كشف باحثو شركة Check Point للأبحاث، بالتعاون مع شركة الأمن السيبراني الصناعي Otorio، عن حملة تصيد إلكتروني واسعة بدأت في أغسطس من العام الماضي، تستهدف تجاوز نظام الحماية المتقدم للتهديدات (ATP) في Microsoft Office 365، وسرقة بيانات اعتماد أكثر من ألف موظف في شركات عالمية، خاصة في قطاعات الطاقة والبناء.
على الرغم من أن حملات التصيد المصممة لسرقة بيانات الاعتماد تعد من أكثر أسباب انتهاكات البيانات شيوعًا، إلا أن ما يميز هذه الحملة هو وجود خلل أمني تشغيلي أدى إلى تعريض بيانات الاعتماد المسروقة بشكل غير مقصود على الإنترنت بشكل علني.
وأوضح الباحثون أن “أي شخص كان بإمكانه من خلال بحث بسيط على محرك Google العثور على كلمات مرور مرتبطة بعناوين البريد الإلكتروني المسروقة، مما يشكل فرصة ثمينة للمهاجمين الانتهازيين”.
ويأتي هذا الكشف في ظل تزايد الهجمات الإلكترونية التي تستهدف سرقة بيانات الاعتماد، مما يستدعي تعزيز الإجراءات الأمنية لمنع وقوع تسريبات مماثلة وحماية المؤسسات من الاختراقات.
بدأت سلسلة الهجمات بحملة تصيد تستخدم إشعارات مزيفة تحمل اسم “Xerox” أو “Xeros”، تتضمن مرفقًا بملف HTML يدعو المستلمين عند فتحه إلى إدخال كلمات مرور Office 365 على صفحة تسجيل دخول مزيفة.
وبحسب الباحثين، يتم جمع بيانات الاعتماد التي يُدخلها المستخدمون وإرسالها بشكل تلقائي إلى خادم بعيد عبر ملف نصي.
كما لاحظ الفريق استخدام كود جافا سكريبت متطور يضمن استمرار تسريب بيانات الاعتماد، مع تقنيات متقدمة تهدف إلى التهرب من الكشف بواسطة معظم برامج مكافحة الفيروسات، بالإضافة إلى خلق تجربة مستخدم واقعية تخدع الضحايا وتدفعهم لتزويد المهاجمين بمعلومات تسجيل الدخول الخاصة بهم
استفادت حملة التصيد من مزيج من البنية التحتية المتخصصة وخوادم WordPress المخترقة، التي استُخدمت كـ “منطقة قطرة” لتخزين بيانات الاعتماد المسروقة.
وقد سمح استخدام هذه المواقع الإلكترونية المخترقة، ذات السمعة الجيدة، للمهاجمين بتجاوز أنظمة الأمان بسهولة أكبر.
كما أن تخزين بيانات الاعتماد في ملفات نصية محددة على هذه الخوادم جعلها عرضة للفهرسة من قبل محركات البحث مثل “غوغل”، ما يتيح لأي جهة خبيثة العثور على كلمات المرور بسهولة من خلال بحث بسيط.
وبحسب تحليل الباحثين لرؤوس رسائل البريد الإلكتروني المستخدمة في الحملة، تبين أن الرسائل أُرسلت من خادم يعمل بنظام Linux ومستضاف على منصة Microsoft Azure، باستخدام أداة PHP Mailer الإصدار 6.1.5، وتم توصيلها عبر خوادم البريد الإلكتروني التابعة لشركة 1&1 IONOS.
أكد الباحثون أن المهاجمين استخدموا على الأرجح بيانات اعتماد حسابات IonOS المخترقة لإرسال باقي رسائل البريد العشوائي تحت عنوان Office 365، مما يعكس مدى تعقيد الحملة وتنسيقها.
وللحد من مثل هذه التهديدات، حث الخبراء المستخدمين على توخي الحذر عند التعامل مع رسائل البريد الإلكتروني من مرسلين غير معروفين، والانتباه إلى المجالات المشابهة والأخطاء الإملائية في الرسائل أو المواقع الإلكترونية، بالإضافة إلى الامتناع عن النقر على الروابط المشبوهة، والحفاظ على قوة وصحة كلمات المرور لتأمين الحسابات.
وقال لوتم فينكلستين، رئيس قسم التهديدات في شركة Check Point: “غالبًا ما نعتقد أن سرقة كلمات المرور تؤدي إلى استخدامها ضمن شبكات سرية ومغلقة على الإنترنت، لكن في هذه الحالة، كان الوصول إلى المعلومات المسروقة متاحًا للعامة.”
وأضاف: “استخدم المهاجمون استراتيجية تخزين البيانات المسروقة على صفحات ويب محددة أنشأوها بأنفسهم، ما سمح لهم بعد انتهاء حملات التصيد بمسح الخوادم المخترقة وجمع بيانات الاعتماد المسروقة بسهولة.”
هذا الكشف يعكس خطورة التهديدات السيبرانية الحديثة، ويؤكد أن حماية المعلومات تتطلب يقظة مستمرة وتحديثًا دائمًا لإجراءات الأمان، إذ يمكن أن تتحول أبسط الثغرات إلى بوابات واسعة لاختراق خصوصيات الأفراد والمؤسسات على حد سواء.
