اكتشاف خبراء تقنية إعادة التوجيه متعددة الطبقات المستخدمة لسرقة بيانات تسجيل دخول Microsoft 365
كشف باحثو الأمن السيبراني عن تفاصيل حملة تصيد جديدة تخفي الحمولة الضارة من خلال استغلال خدمات تغليف الروابط من Proofpoint وIntermedia لتجاوز الدفاعات.
قال فريق أمان البريد الإلكتروني في Cloudflare: “تم تصميم تغليف الروابط من قبل بائعين مثل Proofpoint لحماية المستخدمين عن طريق توجيه جميع الروابط التي يتم النقر عليها من خلال خدمة فحص، مما يسمح لهم بحظر الوجهات الضارة المعروفة عند لحظة النقر.”
“بينما يكون هذا فعالًا ضد التهديدات المعروفة، يمكن أن تنجح الهجمات إذا لم يتم الإبلاغ عن الرابط المغلف من قبل الماسح في وقت النقر.”
توضح الأنشطة التي تم ملاحظتها على مدار الشهرين الماضيين مرة أخرى كيف يجد المهاجمون طرقًا مختلفة لاستغلال الميزات المشروعة والأدوات الموثوقة لصالحهم وتنفيذ إجراءات ضارة، وفي هذه الحالة، إعادة توجيه الضحايا إلى صفحات تصيد Microsoft 365.
من الجدير بالذكر أن استغلال تغليف الروابط يتضمن حصول المهاجمين على وصول غير مصرح به إلى حسابات البريد الإلكتروني التي تستخدم بالفعل هذه الميزة داخل منظمة، بحيث يتم إعادة كتابة أي رسالة بريد إلكتروني تحتوي على رابط ضار يتم إرسالها من ذلك الحساب تلقائيًا بالرابط المغلف (على سبيل المثال، urldefense.proofpoint[.]com/v2/url?u=).
استغلال إعادة التوجيه متعددة الطبقات
يتعلق جانب آخر مهم بما تسميه Cloudflare “استغلال إعادة التوجيه متعددة الطبقات”، حيث يقوم المهاجمون أولاً بإخفاء روابطهم الضارة باستخدام خدمة تقصير الروابط مثل Bitly، ثم يرسلون الرابط المختصر في رسالة بريد إلكتروني عبر حساب مؤمن بواسطة Proofpoint، مما يتسبب في إخفائه مرة أخرى.
تخلق هذه السلوكيات سلسلة من إعادة التوجيه، حيث يمر الرابط عبر مستويين من التعتيم – Bitly وURL Defense من Proofpoint – قبل أن يأخذ الضحية إلى صفحة التصيد.
في الهجمات التي لوحظت من قبل شركة البنية التحتية للويب، تتنكر رسائل التصيد كإشعارات بريد صوتي، مما يحث المستلمين على النقر على رابط للاستماع إليها، مما يوجههم في النهاية إلى صفحة تصيد مزيفة لـ Microsoft 365 مصممة لالتقاط بيانات اعتمادهم.
تقنيات أخرى للتصيد
تستخدم سلاسل العدوى البديلة نفس التقنية في رسائل البريد الإلكتروني التي تُخطر المستخدمين بوثيقة مزعومة تم استلامها على Microsoft Teams وتخدعهم للنقر على روابط ملغومة.
تتضمن variation ثالثة من هذه الهجمات انتحال شخصية Teams في رسائل البريد الإلكتروني، زاعمة أن لديهم رسائل غير مقروءة وأنهم يمكنهم النقر على زر “الرد في Teams” المدمج في الرسائل لإعادة توجيههم إلى صفحات جمع بيانات الاعتماد.
“من خلال إخفاء الوجهات الضارة باستخدام روابط urldefense[.]proofpoint[.]com وurl[.]emailprotection، فإن استغلال هذه الحملات التصيدية لخدمات تغليف الروابط الموثوقة يزيد بشكل كبير من احتمالية نجاح الهجوم،” قالت Cloudflare.
عندما تم الاتصال بـ The Hacker News للتعليق، قالت Proofpoint إنها على علم بالمهاجمين الذين يستغلون إعادة التوجيه URL وحماية URL في حملات التصيد الجارية، وأنها تقنية لاحظتها الشركة من عدة مزودي خدمات أمان يقدمون حلول حماية البريد الإلكتروني أو إعادة كتابة URL مماثلة، مثل Cisco وSophos.
كما أشارت شركة الأمن المؤسسي إلى أنها تميز هذه الحملات عبر محرك الكشف الذكي السلوكي (AI)، وأن الرسائل التي تحمل مثل هذه الروابط يتم التخلص منها ويتم حظر الروابط النهائية في نهاية سلسلة إعادة التوجيه لمنع الاستغلال.
“في هذه الحملات، يمكن للمهاجم استغلال إعادة توجيه مفتوحة للربط برابط مكتوب، أو اختراق حساب بريد إلكتروني ينتمي إلى شخص ما لديه نوع من حماية البريد الإلكتروني،” قال باحثو تهديدات Proofpoint.
“ثم، يرسل بريدًا إلكترونيًا يحتوي على رابط تصيد إلى الحساب الذي تم اختراقه. تعيد خدمة الأمان كتابة URL، ويتأكد المهاجم من أن الرابط غير محظور. ثم، سيأخذ المهاجم الرابط المكتوب ويشمله في سلاسل إعادة توجيه مختلفة.”
“كلما اختار المهاجمون استخدام رابط مكتوب من أي خدمة أمان، بما في ذلك Proofpoint، فهذا يعني أنه بمجرد أن تحظر خدمة الأمان الرابط النهائي، سيتم حظر سلسلة الهجوم بالكامل لكل مستلم للحملة، سواء كان المستلم عميلًا لخدمة الأمان أم لا.”
تأتي هذه التطورات وسط زيادة في هجمات التصيد التي تستخدم ملفات SVG القابلة للتوسع لتجاوز الحماية التقليدية ضد البريد العشوائي والتصيد وبدء إصابات البرمجيات الخبيثة متعددة المراحل.
“على عكس ملفات JPEG أو PNG، فإن ملفات SVG مكتوبة بتنسيق XML وتدعم JavaScript وHTML،” قالت خلية الأمن السيبراني والاتصالات في نيو جيرسي (NJCCIC) الشهر الماضي. “يمكن أن تحتوي على نصوص وروابط وعناصر تفاعلية، والتي يمكن استغلالها من خلال تضمين رمز ضار داخل ملفات SVG غير الضارة.”
تمت ملاحظة حملات التصيد أيضًا وهي تضم روابط زوم مزيفة في رسائل البريد الإلكتروني التي، عند النقر عليها، تؤدي إلى سلسلة إعادة توجيه إلى صفحة مزيفة تحاكي واجهة تبدو واقعية، وبعد ذلك يتم تقديم رسالة “انتهى وقت الاتصال بالاجتماع” ويؤخذون إلى صفحة تصيد تطلب منهم إدخال بيانات اعتمادهم للانضمام مرة أخرى إلى الاجتماع.
“للأسف، بدلاً من ‘الانضمام مرة أخرى’، يتم استخراج بيانات اعتماد الضحية جنبًا إلى جنب مع عنوان IP الخاص بهم، والدولة، والمنطقة عبر Telegram، وهو تطبيق مراسلة معروف بـ ‘الاتصالات الآمنة والمشفرة’، ويتم إرسالها حتمًا إلى المهاجم،” قالت Cofense في تقرير حديث.
(تم تحديث القصة بعد النشر لتضمين رد من Proofpoint.)
