عالمي - وكالة أنباء إخباري
قراصنة مدعومون من روسيا يستغلون ثغرة أمنية عاجلة في مايكروسوفت أوفيس لاختراق كيانات عالمية
في تجسيد صارخ لتصاعد سرعة وتطور الحرب السيبرانية التي ترعاها الدول، لم تضيع مجموعة قرصنة روسية سيئة السمعة، تُعرف على نطاق واسع باسم APT28 أو Fancy Bear، أي وقت في استغلال ثغرة أمنية حرجة في مايكروسوفت أوفيس. فبعد أقل من 48 ساعة من إصدار ريدموند لتحديث أمني عاجل وغير مجدول الشهر الماضي، قامت الجهات الفاعلة في التهديد بتحويل الثغرة، التي تم تحديدها باسم CVE-2026-21509، إلى سلاح لشن حملة شديدة الاستهداف. نجحت هذه العملية الجريئة في اختراق أجهزة داخل منظمات دبلوماسية وبحرية ونقل في تسع دول على الأقل، معظمها في أوروبا الشرقية، مما يؤكد تقلص نافذة الفرصة أمام المدافعين لسد الثغرات في الأنظمة الحيوية.
كشف باحثو الأمن في Trellix عن تفاصيل هذا الاستغلال السريع، مسلطين الضوء على قدرة المجموعة على إجراء هندسة عكسية لتصحيح مايكروسوفت في غضون يومين وتطوير استغلالات متقدمة. ثم قامت هذه الاستغلالات بتثبيت اثنتين من البرامج الخبيثة الجديدة وغير المكتشفة سابقًا، والتي أطلق عليها اسم BeardShell و NotDoor. تم تصميم الحملة بأكملها بدقة من أجل التخفي، باستخدام تقنيات جعلت الاختراق غير قابل للاكتشاف تقريبًا بواسطة إجراءات حماية نقاط النهاية التقليدية. وشمل ذلك تشفير الاستغلالات والحمولات، وتشغيلها حصريًا في الذاكرة، والاستفادة من قنوات تبدو مشروعة للتحكم والسيطرة، مما جعل نيتهم الخبيثة صعبة للغاية على الاكتشاف.
اقرأ أيضاً
- محادثات إيرانية لبنانية مرتقبة في الدوحة ورفض إسرائيلي للانسحاب
- فرنسا وبريطانيا تصعدان المواقف ضد الاستيطان وعنف المستوطنين
- رئيس الوزراء البريطاني يناقش دعم أوكرانيا وقمة الناتو مع الأمين العام
- البرازيل تكسر الأرقام في كأس العالم 2026 وتنهي عقدة اليابان
- مصر تكثف جهودها للإفراج عن 8 بحارة مختطفين بالصومال
غالبًا ما نشأ المتجه الأولي لهذا التسلل المعقد من حسابات حكومية مخترقة سابقًا في بلدان مختلفة، مما يشير إلى أن المهاجمين استغلوا اختراقات أو بيانات اعتماد موجودة كانت على الأرجح مألوفة لمستقبلات البريد الإلكتروني المستهدفة. علاوة على ذلك، تم استضافة البنية التحتية للقيادة والتحكم داخل خدمات سحابية مشروعة، والتي عادة ما تكون مدرجة في القوائم البيضاء داخل الشبكات الحساسة، مما سمح لحركة المرور الضارة بالاندماج بسلاسة مع نشاط الشبكة العادي. أتاح هذا الاختيار الاستراتيجي للقنوات الموثوقة، جنبًا إلى جنب مع التقنيات التي لا تستخدم الملفات، للمهاجمين "الاختباء على مرأى من الجميع"، كما أشار باحثو Trellix.
بدأت حملة التصيد الاحتيالي بالرمح التي استمرت 72 ساعة في 28 يناير، حيث قدمت ما لا يقل عن 29 إغراءً مختلفًا عبر البريد الإلكتروني. استهدفت هذه الرسائل المصممة خصيصًا منظمات في تسع دول، مع تركيز كبير على أوروبا الشرقية. حددت Trellix بولندا وسلوفينيا وتركيا واليونان والإمارات العربية المتحدة وأوكرانيا ورومانيا وبوليفيا على وجه التحديد كدول من بين الدول المتأثرة. كانت الأهداف الرئيسية هي وزارات الدفاع (تشكل 40 بالمائة من الهجمات)، ومشغلو النقل والخدمات اللوجستية (35 بالمائة)، والكيانات الدبلوماسية (25 بالمائة). يتوافق هذا الملف الشخصي المستهدف تمامًا مع الأهداف الجيوسياسية المرتبطة غالبًا بالجهات الفاعلة المدعومة من الدولة مثل APT28، والتي تشارك بشكل متكرر في التجسس السيبراني ضد الكيانات الحيوية للأمن القومي والعلاقات الدولية.
أدى نجاح سلسلة العدوى إلى نشر إما BeardShell أو NotDoor. قدم BeardShell، وهو برنامج خبيث قوي، للمهاجمين قدرات استطلاع واسعة النطاق للنظام، واستمرارية من خلال حقن العمليات في Windows svchost.exe، وموطئ قدم حاسم للحركة الجانبية عبر الشبكات المصابة. اعتمد تنفيذه على تجميعات .NET المحملة ديناميكيًا، وهي تقنية مصممة لترك الحد الأدنى من الآثار الجنائية على القرص، مما يزيد من تعقيد الاكتشاف والتحليل من قبل فرق الأمن. تعد عملية التشغيل في الذاكرة هذه سمة مميزة للتهديدات المستمرة المتقدمة (APTs) التي تسعى إلى التهرب من أدوات الأمان التقليدية.
ظهر NotDoor، وهو برنامج خبيث ثانٍ، في شكل ماكرو VBA. لم يتم تثبيته إلا بعد أن نجحت سلسلة الاستغلال في تعطيل ضوابط أمان الماكرو في Outlook - وهي خطوة حاسمة تظهر فهم المهاجمين العميق لثغرات عملاء البريد الإلكتروني. بمجرد تنشيطه، راقب NotDoor بدقة مجلدات البريد الإلكتروني، بما في ذلك البريد الوارد والمسودات والبريد غير الهام وموجزات RSS. ثم قام بتجميع الرسائل في ملفات Windows .msg، والتي تم بعد ذلك إرسالها إلى حسابات يتحكم فيها المهاجمون ومستضافة على خدمة filen.io السحابية. للتحايل على بروتوكولات الأمان على الحسابات ذات الامتيازات العالية المصممة لحماية المعلومات السرية، استخدم الماكرو خاصية مخصصة "AlreadyForwarded" وقام بتعيين "DeleteAfterSubmit" على "صحيح"، مما أدى إلى مسح الرسائل المعاد توجيهها من مجلد العناصر المرسلة، وبالتالي محو آثار التسلل.
عزت Trellix الحملة إلى APT28 بـ "ثقة عالية"، بناءً على مجموعة من المؤشرات الفنية وأنماط الاستهداف المحددة المرصودة. وقد تم تأكيد هذا الإسناد بشكل أكبر من قبل CERT-UA الأوكراني، الذي ربط الهجمات بشكل مستقل بـ UAC-0001، وهو اسم تتبع آخر يتوافق مع APT28. يتمتع APT28، المعروف أيضًا باسم Fancy Bear و Sednit و Forest Blizzard و Sofacy، بتاريخ موثق جيدًا في التجسس السيبراني وعمليات التأثير، وغالبًا ما يتماشى مع المصالح الروسية. يتضمن أسلوب عملهم عادةً برامج ضارة متعددة المراحل، وتعتيمًا واسع النطاق، وإساءة استخدام الخدمات السحابية المشروعة، والاستهداف المستمر لأنظمة البريد الإلكتروني لتحقيق أهدافهم.
أخبار ذات صلة
- ليف ياشين: "العنكبوت الأسود" الذي غيّر وجه حراسة المرمى في كرة القدم
- ميدفيديف يتوج بلقب دبي في نهائي روسي خالص أمام روبليف
- روسيا تغادر الاتحاد الأوروبي للشطرنج رسمياً للانضمام إلى نظيره الآسيوي
- الإمارات تسلم مشتبه به في محاولة اغتيال مسؤول استخباراتي روسي
- روسيا تشن "هجومًا واسعًا" على شبكة الطاقة الأوكرانية، مما يغرق مئات الآلاف في الظلام وسط برد الشتاء
تعكس المهارات المستخدمة في هذه الحملة - التي تتميز بالتحويل السريع لثغرة يوم الصفر (أو ما يقارب يوم الصفر) إلى سلاح، واستخدام برامج خبيثة جديدة، والتنفيذ بدون ملفات، واستغلال القنوات الموثوقة - قدرات خصم يتمتع بموارد عالية ومتقدمة. يمثل هذا الحادث تذكيرًا حاسمًا للمؤسسات في جميع أنحاء العالم بإعطاء الأولوية لتحديثات البرامج في الوقت المناسب، وتعزيز قدراتها على اكتشاف التهديدات لتحديد الهجمات التي تتم في الذاكرة وبدون ملفات، وتعزيز الدفاعات ضد محاولات التصيد الاحتيالي المتطورة. تقدم شركات الأمن السيبراني مثل Trellix باستمرار مؤشرات تسوية محدثة (IOCs) لمساعدة المؤسسات على تحديد التهديدات المحتملة من هذا الخصم المستمر والمتطور والتخفيف من حدتها.
