مايكروسوفت: "جاسبر سليت" يستخدم هويات عمال تقنية مزيفة لاختراق البيئات السحابية

كشفت شركة مايكروسوفت عن تكتيكات مبتكرة تستخدمها مجموعة تهديدات مرتبطة بكوريا الشمالية، تعرف باسم “Jasper Sleet”، لاختراق البيئات السحابية للمؤسسات. تعتمد المجموعة على انتحال هويات وهمية لعمال تقنيين (IT) والحصول على وظائف حقيقية عن بعد، مما يمنحها وصولًا مباشرًا إلى بيانات وأنظمة حساسة.

يأتي هذا التطور في ظل التحول الكبير نحو العمل عن بعد والهجين، والذي دفع الشركات إلى الاعتماد بشكل متزايد على المقابلات عبر الإنترنت وعمليات التوظيف الرقمية وأدوات الوصول عن بعد.

Jasper Sleet: استراتيجيات قادمة من الظل لاختراق السحابة

بدأت مجموعة “Jasper Sleet” بالاستفادة من هذا التحول، حيث تقوم ببناء هويات مهنية وهمية، وغالبًا ما تستعين بتقنيات الذكاء الاصطناعي لتعزيز مصداقيتها. يهدف هذا الأسلوب إلى اجتياز عمليات الفحص الأمني والتوظيف، والحصول على أدوار تقنية داخل الشركات المستهدفة.

وقد قامت فرق مايكروسوفت لتحليل التهديدات بتتبع سلوكيات “Jasper Sleet” عبر البيئات السحابية ومنصات الموارد البشرية. لوحظ أن المجموعة تستهدف بشكل منهجي الشركات التي تستخدم برمجيات إدارة الموارد البشرية الشائعة مثل “Workday”.

تفاصيل التكتيكات المتبعة

وفقًا لتقرير مايكروسوفت، تبدأ المجموعة بتحليل مواقع التوظيف الخارجية لتحديد الوظائف المتاحة. بعد ذلك، تستخدم أدوات الذكاء الاصطناعي التوليدي لدراسة إعلانات الوظائف، واستخلاص المهارات المطلوبة، وبناء ملفات شخصية رقمية مفصلة ومقنعة قادرة على خداع فرق التوظيف.

من جهة أخرى، تقوم المجموعة بإجراء أبحاث معمقة حول الشركة المستهدفة، وتطابق لغة المنشور الوظيفي، وتقدم طلبات تبدو احترافية ومصممة خصيصًا لتجنب الشكوك. هذا النهج المنظم يميزها عن الهجمات العشوائية.

كيفية عمل Jasper Sleet عبر منصات الموارد البشرية

يبرز الجانب الأكثر إثارة للقلق في النهج الذي تتبعه “Jasper Sleet” مدى استغلالهم لسير العمل داخل برامج إدارة الموارد البشرية. فيما يتعلق بمرحلة ما قبل التوظيف، لاحظت مايكروسوفت أن المجموعة تقوم بإجراء استدعاءات برمجية لواجهات برمجة التطبيقات (APIs) الخاصة بخدمات التوظيف في “Workday”، والتي يمكن الوصول إليها عبر مواقع التوظيف الخارجية.

ساهمت هذه الاستدعاءات في جمع معلومات حول الوظائف الشاغرة، الطلبات المقدمة، والاستبيانات. وتشير أنماط استدعاءات واجهات برمجة التطبيقات المشبوهة المرصودة، والتي تنبع من بنية تحتية معروفة لمجموعة “Jasper Sleet”، إلى وجود نشاط غير اعتيادي.

ما يميز هذا النشاط عن آليات الباحثين عن عمل العاديين هو التكرار. فقد رصدت مايكروسوفت استخدام المجموعة لحسابات خارجية متعددة للوصول إلى نفس واجهات برمجة التطبيقات بأنماط متسقة ومتكررة. هذا السلوك لا يتماشى مع كيفية تفاعل المتقدم الطبيعي مع بوابة التوظيف.

خلال مرحلة التوظيف، تتواصل “Jasper Sleet” مع فرق التوظيف عبر البريد الإلكتروني وأدوات مؤتمرات الفيديو مثل “Microsoft Teams” و”Zoom” و”Cisco Webex”. بعد التعيين، يقوم المخترق بتسجيل الدخول إلى حساب “Workday” الجديد وتحديث تفاصيل كشوف الرواتب من عناوين IP معروفة مرتبطة بالمجموعة، مما يسمح بتتبع نشاط ما بعد الانضمام.

بمجرد الحصول على الوظيفة، تكمل المجموعة خطوات التأهيل الروتينية، وتقوم بإعداد حسابات لدفع الرواتب، وتكتسب الوصول إلى الأدوات الداخلية مثل “Microsoft Teams”، “SharePoint”، “OneDrive”، و”Exchange Online”.

تزايد التنبيهات الأمنية

بحسب مايكروسوفت، فقد لوحظت زيادة في تنبيهات “السفر المستحيل” المرتبطة بالموظفين الجدد خلال الأشهر الأولى بعد بدء العمل، مما يشير إلى سلوكيات مريبة للموظفين التقنيين عن بعد. يمكن للمجموعة بعد ذلك التحرك بحرية داخل البيئة السحابية للمؤسسة، والوصول إلى الملفات الحساسة، وفي بعض الحالات، تنفيذ عمليات سرقة بيانات أو ابتزاز.

تبدو نطاق هذه التهديدات أوسع مما قد يبدو. فمجموعة “Jasper Sleet” لا تستهدف نوعًا واحدًا من الشركات، بل إن أي مؤسسة توظف عمالًا عن بعد وتستخدم منصات ربط للموارد البشرية بالبيئة السحابية تكون معرضة للخطر. وقد نشرت مايكروسوفت هذه الأبحاث لمساعدة فرق الأمن والموارد البشرية على اكتشاف المرشحين المشبوهين في وقت مبكر، قبل منحهم أي صلاحية وصول.

توصيات لتخفيف المخاطر

توصي مايكروسوفت باتخاذ عدة خطوات لتقليل التعرض لهذا التهديد. يتوجب على فرق الأمن والموارد البشرية العمل معًا بشكل وثيق، حيث يجمع هذا التكتيك بين وظيفتي الفريقين بطريقة لا يمكن لأحدهما معالجتها بمفرده.

ينصح بتفعيل الموصلات في “Microsoft Defender for Cloud Apps” للحصول على رؤية واضحة لأنشطة “Workday”، “DocuSign”، “Zoom”، و”Cisco Webex”. تتيح هذه الموصلات لفرق الأمن رصد أحداث واجهات برمجة التطبيقات، ومراقبة نشاط الحسابات الخارجية، ومقارنة عناوين IP المشبوهة مع مصادر معلومات التهديدات.

يجب الإبلاغ عن أي أحداث تتعلق بالموظفين الجدد تنبع من بروكسيات مجهولة أو مواقع جغرافية متعددة والتحقيق فيها بسرعة. بالإضافة إلى ذلك، يجب تدريب فرق الموارد البشرية والموظفين على الهندسة الاجتماعية. ينبغي للعاملين المشاركين في عمليات التوظيف أن يكونوا قادرين على التعرف على سلوكيات المقابلات المشبوهة، مثل المرشحين الذين يتجنبون تشغيل الكاميرا، أو يقدمون تفاصيل خلفية متضاربة، أو يبدون إلحاحًا غير عادي بشأن إعدادات الرواتب.

إن اكتشاف هذه العلامات الحمراء في وقت مبكر، قبل الانتهاء من عملية التعيين، هو أكثر فعالية بكثير من اكتشاف التهديد بعد حصول الجهة المعادية على صلاحيات الوصول.

What's Hot

حصار الباحثين والموردين.. معركة متجددة في ظروف استثنائية

مخترقون يستغلون ثغرة بخوادم “إيفرست فورمس برو” للاستيلاء على المواقع

الطبقة الأخيرة بصمود

Jasper Sleet: استراتيجيات قادمة من الظل لاختراق السحابة

كيفية عمل Jasper Sleet عبر منصات الموارد البشرية

قراصنة “فويد دوكايبى” يستخدمون مقابلات عمل وهمية لنشر برمجيات خبيثة عبر مستودعات الأكواد

قراصنة يسرقون جلسات تلغرام عبر سكريبت PowerShell مستضاف على Pastebin

قراصنة يستغلون صفحات “كابتشا” وهمية للاحتيال عبر الرسائل الدولية

مخترقون يستغلون أجهزة راوتر مخترقة لإخفاء عمليات صينية سيبرانية

مخترقو الفدية يطورون أداة خاصة لتسريب البيانات الحساسة

مخترقون يستخدمون روبوتات تيليجرام لرصد أكثر من 900 ثغرة React2Shell ناجحة

مخترقون يستغلون ثغرة بخوادم “إيفرست فورمس برو” للاستيلاء على المواقع

الطبقة الأخيرة بصمود

سيسكو تصلح ثغرة حرجة بالتحديث الرابع للأمن في وحدة الاتصالات الموحدة

عميلك الذكي قد يصبح أكبر تهديد داخلي لك

ثغرة في GitHub Action لـ Claude تسمح لهجمات خبيثة على المستودعات

نشرة التهديدات: عملاء الذكاء الاصطناعي الخارجون عن السيطرة وأدوات C2 المشبوهة وحيل ClickFix وأبواب خلفية لـ JS وأكثر من 20 قصة جديدة

سيسكا تدرج ثغرة ماجنتو ذات الخطورة العالية في قائمتها.

What's Hot

مايكروسوفت: “جاسبر سليت” يستخدم هويات عمال تقنية مزيفة لاختراق البيئات السحابية

Jasper Sleet: استراتيجيات قادمة من الظل لاختراق السحابة

كيفية عمل Jasper Sleet عبر منصات الموارد البشرية

Keep Reading