حذرت شركة البرمجيات والتكنولوجيا الأمريكية “مايكروسوفت” مستخدمي منصة مايكروسوفت تيمز – Microsoft Teams من موجة هجمات احتيالية جديدة لقراصنة تستهدف شبكات الشركات، عبر انتحال صفة موظفي الدعم الفني واستغلال أدوات رسمية للوصول إلى الأنظمة الداخلية وسرقة بيانات حساسة.
وكشفت الشركة أنها رصدت مهاجمين يستغلون ميزة “الدردشة بين المؤسسات” في “تيمز”، والتي تتيح بدء محادثة مع مستخدمين من خارج المؤسسة، حيث يعمد المهاجمون إلى التواصل مع الموظفين، مدعين أنهم من فرق تقنية المعلومات أو الدعم الفني، قبل إقناع الضحايا بمنحهم صلاحية الوصول عن بعد إلى أجهزتهم.
وأشارت إلى أن العملية تتم باستخدام تطبيق Quick Assist ، وهو أداة مدمجة في نظام مايكروسوفت ويندوز تتيح تقديم أو تلقي الدعم الفني عن بعد بشكل مشروع، غير أن المهاجمين يستغلون هذه الأداة للوصول إلى الأجهزة دون إثارة الشبهات.
ووفقا للشركة فإن القراصنة، بعد حصولهم على موطئ قدم أولي داخل النظام، يعمدون إلى تشغيل برامج موثوقة وتعديلها لتنفيذ شيفرات خبيثة، ثم ينتقلون داخل الشبكة باستخدام أدوات إدارية أصلية مثل “إدارة ويندوز عن بعد”، للوصول إلى أنظمة حساسة من بينها وحدات التحكم بالنطاق، المسؤولة عن إدارة صلاحيات المستخدمين وأمن الشبكة داخل المؤسسات.
وأوضحت الشركة أن المهاجمين يوظفون أدوات موثوقة وبروتوكولات إدارية أصلية للتنقل أفقيا داخل المؤسسة، وتجهيز البيانات الحساسة لتهريبها خارج الشبكة، في نشاط يمتزج غالبا بالعمليات الروتينية للدعم الفني طوال دورة الاختراق.
كما رصدت “مايكروسوفت” قيام المهاجمين بتثبيت أدوات إدارة عن بعد شائعة، إضافة إلى برنامج Rclone، الذي يستخدم في نقل البيانات إلى خدمات التخزين السحابي، ما يسهل عملية جمع المعلومات ورفعها إلى خوادم خارجية.
وتكمن خطورة هذه الهجمات للقراصنة في اعتمادها على أدوات شرعية وإجراءات تقنية اعتيادية، ما يجعل اكتشافها أكثر صعوبة، فالضحايا لا يلاحظون مؤشرات تحذيرية واضحة.
كما أن فرق تقنية المعلومات لا تتلقى تنبيهات بشأن نشاط غير معتاد، إذ تبدو العمليات وكأنها جزء من دعم فني طبيعي.
وبخلاف أساليب التصيد التقليدية عبر البريد الإلكتروني، يعتمد المهاجمون في هذه الحالات على رسائل داخل “تيمز”، التي قد تبدو كمراسلات داخلية مشروعة، ما يعزز فرص نجاح عملية الخداع.
ودعت “مايكروسوفت” المؤسسات إلى مراجعة إعدادات الاتصال، وتقييد صلاحيات الوصول عن بعد، وتوعية الموظفين بخطورة منح صلاحيات التحكم بأجهزتهم دون التحقق الدقيق من هوية الجهة الطالبة.
