تستعرض هذه المقالة كيف استغلت مجموعة APT28 الروسية ثغرة في Microsoft Office خلال فترة زمنية قصيرة، مما يبرز أهمية الأمن السيبراني.
في أحدث مثال على مدى سرعة استغلال المهاجمين للثغرات المعلنة حديثًا، بدأت مجموعة APT28 الروسية الشهيرة في استغلال ثغرة تم تصحيحها مؤخرًا في Microsoft لسرقة رسائل البريد الإلكتروني ونشر حمولات ضارة ضد المنظمات في أوروبا الوسطى والشرقية.
تعتبر CVE-2026-21509 ثغرة في ميزات الأمان في Microsoft Office، حيث قامت Microsoft بإصدار تصحيح عاجل لها في 26 يناير بعد تأكيد استغلالها بشكل نشط. وقد أضافت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) هذه الثغرة إلى قاعدة بيانات الثغرات المعروفة التي تم استغلالها في ذلك الوقت.
استغلال سريع
وفقًا للباحثين في Zscaler، بدأت مجموعة APT28 في استغلال الثغرة بعد ثلاثة أيام فقط، في 29 يناير، كجزء من حملة تتبعها تحت اسم عملية Neusploit. تعتمد الهجمات على مستندات Microsoft Rich Text Format (RTF) المصممة خصيصًا لتفعيل الثغرة وبدء سلسلة إصابة متعددة المراحل تسلم حمولات ضارة مختلفة، كما ورد في تقرير Zscaler هذا الأسبوع.
لزيادة احتمالية النجاح، يستخدم المهاجمون طُعم تصيد مكتوب باللغة الإنجليزية بالإضافة إلى إصدارات محلية من الرومانية والسلوفاكية والأوكرانية. كجزء من الجهود للحفاظ على مستوى منخفض من التعرض، تستخدم APT28 تصفية من جانب الخادم لتسليم مكتبات البيانات الضارة (DLLs) فقط عندما تأتي الطلبات من مناطق جغرافية مستهدفة وتتضمن أيضًا رؤوس البريد الإلكتروني أو العميل المتوقعة.
“لا يمكننا تأكيد ما إذا كانت أنشطة استغلال CVE-2026-21509 التي لوحظت في البرية من قبل Microsoft هي نفسها عملية Neusploit،” يقول ديبين ديساي، نائب الرئيس التنفيذي ورئيس الأمن (CSO) في Zscaler، في تعليقات له لـ Dark Reading. “يمكننا تأكيد أننا نتعاون بنشاط مع Microsoft ونتشارك نتائج عملية Neusploit الخاصة بنا.”
تهديد طويل الأمد
تعتبر APT28، المعروفة أيضًا باسم Fancy Bear وSofacy وSednit، مجموعة تهديد مستمر متقدمة مرتبطة بروسيا والتي ربطتها الحكومة الأمريكية وآخرون بجهاز الاستخبارات العسكرية الروسية (GRU). كانت مجموعة التجسس السيبراني نشطة منذ عام 2007 على الأقل، وتشتهر بقدرتها على تسليح الثغرات الجديدة بسرعة وتطوير ترسانتها من الأدوات الضارة باستمرار. وهي مرتبطة بالعديد من الهجمات على الكيانات الحكومية، والمنظمات العسكرية، وشركات الأمن، والأهداف الحيوية في أمريكا الشمالية وأوروبا وأماكن أخرى. تشمل الهجمات البارزة الأخرى اختراق اللجنة الوطنية الديمقراطية والهجمات على الوكالة العالمية لمكافحة المنشطات.
تعتبر CVE-2026-21509 ثغرة صفراء تسمح للمهاجمين بتفعيل سلوك COM/OLE غير الآمن في Microsoft 365 وOffice وتنفيذ تعليمات برمجية تعسفية على الأنظمة المتأثرة. وقد وصف بعض محللي الأمن الثغرة بأنها معقدة للاستغلال ومن المحتمل أن تكون ذات اهتمام بشكل أساسي للممثلين المدعومين من الدولة والمجموعات المدفوعة ماليًا.
تستغل APT28 الثغرة لتنزيل DLL dropper على أجهزة الضحايا. وقد وجدت Zscaler أن المهاجم يستخدم نوعين من الـ dropper، أحدهما ينشر برمجيات خبيثة تتعقبها Zscaler باسم MiniDoor، والآخر يسمى PixyNetLoader، الذي يقوم بتنزيل حمولات ضارة متعددة أخرى.
MiniDoor، وفقًا لـ Zscaler، هو مشروع خفيف الوزن بلغة Visual Basic for Applications (VBA) مصمم خصيصًا لسرقة رسائل البريد الإلكتروني من Microsoft Outlook. يقول ديساي إن MiniDoor “تم تطويره بواسطة APT28 لغرض وحيد هو جمع وإخراج رسائل البريد الإلكتروني للضحايا.”
PixyNetLoader، الـ dropper DLL الآخر الذي تستخدمه APT28 في عملية Neusploit، أكثر تعقيدًا. يستخدم المهاجم هذا لنشر طبقات متعددة من التعليمات البرمجية الضارة التي تؤدي في النهاية إلى تحميل backdoor Covenant Grunt — وهو في الأصل أداة اختبار اختراق — على نظام الضحية.
يقدر ديساي في Zscaler أن استغلال APT28 لـ CVE-2026-21509 كان يتطلب مستوى جهد متوسط إلى مرتفع. حاليًا على الأقل، لا توجد مؤشرات على أن مجموعات أخرى تمكنت من استغلال الثغرة بنجاح، لكن قد لا يستمر ذلك طويلاً. “لقد أطلق بعض الباحثين إثباتات للمفاهيم (PoCs) لـ CVE-2026-21509، لذا من المحتمل جدًا أن يقوم ممثلون آخرون بتسليح هذه الـ PoCs في هجمات حقيقية.”
تخفيف المخاطر على الفور
يوصي بأن تقوم المنظمات بتطبيق تصحيح Microsoft للثغرة في أسرع وقت ممكن لتخفيف مخاطر الاختراق.
قالت نويل موراتا، مهندسة الأمن العليا في Xcape، إن سرعة استغلال APT28 لـ CVE-2026-21509 كانت “غير معقولة”.
“تستخدم الهجمة تقنيات كلاسيكية مع لمسة عصرية: تحميلات WebDAV، واختراق COM، وكود مخفي في PNGs، وإطار Covenant باستخدام تخزين Filen السحابي للقيادة والتحكم (C2)،” قالت موراتا. “يجب على المنظمات تحديث وإعادة تشغيل Office على الفور. يحصل Office 2021 و365 على حماية من جانب الخادم، لكن يجب إعادة تشغيل التطبيقات لتفعيل ذلك.”
كما أوصت موراتا بأن تراقب المنظمات أو تحظر حركة مرور Filen.io — وهي خدمة سحابية شرعية — لمنع الوصول إلى بنية APT28 التحتية للقيادة والتحكم (C2). كما يجب عليهم تطبيق إعدادات السجل الخاصة بـ Microsoft من نصيحتهم، كما قالت. “هذا ما يحدث عندما تلتقي البروتوكولات القديمة مع ممثلين مدعومين من الدولة الذين لا ينامون.”
تتطلب التهديدات السيبرانية المستمرة من المنظمات اتخاذ تدابير فورية لحماية بياناتها وضمان سلامة أنظمتها.
