاء على الحساب. تؤثر على جميع تثبيتات Magento Open Source وAdobe Commerce v2 في بيئة الإنتاج. التصحيح متاح فقط في النسخة التجريبية 2.4.9 — لا يوجد إصلاح للإنتاج بعد. طريقة الاستغلال منتشرة بالفعل.

CRITICAL — لا يوجد تصحيح جميع MAGENTO V2 source →

Ubiquiti UniFi — استيلاء على الحساب بأقصى درجة خطورة

أصلحت Ubiquiti ثغرتين في تطبيق UniFi Network، بما في ذلك ثغرة بأقصى درجة خطورة تتيح الاستيلاء على الحساب. يجب على المسؤولين التحديث فوراً.

CVSS 10.0 تم الإصلاح source →

ScreenConnect — تسريب مفاتيح الأجهزة الحرج

أصلحت ConnectWise ثغرة حرجة في ScreenConnect كشفت مفاتيح الأجهزة، مما قد يسمح بالوصول عن بُعد غير المصرح به. يضيف الإصدار الأحدث تخزيناً مشفراً وإدارة لحماية المفاتيح.

CRITICAL تم الإصلاح source →

SharePoint RCE (CVE-2026-20963) — استغلال نشط

أضافت CISA ثغرة Microsoft SharePoint CVE-2026-20963 إلى كتالوج الثغرات المستغلة المعروفة. تم تأكيد استغلال ثغرة RCE التي أُصلحت في تحديثات يناير في البيئة الحقيقية.

مُستغل بنشاط تصحيح متاح source →

9 ثغرات حرجة في IP KVM — وصول جذري بدون مصادقة

اكتشفت Eclypsium 9 ثغرات عبر 4 منتجات IP KVM (GL-iNet Comet RM-1 وAngeet/Yeeso ES3 وSipeed NanoKVM وJetKVM). غياب التحقق من توقيع البرامج الثابتة، لا حماية من هجمات القوة الغاشمة، ضوابط وصول معطلة، واجهات تصحيح مكشوفة. يمكن للمهاجمين الحصول على وصول جذري على مستوى BIOS/UEFI — متجاوزين جميع حمايات نظام التشغيل.

CRITICAL 4 موردين source →
💀

برامج الفدية والهجمات الكبرى

مجموعة Handala الناشطة تمسح 80,000 جهاز Stryker عبر Microsoft Intune

نفذت مجموعة Handala الناشطة هجوماً تدميرياً مدمراً على عملاق التكنولوجيا الطبية Stryker، حيث مسحت حوالي 80,000 جهاز من خلال تسليح إدارة نقاط النهاية Microsoft Intune. صادر FBI موقعين لتسريب البيانات يديرهما Handala. أصدرت CISA لاحقاً إرشادات عاجلة لجميع المؤسسات الأمريكية لتعزيز عمليات نشر Microsoft Intune.

تدميري 80K جهاز مُمسح مصادرة FBI source →

استغلال ثغرة Cisco FMC Zero-Day من قبل برنامج الفدية Interlock

اكتشفت Amazon أن ثغرة في Cisco Firewall Management Center (FMC) تم استغلالها كـ zero-day منذ أواخر يناير من قبل مجموعة برنامج الفدية Interlock. تشير الأدلة إلى روابط مع روسيا. سلسلة ثغرات Cisco الأخيرة تُظهر نمطاً مقلقاً من الاستغلال النشط لثغرات جدران الحماية وSD-WAN.

ZERO-DAY INTERLOCK مرتبط بروسيا source →

Bitrefill تنسب الهجوم إلى مجموعة Lazarus/Bluenoroff الكورية الشمالية

كشفت منصة بطاقات الهدايا المشفرة Bitrefill أن الهجوم السيبراني في أوائل مارس تم على الأرجح من قبل مجموعة Bluenoroff الكورية الشمالية (مجموعة فرعية من Lazarus). يستمر نمط استهداف كوريا الشمالية لمنصات العملات المشفرة والتكنولوجيا المالية لتوليد الإيرادات.

LAZARUS / BLUENOROFF عملات مشفرة source →

هجوم داخلي في نورث كارولينا — فدية 2.5 مليون دولار

أُدين عامل تقني في نورث كارولينا بتنفيذ هجوم داخلي ضد شركة تكنولوجيا في واشنطن، حيث حصل على 2.5 مليون دولار كفدية. يسلط الضوء على مخاطر التهديد الداخلي المستمرة.

تهديد داخلي $2.5M فدية source →
🎯

نشاط الدول وAPT

APT28 (روسيا/GRU) يستغل Zimbra ضد أوكرانيا

مجموعة APT28 المرتبطة بالاستخبارات العسكرية الروسية تستغل بنشاط ثغرة في Zimbra Collaboration Suite في هجمات على كيانات حكومية أوكرانية. تتعلق الثغرة بعدم كفاية تنظيف CSS في رسائل HTML الإلكترونية، مما يتيح تنفيذ سكريبت مضمن عند فتح الرسائل في المتصفح.

APT28 / FANCY BEAR أوكرانيا source →

الكشف عن بناء البنية التحتية السيبرانية الإيرانية

كشف التحليل عن بناء بنية تحتية سيبرانية إيرانية على مدى ستة أشهر، تشمل شركات واجهة مقرها الولايات المتحدة، مصممة لضمان مرونة عمليات الاختراق العالمية والصمود أمام الضربات الحركية المحتملة. السلطات الفيدرالية في حالة تأهب قصوى للهجمات السيبرانية الإيرانية في أعقاب حادثة Stryker.

IRAN بنية تحتية source →

The Gentlemen RaaS — عملية تركز على FortiGate

فصّلت Group-IB عملية "The Gentlemen" — عملية ناشئة لبرنامج الفدية كخدمة تضم حوالي 20 عضواً تستغل بشكل خاص ثغرات جدار الحماية FortiGate. جزء من الاتجاه المستمر لاستغلال أجهزة الحافة للوصول الأولي.

RAAS FORTIGATE source →
🛠️

أدوات الأمان والصناعة

Oasis Security — 120 مليون دولار لإدارة وصول الوكلاء الذكية

جمعت Oasis Security مبلغ 120 مليون دولار لتوسيع منصة إدارة الوصول للوكلاء الذكية. التركيز على البحث والتطوير وتوسيع منتجات إطار عمل AI والتسويق. يشير إلى اهتمام متزايد من المستثمرين بضوابط أمان وكلاء AI.

$120M تمويل source →

منصة Cloaked للخصوصية — 375 مليون دولار تمويل

جمعت منصة الخصوصية Cloaked مبلغ 375 مليون دولار للتوسع في أسواق المؤسسات. تخطط لتقديم وكلاء AI يراقبون ويديرون وينفذون تفضيلات الخصوصية والوضع الأمني نيابة عن المستخدمين.

$375M تمويل source →

1stProtect — إطلاق خفي بـ 20 مليون دولار

خرجت شركة أمان نقاط النهاية الناشئة 1stProtect من وضع التخفي بتمويل 20 مليون دولار. تراقب منصتها السلوك وتتحقق من نية المستخدم لإيقاف الهجمات في الوقت الفعلي — نهج جديد لحماية نقاط النهاية.

$20M تمويل source →

Raven — 20 مليون دولار لاكتشاف الشذوذ أثناء التشغيل

خرجت Raven من وضع التخفي بتمويل 20 مليون دولار. تراقب منصتها التطبيقات أثناء التشغيل لاكتشاف السلوك الشاذ ومنع الهجمات السيبرانية — تستهدف الفجوة بين التحليل الثابت والاستغلال الفعلي.

$20M تمويل source →

Ceros — طبقة ثقة AI لـ Claude Code

أطلقت Beyond Identity منتج Ceros، "طبقة ثقة AI" توفر رؤية فورية وتطبيق سياسات وقت التشغيل ومسارات تدقيق مشفرة لعمليات وكيل Claude Code. تعالج المخاطر الناشئة لوكلاء الترميز بالذكاء الاصطناعي التي تعمل بصلاحيات مطور كاملة خارج ضوابط الأمان الحالية.

أمان وكلاء AI source →
📊

أنماط التهديدات الناشئة

انتشار استغلال iOS

تم اكتشاف مجموعتي استغلال كاملتي السلسلة لنظام iOS (Coruna وDarkSword) خلال شهر واحد، تستخدمهما جهات فاعلة حكومية وموردو مراقبة تجارية. يُظهر سوقاً ثانوية مزدهرة حيث يمكن حتى للمجموعات ذات الدوافع المالية الحصول على استغلالات محمولة بمستوى الدول. نهج "اضرب واهرب" في سرقة البيانات — ثوانٍ وليس ساعات — يجعل الكشف الجنائي صعباً للغاية.

اتجاه: استغلالات الأجهزة المحمولة

استمرار استغلال أجهزة الحافة

FortiGate (The Gentlemen RaaS)، Cisco FMC (Interlock)، Ubiquiti UniFi، Zimbra، أجهزة IP KVM — النمط واضح. يستهدف المهاجمون بشكل منهجي البنية التحتية لحافة الشبكة. يُظهر بحث IP KVM الجديد أن حتى الوصول على مستوى BIOS معرض للخطر من خلال أجهزة رخيصة وضعيفة الحماية. يجب على المؤسسات التعامل مع كل جهاز حافة كسطح هجوم حرج.

اتجاه: أجهزة الحافة

Microsoft Intune كناقل هجوم

تسليح Handala لـ Microsoft Intune لمسح 80,000 جهاز Stryker هو جرس إنذار. أدوات إدارة نقاط النهاية المصممة لحماية الأجهزة يمكن أن تتحول إلى أسلحة دمار شامل عند اختراقها. إرشادات CISA تشير إلى أن هذا أصبح نمط هجوم معترف به يجب على المؤسسات الدفاع ضده.

اتجاه: تسليح MDM

أمان وكلاء AI يظهر كفئة مستقلة

عدة شركات ناشئة (أكثر من 535 مليون دولار في التمويل هذا الأسبوع وحده) تبني منتجات مخصصة لأمان وكلاء AI — إدارة الوصول ومراقبة وقت التشغيل وتطبيق الخصوصية. Ceros (لـ Claude Code) وOasis (وصول الوكلاء) وCloaked (وكلاء خصوصية AI) تشير جميعها إلى أن تأمين وكلاء AI أصبح تخصصاً أمنياً مستقلاً. ذو صلة بخارطة طريق KENSAI.

اتجاه: أمان وكلاء AI