عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد التهديد المستمر المتقدم (APT) CVE-2026-21509 ثغرة أمنية في مايكروسوفت أوفيس

CVE-2026-21509 ثغرة أمنية في مايكروسوفت أوفيس

بواسطة Mezo في التهديد المستمر المتقدم (APT)
ترجمة الى:

يُعزى هجوم إلكتروني جديد، استغل ثغرة أمنية تم الكشف عنها حديثًا في برنامج مايكروسوفت أوفيس، إلى مجموعة APT28، وهي جهة تهديد مدعومة من دولة روسية، وتُعرف أيضًا باسم UAC-0001. ويتم تتبع هذا النشاط تحت اسم عملية Neusploit، ويُعدّ من أوائل حالات الاستغلال الفعلي لهذه الثغرة بعد الكشف عنها للجمهور.

لاحظ باحثو الأمن قيام المجموعة باستغلال الثغرة الأمنية كسلاح في 29 يناير 2026، بعد ثلاثة أيام فقط من كشف مايكروسوفت عن الثغرة، مستهدفة المستخدمين في جميع أنحاء أوكرانيا وسلوفاكيا ورومانيا.

CVE-2026-21509: تجاوز ميزة أمنية ذات تأثير واقعي

تحمل الثغرة الأمنية المستغلة، CVE-2026-21509، درجة خطورة 7.8 وفقًا لمعيار CVSS، وتؤثر على حزمة مايكروسوفت أوفيس. تُصنف هذه الثغرة على أنها تجاوز لإحدى ميزات الأمان، حيث تسمح للمهاجمين بتسليم مستند أوفيس مُصمم خصيصًا يمكن تشغيله دون ترخيص، مما يفتح المجال لتنفيذ تعليمات برمجية ضارة كجزء من سلسلة هجمات أوسع.

أساليب الهندسة الاجتماعية والتهرب الخاصة بكل منطقة

اعتمدت الحملة بشكل كبير على الهندسة الاجتماعية المصممة خصيصًا. صُممت وثائق الإغراء باللغات الإنجليزية والرومانية والسلوفاكية والأوكرانية لتعزيز مصداقيتها لدى الفئات المستهدفة محليًا. تم تكوين بنية التسليم التحتية بتدابير تهرب من جانب الخادم، مما يضمن عدم تقديم حمولات DLL الخبيثة إلا عندما تأتي الطلبات من المناطق الجغرافية المقصودة وتتضمن رؤوس HTTP المتوقعة لوكيل المستخدم.

استراتيجية التنزيل المزدوج عبر ملفات RTF خبيثة

تتمحور العملية حول استخدام مستندات RTF خبيثة لاستغلال ثغرة CVE-2026-21509 ونشر أحد برنامجين خبيثين، يدعم كل منهما هدفًا تشغيليًا مختلفًا. يوفر أحدهما إمكانية سرقة البريد الإلكتروني، بينما يبدأ الآخر عملية اختراق أكثر تعقيدًا ومتعددة المراحل تنتهي بنشر نظام تحكم وتحكم متكامل.

ميني دور: سرقة البريد الإلكتروني المستهدفة في أوتلوك

يقوم برنامج التثبيت الأول بتثبيت MiniDoor، وهي مكتبة DLL مبنية على لغة C++ مصممة لجمع بيانات البريد الإلكتروني من مجلدات Microsoft Outlook، بما في ذلك البريد الوارد والبريد غير المرغوب فيه والمسودات. يتم تسريب الرسائل المسروقة إلى حسابي بريد إلكتروني مُبرمجين مسبقًا يتحكم بهما المهاجم.
ahmeclaw2002@outlook[.]com و ahmeclaw@proton[.]me.

تم تقييم MiniDoor على أنه نسخة مشتقة خفيفة الوزن من NotDoor (المعروف أيضًا باسم GONEPOSTAL)، وهي أداة تم توثيقها سابقًا في سبتمبر 2025.

PixyNetLoader وسلسلة زرع العهد

يُسهّل برنامج التحميل الثاني، المعروف باسم PixyNetLoader، تنفيذ سلسلة هجمات أكثر تطورًا. فهو يستخرج المكونات المضمنة ويُرسّخ وجوده من خلال اختطاف كائنات COM. ومن بين الملفات المستخرجة مُحمّل شفرة برمجية يُدعى EhStoreShell.dll وصورة PNG تحمل اسم SplashScreen.png.

تتمثل وظيفة برنامج التحميل في استخراج الشيفرة الخبيثة المخفية داخل الصورة باستخدام تقنية إخفاء البيانات، ثم تنفيذها. لا يتم تفعيل هذه الشيفرة إلا عندما لا يتم تحديد بيئة التشغيل المضيفة كبيئة اختبار معزولة، وعندما يتم تشغيل ملف DLL بواسطة explorer.exe، وإلا فإنه يبقى خاملاً لتجنب اكتشافه.

يقوم الكود البرمجي المُفكَّك بتحميل مكتبة .NET مُضمَّنة: وهي عبارة عن غرسة Grunt مرتبطة بإطار عمل COVENANT مفتوح المصدر للتحكم والسيطرة. وقد تم توثيق استخدام APT28 السابق لـ Covenant Grunt في سبتمبر 2025 خلال عملية Phantom Net Voxel.

استمرارية العمليات التكتيكية مع عملية شبكة الشبح فوكسل

على الرغم من أن عملية نيوسبلويت تستبدل أسلوب تنفيذ وحدات ماكرو VBA المستخدم في الحملة السابقة بأسلوب يعتمد على مكتبة DLL، إلا أن التقنيات الأساسية تظل متسقة إلى حد كبير. وتشمل هذه التقنيات ما يلي:

  • اختطاف COM للتنفيذ والاستمرار
  • آليات توجيه ملفات DLL
  • إخفاء السلاسل النصية باستخدام عملية XOR
  • تضمين برامج تحميل الشفرة الخبيثة وحمولات Covenant Grunt في صور PNG باستخدام تقنية إخفاء المعلومات

يُبرز هذا الاستمرار تفضيل APT28 لتطوير أساليب العمل المجربة بدلاً من اعتماد أدوات جديدة تمامًا.

تحذير مركز الاستجابة للطوارئ الحاسوبية في أوهايو يؤكد استهدافًا أوسع نطاقًا

تزامنت الحملة مع تحذير من فريق الاستجابة للطوارئ الحاسوبية في أوكرانيا (CERT-UA)، الذي أشار إلى استغلال مجموعة APT28 للثغرة الأمنية CVE-2026-21509 عبر مستندات مايكروسوفت وورد. استهدفت الحملة أكثر من 60 عنوان بريد إلكتروني مرتبطًا بسلطات تنفيذية مركزية في أوكرانيا. وأظهر تحليل البيانات الوصفية إنشاء مستند واحد على الأقل كأداة تضليل في 27 يناير/كانون الثاني 2026، مما يؤكد سرعة استغلال الثغرة.

التسليم عبر بروتوكول WebDAV وتنفيذ الحمولة النهائية

كشف التحليل أن فتح المستند الخبيث في برنامج مايكروسوفت أوفيس يُفعّل اتصال WebDAV بمورد خارجي. يؤدي هذا التفاعل إلى تنزيل ملف باسم مختصر يحتوي على شفرة برمجية مضمنة، والتي بدورها تسترجع وتنفذ حمولة إضافية.

هذه العملية تعكس في النهاية سلسلة عدوى PixyNetLoader، مما يؤدي إلى نشر زرع Grunt الخاص بإطار عمل COVENANT ومنح المهاجمين وصولاً مستمراً عن بعد إلى النظام المخترق.

الشائع

محفظة تراست - عملية احتيال لتوزيع العملات الرقمية...

المواقع المارقة
لم يكن توخي الحذر أثناء تصفح الإنترنت أكثر أهمية من أي وقت مضى. فالمواقع الإلكترونية الاحتيالية والإعلانات المضللة والعروض الترويجية الوهمية تزداد تطوراً، وغالباً ما تنتحل صفة العلامات التجارية...

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
26,767
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...