قراصنة روس يستغلون ثغرة في مايكروسوفت أوفيس أيام بعد التصحيح

العربية

قراصنة مدعومون من الدولة الروسية سلاحوا بسرعة ثغرة جديدة مصححة في مايكروسوفت أوفيس لاستهداف منظمات في تسع دول. المجموعة، المعروفة باسم APT28، استخدمت رسائل تصيد محددة لتثبيت أبواب خلفية خفية في كيانات دبلوماسية ودفاعية ونقل. باحثو الأمن في Trellix أسندوا الهجمات بثقة عالية إلى هذه الوحدة السيبرانية الاستخباراتية الشهيرة.

في 28 يناير 2026، بدأت حملة تصيد محدد لمدة 72 ساعة، سلمت على الأقل 29 طعم بريد إلكتروني متميز إلى منظمات في تسع دول، بما في ذلك بولندا وسلوفينيا وتركيا واليونان والإمارات العربية المتحدة وأوكرانيا ورومانيا وبوليفيا. الأهداف شملت بشكل رئيسي وزارات الدفاع (40 في المئة)، ومشغلي النقل واللوجستيات (35 في المئة)، والكيانات الدبلوماسية (25 في المئة). استغل المهاجمون CVE-2026-21509، ثغرة حرجة في مايكروسوفت أوفيس تم تصحيحها في تحديث عاجل غير مجدول في نهاية الشهر السابق. أقل من 48 ساعة بعد التصحيح، قام القراصنة بتحليلها عكسياً لإنشاء استغلال متقدم يثبت واحدة من بابين خلفيين جديدين: BeardShell أو NotDoor. الحملة صممت للخفاء والسرعة. العدوى الأولية جاءت من حسابات بريد حكومية مخترقة سابقاً، ربما مألوفة للمستلمين. الاستغلالات والحمولات مشفرة وتنفذ في الذاكرة، متجنبة كشف نقاط النهاية. قنوات الأمر والسيطرة استخدمت خدمات سحابية شرعية، غالباً مدرجة في قوائم السماح في الشبكات الحساسة. قدم BeardShell استطلاعاً كاملاً للنظام، واستمرارية بحقن في عمليات svchost.exe في ويندوز، ومكّن الحركة الجانبية، دون ترك آثار على القرص بخلاف آثار الذاكرة من حقن الكود. NotDoor، نشرت كماكرو VBA بعد تعطيل ضوابط أمان Outlook، راقبت مجلدات مثل صندوق الوارد والمسودات والبريد المزعج وتغذيات RSS. ربطت الرسائل في ملفات .msg مرسلة إلى حسابات يسيطر عليها المهاجمون على filen.io، ثم حذفتها باستخدام خاصية 'AlreadyForwarded' مخصصة وعلم 'DeleteAfterSubmit' لتجنب الكشف في حسابات الامتياز العالي. «استخدام CVE-2026-21509 يظهر كيف يمكن للجهات المتحالفة مع الدولة تسليح الثغرات الجديدة بسرعة، مما يقلص نافذة المدافعين لتصحيح الأنظمة الحرجة»، كتب باحثو Trellix. أسندت الشركة العملية إلى APT28—المعروف أيضاً باسم Fancy Bear وSednit وForest Blizzard وSofacy—بثقة عالية، مستشهدة بمؤشرات فنية وأهداف وتقنيات مثل البرمجيات الضارة متعددة المراحل وإساءة استخدام خدمات السحابة. ربط CERT-UA الأوكراني به بـ UAC-0001، يتوافق مع APT28، المعروف بالتجسس السيبراني وعمليات التأثير. قدمت Trellix مؤشرات الاختراق للمنظمات للتحقق من العدوى.

مقالات ذات صلة

Illustration depicting the Linux CopyFail vulnerability enabling root access exploits alongside Ubuntu's DDoS-induced outage.
صورة مولدة بواسطة الذكاء الاصطناعي

Linux CopyFail exploit threatens root access amid Ubuntu outage

من إعداد الذكاء الاصطناعي صورة مولدة بواسطة الذكاء الاصطناعي

A critical Linux vulnerability known as CopyFail, tracked as CVE-2026-31431, allows attackers to gain root access on systems running kernels since 2017. Publicly released exploit code has heightened risks for data centers and personal devices. Ubuntu's infrastructure has been offline for over a day due to a DDoS attack, hampering security communications.

FBI urges router security steps after Russian GRU attacks

US federal agencies have disclosed that Russian military intelligence compromised thousands of small office and home routers, urging owners to take immediate protective measures.

Microsoft patches critical ASP.NET Core vulnerability on macOS and Linux

من إعداد الذكاء الاصطناعي

Microsoft has released an emergency patch for a high-severity vulnerability in its ASP.NET Core framework, affecting macOS and Linux applications. Tracked as CVE-2026-40372, the flaw allows unauthenticated attackers to gain SYSTEM privileges through forged authentication payloads. The company advises immediate updates and key rotation to fully mitigate risks.

كريبتو

U.S. Treasury sanctions Russian network for crypto-funded cyber tool theft

تكنولوجيا

Google report warns of shifting cloud threat landscape

لينكس

New SysUpdate malware variant targets Linux systems

Dutch intelligence accuses Russia of hacker attacks on WhatsApp and Signal

Journalists reported mysterious phishing attempts by unknowns a few weeks ago. The Dutch secret service now holds Russia responsible for attacks on the messaging apps WhatsApp and Signal. The report explains how the attacks work and how users can protect themselves.

Daemon Tools app hit by monthlong supply-chain attack

من إعداد الذكاء الاصطناعي

Daemon Tools, a popular disk image mounting app, was compromised in a supply-chain attack starting April 8, delivering malware through official updates. Security firm Kaspersky reported infections on thousands of machines across over 100 countries. Users are urged to scan their systems immediately.

05 مايو 2026 17:44

US government issues urgent CopyFail warning as Linux patches roll out

07 أبريل 2026 17:23

Western agencies warn of russian hackers on tp-link routers

03 أبريل 2026 10:14

OpenClaw patches severe vulnerability granting admin access

13 مارس 2026 18:03

Veeam patches three critical security flaws in backup servers

12 مارس 2026 10:26

Iran-linked hackers disrupt Stryker's network in apparent retaliation

19 فبراير 2026 13:36

Researchers uncover new SysUpdate malware variant targeting Linux

18 فبراير 2026 11:16

Dell zero-day flaw unpatched for nearly two years

يستخدم هذا الموقع ملفات تعريف الارتباط

نستخدم ملفات تعريف الارتباط للتحليلات لتحسين موقعنا. اقرأ سياسة الخصوصية الخاصة بنا سياسة الخصوصية لمزيد من المعلومات.
رفض