كشفت حملة تصيد احتيالي جديدة تستغل خدمة استضافة سحابية مرتبطة بالذكاء الاصطناعي، وهي Railway، عن نجاح قراصنة في اختراق حسابات Microsoft السحابية لمئات الشركات. وتشير تقارير خبراء الأمن السيبراني إلى أن هذه الحملة تمثل تحديًا متزايدًا مع استخدام أدوات متطورة.
بدأت الحملة تستهدف عددًا قليلاً من الشركات يوميًا، لكنها شهدت زيادة كبيرة في وتيرتها اعتبارًا من بداية مارس. وبحسب باحثي فريق Huntress، تظهر هذه الهجمات مستوى أعلى من التطور، حيث يتم استخدام رسائل بريد إلكتروني ونطاقات فريدة، مما يرجح استخدام أدوات الذكاء الاصطناعي لتوليدها بشكل آلي. تراوحت أساليب التصيد من الرسائل التقليدية إلى استخدام رموز QR ومواقع مشاركة الملفات المخترقة.
حملة تصيد احتيالي بمساعدة الذكاء الاصطناعي تستهدف Microsoft Cloud
تستغل الحملة الجديدة آلية المصادقة الخاصة بمايكروسوفت للأجهزة مثل أجهزة التلفزيون الذكية والطابعات، مما يمنح المهاجمين رموز OAuth صالحة لمدة تصل إلى 90 يومًا دون الحاجة إلى كلمة مرور أو مصادقة متعددة العوامل. وقد وقع مئات العملاء التابعين لشركة Huntress ضحية لهذه الحملة.
ومع ذلك، نجحت Huntress في منع أي نشاط ما بعد الاختراق في جميع الحالات التي سجلتها. وتعتقد الشركة أن عملائها يمثلون جزءًا صغيرًا فقط من إجمالي الضحايا المحتملين، الذين قد يصل عددهم إلى الآلاف. وتشمل الجهات المتضررة قطاعات متنوعة مثل شركات الإنشاءات والتجارة، والمكاتب القانونية، والمنظمات غير الربحية، والعقارات، والتصنيع، والتمويل والتأمين، والرعاية الصحية، ومنظمات الحكومة والسلامة العامة.
لمواجهة هذا التهديد، قامت Huntress بتحديث سياسة الوصول المشروط لحوالي 60 ألف مستأجر على Microsoft Cloud، وذلك للتعامل مع رسائل البريد الإلكتروني الواردة من نطاقات Railway. ويصف أحد الخبراء هذا الإجراء بأنه “خطوة غير مسبوقة”.
استغلال بنية تحتية سحابية متقدمة
يعتقد الباحثون أن المهاجمين يستغلون خدمة Railway كمنصة للخدمات (PaaS) – التي صُممت لمساعدة غير المبرمجين على بناء مواقع وتطبيقات – لتشغيل البنية التحتية اللازمة لجمع بيانات الاعتماد لهذه الحملة. من خلال استخدام نطاقات مخترقة وتوليد رسائل تصيد مخصصة، تتجنب رسائل البريد الإلكتروني هذه معظم حلول تصفية البريد الإلكتروني التجارية.
في ردها على استفسارات CyberScoop، أكدت شركة Railway أنها على دراية بالحملة وتم التواصل معها من قبل Huntress بشأن حركة التصيد الاحتيالي. وقد قامت الشركة بحظر الحسابات والنطاقات المرتبطة بالهجمات. وأشار مهندس الحلول في Railway إلى أن أنظمة الكشف لديهم تعتمد على رصد الارتباطات مثل بطاقات الائتمان المتكررة ومصادر الكود المشتركة، وأنه عند تجنب الحملة لهذه الإشارات، فإنها تتجاوز قدرة الكشف.
وفي سياق متصل، أشار خبير أمني في Huntress إلى استمرار رصد أكثر من 50 اختراقًا يوميًا مرتبطًا بنطاقات التصيد الاحتيالي لـ Railway. ودعا إلى تحسين عمليات التحقق والتدقيق عند استخدام المنتج مجانًا، مشيرًا إلى أن بعض الخدمات تقدم ضوابط رقابية تمنع الاستخدامات الخبيثة.
الذكاء الاصطناعي كأداة للتهديدات السيبرانية
يُظهر استخدام الذكاء الاصطناعي في إنشاء بنية تحتية للتصيد الاحتيالي، على غرار ما تفعله جهات فاعلة مدعومة من دول أو مجرمون سيبرانيون متقدمون، التباين الواضح لهذه الحملة. يؤكد هذا الأمر التحذيرات المتزايدة من خبراء الأمن السيبراني بأن المجرمين الأقل خبرة، الذين يعتمدون على الأدوات الآلية، سيستفيدون بشكل كبير من عصر الذكاء الاصطناعي.
وتشير التقديرات إلى أن أدوات الذكاء الاصطناعي قد تساعد الجماعات السيبرانية الأصغر حجمًا أكثر من الهاكرز المدعومين من الدول. ويُرى في سرعة تطور هذه الحملة دليلًا على ذلك، حيث أن المجرمين هم أول المبادرين في استخدام الذكاء الاصطناعي بدون قيود أخلاقية.