الإحاطة اليومية بالتهديدات
🔓 اختراقات البيانات والتسريبات
اختراق بيانات Hightower Holding — 130,000 متأثر
تأثير عالٍكشفت شركة الاستثمار المالي Hightower أن قراصنة قاموا بسرقة أسماء وأرقام الضمان الاجتماعي وأرقام رخص القيادة من بيئتها. تأثر حوالي 130,000 شخص. يُبرز الاختراق الاستهداف المستمر لشركات الخدمات المالية التي تحتفظ بمجموعات بيانات شخصية كبيرة.
Ajax Amsterdam FC — بيانات المشجعين مكشوفة، اختطاف التذاكر
متوسطكشف نادي كرة القدم الهولندي AFC Ajax عن اختراق استغل فيه قرصان ثغرات في أنظمة تكنولوجيا المعلومات، ووصل إلى البيانات الشخصية لعدة مئات من المشجعين. أتاح الوصول إمكانية اختطاف التذاكر. يوضح كيف تواجه حتى المنظمات «غير التقنية» هجمات متطورة عندما تحتفظ ببيانات المستهلكين.
اعتقال مدير LeakBase في روسيا
إنفاذ القانوناعتقلت الشرطة الروسية مقيماً في تاغانروغ يُعتقد أنه مالك LeakBase، وهو منتدى رئيسي للجرائم الإلكترونية لتداول قواعد البيانات المسروقة وأدوات القرصنة، يعمل منذ 2021. تم مصادرة معدات تقنية. بشكل منفصل، تم تسليم المشتبه به كمدير لسارق المعلومات RedLine، هامبردزوم ميناسيان، من أرمينيا إلى الولايات المتحدة لمواجهة تهم جنائية.
🚨 ثغرات CVE الحرجة والثغرات الأمنية
CVE-2026-33017 — Langflow AI Framework RCE (CVSS 9.3)
حرج 9.3أضافت CISA الثغرة CVE-2026-33017 إلى كتالوج الثغرات المستغلة المعروفة. تؤثر الثغرة على Langflow ≤1.8.1، وهو إطار عمل شائع مفتوح المصدر لسير عمل الذكاء الاصطناعي (145 ألف نجمة على GitHub). يسمح بتنفيذ التعليمات البرمجية عن بُعد بدون مصادقة عبر طلب HTTP واحد مُعدّ بسبب تنفيذ تدفقات غير محمية. بدأ الاستغلال بعد 20 ساعة فقط من الإفصاح — لم يكن هناك إثبات مفهوم عام؛ قام المهاجمون بهندسة عكسية للاستغلالات من الإرشاد وحده. حدث الفحص الآلي → الاستغلال → جمع البيانات (.env، .db) خلال 24 ساعة.
PolyShell — RCE غير مصادق عليها في Magento/Adobe Commerce
حرجثغرة جديدة تُدعى PolyShell تؤثر على Magento Open Source وAdobe Commerce، وتسمح برفع ملفات غير مصادق عليها يؤدي إلى RCE عبر REST API. تحت استغلال جماعي منذ 19 مارس، مع أكثر من 50 عنوان IP يقوم بالفحص. تُفيد Sansec أن 56.7% من المتاجر الضعيفة تعرضت للهجوم. تم نشر سارق مدفوعات جديد قائم على WebRTC عبر هذا المسار، متجاوزاً سياسة أمان المحتوى باستخدام قنوات UDP مشفرة بـDTLS بدلاً من HTTP. التصحيح متاح فقط في النسخة التجريبية (2.4.9-beta1).
BIND DNS — ثغرات OOM عالية الخطورة
عالٍأصدرت ISC تحديثات تُصلح ثغرات عالية الخطورة في محللات BIND DNS. يمكن أن تُسبب نطاقات مُصممة خصيصاً حالات نفاد الذاكرة المؤدية إلى تسرب الذاكرة ورفض الخدمة المحتمل. يجب على مشغلي البنية التحتية لـDNS تطبيق التصحيحات فوراً.
Cisco IOS — إصلاح ثغرات متعددة
عالٍأصدرت Cisco تصحيحات لثغرات متعددة في برنامج IOS، تُعالج عيوباً قد تؤدي إلى رفض الخدمة وتجاوز الإقلاع الآمن وكشف المعلومات وتصعيد الصلاحيات. يجب تحديث البنية التحتية للشبكة التي تعمل بـCisco IOS.
Apple iOS/macOS 26.4 — تصحيحات أمنية
متوسطأصدرت Apple إصلاحات أمنية لـiOS/macOS 26.4، بالإضافة إلى تصحيحات للإصدارات القديمة: iOS 18.7.7، iPadOS 18.7.7، macOS Sequoia 15.7.5، وmacOS Sonoma 14.8.5. قم بتحديث جميع أجهزة Apple على الفور.
☠️ حملات التهديدات والبرمجيات الخبيثة
Red Menshen (الصين) — اختراق عميق للعمود الفقري للاتصالات عبر BPFDoor
APTمدعوم من دولةقام ممثل التهديد المرتبط بالصين Red Menshen (Earth Bluecrow / DecisiveArchitect) بزرع غرسات على مستوى النواة وأبواب خلفية سلبية في عمق شبكات الاتصالات في الشرق الأوسط وآسيا منذ 2021. وصفت Rapid7 هذه بأنها "بعض أكثر الخلايا النائمة الرقمية تخفياً" على الإطلاق. تُمكّن غرسات BPFDoor من التجسس المستمر طويل الأمد على الشبكات الحكومية عبر اختراق البنية التحتية للاتصالات.
Sandworm (روسيا) — أبواب خلفية عبر برمجيات مقرصنة
APTمدعوم من دولةمجموعة APT الروسية Sandworm تقوم بتوزيع أبواب خلفية (Tambur، Sumbur، Kalambur، DemiMur) عبر برمجيات مقرصنة مثل "Microsoft.Office.2025x64". تستخدم Telegram كقناة توزيع تستهدف المستخدمين الأوكرانيين الباحثين عن كراكات البرمجيات. يفرض DemiMur استيراد شهادات جذر مزورة في مخزن ثقة نظام التشغيل، مما يُمكّن من التلاعب المستمر بسلسلة الثقة.
Coruna iOS Exploit Framework — تطور Operation Triangulation
ZERO-CLICKتم التعرف على مجموعة استغلال Coruna كتطور للإطار المستخدم في Operation Triangulation، حملة 2023 التي استهدفت أجهزة iPhone عبر استغلالات iMessage بدون نقر. يمثل هذا استمرار تطوير قدرات استغلال الأجهزة المحمولة المتطورة.
Keenadu — باب خلفي على مستوى البرمجيات الثابتة لأندرويد ينتشر
FIRMWAREاكتشفت Sophos باب Keenadu الخلفي، وهو باب خلفي مضمن في libandroid_runtime.so الخاص بأندرويد يحقن نفسه في عملية Zygote (الأب لجميع تطبيقات أندرويد)، مما يمنح المهاجمين السيطرة الكاملة على الجهاز. تم اكتشاف أكثر من 500 جهاز مخترق عبر حوالي 50 طرازاً، معظمها أجهزة منخفضة التكلفة من Allview وBLU وDcode وDOOGEE وغيرها. يتم شحنها مثبتة مسبقاً من المصنع.
TeamPCP — اختراق سلسلة التوريد عبر أنظمة بيئية متعددة
سلسلة التوريدتوسعت مجموعة التهديدات TeamPCP من اختراق وسوم GitHub Action (بدايةً Trivy) إلى مهاجمة NPM وDocker Hub وVS Code Extensions وPyPI. يُزعم أن المجموعة تعاونت مع Lapsus$ لشن هجمات أوسع على سلسلة التوريد عبر أنظمة حزم متعددة.
TikTok for Business — حملة تصيد مع تقنيات مضادة للروبوتات
PHISHINGحملة تصيد جديدة تستهدف حسابات TikTok for Business تستخدم تقنيات مضادة للروبوتات لمنع أدوات الأمان من تحليل الصفحات الخبيثة. تظل حسابات وسائل التواصل الاجتماعي التجارية أهدافاً عالية القيمة لسرقة بيانات الاعتماد.
بريطانيا تفرض عقوبات على سوق Xinbi
عقوباتفرضت المملكة المتحدة عقوبات على Xinbi، وهو سوق عملات مشفرة باللغة الصينية يبيع بيانات مسروقة ومعدات إنترنت فضائي لشبكات الاحتيال في جنوب شرق آسيا. مرتبط بعمليات الاحتيال من نوع "ذبح الخنازير" وعمليات احتيال منظمة أخرى.
🛡️ أدوات الأمان وأخبار القطاع
مؤتمر RSAC 2026 — إعلانات اليوم الثاني
RSAC 2026مؤتمر RSAC 2026 جارٍ مع إعلانات رئيسية من المورّدين. تشمل المواضيع الرئيسية عمليات الأمان المدعومة بالذكاء الاصطناعي، والاستعداد لتشفير ما بعد الكم، واستراتيجيات الدفاع المرتكزة على الهوية.
Dell وHP — أمان أجهزة مقاوم للحوسبة الكمّية
PQCأعلنت كل من Dell وHP عن قدرات أمان جديدة مقاومة للحوسبة الكمّية لأجهزة الكمبيوتر والطابعات، متوافقة مع الجدول الزمني لهجرة PQC لعام 2029 الذي نشرته Google مؤخراً. تقوم Google بدمج ML-DSA في عملية الإقلاع الموثّق لأندرويد 17.
GitHub — كشف الثغرات بالذكاء الاصطناعي
AI SECURITYأعلنت GitHub عن كشف أمني مدعوم بالذكاء الاصطناعي في GitHub Code Security، مُكمّلاً لـCodeQL لإيجاد الثغرات التي يفوّتها التحليل الثابت التقليدي. يُظهر نموذج الكشف الهجين المشاكل والإصلاحات المقترحة ضمن مهام سير عمل طلبات السحب. المعاينة العامة متوقعة في بداية الربع الثاني 2026.
Onit Security — 11 مليون دولار لإدارة التعرض
تمويلجمعت Onit Security مبلغ 11 مليون دولار للاستثمار في منصة إدارة التعرض والتوسع في قطاعات جديدة. يستمر مجال إدارة التعرض في جذب الاستثمارات مع سعي المنظمات للحصول على رؤية مستمرة لسطح هجومها.
FCC تحظر أجهزة التوجيه الاستهلاكية المصنعة في الخارج
تنظيمحظرت FCC أجهزة التوجيه الاستهلاكية الجديدة المصنعة خارج الولايات المتحدة، مستشهدة بمخاطر الأمن القومي. يتماشى الحظر مع قرار البيت الأبيض بأن جميع أجهزة التوجيه المصنعة في الخارج تشكل تهديداً أمنياً. تداعيات كبيرة على سلسلة توريد صناعة الشبكات.
📊 الأنماط الناشئة
1. البنية التحتية للذكاء الاصطناعي هي سطح الهجوم الجديد
CVE-2026-33017 (Langflow) تم استغلاله في 20 ساعة. أدوات سير عمل الذكاء الاصطناعي مكشوفة على الإنترنت، وغالباً غير مُصحّحة، وتحتفظ بمفاتيح API وبيانات اعتماد السحابة. توقع المزيد من ثغرات CVE الخاصة بالذكاء الاصطناعي مع تسارع التبني. يجب على المنظمات التي تنشر أدوات الذكاء الاصطناعي معاملتها كبنية تحتية حرجة.
2. تجاوز CSP عبر قنوات غير HTTP
يمثل سارق المدفوعات WebRTC تحولاً في النموذج: يستخدم المهاجمون قنوات بيانات UDP مشفرة بـDTLS لتسريب البيانات بشكل غير مرئي تماماً لأدوات الأمان المُركّزة على HTTP. لم تعد CSP وحدها كافية. يجب أن تتوسع المراقبة الأمنية لتشمل WebRTC وWebSocket وواجهات برمجة التطبيقات الأخرى للمتصفح.
3. هجمات سلسلة التوريد تصبح عابرة للأنظمة البيئية
توسع TeamPCP من GitHub Actions → NPM → Docker Hub → VS Code → PyPI يُظهر أن المهاجمين يعاملون النظام البيئي الكامل للبرمجيات مفتوحة المصدر كسطح هجوم واحد. اختراق مدير حزم واحد يوفر موطئ قدم في الآخرين. أصبحت SBOM ومراقبة التبعيات ضرورية وليست اختيارية.
4. الجدول الزمني لتشفير ما بعد الكم يتبلور
الموعد النهائي لهجرة PQC 2029 من Google + إعلانات أجهزة Dell/HP + تكامل ML-DSA في أندرويد 17 تُشير إلى أن PQC ينتقل من النظري إلى العملي. هجمات «خزّن الآن، فكّ التشفير لاحقاً» تجعل هذا تهديداً حالياً وليس مستقبلياً. يجب على المنظمات المشمولة بـNIS2 البدء في تقييمات الاستعداد لـPQC.
5. الهوية تظل الحلقة الأضعف
يؤكد بحث PwC أن الذكاء الاصطناعي يُضخّم سرعة ونطاق الهجمات، بينما يتطور سرقة الهوية إلى سلسلة توريد إجرامية سيبرانية كاملة. تسليم مدير RedLine وإغلاق LeakBase يُظهران مدى تصنيع سرقة بيانات الاعتماد. تقنيات تجاوز MFA تستمر في التطور بالتوازي مع مجموعات تصيد AITM.
6. اختراق على مستوى البرمجيات الثابتة بنطاق واسع
Keenadu يُشحن مثبتاً مسبقاً على أكثر من 500 جهاز عبر 50 طرازاً يُظهر أن هجمات سلسلة توريد البرمجيات الثابتة حقيقية ومنتشرة. الأجهزة الرخيصة تظل وسائل للمراقبة الجماعية. المنظمات ذات سياسات BYOD تواجه مخاطر متزايدة من أجهزة المستهلكين المخترقة.