كشفت شركة Mimecast عن حملة تصيّد احتيالي منخفضة الحجم لكنها بالغة الخطورة، تستهدف مديري خوادم ScreenConnect السحابية عبر رسائل بريد إلكتروني مزيّفة تحذر من تسجيل دخول مشبوه، وذلك بهدف سرقة بيانات الاعتماد التي قد تُستغل لاحقًا في هجمات فدية واسعة النطاق.
استهداف أصحاب الامتيازات العليا
الحملة، التي تُنسب إلى جهة تهديد تُعرف باسم MCTO3030 منذ عام 2022، تركز بشكل خاص على كبار مسؤولي تكنولوجيا المعلومات من مدراء، ومسؤولين أمنيين، وأشخاص يتمتعون بامتيازات مرتفعة داخل بيئات ScreenConnect. ويسعى المهاجمون للحصول على بيانات اعتماد “السوبر أدمن” التي تتيح لهم السيطرة الكاملة على بنية الوصول عن بُعد لمؤسسات بأكملها.
تقنيات التصيّد المستخدمة
يعتمد المهاجمون على رسائل تصيّد موجه (Spear Phishing) يتم إرسالها عبر خدمة Amazon Simple Email Service (SES)، ما يمنحها مظهرًا شرعيًا. كما يستخدمون إطار العمل مفتوح المصدر Evilginx لإنشاء صفحات تصيّد تعمل كوسيط عكسي (Reverse Proxy) بين الضحية والموقع الحقيقي، وهو ما يمكّنهم من التقاط بيانات تسجيل الدخول وملفات تعريف الارتباط الخاصة بالجلسة، مما يتيح تجاوز أنظمة التحقق متعددة العوامل.
تهديد متنامٍ للبنى التحتية
يرى الخبراء أن خطورة هذه الحملة تكمن في استهدافها المباشر للمستويات العليا من التحكم، مما يمنح المهاجمين إمكانية السيطرة على البنى التحتية عن بُعد وتوظيفها في هجمات متقدمة تشمل توزيع البرمجيات الخبيثة وشن هجمات الفدية على نطاق واسع.
