قراصنة يستخدمون خدعة تسجيل الأجهزة لمهاجمة الشركات من خلال التصيد الجانبي
كشفت مايكروسوفت عن تفاصيل حملة تصويرية متعددة الطور واسعة النطاق تستخدم بيانات اعتماد مسروقة لتسجيل الأجهزة على شبكة الضحية لمزيد من نشر رسائل البريد الإلكتروني المركبات المزعجة وتوسيع تجمع العدوى. وقال العملاق التكنولوجي إن الهجمات تتجلى من خلال الحسابات التي لم يتم تأمينها باستخدام مصادقة متعددة العوامل (MFA)، مما يجعل من الممكن أن يستفيد الخصم من سياسة جلب الهدف الخاص بك (BYOD) وإدخال بلدهم الأجهزة المارقة باستخدام بيانات الاعتماد المحفوفة.
وجرت الهجمات في مرحلتين. وقال فريق المخابرات بمكافحة مايكروسوفت: “أول مرحلة الحملة تضمنت سرقة أوراق الاعتماد في المنظمات المستهدفة في الغالب في أستراليا وسنغافورة وإندونيسيا وتايلاند. وتم بعد ذلك الاستفادة من بيانات الاعتماد المسروقة في المرحلة الثانية، حيث استخدم المهاجمون الحسابات المخترقة لتوسيع موطئ قدمهم داخل المنظمة عبر التصيد الجانبي وكذلك خارج الشبكة عبر البريد العشوائي الصادر.”
بدأت الحملة بتلقي المستخدمين إغراء التصيد الذي يحمل علامة دوكو (DocuSign) والذي يحتوي على رابط، والذي، عند النقر، يعيد توجيه المستلم إلى موقع ويب مخادع يتنكر كصفحة تسجيل دخول لأوفيس 365 لسرقة بيانات الاعتماد. ولم تؤد سرقة بيانات الاعتماد إلى اختراق أكثر من 100 صندوق بريد عبر شركات مختلفة فحسب، بل أدت أيضًا إلى تمكين المهاجمين من تنفيذ قاعدة صندوق الوارد لإحباط الاكتشاف. وأعقب ذلك موجة هجوم ثانية أساءت استخدام الافتقار إلى حماية (MFA) لتسجيل جهاز ويندوز غير مُدار في مثيل Azure Active Directory (AD) الخاص بالشركة ونشر الرسائل الضارة.
من خلال توصيل الجهاز الذي يسيطر عليه المهاجم للشبكة، فإن تقنية الرواية جعلت قابلة للحياة لتوسيع موطئ قدم المهاجمين، ويتكاثر الهجوم بشكل سري، والتحرك أفقيًّا في جميع أنحاء الشبكة المستهدفة. وقالت مايكروسوفت: “لإطلاق الموجة الثانية، قام المهاجمون بالاستفادة من صندوق البريد المستهدف لإرسال رسائل ضارة إلى أكثر من 8،500 مستخدم، في داخل وخارج المنظمة الضحية. واستخدمت رسائل البريد الإلكتروني دعوة مشاركة (SharePoint) كهيئة رسالة في محاولة لإقناع المستلمين بأن ملف الدفع الذي تجري مشاركته كان مشروعًا”. ويأتي التطوير كهجمات هندسة اجتماعية قائمة على البريد الإلكتروني لا تزال أكثر الوسائل المهيمنة لمهاجمة المؤسسات للحصول على الدخول الأولي وإسقاط البرامج الضارة على النظم المتوفرة.
في وقت سابق من هذا الشهر، كشفت مختبرات نتسكوب (Netskope) تهديدًا على حملات ضارة تعزى إلى مجموعة أوشنلوتوس (Oceanlotus) التي تجاوزت الاكتشافات القائمة على التوقيع باستخدام أنواع الملفات غير القياسية مثل مرفقات ملف أرشيف الويب (.mht) لنشر البرامج الضارة بسرقة المعلومات. بالإضافة إلى تشغيل (MFA)، يمكن أن يؤدي تنفيذ أفضل الممارسات مثل صحة الاعتماد الجيدة وتجزئة الشبكة “التكلفة” للمهاجمين الذين يحاولون نشرهم عبر الشبكة.
وأضافت مايكروسوفت: “هذه الممارسات هي من أفضل الممارسات التي يمكن أن تحد من قدرة المهاجم على التحرك، ويجب استكمال حلول أمنية متقدمة توفر الرؤية عبر المجالات وتنسيق بيانات التهديد عبر مكونات الحماية”.
