🗓 الثلاثاء - 3 فبراير 2026، 03:50 مساءً |
⏱ 3 دقيقة |
👁 3 مشاهدة
تكشف ثغرة مايكروسوفت أوفيس CVE-2026-21509 عن حملة تجسس جديدة تستهدف أوكرانيا وسلوفاكيا ورومانيا عبر ملفات RTF خبيثة وفقاً لمتابعة تيكبامين.ما هي ثغرة مايكروسوفت أوفيس CVE-2026-21509 ولماذا تهم؟الثغرة مصنفة بدرجة خطورة 7.8 على مقياس CVSS وتمثل تجاوزاً لميزة أمان في Microsoft Office يسمح للمهاجمين بتمرير ملف مُعد خصيصاً وتشغيله. هذا النوع من التجاوز يسمح بتشغيل المحتوى حتى لو كانت السياسة الأمنية تمنع الملفات غير الموثوقة.المثير أن الاستغلال بدأ بعد ثلاثة أيام فقط من الإعلان عنها، ما يعكس سرعة تحويلها إلى سلاح في هجمات تستهدف أوروبا الشرقية. الجدول الزمني القصير يدل على وجود استعدادات مسبقة لاستغلالها.نوع الثغرة: تجاوز ميزة أمان في أوفيسدرجة الخطورة: 7.8 CVSSالدول المستهدفة: أوكرانيا وسلوفاكيا ورومانياموعد الرصد الأول: 29 يناير 2026من يقف وراء الهجمات؟الحملة نُسبت إلى المجموعة المرتبطة بروسيا والمعروفة باسم APT28 أو UAC-0001، ضمن عملية حملت اسم Operation Neusploit وتركز على التجسس وجمع البيانات. وغالباً ما تركّز هذه المجموعة على جمع معلومات سياسية وعسكرية حساسة.استخدمت المجموعة هندسة اجتماعية برسائل بالإنجليزية واللغات المحلية، مع آليات تصفية جغرافية لاستهداف الضحايا بدقة. كما استُخدمت شروط تقنية لإرسال الحمولة فقط للضحايا المقصودين.طُعم رسائل محلية باللغات الرومانية والسلوفاكية والأوكرانيةتسليم الحمولة فقط عند تطابق الموقع الجغرافيالتحقق من ترويسة User-Agent قبل الإرسالكيف تعمل سلسلة الهجوم عبر ملفات RTF؟سلسلة الهجوم تبدأ بملف RTF خبيث يستغل الثغرة لإسقاط أحد محملَين مختلفَين، وكل منهما يقود لمسار اختراق منفصل داخل الجهاز. اختيار المسار يعتمد على النسخة المرسلة للمستهدف ونوع البيانات المطلوبة.محمل أول لإسقاط أداة سرقة البريد MiniDoorمحمل ثانٍ باسم PixyNetLoader لنشر أدوات أعمقماذا يفعل MiniDoor؟MiniDoor عبارة عن DLL مكتوب بلغة ++C يستهدف Outlook ويجمع الرسائل من مجلدات متعددة قبل إرسالها إلى عناوين بريد ثابتة للمهاجمين. هذا الأسلوب يمنح المهاجمين رؤية مباشرة لمحتوى المراسلات الحساسة.استهداف مجلدات Inbox وJunk وDraftsإرسال البيانات إلى ahmeclaw2002@outlook[.]comنسخة مبسطة من أداة NotDoorتركيز واضح على جمع مراسلات العملكيف ينشر PixyNetLoader برمجيات أعمق؟PixyNetLoader يفعّل سلسلة أكثر تعقيداً تشمل تثبيت الاستمرارية عبر COM hijacking واستخراج مكونات مضمنة بداخله. الهدف هنا هو بناء موطئ قدم طويل الأمد داخل الجهاز.من بين هذه المكونات ملف EhStoreShell.dll وصورة SplashScreen.png التي تُستخدم لإخفاء الشيفرة عبر الإخفاء داخل الصور.تفكيك شيفرة مخفية داخل صورة PNGتنفيذ الحمولة فقط إذا كان المضيف explorer.exeتعطيل النشاط عند رصد بيئة تحليلتحميل شيفرة تؤدي إلى تشغيل مكونات إضافيةما تأثير Covenant Grunt ولماذا هو مهم؟الشيفرة النهائية تُحمّل تجميعة .NET تُعرف بأنها زرع Covenant Grunt المرتبط بإطار تحكم مفتوح المصدر يستخدم للتحكم عن بعد. هذا الزرع يمكنه فتح قناة للتحكم والتوسع داخل الشبكة.تشغيل أوامر عن بعد وجمع معلومات النظامقنوات تحكم وسيطرة C2 قابلة للتخصيصإمكانية توسيع الهجوم بإضافات جديدةكيف تحمي المؤسسات نفسها الآن؟الدفاع يبدأ بتحديثات أوفيس العاجلة وتعزيز الوعي الأمني للموظفين، مع مراقبة السلوكيات غير الاعتيادية للملفات. كما يساعد تدريب الموظفين على تمييز رسائل التصيد في تقليل الاختراقات.تثبيت آخر تصحيحات Microsoft Office فوراًحظر أو تقييد ملفات RTF القادمة عبر البريدمراقبة مؤشرات APT28 في الشبكةفحص أنشطة COM غير الموثوقةتقليل صلاحيات تشغيل المرفقاتفي النهاية، يوضح تيكبامين أن إغلاق ثغرة مايكروسوفت أوفيس CVE-2026-21509 وتدقيق المرفقات خطوات حاسمة لوقف موجة التجسس الحالية.