أشباح في الدردشة: كيف اختطفت UNC6692 منصة Microsoft Teams للتجسس على الشركات

مجموعة قرصنة جديدة تسلّح أدوات المكتب اليومية وحِيَلًا نفسية لسرقة بيانات الاعتماد في عملية سطو بيانات متقنة.

كانت فوضى صندوق الوارد الصباحية مجرد البداية. وبينما كان الموظفون يتخبطون لمحاولة التخلص من آلاف رسائل البريد العشوائي، ظهرت رسالة هادئة من “مكتب مساعدة تقنية المعلومات” على Microsoft Teams. عرضت حلاً سريعًا - تصحيحًا يوقف هذا السيل. لكن خلف الواجهة الودودة كان يتربص UNC6692، فاعل تهديد غامض يدير واحدة من أدهى حملات سرقة البيانات في الذاكرة الحديثة. سلاحهم؟ منظومة برمجيات SNOW الخبيثة، وهي عدة رقمية معيارية صُممت للتسلل عبر الدفاعات وهي تختبئ على مرأى من الجميع.

حقائق سريعة

UNC6692 مجموعة قرصنة اكتُشفت حديثًا تستهدف الشركات عبر Microsoft Teams.
بدأت الحملة في ديسمبر 2025 وتستخدم مجموعة من أدوات البرمجيات الخبيثة المخصصة المعروفة باسم منظومة SNOW.
يستغل المهاجمون الهندسة الاجتماعية وخدمات سحابية شرعية لتجاوز الأمن التقليدي.
تُمكّن سرقة بيانات الاعتماد من الحركة الجانبية نحو خوادم حرجة، بما في ذلك وحدات تحكم المجال.
يحذّر الباحثون من أن الاكتشاف المبكر بالغ الأهمية لأن المهاجمين يندمجون ضمن نشاط شبكة المكتب الطبيعي.

تبدأ سلسلة الهجوم بوابل كاسح من رسائل البريد العشوائي - حيلة قديمة بلمسة جديدة. وبينما ينشغل المستهدفون، يتسلل UNC6692 إلى محادثات Microsoft Teams متقمصًا دور موظفي تقنية المعلومات المتعاونين. ويُعرض على الضحايا “تصحيح” مزيف ضد البريد العشوائي ذاته الذي يغمر صندوق الوارد. يقود الرابط إلى صفحة تسجيل دخول مقنعة، مصممة على أنها أداة إصلاح صندوق البريد، وتقوم بدهاء برفض أول محاولتين لإدخال كلمة المرور لتهدئة المستخدم وإيهامه بالأمان. وعندما يمتثل الضحية أخيرًا، تُنزَّل نصوص خبيثة بصمت، مطلِقة منظومة SNOW داخل شبكة الشركة.

عدة SNOW معيارية وخبيثة في آن واحد. فامتداد المتصفح SNOWBELT يرسّخ موطئ قدم أوليًا، وينقل الأوامر إلى المهاجمين. أما SNOWGLAZE، وهو نفق مبني على Python، فينشئ قنوات خفية للتواصل المستمر، بينما يتيح SNOWBASIN، وهو باب خلفي قوي، تنفيذ الأوامر عن بُعد ومراقبة النظام. وباستخدام هذه الأدوات، يرسم UNC6692 خريطة الشبكة الداخلية بهدوء، باحثًا عن المنافذ المفتوحة والخوادم الضعيفة.

الجائزة الحقيقية تكمن في عمود المصادقة الفقري للشركة. فمن خلال استهداف عملية LSASS على خوادم النسخ الاحتياطي، يستخرج المهاجمون بيانات اعتماد حساسة باستخدام تقنية تُسمى Pass-The-Hash. وهذا يتيح الحركة الجانبية إلى وحدات تحكم المجال - الخوادم التي تحمل مفاتيح المملكة الرقمية. وبأدوات مثل FTK Imager، يهرّب القراصنة قواعد بيانات Active Directory كاملة وخلايا السجل، التي تحتوي أسرار كل حساب مستخدم. ثم تُنقل البيانات المسروقة بعيدًا باستخدام أدوات تهريب البيانات مثل LimeWire، مع ترك أثر ضئيل خلفهم.

ما يميز هذه الحملة هو قدرتها على محاكاة حركة المرور الشرعية. فمن خلال إساءة استخدام منصات موثوقة مثل Microsoft Teams والاستفادة من برمجيات خبيثة متعددة المنصات، يتفادى UNC6692 كثيرًا من وسائل الدفاع التقليدية. ويحذّر الخبراء من أن المؤسسات لن تتمكن من رصد مثل هذه التهديدات مبكرًا إلا عبر ربط الشذوذات الدقيقة عبر المتصفحات والسكربتات المحلية والخدمات السحابية.

ومع ازدياد تطور مجرمي الإنترنت يومًا بعد يوم، لم يعد الفاصل بين ثرثرة المكتب العادية والخداع الرقمي أرقّ مما هو عليه الآن. في عالم يمكن لرسالة Teams بسيطة أن تفتح الباب لاختراق شامل، لم تعد اليقظة وكشف التهديدات المتقدم خيارًا - بل هما خط الدفاع الأخير.

WIKICROOK

الهندسة الاجتماعية: الهندسة الاجتماعية هي استخدام الخداع من قبل القراصنة لخداع الناس كي يكشفوا معلومات سرية أو يوفروا وصولًا غير مصرح به إلى الأنظمة.
سرقة بيانات الاعتماد: تحدث سرقة بيانات الاعتماد عندما يسرق القراصنة أسماء المستخدمين وكلمات المرور، غالبًا عبر التصيد أو اختراقات البيانات، للوصول بشكل غير قانوني إلى الحسابات عبر الإنترنت.
الحركة الجانبية: الحركة الجانبية هي عندما ينتقل المهاجمون، بعد اختراق شبكة، بشكل جانبي للوصول إلى مزيد من الأنظمة أو البيانات الحساسة، موسّعين سيطرتهم ونطاقهم.
Pass: هجوم Pass-the-Hash هو هجوم سيبراني يستخدم فيه المهاجمون تجزئات كلمات مرور مسروقة للوصول إلى الأنظمة، متجاوزين الحاجة إلى كلمة المرور الفعلية.
وحدة تحكم المجال: وحدة تحكم المجال هي خادم مركزي في شبكات Windows يدير مصادقة المستخدمين وسياسات الأمان والوصول إلى موارد الشبكة.