قراصنة روس يستغلون ثغرة في مايكروسوفت أوفيس أيام بعد التصحيح

في 28 يناير 2026، بدأت حملة تصيد محدد لمدة 72 ساعة، سلمت على الأقل 29 طعم بريد إلكتروني متميز إلى منظمات في تسع دول، بما في ذلك بولندا وسلوفينيا وتركيا واليونان والإمارات العربية المتحدة وأوكرانيا ورومانيا وبوليفيا. الأهداف شملت بشكل رئيسي وزارات الدفاع (40 في المئة)، ومشغلي النقل واللوجستيات (35 في المئة)، والكيانات الدبلوماسية (25 في المئة). استغل المهاجمون CVE-2026-21509، ثغرة حرجة في مايكروسوفت أوفيس تم تصحيحها في تحديث عاجل غير مجدول في نهاية الشهر السابق. أقل من 48 ساعة بعد التصحيح، قام القراصنة بتحليلها عكسياً لإنشاء استغلال متقدم يثبت واحدة من بابين خلفيين جديدين: BeardShell أو NotDoor. الحملة صممت للخفاء والسرعة. العدوى الأولية جاءت من حسابات بريد حكومية مخترقة سابقاً، ربما مألوفة للمستلمين. الاستغلالات والحمولات مشفرة وتنفذ في الذاكرة، متجنبة كشف نقاط النهاية. قنوات الأمر والسيطرة استخدمت خدمات سحابية شرعية، غالباً مدرجة في قوائم السماح في الشبكات الحساسة. قدم BeardShell استطلاعاً كاملاً للنظام، واستمرارية بحقن في عمليات svchost.exe في ويندوز، ومكّن الحركة الجانبية، دون ترك آثار على القرص بخلاف آثار الذاكرة من حقن الكود. NotDoor، نشرت كماكرو VBA بعد تعطيل ضوابط أمان Outlook، راقبت مجلدات مثل صندوق الوارد والمسودات والبريد المزعج وتغذيات RSS. ربطت الرسائل في ملفات .msg مرسلة إلى حسابات يسيطر عليها المهاجمون على filen.io، ثم حذفتها باستخدام خاصية 'AlreadyForwarded' مخصصة وعلم 'DeleteAfterSubmit' لتجنب الكشف في حسابات الامتياز العالي. «استخدام CVE-2026-21509 يظهر كيف يمكن للجهات المتحالفة مع الدولة تسليح الثغرات الجديدة بسرعة، مما يقلص نافذة المدافعين لتصحيح الأنظمة الحرجة»، كتب باحثو Trellix. أسندت الشركة العملية إلى APT28—المعروف أيضاً باسم Fancy Bear وSednit وForest Blizzard وSofacy—بثقة عالية، مستشهدة بمؤشرات فنية وأهداف وتقنيات مثل البرمجيات الضارة متعددة المراحل وإساءة استخدام خدمات السحابة. ربط CERT-UA الأوكراني به بـ UAC-0001، يتوافق مع APT28، المعروف بالتجسس السيبراني وعمليات التأثير. قدمت Trellix مؤشرات الاختراق للمنظمات للتحقق من العدوى.