أعلنت شركة Mandiant التابعة لغوغل عن رصدها توسعاً ملحوظاً في نشاط تهديدات سيبرانية جديدة تتبنى أسلوباً مشابهاً للهجمات التي اشتهرت بها مجموعة القرصنة المالية المعروفة باسم ShinyHunters. هذه الهجمات تعتمد على تقنيات التصيّد الصوتي (Vishing) إلى جانب مواقع مزيفة لجمع بيانات الدخول، حيث يتم خداع الموظفين عبر مكالمات هاتفية توهمهم بأنها من فرق الدعم الفني، ليتم توجيههم إلى روابط مزيفة تطلب منهم تحديث إعدادات المصادقة متعددة العوامل (MFA). الهدف النهائي لهذه العمليات هو اختراق تطبيقات البرمجيات كخدمة (SaaS) وسرقة البيانات الحساسة والمراسلات الداخلية، ثم ابتزاز الضحايا لاحقاً.
تفاصيل المجموعات المهاجمة
تتبع Mandiant النشاط تحت عدة مجموعات فرعية، منها UNC6661 وUNC6671 وUNC6240، وكلها مرتبطة بأسلوب ShinyHunters.
- مجموعة UNC6661 تم رصدها وهي تنتحل صفة موظفي تقنية المعلومات، وتوجه الموظفين إلى روابط مزيفة لجمع بيانات الدخول، ثم تستخدم هذه البيانات لتسجيل أجهزة جديدة في نظام المصادقة، والتحرك أفقياً داخل الشبكة لاستخراج البيانات. في إحدى الحالات، استغل المهاجمون حسابات بريد إلكتروني مخترقة لإرسال رسائل تصيّد إضافية لشركات تعمل في مجال العملات الرقمية، ثم حذفوا الرسائل لإخفاء آثارهم.
- أما مجموعة UNC6671 فقد اتبعت أسلوباً مشابهاً، حيث أنشأت مواقع مزيفة تحمل هوية الشركات المستهدفة، وتمكنت في بعض الحالات من الوصول إلى حسابات عملاء Okta، كما استخدمت أدوات مثل PowerShell لتنزيل بيانات حساسة من SharePoint وOneDrive.
- الفارق بين المجموعتين يكمن في استخدام مسجلي نطاقات مختلفين (NICENIC لـ UNC6661 وTucows لـ UNC6671)، إضافة إلى اختلاف مؤشرات الابتزاز التي ظهرت لاحقاً. هذا التنوع يعكس الطبيعة غير المستقرة لهذه المجموعات، ويشير إلى احتمال وجود فرق مختلفة تعمل بأساليب متقاربة.
استهداف العملات الرقمية وتوسيع نطاق الابتزاز
اللافت أن هذه الهجمات لم تقتصر على المؤسسات التقليدية، بل امتدت إلى شركات العملات الرقمية، وهو ما يعكس بحث المهاجمين عن مسارات جديدة لتحقيق مكاسب مالية. كما أن أساليب الابتزاز تصاعدت لتشمل مضايقة موظفي الضحايا بشكل مباشر، في محاولة لزيادة الضغط النفسي عليهم ودفع المؤسسات إلى الرضوخ لمطالب القراصنة.
توصيات غوغل لمواجهة التهديدات
أصدرت غوغل قائمة موسعة من التوصيات لمواجهة هذه التهديدات، أبرزها:
- تحسين إجراءات مكاتب المساعدة عبر فرض مكالمات فيديو مباشرة للتحقق من هوية الموظفين.
- تقييد الوصول إلى نقاط اتصال موثوقة فقط، وفرض كلمات مرور قوية، وإلغاء الاعتماد على الرسائل النصية أو المكالمات الهاتفية أو البريد الإلكتروني كوسائل للمصادقة.
- فرض قيود على الوصول إلى واجهات الإدارة، ومراجعة أي أسرار مكشوفة، وتطبيق ضوابط صارمة على الأجهزة المستخدمة.
- تفعيل أنظمة تسجيل دقيقة لزيادة الرؤية حول أنشطة الهوية والتفويض وسلوكيات تصدير البيانات من منصات SaaS.
- مراقبة عمليات تسجيل أجهزة المصادقة الجديدة والتغييرات في دورة حياة MFA، ورصد أحداث تفويض التطبيقات التي قد تشير إلى التلاعب بصناديق البريد.
وأكدت غوغل أن هذه الأنشطة لا ترتبط بثغرات في منتجات الشركات أو بنيتها التحتية، بل تعكس قوة أساليب الهندسة الاجتماعية، مشددة على ضرورة الانتقال إلى وسائل مصادقة مقاومة للتصيّد مثل مفاتيح FIDO2 أو Passkeys، التي توفر حماية أكبر مقارنة بأساليب المصادقة التقليدية عبر الرسائل النصية أو المكالمات.
