أعلنت شركة مايكروسوفت أن مجموعة قراصنة تعرف باسم APT29 والمرتبطة بجهاز المخابرات الخارجية الروسي استهدفت العديد من المنظمات في جميع أنحاء العالم باستخدام هجمات للتصيد الاحتيالي عبر خدمة (تيمز) Teams، بما في ذلك الوكالات الحكومية.
وفقًا لتحقيق شركة مايكروسوفت الحالي، يشير الدليل إلى أن هذه الحملة أثرت على ما لا يقل عن 40 منظمة عالمية مختلفة.
تشير الشركة إلى أن المنظمات المستهدفة في هذه الحملة تشمل الهيئات الحكومية وغير الحكومية، وخدمات تكنولوجيا المعلومات، وقطاعات التصنيع والإعلام.
قام ممثلو التهديد بالاستعانة بحسابات مستأجرة في خدمة (مايكروسوفت 365) المخترقة لإنشاء نطاقات دعم فني جديدة وإرسال رسائل دعم، بهدف خداع مستخدمي المؤسسات المستهدفة باستخدام تكتيكات الهندسة الاجتماعية.
ووفقًا لتقرير أمني صادر عن مايكروسوفت، فإن الهدف النهائي للقراصنة في هذه التهديدات هو سرقة بيانات اعتماد المستخدمين المستهدفين.
مايكروسوفت تكشف عن تفاصيل هجمات قراصنة مرتبطين بالمخابرات الروسية على المؤسسات الحكومية
في تحقيق حديث، أعلنت شركة مايكروسوفت عن نجاحها في إحباط محاولات قراصنة مرتبطين بجهاز المخابرات الخارجية الروسية من استخدام نطاقات مزورة في هجماتهم. وتعمل الشركة حاليًا على معالجة تأثير هذه الحملة وتخفيف الأضرار الناجمة عنها.
قبل ذلك، كانت مايكروسوفت قد رفضت تصليح خلل أمني في خدمة المؤتمرات الفيديو "تيمز"، الذي اكتشفه باحثون في شركة أمن المعلومات (جمبسيك)، والذي كان يسمح لأي شخص بتجاوز القيود على الملفات الواردة من المستأجرين الخارجيين. وتضمنت التقارير أن هذا الخلل يمكن استغلاله بواسطة أداة بايثون تسمى "تيمز فيشر"، التي طورها عضو في البحرية الأمريكية.
تجدر الإشارة إلى أن هجمات مجموعة القرصنة APT29 تسببت أيضًا في تأثيرات سلبية على المؤسسات الحكومية، مما يبرز أهمية هذه الهجمات وقدرتها على التأثير حتى على الهدف المحمي بشكل جيد.
سابقًا، نفذ قسم القرصنة التابع لجهاز المخابرات الخارجية الروسية هجومًا على سلسلة التوريد لشركة SolarWinds، ما أدى إلى اختراق عدد من الوكالات الفيدرالية الأمريكية قبل ثلاث سنوات. ومنذ ذلك الحين، استمرت مجموعة القرصنة في التسلل إلى شبكات المؤسسات الأخرى باستخدام برامج ضارة متقدمة مثل "تريل بليزر"، مما سمح لها بالبقاء طوال هذه الفترة دون اكتشاف.
في الفترة الأخيرة، كشفت مايكروسوفت أيضًا أن مجموعة القرصنة تستخدم برامج ضارة جديدة تستهدف خدمات اتحاد الدليل النشط لتسجيل الدخول إلى أنظمة ويندوز باسم المستخدمين. وبالإضافة إلى ذلك، استهدفت المجموعة حسابات مايكروسوفت 365 التابعة لكيانات في دول حلف شمال الأطلسي (الناتو) في محاولة للوصول إلى معلومات تتعلق بالسأعلنت الشركة أنها نجحت في منع مجموعة تهديد روسية من استخدام النطاقات في هجمات أخرى، وتعمل الآن على معالجة وتخفيف تأثير هذه الحملة.
سابقًا، رفضت مايكروسوفت معالجة خلل أمني في خدمة مؤتمرات الفيديو Teams، الذي اكتشفه باحثون في شركة أمن المعلومات Jumpsec. يُمكن لأي شخص تجاوز القيود المفروضة على الملفات الواردة باستخدام أداة بايثون تسمى TeamsPhisher، التي طورها عضو في البحرية الأمريكية.
هجوم مجموعة القرصنة APT29 أثر أيضًا على الوكالات الحكومية، مما يبرز قدرتها على التأثير حتى على الكيانات المحمية.
سابقًا، قام قسم القرصنة التابع للمخابرات الخارجية الروسية بتنفيذ هجوم على سلسلة التوريد الخاصة بشركة SolarWinds، مما أدى إلى اختراق العديد من الوكالات الحكومية الأمريكية قبل ثلاث سنوات. منذ ذلك الحين، تسللت مجموعة القرصنة إلى شبكات المؤسسات الأخرى باستخدام برنامج ضار يسمى TrailBlazer، وظلت غير مكتشفة لسنوات.
في الآونة الأخيرة، كشفت مايكروسوفت أن مجموعة القرصنة تستخدم برامج ضارة جديدة تستهدف خدمات اتحاد الدليل النشط ADFS لتسجيل الدخول إلى أنظمة ويندوز. بالإضافة إلى ذلك، استهدفت المجموعة حسابات Microsoft 365 التابعة لكيانات في دول الناتو، كجزء من جهودها للوصول إلى معلومات تتعلق بالسياسة الخارجية.
وبالإضافة إلى ذلك، نفذت مجموعة القرصنة سلسلة من حملات التصيد الاحتيالي المستهدفة الحكومات والسفارات والمسؤولين الرفيعي المستوى في أوروبا.