مجموعة Fancy Bear تستغل ثغرة حرجة في Microsoft Office لسرقة البيانات

أطلقت مجموعة التهديدات المتقدمة المرتبطة بروسيا APT28، المعروفة أيضاً باسم Fancy Bear، حملة تجسس متطورة تستغل ثغرة حرجة في Microsoft Office تُعرّف بـ CVE-2026-21509. أصدرت Microsoft تحديثات طوارئ في 26 يناير 2026، لكن في غضون ثلاثة أيام فقطبحلول 29 ينايرأكد باحثو الأمن استغلالاً نشطاً في البرية يستهدف المنظمات عبر وسط وشرق أوروبا، بما في ذلك أوكرانيا وسلوفاكيا ورومانيا.

تحمل الثغرة درجة CVSS بقيمة 7.8 (خطورة عالية) وتؤثر على إصدارات متعددة من Microsoft Office: Office 2016 و Office 2019 و Office LTSC 2021 و Office LTSC 2024 و Microsoft 365 Apps for Enterprise. ينبع العيب من المعالجة غير الصحيحة لملفات Rich Text Format (RTF)، مما يسمح للمهاجمين بتجاوز الضوابط الأمنية الحرجة دون تشغيل تحذيرات للمستخدم.

نسب باحثو الأمن هذه الحملة إلى عملية Neusploit، وهي عملية تجسس منسقة تستخدم مستندات Office مسلحة كنقطة دخول خفية. يبدأ الهجوم بشكل بريء: يتلقى الضحايا رسائل بريد إلكتروني للتصيد تحتوي على ملفات RTF مصممة بعناية بأسماء غير مريبةمثل "Consultation_Topics_Ukraine(Final).doc"مصممة لتبدو شرعية.

عند فتح المستند الضار، يقوم تطبيق Office بتحليل ملف RTF بشكل غير صحيح، مما يؤدي إلى تنفيذ الكود دون الحاجة إلى وحدات الماكرو أو تفاعل إضافي من المستخدم. يقوم هذا الاستغلال بعد ذلك بتنزيل DLL dropper من البنية التحتية التي يسيطر عليها المهاجم، مما يبدأ سلسلة عدوى متعددة المراحل.

حدد الباحثون متغيرين مختلفين من الهجوم في عملية Neusploit. كلاهما ينشر حمولات ضارة تشمل MiniDoor، وهو مشروع Outlook Visual Basic for Applications (VBA) متطور مصمم لسرقة الاتصالات البريدية. يقلل MiniDoor من إعدادات أمان الماكرو وينقل رسائل البريد الإلكتروني للضحايا بصمت إلى عناوين يسيطر عليها المهاجم، مما يتيح جمع المعلومات الاستخباراتية على المدى الطويل دون اكتشاف.

تشمل الحمولات الإضافية المرصودة PixyNetLoader وبرامج خلفية أخرى تنشئ بنية تحكم وتحكم (C2) مستمرة. وجدير بالملاحظة أن الجهات الفاعلة في التهديد تستخدم Filen، وهي خدمة تخزين سحابي شرعية، للاتصالات C2وهي تقنية تساعد على تجنب الدفاعات التقليدية القائمة على الشبكة.

سرعة الاستغلال مثيرة للقلق. كشفت Microsoft عن الثغرة في 26 يناير؛ بحلول 29 يناير، كانت APT28 قد سلحتها بالفعل في حملات حية. يوضح هذا النافذة المدتها ثلاثة أيام مدى سرعة قيام الجهات الفاعلة برعاية الدول بتشغيل الثغرات المكتشفة حديثاً. بالنسبة للمنظمات، الآثار شديدة: الأنظمة غير المصححة تبقى عرضة لهجمات تعتمد على البريد الإلكتروني تتطلب الحد الأدنى من تفاعل المستخدم بما يتجاوز فتح ملف.

يؤكد استهداف مؤسسات الاتحاد الأوروبي والحكومات في أوروبا الشرقية البعد الجيوسياسي لهذه الحملة. حذرت CERT-UA من أن "نظراً للتأخير المحتمل (أو عدم القدرة) على تحديث Microsoft Office أو تطبيق التدابير الأمنية الموصى بها، من المتوقع أن يزداد عدد الهجمات الإلكترونية التي تستغل هذه الثغرة."

توصي مستشارة Microsoft بالعمل العاجل: تطبيق أحدث تحديثات أمان Office التي تعالج CVE-2026-21509 عبر جميع نقاط النهاية على الفور. بالإضافة إلى ذلك، يجب على المنظمات مراقبة حركة الشبكة للاتصالات بعقد تخزين سحابي Filen وتنفيذ تكوينات سجل Windows الموضحة في التوجيهات الرسمية من Microsoft.

أضافت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) CVE-2026-21509 إلى كتالوج الثغرات المعروفة المستغلة (KEV)، مما يتطلب من الوكالات الفيدرالية المدنية التصحيح بحلول 16 فبراير 2026. يعكس هذا التعيين الخطورة وحالة الاستغلال النشط.

تخيل دبلوماسياً في وزارة أوروبية يتلقى بريداً إلكترونياً بعنوان "موضوعات استشارة COREPERأوكرانيا (النسخة النهائية).doc" من مصدر يبدو رسمياً. يؤدي فتح المرفق إلى استغلال صامت، وتثبيت MiniDoor دون أي خطأ مرئي أو تحذير. في غضون ساعات، يحصل المهاجم على إمكانية الوصول إلى أرشيف البريد الإلكتروني للضحية، مما قد يعرض الاتصالات الدبلوماسية الحساسة واستراتيجيات التفاوض وتقييمات الاستخبارات.

يعكس هذا الحادث اتجاهاً أوسع: احتسبت منتجات Microsoft 41 ثغرة يوم صفر العام الماضي، مع استغلال 24 منها بنشاط في البرية. تبقى مكونات Office متجهاً هجومياً أساسياً في عام 2026. يجب على المنظمات اعتماد نهج عدم الثقة تجاه مرفقات البريد الإلكتروني، وتنفيذ قائمة بيضاء للتطبيقات، والحفاظ على انضباط صارم في إدارة التصحيحات. يوضح التقارب بين الهندسة الاجتماعية المتطورة وخدمات السحابة الشرعية للاتصالات C2 والبرامج الخلفية الخفية أن الدفاعات التقليدية على محيط الشبكة غير كافية ضد التهديدات برعاية الدول.