تجسس إلكتروني يستهدف صندوق بريد تنفيذي في بورصة عالمية لمدة خمسة أشهر

تجسس إلكتروني يستهدف صندوق بريد تنفيذي في بورصة عالمية لمدة خمسة أشهر
تجسس إلكتروني يستهدف صندوق بريد تنفيذي في بورصة عالمية لمدة خمسة أشهر
شارك هذا الخبر

كشفت شركتا Symantec و Carbon Black Threat Hunter Team عن حملة تجسس سيبراني استهدفت صندوق بريد إلكتروني في Outlook خاص بتنفيذي رفيع المستوى في إحدى البورصات العالمية الكبرى. استمر الهجوم لمدة خمسة أشهر كاملة، حيث تمكن المهاجمون من نسخ محتويات البريد على دفعات صغيرة ومتكررة، وإرسالها عبر خدمات سحابية مثل Dropbox و OneDrive لتبدو وكأنها حركة طبيعية ضمن النشاط اليومي للشبكة.

القيمة الاستخباراتية لهذه العملية واضحة، إذ يحتوي بريد تنفيذي في بورصة على معلومات حساسة مثل تفاصيل الإدراجات غير المعلنة، شروط الصفقات، خطط قد تؤثر على الأسواق، إضافة إلى جدول أعماله وقائمة اتصالاته.

أدوات وتقنيات التجسس

بدأ النشاط الخبيث في أكتوبر 2025، حين كان المهاجمون بالفعل يشغّلون برمجيات مزيفة بامتيازات SYSTEM، أحدها يتظاهر بأنه محدّث Adobe والآخر كأنه OneDrive. لاحقًا، في نوفمبر، استخرجوا رمز وصول خاص بـ Dropbox وبدأوا رفع البيانات باستخدام أداة curl، ثم نشروا أداة رئيسية مبنية على مكتبة Aspose الشرعية لقراءة ملفات Outlook (OST و PST). هذه الأداة حوّلت البريد إلى ملفات PST وكتبتها على القرص، مع تشغيلها بشكل دوري باستخدام كلمة مرور وعلم يحدد نطاق التاريخ.

الهجمات كانت دقيقة: أول عملية نسخت كل البريد منذ أغسطس 2025، ثم تكررت كل أسبوعين إلى أربعة أسابيع، بحيث يتم نسخ الرسائل الجديدة فقط. النتيجة كانت نسخة شبه كاملة من البريد الإلكتروني، دون إثارة إنذارات أمنية.

أساليب التخفي والتمويه

اعتمد المهاجمون على جعل نشاطهم يبدو طبيعيًا:

  • جدولة المهام تحت أسماء خدمات نظام مثل Adobe و Lenovo و OneDrive.
  • استخدام خدمات سحابية شخصية مثل Dropbox و OneDrive لنقل البيانات.
  • الاتصال بعناوين IP ثابتة تابعة لمايكروسوفت بدلًا من أسماء النطاقات المعتادة، لتجنب رصد أدوات الحماية على مستوى الشبكة.
  • اختبار خدمة استضافة عامة مثل temp.sh ثم التخلي عنها سريعًا.

آخر نشاط رُصد كان في مارس 2026، حيث جرى تجهيز باب خلفي جديد لكنه لم يُشغّل، ما يشير إلى أن المهاجم ربما فقد الوصول بعد ذلك.

مؤشرات أوسع ودلالات أمنية

أشارت Symantec إلى أن العملية جزء من مجموعة أدوات أكبر تشمل:

  • FRPC لتوجيه حركة المرور خارج الشبكة.
  • Secretsdump لاستخراج بيانات اعتماد ويندوز.
  • SharpDecryptPwd لاستعادة كلمات مرور التطبيقات المحفوظة.
  • أدوات لتجاوز حماية حساب المستخدم في ويندوز (UAC).

ورغم ذلك، لم تحدد التقارير هوية المجموعة المسؤولة، إذ أن استخدام أدوات عامة وخدمات سحابية استهلاكية جعل من الصعب ربط النشاط بجهة معينة. هذا النوع من الهجمات لا يعتمد على ثغرة جديدة أو CVE، بل على استغلال الوصول المستمر، ما يضع العبء على المراقبة والاستجابة الأمنية.

توصيات للجهات المالية والتنظيمية

التحذير الأبرز هو أن المؤسسات المالية والهيئات التنظيمية يجب أن تراقب بعناية:

  • أي نشاط غير معتاد لتصدير صناديق البريد.
  • وصول غريب إلى حسابات Outlook.
  • عمليات رفع بيانات إلى حسابات شخصية في Dropbox أو OneDrive.
  • أنماط اتصال غير مألوفة مثل الأنفاق الشبكية أو استخراج بيانات الاعتماد.

هذه المؤشرات قد تكون الفارق بين كشف مبكر لهجوم تجسسي طويل الأمد أو استمرار المهاجم في جمع معلومات حساسة قد تغيّر مسار الأسواق.

وسوم
محمد وهبى
محمد وهبى
المقالات: 1190

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة