كشفت تقارير حديثة عن حملة قرصنة تستهدف بشكل مباشر رواتب الموظفين، حيث نجحت مجموعة تهديد تعرف باسم “Storm-2755” في اختراق أنظمة التحويلات المالية وإعادة توجيه مدفوعات الرواتب إلى حسابات بنكية يعود ملكيتها للمهاجمين.
تستخدم هذه المجموعة تقنيات متقدمة تعرف باسم “adversary-in-the-middle” (AiTM) أو “الخبير في المنتصف”، مما يسمح لها بالتحكم في جلسات المستخدمين الشرعية وتجاوز آليات التعريف متعددة العوامل (MFA)، مما يفتح الباب أمام ما يصفه الخبراء بـ “هجمات قراصنة الرواتب”.
حملة “Storm-2755” تستهدف الموظفين في كندا
بدأت حملة “Storm-2755” بأساليب خبيثة تعتمد على تسميم محركات البحث والإعلانات الضارة. حيث قامت المجموعة بالترويج لنطاق إلكتروني وهمي، يبدو مطابقاً للنطاق الرسمي لـ “Office 365” وهو bluegraintours[.]com، ونجحت في دفعه إلى أعلى نتائج البحث تحت عبارات مثل “Office 365” أو حتى التهجئة الخاطئة الشائعة “Office 265”.
الموظفون الذين يقعون ضحية لهذه الخدعة ويضغطون على الروابط المشبوهة، يصلون إلى صفحة تسجيل دخول مزيفة تبدو وكأنها تابعة لـ “Microsoft 365” بامتياز. بمجرد إدخال بيانات اعتمادهم، يقوم المهاجمون بالتقاط كلمة المرور ورمز جلسة المستخدم النشط في الوقت الفعلي، مما يمنحهم وصولاً كاملاً إلى الحساب دون تفعيل أي إنذار للمصادقة متعددة العوامل.
وقد لفت باحثو مايكروسوفت الانتباه إلى نقطة ملحوظة في استهداف هذه الحملة. فبخلاف معظم المجموعات التي تركز على قطاعات صناعية معينة، تستهدف “Storm-2755” الموظفين الكنديين بشكل عام عبر كافة القطاعات، مستخدمة عبارات بحث غير مرتبطة بصناعة محددة لزيادة نطاق وصولها.
هذا النهج يجعل اكتشاف الحملة عبر المعلومات الاستخباراتية المتخصصة بقطاع معين أكثر صعوبة. ومع ذلك، فإن التقارير الجديدة تشير إلى أن اختراق رواتب الموظفين قد تجاوز مجرد الحصول على بيانات الاعتماد.
الوصول إلى بيانات الرواتب
بعد الدخول إلى حساب الموظف المخترق، تبدأ “Storm-2755” بالبحث بهدوء داخل صناديق البريد الإلكتروني عن كلمات مفتاحية تتعلق بالموارد البشرية والرواتب. ثم يقوم المهاجمون بإرسال رسائل بريد إلكتروني من حساب الضحية نفسه إلى موظفي الموارد البشرية، يطلبون فيها تغيير تفاصيل الإيداع المباشر – وهي خطوة هندسة اجتماعية تبدو كطلب روتيني تماماً للمستلم.
وحين لا يكفي التلاعب عبر البريد الإلكتروني وحده، يقوم المهاجمون بالدخول يدوياً إلى منصات الموارد البشرية مثل “Workday” باستخدام الجلسة المسروقة، ويقومون بتغيير تفاصيل الحساب المصرفي مباشرة، مما يؤدي إلى تحويل مدفوعات الرواتب إلى حسابات يعود ملكيتها للمهاجمين.
آلية الهجوم المتقدمة
ما يميز حملة “Storm-2755” عن مجموعات التصيد الاحتيالي القديمة هو العمق التقني لطريقة “adversary-in-the-middle” المستخدمة. فبدلاً من مجرد سرقة كلمات المرور، تقوم هجمات AiTM بتمثيل تدفق المصادقة الكامل بين الضحية وخدمة تسجيل الدخول الخاصة بمايكروسوفت.
عندما يقوم الضحية بتسجيل الدخول، يعترض المهاجم كلاً من “cookie” الجلسة ورمز “OAuth” للوصول. وبما أن هذه العناصر تمثل جلسة مصادقة كاملة، يمكن إعادة استخدامها للوصول إلى خدمات مايكروسوفت دون الحاجة إلى أي تحقق إضافي من بيانات الاعتماد أو تحدي MFA.
تستخدم “Storm-2755” الإصدار 1.7.9 من عميل HTTP المدعو Axios لإعادة إرسال الرموز الملتقطة إلى بنيتها التحتية. تظهر سجلات تسجيل الدخول أن Axios قامت بتسجيلات دخول غير تفاعلية إلى OfficeHome تقريباً كل 30 دقيقة، مما يبقي الجلسات فعالة دون اكتشاف واضح.
كما أشارت التقارير إلى وجود ثغرة معروفة في هذه المكتبة، CVE-2025-27152، والتي قد تؤدي إلى مخاطر تزوير الطلبات من جانب الخادم (SSRF)، ويبدو أن المجموعة تستغلها ضمن تدفق إعادة الإرسال هذا. ويتم الحرص على تجديد الجلسات المسروقة في وقت مبكر من الصباح حسب المنطقة الزمنية للضحية لتجنب إثارة حدث إعادة المصادقة.
بعد حوالي 30 يوماً من عدم النشاط، تنتهي صلاحية الرموز المسروقة بشكل طبيعي، ولكن في بعض الحالات، كان المهاجمون قد قاموا بالفعل بإعادة تعيين كلمات المرور وإعدادات MFA للحسابات للحفاظ على الوصول لفترة طويلة بعد الاختراق الأولي.
توصيات أمنية
تنصح المنظمات بشدة بإلغاء توكنات الوصول المخترقة فوراً، وإزالة قواعد البريد الإلكتروني الخبيثة، وإعادة تعيين بيانات الاعتماد ووسائل المصادقة متعددة العوامل لأي حسابات متضررة. يوصى بتطبيق المصادقة متعددة العوامل المقاومة للتصيد الاحتيالي، مثل مفاتيح أمان FIDO2، حيثما أمكن، لأنها مصممة خصيصًا لمنع سرقة رموز AiTM.
يجب تكوين سياسات الوصول المشروط (Conditional Access policies) للحد من عمر الجلسات وتطلب إعادة المصادقة عند تغيير إشارات المخاطر. كما يجب تفعيل تقييم الوصول المستمر (Continuous Access Evaluation – CAE) لضمان فقدان الرموز المسروقة لقيمتها بسرعة بعد اكتشاف حالة خطر.
ينبغي لفرق الأمن أيضًا إعداد تنبيهات لإنشاء قواعد بريد إلكتروني مشبوهة، وإجراء تدقيق منتظم لمنصات الموارد البشرية كـ Workday بحثًا عن أي تغييرات غير مصرح بها في معلومات الحسابات المصرفية أو المدفوعات.