جهانی - خبرگزاری اخباری
هکرهای دولتی روسیه وصله اضطراری مایکروسافت آفیس را مورد سوءاستفاده قرار داده و نهادهای جهانی را به خطر انداختند
در یک مثال بارز از سرعت و پیچیدگی فزاینده جنگ سایبری با حمایت دولتی، یک گروه هکری بدنام با حمایت روسیه، که به طور گسترده با نامهای APT28 یا Fancy Bear شناخته میشود، وقت را تلف نکرد تا از یک آسیبپذیری حیاتی مایکروسافت آفیس سوءاستفاده کند. کمتر از 48 ساعت پس از آنکه مایکروسافت ماه گذشته یک بهروزرسانی امنیتی اضطراری و برنامهریزینشده را منتشر کرد، عاملان تهدید، نقص شناسایی شده با عنوان CVE-2026-21509 را به سلاح تبدیل کرده و یک کمپین بسیار هدفمند را راهاندازی کردند. این عملیات جسورانه با موفقیت دستگاههای درون سازمانهای دیپلماتیک، دریایی و حملونقل را در حداقل نُه کشور، عمدتاً در اروپای شرقی، به خطر انداخت و بر پنجره زمانی رو به کاهش برای مدافعان جهت وصله کردن سیستمهای حیاتی تأکید کرد.
محققان امنیتی در Trellix جزئیات این بهرهبرداری سریع را فاش کردند و بر توانایی گروه برای مهندسی معکوس پچ مایکروسافت در عرض دو روز و توسعه اکسپلویتهای پیشرفته تأکید کردند. این اکسپلویتها سپس دو ایمپلنت بکدور جدید و قبلاً دیده نشده را نصب کردند که BeardShell و NotDoor نامیده میشوند. کل کمپین بهدقت برای پنهانکاری طراحی شده بود و از تکنیکهایی استفاده میکرد که سازش را عملاً توسط اقدامات معمول حفاظت از نقاط پایانی غیرقابل شناسایی میساخت. این شامل رمزگذاری اکسپلویتها و بارگذاریها، اجرای آنها بهطور انحصاری در حافظه و بهرهبرداری از کانالهای ظاهراً قانونی برای فرمان و کنترل بود که تشخیص قصد مخرب آنها را بهشدت دشوار میکرد.
Read Also
- گزارش: مرکز فضایی کندی آماده دوران موشکهای فوق سنگین نیست
- جنرال موتورز رباتها را در کارخانه خودروهای برقی نصب میکند؛ 1300 کارگر اخراج شدهاند
- سرویسهای پخش آنلاین با آزمایش رایگان در سال 2026: کجا پیدا کنیم؟
- نحوه تماشای آنلاین رایگان بازی نروژ و سنگال در جام جهانی 2026
- بهترین تخفیفهای هدفون در پرایم دی 2026 آمازون: سونی XM6 و ایرپادز مکس 2
بردار اولیه این نفوذ پیچیده اغلب از حسابهای دولتی قبلاً به خطر افتاده در کشورهای مختلف نشأت میگرفت، که نشان میدهد مهاجمان از نقضهای موجود یا اعتبارنامههایی استفاده کردهاند که احتمالاً برای دریافتکنندگان ایمیل هدف آشنا بودهاند. علاوه بر این، زیرساخت فرمان و کنترل در سرویسهای ابری قانونی میزبانی میشد که معمولاً در شبکههای حساس در لیست سفید قرار دارند و به ترافیک مخرب اجازه میدهد تا بهطور یکپارچه با فعالیت عادی شبکه ترکیب شود. این انتخاب استراتژیک کانالهای مورد اعتماد، همراه با تکنیکهای بدون فایل، به مهاجمان اجازه داد تا «در معرض دید پنهان شوند»، همانطور که محققان Trellix اشاره کردند.
کمپین فیشینگ نیزهای ۷۲ ساعته در ۲۸ ژانویه آغاز شد و حداقل ۲۹ طعمه ایمیلی متمایز را به سازمانها در نُه کشور، عمدتاً در اروپای شرقی، ارسال کرد. Trellix هشت کشور از آنها را نام برد: لهستان، اسلوونی، ترکیه، یونان، امارات متحده عربی، اوکراین، رومانی و بولیوی. سازمانهای هدف شامل وزارتخانههای دفاع (۴۰ درصد)، اپراتورهای حملونقل/لجستیک (۳۵ درصد) و نهادهای دیپلماتیک (۲۵ درصد) بودند. این پروفایل هدفگیری کاملاً با اهداف ژئوپلیتیکی که اغلب با بازیگران همسو با دولت مانند APT28 مرتبط است، مطابقت دارد که بهطور مکرر در جاسوسی سایبری علیه نهادهای حیاتی برای امنیت ملی و روابط بینالمللی مشارکت دارند.
موفقیت زنجیره آلودگی منجر به استقرار BeardShell یا NotDoor شد. BeardShell، یک در پشتی قدرتمند، قابلیتهای گسترده شناسایی سیستم، پایداری از طریق تزریق فرآیندها به Windows svchost.exe و یک پایگاه حیاتی برای حرکت جانبی به سایر سیستمها در یک شبکه آلوده را به مهاجمان ارائه داد. اجرای آن به اسمبلیهای .NET بارگذاری شده پویا متکی بود، تکنیکی که برای باقی گذاشتن حداقل مصنوعات پزشکی قانونی روی دیسک طراحی شده بود و تشخیص و تجزیه و تحلیل توسط تیمهای امنیتی را بیشتر پیچیده میکرد. این عملیات در حافظه از ویژگیهای تهدیدات پیشرفته پایدار (APT) است که به دنبال فرار از ابزارهای امنیتی سنتی هستند.
NotDoor، دومین در پشتی، به شکل یک ماکرو VBA ظاهر شد. این ماکرو تنها پس از آن نصب شد که زنجیره بهرهبرداری با موفقیت کنترلهای امنیتی ماکرو Outlook را غیرفعال کرد – گامی حیاتی که درک عمیق مهاجمان از آسیبپذیریهای کلاینت ایمیل را نشان میدهد. پس از فعالسازی، NotDoor به دقت پوشههای ایمیل، از جمله صندوق ورودی، پیشنویسها، هرزنامه و فیدهای RSS را نظارت میکرد. سپس پیامها را در یک فایل .msg ویندوز بستهبندی میکرد که سپس به حسابهای تحت کنترل مهاجم که در سرویس ابری filen.io راهاندازی شده بودند، ارسال میشد. برای دور زدن کنترلهای امنیتی در حسابهای با امتیاز بالا که برای محدود کردن دسترسی به کابلهای طبقهبندی شده و سایر اسناد حساس طراحی شدهاند، ماکرو ایمیلها را با یک ویژگی سفارشی “AlreadyForwarded” پردازش کرد و “DeleteAfterSubmit” را روی true تنظیم کرد تا پیامهای فوروارد شده را از پوشه آیتمهای ارسالی پاک کند و بدین ترتیب آثار خروج اطلاعات را از بین ببرد.
Trellix این کمپین را با «اطمینان بالا» به APT28 نسبت داد، که بر اساس همگرایی شاخصهای فنی و الگوهای هدفگیری خاص مشاهده شده بود. این انتساب بیشتر توسط CERT-UA اوکراین تأیید شد، که به طور مستقل این حملات را به UAC-0001، نام ردیابی دیگری که با APT28 مطابقت دارد، مرتبط کرد. APT28، همچنین به نامهای Fancy Bear، Sednit، Forest Blizzard و Sofacy شناخته میشود، سابقه مستندی از جاسوسی سایبری و عملیات نفوذ دارد که اغلب با منافع دولت روسیه همسو است. روش کار آنها معمولاً شامل بدافزارهای پیچیده چند مرحلهای، پنهانسازی گسترده، سوءاستفاده از سرویسهای ابری قانونی و هدفگیری مداوم سیستمهای ایمیل برای دستیابی به اهدافشان است.
Related News
- روسیه کمدین قزاق نورلان سابوروف را ۵۰ سال ممنوعالورود کرد
- مناطق در فراخوان: هزینه انسانی بحران صنعت زغالسنگ
- روسیه 47 هزار کرسی دانشگاهی پولی را کاهش داد و حقوق و اقتصاد را هدف قرار داد
- درخواست اشکبار مادر بریتانیایی برای بازگرداندن پسرش به خانه پس از حادثه وحشتناک در تایلند
- سقوط هولناک هلیکوپتر در رئونیون: یک نفر در حال مبارزه برای زندگی و دو نفر در وضعیت بحرانی
مهارت به کار گرفته شده در این کمپین — که با تسلیح سریع آسیبپذیری روز صفر (یا نزدیک به روز صفر)، استفاده از ایمپلنتهای جدید، اجرای بدون فایل و بهرهبرداری از کانالهای مورد اعتماد مشخص میشود — منعکسکننده قابلیتهای یک دشمن بسیار مجهز و پیشرفته است. این حادثه به عنوان یک یادآوری حیاتی برای سازمانهای سراسر جهان عمل میکند تا وصلههای به موقع را در اولویت قرار دهند، قابلیتهای تشخیص تهدید خود را برای شناسایی حملات در حافظه و بدون فایل افزایش دهند، و دفاع خود را در برابر تلاشهای فیشینگ نیزهای پیچیده تقویت کنند. شرکتهای امنیت سایبری مانند Trellix به طور مداوم شاخصهای سازش بهروز شده (IOCs) را ارائه میدهند تا به سازمانها در شناسایی و کاهش تهدیدات احتمالی از این دشمن پایدار و در حال تحول کمک کنند.