أصدرت الوكالة الأمريكية للأمن السيبراني وأمن البنية التحتية (سيسا) توجيهاً عاجلاً، يلزم الوكالات الفيدرالية بتطبيق التحديثات الأمنية فوراً لثغرتين أمنيتين حرجتين. تؤثر هذه الثغرات على مجموعة تعاون زيمبرا من سيناكور وخادم مايكروسوفت أوفيس شاربوينت، وقد تم التأكد من استغلالها بنشاط وعلى نطاق واسع من قبل جهات التهديد. يؤكد هذا الإعلان، الذي أضاف الثغرات إلى كتالوج الثغرات المعروفة المستغلة (KEV) التابع لسيسا، على الخطر المباشر الذي يهدد الأنظمة غير المحدثة، خاصة داخل الشبكات الحكومية. يدعو الإجراء إلى تسليط الضوء على الاتجاه المستمر للمهاجمين لاستهداف منصات التعاون والاتصال، التي تعد مركزية لسير عمل المنظمات الحديثة وغالباً ما تحتوي على بيانات حساسة.
تتركز حملة تجسس إلكتروني متطورة تحمل الاسم الرمزي "عملية GhostMail" حول ثغرة زيمبرا المحددة، المسجلة كـ CVE-2025-66376. وفقاً لتقرير مفصل من شركة Seqrite Labs، استهدفت مجموعة اختراق مشتبه في رعاية الدولة الروسية لها "خدمة الهيدروغرافيا الحكومية الأوكرانية". تتسم سلسلة الهجوم بالتخفي الملحوظ، حيث تبدأ بريد إلكتروني مُصمم هندسياً اجتماعياً متنكراً في صورة استفسار حول تدريب. والأهم من ذلك، أن الحمولة الضارة بأكملها – وهي كود جافا سكريبت مُحرف – مُضمنة مباشرة داخل جسم HTML للبريد الإلكتروني، دون الحاجة إلى مرفقات ضارة أو روابط مشبوهة أو وحدات ماكرو. عندما يفتح الضحية هذا البريد الإلكتروني داخل جلسة ويب ميل زيمبرا غير مؤمنة، يتم تشغيل الثغرة، مما يؤدي إلى تنفيذ الحمولة البرمجية للجافا سكريبت مباشرة في المتصفح.
يعمل هذا البرنامج الضار المقيم في المتصفح كأداة قوية لسرقة المعلومات. فهو مصمم لجمع مجموعة شاملة من البيانات الحساسة من جلسة الضحية، بما في ذلك بيانات اعتماد تسجيل الدخول، ورموز الجلسة، ورموز استعادة المصادقة الثنائية (2FA) الاحتياطية، وكلمات المرور المحفوظة في المتصفح، ومحتوى صندوق بريد الضحية بالكامل خلال الـ 90 يوماً السابقة. ثم يتم نقل البيانات المسروقة إلى خوادم يتحكم فيها المهاجم باستخدام بروتوكولي DNS وHTTPS للتخفي. تمثل هذه التقنية تطوراً كبيراً عن هجمات البرامج الضارة التقليدية، كما أشارت Seqrite Labs، حيث تتحرك نحو "أدوات السرقة المقيمة في المتصفح" التي تترك أثراً جنائياً ضئيلاً على نظام المضيف. تتوافق تكتيكات الحملة مع عمليات سابقة ترعاها الدولة الروسية، مثل عملية RoundPress، التي استغلت أيضاً ثغرات البرمجة النصية عبر المواقع (XSS) في برامج ويب ميل لاختراق كيانات أوكرانية.
بشكل منفصل ولكن بنفس الدرجة من الأهمية، تزامن تحذير سيسا مع تقارير عن استغلال نشط لثغرة يوم صفرية في معدات شبكات سيسكو من قبل مجموعات برامج الفدية. بينما تم قطع تفاصيل من النص الأصلي، فإن اجتماع هذه التنبيهات يرسم صورة لمشهد تهديد شديد العدوانية. تقوم الجهات الفاعلة التي ترعاها الدول بصقل تقنيات التجسس لتجاوز الدفاعات الحديثة، بينما تستغل مجموعات برامج الفدية الإجرامية في نفس الوقت الثغرات غير المصححة في أجهزة البنية التحتية الحرجة. يوضح هذا الهجوم المزدوج الجبهات ضد كل من مجموعات البرامج (زيمبرا، شاربوينت) وأجهزة الشبكات الأساسية (سيسكو) أن جهات التهديد تستغل الثغرات عبر مجموعة التكنولوجيا بأكملها. إنه يذكر جميع المنظمات، وليس فقط الوكالات الحكومية، بضرورة إعطاء الأولوية لإدارة التحديثات الصارمة، وتنفيذ استراتيجيات الدفاع المتعمق، وتثقيف المستخدمين حول مخاطر حملات التصيد الاحتيالي المتطورة التي تسلح المنصات الموثوقة.
