داخل العاصفة الثلجية: كيف حوّل القراصنة Microsoft Teams إلى آلة لتسليم البرمجيات الخبيثة

العنوان الفرعي: مجرمو الإنترنت يسلّحون الهندسة الاجتماعية وحزمة برمجيات خبيثة مخصّصة باسم “Snow” لاختراق شبكات الشركات عبر Microsoft Teams.

بدأ الأمر بوابل من رسائل البريد الإلكتروني - كثيرٍ منها لدرجة بدت معها شبه عَرَضية. لكن بالنسبة للموظفين الذين تلقّوها، كان الخطر الحقيقي لم يأتِ بعد. متنكرين في هيئة موظفي دعم تقني متعاونين على Microsoft Teams، كانت مجموعة جريمة إلكترونية مراوغة تُدعى UNC6692 على وشك إطلاق هجوم متطور سيترك حتى فرق الأمن المتمرّسة في مهبّ البرد.

حقائق سريعة

تقوم UNC6692 بنشر حزمة برمجيات خبيثة مخصّصة تُسمّى “Snow” عبر الهندسة الاجتماعية على Microsoft Teams.
تتضمن سلسلة الهجوم إضافة متصفح (SnowBelt)، وأداة نفق (SnowGlaze)، وبابًا خلفيًا بلغة بايثون (SnowBasin).
يُخدع الضحايا لتثبيت البرمجيات الخبيثة تحت غطاء “تصحيح” لمكافحة الرسائل المزعجة.
يحقق المهاجمون اختراقًا عميقًا للشبكة، مع سرقة بيانات الاعتماد واستخراج بيانات Active Directory.
تفيد Google Mandiant وMicrosoft بأن هذه الطريقة تكتسب زخمًا في عالم الجريمة الإلكترونية.

تشريح هذا الهجوم معقّد ومُرعب في آنٍ واحد. فبحسب باحثي Mandiant، تبدأ UNC6692 بـ“قصف البريد الإلكتروني” للأهداف، مُغرِقةً إياهم بالرسائل المزعجة لخلق شعور بالإلحاح. ثم، وبانتحال صفة وكلاء مكتب مساعدة تقنية عبر Microsoft Teams، يتواصل المهاجمون مباشرةً عارضين “تصحيحًا” مزعومًا لحجب الرسائل المزعجة. لكن التصحيح، في الحقيقة، هو مُسقِط (dropper): برنامج خبيث يُشغّل بهدوء نصوص AutoHotkey لتثبيت “SnowBelt”، وهي إضافة Chrome مصممة للعمل خفية.

لا يرى الضحايا الإضافة وهي تعمل مطلقًا، إذ تعمل داخل متصفح Microsoft Edge بلا واجهة (headless). وفي الوقت نفسه، يُعدّ المهاجمون مهامًا مجدولة واختصارات بدء تشغيل لضمان الاستمرارية. لكن SnowBelt ليست سوى البداية. فهي تعمل كمرحّل أوامر، تمرّر التعليمات من المهاجمين إلى أداة أخرى: SnowBasin، وهو باب خلفي قائم على بايثون قادر على تنفيذ أوامر الصدفة، وسرقة الملفات، والتقاط لقطات شاشة، وغير ذلك.

تُخفى الاتصالات بين الجهاز المخترق وخوادم القيادة والتحكم الخاصة بالمهاجمين بواسطة SnowGlaze، وهي أداة نفق تستخدم اتصالات WebSocket ويمكنها تمرير حركة مرور شبكية عشوائية عبر وكيل. وهذا يجعل من الصعب على المدافعين رصد العلامات الدالة على التسلل.

وما إن يدخلوا، حتى يتحرك المهاجمون بسرعة. يفحصون الخدمات الضعيفة، ويفرّغون بيانات الاعتماد من الذاكرة، ويستخدمون تقنيات متقدمة مثل pass-the-hash للانتقال من نظام إلى آخر. والغاية النهائية؟ السيطرة الكاملة على جواهر الشبكة الثمينة: وحدات تحكم المجال وقواعد بيانات Active Directory. وباستخدام أدوات جنائية شرعية مثل FTK Imager، يهرّبون خلايا السجل الحرجة وبيانات الاعتماد، ثم ينسحبون عبر LimeWire - تاركين وراءهم أثرًا من الأسرار المخترقة.

إن مجموعة أدوات “Snow” معيارية، دائمة، ومتخفية - وتُمثّل الوجه الجديد لهجمات الهندسة الاجتماعية في مكان العمل. وتحذّر كل من Microsoft وMandiant من أن هذا المزيج من البراعة التقنية والتلاعب النفسي بات يتحول إلى اتجاه، إذ يستغل المجرمون الأدوات ذاتها المصممة لتعزيز الإنتاجية والثقة.

ومع اعتماد المؤسسات أكثر على منصات التعاون مثل Microsoft Teams، يصبح الحد الفاصل بين الدعم المفيد والخداع الضار أرقّ. إن هجمات “Snow” تذكير صارخ: في العاصفة الرقمية لبيئة العمل الحديثة، تبقى اليقظة هي الملاذ الحقيقي الوحيد.

WIKICROOK

Dropper: المُسقِط (dropper) هو نوع من البرمجيات الخبيثة يثبت سرًا برامج خبيثة إضافية على جهاز مُصاب، ما يساعد المهاجمين على تجاوز إجراءات الأمان.
Persistence: تشير الاستمرارية إلى تقنيات تستخدمها البرمجيات الخبيثة للبقاء بعد إعادة التشغيل والاختباء داخل الأنظمة، غالبًا عبر محاكاة عمليات أو تحديثات شرعية.
WebSocket: WebSocket هو بروتوكول يُبقي قناة مفتوحة بين متصفحك وخادم، ما يتيح تبادل رسائل ثنائي الاتجاه وفي الوقت الحقيقي.
Pass: هجوم Pass-the-Hash هو هجوم إلكتروني يستخدم فيه المهاجمون تجزئات كلمات مرور مسروقة للوصول إلى الأنظمة، متجاوزين الحاجة إلى كلمة المرور الفعلية.
Active Directory: Active Directory هو نظام Microsoft لإدارة المستخدمين والأجهزة والأذونات عبر شبكات المؤسسات، مع مركزة التحكم في الوصول وضوابط الأمان.