تمت ملاحظة جهة تهديد تم تتبعها في تصنيف Microsoft باسم Storm-0324 وهي تقوم بتبديل تكتيكاتها لتشمل هجمات التصيد الاحتيالي للهندسة الاجتماعية التي تتم عبر فرق مايكروسوفت، كشف ريدموند.
يرتبط Storm-0324، وهو ما يسمى بوسيط الوصول الأولي (IAB)، بالعديد من عمليات برامج الفدية الغزيرة والخطيرة، بما في ذلك بعض العمليات المعروفة بأنها نشرت كلوب، جاندكراب، متاهة و ريفيل خزائن.
كتب فريق Microsoft Threat Intelligence: “بدءًا من يوليو 2023، لوحظ أن Storm-0324 يوزع الحمولات باستخدام أداة مفتوحة المصدر لإرسال إغراءات التصيد الاحتيالي من خلال محادثات Microsoft Teams”.
“هذا النشاط لا علاقة له حملات الهندسة الاجتماعية Midnight Blizzard عبر Teams التي لاحظناها بدءًا من مايو 2023. نظرًا لأن Storm-0324 يمنع الوصول إلى جهات التهديد الأخرى، فإن تحديد نشاط Storm-0324 ومعالجته يمكن أن يمنع هجمات المتابعة الأكثر خطورة مثل برامج الفدية.
منذ عام 2018 وحتى وقت قريب جدًا، تركز نشاط المجموعة على توزيع البرامج الضارة الخاصة بها، JSSLoader، نيابة عن ممثل برامج الفدية كخدمة (RaaS) عاصفة السانجريا – المعروف أيضًا باسم Elbrus و Carbon Spider و FIN7 – استخدام ما وصفته مايكروسوفت بـ “سلاسل العدوى شديدة المراوغة مع إغراءات الدفع والفواتير” التي ترتبط بموقع SharePoint ومن هنا يقوم غير الحذر بتنزيل أرشيف ZIP ضار يحتوي على الحمولة.
ولكن يبدو الآن أن جهة التهديد تستغل مشكلة في Teams تم تحديده لأول مرة من قبل باحثي Jumpsec في يونيو 2023، ولكن تركتها مايكروسوفت دون إصلاح في ذلك الوقت، على أساس أنها كانت كذلك ليست خطيرة بما يكفي لإصلاحها على الفور.
بدأ هذا النشاط في يوليو – بعد أن حظي الكشف عن Jumpsec ببعض الاهتمام – ومن المحتمل أن يتضمن استخدام أداة متاحة للعامة تسمى TeamsPhisher، وهو برنامج Python يتيح لمستخدمي مستأجري Teams إرفاق ملفات بالرسائل المرسلة إلى مستأجرين خارجيين.
ليس من السهل أن نرى كيف يمكن إساءة استخدام هذه الميزة، ويبدو أن هذا هو ما يفعله Storm-0324، حيث يستخدمه لإرسال إغراءات التصيد الاحتيالي التي تؤدي إلى موقع SharePoint الضار. يتم تحديد إغراءاتها من خلال منصة Teams على أنها إغراءات خارجية، في حالة تمكين الوصول الخارجي، مما يعني أنها تصل إلى الضحايا المحتملين بسهولة تامة.
لدى المدافعين عدد من الخيارات لتقوية شبكاتهم ضد هذه الهجمات، على النحو المنصوص عليه من قبل مايكروسوفت.
وكتب فريق Threat Intel: “تأخذ Microsoft حملات التصيد الاحتيالي هذه على محمل الجد وطرحت العديد من التحسينات للدفاع بشكل أفضل ضد هذه التهديدات”.
“وفقًا لسياسات Microsoft، قمنا بتعليق الحسابات والمستأجرين المحددين المرتبطين بسلوك غير حقيقي أو احتيالي. لقد قمنا أيضًا بإدخال تحسينات على قبول/حظر الخبرة في الدردشات الفردية داخل Teams، للتأكيد على المظهر الخارجي للمستخدم وعنوان بريده الإلكتروني حتى يتمكن مستخدمو Teams من توخي الحذر بشكل أفضل من خلال عدم التفاعل مع مرسلين غير معروفين أو ضارين.
“لقد طرحنا قيودًا جديدة على إنشاء المجالات داخل المستأجرين وقمنا بتحسين الإشعارات لمسؤولي المستأجرين عند إنشاء مجالات جديدة داخل المستأجرين. بالإضافة إلى هذه التحسينات المحددة، ستستمر فرق التطوير لدينا في تقديم إجراءات وقائية وكشف إضافية لتوفير مزيد من الحماية للعملاء من هجمات التصيد الاحتيالي.
لماذا يعد هذا أكثر خطورة من التصيد الاحتيالي عبر البريد الإلكتروني؟
قال: “إنها عملية تصيد احتيالي متطورة من شأنها أن تكتشف العديد من الضحايا لأنهم لن يدركوا أن المجرمين يمكنهم اختراق Microsoft Teams لتنفيذ الهجمات”. My1Login الرئيس التنفيذي مايك نيومان.
وأوضح نيومان أنه في حين يميل الناس إلى فهم التقنيات التي يستخدمها مجرمو الإنترنت لإرسال رسائل البريد الإلكتروني التصيدية، إلا أنه يُنظر إلى Teams بسهولة أكبر على أنه منصة اتصالات داخلية.
وقال: “يضع الموظفون ثقة أكبر في الأداة ومن المرجح أن يفتحوا ويتعاملوا مع المستندات التي يتلقونها في المحادثات”.
“بالنسبة للمؤسسات التي تشعر بالقلق إزاء هذا التهديد، من الضروري تثقيف الموظفين حول جميع التقنيات المختلفة التي يمكن للمجرمين استخدامها لشن هجمات التصيد الاحتيالي – من رسائل البريد الإلكتروني والمكالمات الهاتفية والرسائل النصية القصيرة إلى منصات المراسلة.
“علاوة على ذلك، مع تطوير العديد من عمليات الاحتيال هذه لسرقة بيانات اعتماد الموظفين، يمكن للمؤسسات تحسين دفاعاتها عن طريق إزالة كلمات المرور من أيدي الموظفين. وهذا يعني أنه حتى عندما تصل عمليات الاحتيال المعقدة للغاية إلى صناديق البريد الوارد للمستخدمين، فلا يمكن خداعهم لتسليم بيانات الاعتماد الخاصة بهم لأنهم ببساطة لا يعرفونها.
كوفينس وأضاف ماكس غانون، كبير محللي استخبارات التهديدات السيبرانية: “يجب أن تعترف المؤسسات بأنظمة الدردشة مثل Slack وTeams باعتبارها شيئًا يشكل نفس مستوى التهديد مثل رسائل البريد الإلكتروني التصيدية الخاصة ببيانات الاعتماد. يمكن استخدام أي نظام يمكن التلاعب به للاستفادة من ثقة المستخدم كوسيلة للدخول…. إن التعامل مع أي مصدر على أنه لا يمثل مشكلة أو على أنه يمثل مستوى تهديد ضئيلًا يمكن أن يعود بسهولة ليطارد صناع القرار.
“ومع ذلك، فإن تدريب المستخدمين على أي منصة واحدة يمكّنهم من تطبيق نفس المهارات والتشكيك على أي منصة أخرى. إن هذه الحوادث تؤكد بالفعل ضرورة قيام المنظمات باستخدام جميع الأدوات المتاحة لها لمواجهة التهديدات التي لم تتعرف عليها حتى الآن.
