كشفت منصة BleepingComputer عن تحذير من فريق الاستجابة لطوارئ الحاسبات في أوكرانيا CERT‑UA بشأن قراصنة مرتبطين بروسيا يستغلون ثغرة خطيرة في مايكروسوفت أوفيس تحمل الرمز CVE‑2026‑21509 رغم أن مايكروسوفت أصدرت تحديثًا طارئًا لسدها في 26 يناير الماضي.
الثغرة تُعتبر “ثغرة يوم‑صفر” في خاصية أمنية داخل أوفيس وتؤثر على عدة إصدارات مثل Office 2016 و2019 وإصدارات LTSC 2021 وLTSC 2024 بالإضافة إلى تطبيقات Microsoft 365 الخاصة بالحسابات المؤسسية.
رسائل تصيد تستهدف جهات حكومية
CERT‑UA رصدت حملة بريد إلكتروني خبيثة بعد ثلاثة أيام فقط من تحذير مايكروسوفت تستخدم ملفات Word معدة لاستغلال الثغرة وأشارت إلى أن بعض الرسائل كانت تحمل عناوين تتعلق باجتماعات COREPER الخاصة بالاتحاد الأوروبي في أوكرانيا بينما انتحلت رسائل أخرى هوية “المركز الأوكراني للأرصاد الجوية والهيدرولوجيا” وتم إرسالها إلى أكثر من 60 عنوان بريد إلكتروني تابع لجهات حكومية أو مرتبطة بالحكومة.
تحليل البيانات الوصفية للملفات الخبيثة أظهر أنها أُنشئت بعد يوم واحد فقط من إصدار التحديث الأمني مما يشير إلى سرعة استغلال المهاجمين للثغرة قبل أن تتمكن المؤسسات المستهدفة من تثبيت التصحيح.
آلية الهجوم: مهام مجدولة و DLL خبيث
استغلال الثغرة يبدأ عند فتح ملف أوفيس مصاب حيث يجري تفعيل سلسلة أوامر تؤدي إلى إنشاء “مهمة مجدولة” داخل النظام CERT‑UA ذكرت أن تنفيذ هذه المهمة يؤدي إلى إيقاف عملية explorer.exe المسؤولة عن واجهة ويندوز ثم إعادة تشغيلها وبالاستفادة من تقنية تُعرف باسم COM hijacking يتم تحميل ملف مكتبة ديناميكية DLL يحمل اسم EhStoreShell.dll.
هذا الملف يقوم بتنفيذ شيفرة خبيثة مدمجة داخل صورة ليجري بعد ذلك تشغيل إطار عمل اختراق يُعرف باسم COVENANT على جهاز الضحية وهو إطار يستخدمه المهاجمون عادة لإنشاء “باب خلفي” يسمح بالتحكم عن بعد في النظام وتنفيذ أوامر إضافية وجمع بيانات حساسة من الأجهزة المصابة.
مجموعة APT28 وامتداد الهجمات
تحقيقات لاحقة نقلتها BleepingComputer عن CERT‑UA وجهات أمنية أخرى أشارت إلى أن الهجمات مرتبطة بمجموعة تهديد متقدمة تُعرف باسم APT28 ويُعتقد أنها مدعومة من الدولة الروسية التقرير أوضح أن محللي الأمن السيبراني رصدوا استخدام ثلاثة مستندات إضافية في هجمات استهدفت منظمات في دول أوروبية أخرى مما يعني أن الحملة لا تقتصر على أوكرانيا بل تمتد إلى دول في أوروبا الوسطى والشرقية وفقًا لنتائج رصد من شركات مثل Zscaler ThreatLabz.
التحقيقات أكدت أن بعض النطاقات المستخدمة لاستضافة البنية التحتية للهجوم تم تسجيلها في اليوم نفسه الذي أطلقت فيه الحملة مما يعكس مستوى إعداد مسبق وتنسيق عالٍ في إدارة البنية الخلفية للهجمات.
توصيات بتثبيت التحديثات
BleepingComputer أكدت أن الجهات الأمنية أوصت المؤسسات والشركات والأفراد الذين يستخدمون إصدارات مايكروسوفت أوفيس المتأثرة بتطبيق آخر التحديثات الأمنية فورًا للحد من مخاطر الاستغلال التقارير أوضحت أن مستخدمي Office 2021 والإصدارات الأحدث من حزمة مايكروسوفت 365 يحصلون على حماية جزئية عبر تغييرات على مستوى خوادم مايكروسوفت لكن يتعين عليهم إعادة تشغيل تطبيقات أوفيس حتى تُطبَّق هذه التغييرات فعليًا بينما يحتاج مستخدمو Office 2016 و2019 إلى تثبيت تصحيحات محددة أو تطبيق حلول بديلة مؤقتة إلى حين استكمال إصدار جميع التحديثات.