قراصنة صينيون يستغلون ثغرة أمنية جديدة في أشهر برامج مايكروسوفت

استغلت مجموعة قرصنة إلكترونية مرتبطة بالحكومة الصينية، ثغرة أمنية تم اكتشافها مؤخرًا في أشهر برامج مايكروسوفت الأمريكية Microsoft Office، وفقا لأبحاث تحليل التهديدات من شركة الأمان Proofpoint.
وبحسب ما ذكره موقع "theverge" التقني، تشير التفاصيل التي شاركتها مجموعة الأمن السيبراني Proofpoint، عبر حسابها الرسمي على "تويتر"، إلى أن مجموعة قرصنة تسمى TA413، كانت تستخدم الثغرة الأمنية التي أطلق عليها الباحثون اسم "Follina"، في برنامج مستندات Word من مايكروسوفت.

ثغرات أمنية.. مايكروسوفت تحذر المستخدمين من تثبيت تطبيقات أندرويد على أجهزتهم
احذر.. تحديث زائف من مايكروسوفت يتسبب بإغلاق أجهزة ويندوز 10

ثغرة أمنية في برنامج مستندات Word من مايكروسوفت
ورصدت "Proofpoint"، وهي شركة تأمين إلكتروني للمؤسسات مقرها في كاليفورنيا والتي توفر برامج الحماية لبرامج البريد الإلكتروني، أن مجموعة الهاكرز الصينية، كانت ترسل مستندات Word ضارة، تزعم أنها مرسلة من الإدارة التبتية المركزية ومقرها ولاية دارامسالا بالهند.
وتعد هاكرز TA413، عبارة عن مجموعة APT، أو ما يعرف ب"التهديد المستمر المتقدم"، وهو عبارة عن ممثل تهديد إلكتروني خفي، عادة ما يكون ترعاه بعض الدول، بينما تعد مجموعة القراصنة المستغلة لثغرة مايكروسوفت الجديدة، مرتبط بالحكومة الصينية، وقد عززت أنشطتها خلال السنوات الأخيرة، لاستهداف بعض النشطاء في منطقة التبت.
وبشكل عام، لدى المتسللين الصينيين تاريخ في استخدام ثغرات أمنية في البرامج لاستهداف التبتيين، وثق تقرير سابق نشرته مختبرات Citizen Lab خلال عام 2019، استهدافا مكثفا لشخصيات سياسية في التبت ببرامج تجسس خطيرة، من خلال عمليات تهديد استغلت متصفح أجهزة أندرويد والروابط الضارة المرسلة عبر تطبيق الواتساب.
وذلك إلى جانب، استخدام ملحقات المتصفح كسلاح بغرض نشر برامج التجس الخطيرة، حيث كشف التحليل السابق لشركة Proofpoint، عن استخدام وظيفة إضافية في متصفح Firefox لإضافة برامج تجسس ضارة لمراقبة النشطاء التبتيين.
وبدأت الثغرة المكتشفة ببرنامج مايكروسوفت الشهير Word، في تلقي اهتمام واسع النطاق في 27 مايو الماضي، عندما انتقلت مجموعة بحثية أمنية تعرف باسم Nao Sec إلى "تويتر" لمناقشة عينة تم إرسالها إلى خدمة فحص البرامج الضارة عبر الإنترنت VirusTotal.
وأشارت التغريدة التي شاركتها Nao Sec، إلى رمز خبيث يتم تسليمه من خلال مستندات Microsoft Word، والتي تم استخدامها في النهاية لتنفيذ الأوامر من خلال واجهة الأوامر الرسومية التابعة لشركة مايكروسوفت PowerShell، وهي أداة قوية للتحكم بنظام ويندوز وملحقاته.
وتسمح الثغرة الأمنية لمستند Word الضار، بتحميل ملفات HTML من خادم ويب بعيد ثم تنفيذ أوامر PowerShell عن طريق اختطاف أداة تشخيص دعم MSDT، وهو برنامج يجمع عادةً معلومات حول الأعطال والمشاكل الأخرى مع تطبيقات مايكروسوفت.
ووفقا لمدونة الاستجابة الأمنية الخاصة بشركة مايكروسوفت، يمكن للمهاجم استغلال الثغرة الأمنية التي يطلق عليها اسم CVE-2022-30190، لتثبيت البرامج الضارة أو الوصول إلى البيانات أو تعديلها أو حذفها، وحتى إنشاء حسابات مستخدمين جديدة على نظام مخترق.
ونظرا للاستخدام الواسع النطاق لبرنامج مايكروسوفت المكتبي Microsoft Office والمنتجات ذات الصلة، فإن سطح الهجوم المحتمل للثغرة الأمنية كبير، ويشير التحليل الحالي إلى أن المشكلة الأمنية التي أطلق عليها الباحثون اسم "Follina" تؤثر على الإصدارات التالية من برنامج ورد من بينها: Office 2013 و 2016 و 2019 و 2021 و Office ProPlus و Office 365؛ واعتبارا من يوم الثلاثاء الماضي، حثت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية مسؤولي النظام على تنفيذ إرشادات شركة مايكروسوفت للحد من الاستغلال.