هجوم APT29 الروسي يستغل ميزة كلمات مرور التطبيقات لاختراق حسابات Gmail
مجموعة APT29 الروسية تستغل ميزة "كلمات مرور التطبيقات" لاختراق حسابات Gmail
كشفت كل من مجموعة استخبارات التهديدات التابعة لجوجل (GTIG) ومختبر المواطن (Citizen Lab) عن حملة تصيد متقدمة يُعتقد أنها مرتبطة بروسيا، تقوم باستغلال ميزة كلمات مرور التطبيقات (App Passwords) في حسابات Google كجزء من أسلوب جديد للهندسة الاجتماعية يهدف إلى الوصول إلى رسائل البريد الإلكتروني للضحايا.
تفاصيل الحملة
قال الباحثان غابي رونكوني وويسلي شيلدز من GTIG:
“منذ أبريل وحتى أوائل يونيو 2025، استهدفت هذه الجهة الفاعلة مجموعة من الأكاديميين البارزين والنقاد السياسيين لروسيا، مستخدمة أساليب بناء ثقة متقدمة وحيل موجهة خصيصًا لإقناع الضحية بإنشاء ومشاركة كلمة مرور تطبيق خاصة.”
بمجرد أن يُشارك الضحية رمز المرور، يتمكن المهاجمون من الوصول الدائم إلى صندوق البريد الإلكتروني الخاص به.
وقد نسبت Google هذه الأنشطة إلى مجموعة تهديد تُعرف باسم UNC6293، وهي مجموعة مرتبطة بجهة التجسس الروسية المدعومة من الدولة المعروفة باسم APT29، والتي تُعرف أيضًا بأسماء مثل:
Cloaked Ursa, Cozy Bear, BlueBravo, Midnight Blizzard, The Dukes.
أسلوب الهندسة الاجتماعية
تمتد عملية التصيد هذه على مدى عدة أسابيع، حيث يعمل المهاجمون على بناء علاقة ثقة مع الهدف، بدلًا من خلق شعور بالإلحاح الذي قد يثير الشك.
يشمل ذلك إرسال رسائل بريد إلكتروني مزيفة تبدو كمواعيد اجتماعات، مع إدراج عناوين بريد إلكتروني متعددة تحتوي على لاحقة @state.gov في خانة “نسخة إلى (CC)”، وذلك لإضفاء طابع رسمي ومصداقية زائفة.
قال Citizen Lab:
“قد يعتقد الهدف: إذا لم تكن هذه الرسالة شرعية، فمن المؤكد أن أحد موظفي وزارة الخارجية المضافين سيعترض عليها، خاصة إذا قمت بالرد والإبقاء عليهم في خانة CC.”
من المرجح أن المهاجمين على علم بأن خوادم البريد الخاصة بوزارة الخارجية الأمريكية لا تقوم بإرسال إشعار فشل (Bounce Back) عند محاولة التواصل مع عناوين غير موجودة.
شاهد ايضا :-
- تسريب بيانات 23andMe: بيع معلوماتك الجينية على الإنترنت المظلم
- جوائز Women in AI 2025: فينتشر بيت تُكرم القيادات النسائية في الذكاء الاصطناعي
- إنتل تستعد لتسريح أكثر من 10,000 موظف في أكبر عملية إعادة هيكلة منذ سنوات
استغلال ميزة كلمات مرور التطبيقات
يطلب المهاجمون من الضحايا إنشاء كلمة مرور تطبيق (ASP) بزعم استخدامها في بيئة سحابية “آمنة” تخص وزارة الخارجية، ومشاركتها معهم.
ووفقًا لـ Google:
“عند تفعيل التحقق بخطوتين، قد يتم حظر بعض التطبيقات أو الأجهزة الأقل أمانًا من الوصول إلى حساب Google، وتتيح كلمات مرور التطبيقات تجاوز هذا الحظر.”
بمجرد مشاركة الرمز، يقوم المهاجمون بإعداد عميل بريد إلكتروني باستخدام كلمة المرور المخصصة، مما يمنحهم وصولًا مستمرًا إلى رسائل الضحية دون إثارة الإنذارات الأمنية.
حملات موازية بأساليب متقدمة
رصدت Google أيضًا حملة ثانية ذات طابع أوكراني، حيث استخدم المهاجمون خوادم بروكسي منزلية وخوادم VPS لتجنّب الاكتشاف أثناء الدخول إلى الحسابات المخترقة.
تشير Google إلى أن هذه المجموعة نفسها، UNC6293/APT29، كانت نشطة منذ بداية عام 2025 باستخدام تقنيات مثل:
-
تصيّد رمز الجهاز (Device Code Phishing)
-
تصيّد انضمام الجهاز (Device Join Phishing)
وتستهدف هذه الأساليب خداع الضحايا لإرسال رموز تفويض OAuth صادرة عن Microsoft، مما يسمح للمهاجمين بتسجيل أجهزتهم داخل شبكات المؤسسات الضحية.
التوصيات الأمنية
يُوصى باتباع الآتي لتجنّب هذه الأنواع من الهجمات:
-
عدم مشاركة رموز كلمات مرور التطبيقات تحت أي ظرف.
-
التحقق من عناوين البريد الإلكتروني بعناية، حتى تلك التي تبدو رسمية.
-
استخدام الحماية المتقدمة من التصيّد الاحتيالي.
-
مراجعة سجلات تسجيل الدخول إلى الحساب بانتظام.
مصدر الخبر :- The Hacker News
