الصفحات
بحث
تحذير: قراصنة روس يستغلون ثغرة مايكروسوفت أوفيس الجديدة
الأمن السيبراني #أمن_سيبراني #مايكروسوفت

تحذير: قراصنة روس يستغلون ثغرة مايكروسوفت أوفيس الجديدة

منذ 6 ساعات 8 مشاهدة 0 تعليق 2 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
8 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

أعلن فريق الاستجابة لطوارئ الكمبيوتر في أوكرانيا (CERT-UA) أن قراصنة روساً بدأوا باستغلال ثغرة CVE-2026-21509، وهي ثغرة أمنية تم إصلاحها حديثاً في عدة إصدارات من برامج مايكروسوفت أوفيس، لاستهداف جهات حكومية حساسة.

تفاصيل الهجوم والتوقيت

في 26 يناير 2026، أصدرت شركة مايكروسوفت تحديثاً أمنياً طارئاً خارج النطاق المعتاد، وصنفت الثغرة CVE-2026-21509 كعيواب "يوم صفر" (Zero-day) يتم استغلاله بنشاط. وبعد ثلاثة أيام فقط من هذا التحذير، رصد فريق CERT-UA توزيع ملفات DOC خبيثة تستغل هذه الثغرة.

اعتمد المهاجمون في حملتهم على انتحال صفة مؤسسات رسمية؛ حيث تمحورت بعض المستندات حول مشاورات الاتحاد الأوروبي (EU COREPER)، بينما انتحلت رسائل بريد إلكتروني أخرى صفة "المركز الهيدروميتورولوجي الأوكراني" وأُرسلت إلى أكثر من 60 عنواناً حكومياً. وكما تظهر الصورة المرفقة للمستند الخبيث، يتم استخدام هذه الملفات كطعم لتفعيل الثغرة.

سلسلة العدوى المعقدة

نسب الفريق الأوكراني هذه الهجمات إلى مجموعة APT28 (المعروفة أيضاً باسم Fancy Bear أو Sofacy)، والمرتبطة بالمخابرات العسكرية الروسية (GRU). وأشار التحليل الرقمي إلى أن البيانات الوصفية للمستندات أظهرت إنشاءها بعد يوم واحد فقط من إصدار التحديث الأمني.

آلية الاختراق التقنية

عند فتح الضحية للمستند الخبيث، يتم تفعيل سلسلة تحميل تعتمد على WebDAV لتثبيت البرمجيات الخبيثة عبر تقنية "COM hijacking". تتضمن العملية تحميل مكتبة برمجية خبيثة (EhStoreShell.dll) وشفرة برمجية (Shellcode) مخفية داخل ملف صورة (SplashScreen.png)، بالإضافة إلى إنشاء مهمة مجدولة باسم OneDriveHealth.

وأوضح تقرير CERT-UA أن "تنفيذ المهمة المجدولة يؤدي إلى إنهاء وإعادة تشغيل عملية explorer.exe، مما يضمن تحميل ملف EhStoreShell.dll بفضل اختطاف COM". وتقوم هذه المكتبة بتنفيذ الشفرة المخفية في الصورة، مما يؤدي في النهاية إلى تشغيل إطار عمل COVENANT على الجهاز المخترق.

توصيات الحماية العاجلة

كشفت التحقيقات أن برمجية COVENANT تستخدم خدمة التخزين السحابي Filen (filen.io) لعمليات القيادة والتحكم (C2). لذا، يُنصح بمراقبة أو حظر الاتصالات المرتبطة بهذه المنصة لتعزيز الدفاعات.

توصي الجهات الأمنية المؤسسات بتطبيق التحديثات الأمنية الأخيرة فوراً على إصدارات Microsoft Office 2016 و2019 وLTSC 2021 وLTSC 2024 وتطبيقات Microsoft 365. وفي حال تعذر التحديث الفوري، يجب تطبيق تعليمات التخفيف المستندة إلى السجل (Registry) كحل مؤقت.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##أمن_سيبراني ##مايكروسوفت ##هجمات_إلكترونية ##Office

الأسئلة الشائعة

يستغل القراصنة الثغرة CVE-2026-21509، وهي ثغرة يوم صفر تم إصدار تحديث أمني لها مؤخراً وتسمح بتنفيذ أكواد خبيثة.

نسب فريق CERT-UA الهجمات لمجموعة APT28 (Fancy Bear) المرتبطة بالمخابرات العسكرية الروسية.

يجب تثبيت التحديثات الأمنية الأخيرة لبرامج Office فوراً، ومراقبة أو حظر الاتصالات بخدمة التخزين السحابي Filen.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!