هجوم UNK_SneakyStrike: اختراق أكثر من 80 ألف حساب Microsoft Entra ID باستخدام أداة اختبار مفتوحة المصدر
كشف باحثون في مجال الأمن السيبراني عن حملة اختراق حسابات (ATO) واسعة النطاق تستهدف مستخدمي Microsoft Entra ID (المعروفة سابقًا باسم Azure Active Directory)، وذلك باستخدام إطار اختبار اختراق مفتوح المصدر يُعرف باسم TeamFiltration.
الحملة، التي أُطلق عليها اسم UNK_SneakyStrike من قبل شركة Proofpoint، استهدفت أكثر من 80,000 حساب مستخدم عبر مئات من مستأجري الخدمات السحابية منذ ديسمبر 2024، وشهدت ذروتها في يناير 2025.
شاهد ايضا :- كيف غيّر إلغاء الضوضاء النشط (ANC) تجربتي بالكامل؟
طريقة الهجوم: رش كلمات المرور واستغلال Microsoft Teams وAWS
أوضحت شركة Proofpoint أن القراصنة استخدموا واجهة Microsoft Teams API إلى جانب خوادم مستضافة على Amazon Web Services (AWS) في مناطق جغرافية متعددة لتنفيذ عمليات:
-
استكشاف المستخدمين (User Enumeration)
-
هجمات رش كلمات المرور (Password Spraying)
تم استغلال هذه الأساليب للوصول إلى خدمات حساسة مثل:
-
Microsoft Teams
-
Outlook
-
OneDrive
شاهد ايضا :- كيفية حذف بياناتك الجينية من 23andMe بعد إعلان إفلاسها
ما هو TeamFiltration؟
تم تطوير أداة TeamFiltration بواسطة الباحث الأمني Melvin “Flangvik” Langvik، وجرى عرضها لأول مرة في مؤتمر DEF CON عام 2022.
وهي منصة متعددة الأنظمة تتيح:
الأداة تتطلب حساب AWS وحساب Microsoft 365 مؤقت لتسهيل الهجمات، وتسمح بتنفيذ كل مرحلة من موجات الرش من موقع جغرافي مختلف، مما يصعب اكتشاف النشاط الخبيث.
إحصائيات الحملة
في يناير 2025، استهدفت الحملة 16,500 حساب في يوم واحد فقط، وتم رصد النشاط الخبيث من خلال عناوين IP من ثلاث مناطق رئيسية:
-
الولايات المتحدة: 42%
-
إيرلندا: 11%
-
بريطانيا: 8%
رد AWS والجانب القانوني
صرّح متحدث باسم AWS لموقع The Hacker News:
“لدينا شروط واضحة تلزم عملاءنا باستخدام خدماتنا وفق القوانين المعمول بها. ونتعامل بسرعة مع أي بلاغات تتعلق بالمحتوى المحظور.”
وأكدت AWS على أهمية التعاون مع الباحثين الأمنيين من خلال قناة الإبلاغ المخصصة.
نمط الهجوم والتوزيع الزمني
تحدث الهجمات على شكل اندفاعات زمنية مركزة تستهدف عددًا كبيرًا من المستخدمين في بيئة سحابية واحدة، يتبعها هدوء يستمر من 4 إلى 5 أيام.
تستهدف الحملة جميع الحسابات داخل المستأجرين الصغار، بينما تركز على عدد محدود من الحسابات في المؤسسات الكبيرة. وهذا يتماشى مع قدرات TeamFiltration في تصفية الأهداف الأقل أهمية.
الدروس المستفادة
تسلط هذه الحملة الضوء على التهديد الحقيقي لاستخدام أدوات الأمن المفتوحة المصدر في أنشطة ضارة، مثل:
-
الاستيلاء على الحسابات
-
سرقة البيانات
-
إرساء موطئ قدم دائم داخل الشبكات
يجب أن تكون المؤسسات أكثر وعيًا باستخدام تقنيات المصادقة متعددة العوامل (MFA)، ومراقبة الأنشطة الغريبة، وتحديث سياسات الأمان باستمرار.
شاهد ايضا :- التقنيات الحديثة في صناعة المسلسلات التركية: أدوات وبرامج تستخدم لإنتاج أعمال فنية مميزة
