شنت مجموعة التجسس السيبراني المرتبطة بروسيا، المعروفة باسم “فانسي بير” (Fancy Bear)، حملة هجومية جديدة تستهدف منظمات في أوروبا الوسطى والشرقية. تستفيد هذه الحملة الهجومية من ثغرة “يوم الصفر” لاستغلال ملفات RTF.
تُعرف المجموعة أيضًا باسم APT28، وهي تستخدم ثغرة “يوم الصفر” (CVE-2026-21509) في صيغة RTF لملفات مايكروسوفت. تتيح هذه الثغرة للمهاجمين تنفيذ تعليمات برمجية عشوائية على أنظمة الضحايا، مما يؤدي إلى نشر برمجيات خبيثة خطيرة، بما في ذلك أبواب خلفية وبرامج سرقة البريد الإلكتروني.
عملية “نيوسبلويت”: استغلال ثغرة يوم الصفر من قبل “فانسي بير”
تسلط حملة “نيوسبلويت” (Operation Neusploit) الضوء على التكتيكات المتطورة التي تستخدمها مجموعة “فانسي بير” لشن هجماتها. تركز الهجمات بشكل خاص على دول مثل أوكرانيا وسلوفاكيا ورومانيا، مما يشكل تهديدًا كبيرًا للقطاعات الحكومية والعسكرية في المنطقة.
تعتمد الهجمات على توزيع مستندات RTF خبيثة عبر رسائل بريد إلكتروني احتيالية، باستخدام حيل الهندسة الاجتماعية المكتوبة بعدة لغات، بما في ذلك الإنجليزية والرومانية والسلوفاكية والأوكرانية. وقد صُممت هذه المستندات لتبدو مقنعة للغاية، وغالبًا ما تحاكي المستندات الرسمية الحكومية، لزيادة احتمالية تفاعل الضحايا معها وتشغيل الاستغلال.
آلية الإصابة وتثبيت البرمجيات الخبيثة
كشف محللو Polyswarm عن البرمجيات الخبيثة المستخدمة في هذه الحملة، مشيرين إلى قدرتها على تجاوز تدابير الأمان التقليدية. تستخدم هذه البرمجيات تقنيات مراوغة متقدمة، مثل التحقق من سلاسل “User-Agent” المحددة وتأكيد المواقع الجغرافية قبل تسليم حمولة الهجوم.
في حال استيفاء الشروط، تقوم سلسلة الهجمات بتنزيل برنامج إسقاط (dropper) خبيث بصيغة DLL، والذي يقوم بدوره بتثبيت مكونات خبيثة إضافية. بمجرد اختراق النظام، يكون التأثير وخيمًا، حيث تقوم البرمجية الخبيثة بسرقة معلومات حساسة مباشرة من Microsoft Outlook. وتقوم هذه البرمجيات بمراقبة نشاط البريد الإلكتروني، وحفظ الرسائل، وإرسالها إلى خوادم يتحكم بها المهاجمون.
إضافة إلى ذلك، تنشئ البرمجية الخبيثة اتصالًا دائمًا بخادم قيادة وتحكم، مما يسمح للمهاجمين بالحفاظ على وصول طويل الأمد وتنفيذ أوامر إضافية. غالبًا ما يكون هذا الاتصال مشفرًا لتجنب الكشف.
ضمان الاستمرارية والحفاظ على الوصول
تتضمن آلية الإصابة استخدام نوعين من برامج الإسقاط بصيغة DLL. يقوم النوع الأول بنشر “MiniDoor”، وهي أداة تقوم بتعديل مفاتيح السجل لخفض مستوى أمان Outlook واستخراج برنامج نصي مشفر لسرقة رسائل البريد الإلكتروني. أما النوع الثاني، فيقدم “PixyNetLoader”، الذي يقوم بإسقاط حمولات ضارة، مثل ملف PNG يخفي شفرة shellcode خبيثة باستخدام تقنية إخفاء المعلومات (steganography).
لضمان استمرارية وجودها، يستخدم المهاجمون تقنية اختطاف COM (COM hijacking). يقومون بتسجيل ملفهم الخبيث تحت اسم شرعي، مما يجبر نظام التشغيل على تحميله عند إعادة تشغيل مستكشف الملفات. تسمح هذه الآلية المتطورة للبرمجية الخبيثة بالبقاء حتى بعد إعادة التشغيل والاستمرار في أنشطة التجسس دون الكشف عنها، مما يجعل اكتشافها صعبًا للغاية للمدافعين.
التوصيات الأمنية الضرورية
يجب على المنظمات فورًا تطبيق التحديثات اللازمة لمعالجة ثغرة CVE-2026-21509. ويتعين على فرق الأمن مراقبة حركة مرور الشبكة بحثًا عن سلاسل “User-Agent” المحددة ومؤشرات الاختراق المرتبطة بحملة “نيوسبلويت”.
من الضروري أيضًا تحديث بوابات أمان البريد الإلكتروني لتصفية المرفقات الخبيثة بصيغة RTF. ويجب على متخصصي الأمن النظر في حظر ملفات RTF بالكامل إذا لم تكن ضرورية للعمليات التجارية.