🗓 الأربعاء - 4 مارس 2026، 12:50 صباحًا |
⏱ 3 دقيقة |
👁 17 مشاهدة
هجوم الدعم التقني المزيف يكشف حملة جديدة تضرب مؤسسات متعددة، وتستخدم البريد المزعج والاتصال الهاتفي لزرع Havoc C2 قبل تسريب البيانات أو الفدية.ما هو هجوم الدعم التقني المزيف الذي يوصل Havoc C2؟رصدت شركة هانترس النشاط في 5 جهات شريكة خلال الشهر الماضي، مع انتحال مهاجمين لهوية دعم تقنية مزيف لبدء الاختراق. الحملة تهدف إلى تثبيت منصة التحكم Havoc C2 كمرحلة تمهيدية قبل جمع البيانات أو إطلاق برامج الفدية.كيف توسع المهاجمون داخل الشبكات؟في إحدى الحالات تحرك المهاجم خلال 11 ساعة إلى 9 أجهزة إضافية، مستخدماً حمولة Havoc Demon مخصصة وأدوات RMM شرعية للبقاء. سرعة الانتشار توحي بأن الهدف النهائي كان التسريب السريع أو تشفير الملفات مقابل فدية.النمط يذكّر بحملات تفجير البريد والتصيد عبر مايكروسوفت تيمز المرتبطة بعصابة بلاك باستا. السيناريو الأكثر ترجيحاً أن شركاء سابقين انتقلوا لعمليات أخرى أو أن خصوماً تبنوا نفس التكتيك للهندسة الاجتماعية.كيف تبدأ سلسلة الهجوم عبر البريد والاتصال؟تبدأ السلسلة بإغراق البريد بصناديق الرسائل غير المرغوبة لإرباك الضحية وخلق إحساس بالطوارئ. بعدها يتصل شخص يعرّف نفسه كموظف دعم ويطلب جلسة كويك أسست أو تثبيت أني ديسك للوصول عن بعد.إرسال موجات بريد مزعج متتالية خلال دقائقادعاء تحديث قواعد مكافحة السبام في أوتلوكالحصول على تحكم عن بعد بحجة حل المشكلةفتح المتصفح إلى صفحة مزيفة على خدمات أمازون ويبتشغيل سكربت يمهد لتنزيل الحمولةبعد الحصول على الوصول، يفتح المهاجم المتصفح وينتقل لصفحة مزيفة على خدمات أمازون ويب تنتحل مايكروسوفت. الصفحة تطلب إدخال بريد أوتلوك ثم الضغط على زر تحديث قواعد السبام، ما يشغل سكربت يعرض تراكباً على الشاشة.لماذا يطلب المهاجم كلمة المرور؟عند ظهور التراكب يُطلب من المستخدم إدخال كلمة المرور، وهو ما يسمح بسرقة بيانات الدخول وربطها بعنوان البريد للوصول إلى لوحة التحكم. كما يمنح هذه الخطوة مصداقية زائفة للعملية، وفقاً لتيكبامين.ما مؤشرات الخطر التي يجب مراقبتها؟ترصد فرق الأمن عدة إشارات مبكرة لأن هذا الأسلوب يعتمد على الهندسة الاجتماعية وتبديل الأدوات بسرعة داخل الشبكة. ظهور هذه العلامات معاً يستدعي عزل الجهاز والتحقق من السجلات فوراً.تدفق مفاجئ لبريد مزعج إلى عدة موظفينمكالمات غير متوقعة تدعي أنها من الدعمطلبات مشاركة الشاشة أو منح تحكم عن بعدصفحات غير مألوفة تطلب تحديث قواعد أوتلوكتشغيل أدوات إدارة عن بعد جديدة أو سكربتاتكيف تحمي المؤسسات نفسها من الهجوم؟لمنع الاختراق، تحتاج المؤسسات إلى مزيج من الإجراءات التقنية والتوعوية، مع تدقيق الوصول عن بعد والمصادقة متعددة العوامل. تقوية المراقبة وتقسيم الشبكات يقللان فرصة تحرك المهاجم بين الأجهزة.حظر أدوات RMM غير المصرح بها وتقييد كويك أسستتفعيل MFA على البريد والحسابات الإداريةتدريب الموظفين على التحقق من هوية المتصلمراقبة تسجيلات الدخول غير المعتادة من عناوين جديدةإنشاء نسخ احتياطية دورية مع اختبارات استعادةتطبيق سياسات أقل امتياز وتحديثات أمنية مستمرةالخلاصة أن هجوم الدعم التقني المزيف ينجح عندما تُمنح الثقة بسرعة، لذا فإن التدريب المستمر وتوثيق خطوات الدعم الحقيقي يقللان المخاطر بشكل مباشر. التحقق قبل المشاركة في جلسات عن بعد يبقى خط الدفاع الأول ضد التسريب أو الفدية.