تتعرض أكثر من 100 مؤسسة عالمية رفيعة المستوى عبر قطاعات متعددة لهجوم انتحال هوية ممنهج. ويأتي هذا التهديد من تحالف خطير يُعرف باسم SLSH، والذي يجمع بين أساليب مجموعات قرصنة معروفة مثل Scattered Spider و LAPSUS$ و ShinyHunters، مما يمثل تحدياً أمنياً متطوراً.
على عكس الهجمات الآلية التقليدية، تستخدم هذه الحملة أشخاصاً حقيقيين يتصلون بالموظفين، بالتزامن مع نشر صفحات تسجيل دخول وهمية مطابقة تماماً لأنظمة الشركات المستهدفة. ويهدف المهاجمون إلى سرقة بيانات الاعتماد والرموز الأمنية من خدمات الدخول الموحد مثل Okta، والتي تعمل كمفاتيح رئيسية للوصول إلى جميع التطبيقات داخل المؤسسة.
حملة SLSH تستهدف 100+ مؤسسة عالمية باستخدام انتحال الهوية المباشر
تستخدم الحملة بشكل أساسي أداة تُعرف باسم “لوحة انتحال الهوية المباشرة” (live phishing panel). تتيح هذه البنية التحتية للمهاجمين اعتراض معلومات تسجيل الدخول والرموز الأمنية في الوقت الفعلي، بل وتجاوز حتى حمايات المصادقة متعددة العوامل. تشمل الأهداف الرئيسية شركات مثل Canva و Atlassian و Epic Games و HubSpot، بالإضافة إلى العشرات من المؤسسات المالية ومقدمي الرعاية الصحية وشركات العقارات.
لقد اكتشف محللو Silentpush زيادة في نشر البنية التحتية الضارة، وحددوا أنماط الهجوم تتطابق مع العمليات المعروفة لـ SLSH من منظومة “The Com”. ولم يكن هذا مجرد هجوم مسح عشوائي، بل كان استهدافاً مخططاً بعناية للمؤسسات ذات الأصول الرقمية الكبيرة.
أسلوب الهجوم المبتكر
يستخدم المهاجمون تقنية التصيد الصوتي (vishing)، حيث يتصلون بمكاتب مساعدة الشركات والموظفين، مدعين أنهم من قسم تقنية المعلومات ويطلبون إعادة تعيين كلمات المرور أو الوصول إلى الأنظمة. وفي الوقت الذي يقومون فيه بهذه المكالمات، يتلاعبون بصفحة تسجيل دخول وهمية تطابق تمامًا ما يظهر على شاشة الضحية، مما يخلق سيناريو هندسة اجتماعية مقنع للغاية.
آلية عمل لوحة انتحال الهوية المباشرة
تعتمد آلية الإصابة على التنسيق البشري بدلاً من نشر البرامج الضارة الآلية. بمجرد حصول المهاجمين على وصول أولي عبر التصيد الصوتي وسرقة بيانات الاعتماد، فإنهم يستخدمون جلسة الدخول الموحد المسروقة كأساس وتوسع الاختراق. تصبح هذه الجلسة المخترقة المفتاح الرئيسي الذي يمنحهم وصولاً محتملاً إلى كل تطبيق متصل داخل المؤسسة المستهدفة.
ثم ينتقل المهاجمون بشكل جانبي إلى أنظمة الاتصالات الداخلية مثل Slack أو Teams، حيث يقومون بانتحال شخصية موظفين شرعيين لخداع المسؤولين ومنحهم امتيازات أعلى. تتبع الحملة نهج مجموعة LAPSUS$، حيث تتطور إلى سرقة البيانات والابتزاز. يقوم المهاجمون بتنزيل المعلومات الحساسة بسرعة ثم يطالبون بفدية، مهددين بنشر البيانات المسروقة علناً. وفي بعض الحالات، يقومون بتشفير أنظمة المؤسسة لزيادة الضغط لدفع الفدية.
يجب على المؤسسات المدرجة في قائمة الأهداف الحرجة التي اكتشفتها Silentpush التعامل مع هذا التهديد كحالة طوارئ. يجب تحذير جميع الموظفين من محاولات التصيد الصوتي المستمرة، والتدقيق الفوري في سجلات الدخول الموحد بحثاً عن تسجيلات أجهزة مشبوهة أو مواقع تسجيل دخول غير مألوفة.