رصدت شركة Mandiant المملوكة لغوغل نشاط مجموعة تهديد لم يُوثَّق من قبل تحمل اسم UNC6692، تعتمد في هجماتها على أسلوب هندسة اجتماعية متطور عبر منصة Microsoft Teams، بهدف زرع مجموعة متكاملة من البرمجيات الخبيثة المُصنَّعة خصيصاً على أنظمة الضحايا. ويستند هذا الأسلوب إلى استغلال ثقة الموظفين بفرق الدعم الداخلي، وهو ما يجعل اكتشافه أمراً عسيراً حتى على من يمتلك وعياً أمنياً جيداً.
تبدأ عملية الاختراق بخطوة تمهيدية تُربك الضحية وتستدرج تعاونها، إذ تشنّ المجموعة حملة بريد إلكتروني مكثفة تُغرق صندوق وارد الهدف بآلاف الرسائل غير المرغوب فيها في وقت قصير، مُحدِثةً حالة من الفوضى والإلحاح الزائف. وما إن تتصاعد حيرة الضحية، حتى يتواصل المهاجمون معها عبر Microsoft Teams مُتظاهرين بأنهم فريق الدعم التقني الداخلي، حاملين وعداً بحل المشكلة على الفور.
نمط هجومي موروث من رفاق Black Basta
ليس هذا الأسلوب وليد اليوم. فقد اعتمد رفاق مجموعة Black Basta سابقاً على الجمع بين قصف البريد الإلكتروني وانتحال هوية مكتب الدعم عبر Teams بوصفه تكتيكاً محورياً. وعلى الرغم من أن هذه المجموعة أوقفت عمليات الفدية في وقت مبكر من العام الماضي، فإن دليل التشغيل الخاص بها لم يُدفن معها.
كشف تقرير شركة ReliaQuest الصادر الأسبوع الماضي أن هذا الأسلوب بات يُستخدم لاستهداف المديرين التنفيذيين وكبار الموظفين تحديداً، بوصفهم نقاط دخول ذات قيمة عالية لسرقة البيانات والتحرك الجانبي داخل الشبكات ونشر برمجيات الفدية والابتزاز. وقد رصد الباحثون حالات بدأت فيها محادثات وهمية بفارق 29 ثانية فحسب بين رسالة وأخرى، مما يدل على مستوى عالٍ من الأتمتة والتنسيق. والأرقام تتصاعد بشكل لافت، إذ بلغت نسبة الحوادث التي استهدفت الموظفين رفيعي المستوى 77 بالمئة بين الأول من مارس والأول من أبريل 2026، مقارنةً بـ 59 بالمئة في الشهرين السابقين.
سلسلة هجومية معقدة وترسانة من البرمجيات المخصصة
يتميز الأسلوب الذي وثّقته Mandiant بانحرافه عن النمط التقليدي، إذ لا يكتفي بإقناع الضحية بتثبيت أداة مراقبة عن بُعد، بل يدفعها إلى النقر على رابط تصيد مُشارَك عبر محادثة Teams تحت ذريعة تثبيت رقعة محلية لإصلاح مشكلة البريد العشوائي. تُعرِّف صفحة التصيد نفسها باسم “Mailbox Repair and Sync Utility v2.1.5″، وعند النقر على الرابط يُحمَّل سكريبت AutoHotkey من حاوية AWS S3 يتحكم فيها المهاجمون.
يُجري هذا السكريبت أولاً مسحاً استطلاعياً للبيئة المحيطة، ثم يثبّت SNOWBELT، وهو امتداد خبيث لمتصفح Chromium يُحقن في متصفح Edge عبر تشغيله في وضع headless مع مُعامل تحميل الامتداد. وقد وظّف المهاجمون سكريبت حارس بوابة للتحقق من أن الحمولة تُسلَّم للضحايا المستهدفين فعلاً مع التهرب من صناديق الرمل الأمنية الآلية، فضلاً عن فحص متصفح الضحية وعرض تحذير مستمر إن لم يكن يستخدم Edge.
يُشكّل النظام البيئي لبرمجية SNOW منظومة معيارية متكاملة تعمل عناصرها معاً لتحقيق أهداف المهاجم. فـ SNOWBELT يعمل باباً خلفياً بلغة JavaScript يستقبل الأوامر ويُحيلها إلى SNOWBASIN للتنفيذ. وتتولى SNOWGLAZE المكتوبة بلغة Python مهمة بناء نفق WebSocket آمن وموثَّق بين الشبكة الداخلية للضحية وخادم القيادة والسيطرة. أما SNOWBASIN فيعمل باباً خلفياً دائماً يُمكِّن من تنفيذ الأوامر عن بُعد عبر cmd.exe وPowerShell وأخذ لقطات الشاشة وتحميل الملفات وتنزيلها، ويعمل كخادم HTTP محلي على منافذ 8000 أو 8001 أو 8002.
مرحلة ما بعد الاختراق: التعمق في الشبكة وسرقة الهوية
بعد الحصول على موطئ قدم أولي، يُنفذ المهاجمون سلسلة من الإجراءات الممنهجة للتعمق في الشبكة المستهدفة. يُجري سكريبت Python مسحاً للشبكة المحلية على المنافذ 135 و445 و3389 استعداداً للتحرك الجانبي، ثم تُنشئ أداة SNOWGLAZE جلسة PsExec وتُبادر بجلسة RDP إلى خادم النسخ الاحتياطي. وفي مرحلة تصعيد الامتيازات، يُستخرج ذاكرة عملية LSASS عبر Windows Task Manager باستخدام حساب مدير محلي، ثم تُوظَّف تقنية Pass-The-Hash للتنقل جانبياً نحو وحدات التحكم بالمجال. وتختتم العملية بتنزيل أداة FTK Imager لالتقاط ملف قاعدة بيانات Active Directory ورفعه عبر أداة LimeWire.
يُجسّد هذا الهجوم توجهاً أوسع رصده الباحثون، يتمثل في الاعتماد المتزايد على الخدمات السحابية المشروعة كـ AWS S3 بوصفها بنية تحتية للهجوم، إذ يُتيح هذا الأسلوب التخفي وسط حجم الزيارات السحابية المشروعة وتجاوز فلاتر السمعة الشبكية التقليدية.
وفي سياق موازٍ، وثّقت شركة Cato Networks حملة مشابهة تعتمد على التصيد الصوتي عبر اجتماعات Teams لإقناع الضحايا بتنفيذ باب خلفي يعمل على WebSocket يُعرف بـ PhantomBackdoor عبر سكريبت PowerShell مُبهَم، مما يُشير إلى أن انتحال هوية الدعم التقني عبر منصات التعاون بات نهجاً متكاملاً تتبناه عدة جهات هجومية في آنٍ واحد. وتدعو الشركات إلى معاملة أدوات التعاون كـ Teams بوصفها أسطحاً هجومية من الدرجة الأولى، وتطبيق إجراءات تحقق صارمة من هوية الدعم التقني وتضييق ضوابط الاجتماعات مع الخارجيين.
