بر اساس گزارش تیم واکنش به رخدادهای رایانهای اوکراین (CERT-UA)، هکرهای منتسب به دولت روسیه در حال بهرهبرداری فعال از یک آسیبپذیری بحرانی Microsoft Office هستند که اخیراً با patch (وصله) امنیتی برطرف شده و با شناسه CVE-2026-21509 ثبت شده است.
این آسیبپذیری که بهعنوان یک نقص Zero-Day (روز صفر) شناسایی شده، تنها چند روز پس از انتشار وصله اضطراری مایکروسافت، در حملات عملیاتی مورد استفاده قرار گرفته است؛ موضوعی که بار دیگر فاصله کوتاه میان انتشار وصله امنیتی و عملیاتیسازی آسیبپذیری را نشان میدهد.
CVE-2026-21509؛ روز صفری که بلافاصله به سلاح تبدیل شد
مایکروسافت در تاریخ 26 ژانویه 2026 یک بهروزرسانی امنیتی خارج از نوبه (Out-of-Band) منتشر کرد و اعلام نمود که CVE-2026-21509 بهطور فعال در حملات واقعی مورد بهرهبرداری قرار گرفته است.
تنها سه روز بعد، CERT-UA توزیع اسناد مخرب DOC را شناسایی کرد که با سوءاستفاده از این نقص امنیتی، اهداف دولتی و سازمانی را در اوکراین و اروپا هدف قرار میدادند.
نکته جالب توجه اینجاست که متادیتای برخی اسناد نشان میدهد فایلها یک روز پس از انتشار وصله امنیتی ایجاد شدهاند، این موضوع نشاندهنده توان عملیاتی بالا و آمادگی قبلی مهاجمان است.
نسبت دادن حملات به APT28 (Fancy Bear)
CERT-UA این کمپین را به گروه APT28 نسبت داده است؛ یک عامل تهدید دولتی که با نامهای Fancy Bear و Sofacy نیز شناخته میشود و وابسته به سازمان اطلاعات روسیه (GRU) است.
در این حملات، ایمیلهای مخرب با جعل هویت مرکز هواشناسی اوکراین و همچنین با پوشش مکاتبات مرتبط با نشستهای EU COREPER، بیش از 60 نهاد دولتی و سازمان حساس را هدف قرار دادهاند.
زنجیره حمله فنی
- مرحله اولیه سند مخرب Office است. با باز کردن فایل DOC مخرب، زنجیرهای از دانلود و اجرای بدافزار مبتنی بر WebDAV فعال میشود.
- نصب بدافزار از طریق تکنیک COM hijacking انجام میگیرد.
- یک فایل DLL مخرب با نام dll و شلکد پنهان در یک فایل تصویری (SplashScreen.png) اجرا میشوند.
- یک تسک زمانبندی شده با نام OneDriveHealth برای پایداری بدافزار ایجاد میشود.
اجرای تسک زمانبندی باعث راهاندازی مجدد فرآیند explorer.exe شده و DLL مخرب بارگذاری میشود. DLL مذکور شلکد تصویر را اجرا کرده و فریمورک COVENANT روی سیستم قربانی فعال میشود.
نکته مهم:
این همان Loader است که پیشتر CERT-UA در حملات ژوئن 2025 گروه APT28 شناسایی کرده بود؛ حملاتی که از چتهای Signal برای توزیع بدافزارهای BeardShell و SlimAgent استفاده میکردند.
زیرساخت C2 و گسترش جغرافیایی حملات
بر اساس بررسیها، COVENANT از سرویس Filen.io برای ارتباط فرماندهی و کنترل (C2) استفاده میکند. مسدودسازی یا نظارت بر ترافیک مرتبط با این سرویس میتواند ریسک را کاهش دهد.
تحقیقات تکمیلی نشان میدهد:
- حداقل 3 سند مخرب دیگر علیه سازمانهای مستقر در اتحادیه اروپا استفاده شدهاند.
- برخی دامنههای مهاجم در همان روز ثبت شدهاند.
- کمپین فراتر از اوکراین گسترش یافته است.
توصیههای امنیتی و اقدامات فوری
سازمانها باید فوراً آخرین بهروزرسانی های امنیتی را روی نسخه های زیر اعمال کنند:
- Microsoft Office 2016
- Office 2019
- LTSC 2021
- LTSC 2024
- Microsoft 365 Apps
برای Office 2021 و نسخههای جدیدتر، Restart کردن برنامهها الزامی است تا وصلهها به طور کامل اعمال شود.
راهکارهای موقت (Mitigation)
در صورت عدم امکان اعمال فوری وصله امنیتی، سازمانها باید راهکارهای کاهش ریسک مبتنی بر Registry را مطابق دستورالعمل مایکروسافت پیادهسازی کنند. فعالسازی Protected View در Microsoft Office و محدود کردن اجرای فایلهای Office دریافتشده از منابع اینترنتی، نقش مهمی در کاهش سطح حمله خواهند داشت.
جمعبندی تحلیلی
بهرهبرداری از CVE-2026-21509 بار دیگر نشان میدهد که:
- انتشار وصله امنیتی بهتنهایی پایان تهدید نیست؛ اغلب بلافاصله پس از انتشار، فاز بهرهبرداری گسترده آغاز میشود.
- گروه APT28 با ترکیب آسیبپذیریهای Zero-Day، حملات مهندسی اجتماعی و تکنیکهای پیشرفته برای حفظ دسترسی، همچنان یکی از خطرناکترین عوامل تهدیدهای دولتی در فضای سایبری محسوب میشود.
