قال باحثون يوم الأربعاء إن قراصنة الدولة الروسية لم يضيعوا أي وقت في استغلال ثغرة أمنية حرجة في برنامج Microsoft Office سمحت لهم باختراق الأجهزة داخل المنظمات الدبلوماسية والبحرية والنقل في أكثر من ست دول.
وقال الباحثون إن مجموعة التهديد، التي يتم تتبعها تحت أسماء تشمل APT28 وFancy Bear وSednit وForest Blizzard وSofacy، انقضت على الثغرة الأمنية، والتي تم تتبعها باسم CVE-2026-21509، بعد أقل من 48 ساعة من إصدار Microsoft لتحديث أمني عاجل وغير مجدول في أواخر الشهر الماضي. وبعد إجراء هندسة عكسية للتصحيح، كتب أعضاء المجموعة ثغرة متقدمة أدت إلى تثبيت إحدى اثنتين من غرسات الباب الخلفي التي لم يتم رؤيتها من قبل.
التخفي والسرعة والدقة
تم تصميم الحملة بأكملها لجعل التسوية غير قابلة للاكتشاف لحماية نقطة النهاية. إلى جانب كونها جديدة، تم تشفير الثغرات والحمولات وتشغيلها في الذاكرة، مما يجعل من الصعب اكتشاف خبثها. جاء ناقل العدوى الأولي من حسابات حكومية تم اختراقها سابقًا من عدة دول ومن المحتمل أن يكون مألوفًا لأصحاب البريد الإلكتروني المستهدفين. تمت استضافة قنوات القيادة والتحكم في الخدمات السحابية المشروعة والتي يتم عادةً إدراجها في قائمة المسموح بها داخل الشبكات الحساسة.
وكتب الباحثون بالتعاون مع شركة تريليكس الأمنية: “إن استخدام CVE-2026-21509 يوضح مدى السرعة التي يمكن بها للجهات الفاعلة المتحالفة مع الدولة استخدام نقاط الضعف الجديدة كسلاح، مما يقلل من النافذة المتاحة للمدافعين لتصحيح الأنظمة الحيوية”. “تم تصميم سلسلة العدوى المعيارية للحملة، بدءًا من التصيد الاحتيالي الأولي إلى الباب الخلفي في الذاكرة وحتى عمليات الزرع الثانوية، بعناية للاستفادة من القنوات الموثوقة (HTTPS إلى الخدمات السحابية، وتدفقات البريد الإلكتروني المشروعة) والتقنيات الخالية من الملفات للاختباء على مرأى من الجميع.”
بدأت حملة التصيد الاحتيالي التي استمرت 72 ساعة في 28 يناير وقدمت ما لا يقل عن 29 عملية جذب متميزة عبر البريد الإلكتروني إلى مؤسسات في تسعة بلدان، بشكل أساسي في أوروبا الشرقية. وقامت تريليكس بتسمية ثمانية منها: بولندا، وسلوفينيا، وتركيا، واليونان، والإمارات العربية المتحدة، وأوكرانيا، ورومانيا، وبوليفيا. وكانت المنظمات المستهدفة هي وزارات الدفاع (40%)، ومشغلي النقل/اللوجستيات (35%)، والهيئات الدبلوماسية (25%).
