Breaking News
القائمة
Advertisement

قراصنة يستغلون Microsoft Teams لنشر برمجية Edgecution الخبيثة واختراق الشركات

قراصنة يستغلون Microsoft Teams لنشر برمجية Edgecution الخبيثة واختراق الشركات

يستغل قراصنة مرتبطون بعصابة برمجيات الفدية Payouts King منصة Microsoft Teams لاختراق شبكات الشركات وبيع إمكانية الوصول لمجرمي إنترنت آخرين. ومن خلال انتحال صفة موظفي قسم دعم تقنية المعلومات، يخدع المهاجمون الموظفين لتثبيت إضافة خبيثة لمتصفح Microsoft Edge تتجاوز تماماً بيئة الحماية المعزولة (Sandbox) القياسية للمتصفح. وتسلط هذه الحملة الضوء على اتجاه متزايد بين وسطاء الوصول الأولي لاستغلال قنوات الاتصال الداخلية الموثوقة لتأسيس موطئ قدم قبل نشر برمجيات الفدية الشاملة.

يبدأ الهجوم برسالة مباشرة عبر تطبيق Microsoft Teams من حساب ينتحل صفة قسم تقنية المعلومات في المؤسسة. وتطلب الرسالة بشكل عاجل من المستخدم تثبيت "تحديث لفلتر البريد المزعج". وبمجرد نقر الضحايا على الرابط المرفق، يتم توجيههم إلى موقع ويب مزيف شديد الشبه بمواقع شركة Microsoft. وتستخدم هذه البوابة سلسلة من الأزرار الخادعة لفرض تثبيت البرمجية الخبيثة، وتطلب في النهاية من المستخدم تسليم كلمات مرور حسابات Microsoft 365 وتطبيق Outlook.

وبحسب باحثي الأمن السيبراني في شركة Zscaler، يستخدم المهاجمون "آلية مبتكرة لتوصيل البرمجيات الخبيثة" أُطلق عليها اسم Edgecution. وتستغل إضافة متصفح Microsoft Edge الخبيثة بروتوكول المراسلة الأصلية في متصفح Chrome للتفاعل مباشرة مع التطبيقات الأساسية للنظام المضيف. ومن خلال إساءة استخدام هذه الواجهة، ينجح المهاجمون في الهروب من قيود البيئة المعزولة للمتصفح، مما يمنحهم وصولاً مباشراً للنظام يتيح لهم التلاعب بنظام الملفات المحلي، وتشغيل العمليات، وتنفيذ تعليمات برمجية عشوائية (RCE) على الجهاز المخترق.

كيفية الحماية من برمجية Edgecution الخبيثة

  • مراقبة تثبيت الإضافات: تطبيق سياسات صارمة لتتبع وتقييد جميع إضافات المتصفح (Browser Extensions) عبر شبكة الشركة.
  • تقييد المراسلة الأصلية: فرض ضوابط صارمة على تكوينات مضيف المراسلة الأصلية لمنع الإضافات غير المصرح بها من التفاعل مع ملفات النظام المحلية.
  • تحديث التدريب الأمني: توعية الموظفين للتعرف على تكتيكات الهندسة الاجتماعية (Social Engineering)، وتحديداً هجمات إغراق البريد المزعج والتصيد الصوتي، والتحقق من أي تحديثات إدارية عبر قناة اتصال ثانوية.

انتقال التصيد الاحتيالي إلى قنوات الاتصال الداخلية

إن الجانب الأكثر إثارة للقلق في حملة عصابة Payouts King ليس مجرد الهروب من البيئة المعزولة، بل استغلال منصة Microsoft Teams. لسنوات طويلة، ركزت برامج التدريب الأمني للشركات بشكل مكثف على التصيد الاحتيالي عبر البريد الإلكتروني، مما عوّد الموظفين على التدقيق في هويات المرسلين الخارجيين. ومع ذلك، تحمل منصات الدردشة الداخلية مستوى ضمنياً من الثقة؛ فرسالة تبدو وكأنها واردة من مكتب مساعدة تقنية المعلومات عبر تطبيق Teams نادراً ما تثير نفس القدر من الشك.

يثبت مسار الهجوم هذا أن وسطاء الوصول الأولي يتكيفون مع أنظمة حماية البريد الإلكتروني المعززة من خلال الانتقال أفقياً إلى مساحات العمل التعاونية. ويجب على المؤسسات توسيع نطاق بنية نموذج انعدام الثقة (Zero Trust) لتشمل الاتصالات الداخلية، والتعامل مع مطالبات تطبيق Teams بنفس مستوى الشك المطبق على رسائل البريد الإلكتروني الخارجية غير المرغوب فيها. وإذا لم تضع أقسام تقنية المعلومات بروتوكولات واضحة وقابلة للتحقق لتحديثات البرامج، فستستمر عصابات برمجيات الفدية في استغلال هذه الثغرة البشرية.

هل أعجبك هذا المقال؟
Advertisement

عمليات البحث الشائعة