يستغل القراصنة “مايكروسوفت تيمز” لنشر البرامج الخبيثة

كشفت خرق أمني حديث كيف سمح هجوم هندسة اجتماعية، يستند إلى الصيد الصوتي (الفيشينغ) عبر Microsoft Teams، لمنفذ ضار بتنفيذ برنامج الفيروس الخبيث DarkGate على نظام الضحية.

الهجوم، الذي تم تحليله بواسطة فريق الكشف والاستجابة المُدار من Trend Micro (MDR)، يُبرز الطبيعة المتطورة للتهديدات الإلكترونية والحاجة الماسة لاستراتيجيات الدفاع القوية. بدأ الهجوم عندما تلقت الضحية العديد من الآلاف من الرسائل الإلكترونية قبل أن يتصل المهاجم وهو يتظاهر بأنه ممثل للعميل عبر Microsoft Teams.

أوعز المُقلّد للضحية بتنزيل تطبيق الدعم البعيد من مايكروسوفت، ولكن بعد فشل محاولة التثبيت هذه، نجح المُهاجم في إقناع الضحية بتنزيل AnyDesk، وهو أداة سطح المكتب البعيد المشروعة.

ثم أرشد المُهاجم الضحية لإدخال بياناتهم المعتمدة، مما منح الوصول غير المُصرّح به إلى النظام.

بمجرد دخول النظام، أسقط المهاجم ملفات مشبوهة عدة، تم التعرف على واحد منها على أنه تروجان.أوتو.إت.داركغيت.دي، مما أطلق سلسلة من الأوامر. أدى هذا إلى الاتصال بخادم الأوامر والتحكم المحتمل (C&C)، مما مكّن المهاجم من تنفيذ المزيد من الأعمال الخبيثة.

على الرغم من أنه تم إيقاف الهجوم قبل حدوث أي نقل للبيانات، فإنه أبرز العديد من الثغرات في إدارة الوصول عن بعد وتكتيكات الهندسة الاجتماعية.

استخدم المهاجم سكريبتات AutoIt للسيطرة عن بعد على جهاز الضحية، مع تنفيذ الأوامر لجمع معلومات النظام وإقامة موطئ قدم أكثر ثباتا.

بشكل ملحوظ، نفذت عملية AutoIt3.exe سلسلة من الأوامر التي قامت بتنزيل برمجيات الفيروسات الضارة الإضافية، بما في ذلك السكريبتات التي حاولت الاتصال بأرقام الـIP الخارجية. تم تصميم البرمجية الخبيثة لتجنب الكشف عنها من خلال البحث عن منتجات مكافحة الفيروسات وإنشاء ملفات عشوائية متعددة لإخفاء وجودها.

يبدو أن الهدف النهائي من الهجوم كان تثبيت حمولة DarkGate النهائية. كانت هذه الحمولة ستمكّن المهاجم من التحكم الكامل في نظام الضحية وربما سرقة البيانات الحساسة. ولكن تم اكتشاف الهجوم في الوقت المناسب، مما منع المهاجم من تحقيق هدفه.

للدفاع ضد مثل هذه الهجمات، يوصي الخبراء بأن تقوم المنظمات بفحص مزودي الدعم الفني من الأطراف الثالثة بعناية. يجب أن تُدرج أدوات الوصول عن بُعد، مثل AnyDesk، في القائمة البيضاء وتتم مراقبتها، مع تمكين المصادقة المتعددة العوامل (MFA) لمنع الوصول غير المصرح به.

بالإضافة إلى ذلك، يجب أن يتلقى الموظفون تدريبًا منتظمًا للتعرف على تكتيكات الهندسة الاجتماعية ومحاولات الاحتيال الإلكتروني، والتي تظل أحد العناصر الرئيسية للهجمات الإلكترونية.