اخباری
Sunday, 05 July 2026
Breaking

هکرهای دولتی روسیه وصله اضطراری مایکروسافت آفیس را مورد سوءاستفاده قرار داده و نهادهای جهانی را به خطر انداختند

حمله پیچیده، ساعات پس از انتشار به‌روزرسانی امنیتی، سازمان‌ه

هکرهای دولتی روسیه وصله اضطراری مایکروسافت آفیس را مورد سوءاستفاده قرار داده و نهادهای جهانی را به خطر انداختند
عبد الفتاح يوسف
2026-02-06 22:31
4

جهانی - خبرگزاری اخباری

هکرهای دولتی روسیه وصله اضطراری مایکروسافت آفیس را مورد سوءاستفاده قرار داده و نهادهای جهانی را به خطر انداختند

در یک مثال بارز از سرعت و پیچیدگی فزاینده جنگ سایبری با حمایت دولتی، یک گروه هکری بدنام با حمایت روسیه، که به طور گسترده با نام‌های APT28 یا Fancy Bear شناخته می‌شود، وقت را تلف نکرد تا از یک آسیب‌پذیری حیاتی مایکروسافت آفیس سوءاستفاده کند. کمتر از 48 ساعت پس از آنکه مایکروسافت ماه گذشته یک به‌روزرسانی امنیتی اضطراری و برنامه‌ریزی‌نشده را منتشر کرد، عاملان تهدید، نقص شناسایی شده با عنوان CVE-2026-21509 را به سلاح تبدیل کرده و یک کمپین بسیار هدفمند را راه‌اندازی کردند. این عملیات جسورانه با موفقیت دستگاه‌های درون سازمان‌های دیپلماتیک، دریایی و حمل‌ونقل را در حداقل نُه کشور، عمدتاً در اروپای شرقی، به خطر انداخت و بر پنجره زمانی رو به کاهش برای مدافعان جهت وصله کردن سیستم‌های حیاتی تأکید کرد.

محققان امنیتی در Trellix جزئیات این بهره‌برداری سریع را فاش کردند و بر توانایی گروه برای مهندسی معکوس پچ مایکروسافت در عرض دو روز و توسعه اکسپلویت‌های پیشرفته تأکید کردند. این اکسپلویت‌ها سپس دو ایمپلنت بک‌دور جدید و قبلاً دیده نشده را نصب کردند که BeardShell و NotDoor نامیده می‌شوند. کل کمپین به‌دقت برای پنهان‌کاری طراحی شده بود و از تکنیک‌هایی استفاده می‌کرد که سازش را عملاً توسط اقدامات معمول حفاظت از نقاط پایانی غیرقابل شناسایی می‌ساخت. این شامل رمزگذاری اکسپلویت‌ها و بارگذاری‌ها، اجرای آن‌ها به‌طور انحصاری در حافظه و بهره‌برداری از کانال‌های ظاهراً قانونی برای فرمان و کنترل بود که تشخیص قصد مخرب آن‌ها را به‌شدت دشوار می‌کرد.

بردار اولیه این نفوذ پیچیده اغلب از حساب‌های دولتی قبلاً به خطر افتاده در کشورهای مختلف نشأت می‌گرفت، که نشان می‌دهد مهاجمان از نقض‌های موجود یا اعتبارنامه‌هایی استفاده کرده‌اند که احتمالاً برای دریافت‌کنندگان ایمیل هدف آشنا بوده‌اند. علاوه بر این، زیرساخت فرمان و کنترل در سرویس‌های ابری قانونی میزبانی می‌شد که معمولاً در شبکه‌های حساس در لیست سفید قرار دارند و به ترافیک مخرب اجازه می‌دهد تا به‌طور یکپارچه با فعالیت عادی شبکه ترکیب شود. این انتخاب استراتژیک کانال‌های مورد اعتماد، همراه با تکنیک‌های بدون فایل، به مهاجمان اجازه داد تا «در معرض دید پنهان شوند»، همانطور که محققان Trellix اشاره کردند.

کمپین فیشینگ نیزه‌ای ۷۲ ساعته در ۲۸ ژانویه آغاز شد و حداقل ۲۹ طعمه ایمیلی متمایز را به سازمان‌ها در نُه کشور، عمدتاً در اروپای شرقی، ارسال کرد. Trellix هشت کشور از آنها را نام برد: لهستان، اسلوونی، ترکیه، یونان، امارات متحده عربی، اوکراین، رومانی و بولیوی. سازمان‌های هدف شامل وزارتخانه‌های دفاع (۴۰ درصد)، اپراتورهای حمل‌ونقل/لجستیک (۳۵ درصد) و نهادهای دیپلماتیک (۲۵ درصد) بودند. این پروفایل هدف‌گیری کاملاً با اهداف ژئوپلیتیکی که اغلب با بازیگران همسو با دولت مانند APT28 مرتبط است، مطابقت دارد که به‌طور مکرر در جاسوسی سایبری علیه نهادهای حیاتی برای امنیت ملی و روابط بین‌المللی مشارکت دارند.

موفقیت زنجیره آلودگی منجر به استقرار BeardShell یا NotDoor شد. BeardShell، یک در پشتی قدرتمند، قابلیت‌های گسترده شناسایی سیستم، پایداری از طریق تزریق فرآیندها به Windows svchost.exe و یک پایگاه حیاتی برای حرکت جانبی به سایر سیستم‌ها در یک شبکه آلوده را به مهاجمان ارائه داد. اجرای آن به اسمبلی‌های .NET بارگذاری شده پویا متکی بود، تکنیکی که برای باقی گذاشتن حداقل مصنوعات پزشکی قانونی روی دیسک طراحی شده بود و تشخیص و تجزیه و تحلیل توسط تیم‌های امنیتی را بیشتر پیچیده می‌کرد. این عملیات در حافظه از ویژگی‌های تهدیدات پیشرفته پایدار (APT) است که به دنبال فرار از ابزارهای امنیتی سنتی هستند.

NotDoor، دومین در پشتی، به شکل یک ماکرو VBA ظاهر شد. این ماکرو تنها پس از آن نصب شد که زنجیره بهره‌برداری با موفقیت کنترل‌های امنیتی ماکرو Outlook را غیرفعال کرد – گامی حیاتی که درک عمیق مهاجمان از آسیب‌پذیری‌های کلاینت ایمیل را نشان می‌دهد. پس از فعال‌سازی، NotDoor به دقت پوشه‌های ایمیل، از جمله صندوق ورودی، پیش‌نویس‌ها، هرزنامه و فیدهای RSS را نظارت می‌کرد. سپس پیام‌ها را در یک فایل .msg ویندوز بسته‌بندی می‌کرد که سپس به حساب‌های تحت کنترل مهاجم که در سرویس ابری filen.io راه‌اندازی شده بودند، ارسال می‌شد. برای دور زدن کنترل‌های امنیتی در حساب‌های با امتیاز بالا که برای محدود کردن دسترسی به کابل‌های طبقه‌بندی شده و سایر اسناد حساس طراحی شده‌اند، ماکرو ایمیل‌ها را با یک ویژگی سفارشی “AlreadyForwarded” پردازش کرد و “DeleteAfterSubmit” را روی true تنظیم کرد تا پیام‌های فوروارد شده را از پوشه آیتم‌های ارسالی پاک کند و بدین ترتیب آثار خروج اطلاعات را از بین ببرد.

Trellix این کمپین را با «اطمینان بالا» به APT28 نسبت داد، که بر اساس همگرایی شاخص‌های فنی و الگوهای هدف‌گیری خاص مشاهده شده بود. این انتساب بیشتر توسط CERT-UA اوکراین تأیید شد، که به طور مستقل این حملات را به UAC-0001، نام ردیابی دیگری که با APT28 مطابقت دارد، مرتبط کرد. APT28، همچنین به نام‌های Fancy Bear، Sednit، Forest Blizzard و Sofacy شناخته می‌شود، سابقه مستندی از جاسوسی سایبری و عملیات نفوذ دارد که اغلب با منافع دولت روسیه همسو است. روش کار آن‌ها معمولاً شامل بدافزارهای پیچیده چند مرحله‌ای، پنهان‌سازی گسترده، سوءاستفاده از سرویس‌های ابری قانونی و هدف‌گیری مداوم سیستم‌های ایمیل برای دستیابی به اهدافشان است.

مهارت به کار گرفته شده در این کمپین — که با تسلیح سریع آسیب‌پذیری روز صفر (یا نزدیک به روز صفر)، استفاده از ایمپلنت‌های جدید، اجرای بدون فایل و بهره‌برداری از کانال‌های مورد اعتماد مشخص می‌شود — منعکس‌کننده قابلیت‌های یک دشمن بسیار مجهز و پیشرفته است. این حادثه به عنوان یک یادآوری حیاتی برای سازمان‌های سراسر جهان عمل می‌کند تا وصله‌های به موقع را در اولویت قرار دهند، قابلیت‌های تشخیص تهدید خود را برای شناسایی حملات در حافظه و بدون فایل افزایش دهند، و دفاع خود را در برابر تلاش‌های فیشینگ نیزه‌ای پیچیده تقویت کنند. شرکت‌های امنیت سایبری مانند Trellix به طور مداوم شاخص‌های سازش به‌روز شده (IOCs) را ارائه می‌دهند تا به سازمان‌ها در شناسایی و کاهش تهدیدات احتمالی از این دشمن پایدار و در حال تحول کمک کنند.

Keywords: # cyber attack # data breach # Russian hackers # Microsoft Office vulnerability # digital espionage