في تحذير أمني جديد، كشفت شركة مايكروسوفت عن نشاط موثّق لجهة تهديد ناشئة ذات دوافع مالية أطلقت عليها اسم Storm-2755، تستهدف موظفين كنديين في ما بات يُعرف بهجمات قرصنة الرواتب Payroll Pirate Attacks، وهي نمط هجومي يتمحور حول اختراق حسابات الموظفين وتحويل رواتبهم إلى حسابات بنكية يسيطر عليها المهاجمون، مما يُلحق خسائر مالية مباشرة بالأفراد والمؤسسات على حدٍّ سواء.
سلسلة هجوم متعددة المراحل تبدأ من محركات البحث
يُميّز هذا الهجوم عن غيره من الحملات السابقة جملةٌ من الخصائص التقنية والتكتيكية التي تكشف عن مستوى متقدم من التخطيط والتنفيذ. تنطلق الحملة من مرحلة الاصطياد الأولي عبر توظيف أسلوبين متكاملين، هما الإعلانات الخبيثة Malvertising وتسميم نتائج محركات البحث SEO Poisoning، إذ يعمل المهاجمون على التلاعب بنتائج البحث لمصطلحات شائعة الاستخدام لدى جمهور الأعمال كـ Office 365، بحيث تظهر صفحات مزيفة في مراتب متقدمة ضمن نتائج البحث المدفوع أو الطبيعي، وتبدو في ظاهرها مواقع مشروعة بينما تهدف في باطنها إلى سرقة بيانات اعتماد Microsoft 365.
وما يجعل هذا الأسلوب أشد خطورة هو أنه يستهدف مصطلحات بحثية عامة غير مرتبطة بقطاع بعينه، مما يعني أن الضحايا المحتملين موزّعون على مختلف الصناعات والقطاعات ولا يمكن تحديدهم مسبقاً بناءً على طبيعة عملهم.
تجاوز المصادقة الثنائية عبر تقنية الخصم في المنتصف
بعد استدراج الضحية إلى الصفحة المزيفة وانتزاع بيانات تسجيل الدخول، لا يتوقف الهجوم عند هذا الحد، بل يُوظّف Storm-2755 تقنية الخصم في المنتصف Adversary-in-the-Middle أو AiTM لاختطاف الجلسات المصادَق عليها فعلياً. وتقوم فكرة هذه التقنية على وضع خادم وكيل خبيث بين المستخدم وخدمة Microsoft 365 الحقيقية، بحيث يستطيع التقاط رمز الجلسة Session Token في الوقت الفعلي، وهو ما يُمكّنه من تجاوز المصادقة متعددة العوامل MFA حتى لو كانت مُفعَّلة.
وتكمن خطورة هذه الطريقة في أن المصادقة الثنائية كانت تُعدّ حتى وقت قريب من أكثر الحواجز الأمنية موثوقية في حماية الحسابات الرقمية، غير أن أسلوب AiTM بات يُثبت قدرته على تجاوزها دون الحاجة إلى كسر التشفير أو سرقة الرمز مباشرةً من جهاز الضحية.
الاختراق يصل إلى بيانات الرواتب
بعد تجاوز منظومة المصادقة، يتمكن المهاجمون من الوصول إلى ملفات الموظفين في الأنظمة المؤسسية وتعديل بيانات الحسابات البنكية المرتبطة بصرف الرواتب، ليُحوَّل راتب الموظف في الدورة القادمة إلى حساب يُديره المهاجم. ويزيد من صعوبة رصد هذا النوع من الاختراق أن المهاجمين يحرصون على الاندماج ضمن سلوك المستخدم الطبيعي وتجنّب الأنشطة التي قد تُثير منبهات الأنظمة الأمنية، مما يجعل الكشف المبكر عن هذه الاختراقات أمراً بالغ التعقيد.
وتتسم هذه الحملة بالتركيز الجغرافي الحصري على كندا، وهو أمر غير معتاد في حملات التهديد التي تميل عادةً إلى الانتشار الجغرافي الواسع بهدف تعظيم العائد. وقد أشارت مايكروسوفت صراحةً إلى أن هذه الحملة تختلف عن الأنشطة السابقة المعروفة من حيث أسلوب التوصيل والاستهداف، مما يُرجّح أنها تمثّل تطوراً تكتيكياً متعمداً أو استجابةً لفرصة محددة في السوق الكندية.
وفي ضوء هذه التهديدات، تبرز الحاجة لأن تتجاوز المؤسسات الاعتماد على المصادقة الثنائية وحدها، والتوجه نحو حلول أكثر صموداً أمام هجمات AiTM، كمفاتيح المرور المقاومة للتصيد Phishing-resistant passkeys، إلى جانب المراقبة المستمرة للتغييرات التي تطرأ على بيانات الحسابات البنكية في أنظمة الرواتب.
