في عالم الأمن السيبراني المتغير باستمرار، تكشف الأبحاث عن أساليب جديدة يستخدمها المهاجمون لاستغلال الثغرات في الأنظمة. في هذا المقال، نستعرض كيفية استخدام تقنيات إعادة التوجيه المتعددة لسرقة بيانات تسجيل الدخول إلى Microsoft 365.
اكتشاف خبراء تقنية إعادة التوجيه متعددة الطبقات المستخدمة لسرقة بيانات تسجيل الدخول إلى Microsoft 365
كشف باحثو الأمن السيبراني عن تفاصيل حملة تصيد جديدة تخفي الحمولات الضارة من خلال استغلال خدمات تغليف الروابط من Proofpoint وIntermedia لتجاوز الدفاعات.
قال فريق أمان البريد الإلكتروني في Cloudflare: “تم تصميم تغليف الروابط من قبل بائعين مثل Proofpoint لحماية المستخدمين عن طريق توجيه جميع الروابط التي يتم النقر عليها عبر خدمة فحص، مما يسمح لهم بحظر الوجهات الضارة المعروفة في وقت النقر.”
“بينما يكون هذا فعالًا ضد التهديدات المعروفة، يمكن أن تنجح الهجمات إذا لم يتم الإبلاغ عن الرابط المغلف من قبل الماسح في وقت النقر.”
توضح الأنشطة التي لوحظت خلال الشهرين الماضيين مرة أخرى كيف يجد المهاجمون طرقًا مختلفة لاستغلال الميزات المشروعة والأدوات الموثوقة لصالحهم وأداء أفعال ضارة، وفي هذه الحالة، إعادة توجيه الضحايا إلى صفحات تصيد Microsoft 365.
من الجدير بالذكر أن استغلال تغليف الروابط يتضمن حصول المهاجمين على وصول غير مصرح به إلى حسابات البريد الإلكتروني التي تستخدم بالفعل هذه الميزة داخل المؤسسة، بحيث يتم إعادة كتابة أي رسالة بريد إلكتروني تحتوي على رابط ضار يتم إرساله من ذلك الحساب تلقائيًا بالرابط المغلف (مثل: urldefense.proofpoint[.]com/v2/url?u=).
إساءة استخدام إعادة التوجيه متعددة الطبقات
جانب آخر مهم يتعلق بما تسميه Cloudflare “إساءة استخدام إعادة التوجيه متعددة الطبقات”، حيث يقوم المهاجمون أولاً بإخفاء روابطهم الضارة باستخدام خدمة تقصير الروابط مثل Bitly، ثم يرسلون الرابط المختصر في رسالة بريد إلكتروني عبر حساب مؤمن بواسطة Proofpoint، مما يتسبب في إخفائه مرة أخرى.
تخلق هذه السلوكيات سلسلة إعادة توجيه، حيث يمر الرابط عبر مستويين من التعتيم – Bitly وURL Defense من Proofpoint – قبل أن يأخذ الضحية إلى صفحة التصيد.
في الهجمات التي لوحظت من قبل الشركة التي تقدم بنية تحتية للويب، تتنكر رسائل التصيد كإشعارات بريد صوتي، مما يحث المستلمين على النقر على رابط للاستماع إليها، مما يوجههم في النهاية إلى صفحة تصيد مزيفة لـ Microsoft 365 مصممة لالتقاط بيانات اعتمادهم.
تستخدم سلاسل العدوى البديلة نفس التقنية في رسائل البريد الإلكتروني التي تُخطِر المستخدمين بوصول مستند مزعوم على Microsoft Teams وتخدعهم للنقر على روابط ملغومة.
تتظاهر نسخة ثالثة من هذه الهجمات بأنها Teams في رسائل البريد الإلكتروني، مدعية أن لديهم رسائل غير مقروءة وأنهم يمكنهم النقر على زر “الرد في Teams” المدمج في الرسائل لإعادة توجيههم إلى صفحات جمع بيانات الاعتماد.
قالت Cloudflare: “من خلال إخفاء الوجهات الضارة باستخدام روابط urldefense[.]proofpoint[.]com وurl[.]emailprotection، فإن إساءة استخدام هذه الحملات للتغليف الموثوق للروابط تزيد بشكل كبير من احتمالية نجاح الهجوم.”
عندما تم الاتصال بـ The Hacker News للتعليق، قالت Proofpoint إنها على علم بمهاجمين يستغلون إعادة توجيه الروابط وحماية الروابط في حملات التصيد الجارية، وأنها تقنية لاحظتها الشركة من عدة مزودي خدمات أمنية يقدمون حلول حماية البريد الإلكتروني أو إعادة كتابة الروابط المماثلة، مثل Cisco وSophos.
كما أشار مكتب الأمن المؤسسي إلى أنه يقوم بتحديد هذه الحملات عبر محرك الكشف القائم على الذكاء الاصطناعي (AI)، وأن الرسائل التي تحمل مثل هذه الروابط يتم التخلص منها وأن الروابط النهائية في نهاية سلسلة إعادة التوجيه محظورة لمنع الاستغلال.
قال باحثو التهديد في Proofpoint: “في هذه الحملات، يمكن للمهاجم استغلال إعادة توجيه مفتوحة للربط برابط تمت إعادة كتابته، أو اختراق حساب بريد إلكتروني ينتمي إلى شخص لديه نوع من حماية البريد الإلكتروني.”
“ثم، يرسل بريدًا إلكترونيًا يحتوي على رابط تصيد إلى الحساب الذي تم اختراقه. تعيد خدمة الأمان كتابة الرابط، ويتأكد المهاجم من أن الرابط غير محظور. ثم، يأخذ المهاجم الرابط المعاد كتابته ويشمله في سلاسل إعادة توجيه مختلفة.”
“كلما اختار المهاجمون استخدام رابط معاد كتابته من أي خدمة أمان، بما في ذلك Proofpoint، فهذا يعني أنه بمجرد أن تقوم خدمة الأمان بحظر الرابط النهائي، سيتم حظر سلسلة الهجوم بالكامل لكل مستلم في الحملة، سواء كان المستلم عميلًا للخدمة الأمنية أم لا.”
تأتي هذه التطورات في ظل زيادة في هجمات التصيد التي تستغل ملفات الرسومات المتجهة القابلة للتطوير (SVG) لتجاوز الحمايات التقليدية ضد البريد العشوائي والتصيد وبدء إصابات البرمجيات الخبيثة متعددة المراحل.
قال مركز نيو جيرسي للأمن السيبراني وتكامل الاتصالات (NJCCIC) الشهر الماضي: “على عكس ملفات JPEG أو PNG، تُكتب ملفات SVG بلغة XML وتدعم JavaScript وHTML،”. “يمكن أن تحتوي على نصوص وروابط وعناصر تفاعلية، والتي يمكن استغلالها من خلال تضمين كود ضار داخل ملفات SVG غير الضارة.”
كما لوحظت حملات التصيد التي تتضمن روابط زوم مزيفة في رسائل البريد الإلكتروني التي، عند النقر عليها، تؤدي إلى سلسلة إعادة توجيه إلى صفحة مزيفة تحاكي واجهة تبدو واقعية، وبعد ذلك يتم تقديم رسالة “انتهت مدة الاتصال بالاجتماع” ويتم توجيههم إلى صفحة تصيد تطلب منهم إدخال بيانات اعتمادهم للانضمام مرة أخرى إلى الاجتماع.
قالت Cofense في تقرير حديث: “للأسف، بدلاً من ‘إعادة الانضمام’، يتم استخراج بيانات اعتماد الضحية جنبًا إلى جنب مع عنوان IP الخاص بهم، والدولة، والمنطقة عبر Telegram، وهو تطبيق مراسلة معروف بـ ‘الاتصالات الآمنة والمشفرة’، ويتم إرساله حتمًا إلى المهاجم.”
(تم تحديث القصة بعد النشر لتضمين رد من Proofpoint.)
مع تزايد التهديدات السيبرانية، من الضروري أن تبقى على اطلاع دائم بأحدث أساليب الهجوم. تأكد من اتخاذ الخطوات اللازمة لحماية بياناتك وبيانات مؤسستك من هذه الهجمات المتطورة.
