التقرير الأمني
⚡ ملخص — أهم أحداث اليوم
- مجموعة استغلال DarkSword لنظام iOS — ثاني مجموعة استغلال كاملة السلسلة لنظام iOS خلال شهر، 3 ثغرات zero-day، مجموعة التجسس الروسية UNC6353 تستهدف أوكرانيا. iOS 18.4–18.7 متأثر.
- مجموعة Handala الناشطة مسحت 80,000 جهاز Stryker عبر Microsoft Intune — FBI صادر موقع التسريب. CISA أصدرت إرشادات تعزيز Intune.
- PolyShell RCE في جميع إصدارات Magento/Adobe Commerce v2 — تنفيذ أكواد بدون مصادقة عبر تحميل ملفات متعددة الأغراض. لا يوجد تصحيح للإنتاج بعد.
- ثغرة Cisco FMC zero-day مستغلة من قبل برنامج الفدية Interlock منذ يناير — Amazon اكتشفت روابط مع روسيا.
- اختراق Navia يؤثر على 2.7 مليون شخص — بيانات مزايا حساسة مكشوفة.
- APT28 (روسيا) يستغل ثغرة تنظيف CSS في Zimbra ضد الحكومة الأوكرانية.
- 9 ثغرات حرجة في IP KVM عبر 4 موردين — وصول جذري غير مصادق على مستوى BIOS.
اختراقات البيانات
Navia Benefit Solutions — كشف 2.7 مليون سجل
أعلنت شركة إدارة المزايا Navia عن اختراق يؤثر على ما يقرب من 2.7 مليون فرد. وصل المهاجمون إلى معلومات شخصية حساسة تشمل بيانات المزايا وأرقام الضمان الاجتماعي والسجلات المالية. تقدم الشركة خدمات مراقبة الائتمان للأفراد المتأثرين.
Aura Security — 900,000 سجل عبر التصيد
في مفارقة ساخرة، أعلنت شركة حماية الهوية Aura عن اختراق يؤثر على 900,000 سجل. وقع أحد الموظفين ضحية لهجوم تصيد هاتفي مستهدف (فيشينغ صوتي)، مما أتاح للمهاجمين الوصول إلى أداة تسويق تحتوي على بيانات العملاء.
اختراق Marquis — تأكيد 672,000 متأثر
تم تعديل التقدير بالخفض من 1.6 مليون شخص في البداية، ويؤكد اختراق Marquis الآن تأثر 672,000 فرد. لا تزال تفاصيل أنواع البيانات ونواقل الهجوم قيد التحقيق.
الثغرات الحرجة
مجموعة استغلال DarkSword لنظام iOS — 6 ثغرات، 3 Zero-Day
كشفت Google Threat Intelligence وiVerify وLookout بشكل مشترك عن "DarkSword" — مجموعة استغلال كاملة السلسلة لنظام iOS تستهدف iOS 18.4–18.7. تستغل 6 ثغرات بما فيها 3 ثغرات zero-day (CVE-2026-20700 وCVE-2025-43529 وCVE-2025-14174). تستخدمها المجموعة الروسية UNC6353 وموردو المراقبة التجارية وجهات فاعلة مدعومة من دول تستهدف أوكرانيا والسعودية وتركيا وماليزيا. تتبع نهج "اضرب واهرب" لسرقة البيانات في ثوانٍ. ثاني مجموعة استغلال iOS بعد Coruna يتم اكتشافها خلال شهر.
PolyShell — RCE بدون مصادقة على جميع Magento/Adobe Commerce v2
اكتشفت Sansec ثغرة "PolyShell" في معالجة تحميل ملفات REST API في Magento. يقوم المهاجمون بتحميل ملفات متعددة الأغراض (صالحة كصورة وسكريبت في آن واحد) لتحقيق تنفيذ أكواد عن بُعد بدون مصادقة أو XSS مخزن للاستيلاء على الحساب. تؤثر على جميع تثبيتات Magento Open Source وAdobe Commerce v2 في بيئة الإنتاج. التصحيح متاح فقط في النسخة التجريبية 2.4.9 — لا يوجد إصلاح للإنتاج بعد. طريقة الاستغلال منتشرة بالفعل.
Ubiquiti UniFi — استيلاء على الحساب بأقصى درجة خطورة
أصلحت Ubiquiti ثغرتين في تطبيق UniFi Network، بما في ذلك ثغرة بأقصى درجة خطورة تتيح الاستيلاء على الحساب. يجب على المسؤولين التحديث فوراً.
ScreenConnect — تسريب مفاتيح الأجهزة الحرج
أصلحت ConnectWise ثغرة حرجة في ScreenConnect كشفت مفاتيح الأجهزة، مما قد يسمح بالوصول عن بُعد غير المصرح به. يضيف الإصدار الأحدث تخزيناً مشفراً وإدارة لحماية المفاتيح.
SharePoint RCE (CVE-2026-20963) — استغلال نشط
أضافت CISA ثغرة Microsoft SharePoint CVE-2026-20963 إلى كتالوج الثغرات المستغلة المعروفة. تم تأكيد استغلال ثغرة RCE التي أُصلحت في تحديثات يناير في البيئة الحقيقية.
9 ثغرات حرجة في IP KVM — وصول جذري بدون مصادقة
اكتشفت Eclypsium 9 ثغرات عبر 4 منتجات IP KVM (GL-iNet Comet RM-1 وAngeet/Yeeso ES3 وSipeed NanoKVM وJetKVM). غياب التحقق من توقيع البرامج الثابتة، لا حماية من هجمات القوة الغاشمة، ضوابط وصول معطلة، واجهات تصحيح مكشوفة. يمكن للمهاجمين الحصول على وصول جذري على مستوى BIOS/UEFI — متجاوزين جميع حمايات نظام التشغيل.
برامج الفدية والهجمات الكبرى
مجموعة Handala الناشطة تمسح 80,000 جهاز Stryker عبر Microsoft Intune
نفذت مجموعة Handala الناشطة هجوماً تدميرياً مدمراً على عملاق التكنولوجيا الطبية Stryker، حيث مسحت حوالي 80,000 جهاز من خلال تسليح إدارة نقاط النهاية Microsoft Intune. صادر FBI موقعين لتسريب البيانات يديرهما Handala. أصدرت CISA لاحقاً إرشادات عاجلة لجميع المؤسسات الأمريكية لتعزيز عمليات نشر Microsoft Intune.
استغلال ثغرة Cisco FMC Zero-Day من قبل برنامج الفدية Interlock
اكتشفت Amazon أن ثغرة في Cisco Firewall Management Center (FMC) تم استغلالها كـ zero-day منذ أواخر يناير من قبل مجموعة برنامج الفدية Interlock. تشير الأدلة إلى روابط مع روسيا. سلسلة ثغرات Cisco الأخيرة تُظهر نمطاً مقلقاً من الاستغلال النشط لثغرات جدران الحماية وSD-WAN.
Bitrefill تنسب الهجوم إلى مجموعة Lazarus/Bluenoroff الكورية الشمالية
كشفت منصة بطاقات الهدايا المشفرة Bitrefill أن الهجوم السيبراني في أوائل مارس تم على الأرجح من قبل مجموعة Bluenoroff الكورية الشمالية (مجموعة فرعية من Lazarus). يستمر نمط استهداف كوريا الشمالية لمنصات العملات المشفرة والتكنولوجيا المالية لتوليد الإيرادات.
هجوم داخلي في نورث كارولينا — فدية 2.5 مليون دولار
أُدين عامل تقني في نورث كارولينا بتنفيذ هجوم داخلي ضد شركة تكنولوجيا في واشنطن، حيث حصل على 2.5 مليون دولار كفدية. يسلط الضوء على مخاطر التهديد الداخلي المستمرة.
نشاط الدول وAPT
APT28 (روسيا/GRU) يستغل Zimbra ضد أوكرانيا
مجموعة APT28 المرتبطة بالاستخبارات العسكرية الروسية تستغل بنشاط ثغرة في Zimbra Collaboration Suite في هجمات على كيانات حكومية أوكرانية. تتعلق الثغرة بعدم كفاية تنظيف CSS في رسائل HTML الإلكترونية، مما يتيح تنفيذ سكريبت مضمن عند فتح الرسائل في المتصفح.
الكشف عن بناء البنية التحتية السيبرانية الإيرانية
كشف التحليل عن بناء بنية تحتية سيبرانية إيرانية على مدى ستة أشهر، تشمل شركات واجهة مقرها الولايات المتحدة، مصممة لضمان مرونة عمليات الاختراق العالمية والصمود أمام الضربات الحركية المحتملة. السلطات الفيدرالية في حالة تأهب قصوى للهجمات السيبرانية الإيرانية في أعقاب حادثة Stryker.
The Gentlemen RaaS — عملية تركز على FortiGate
فصّلت Group-IB عملية "The Gentlemen" — عملية ناشئة لبرنامج الفدية كخدمة تضم حوالي 20 عضواً تستغل بشكل خاص ثغرات جدار الحماية FortiGate. جزء من الاتجاه المستمر لاستغلال أجهزة الحافة للوصول الأولي.
أدوات الأمان والصناعة
Oasis Security — 120 مليون دولار لإدارة وصول الوكلاء الذكية
جمعت Oasis Security مبلغ 120 مليون دولار لتوسيع منصة إدارة الوصول للوكلاء الذكية. التركيز على البحث والتطوير وتوسيع منتجات إطار عمل AI والتسويق. يشير إلى اهتمام متزايد من المستثمرين بضوابط أمان وكلاء AI.
منصة Cloaked للخصوصية — 375 مليون دولار تمويل
جمعت منصة الخصوصية Cloaked مبلغ 375 مليون دولار للتوسع في أسواق المؤسسات. تخطط لتقديم وكلاء AI يراقبون ويديرون وينفذون تفضيلات الخصوصية والوضع الأمني نيابة عن المستخدمين.
1stProtect — إطلاق خفي بـ 20 مليون دولار
خرجت شركة أمان نقاط النهاية الناشئة 1stProtect من وضع التخفي بتمويل 20 مليون دولار. تراقب منصتها السلوك وتتحقق من نية المستخدم لإيقاف الهجمات في الوقت الفعلي — نهج جديد لحماية نقاط النهاية.
Raven — 20 مليون دولار لاكتشاف الشذوذ أثناء التشغيل
خرجت Raven من وضع التخفي بتمويل 20 مليون دولار. تراقب منصتها التطبيقات أثناء التشغيل لاكتشاف السلوك الشاذ ومنع الهجمات السيبرانية — تستهدف الفجوة بين التحليل الثابت والاستغلال الفعلي.
Ceros — طبقة ثقة AI لـ Claude Code
أطلقت Beyond Identity منتج Ceros، "طبقة ثقة AI" توفر رؤية فورية وتطبيق سياسات وقت التشغيل ومسارات تدقيق مشفرة لعمليات وكيل Claude Code. تعالج المخاطر الناشئة لوكلاء الترميز بالذكاء الاصطناعي التي تعمل بصلاحيات مطور كاملة خارج ضوابط الأمان الحالية.
أنماط التهديدات الناشئة
انتشار استغلال iOS
تم اكتشاف مجموعتي استغلال كاملتي السلسلة لنظام iOS (Coruna وDarkSword) خلال شهر واحد، تستخدمهما جهات فاعلة حكومية وموردو مراقبة تجارية. يُظهر سوقاً ثانوية مزدهرة حيث يمكن حتى للمجموعات ذات الدوافع المالية الحصول على استغلالات محمولة بمستوى الدول. نهج "اضرب واهرب" في سرقة البيانات — ثوانٍ وليس ساعات — يجعل الكشف الجنائي صعباً للغاية.
استمرار استغلال أجهزة الحافة
FortiGate (The Gentlemen RaaS)، Cisco FMC (Interlock)، Ubiquiti UniFi، Zimbra، أجهزة IP KVM — النمط واضح. يستهدف المهاجمون بشكل منهجي البنية التحتية لحافة الشبكة. يُظهر بحث IP KVM الجديد أن حتى الوصول على مستوى BIOS معرض للخطر من خلال أجهزة رخيصة وضعيفة الحماية. يجب على المؤسسات التعامل مع كل جهاز حافة كسطح هجوم حرج.
Microsoft Intune كناقل هجوم
تسليح Handala لـ Microsoft Intune لمسح 80,000 جهاز Stryker هو جرس إنذار. أدوات إدارة نقاط النهاية المصممة لحماية الأجهزة يمكن أن تتحول إلى أسلحة دمار شامل عند اختراقها. إرشادات CISA تشير إلى أن هذا أصبح نمط هجوم معترف به يجب على المؤسسات الدفاع ضده.
أمان وكلاء AI يظهر كفئة مستقلة
عدة شركات ناشئة (أكثر من 535 مليون دولار في التمويل هذا الأسبوع وحده) تبني منتجات مخصصة لأمان وكلاء AI — إدارة الوصول ومراقبة وقت التشغيل وتطبيق الخصوصية. Ceros (لـ Claude Code) وOasis (وصول الوكلاء) وCloaked (وكلاء خصوصية AI) تشير جميعها إلى أن تأمين وكلاء AI أصبح تخصصاً أمنياً مستقلاً. ذو صلة بخارطة طريق KENSAI.