كشفت تقارير أمنية حديثة عن حملة تجسس متطورة شنتها مجموعة APT28، المرتبطة بروسيا، مستهدفة دولاً في وسط وشرق أوروبا، مستغلة ثغرة أمنية خطيرة من نوع “يوم الصفر” في برمجيات مايكروسوفت أوفيس. تهدف هذه الحملة، التي أطلق عليها اسم “عملية Neusploit”، إلى نشر برمجيات خبيثة على نطاق واسع.
تعتمد المجموعة على إرسال ملفات خبيثة مصممة خصيصاً بصيغة RTF (Rich Text Format) لاستهداف المستخدمين، مما يسهل عملية اختراق أنظمتهم. وتُظهر هذه العملية مستوى متزايداً من القدرات لدى APT28، التي تركز بشكل مستمر على أهداف ذات قيمة عالية في دول مثل أوكرانيا وسلوفاكيا ورومانيا.
حملة APT28 تستغل ثغرة مايكروسوفت أوفيس
تبدأ آلية الهجوم عندما يتلقى المستخدمون رسائل بريد إلكتروني معدة بعناية تحتوي على مستندات RTF مصابة. غالبًا ما تكون هذه الرسائل مصممة بلغات محلية، بما في ذلك الرومانية والسلوفاكية والأوكرانية، لزيادة احتمالية نجاح الهجوم.
بمجرد أن يقوم الضحايا بفتح هذه الملفات، يتم استغلال الثغرة الأمنية بصمت، مما يسمح للمهاجمين بتنفيذ أوامر عشوائية على النظام المخترق دون أي إنذار مرئي للمستخدم. تعمل المجموعة على ضمان أن يتم إرسال الأوامر إلى أنظمة محددة جغرافياً فقط، مما يجعل اكتشافها وتحليلها أكثر صعوبة.
آلية الإصابة واستراتيجيات البقاء
تتضمن سلسلة الإصابة نوعين مختلفين من برمجيات الإسقاط (dropper malware)، التي تم تصميمها لنشر حمولات مختلفة على الأنظمة المخترقة. يعمل النوع الأول على تثبيت MiniDoor، وهي أداة خفيفة لسرقة البريد الإلكتروني تم بناؤها باستخدام Visual Basic for Applications (VBA) ضمن Microsoft Outlook.
يقوم MiniDoor بمراقبة أحداث تسجيل الدخول إلى Outlook وسرقة رسائل البريد الإلكتروني من صندوق البريد المصاب بشكل منهجي. ثم يقوم بإعادة توجيه الاتصالات المسروقة إلى عناوين بريد إلكتروني مبرمجة مسبقاً يتحكم بها المهاجمون.
وللحفاظ على الاستمرارية، يقوم برنامج الإسقاط بتعديل إعدادات سجل ويندوز لتعطيل إجراءات حماية Outlook وتحميل الماكرو الخبيث تلقائيًا في كل مرة يتم فيها تشغيل التطبيق، مما يوفر وصولاً مستمراً للمهاجمين.
أما النوع الثاني من برامج الإسقاط، فيقوم بنشر PixyNetLoader، الذي يؤسس نقطة انطلاق لنشر أداة Covenant Grunt implant، مما يمنح المهاجمين القدرة على التحكم والقيادة والسيطرة (C2).
هذه الاستراتيجية المتقدمة، التي تشمل استغلال ثغرات يوم الصفر واستخدام أدوات متخصصة، تسلط الضوء على التهديدات السيبرانية المستمرة التي تواجه المؤسسات والحكومات في جميع أنحاء العالم.