خبرني - حذّرت شركة مايكروسوفت مستخدمي منصة Microsoft Teams من موجة هجمات احتيالية جديدة تستهدف شبكات الشركات، عبر انتحال صفة موظفي الدعم الفني واستغلال أدوات رسمية للوصول إلى الأنظمة الداخلية وسرقة بيانات حساسة.
وكشفت الشركة أنها رصدت مهاجمين يستغلون ميزة "الدردشة بين المؤسسات" في "Teams"، والتي تتيح بدء محادثة مع مستخدمين من خارج المؤسسة. ويعمد المهاجمون إلى التواصل مع الموظفين مدّعين أنهم من فرق تقنية المعلومات أو الدعم الفني، قبل إقناع الضحايا بمنحهم صلاحية الوصول عن بُعد إلى أجهزتهم، وفقاً لـtechradar.
وتتم العملية باستخدام تطبيق Quick Assist، وهو أداة مدمجة في نظام مايكروسوفت ويندوز تتيح تقديم أو تلقي الدعم الفني عن بُعد بشكل مشروع. غير أن المهاجمين يستغلون هذه الأداة للوصول إلى الأجهزة دون إثارة الشبهات.
تحركات خفية داخل الشبكات
وبحسب التحذير، فإن القراصنة، بعد حصولهم على موطئ قدم أولي داخل النظام، يعمدون إلى تشغيل برامج موثوقة وتعديلها لتنفيذ شيفرات خبيثة. ثم ينتقلون داخل الشبكة باستخدام أدوات إدارية أصلية مثل "إدارة ويندوز عن بُعد"، للوصول إلى أنظمة حساسة من بينها وحدات التحكّم بالنطاق، المسؤولة عن إدارة صلاحيات المستخدمين وأمن الشبكة داخل المؤسسات.
أوضحت الشركة أن المهاجمين يوظفون أدوات موثوقة وبروتوكولات إدارية أصلية للتنقل أفقياً داخل المؤسسة، وتجهيز البيانات الحساسة لتهريبها خارج الشبكة، في نشاط يمتزج غالباً بالعمليات الروتينية للدعم الفني طوال دورة الاختراق.
كما رصدت "مايكروسوفت" قيام المهاجمين بتثبيت أدوات إدارة عن بُعد شائعة، إضافة إلى برنامج Rclone، الذي يُستخدم في نقل البيانات إلى خدمات التخزين السحابي، ما يسهّل عملية جمع المعلومات ورفعها إلى خوادم خارجية.
هجمات بلا إنذارات
وتكمن خطورة هذه الهجمات، وفق الشركة، في اعتمادها على أدوات شرعية وإجراءات تقنية اعتيادية، ما يجعل اكتشافها أكثر صعوبة. فالضحايا لا يلاحظون مؤشرات تحذيرية واضحة، كما أن فرق تقنية المعلومات لا تتلقى تنبيهات بشأن نشاط غير معتاد، إذ تبدو العمليات وكأنها جزء من دعم فني طبيعي.
وبخلاف أساليب التصيّد التقليدية عبر البريد الإلكتروني، يعتمد المهاجمون في هذه الحالات على رسائل داخل "Teams"، التي قد تبدو كمراسلات داخلية مشروعة، ما يعزز فرص نجاح عملية الخداع.
ودعت "مايكروسوفت" المؤسسات إلى مراجعة إعدادات الاتصال بين المؤسسات، وتقييد صلاحيات الوصول عن بُعد، وتوعية الموظفين بخطورة منح صلاحيات التحكم بأجهزتهم دون التحقق الدقيق من هوية الجهة الطالبة.
