🗓 الثلاثاء - 24 فبراير 2026، 12:30 صباحًا |
⏱ 4 دقيقة |
👁 8 مشاهدة
كشفت تقارير حديثة عن حملة هجمات إلكترونية جديدة تقودها مجموعة APT28 الروسية، تستهدف كيانات أوروبية باستخدام برمجيات خبيثة متطورة للغاية.وفقاً للبيانات التي يتابعها فريق تيكبامين، فقد نشطت هذه الحملة بشكل ملحوظ في الفترة ما بين سبتمبر 2025 ويناير 2026. وتستهدف هذه العمليات بشكل رئيسي مؤسسات وكيانات محددة في دول غرب ووسط أوروبا.أُطلق على هذه الحملة الأمنية المعقدة اسم "Operation MacroMaze"، وهي تعتمد بشكل أساسي على أدوات بسيطة ولكنها عالية الفعالية. وتستغل هذه الهجمات خدمات شرعية وموثوقة لبناء بنيتها التحتية وتسريب البيانات الحساسة دون إثارة الشبهات.كيف تبدأ هجمات APT28 باستخدام برمجيات الماكرو؟تعتمد سلسلة الهجمات في بدايتها على أساليب الهندسة الاجتماعية المتقدمة. يتم إرسال رسائل بريد إلكتروني احتيالية وموجهة بدقة نحو الضحايا لضمان قيامهم بفتح المرفقات.تحتوي هذه الرسائل على مستندات خادعة تبدو شرعية تماماً، لكنها تخفي في طياتها أكواد برمجية ضارة. وإليك أبرز خطوات هذه المرحلة الأولية:إرسال رسائل تصيد احتيالي (Spear-phishing) مصممة بعناية فائقة.استخدام مستندات تحتوي على عنصر هيكلي مشترك ضمن كود XML.استغلال حقل "INCLUDEPICTURE" الخفي للاتصال بخوادم خارجية.توجيه الطلب إلى رابط Webhook يستضيف صورة بصيغة JPG.ما هي تقنية التتبع المستخدمة في المستندات المخترقة؟بمجرد أن يقوم الضحية بفتح المستند المرفق، تبدأ برمجيات خبيثة في العمل بصمت تام في الخلفية. يؤدي فتح الملف إلى جلب الصورة من الخادم البعيد فوراً وبدون تدخل المستخدم.تعمل هذه الآلية المعمارية تماماً مثل "بكسل التتبع" المعتاد استخدامه في الحملات الإعلانية. حيث تقوم بإطلاق طلب HTTP صادر إلى رابط Webhook، مما يؤكد للمهاجمين أن المستند قد تم فتحه بالفعل.يسمح هذا التكتيك لمشغلي الخادم بتسجيل كافة البيانات الوصفية المرتبطة بالطلب. وبذلك يحصلون على تأكيد فوري بنجاح الخطوة الأولى من عملية الاختراق.تطور أساليب التخفي وتجاوز الحماية الأمنيةتم رصد العديد من المستندات التي تحتوي على وحدات ماكرو معدلة بشكل طفيف خلال أشهر الحملة. وتعمل جميع هذه المستندات كأداة إسقاط (Dropper) لتثبيت موطئ قدم قوي داخل جهاز الضحية.على الرغم من أن المنطق الأساسي لهذه الأكواد يظل ثابتاً، إلا أن هناك تطوراً واضحاً في تقنيات التهرب من برامج الحماية. وتشمل هذه التقنيات ما يلي:التنفيذ عبر متصفح "بدون واجهة رسومية" (Headless Browser) في النسخ القديمة.استخدام محاكاة لوحة المفاتيح (SendKeys) في النسخ الأحدث والأكثر تطوراً.القدرة العالية على تجاوز المطالبات الأمنية والنوافذ المنبثقة للأنظمة.كيف يتم تسريب البيانات عبر متصفح إيدج؟صُمم الماكرو الخبيث لتشغيل سكربت VBScript، والذي ينقل العدوى إلى المرحلة التالية والأكثر خطورة. يقوم هذا السكربت بتشغيل ملف CMD لضمان استمرار الاختراق عبر المهام المجدولة في نظام التشغيل.كما يطلق السكربت ملفاً دفعياً لعرض حمولة HTML مشفرة بتقنية Base64. ويتم تنفيذ ذلك داخل متصفح مايكروسوفت إيدج في وضع التخفي لتجنب اكتشافه من قبل برامج مكافحة الفيروسات.في هذه المرحلة الحاسمة، يتم جلب الأوامر من نقطة نهاية Webhook، وتنفيذها، ثم التقاط كافة المخرجات. وأخيراً، تُسرب هذه البيانات إلى مثيل Webhook آخر على شكل ملف HTML، كما يوضح تحليل تيكبامين التقني للعملية.متغيرات جديدة تزيد من تعقيد الهجمات الإلكترونيةتم اكتشاف متغير ثانٍ من السكربت الدفعي يتخلى عن التنفيذ المخفي تماماً. وبدلاً من ذلك، يقوم بنقل نافذة المتصفح النشطة خارج الشاشة المرئية للمستخدم لعدم إثارة الانتباه.يتبع ذلك إنهاء عنيف ومفاجئ لجميع عمليات متصفح Edge الأخرى المفتوحة. ويهدف هذا الإجراء الإضافي إلى ضمان بيئة خاضعة للرقابة التامة لتنفيذ الأوامر الخبيثة بدقة.كيف يمكن الحماية من برمجيات الماكرو الخبيثة؟مع استمرار تطور هذه التهديدات المعقدة، أصبح من الضروري على المؤسسات اتخاذ خطوات استباقية صارمة ومدروسة. إن الاعتماد على برامج الحماية التقليدية لم يعد كافياً لصد الهجمات المتقدمة.للوقاية من هذه الاختراقات الخطيرة، ينصح الخبراء بتطبيق سلسلة من الإجراءات الأمنية الصارمة. ومن أبرز هذه الإجراءات الوقائية الأساسية:تعطيل وحدات الماكرو (Macros) بشكل افتراضي في جميع تطبيقات حزمة أوفيس.تدريب فرق العمل والموظفين بشكل مستمر على اكتشاف رسائل التصيد الاحتيالي المشبوهة.مراقبة حركة مرور الشبكة لاكتشاف أي اتصالات غير عادية أو مشفرة بخوادم Webhook.تحديث أنظمة التشغيل وبرامج التصفح بشكل دوري لسد أي ثغرات أمنية مكتشفة.في النهاية، تظل اليقظة المستمرة وتحديث السياسات الأمنية هما حائط الصد الأول والأهم ضد أي برمجيات خبيثة تستهدف البنية التحتية الرقمية الحساسة للشركات والمنظمات.