كشف باحثون في شركة Permiso عن موجة جديدة من هجمات التصيد استهدفت مستخدمي Microsoft Teams، حيث أنشأ المهاجمون حسابات وهمية تنتحل صفة موظفي دعم فني تحت أسماء مثل “IT SUPPORT” و”Help Desk”، وأحيانا مع رموز تحقق مزيفة لزيادة المصداقية. الهدف من هذه الحملات هو إقناع الموظفين بتحميل أدوات وصول عن بعد مثل QuickAssist وAnyDesk، ما يمنح المهاجمين قدرة مباشرة على التحكم في أجهزة الشركات. الباحثون أكدوا أن انتشار Teams كمنصة تواصل أساسية منذ إطلاقها عام 2017 جعلها هدفا جذابا للهجمات، خاصة مع ميل الموظفين لافتراض موثوقية المحادثات الداخلية.
السيطرة على الأجهزة المستهدفة ونشر برمجيات خبيثة لسرقة بيانات الاعتماد
بمجرد نجاح المهاجمين في إقناع الموظف بتنصيب البرامج، يحصلون على تحكم كامل بالجهاز، ويستخدمون هذا الوصول لنشر برمجيات خبيثة قادرة على سرقة بيانات الدخول، تثبيت أدوات إضافية، وإنشاء آليات استمرارية لضمان بقاء السيطرة على الأنظمة. حملات سابقة مشابهة رُصدت في مايو 2024 ارتبطت بعمليات BlackBasta للفدية، أما الحالات الأحدث فقد استخدمت برمجيات مثل DarkGate وMatanbuchus loader. في إحدى الوقائع، أظهر سكربت PowerShell تم تحميله من نطاق خبيث قدرة على سرقة بيانات الاعتماد، وإعداد قنوات اتصال مشفرة مع خوادم تحت سيطرة المهاجمين.
مجموعة EncryptHub تقف خلف الهجمات وتستغل الثقة في قنوات الاتصال الداخلية
التحقيقات نسبت هذه الأنشطة إلى مجموعة EncryptHub (المعروفة أيضاً باسم LARVA-208 أو Water Gamayun) ذات الدوافع المالية. هذه المجموعة اشتهرت سابقا بدمج الهندسة الاجتماعية مع ثغرات يوم الصفر وتطوير برمجيات خبيثة مخصصة. استهدفت في عملياتها السابقة موظفي تقنية المعلومات والمطورين ومجتمعات Web3 الناطقة بالإنجليزية. ورغم حرفية أساليبها، أشار الباحثون إلى نقطة ضعف تشغيلية واضحة: إعادة استخدام ثوابت تشفير عبر حملات مختلفة، ما يتيح للمدافعين تتبع أدواتها البرمجية على المدى الطويل.
وحذرت Permiso من أن استغلال Microsoft Teams يوفر للمهاجمين وسيلة لتجاوز دفاعات البريد الإلكتروني التقليدية والتسلل إلى بيئات العمل عبر قنوات يُفترض أنها موثوقة. الخبراء دعوا فرق الأمن إلى مراقبة الأنشطة غير المألوفة في Teams، خصوصا الرسائل من حسابات خارجية قد تخفي محاولات للهندسة الاجتماعية.
