كشف تحقيق أمني عن حملة تصيّد إلكتروني استغلت ثغرة «زيرو داي» في أنظمة ويندوز لاستهداف مسؤولين ودبلوماسيين في دول أوروبية، بواسطة رسائل بريد إلكتروني تحمل مستندات خبيثة تؤدي إلى تسطيب برمجيات تحكم عن بُعد. شركات أمنية ربطت النشاط بمجموعة تهجّم معروفة باسم Mustang Panda، وحذّرت من ضرورة توخّي الحذر وفحص المرفقات وتفعيل تحديثات الأمان فور توافرها.

تفاصيل الحملة وأسلوب العمل

اكتشفت فرق أمنية رسائل إلكترونية احتيالية موجهة إلى مؤسسات دبلوماسية أوروبية، تحتوي على مستندات تبدو متعلقة بأحداث أو اجتماعات دبلوماسية. عند فتح هذه المرفقات يَستغل المهاجمون ثغرة في نظام تشغيل ويندوز من فئة «زيرو داي» لتثبيت برمجيات خبيثة تمكنهم من السيطرة عن بُعد على الجهاز والوصول إلى المراسلات والملفات.

من وراء الهجوم؟

تشير التحليلات الأولية إلى تورّط مجموعة تعرف باسم Mustang Panda، التي سبق أن نفّذت هجمات طالت أهدافًا سياسية وحكومية في مناطق مختلفة. نمط الأدوات والتقنيات المستخدمة متوافق مع أساليب هذه المجموعة، بحسب مختصين في تتبع التهديدات السيبرانية.

لماذا يشكل هذا تهديدًا خطيرًا؟

• الثغرة من نوع «زيرو داي» تعني أن المهاجمين يستغلون ثغرة لم تصدر لها تصحيحات رسمية بعد، ما يجعل أنظمة الضحايا عرضة دون دفاع كافٍ.

• استهداف الدبلوماسيين يهدف إلى سرقة معلومات حساسة تتعلق بالأمن والدفاع والسياسات الدولية.

• الحملة تستخدم خدعًا متقنة في رسائل البريد الإلكتروني لتخدع المستقبل وتدفعه لفتح مرفقات يبدو أنها رسمية.

موقف الشركات والجهات الأمنية

أشار تقرير تحليلي إلى استمرار استغلال ثغرات معروفة من قبل مجموعات متعددة حتى قبل إصدار تصحيحات شاملة، مما يضع عبءًا على مسؤولَي تكنولوجيا المعلومات في المؤسسات لتطبيق إجراءات تخفيفية عاجلة (تقييد الصلاحيات، فحص المرفقات، تعطيل ماكرو المستندات غير الضروري). كما دعت جهات أمنية إلى الضغط على شركات البرمجيات لإصدار تحديثات عاجلة.

نصائح وإجراءات فورية للمؤسسات والأفراد

1. لا تفتح المرفقات أو روابط البريد الإلكتروني المشبوهة حتى لو بدت مرسلة من جهة رسمية — تحقق من المرسل عبر وسيلة مستقلة.

2. عطّل تشغيل ماكرو المستندات في برامج معالجة النصوص إلا عند الضرورة المطلقة وبعد التأكد.

3. فعّل التحقق بخطوتين (2FA) لكل حسابات البريد والخدمات الحساسة.

4. حدّثوا أنظمة التشغيل والبرامج فور صدور التصحيحات من مزوّديها.

5. اعملوا فحصًا فورياً بأنظمة الكشف عن التسلل وبرمجيات مكافحة الفيروسات وأجروا تحقيقًا لوجود دلائل اختراق (IOC).

6. تثقيف الموظفين عبر دورات سريعة حول التصيّد الإلكتروني وأساليب الهندسة الاجتماعية.

الاستهداف المباشر للقطاع الدبلوماسي يعكس تحوّلًا في أولويات القراصنة نحو جمع معلومات مؤثرة في القرار والسياسات. الوقاية واليقظة المؤسسية والتحديث الفوري للأنظمة تبقى خطوط الدفاع الأهم في مواجهة هذا النوع من الهجمات.