سرقة الأسرار على مرأى من الجميع: كيف اختطفت APT28 مايكروسوفت أوفيس للتجسس على أوروبا
العنوان الفرعي: وحدة التجسس السيبراني الروسية APT28 تسلّح ثغرة جديدة في مايكروسوفت أوفيس لسرقة رسائل البريد الإلكتروني ونشر برمجيات خبيثة متخفية عبر أوروبا الشرقية.
في صباح بارد من يناير، وبينما كانت صناديق الوارد في أوكرانيا وسلوفاكيا ورومانيا تضجّ بوثائق تبدو روتينية، كان غزوٌ صامت يجري على قدم وساق. خلف الكواليس، كانت إحدى أشهر مجموعات الاختراق الروسية، APT28، تستغل ثغرةً جديدة تمامًا في أمن مايكروسوفت أوفيس - بعد أيام قليلة فقط من علم العالم بوجودها. هدفهم: اتصالات حكومية ودبلوماسية حساسة، تُسحب خلسة عبر ملفات مُسلّحة تتنكر في هيئة مستندات RTF غير ضارة. مرحبًا بكم في عملية Neusploit، تذكيرٌ مرعب بأن الخط الفاصل بين العمل العادي والتجسس يتلاشى إلى حدٍّ يكاد لا يُرى.
داخل الهجوم: تشريح عملية Neusploit
بدأت العملية برسائل تصيّد مُحكمة الصياغة، تستدرج الضحايا لفتح مستندات RTF متنكرة كمراسلات شرعية. استغلت هذه الملفات CVE-2026-21509 - وهي ثغرة مكتشفة حديثًا تتيح تنفيذ تعليمات برمجية عن بُعد - مُطلِقةً سلسلة متتابعة من النشاط الخبيث بمجرد فتحها في مايكروسوفت أوفيس.
كشف باحثون من Zscaler ThreatLabz عن سلسلتي إصابة متوازيتين. الأولى نشرت “MiniDoor”، وهي زرعة مبسطة لسرقة البريد الإلكتروني مخفية داخل مشروع VBA مُعدّل في Outlook. وبعد تثبيتها، كانت MiniDoor تمشط بصمت صناديق الوارد ومجلدات البريد غير الهام والمسودات، وتعيد توجيه الرسائل المعترَضة إلى عناوين يسيطر عليها APT28. ولتفادي الكشف، عدّلت مفاتيح السجل لخفض أمان وحدات الماكرو في Outlook ومحت آثار الرسائل المُرسلة، تاركة الضحايا بلا أدنى فكرة.
أما السلسلة الثانية، التي نسّقتها أداة تُدعى PixyNetLoader، فقد أظهرت التطور التقني لدى APT28. استخدم هذا المُحمّل اختطاف كائنات COM - وهي تقنية تخدع ويندوز لتشغيل شيفرة خبيثة تحت غطاء عمليات شرعية. وقد ضمّنت البرمجية الخبيثة شيفرة shellcode داخل صورة PNG باستخدام الإخفاء (steganography)، ولم تستخرجها وتُشغّلها إلا إذا رصدت بيئة مستخدم حقيقية. الحمولة النهائية: زرعة “Covenant Grunt”، وهي جزء من إطار عمل قوي مفتوح المصدر للتحكم والقيادة، تتواصل خلسة عبر خدمات تخزين سحابي شرعية لتفادي مراقبة الشبكة.
لم تكن حملة APT28 متقدمة تقنيًا فحسب، بل كانت أيضًا محنكة تشغيليًا. فقد كانت الخوادم المستضيفة للبرمجيات الخبيثة تتحقق من الموقع وبصمات المتصفح لكل طلب، ولا تُسلّم الحمولة إلا لأهداف مختارة بعناية. جعل ذلك من شبه المستحيل على الباحثين خارج مناطق الاستهداف الحصول على عينات حية. وحتى بعد تحديث مايكروسوفت الأمني الطارئ في 26 يناير 2026، استمرت الهجمات - دليل على أن التصحيح وحده لا يكفي عندما يكون الخصوم بهذه الدرجة من الإصرار والقدرة على التكيّف.
التهديد الأوسع
إن تسليح APT28 السريع لاستغلال ثغرة يوم-صفر يبرز استمرار خطر المجموعة على أمن أوروبا. وتشير أوجه الشبه مع حملات سابقة - مثل عملية Phantom Net Voxel - إلى «كتاب لعب» قائم على أدوات معيارية متطورة واستهداف لا يلين للجهات الحكومية والدبلوماسية. وبينما تسارع المؤسسات إلى التصحيح والدفاع، يبقى الدرس المرعب: في عالم التجسس السيبراني الظلي، قد يكون حتى أكثر المستندات اعتيادية حصان طروادة.
WIKICROOK
- Zero: ثغرة يوم-صفر هي خلل أمني خفي غير معروف لصانع البرمجيات، ولا يتوفر له إصلاح، ما يجعله عالي القيمة والخطورة بالنسبة للمهاجمين.
- تنفيذ تعليمات برمجية عن بُعد (RCE): تنفيذ التعليمات البرمجية عن بُعد (RCE) هو عندما يشغّل المهاجم شيفرته الخاصة على نظام الضحية، وغالبًا ما يؤدي ذلك إلى سيطرة كاملة على ذلك النظام أو اختراقه.
- الإخفاء (Steganography): الإخفاء يُخفي رسائل أو شيفرة سرية داخل ملفات يومية مثل الصور أو الصوت، ما يجعل المعلومات المخفية صعبة الاكتشاف.
- اختطاف كائنات COM: اختطاف كائنات COM يحدث عندما يغيّر المهاجمون إعدادات سجل ويندوز لإجبار النظام على تحميل شيفرة خبيثة بدلًا من كائنات COM الشرعية.
- أمر: الأمر هو تعليمة تُرسل إلى جهاز أو برنامج، غالبًا من خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
