الهجمات السيبرانية تستغل أداة Velociraptor الشرعية وتنقل الاحتيال إلى Microsoft Teams

حذر باحثو الأمن السيبراني من حملة هجومية استغلت أداة Velociraptor مفتوحة المصدر، والمخصصة أصلًا لمراقبة الأجهزة والتحقيق الجنائي الرقمي. يوضح هذا الاستغلال كيف يقوم المهاجمون بتحويل أدوات شرعية إلى وسائل خبيثة لتثبيت برمجياتهم وتنفيذ هجمات أكثر تعقيدًا.
استغلال أداة Velociraptor
بحسب تقرير فريق Sophos Counter Threat Unit:
-
قام المهاجمون باستخدام أداة msiexec في نظام ويندوز لتحميل مثبت (MSI) من نطاق تابع لـ Cloudflare Workers.
-
هذا المثبت ثبت أداة Velociraptor التي بدورها تواصلت مع خادم بعيد لنفس البنية.
-
تم استغلال الاتصال لاحقًا لتحميل Visual Studio Code باستخدام أوامر PowerShell مشفرة، وتشغيله بخاصية النفق (tunneling) لتوفير وصول عن بعد وتنفيذ أوامر برمجية.
-
كما استُخدم msiexec مجددًا لتنزيل حمولات إضافية من نفس البنية.
أوصت Sophos المؤسسات بمراقبة أي استخدام غير مصرح به لـ Velociraptor واعتبار ذلك مؤشرًا مبكرًا على هجمات الفدية، مع الاعتماد على حلول EDR ورصد السلوكيات المشبوهة.
استغلال Microsoft Teams للتصيّد
في هجوم آخر، كشفت شركتا Hunters وPermiso عن حملات خبيثة تستغل منصة Microsoft Teams كوسيلة للوصول الأولي:
-
يقوم المهاجمون بإنشاء مستأجرين جدد (tenants) أو استخدام حسابات مخترقة لإرسال رسائل مباشرة أو إجراء مكالمات، منتحلين صفة فرق الدعم الفني.
-
يتم إقناع الضحايا بتثبيت أدوات تحكم عن بُعد مثل AnyDesk أو DWAgent أو Quick Assist.
-
يستخدم الوصول لاحقًا لتنفيذ برمجيات PowerShell قادرة على سرقة بيانات الاعتماد، وإنشاء ثبات في النظام، وتنفيذ أوامر عن بُعد.
وتشمل الأساليب الخبيثة الأخرى:
-
إظهار نافذة منبثقة لطلب بيانات اعتماد ويندوز بحجة إعدادات النظام، ليتم حفظ كلمات المرور في ملف نصي على الجهاز.
-
استغلال السيناريوهات الروتينية مثل “مشاكل أداء Teams” أو “صيانة النظام” لخداع المستخدمين.
حملات إعلانية خبيثة تستهدف Microsoft 365
كما تم رصد حملة إعلانات ضارة (Malvertising) تستغل روابط office[.]com الشرعية مع خدمة Active Directory Federation Services (ADFS) لإعادة توجيه الضحايا إلى صفحات تسجيل دخول مزيفة لـ Microsoft 365.
-
يقوم المهاجمون بإنشاء مستأجر (tenant) مخصص في Microsoft مع تكوين ADFS، مما يسمح بإعادة توجيه شرعية من خوادم Microsoft نفسها إلى نطاق خبيث.
-
رغم أن هذا ليس ثغرة تقنية مباشرة، إلا أنه يزيد من صعوبة رصد الروابط الضارة بالطرق التقليدية.
تشير هذه الهجمات إلى تطور تكتيكات المهاجمين السيبرانيين، حيث يتم استغلال أدوات شرعية مثل Velociraptor ومنصات موثوقة مثل Microsoft Teams لتجاوز أنظمة الحماية التقليدية.
لذلك، تحتاج المؤسسات إلى:
-
تعزيز المراقبة الأمنية على استخدام الأدوات المفتوحة المصدر.
-
تدريب الموظفين على التعرف على محاولات التصيّد المتنكرة في صورة دعم فني.
-
اعتماد حلول متقدمة لرصد السلوكيات (Behavior-based Detection) بدلاً من الاكتفاء بالفحص التقليدي للبرمجيات.