كشف تقرير حديث صادر عن شركة “تريليكس” الأمنية عن حملة تجسس سيبراني متطورة تقودها مجموعة APT28 الروسية، تستهدف جهات حكومية وعسكرية ذات قيمة عالية في أوروبا. تستغل المجموعة ثغرة أمنية حرجة في برنامج Microsoft Office، مما يتيح لها اختراق الأنظمة بشكل فعال.
تتركز الهجمات بشكل أساسي على منظمات بحرية ونقل في دول مثل بولندا وأوكرانيا وتركيا. تسمح الثغرة المكتشفة، والمُسماة CVE-2026-21509، للمهاجمين بتجاوز إجراءات الحماية الحالية وتنفيذ تعليمات برمجية خبيثة على الأنظمة المستهدفة بسهولة ملحوظة.
حملة APT28 تستغل ثغرة Microsoft Office لشن هجمات تجسس
تبدأ هذه الحملة الإلكترونية عادةً برسائل بريد إلكتروني خبيثة موجهة بعناية، يتم تصميمها لتبدو وكأنها مراسلات رسمية عاجلة. تستخدم هذه الرسائل عناوين جذابة تتعلق بقضايا جيوسياسية، مثل التحذيرات من تهريب أسلحة أو دعوات للمشاركة في تدريبات عسكرية، بهدف خداع المستلمين.
عندما يفتح الضحية المستند المصاب، يتم تفعيل الاستغلال تلقائيًا دون الحاجة إلى أي إجراءات إضافية من المستخدم، مثل تفعيل وحدات الماكرو. هذه القدرة على التنفيذ “بضغطة صفرية” تجعل الهجوم فعالًا بشكل خاص ضد الوزارات الدفاعية والمؤسسات الدبلوماسية.
وقد لاحظ محللو “تريليكس” سرعة المهاجمين في استغلال الثغرة، حيث تم استخدامها خلال 24 ساعة فقط من الإعلان العام عنها. تستخدم المستندات المصابة كائنات مضمنة مصممة خصيصًا والتي تستفيد من بروتوكول WebDAV لجلب حمولات خارجية من بنية تحتية يتحكم بها المهاجمون.
هذه التقنية تسمح للمهاجمين بالمرور عبر الدفاعات الشبكية التقليدية، حيث يتم إخفاء حركة المرور الخبيثة كطلبات ويب شرعية. هذا يساعد المهاجمين على تأسيس موطئ قدم لهم داخل الشبكة دون أن يتم اكتشافهم.
الآليات المستخدمة للتخفي والمحافظة على الوصول
بعد الاختراق الأولي، يقوم المهاجمون بنشر مجموعة متنوعة من البرامج الضارة المخصصة لضمان استمرار وصولهم. تشمل هذه البرامج، المعروفة باسم “أدوات APT28″، برنامج “BeardShell” المكتوب بلغة C++، وبرنامج “NotDoor” وهو باب خلفي خاص ببرنامج Outlook.
تمنح هذه الأدوات المتطورة المهاجمين القدرة على الحفاظ على وصول مستمر، وسرقة معلومات حساسة، والتنقل بحرية داخل شبكة الضحية. كما أن اعتماد الحملة على خدمات سحابية شرعية للتحكم والقيادة يزيد من تعقيد جهود الكشف.
تم تصميم سلسلة العدوى بعناية فائقة لضمان الصمود والتخفي، باستخدام طبقات متعددة من التمويه لتجاوز الضوابط الأمنية. بعد الاختراق الأولي، يقوم برنامج تحميل (loader) بجلب ملف صورة مشفر يحتوي على شل كود مخفي.
يقوم هذا الشل كود بتنفيذ باب “BeardShell” الخلفي مباشرة في ذاكرة النظام، مما يتجنب الآثار التي توجد على القرص والتي قد ترصدها حلول مكافحة الفيروسات التقليدية. يتضمن برنامج التجسس أيضًا إجراءات مضادة للتحليل، مثل فحوصات التوقيت، لتحديد ما إذا كان يتم تشغيله في بيئة اختبار (sandbox) أمنية.
علاوة على ذلك، تستغل مجموعة APT28 خدمة التخزين السحابي الشرعية filen.io لإدارة اتصالات القيادة والتحكم الخاصة بها. من خلال تشفير حركة المرور وتوجيهها عبر هذه المنصة الموثوقة، ينجح المهاجمون في مزج الأوامر الخبيثة مع بيانات المستخدم العادية.
وللتخفيف من حدة هذه التهديدات، يُنصح بشدة بتطبيق تحديثات Microsoft Office الطارئة على الفور. بالإضافة إلى ذلك، يُوصى بتقييد استخدام بروتوكول WebDAV. كما يمكن لتطبيق قواعد تصفية صارمة للبريد الإلكتروني أن يساعد في منع المتجهات الأولية للهجوم.