هجوم الدعم التقني المزيف يكشف حملة جديدة تضرب مؤسسات متعددة، وتستخدم البريد المزعج والاتصال الهاتفي لزرع Havoc C2 قبل تسريب البيانات أو الفدية.
ما هو هجوم الدعم التقني المزيف الذي يوصل Havoc C2؟
رصدت شركة هانترس النشاط في 5 جهات شريكة خلال الشهر الماضي، مع انتحال مهاجمين لهوية دعم تقنية مزيف لبدء الاختراق. الحملة تهدف إلى تثبيت منصة التحكم Havoc C2 كمرحلة تمهيدية قبل جمع البيانات أو إطلاق برامج الفدية.
كيف توسع المهاجمون داخل الشبكات؟
في إحدى الحالات تحرك المهاجم خلال 11 ساعة إلى 9 أجهزة إضافية، مستخدماً حمولة Havoc Demon مخصصة وأدوات RMM شرعية للبقاء. سرعة الانتشار توحي بأن الهدف النهائي كان التسريب السريع أو تشفير الملفات مقابل فدية.
النمط يذكّر بحملات تفجير البريد والتصيد عبر مايكروسوفت تيمز المرتبطة بعصابة بلاك باستا. السيناريو الأكثر ترجيحاً أن شركاء سابقين انتقلوا لعمليات أخرى أو أن خصوماً تبنوا نفس التكتيك للهندسة الاجتماعية.
كيف تبدأ سلسلة الهجوم عبر البريد والاتصال؟
تبدأ السلسلة بإغراق البريد بصناديق الرسائل غير المرغوبة لإرباك الضحية وخلق إحساس بالطوارئ. بعدها يتصل شخص يعرّف نفسه كموظف دعم ويطلب جلسة كويك أسست أو تثبيت أني ديسك للوصول عن بعد.
- إرسال موجات بريد مزعج متتالية خلال دقائق
- ادعاء تحديث قواعد مكافحة السبام في أوتلوك
- الحصول على تحكم عن بعد بحجة حل المشكلة
- فتح المتصفح إلى صفحة مزيفة على خدمات أمازون ويب
- تشغيل سكربت يمهد لتنزيل الحمولة
بعد الحصول على الوصول، يفتح المهاجم المتصفح وينتقل لصفحة مزيفة على خدمات أمازون ويب تنتحل مايكروسوفت. الصفحة تطلب إدخال بريد أوتلوك ثم الضغط على زر تحديث قواعد السبام، ما يشغل سكربت يعرض تراكباً على الشاشة.
لماذا يطلب المهاجم كلمة المرور؟
عند ظهور التراكب يُطلب من المستخدم إدخال كلمة المرور، وهو ما يسمح بسرقة بيانات الدخول وربطها بعنوان البريد للوصول إلى لوحة التحكم. كما يمنح هذه الخطوة مصداقية زائفة للعملية، وفقاً لتيكبامين.
ما مؤشرات الخطر التي يجب مراقبتها؟
ترصد فرق الأمن عدة إشارات مبكرة لأن هذا الأسلوب يعتمد على الهندسة الاجتماعية وتبديل الأدوات بسرعة داخل الشبكة. ظهور هذه العلامات معاً يستدعي عزل الجهاز والتحقق من السجلات فوراً.
- تدفق مفاجئ لبريد مزعج إلى عدة موظفين
- مكالمات غير متوقعة تدعي أنها من الدعم
- طلبات مشاركة الشاشة أو منح تحكم عن بعد
- صفحات غير مألوفة تطلب تحديث قواعد أوتلوك
- تشغيل أدوات إدارة عن بعد جديدة أو سكربتات
كيف تحمي المؤسسات نفسها من الهجوم؟
لمنع الاختراق، تحتاج المؤسسات إلى مزيج من الإجراءات التقنية والتوعوية، مع تدقيق الوصول عن بعد والمصادقة متعددة العوامل. تقوية المراقبة وتقسيم الشبكات يقللان فرصة تحرك المهاجم بين الأجهزة.
- حظر أدوات RMM غير المصرح بها وتقييد كويك أسست
- تفعيل MFA على البريد والحسابات الإدارية
- تدريب الموظفين على التحقق من هوية المتصل
- مراقبة تسجيلات الدخول غير المعتادة من عناوين جديدة
- إنشاء نسخ احتياطية دورية مع اختبارات استعادة
- تطبيق سياسات أقل امتياز وتحديثات أمنية مستمرة
الخلاصة أن هجوم الدعم التقني المزيف ينجح عندما تُمنح الثقة بسرعة، لذا فإن التدريب المستمر وتوثيق خطوات الدعم الحقيقي يقللان المخاطر بشكل مباشر. التحقق قبل المشاركة في جلسات عن بعد يبقى خط الدفاع الأول ضد التسريب أو الفدية.
