حذّرت شركة Varonis المتخصصة في الأمن السيبراني من حملة تصيّد إلكتروني استغل فيها المهاجمون ميزة Direct Send في خدمة Microsoft 365 لإرسال رسائل مُزيّفة تظهر وكأنها صادرة من داخل المؤسسة المستهدفة، متجاوزة بذلك أنظمة الحماية التقليدية للبريد الإلكتروني.
وتُعد ميزة Direct Send جزءاً من خدمة Exchange Online، حيث تسمح للتطبيقات والأجهزة بإرسال رسائل بريد إلكتروني ضمن نطاق المؤسسة (الـ Tenant) دون الحاجة للمصادقة، معتمدة على ما يُعرف بـ “المضيف الذكي” (Smart Host).
وأوضحت Varonis أن المهاجمين استغلوا غياب المصادقة في هذه الميزة لإرسال رسائل مُزيّفة تتجاوز أنظمة الحماية، من دون الحاجة لاختراق أي حساب فعلي داخل المؤسسة المستهدفة.
وبسبب الطبيعة المتوقعة لعناوين المضيف الذكي، يحتاج المهاجم فقط إلى معرفة نطاق المؤسسة ووجود مستلم صحيح ضمنها، ليتمكّن من استغلال إعدادات Direct Send وإرسال رسائل التصيّد، “دون الحاجة لتسجيل الدخول أو التفاعل مع بنية المؤسسة”، بحسب ما ذكرته Varonis.
وفي الحملة التي رصدتها الشركة، قَبِل المضيف الذكي رسائل واردة من مصادر خارجية، ما مكّن المهاجمين من استخدام أوامر PowerShell لإرسال الرسائل المُزيّفة.
وبيّنت Varonis أن مرور هذه الرسائل عبر بنية Microsoft التحتية وظهورها وكأنها صادرة من داخل المؤسسة، يتيح لها تجاوز أنظمة الحماية التقليدية للبريد الإلكتروني بسهولة.
وفي إحدى الحالات التي تم رصدها، جاءت الرسائل على هيئة إشعارات بريد صوتي، وكانت تحتوي على ملف PDF يتضمن رمز استجابة سريع (QR Code) يُوجّه المستلمين إلى صفحة تصيّد تُحاكي واجهة تسجيل الدخول في Microsoft 365.
وأضافت الشركة:
“الرسائل كانت صادرة من عنوان IP خارجي، وفشلت في اجتياز اختبارات SPF وDMARC، كما افتقرت لتوقيعات DKIM، ومع ذلك تم قبولها وتوزيعها داخلياً عبر المضيف الذكي. هذه الحالة تُعد مثالاً واضحاً على كيفية استغلال ميزة Direct Send إذا تُركت بدون حماية”.
ولتفادي هذا النوع من الهجمات، توصي Varonis باتخاذ الإجراءات التالية:
- تفعيل خيار Reject Direct Send من مركز إدارة Exchange
- فرض سياسات صارمة لبروتوكول DMARC وضوابط حماية البريد الإلكتروني
- توعية الموظفين بمخاطر التصيّد، خصوصاً الرسائل المرفقة برموز QR
- تطبيق المصادقة متعددة العوامل (MFA)
- إضافة عنوان IP ثابت في سجل SPF للحد من مخاطر الاستغلال
- وللكشف عن أي استغلال محتمل لميزة Direct Send، يجب على المؤسسات:
- مراجعة رؤوس رسائل البريد الإلكتروني لرصد عناوين خارجية مُرسلة إلى المضيف الذكي
- تحليل حالات فشل بروتوكولات SPF وDKIM وDMARC
- التحقق من وجود المضيف الذكي في سجل SPF الخاص بالمؤسسة
