يكشف تقرير جديد صدر مؤخرًا عن تزايد اعتماد الجهات الخبيثة على منصات سحابية وشبكات توصيل محتوى (CDN) مرموقة لاستضافة أدوات التصيد الاحتيالي، مما يمثل تحديات جسيمة أمام فرق الأمن السيبراني في اكتشاف هذه الهجمات.
يستخدم المهاجمون البنية التحتية الشرعية لشركات تقنية كبرى مثل جوجل ومايكروسوفت أزور، بالإضافة إلى AWS CloudFront. هذا التوجه يهدف إلى تجاوز أنظمة الحماية التقليدية التي غالباً ما تعتمد على اكتشاف النطاقات المشبوهة حديثة التسجيل.
تحديات اكتشاف حملات التصيد الاحتيالي السحابية
تبدو هذه الهجمات خادعة للغاية، حيث تستخدم أسماء نطاقات مألوفة وموثوقة لدى المستخدمين. هذا يجعل المستخدمين أكثر عرضة للوقوع في فخ إدخال بياناتهم الحساسة، لاسيما كلمات المرور الخاصة بحساباتهم.
من جهة أخرى، تواجه أدوات مراقبة الشبكات صعوبة في تمييز هذه الأنشطة. يعود السبب إلى أن حركة البيانات تبدو طبيعية، حيث يتم تحميل محتوى HTML عادي من خدمات سحابية راسخة، بدلاً من الارتباط بأنماط حركة بيانات مشبوهة.
أشارت الأبحاث إلى أن هذه التقنية تستهدف بشكل خاص مستخدمي الشركات. يتم استبعاد رسائل البريد الإلكتروني المجانية للتركيز على سرقة بيانات الاعتماد من البيئات المؤسسية.
أمثلة على استغلال المنصات السحابية
أبرز الباحثون في Any.Run Sandbox أنماطًا متزايدة لاستغلال هذه المنصات. كشف التحليل عن أن مجموعة أدوات التصيد “Tycoon” تعمل عبر Microsoft Azure Blob Storage، مستخدمة نطاقًا فرعيًا مرتبطًا بشركة مايكروسوفت.
في سياق متصل، تم رصد مجموعة أدوات “Sneaky2FA” تعمل على Firebase Cloud Storage و AWS CloudFront. تهدف هذه المجموعة إلى سرقة بيانات الاعتماد الخاصة بحسابات Microsoft 365 عبر صفحات تسجيل دخول مزيفة.
إضافة إلى ذلك، تستخدم مجموعة أدوات “EvilProxy” منصة Google Sites لاستضافة صفحاتها الضارة، مما يزيد من صعوبة الاكتشاف.
مواجهة التهديدات الجديدة
تكتشف فرق الأمن السيبراني هذه التهديدات بشكل متزايد. تتطلب الطبيعة الجديدة لهذه الهجمات اللجوء إلى أساليب تحليل سلوكية متقدمة بدلاً من الاعتماد على قوائم حجب النطاقات التقليدية.
يجب على المنصات الأمنية فحص تفاعل المستخدمين مع هذه الصفحات المستضافة سحابيًا وتحديد الأنماط المشبوهة بشكل فوري. الهدف هو تقليل الوقت اللازم لاكتشاف الهجوم والاستجابة له.
تنصح الشركات بتطبيق أدوات استخبارات التهديدات التي تبحث عن أنماط الاستغلال على منصات Microsoft Azure Blob Storage و Firebase Cloud Storage و Google Sites. من المؤشرات المتعلقة بالتهديدات، يمكن رصد نطاقات فرعية مثل mphdvh[.]icu و kamitore[.]com.