أعلنت شركة مايكروسوفت عن رصد حملة تصيّد إلكتروني متطورة من نوع “المهاجم في الوسط” (Adversary-in-the-Middle – AitM) إلى جانب هجمات “اختراق البريد الإلكتروني للأعمال” (Business Email Compromise – BEC)، استهدفت عدداً من المؤسسات العاملة في قطاع الطاقة. وأوضحت وحدة أبحاث “Microsoft Defender” أن المهاجمين استغلوا خدمات مشاركة الملفات عبر “SharePoint” لإيصال برمجيات التصيّد، كما اعتمدوا على إنشاء قواعد داخل صناديق البريد للحفاظ على الاستمرارية وإخفاء آثارهم عن المستخدمين.
الهجوم لم يتوقف عند مرحلة التصيّد الأولية، بل تطور إلى سلسلة من هجمات AitM تلتها أنشطة BEC واسعة النطاق، ما يعكس مستوى عالياً من التعقيد العملياتي. ووفقاً لمايكروسوفت، فإن مجرد إعادة تعيين كلمات المرور لا يكفي لمعالجة هذه التهديدات، إذ يتعين على المؤسسات إلغاء ملفات تعريف الارتباط النشطة وحذف القواعد التي أنشأها المهاجمون داخل الحسابات.
استغلال القنوات الموثوقة: تكتيك “العيش على المواقع الموثوقة”
بدأت الحملة برسائل بريد إلكتروني أُرسلت من حسابات تابعة لمؤسسات موثوقة سبق أن تم اختراقها. هذه الرسائل اتخذت شكل إشعارات مشاركة مستندات عبر “SharePoint”، ما منحها مصداقية ظاهرية دفعت المستلمين إلى النقر على روابط خبيثة. هذا الأسلوب يُعرف بـ “العيش على المواقع الموثوقة” (Living-Off-Trusted-Sites – LOTS)، حيث يستغل المهاجمون انتشار خدمات مثل “SharePoint” و”OneDrive” في بيئات العمل لتجاوز أنظمة الكشف التقليدية.
بمجرد حصول المهاجمين على بيانات الدخول وملفات تعريف الجلسة، قاموا بإنشاء قواعد بريدية لحذف الرسائل الواردة أو تعليمها كمقروءة، مما سمح لهم باستخدام الحسابات المخترقة لإرسال رسائل تصيّد جديدة. في إحدى الحالات، أطلقت الحملة أكثر من 600 رسالة بريدية استهدفت جهات اتصال داخلية وخارجية، مع اتخاذ خطوات إضافية مثل حذف الرسائل غير المرسلة أو الردود الآلية، وحتى طمأنة المستلمين المتشككين بمصداقية الرسائل قبل حذفها نهائياً.
خلفيات أمنية: تصاعد استغلال الخدمات السحابية
تأتي هذه الهجمات ضمن اتجاه متنامٍ بين المهاجمين لاستغلال خدمات سحابية موثوقة مثل “Google Drive” و”Amazon Web Services” و”Confluence” التابعة لـ Atlassian، لتوجيه المستخدمين نحو مواقع سرقة بيانات الدخول أو استضافة برمجيات خبيثة. هذا النهج يقلل من حاجة المهاجمين إلى بناء بنية تحتية خاصة بهم، ويجعل أنشطتهم تبدو شرعية في نظر المستخدمين.
في السياق ذاته، كشفت شركة “Okta” المتخصصة في خدمات الهوية عن رصد مجموعات أدوات تصيّد مخصصة لحملات “التصيّد الصوتي” (Vishing)، تستهدف منصات مثل مايكروسوفت وغوغل وأوكـتا نفسها، إضافة إلى منصات العملات الرقمية. هذه الأدوات تُباع كخدمة، وتتيح للمهاجمين التحكم في تدفق المصادقة داخل متصفح الضحية بشكل متزامن مع التعليمات الصوتية التي يقدمونها عبر الهاتف، ما يمكّنهم من تجاوز أنظمة المصادقة متعددة العوامل غير المقاومة للتصيّد.
تقنيات خداع جديدة: من عناوين URL إلى هجمات “الهوموغليف”
إلى جانب ذلك، رُصدت حملات تستغل عناوين URL بتنسيق “username:password@domain” لخداع المستخدمين عبر إظهار نطاق موثوق في بداية الرابط، بينما يكون النطاق الحقيقي خبيثاً ويأتي بعد رمز @. كما لجأ المهاجمون إلى حيل بصرية بسيطة مثل استبدال حرف “m” بتسلسل “rn” داخل أسماء النطاقات، ما يجعلها تبدو مشابهة لعناوين شركات كبرى مثل “Microsoft” أو “Mastercard”. هذا النوع من الهجمات يُعرف بـ “الهوموغليف”، ويُعد خطيراً بشكل خاص عندما يظهر داخل كلمات شائعة الاستخدام في العلامات التجارية أو خدمات البريد والرسائل.
مايكروسوفت شددت على ضرورة أن تعتمد المؤسسات على حلول مصادقة مقاومة للتصيّد، وتفعيل سياسات وصول مشروطة، وتطبيق تقييم وصول مستمر، إلى جانب استخدام حلول مضادة للتصيّد قادرة على مراقبة الرسائل الواردة والروابط التي تتم زيارتها. هذه الإجراءات باتت ضرورية في ظل التطور المستمر لتقنيات الاحتيال الإلكتروني التي تستهدف البنية التحتية الحيوية مثل قطاع الطاقة.
