شنت مجموعات قرصنة روسية موجة جديدة من الهجمات التصيدية التي تنتحل صفة فعاليات أمنية أوروبية بارزة بهدف سرقة بيانات اعتماد المستخدمين السحابية. وتستهدف هذه الهجمات المؤسسات والهيئات ذات الصلة بالأمن والدبلوماسية في أوروبا.
وتتلقى الجهات المستهدفة دعوات تبدو شرعية، غالباً ما تكون مرتبطة بمؤتمرات هامة مثل مؤتمر بلغراد الأمني أو حوار إندوباسيفيك في بروكسل. وتوجه هذه الدعوات الضحايا إلى مواقع تسجيل مصممة باحترافية تحاكي مواقع الجهات المنظمة الحقيقية.
هجمات تصيدية متطورة تستهدف البيانات السحابية
خلف هذا المظهر المنظم، تقوم الجهات المهاجمة بتوجيه المستخدمين نحو تدفقات ضارة خاصة بحسابات Microsoft 365 و Google. الهدف من ذلك هو الحصول على وصول طويل الأمد إلى رسائل البريد الإلكتروني والملفات المخزنة في هذه الحسابات.
ويعود الفضل في كشف هذه الحملات إلى محللي الأمن في Volexity، الذين ربطوها بمجموعة روسية يشار إليها بالاسم الرمزي UTA0355. وقد قامت هذه المجموعة منذ عام 2025 بتحسين أساليبها بشكل مستمر في استغلال OAuth وإساءة استخدام رموز الأجهزة.
من جهة أخرى، لا تعتمد هذه المجموعة في بادئ الأمر على إرسال روابط تبدو خبيثة بشكل مباشر. بل تسعى لبناء الثقة عبر البريد الإلكتروني أو تطبيقات المراسلة مثل WhatsApp أو Signal، قبل أن تحوّل الضحايا إلى عملية “تسجيل” تبدو كعملية تسجيل دخول موحد تقليدية.
في كثير من الحالات، تكون حتى حسابات البريد الإلكتروني وأرقام التعريف في تطبيقات المراسلة نفسها حسابات مخترقة لهيئات سياسية أو أكاديمية حقيقية، مما يزيد من مصداقية الرسالة.
آلية العمل
بمجرد أن ينقر الضحية على الرابط. تقوم المواقع المزيفة لهذه المؤتمرات، مثل bsc2025[.]org أو brussels-indo-pacific-forum[.]org، بطلب “البريد الإلكتروني الخاص بالشركة”. ثم تقوم بتوجيه المستخدم إلى صفحات تسجيل دخول Microsoft التي تبدو أصلية.
وتكمن الحيلة الأساسية في أن المهاجمين يقومون بالتقاط رموز OAuth ورموز الأجهزة من عنوان URL الخاص بالمتصفح وإعادة استخدامها. وهذا يسمح لهم بالوصول إلى الحساب دون الحاجة إلى كلمات مرور.
في بعض السيناريوهات، يُطلب من المستخدمين لصق عنوان URL بالكامل مرة أخرى في الدردشة تحت ذريعة “إكمال التسجيل”. ويتم بذلك خداع الضحية لتزويد المهاجمين بالمعلومات اللازمة.
بعد نجاح عملية التصيد، يكون السلوك التقني لهذا الاختراق هادئاً ومنهجياً. غالباً ما تسجل UTA0355 جهازاً جديداً في Microsoft Entra ID، مع إعادة استخدام اسم الجهاز الحقيقي للضحية بهدف التخفي ضمن قوائم الأصول.
يأتي الوصول بعد ذلك من عقد وسيطة (proxy nodes)، وفي بعض الأحيان باستخدام معرفات مستخدم لأن وأنظمة تشغيل Android لا تتطابق مع الأجهزة الحقيقية للضحية. وهذا يجعل المراجعة الدقيقة للسجلات أمراً ضرورياً لكشف المتسللين.
آليات الكشف
يمكن إنشاء قاعدة كشف بسيطة لتحديد هذه التطابقات غير المتوافقة في العديد من منصات SIEM. ويشمل ذلك مراقبة سجلات تسجيل الدخول التي تشير إلى أن نظام التشغيل هو Android ولكن اسم الجهاز يشير إلى iPhone.
يمكن ترجمة هذا المفهوم نفسه إلى تحليل سجلات يعتمد على لغة Python. حيث يتم فحص معرفات المستخدم وأسماء الأجهزة للإبلاغ عن أي تباين مشبوه.
ويوضح التحليل الفني الكامل أن “البرمجيات الخبيثة” الحقيقية في هذه الهجمات ليست ملفات تقليدية، بل هي عبارة عن مسار عمل محسّن لاستغلال OAuth ورموز الأجهزة. وتكمن الخطورة في موافقة المستخدم والرموز التي يسلمها، والتي تمنح المهاجمين وصولاً على مستوى واجهات برمجة التطبيقات (API) إلى صناديق البريد الإلكتروني والملفات وبيانات الهوية، مع بقائها غير مرئية إلى حد كبير لأدوات الحماية الطرفية.