Bulletin ThreatsDay: RCE Chains بلا Auth، Android Rootkits، و تفادي CloudTrail
Bulletin ThreatsDay: RCE Chains بلا Auth، Android Rootkits، و تفادي CloudTrail
TL;DR: هاد السيمانة كاين بزاف ما يتقال: ثغرات RCE خطيرة فـ Progress ShareFile كتمكن المخترقين يدخلو بلا ما يحتاجو لـ login، حملة Rootkit ضخمة على Android سميتها "NoVoice" ضربات 2.3 مليون جهاز، وطرق متطورة باش يهربو من CloudTrail logging ديال AWS. الباحثين حذروا حتى من زيادة بـ 14 مرة فـ malware ديال open-source، وارتفاع كبير فـ نشاط GhostSocks proxy.
المشهد الرقمي تبدل من هجمات باينة ووحيدة لـ "سلسلات" (chains) هادئة ومعقدة. آخر تقارير الأمن كتبين بلي الباحثين والـ hackers بجوج ولاو كيجمعو ثغرات صغار باش يديرو backdoors كبار، فـ الوقت لي تقنيات جديدة كتخلي المهاجمين يتفاداو الـ logs ديال الـ security بلا ما يخليو حتى أثر. من تسميم الـ supply chain لـ rootkits ديال التيليفونات، ها هو التفصيل ديال أخطر التهديدات لي كاينا دابا.
1. الـ RCE: السلسلة ديال Progress ShareFile
الباحثين فـ watchTower Labs كشفوا على جوج ثغرات فـ Progress ShareFile (وهما CVE-2026-2699 و CVE-2026-2701) لي ملي كيتجمعو، كيخليو المهاجم يدير remote code execution (RCE) بلا ما يحتاج يدير authentication.
هاد السلسلة كتمشي عن طريق تجاوز الـ authentication فـ الـ endpoint /ConfigService/Admin.aspx باش يقدر الـ hacker يـ upload-ي web shells خبيثة. مع وجود تقريبا 30,000 سيرفر باينين فـ الأنترنيت، الـ patching لـ Storage Zone Controller 5.12.4 (لي خرج فـ 10 مارس 2026) ضروري بزاف.
2. عملية "NoVoice": Rootkit ديال Android مستهدف 2.3 مليون مستخدم
حملة malware جديدة سميتها NoVoice تغلغلات فـ كتر من 50 تطبيق فـ Google Play Store، ووصل عدد الـ downloads ديالها لـ 2.3 مليون على الأقل. هاد الـ malware كيتخبع فـ ثوب ألعاب و utilities ديال السيستيم، وكيخدم بـ 22 ثغرة قديمة فـ Android (تصاوبو ما بين 2016 و 2021) باش ياخد root access.
ملي كياخد الـ root، الـ malware كيدير هادشي:
- كيحبس SELinux.
- كيـ inject-ي code فـ أي تطبيق كيحلو المستخدم.
- كيخرج الداتا من تطبيقات حساسة بحال WhatsApp.
- كيتفادا الـ detection عن طريق التأكد من وجود VPN، debuggers، ولا فـ بلايص محددة (بحال بكين و شينزين).
3. أمن السحاب (Cloud Security): تفادي AWS CloudTrail
المهاجمين مابقاوش كيديرو غير "StopLogging" لي باينة، ولاو كيستعملو API calls مخبية كيديرو بها "invisible activity zones". عن طريق الربط بين APIs بحال PutEventSelectors و StopEventDataStoreIngestion ، المهاجمين كيوقفو الـ visibility ديال الـ forensics بلا ما يشعلو الـ alarms العاديين. هاد التحركات كيبانو بحال صيانة روتينية ولكن فـ الحقيقة كيعميو الـ security teams ملي كيكون شي breach خدام.
4. أزمة الـ Supply Chain فـ الـ Open-Source
الروينة فـ الـ supply chain غادا وكتجهد. التنبيهات على الـ malware فـ الـ open-source زادت بـ 13.6x من لبداية ديال 2024. بزاف ديال الـ npm account takeovers (ATOs) شافو زيادة بـ 12 مرة عام على عام فـ 2025. المهاجمين كيستهدفو الـ packages لي عليهم downloads بزاف (لي فايتين 100,000 فـ الشهر) باش يكبرو الـ "blast radius" فـ وسط الـ CI/CD pipelines لي خدامين بـ الـ automation.
5. تطور الـ Phishing والـ Malware على الموبايل
- استهداف موظفي الشركات: حملات phishing جديدة كتستعمل Firebase App Distribution باش توصل نسخ "beta" ملغومة ديال ChatGPT و Meta advertising tools باش يسرقو الـ credentials ديال Facebook.
- XLoader 8.7: هاد الـ information stealer المعروف تطور وبقاو فيه obfuscation و طبقات ديال التشفير معقدة باش يهرب من الـ automated analysis.
- LofyGang: هاد الـ hacker رجع بـ package npm كاذب (
undicy-http) لي كينزل dual-payload RAT كيقدر يدير live screen streaming و يسرق الـ credentials من كتر من 90 extension ديال الـ crypto wallets.
6. تهديدات جديدة وتحديثات عالمية
- نشاط GhostSocks: شركة Darktrace لقات زيادة كبيرة فـ نشاط GhostSocks proxy، لي غالبا كيكون مشارك مع Lumma Stealer، وكيحول الأجهزة لي تقاسو لـ residential proxies.
- تحذير الـ FBI: الـ FBI خرجات تحذير على التطبيقات لي مصاوبين فـ الخارج (خاصة تطبيقات الشينوا) بسباب خطر جمع البيانات تحت قوانين الأمن القومي.
- ثغرات Zero-Day فـ ImageMagick: كاين بزاف ديال ثغرات الـ zero-day مازال ما تصاوبو فـ ImageMagick، يمكن يتجمعو باش يوصلو لـ RCE غير بـ upload ديال صورة ولا PDF. الحل هو عزل الـ processing ديال الـ PDF فـ sandbox.
- تحرك حكومي: وزارة الخارجية الأمريكية أطلقات دائرة التهديدات الناشئة (Bureau of Emerging Threats) باش تواجه الهجمات السيبيرية وسوء استخدام الذكاء الاصطناعي من طرف دول معادية.
7. تحديثات التشغيل: Google Workspace
Google خرجات رسميا جوج ميزات كبار:
- تبديل الـ Gmail Username: المستخدمين فـ الميريكان دابا يقدروا يبدلو الـ email addresses ديالهم، والقديم كيولي عبارة على alias.
- حماية Drive من الـ Ransomware: دابا الـ ransomware detection ولات متاحة للعموم، كتوقف الـ syncing وكتسمح بـ ترجاع الـ files بـ الـ bulk، وكتخدم AI كتقول Google بلي كيقدر يلقى 14 مرة إصابات كتر من النسخ القديمة.
خلاصة
كيفما كيبان فـ هاد الـ bulletin، هاد التهديدات ماخصناش نشوفوهم كحوادث معزولة، بل كـ "pattern" أو نهج. المهاجمين ولاو كيلقاو الثغرات لي كاينا ما بين السلوك العادي ديال السيستيم وسوء الاستخدام الخبيث. باش تبقى فـ أمان فـ 2026، خاصك تولي تعس على التحركات الصغيرة لي مرتبطة بـ بعضياتها (chained) لي كتعطي الإشارة بلي كاين اختراق عصري.