كشف تقرير جديد عن استغلال مجموعة APT28، المعروفة أيضاً بـ UAC-0001، التي تتهمها جهات بأنها مدعومة من روسيا، لثغرة أمنية حديثة في Microsoft Office ضمن حملة تخريبية تحمل الاسم الرمزي Operation Neusploit. يأتي هذا الاستغلال بعد أيام قليلة من الكشف الرسمي عن الثغرة من قبل مايكروسوفت.
وقد لاحظت Zscaler ThreatLabz أن مجموعة التهديد بدأت في استغلال هذه الثغرة في 29 يناير 2026، مستهدفة مستخدمين في أوكرانيا وسلوفاكيا ورومانيا. يأتي هذا التطور في سياق متنامٍ للهجمات السيبرانية التي تستهدف الأنظمة والمؤسسات.
APT28 تستغل ثغرة Microsoft Office في حملة Operation Neusploit
وتتمثل الثغرة المحددة حالياً في CVE-2026-21509، وهي تجاوز للميزات الأمنية في Microsoft Office، وتوفر هذه الثغرة للمهاجم غير المصرح له إمكانية إرسال ملف Office مصمم خصيصاً لتنفيذ شفرة خبيثة.
لجذب المستخدمين، تم تصميم رسائل تصيد احتيالي باللغتين الإنجليزية ولغات محلية تشمل الرومانية والسلوفاكية والأوكرانية. وقد استخدم المهاجمون تقنيات تجاوز دفاعية تعتمد على الخادم، حيث لا يتم إرسال الحمولة الخبيثة إلا عند استلام طلبات من المنطقة الجغرافية المستهدفة وتتضمن ترويسة HTTP صحيحة للمعرف الفريد للمستخدم (User-Agent).
آليات الهجوم وطرق التسلل
تتضمن سلاسل الهجوم استغلال الثغرة الأمنية عبر ملف RTF خبيث، بهدف إيصال نسختين مختلفتين من برنامج إسقاط (dropper). النسخة الأولى مصممة لإسقاط برمجية سرقة بريد إلكتروني تدعى MiniDoor، بينما النسخة الثانية، المسماة PixyNetLoader، مسؤولة عن نشر وحدة تنفيذ الأوامر والتحكم (implant) من نوع Covenant Grunt.
بالنسبة لبرنامج الإسقاط الأول، فإن وظيفته الأساسية هي تسهيل الوصول إلى MiniDoor، وهي ملف DLL مكتوب بلغة C++ يقوم بسرقة رسائل البريد الإلكتروني للمستخدم من مجلدات مختلفة مثل البريد الوارد، والبريد غير المرغوب فيه، والمسودات، ثم إرسالها إلى عنواني بريد إلكتروني خاصين بالمهاجم: ahmeclaw2002@outlook[.]com و ahmeclaw@proton[.]me. ويُعتقد أن MiniDoor هي نسخة مبسطة من GONEPOSTAL.
في المقابل، يُستخدم برنامج الإسقاط الثاني، PixyNetLoader، لبدء سلسلة هجوم أكثر تعقيداً. تتضمن هذه السلسلة إيصال مكونات إضافية مضمنة فيه، وإعداد آليات الثبات على النظام عبر اختطاف كائن COM. وتشمل الحمولات المستخرجة وحدة تحميل شفرة (shellcode loader) تسمى EhStoreShell.dll وصورة بصيغة PNG تحمل اسم SplashScreen.png.
الاستعانة بتقنيات التخفي
المسؤولية الأساسية لوحدة التحميل هي تحليل الشفرة الخفية الموجودة داخل الصورة باستخدام تقنية إخفاء المعلومات (steganography) وتنفيذها. ومع ذلك، فإن وحدة التحميل لا تنشط منطقها الخبيث إلا إذا كان الجهاز المصاب ليس بيئة تحليلية، وعندما يكون المعالج الذي أطلق ملف DLL هو explorer.exe. في حال لم تتحقق هذه الشروط، تظل البرمجية الخبيثة كامنة.
في النهاية، تستخدم الشفرة الخبيثة لتحميل تجميعة .NET مضمنة، وهي بالأساس وحدة تنفيذ من نوع Grunt مرتبطة بإطار عمل COVENANT مفتوح المصدر للتحكم والقيادة (C2). والجدير بالذكر أن استخدام APT28 لوحدة Grunt Stager قد تم تسليط الضوء عليه من قبل Sekoia في حملة Operation Phantom Net Voxel.
تطورات متزامنة وتحذيرات
تكشف Zscaler أن سلسلة هجمات PixyNetLoader تشترك في أوجه تشابه ملحوظة مع Operation Phantom Net Voxel. على الرغم من أن الحملة السابقة استخدمت ماكرو VBA، إلا أن هذا النشاط استبدلها بملف DLL مع الاحتفاظ بتقنيات مشابهة، بما في ذلك اختطاف COM للتنفيذ، والتمرير عبر DLL، وتقنيات تشفير السلاسل النصية XOR، وتضمين Covenant Grunt ووحدة تحميل الشفرة الخاصة به في صورة PNG عبر إخفاء المعلومات.
يتزامن هذا الكشف مع تقرير صادر عن فريق الاستجابة لطوارئ الحاسوب في أوكرانيا (CERT-UA)، والذي حذر أيضاً من إساءة استخدام APT28 للثغرة CVE-2026-21509 عبر مستندات Word، مستهدفة أكثر من 60 عنوان بريد إلكتروني مرتبط بالسلطات التنفيذية المركزية في البلاد. وتشير تحليلات البيانات الوصفية إلى أن إحدى المستندات المزيفة تم إنشاؤها في 27 يناير 2026.
وأضاف CERT-UA أنه أثناء التحقيق، تبين أن فتح المستند باستخدام Microsoft Office يؤدي إلى إنشاء اتصال شبكي بمورد خارجي باستخدام بروتوكول WebDAV، يليه تنزيل ملف يحمل اسم ملف اختصار يحتوي على شفرة برمجية مصممة لتنزيل وتشغيل ملف تنفيذي. وهذا بدوره يؤدي إلى تفعيل سلسلة هجوم مطابقة لتلك الخاصة بـ PixyNetLoader، مما ينتج عنه نشر وحدة تنفيذ Grunt التابعة لإطار عمل COVENANT.