شملت هذه الهجمات جهات حكومية، ومنظمات غير حكومية، وشركات في مجالات تكنولوجيا المعلومات، والتكنولوجيا، والدفاع، والاتصالات، والصحة، والتعليم العالي، بالإضافة إلى قطاعات الطاقة، والنفط، والغاز في أوروبا وأميركا الشمالية وأفريقيا والشرق الأوسط.
وتشير التقييمات إلى أن الجهة المنفذة لهذه الهجمات، والتي يُعتقد بدرجة متوسطة من الثقة أنها تتماشى مع المصالح الروسية، تعتمد على استهداف المستخدمين عبر تطبيقات المراسلة مثل WhatsApp وSignal وMicrosoft Teams، حيث تنتحل شخصية شخصيات بارزة ذات صلة بالضحايا بهدف بناء الثقة قبل تنفيذ الهجوم.
تعتمد هذه الهجمات على تقنية تصيد متقدمة تُعرف باسم "تصيد رمز الجهاز"، والتي تهدف إلى خداع المستخدمين لتسجيل الدخول إلى تطبيقات الإنتاجية، بينما يقوم المهاجمون، المعروفون باسم Storm-2372، بالتقاط رموز المصادقة الصادرة أثناء عملية تسجيل الدخول، مما يمنحهم إمكانية الوصول إلى الحسابات المستهدفة، وفقًا لتقرير حديث صادر عن قسم استخبارات التهديدات في مايكروسوفت.
يسعى المهاجمون إلى استغلال هذه الرموز لاختراق الحسابات المستهدفة، واستخراج بيانات حساسة، وضمان استمرار وصولهم إلى بيئة الضحية طالما ظلت الرموز صالحة.
آلية الهجوم
أوضحت مايكروسوفت أن المهاجمين يستخدمون رسائل بريد إلكتروني احتيالية تتظاهر بأنها دعوات اجتماعات عبر Microsoft Teams. وعند النقر على الرابط، يتم توجيه الضحية إلى عملية مصادقة تتطلب رمز جهاز تم إنشاؤه بواسطة المهاجم. بمجرد إدخال الرمز، يتمكن المهاجم من اختطاف الجلسة المصادق عليها باستخدام رموز الوصول التي تم الاستيلاء عليها.
خلال الهجوم، يقوم الفاعلون بإنشاء طلب رمز جهاز شرعي ويخدعون الضحية لإدخاله في صفحة تسجيل دخول رسمية، مما يمنحهم القدرة على التقاط رموز المصادقة والتحديث، ثم استخدامها للوصول إلى بيانات الحسابات المستهدفة. هذه الرموز تتيح لهم أيضاً الوصول إلى خدمات أخرى يمتلك المستخدم صلاحيات عليها، مثل البريد الإلكتروني أو التخزين السحابي، دون الحاجة إلى إدخال كلمة مرور.
الانتشار داخل الشبكة
بمجرد اختراق الحساب، يستخدم المهاجم الجلسة الصالحة للتحرك أفقيًا داخل الشبكة، عبر إرسال رسائل تصيد مماثلة من الحساب المخترق إلى مستخدمين آخرين داخل المؤسسة. كما يتم استغلال خدمة Microsoft Graph للبحث داخل رسائل البريد الإلكتروني المخترقة عن مصطلحات حساسة مثل:
أي رسائل تتطابق مع هذه الكلمات يتم استخراجها بعد ذلك لصالح المهاجم.
كيفية الحماية
لتقليل مخاطر هذه الهجمات، توصي مايكروسوفت المؤسسات باتباع الإجراءات التالية:حظر استخدام رموز الجهاز كلما أمكن ذلك.
تفعيل المصادقة متعددة العوامل (MFA) المقاومة للتصيد الاحتيالي.
اتباع مبدأ الحد الأدنى من الامتيازات لمنع المهاجمين من توسيع نطاق وصولهم داخل الشبكة.
أوضحت مايكروسوفت أن المهاجمين يستخدمون رسائل بريد إلكتروني احتيالية تتظاهر بأنها دعوات اجتماعات عبر Microsoft Teams. وعند النقر على الرابط، يتم توجيه الضحية إلى عملية مصادقة تتطلب رمز جهاز تم إنشاؤه بواسطة المهاجم. بمجرد إدخال الرمز، يتمكن المهاجم من اختطاف الجلسة المصادق عليها باستخدام رموز الوصول التي تم الاستيلاء عليها.
خلال الهجوم، يقوم الفاعلون بإنشاء طلب رمز جهاز شرعي ويخدعون الضحية لإدخاله في صفحة تسجيل دخول رسمية، مما يمنحهم القدرة على التقاط رموز المصادقة والتحديث، ثم استخدامها للوصول إلى بيانات الحسابات المستهدفة. هذه الرموز تتيح لهم أيضاً الوصول إلى خدمات أخرى يمتلك المستخدم صلاحيات عليها، مثل البريد الإلكتروني أو التخزين السحابي، دون الحاجة إلى إدخال كلمة مرور.
الانتشار داخل الشبكة
بمجرد اختراق الحساب، يستخدم المهاجم الجلسة الصالحة للتحرك أفقيًا داخل الشبكة، عبر إرسال رسائل تصيد مماثلة من الحساب المخترق إلى مستخدمين آخرين داخل المؤسسة. كما يتم استغلال خدمة Microsoft Graph للبحث داخل رسائل البريد الإلكتروني المخترقة عن مصطلحات حساسة مثل:
- اسم المستخدم
- كلمة المرور
- المسؤول
- TeamViewer وAnyDesk
- بيانات الاعتماد
- السرية
- الوزارة
- الحكومة
أي رسائل تتطابق مع هذه الكلمات يتم استخراجها بعد ذلك لصالح المهاجم.
كيفية الحماية
لتقليل مخاطر هذه الهجمات، توصي مايكروسوفت المؤسسات باتباع الإجراءات التالية:حظر استخدام رموز الجهاز كلما أمكن ذلك.
تفعيل المصادقة متعددة العوامل (MFA) المقاومة للتصيد الاحتيالي.
اتباع مبدأ الحد الأدنى من الامتيازات لمنع المهاجمين من توسيع نطاق وصولهم داخل الشبكة.