剣 KENSAI
← Back to archive

استخبارات التهديدات اليومية

٢٠٢٦-٠٣-٢٤ — الثلاثاء — ٠٤:٠٠ بتوقيت وسط أوروبا
٢ ثغرات حرجة CVE هجوم سلسلة التوريد سلسلة ثغرات iOS يوم-صفر نشاط مدعوم من دول تصيّد احتيالي واسع
3
خروقات بيانات
4
ثغرات حرجة CVE
1
برنامج فدية
5
مدعوم من دول

⛓️ هجوم سلسلة التوريد — اختراق ماسح Trivy

زرع باب خلفي في ماسح الثغرات Trivy — ينتشر عبر Docker و GitHub

سلسلة التوريد استغلال نشط

اخترقت مجموعة القرصنة TeamPCP ماسح الثغرات مفتوح المصدر Trivy التابع لشركة Aqua Security. تم دفع إصدارات خبيثة (0.69.4–0.69.6) إلى Docker Hub تحتوي على برمجيات سرقة معلومات. امتد الهجوم إلى ما هو أبعد من Docker — حيث سيطرت TeamPCP على منظمة Aqua Security على GitHub للعبث بعشرات المستودعات. آخر إصدار نظيف معروف هو 0.69.3. تمت إزالة الصور الخبيثة لكن نطاق التأثير عبر بيئات المطورين لا يزال كبيراً.

صلة KENSAI

هذا بالضبط نوع اختراقات سلسلة التوريد التي يمكن لتحليل SBOM والفحص التبعي من KENSAI اكتشافها. إذا قام نظام CI/CD لديك بسحب صور Trivy خلال فترة الاختراق، فأنت بحاجة إلى تدقيق فوري. المؤسسات التي تستخدم المراقبة المستمرة من KENSAI كانت ستتلقى تنبيهات بالتغييرات غير المتوقعة في الملفات الثنائية.

المصادر: BleepingComputer، The Hacker News، SecurityWeek — ٢٣ مارس

TeamPCP تنشر ماسح تدمير Kubernetes يستهدف إيران

قرصنة ناشطة ماسح تدمير

نفس مجموعة TeamPCP المسؤولة عن اختراق Trivy تستهدف أيضاً مجموعات Kubernetes ببرمجية تدمير مدمرة. يكتشف السكربت الخبيث ما إذا كانت الأنظمة مُعدّة للبنية التحتية الإيرانية ويمسح جميع الأجهزة في حال تحقق الشرط. يمثل هذا تصعيداً كبيراً من سرقة البيانات إلى قدرات تدميرية كاملة داخل البيئات المحاوية.

المصدر: BleepingComputer — ٢٣ مارس

🔴 الثغرات الحرجة

CVE-2026-21992 — تنفيذ أوامر عن بُعد في Oracle Identity Manager (تصحيح طارئ)

CVE حرج احتمال استغلال

أصدرت Oracle تصحيحاً طارئاً خارج الجدول لثغرة CVE-2026-21992، وهي ثغرة حرجة في Oracle Identity Manager. تسمح الثغرة بـتنفيذ أوامر عن بُعد دون مصادقة وربما تم استغلالها فعلياً. يجب على المؤسسات التي تشغّل Oracle Identity Manager تطبيق التصحيح فوراً — هذه ثغرة RCE قبل المصادقة في نظام إدارة الهوية، مما يجعلها عالية القيمة للمهاجمين.

المصدر: SecurityWeek — ٢٣ مارس

CVE-2025-32975 (CVSS 10.0) — Quest KACE SMA تحت هجوم نشط

CVSS 10.0 استغلال نشط

يتم استغلال ثغرة بأقصى درجة خطورة في Quest KACE Systems Management Appliance بشكل نشط، وتستهدف بشكل خاص قطاع التعليم. رصدت Arctic Wolf نشاط استغلال بدءاً من الأسبوع الذي يبدأ في ٩ مارس على أنظمة SMA غير المُحدّثة المكشوفة على الإنترنت. نظراً لدرجة CVSS 10.0 والاستغلال المؤكد، يتطلب هذا تصحيحاً فورياً.

المصدر: The Hacker News، SecurityWeek — ٢٣ مارس

سلسلة استغلال DarkSword لنظام iOS — إضافة إلى كتالوج CISA KEV

٦ ثغرات مسلسلة استغلال نشط مدعوم من دول

أضافت CISA ثلاث ثغرات DarkSword (CVE-2025-31277، CVE-2025-43510، CVE-2025-43520) إلى كتالوج الثغرات المُستغلة المعروفة. DarkSword هو حزمة استغلال متطورة لنظام iOS تسلسل ٦ ثغرات للهروب من الصندوق الرملي وتصعيد الامتيازات وتنفيذ الأوامر عن بُعد على أجهزة iPhone (iOS 18.4–18.7). مرتبطة بمورّد المراقبة التجاري التركي PARS Defense (UNC6748) ومجموعة التجسس الروسية UNC6353. تم نشر ثلاث عائلات من البرمجيات الخبيثة: GhostBlade و GhostKnife و GhostSaber. على الوكالات الفيدرالية التصحيح قبل ٣ أبريل.

المصدر: BleepingComputer، CISA — ٢٣ مارس

QNAP تُصحّح أربع ثغرات من مسابقة Pwn2Own

Pwn2Own

صحّحت QNAP أربع ثغرات تم عرضها في مسابقة Pwn2Own، تسمح بكشف المعلومات وتنفيذ الأوامر وسلوك غير متوقع على أجهزة NAS. نظراً لتاريخ QNAP كهدف لبرامج الفدية، فإن التصحيح الفوري ضروري.

المصدر: SecurityWeek — ٢٣ مارس

💾 خروقات البيانات

Crunchyroll تحقق في خرق — ادّعاء سرقة بيانات ٦.٨ مليون مستخدم

خرق بيانات

تحقق منصة بث الأنمي الشهيرة Crunchyroll (المملوكة لشركة Sony) بعد ادّعاء قراصنة سرقة بيانات شخصية لنحو ٦.٨ مليون مستخدم. التحقيق جارٍ — لا يزال يتم التحقق من النطاق والمصداقية.

المصدر: BleepingComputer — ٢٣ مارس

Mazda تكشف عن خرق بيانات الموظفين والشركاء

خرق بيانات

أكدت شركة Mazda Motor Corporation حادثة أمنية اكتُشفت لأول مرة في ديسمبر ٢٠٢٥ كشفت بيانات الموظفين وشركاء الأعمال. جاء الإفصاح في مارس ٢٠٢٦، مما يسلط الضوء على الفجوة المستمرة بين الاكتشاف والإفصاح العام في قطاع السيارات.

المصدر: BleepingComputer — ٢٣ مارس

شركة Trio-Tech التابعة لقطاع أشباه الموصلات تتعرض لبرنامج فدية

برنامج فدية خرق بيانات

كشفت شركة خدمات الرقائق Trio-Tech International أن شركة تابعة لها في سنغافورة تعرضت لبرنامج فدية مشفّر للملفات. تستمر سلسلة توريد أشباه الموصلات في الاستهداف، حيث تواجه شركات التصنيع وخدمات الرقائق ضغطاً متزايداً من برامج الفدية.

المصدر: SecurityWeek — ٢٣ مارس

🕵️ النشاط المدعوم من الدول و APT

FBI/CISA: قراصنة روس يشنّون حملة تصيّد واسعة على مستخدمي Signal و WhatsApp

روسيا / استخبارات تصيّد واسع النطاق

أصدر FBI و CISA تحذيراً مشتركاً بأن أجهزة الاستخبارات الروسية تشنّ حملات تصيّد احتيالي واسعة النطاق تستهدف حسابات Signal و WhatsApp لأفراد ذوي قيمة عالية — مسؤولين حكوميين وعسكريين وشخصيات سياسية وصحفيين. تم اختراق آلاف الحسابات عالمياً. بمجرد الدخول، يطّلع المهاجمون على الرسائل ويستخرجون جهات الاتصال ويشنّون المزيد من عمليات التصيّد من هويات موثوقة.

المصدر: The Hacker News، FBI — ٢١–٢٣ مارس

FBI يحذر من قراصنة Handala الإيرانيين الذين يستخدمون Telegram لنشر البرمجيات الخبيثة

إيران / MOIS

حذر FBI من أن قراصنة إيرانيين مرتبطين بوزارة الاستخبارات والأمن (MOIS) — المعروفين باسم Handala — يستخدمون Telegram لتوزيع البرمجيات الخبيثة. أكدت الولايات المتحدة ارتباط Handala بالحكومة الإيرانية وصادرت عدة نطاقات استُخدمت في عملياتهم النفسية السيبرانية.

المصدر: BleepingComputer، SecurityWeek — ٢٣ مارس

قراصنة كوريا الشمالية يستغلون VS Code لنشر برمجية StoatWaffle الخبيثة

كوريا الشمالية / WaterPlum

تقوم مجموعة التهديد Contagious Interview (WaterPlum) بتوزيع برمجية StoatWaffle الخبيثة عبر مشاريع VS Code خبيثة. يستغل الهجوم ميزة التشغيل التلقائي tasks.json في VS Code — وهو تكتيك جديد نسبياً اعتُمد منذ ديسمبر ٢٠٢٥. يستهدف المطورين الذين يفتحون مشاريع VS Code تبدو مشروعة، مما يؤدي إلى تنفيذ البرمجيات الخبيثة تلقائياً.

المصدر: The Hacker News — ٢٣ مارس

🎣 التصيّد الاحتيالي والهندسة الاجتماعية

منصة Tycoon2FA للتصيّد كخدمة تعود بكامل قوتها بعد تدخل الشرطة

التصيّد كخدمة

منصة التصيّد Tycoon2FA التي عطّلتها Europol في ٤ مارس عادت بالفعل إلى مستويات النشاط السابقة. لم تتغير أحجام الهجمات والتكتيكات، مما يُظهر مرونة البنية التحتية للجرائم السيبرانية أمام عمليات إنفاذ القانون. تتخصص المنصة في تجاوز المصادقة الثنائية.

المصدر: BleepingComputer، SecurityWeek — ٢٣ مارس

Microsoft: حملة تصيّد موسم الضرائب IRS تصيب ٢٩,٠٠٠ مستخدم

حملة تصيّد

حذرت Microsoft من حملات تصيّد واسعة النطاق تستغل إلحاح موسم الضرائب الأمريكي. تم استهداف أكثر من ٢٩,٠٠٠ مستخدم بإشعارات مزيفة لاسترداد الضرائب من IRS ونماذج رواتب وتذكيرات بالتقديم. تنشر الحملات برمجيات المراقبة والإدارة عن بُعد (RMM) وتستفيد من منصات PhaaS. تستهدف الأفراد ومحترفي الضرائب الذين لديهم وصول إلى بيانات مالية حساسة.

المصدر: The Hacker News، Microsoft — ٢٣ مارس

📊 الاتجاهات الناشئة والأبحاث

M-Trends 2026: زمن تسليم الوصول الأولي ينخفض إلى ٢٢ ثانية

أبحاث / Mandiant

يكشف تقرير M-Trends 2026 من Mandiant، المبني على أكثر من ٥٠٠,٠٠٠ ساعة من الاستجابة للحوادث، أن الوقت بين اختراق وسيط الوصول الأولي وتسليمه لمشغّلي برامج الفدية انخفض من ساعات إلى ٢٢ ثانية فقط. هذا يقلّص بشكل كبير نافذة الكشف والاستجابة للمدافعين قبل نشر برامج الفدية.

صلة KENSAI

زمن تسليم ٢٢ ثانية يعني أن الفرز اليدوي في مركز العمليات الأمنية لم يعد قابلاً للتطبيق لاكتشاف الوصول الأولي. الفحص الآلي المستمر — مثل نهج KENSAI — يصبح الدفاع الواقعي الوحيد. المؤسسات التي لا تملك قدرات استجابة آلية أصبحت عملياً بلا دفاع أمام سرعة الهجوم هذه.

المصدر: SecurityWeek / Mandiant — ٢٣ مارس

اكتشاف ثمانية متجهات هجوم في AWS Bedrock

أبحاث أمن الذكاء الاصطناعي

رسم فريق أبحاث التهديدات في XM Cyber ثمانية متجهات هجوم مُتحقق منها في منصة AWS Bedrock للذكاء الاصطناعي: التلاعب بالسجلات، واختراق قاعدة المعرفة، واختطاف الوكيل، وحقن التدفق، وتدهور حواجز الحماية، وتسميم المطالبات. مع حصول وكلاء الذكاء الاصطناعي على وصول إلى بيانات المؤسسة (Salesforce، Lambda، SharePoint)، تصبح أسطح هجوم عالية القيمة بصلاحيات ووصول إلى الأصول الحرجة.

صلة KENSAI

أمن البنية التحتية للذكاء الاصطناعي جبهة ناشئة. مع ربط المؤسسات لوكلاء الذكاء الاصطناعي بأنظمة الإنتاج، يتوسع سطح الهجوم بشكل كبير. يتوافق هذا مع موقع KENSAI في أمن الذكاء الاصطناعي — فحص وتأمين البنية التحتية التي تشغّل أنظمة الذكاء الاصطناعي.

المصدر: The Hacker News / XM Cyber — ٢٣ مارس

الهجمات المبنية على المتصفح تتجاوز الضوابط الأمنية التقليدية

أبحاث / Push Security

يوثّق تقرير جديد من Push Security كيف أن الهجمات المبنية على المتصفح — تصيّد AITM وخدعة ClickFix وتطبيقات OAuth الخبيثة واختطاف الجلسات — تقود أكبر الخروقات اليوم وتتهرب من الضوابط الأمنية التقليدية. أصبح المتصفح بشكل متزايد سطح الهجوم الأساسي.

المصدر: BleepingComputer / Push Security — ٢٣ مارس

💰 القطاع والتمويل

Cape تجمع ١٠٠ مليون دولار لأمن الاتصالات الخلوية

تمويل

جمعت Cape، مشغّل شبكة افتراضية محمولة (MVNO) يركّز على الخصوصية، ١٠٠ مليون دولار للحماية من تهديدات أمن الاتصالات الخلوية — لخدمة المستهلكين والمؤسسات والعملاء الحكوميين.

المصدر: SecurityWeek — ٢٣ مارس

Eclypsium تجمع ٢٥ مليون دولار لأمن سلسلة توريد الأجهزة

تمويل

حصلت Eclypsium على ٢٥ مليون دولار لتوسيع منصتها لأمن سلسلة توريد الأجهزة وتنمية شراكات القنوات. توقيت مناسب بالنظر إلى هجوم سلسلة توريد Trivy الذي يهيمن على أخبار اليوم.

المصدر: SecurityWeek — ٢٣ مارس

توجيه اتهامات لـ ٣ أشخاص بتهريب عتاد الذكاء الاصطناعي إلى الصين

ضوابط التصدير

وُجّهت اتهامات لثلاثة أشخاص بالتآمر لانتهاك ضوابط التصدير الأمريكية عبر تحويل كميات ضخمة من خوادم الذكاء الاصطناعي عالية الأداء المُجمّعة في الولايات المتحدة إلى الصين. يعكس هذا التوتر الجيوسياسي المستمر حول الوصول إلى عتاد الذكاء الاصطناعي.

المصدر: SecurityWeek — ٢٣ مارس

📋 الامتثال والتنظيم

المملكة المتحدة تشدّد متطلبات الإبلاغ عن الحوادث السيبرانية

تنظيم

تعمل المملكة المتحدة على تعزيز متطلبات الإبلاغ الإلزامي عن الحوادث السيبرانية. مع تسارع تطبيق NIS2 عبر الاتحاد الأوروبي، تواجه المؤسسات شبكة متزايدة التعقيد من التزامات الإبلاغ. يصبح الإبلاغ الآلي عن الامتثال — وهو ميزة تميّز KENSAI — أمراً ضرورياً.

المصدر: SecurityWeek — ٢٣ مارس