تتواصل التطورات المتسارعة في مشهد التهديدات السيبرانية، حيث تظهر مخاطر جديدة وتكتيكات مبتكرة وثغرات أمنية مستجدة عبر مختلف المنصات والأدوات والقطاعات. يهدف هذا التقرير إلى تسليط الضوء على أبرز المستجدات في عالم الأمن السيبراني، مع التركيز على التحديثات الهامة التي تشكل خارطة طريق للمدافعين في مواجهة التحديات المتزايدة.
تطورات الأمن السيبراني: تعزيز الخصوصية وتوسع برامج الفدية
شهد مطلع عام 2026 العديد من التحديثات الهامة في مجال الأمن السيبراني، بدءًا بتعزيز نماذج الخصوصية في أنظمة التشغيل وصولاً إلى توسع نطاق هجمات برامج الفدية (Ransomware-as-a-Service – RaaS) لتشمل منصات جديدة.
تعزيز خصوصية مستخدمي أندرويد
أعلنت جوجل عن إطلاق النسخة التجريبية الأولى من نظام التشغيل “أندرويد 17″، والتي تتضمن تحسينات جوهرية في مجال الخصوصية والأمان. يشمل ذلك التخلي عن سمة “Cleartext Traffic Attribute” دعماً لخاصية HPKE Hybrid Cryptography، التي تتيح الاتصالات الآمنة عبر مزيج من التشفير المفتاحي العام والتشفير المتماثل. وأوضحت جوجل أن التطبيقات التي تستهدف “أندرويد 17” أو أعلى وتعتمد على الاتصالات غير المشفرة ستُمنع تلقائياً، مع تشجيع المطورين على التحول إلى ملفات تكوين الشبكة لتوفير تحكم أدق.
برامج الفدية (RaaS) توسع نطاقها
كشف تحليل حديث لإصدار LockBit 5.0 عن قدرات متطورة في النسخة المخصصة لنظام ويندوز، تشمل تقنيات مراوغة للدفاع وتحليل البرمجيات الخبيثة. ومن أبرز ما يميز هذا الإصدار الجديد هو قدرته المعلنة على العمل عبر جميع إصدارات Proxmox، وهي منصة افتراضية مفتوحة المصدر تكتسب شعبية متزايدة كبديل للأنظمة التجارية. هذا التوسع يجعله هدفاً رئيسياً لهجمات برامج الفدية.
هجمات تصيداحتكشف تكتيكات جديدة
بالتوازي مع التطورات في الأنظمة، تتكشف أيضاً تقنيات هجومية جديدة تستغل حيل الهندسة الاجتماعية لتضليل المستخدمين وسرقة بياناتهم.
نصب احتيالي متجدد لمستخدمي ماك
فصّل باحثون في مجال الأمن السيبراني تطوراً جديداً في تكتيك ClickFix، الذي يستهدف مستخدمي أنظمة macOS. يعرف هذا المتغير باسم “Matryoshka” بسبب طبقات التعمية المتداخلة، حيث يستخدم تدفق تثبيت أو إصلاح وهمي لخداع الضحايا لتنفيذ أمر ترمينال خبيث. ورغم أن تكتيك ClickFix ليس جديداً، إلا أن الحملة الحالية تقدم تقنيات مراوغة أقوى، بما في ذلك غلاف مضغوط يعمل في الذاكرة واتصالات شبكية مقيدة، بهدف تعطيل التحليل الثابت وأجهزة المحاكاة الآلية.
حملة ClickFix تستهدف بيانات الاعتماد
في حملة ClickFix أخرى رصدت في فبراير 2026، تم اكتشاف تحميل لبرمجية خبيثة كخدمة (MaaS) معروفة باسم Matanbuchus 3.0. هدفت الحملة إلى نشر برامج فدية أو سرقة بيانات، حيث تقدم الفاعل الخبيث بسرعة من الوصول الأولي إلى الحركة الجانبية نحو وحدات التحكم بالنطاق. وشملت الهجمة أيضاً نشر أداة مخصصة تعرف بـ AstarionRAT، تدعم 24 أمراً لتسهيل سرقة بيانات الاعتماد، وتوفرproxy، وفحص المنافذ، وتحميل التعليمات البرمجية الانعكاسية، وتنفيذ الأوامر. وتشير البيانات إلى أن ClickFix كان مسؤولاً عن 53% من مجمل نشاط تحميل البرمجيات الخبيثة في عام 2025.
استغلال “Homebrew” لسرقة حسابات ماك
في حملة ClickFix أخرى، يعتمد المهاجمون على المواقع الوهمية التي تحاكي برنامج Homebrew لأخذ بيانات الاعتماد. يتم خداع المستخدمين للصق أوامر في تطبيق Terminal بحجة تثبيت مدير الحزم. تستخدم هذه الأوامر في سلسلة الهجوم لتحميل برمجية لسرقة بيانات الاعتماد وأداة تجسس أخرى خاصة بـ macOS تسمى Cuckoo Stealer. تتيح هذه الأداة الحصول على بيانات الاعتماد، وإنشاء اتصال ثابت، وجمع بيانات الاعتماد من المتصفحات، ومفاتيح الجلسات، وبيانات Apple Keychain، وتطبيقات محافظ العملات المشفرة.
اعتقالات واستغلال ثغرات أمنية
إلى جانب التهديدات البرمجية، تشهد الساحة الأمنية أيضاً إجراءات قانونية ضد مجرمي الإنترنت وجهوداً لتصحيح الثغرات الخطيرة.
اعتقال تابع لمجموعة Phobos في أوروبا
ألقت السلطات البولندية القبض على رجل يبلغ من العمر 47 عاماً للاشتباه في ارتباطه بمجموعة Phobos لبرامج الفدية، وسط حملة دولية تستهدف مجموعات برامج الفدية. وقد عثرت السلطات على أجهزة تحتوي على معلومات حساسة قد تستخدم في شن هجمات. تعد هذه الاعتقالات جزءاً من عملية دولية واسعة تستهدف مجرمي الإنترنت.
زيادة هجمات الفدية على القطاعات الصناعية
حذرت شركة Dragos من زيادة حادة في عدد مجموعات برامج الفدية التي تستهدف المنظمات الصناعية، حيث استغل المجرمون نقاط الضعف في تكنولوجيا التشغيل (OT) وأنظمة التحكم الصناعي (ICS). وتضاعف عدد المنظمات الصناعية التي استهدفت ببرامج الفدية في عام 2025 مقارنة بعام 2024، مع تصدر قطاع التصنيع وقطاع النقل قائمة القطاعات الأكثر استهدافاً.
تجاوز Copilot لسياسات منع فقدان البيانات
أقرت مايكروسوفت بوجود خلل في Microsoft 365 Copilot سمح له بتلخيص رسائل البريد الإلكتروني السرية من مجلدات “العناصر المرسلة” و”المسودات” دون إذن. وقد قامت الشركة بنشر تحديث لمعالجة هذا الخلل، ولكن لم يتم الكشف عن عدد المستخدمين أو المؤسسات المتأثرة.
استغلال Jira لشن حملات بريد مزعج
يستغل المهاجمون منصة Atlassian Jira Cloud ونظام البريد الإلكتروني المرتبط بها لتنفيذ حملات بريد مزعج آلي وتجاوز ضوابط البريد الإلكتروني التقليدية. يتم ذلك عبر إنشاء حسابات تجريبية على Jira Cloud بأسماء عشوائية، وإنشاء قوائم بريدية مستهدفة بلغات مختلفة. وتستهدف هذه الحملات منظمات تستخدم Jira، بهدف توجيه المستخدمين إلى صفحات احتيالية.
تحديث CISA لثغرة GitLab
أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرة أمنية في GitLab (CVE-2021-22175) إلى قائمة الثغرات المعروفة والمستغلة، مما يلزم الوكالات الحكومية الفيدرالية بتطبيق التحديث الأمني بحلول مارس 2026. تمثل هذه الثغرة خطراً يتعلق بتزوير الطلبات من جانب الخادم (SSRF).
بوتات Telegram تساهم في هجمات التصيد
تستهدف جهة فاعلة تهديدية تعرف بـ GS7، ذات الدوافع المالية، شركات Fortune 500 في حملة تصيد جديدة تستغل علامات تجارية معروفة لإنشاء مواقع ويب وهمية لسرقة بيانات الاعتماد عبر بوتات Telegram. تستهدف الحملة المؤسسات المالية الكبرى، إضافة إلى شركات في قطاعات التكنولوجيا والرعاية الصحية والاتصالات.
Remcos RAT يركز على المراقبة المباشرة
تشير تقارير إلى تحول في سلوك عائلة برامج Remcos RAT، حيث تستخدم الآن رسائل البريد الإلكتروني كطريقة توزيع رئيسية، مع التركيز على الاتصال المباشر بوحدات القيادة والتحكم (C2) للمراقبة الحية. يأتي هذا التحول من استخلاص البيانات المحلي إلى المراقبة الحية عبر الإنترنت، مما يزيد من مخاطر التجسس الفوري.
قيود على المركبات الصينية في القواعد العسكرية البولندية
فرضت وزارة الدفاع البولندية حظراً على السيارات الصينية والمركبات المجهزة بتقنيات تسجيل المواقع أو الصور أو الصوت في المنشآت العسكرية المحمية، وذلك لأسباب تتعلق بالأمن القومي وتقليل مخاطر الوصول إلى البيانات الحساسة.
هجمات DKIM replay تستغل الفواتير
يستغل المهاجمون الفواتير والإشعارات المشروعة من بائعين موثوقين مثل PayPal وApple لتجاوز ضوابط البريد الإلكتروني. ويتم ذلك عبر استغلال وظيفة إدخال “اسم البائع” أو إضافة ملاحظات مخصصة في هذه المنصات، ودمج تعليمات احتيالية فيها. هذه الرسائل، التي تبدو أصلية، تتجاوز إجراءات التحقق مثل DMARC.
ارتفاع استغلال برامج RMM بنسبة 277%
أظهر تقرير حديث زيادة هائلة في استغلال برامج المراقبة والإدارة عن بُعد (RMM) من قبل الجهات الفاعلة في مجال التهديدات، حيث شكلت 24% من جميع الحوادث المرصودة. يفضل المهاجمون هذه الأدوات بسبب انتشارها في بيئات الشركات والطبيعة الموثوقة للبرامج، مما يجعل النشاط الضار يندمج مع الاستخدام المشروع.
تكساس تستهدف شركات تقنية مرتبطة بالصين
رفعت وزارة العدل في ولاية تكساس دعوى قضائية ضد شركتي TP-Link وAnzu Robotics، متهمة إياهما بتسويق منتجاتهما بشكل خادع والسماح للحزب الشيوعي الصيني بالوصول إلى أجهزة المستهلكين الأمريكيين. وتدعي الدعوى أن منتجات TP Link استخدمت من قبل مجموعات قرصنة صينية لشن هجمات سيبرانية ضد الولايات المتحدة.
نقاط ضعف في MetaMask تخدم حملات كوريا الشمالية
تستهدف الحملة التي تقودها جهة مرتبطة بكوريا الشمالية، والمعروفة باسم Contagious Interview، متخصصي تقنية المعلومات في قطاعات العملات المشفرة و Web3 والذكاء الاصطناعي لسرقة البيانات والمعلومات المالية. وقد وسعت الحملة الأخيرة قدراتها في سرقة البيانات من خلال التلاعب بملحق MetaMask الخاص بالمحافظ الرقمية عبر باب خلفي. يتيح الباب الخلفي للمهاجمين تجهيز نظام الضحية لتنزيل وتثبيت نسخة زائفة من MetaMask، والتي تلتقط كلمة مرور المحفظة.
أدوات Booking.com تستهدف الفنادق والضيوف
حذرت Bridewell من عودة النشاط الخبيث الذي يستهدف قطاعي الفنادق والتجزئة. الدافع الرئيسي وراء هذه الحوادث هو الاحتيال المالي. يستخدم المهاجمون انتحال صفة منصة Booking.com عبر مجموعات تصيد احتيالي مخصصة لسرقة بيانات الاعتماد والمعلومات المصرفية من كل من الفنادق والعملاء.
استغلال ثغرات EPMM يتيح الوصول المستمر
استغل المخترقون الثغرات الأمنية المكتشفة حديثاً في Ivanti Endpoint Manager Mobile (EPMM) لإنشاء اتصال عكسي (reverse shell)، وتثبيت أغلفة ويب (JSP web shells)، وإجراء استطلاع، وتنزيل برمجيات خبيثة. تسمح الثغرات، CVE-2026-1281 و CVE-2026-1340، للمهاجمين عن بعد بتنفيذ تعليمات برمجية عشوائية على الخوادم المستهدفة، مما يمنحهم السيطرة الكاملة على البنية التحتية لإدارة الأجهزة المحمولة.
كلمات مرور مولدة بالذكاء الاصطناعي تفتقر للعشوائية
أظهرت أبحاث جديدة أن كلمات المرور التي يتم إنشاؤها مباشرة بواسطة نموذج لغوي كبير (LLM) قد تبدو قوية، لكنها غير آمنة بشكل أساسي. تم اكتشاف كلمات مرور مولدة بالذكاء الاصطناعي في سياقات تطوير البرمجيات، بدلاً من الاعتماد على طرق توليد كلمات المرور الآمنة التقليدية. تنصح الأبحاث بعدم الاعتماد على نماذج اللغة لتوليد كلمات المرور.
ثغرات في محرك PDF تتيح الاستيلاء على الحسابات
اكتشف باحثون في الأمن السيبراني أكثر من اثنتي عشرة ثغرة في منصات PDF شائعة من Foxit و Apryse، مما قد يسمح للمهاجمين باستغلالها للاستيلاء على الحسابات، واختطاف الجلسات، وتسريب البيانات، وتنفيذ JavaScript عشوائي. وقد عالجت كل من Apryse و Foxit هذه الثغرات بتحديثات المنتجات.
مختبرات التدريب تعرض أبواباً خلفية للسحابة
تم اكتشاف مشكلة أمنية واسعة النطاق حيث تكشف شركات الأمن بشكل غير مقصود عن تطبيقات تدريب ضعيفة بشكل متعمد، مثل OWASP Juice Shop، للإنترنت العام. يمكن أن يؤدي ذلك إلى تعريض المؤسسات لمخاطر أمنية شديدة عند تنفيذها من حساب سحابي مميز. تم اكتشاف أن الجهات الفاعلة في مجال التهديدات تستغل هذه النقطة العمياء لزرع أغلفة ويب (web shells)، ومناجم العملات المشفرة، وآليات استمرار على الأنظمة المخترقة.
برمجية Oyster المطورة تزيد التخفي بوحدات C2
استمرت برمجية Oyster، المعروفة أيضاً باسم Broomstick أو CleanUpLoader، في التطور خلال أوائل عام 2026، مع تحسين بنيتها التحتية لوحدات القيادة والتحكم (C2) وطرق التعمية. يتم توزيع البرمجية الخبيثة بشكل أساسي من خلال مواقع ويب وهمية توزع مثبتات لبرامج شرعية مثل Microsoft Teams، وغالباً ما يتم تحميل الحمولة الأساسية كملف DLL للتنفيذ المستمر.
برمجية Noodlophile للمعلوماتية تستعرض بكودها
تُعرف برمجية Noodlophile بأنها برمجية لسرقة المعلومات يتم توزيعها عبر أدوات ذكاء اصطناعي وهمية يتم الترويج لها على فيسبوك. يُعتقد أنها من عمل جهة فاعلة مقرها في فيتنام. تم اكتشاف أن المطور قام بحشو البرمجية بملايين التكرارات لعبارة فيتنامية ملونة تترجم إلى “تباً لك يا Morphisec”، مما يشير إلى استياء المطورين من الكشف عنهم.
ثغرة في مكتبة تشفير تسمح بتنفيذ التعليمات البرمجية عن بعد
قام مشروع OpenSSL بإصلاح ثغرة تجاوز سعة مخزن المؤقت (stack buffer overflow) يمكن أن تؤدي إلى هجمات تنفيذ تعليمات برمجية عن بعد في ظل ظروف معينة. تكمن الثغرة، التي تحمل المعرف CVE-2025-15467، في طريقة معالجة المكتبة لبيانات نظام الرسائل المشفرة (Cryptographic Message Syntax). يمكن للمهاجمين استخدام حزم CMS مع معلمات AEAD المصممة بشكل خبيث لإسقاط OpenSSL وتنفيذ تعليمات برمجية ضارة.
حسابات الأجهزة تزيد مخاطر التفويض
كشفت أبحاث جديدة أن تفويض Kerberos، الذي يسمح للخدمة بطلب موارد أو تنفيذ إجراءات نيابة عن مستخدم، لا ينطبق فقط على المستخدمين البشريين، بل أيضاً على حسابات الأجهزة. هذا يعني أن حساب الكمبيوتر يمكن تفويضه نيابة عن هويات أجهزة ذات صلاحيات عالية. تكمن المخاطر في أنه إذا تمكن الخصم من استغلال التفويض، يمكنه التصرف نيابة عن حسابات الأجهزة الحساسة، والتي تحمل في العديد من البيئات صلاحيات مماثلة لصلاحيات مسؤول النطاق.