كشفت شركة “فوليكسيتي” للأمن السيبراني عن موجة هجمات تصيد جديدة ومتطورة تُنسب إلى مجموعة تجسس إلكتروني روسية تعرف باسم UTA0355. تستهدف هذه الحملة، التي تمثل استمراراً لموجات هجومية سابقة تم رصدها مطلع العام، بيئات مايكروسوفت وجوجل بشكل مكثف، وذلك من خلال استغلال آليات تفويض OAuth ورموز الجهاز (Device Code) لسرقة بيانات اعتماد المستخدمين النهائيين. وتميزت الموجة الجديدة باستحداث مواقع إلكترونية وهمية تتخفى في صورة مؤتمرات أمنية دولية مشروعة تُعقد في أوروبا.
آلية الهجوم: مصائد مؤتمرات أمنية وهمية
تعتمد الحملة على إنشاء مواقع إلكترونية مزيفة تحاكي بدقة مواقع مؤتمرات أمنية دولية مشروعة ومقرر عقدها في دول أوروبية. يتم تصميم هذه المواقع الوهمية لجذب المستخدمين الذين سجلوا بالفعل أو يهتمون بحضور مثل هذه الأحداث الحقيقية. وعند زيارة الضحايا لهذه المواقع، يتم توجيههم ضمن سلسلة من الخطوات المصممة بعناية إلى صفحات تصيد تطلب منهم منح صلاحية الوصول إلى حساباتهم (عبر OAuth) أو إدخال رموز المصادقة الخاصة بهم، تحت ذريعة التسجيل أو تأكيد الحضور.
الابتكار الخطير: “الدعم المباشر” عبر واتساب وسيجنال
يبرز عنصر جديد وخطير في هذه الموجة يتمثل في تقديم المهاجمين ما أسموه “دعماً مباشراً” للضحايا المستهدفين. ففي سياق هجمات تصيد OAuth، وعندما يواجه المستخدم أي صعوبة في استكمال العملية، يعرض المهاجمون المساعدة عبر تطبيقات المراسلة المشفرة مثل “سيجنال” و”واتساب”. يهدف هذا “الدعم” إلى توجيه الضحية خطوة بخطوة لضمان إكمال العملية الاحتيالية بنجاح، وخاصةً تأكيد إرجاع عنوان URL الصحيح الذي يمنح المهاجمين الوصول غير المصرح به إلى حساب الضحية. هذه الطريقة تزيد بشكل كبير من فرص نجاح الهجوم، حيث تستغل عنصر الثقة والتوجيه الشخصي المباشر.
استهداف بيئات العمل والمنظمات الدولية
تشير طبيعة الأحداث المستهدفة بالتزييف – وهي مؤتمرات أمنية دولية – إلى أن الحملة تركز على استهداف أفراد ينتمون إلى قطاعات حساسة، مثل المتخصصين في الأمن السيبراني، والموظفين الحكوميين، والعاملين في المنظمات الدولية والدفاع. يسمح الوصول إلى حسابات هؤلاء الأفراد في بيئات مايكروسوفت (مثل Azure AD) أو جوجل للمهاجمين بالتجسس على اتصالاتهم، والوصول إلى وثائق حساسة، وربما التحرك جانبياً داخل شبكات منظماتهم.
توصيات فورية للوقاية والتخفيف
في ضوء هذه الهجمات المتطورة، تقدم التوصيات الأمنية عدداً من الإجراءات الحاسمة: يجب على الأفراد والمنظمات التحقق بعناية فائقة من صحة أي روابط تتعلق بالتسجيل في المؤتمرات، ويفضل الوصول إلى موقع المؤتمر الرسمي مباشرةً وليس عبر روابط في رسائل إلكترونية. كما يجب الحذر الشديد من أي عروض لـ”دعم فني” عبر تطبيقات المراسلة الفورية في سياق عمليات تسجيل أو مصادقة رقمية. وعلى مستوى المؤسسات، يُوصى بتفعيل المصادقة متعددة العوامل (MFA) باستخدام أدوات مقاومة للتصيد مثل مفاتيح الأمان المادية، وتدريب الموظفين باستمرار على التعرف على تكتيكات التصيد المعقدة، ومراقبة أنشطة التطبيقات والصلاحيات (OAuth) في بيئات السحابة الإلكترونية لاكتشاف أي عمليات ممنوحة بشكل غير معتاد.
