شنت جهات إجرامية سيبرانية حملة رسائل بريدية احتيالية منظمة تستغل البنية التحتية الموثوقة لمنصة Atlassian Cloud. تهدف هذه الحملة إلى توجيه الضحايا نحو مخططات استثمارية احتيالية، مستفيدة من الثقة المرتبطة بمزودي الخدمات السحابية المعروفين لخداع المستخدمين.
تستهدف الهجمات بشكل خاص الجهات الحكومية والمؤسسات التجارية في مناطق متعددة، وتشمل جمهوراً يتحدث باللغات الإنجليزية والفرنسية والألمانية والإيطالية والبرتغالية والروسية. بدلاً من الرسائل العشوائية، يتم تخصيص هذه الرسائل لتناسب كل مجموعة لغوية، والغرض النهائي هو توجيه حركة المرور إلى صفحات هبوط خبيثة عبر نظام Keitaro TDS، بهدف تحقيق عائدات من خلال الاحتيال والإعلانات غير المشروعة.
استغلال Atlassian Cloud في حملات البريد الاحتيالي
تُعد البنية التحتية الموثوقة لمنصة Atlassian Cloud الهدف الرئيسي للمهاجمين في هذه الحملات، حيث تتيح لهم تجاوز ضوابط الأمان التقليدية للبريد الإلكتروني. وبحسب الباحثين في Trend Micro، برز هذا النشاط بشكل لافت بين أواخر ديسمبر 2025 ويناير 2026.
من خلال العمل عبر خدمات سحابية راسخة ذات سمعة قوية للمجال، يضمن المهاجمون أن رسائلهم تمر عبر فحوصات المصادقة القياسية مثل Sender Policy Framework (SPF) و DomainKeys Identified Mail (DKIM). هذا يجعل اكتشافها أصعب بكثير بالنسبة لمرشحات الأمان التقليدية، التي تعطي غالباً الأولوية للإشعارات من منصات SaaS الموثوقة.
وتُظهر الحملة مستوى عالٍ من الأتمتة، مما يسمح للمتسللين بتوسيع نطاق عملياتهم بسرعة. يقومون بإنشاء مثيلات متعددة من Atlassian لتوزيع رسائلهم، مما يضمن استمرار عمل مثيلات أخرى حتى لو تم حظر إحداها. وهذا يعكس القدرة المتطورة للمجرمين السيبرانيين على الانتفاع من الأدوات المشروعة لتنفيذ أنشطة خبيثة دون إثارة إنذارات فورية.
آلية استغلال البنية التحتية
يكمن جوهر هذه الحملة في سهولة توفير المهاجمين لبنية تحتية قابلة للتصرف لتسهيل هجماتهم. يبدأ المهاجمون العملية بإنشاء حسابات Atlassian Cloud بأسماء عشوائية، مما يمكنهم من إنشاء مثيلات Jira Cloud متعددة دون الحاجة إلى التحقق من ملكية المجال.
تحل هذه المثيلات محل عناوين IP تابعة لـ AWS مشتركة مع عمليات نشر صالحة، مما يزيد من إخفاء الطبيعة الخبيثة للنشاط. يعتمد المهاجمون على الثقة المتأصلة في رسائل البريد الإلكتروني الصادرة من Atlassian بدلاً من تعزيز الشرعية من خلال تسجيل المجال. بمجرد إنشاء البنية التحتية، يستخدم المهاجمون ميزة Jira Automation لبناء وإرسال رسائل بريد إلكتروني مصممة خصيصًا.
تسمح هذه الطريقة لهم بتسليم الرسائل مباشرة عبر نظام البريد الإلكتروني المدمج في Atlassian، مما يلغي الحاجة إلى خوادم بريد خاصة بهم. لا يحتاج المستلمون إلى أن يكونوا مستخدمين مسجلين ضمن المثيل، مما يسمح بتوزيع واسع النطاق دون الكشف عن الهوية الحقيقية للمهاجم أو بنيته التحتية.
ينصح الخبراء المؤسسات بإعادة تقييم افتراضات الثقة المتعلقة بالرسائل البريد الإلكتروني الصادرة من طرف ثالث والتي يتم إنشاؤها عبر السحابة لمنع مثل هذه الانتهاكات. كما تُنصح فرق الأمن بتطبيق حلول أمان بريد إلكتروني متقدمة توفر كشفاً متعدد الطبقات وضوابط تتعرف على هوية المرسل. هذه الإجراءات ضرورية لتحديد وحظر محاولات التصيد الاحتيالي التي تستغل منصات SaaS الموثوقة.