تكشف ثغرة مايكروسوفت أوفيس CVE-2026-21509 عن حملة تجسس جديدة تستهدف أوكرانيا وسلوفاكيا ورومانيا عبر ملفات RTF خبيثة وفقاً لمتابعة تيكبامين.
ما هي ثغرة مايكروسوفت أوفيس CVE-2026-21509 ولماذا تهم؟
الثغرة مصنفة بدرجة خطورة 7.8 على مقياس CVSS وتمثل تجاوزاً لميزة أمان في Microsoft Office يسمح للمهاجمين بتمرير ملف مُعد خصيصاً وتشغيله. هذا النوع من التجاوز يسمح بتشغيل المحتوى حتى لو كانت السياسة الأمنية تمنع الملفات غير الموثوقة.
المثير أن الاستغلال بدأ بعد ثلاثة أيام فقط من الإعلان عنها، ما يعكس سرعة تحويلها إلى سلاح في هجمات تستهدف أوروبا الشرقية. الجدول الزمني القصير يدل على وجود استعدادات مسبقة لاستغلالها.
- نوع الثغرة: تجاوز ميزة أمان في أوفيس
- درجة الخطورة: 7.8 CVSS
- الدول المستهدفة: أوكرانيا وسلوفاكيا ورومانيا
- موعد الرصد الأول: 29 يناير 2026
من يقف وراء الهجمات؟
الحملة نُسبت إلى المجموعة المرتبطة بروسيا والمعروفة باسم APT28 أو UAC-0001، ضمن عملية حملت اسم Operation Neusploit وتركز على التجسس وجمع البيانات. وغالباً ما تركّز هذه المجموعة على جمع معلومات سياسية وعسكرية حساسة.
استخدمت المجموعة هندسة اجتماعية برسائل بالإنجليزية واللغات المحلية، مع آليات تصفية جغرافية لاستهداف الضحايا بدقة. كما استُخدمت شروط تقنية لإرسال الحمولة فقط للضحايا المقصودين.
- طُعم رسائل محلية باللغات الرومانية والسلوفاكية والأوكرانية
- تسليم الحمولة فقط عند تطابق الموقع الجغرافي
- التحقق من ترويسة User-Agent قبل الإرسال
كيف تعمل سلسلة الهجوم عبر ملفات RTF؟
سلسلة الهجوم تبدأ بملف RTF خبيث يستغل الثغرة لإسقاط أحد محملَين مختلفَين، وكل منهما يقود لمسار اختراق منفصل داخل الجهاز. اختيار المسار يعتمد على النسخة المرسلة للمستهدف ونوع البيانات المطلوبة.
- محمل أول لإسقاط أداة سرقة البريد MiniDoor
- محمل ثانٍ باسم PixyNetLoader لنشر أدوات أعمق
ماذا يفعل MiniDoor؟
MiniDoor عبارة عن DLL مكتوب بلغة ++C يستهدف Outlook ويجمع الرسائل من مجلدات متعددة قبل إرسالها إلى عناوين بريد ثابتة للمهاجمين. هذا الأسلوب يمنح المهاجمين رؤية مباشرة لمحتوى المراسلات الحساسة.
- استهداف مجلدات Inbox وJunk وDrafts
- إرسال البيانات إلى ahmeclaw2002@outlook[.]com
- نسخة مبسطة من أداة NotDoor
- تركيز واضح على جمع مراسلات العمل
كيف ينشر PixyNetLoader برمجيات أعمق؟
PixyNetLoader يفعّل سلسلة أكثر تعقيداً تشمل تثبيت الاستمرارية عبر COM hijacking واستخراج مكونات مضمنة بداخله. الهدف هنا هو بناء موطئ قدم طويل الأمد داخل الجهاز.
من بين هذه المكونات ملف EhStoreShell.dll وصورة SplashScreen.png التي تُستخدم لإخفاء الشيفرة عبر الإخفاء داخل الصور.
- تفكيك شيفرة مخفية داخل صورة PNG
- تنفيذ الحمولة فقط إذا كان المضيف explorer.exe
- تعطيل النشاط عند رصد بيئة تحليل
- تحميل شيفرة تؤدي إلى تشغيل مكونات إضافية
ما تأثير Covenant Grunt ولماذا هو مهم؟
الشيفرة النهائية تُحمّل تجميعة .NET تُعرف بأنها زرع Covenant Grunt المرتبط بإطار تحكم مفتوح المصدر يستخدم للتحكم عن بعد. هذا الزرع يمكنه فتح قناة للتحكم والتوسع داخل الشبكة.
- تشغيل أوامر عن بعد وجمع معلومات النظام
- قنوات تحكم وسيطرة C2 قابلة للتخصيص
- إمكانية توسيع الهجوم بإضافات جديدة
كيف تحمي المؤسسات نفسها الآن؟
الدفاع يبدأ بتحديثات أوفيس العاجلة وتعزيز الوعي الأمني للموظفين، مع مراقبة السلوكيات غير الاعتيادية للملفات. كما يساعد تدريب الموظفين على تمييز رسائل التصيد في تقليل الاختراقات.
- تثبيت آخر تصحيحات Microsoft Office فوراً
- حظر أو تقييد ملفات RTF القادمة عبر البريد
- مراقبة مؤشرات APT28 في الشبكة
- فحص أنشطة COM غير الموثوقة
- تقليل صلاحيات تشغيل المرفقات
في النهاية، يوضح تيكبامين أن إغلاق ثغرة مايكروسوفت أوفيس CVE-2026-21509 وتدقيق المرفقات خطوات حاسمة لوقف موجة التجسس الحالية.
