مهاجمون يستغلون مايكروسوفت تيمز و "كويك أسيست" في هجوم انتحالي جديد

كشفت تقارير أمنية حديثة عن موجة هجمات إلكترونية متطورة تستغل منصة Microsoft Teams لانتحال هوية موظفي الدعم الفني، بهدف خداع الموظفين ومنح المهاجمين صلاحيات وصول عن بعد إلى أنظمتهم. يعتمد هذا النوع من الهجمات على أدوات التعاون الموثوقة للتسلل إلى شبكات الشركات.

تعتمد هذه الحملة الخبيثة على تكتيكات جديدة تستغل الثقة المباشرة بين المستخدم وأدوات العمل اليومية. يبدأ المهاجمون بإرسال رسالة عبر Microsoft Teams، متنكرين بصفة موظف دعم فني داخلي، وذلك من حساب Microsoft خارجي.

ونظراً لأن الرسالة تصل عبر منصة مألوفة، يميل الموظفون إلى تجاهل التحذيرات الأمنية المعتادة. يتابع المهاجم بإقناع الضحية بتجاوز إشعارات الاتصال الخارجية والقبول بجلسة مساعدة عن بعد عبر أداة Microsoft Quick Assist.

وبمجرد تأكيد هذه الخطوة، يحصل المهاجم على تحكم كامل في جهاز الضحية، وغالباً ما يتم ذلك في غضون دقيقة واحدة. هذه الطريقة تمكنهم من تجاوز معظم إجراءات الأمان التقليدية.

ثغرات جديدة في عمليات انتحال هوية الدعم الفني عبر Microsoft Teams

أشار محللو Microsoft Defender Security Research إلى أن هذه الحملة تعتمد بشكل كامل على قرارات المستخدمين البشرية، بدلاً من استغلال ثغرات برمجية تقليدية. ما يجعلها خطيرة هو قدرتها على الاندماج ضمن الأنشطة الروتينية، مما يصعب اكتشافها دون تحليل دقيق للسجلات.

تبدأ مرحلة ما بعد الاختراق بسرعة. في غضون 30 إلى 120 ثانية من الاستيلاء على النظام، يبدأ المهاجم بتنفيذ أوامر استطلاع سريعة. تشمل هذه الأوامر التحقق من صلاحيات المستخدم، وجمع تفاصيل حول الجهاز، وتقييم اتصال الشبكة.

إذا كان للنظام صلاحيات كافية، يقوم المهاجم بتحميل حمولة خبيثة في مجلدات مثل ProgramData. يتم استخدام تقنية “تحميل جانبي للـ DLL” (DLL side-loading) لتشغيل الشفرة الضارة عبر تطبيقات موقعة رقمياً، مما يمنحها مظهراً شرعياً.

تم رصد أدوات مثل AcroServicesUpdater_x64.exe و ADNotificationManager.exe وهي تقوم بتحميل وحدات برمجية خبيثة من مسارات غير قياسية. هذا يسمح للشفرة الضارة بالتنفيذ تحت هوية تطبيق موثوق به.

ويتجلى الضرر الحقيقي بوضوح عندما يستخدم المهاجمون Windows Remote Management (WinRM) للانتقال إلى أهداف ذات قيمة أعلى، مثل وحدات التحكم بالنطاق (domain controllers). كما استغلوا أداة مزامنة الملفات Rclone لنقل مستندات تجارية حساسة إلى تخزين سحابي خارجي.

كيفية استغلال “تحميل DLL الجانبي” للتحكم المستمر

تعتمد آلية الإصابة الأساسية في هذه الحملة على تقنية “تحميل DLL الجانبي”. تستغل هذه التقنية الطريقة التي تقوم بها أنظمة ويندوز بتحميل مكتبات الدعم للتطبيقات.

عند بدء تشغيل تطبيق شرعي موقع رقمياً، يبحث ويندوز عن ملفات DLL المطلوبة في مواقع مجلدات محددة. يقوم المهاجمون بوضع ملفات DLL الخاصة بهم في نفس المسارات، مما يدفع التطبيق الموثوق به إلى تحميل وتنفيذ الشفرة الضارة دون أن يدرك ذلك.

في هذه الحملة، عملت الوحدات التي تم تحميلها بشكل جانبي كـ “محملات وسيطة”. قامت هذه الوحدات بفك تشفير بيانات الإعداد المخزنة داخل سجلات ويندوز (Windows registry)، بدلاً من كتابة أي شيء مشبوه على القرص الصلب.

تتوافق هذه السلوكيات بشكل وثيق مع أطر العمل المستخدمة في الاختراقات، والتي تعتمد على التخزين في السجل للحفاظ على إعدادات التحكم والسيطرة (C2) المشفرة عبر عمليات إعادة التشغيل ومحاولات الإصلاح.

نظراً لأن هذا النشاط يتم تنفيذه ضمن عملية موثوقة وموقعة من قبل بائع شرعي، فإن أدوات الأمان التقليدية غالباً ما تجد صعوبة في اعتباره نشاطاً خبيثاً.

بمجرد تفعيل قناة التحكم والسيطرة، يبدأ البرنامج المخترق في إرسال حركة مرور HTTPS مشفرة عبر منفذ TCP 443 إلى بنية تحتية سحابية يتحكم بها المهاجمون. هذا يندمج بشكل فعال ضمن نشاط شبكة العمل العادي.

بالإضافة إلى ذلك، قام المهاجمون بتثبيت برامج إدارة عن بعد إضافية كقناة وصول ثانوية. كما استخدموا جلسات WinRM للانتقال جانبياً عبر الشبكة نحو أنظمة الهوية.

يجب على المؤسسات اتخاذ الإجراءات التالية لتقليل التعرض لهذا النوع من الهجمات:

التعامل مع أي اتصال خارجي غير مرغوب فيه عبر Teams من قبل أشخاص يدعون أنهم من قسم تقنية المعلومات بحذر، والتأكد من هويتهم عبر قنوات الاتصال الداخلية المعروفة أولاً.
تقييد استخدام أدوات Quick Assist وأدوات الإدارة عن بعد لتقتصر على الأدوار المعتمدة من قسم تقنية المعلومات فقط.
تفعيل قواعد الحد من سطح الهجوم (ASR) والتحكم في تطبيقات Windows Defender (WDAC) لمنع تحميل DLL الجانبي من مواقع قابلة للكتابة من قبل المستخدمين مثل ProgramData و AppData.
فرض الوصول المشروط الذي يتطلب مصادقة متعددة العوامل (MFA) وأجهزة متوافقة لجميع الجلسات الإدارية.
تفعيل ميزة Safe Links لمنصة Teams وميزة Zero-hour Auto Purge (ZAP) لاكتشاف الرسائل الخبيثة بشكل استباقي.
تقييد استخدام WinRM على محطات العمل الإدارية المعتمدة، ومراقبة استخدام أدوات مثل Rclone أو أدوات مزامنة البيانات المماثلة.
تدريب الموظفين على التعرف على مؤشرات الإيجار الخارجي في Teams، ووضع عبارة تحقق شفهية بين موظفي الدعم الفني والمستخدمين النهائيين.

تابعونا على Google News، LinkedIn، و X للحصول على المزيد من التحديثات الفورية، واجعلوا CSN مصدراً مفضلاً لكم في Google.

What's Hot

حصار الباحثين والموردين.. معركة متجددة في ظروف استثنائية

مخترقون يستغلون ثغرة بخوادم “إيفرست فورمس برو” للاستيلاء على المواقع

الطبقة الأخيرة بصمود

ثغرات جديدة في عمليات انتحال هوية الدعم الفني عبر Microsoft Teams

كيفية استغلال “تحميل DLL الجانبي” للتحكم المستمر

قراصنة “فويد دوكايبى” يستخدمون مقابلات عمل وهمية لنشر برمجيات خبيثة عبر مستودعات الأكواد

قراصنة يسرقون جلسات تلغرام عبر سكريبت PowerShell مستضاف على Pastebin

قراصنة يستغلون صفحات “كابتشا” وهمية للاحتيال عبر الرسائل الدولية

مخترقون يستغلون أجهزة راوتر مخترقة لإخفاء عمليات صينية سيبرانية

مخترقو الفدية يطورون أداة خاصة لتسريب البيانات الحساسة

مخترقون يستخدمون روبوتات تيليجرام لرصد أكثر من 900 ثغرة React2Shell ناجحة

مخترقون يستغلون ثغرة بخوادم “إيفرست فورمس برو” للاستيلاء على المواقع

الطبقة الأخيرة بصمود

سيسكو تصلح ثغرة حرجة بالتحديث الرابع للأمن في وحدة الاتصالات الموحدة

عميلك الذكي قد يصبح أكبر تهديد داخلي لك

ثغرة في GitHub Action لـ Claude تسمح لهجمات خبيثة على المستودعات

نشرة التهديدات: عملاء الذكاء الاصطناعي الخارجون عن السيطرة وأدوات C2 المشبوهة وحيل ClickFix وأبواب خلفية لـ JS وأكثر من 20 قصة جديدة

سيسكا تدرج ثغرة ماجنتو ذات الخطورة العالية في قائمتها.

What's Hot

مهاجمون يستغلون مايكروسوفت تيمز و “كويك أسيست” في هجوم انتحالي جديد

ثغرات جديدة في عمليات انتحال هوية الدعم الفني عبر Microsoft Teams

كيفية استغلال “تحميل DLL الجانبي” للتحكم المستمر

Keep Reading