وكشفت الشركة في بيان، أنها رصدت مهاجمين يستغلون ميزة" الدردشة بين المؤسسات" في" تيمز"، التي تتيح بدء محادثة مع مستخدمين من خارج المؤسسة، إذ يعمد المهاجمون إلى التواصل مع الموظفين، مُدعين أنهم من فرق تقنية المعلومات أو الدعم الفني، قبل إقناع الضحايا بمنحهم صلاحية الوصول عن بعد إلى أجهزتهم، وفقا لـ" القاهرة الإخبارية".
وأشارت إلى أن العملية تتم باستخدام تطبيق" Quick Assist"، أداة مدمجة في نظام مايكروسوفت ويندوز تتيح تقديم أو تلقي الدعم الفني عن بعد بشكل مشروع، غير أن المهاجمين يستغلون هذه الأداة للوصول إلى الأجهزة دون إثارة الشبهات.
ووفقًا للشركة فإن القراصنة، بعد حصولهم على موطئ قدم أولي داخل النظام، يعمدون إلى تشغيل برامج موثوقة وتعديلها لتنفيذ شيفرات خبيثة، ثم ينتقلون داخل الشبكة باستخدام أدوات إدارية أصلية مثل" إدارة ويندوز عن بعد"، للوصول إلى أنظمة حساسة من بينها وحدات التحكم بالنطاق، المسؤولة عن إدارة صلاحيات المستخدمين وأمن الشبكة داخل المؤسسات.
كما رصدت" مايكروسوفت" قيام المهاجمين بتثبيت أدوات إدارة عن بعد شائعة، إضافة إلى برنامج" Rclone"، الذي يستخدم في نقل البيانات إلى خدمات التخزين السحابي، ما يسهل عملية جمع المعلومات ورفعها إلى خوادم خارجية.
وتكمن خطورة هذه الهجمات للقراصنة في اعتمادها على أدوات شرعية وإجراءات تقنية اعتيادية، ما يجعل اكتشافها أكثر صعوبة، فالضحايا لا يلاحظون مؤشرات تحذيرية واضحة.
وبخلاف أساليب التصيد التقليدية عبر البريد الإلكتروني، يعتمد المهاجمون في هذه الحالات على رسائل داخل" تيمز"، التي قد تبدو كمراسلات داخلية مشروعة، ما يعزز فرص نجاح عملية الخداع.
ودعت" مايكروسوفت" المؤسسات إلى مراجعة إعدادات الاتصال، وتقييد صلاحيات الوصول عن بعد، وتوعية الموظفين بخطورة منح صلاحيات التحكم بأجهزتهم دون التحقق الدقيق من هوية الجهة الطالبة.
التعليقات (0)
لا توجد تعليقات حتى الآن. كن أول من يعلق!
أضف تعليقك