تحذير من هجمات مايكروسوفت تيمز تستهدف كبار الموظفين

رصد خبراء الأمن برمجية SNOW الخبيثة التي تنتشر عبر مايكروسوفت تيمز بانتحال صفة الدعم الفني، ويوضح تيكبامين كيفية حماية بياناتك من هذه التهديدات.

ما هي هجمات انتحال صفة الدعم الفني عبر مايكروسوفت تيمز؟

تعتمد استراتيجية مجموعة التهديد UNC6692 بشكل أساسي على أساليب الهندسة الاجتماعية المتقدمة، حيث ينتحل القراصنة شخصية موظفي الدعم الفني (IT Helpdesk). تبدأ العملية بحملة بريد إلكتروني ضخمة تهدف إلى إغراق صندوق الوارد الخاص بالضحية بآلاف الرسائل العشوائية (Spam Emails)، فيما يُعرف بـ "القصف البريدي".

هذا التكتيك يخلق حالة من الإلحاح والضغط النفسي لدى الموظف، مما يمهد الطريق للمرحلة التالية. وفقاً لما ذكره تيكبامين، يقوم المهاجم بعدها بالتواصل مع الضحية عبر تطبيق مايكروسوفت تيمز، مدعياً أنه من فريق الدعم التقني ويريد المساعدة في حل مشكلة الرسائل العشوائية، ويطلب من الضحية قبول دعوة دردشة من حساب خارج المنظمة.

يُذكر أن هذا المزيج من القصف البريدي المتبوع بانتحال الهوية عبر تيمز هو تكتيك استخدمته سابقاً مجموعات تابعة لبرمجية الفدية الشهيرة "Black Basta"، ورغم توقف عمليات تلك المجموعة، إلا أن هذا الأسلوب لا يزال يحقق نجاحاً كبيراً في اختراق شبكات الشركات.

كيف تعمل برمجية SNOW الخبيثة على اختراق الأجهزة؟

تختلف هجمات UNC6692 عن الأساليب التقليدية في كيفية تسليم الحمولة الخبيثة. فبدلاً من طلب الوصول المباشر عن بُعد، يتم توجيه الضحية للنقر على رابط تصيد مرسل عبر محادثة تيمز لتثبيت "رقعة أمان محلي" (Local Patch) لمعالجة مشكلة البريد العشوائي.

مراحل الإصابة ببرمجية SNOW:

• توجيه المستخدم إلى صفحة تصيد تحمل اسم "Mailbox Repair and Sync Utility v2.1.5".
• تحميل نص برمج من نوع AutoHotkey من مخزن أمازون AWS S3 تحت سيطرة المهاجمين.
• يقوم النص البرمجي بإجراء استطلاع أولي للنظام لجمع معلومات عن الجهاز المستهدف.
• تثبيت ملحق خبيث يسمى SNOWBELT على متصفح إيدج (Edge) الخاص بشركة مايكروسوفت.

يتم تشغيل الملحق في وضع "headless"، وهو ما يعني تشغيله في الخلفية دون واجهة رسومية، مما يجعل من الصعب على المستخدم العادي اكتشافه. تهدف هذه العملية إلى تمكين المهاجمين من الوصول الدائم وسرقة البيانات الحساسة أو التحرك جانبياً داخل شبكة الشركة لنشر برمجيات الفدية.

لماذا يستهدف القراصنة كبار الموظفين والمديرين؟

أظهرت البيانات الحديثة تحولاً استراتيجياً في اختيار الضحايا؛ ففي الفترة ما بين 1 مارس و1 أبريل 2026، استهدفت 77% من الحوادث المرصودة موظفين في المستويات الإدارية العليا، وهي زيادة كبيرة مقارنة بنسبة 59% في بداية العام. والهدف من ذلك هو الوصول إلى صلاحيات أعلى وبيانات أكثر حساسية.

تتضمن المخاطر المرتبطة باستهداف المديرين ما يلي:

• سرقة الملفات السرية والبيانات المالية للشركة.
• الحصول على صلاحيات الدخول إلى الأنظمة الحساسة.
• استخدام حساباتهم الموثوقة لشن هجمات إضافية داخل المؤسسة.
• الابتزاز المالي المباشر للمؤسسة بعد تشفير بياناتها.

وفي بعض الحالات، تم رصد بدء المحادثات بفاصل زمني لا يتعدى 29 ثانية فقط بين الضحايا المختلفين، مما يشير إلى استخدام أدوات أتمتة متطورة من قبل المهاجمين لتوسيع نطاق هجمات مايكروسوفت تيمز.

كيف يمكنك حماية مؤسستك من هجمات UNC6692؟

لحماية شركتك من هذه التهديدات المعقدة، يجب اتباع بروتوكولات أمنية صارمة. يشير تيكبامين إلى أن الوعي التقني للموظفين يمثل خط الدفاع الأقوى ضد محاولات الهندسة الاجتماعية.

إجراءات وقائية ضرورية:

• منع قبول طلبات الدردشة من حسابات خارجية غير موثوقة على مايكروسوفت تيمز.
• التأكد من هوية موظفي الدعم الفني عبر القنوات الرسمية قبل اتخاذ أي إجراء.
• عدم النقر على الروابط أو تحميل الملفات من محادثات تيمز غير المتوقعة.
• تحديث المتصفحات وأنظمة التشغيل بانتظام لسد الثغرات التي تستغلها برمجية SNOW.
• استخدام حلول أمنية قادرة على اكتشاف الملحقات الخبيثة في المتصفحات.

إن تطور هجمات مايكروسوفت تيمز واستخدام برمجيات مثل SNOW يفرض على المؤسسات ضرورة مراجعة سياسات الوصول عن بُعد وتعزيز تدريبات الأمن السيبراني لكافة الموظفين، خاصة أولئك الذين يشغلون مناصب قيادية وحساسة.