برمجية Snow الخبيثة تغزو Microsoft Teams: كيف تتسلل حزمة UNC6692 إلى الشركات؟

مقدمة تحليلية

في تطور خطير يعكس تحول استراتيجيات التهديد السيبراني، رصد خبراء الأمن نشاطاً مكثفاً لمجموعة التهديد المتقدمة UNC6692 التي بدأت في استغلال منصة Microsoft Teams كمنصة انطلاق لهجماتها. لا يعد هذا الهجوم مجرد محاولة اختراق تقليدية، بل هو تحول استراتيجي من الاعتماد على البريد الإلكتروني (Phishing) إلى استغلال 'جزر الثقة' داخل بيئات العمل المؤسسية. استخدام منصات التواصل الفوري يمنح المهاجمين ميزة نفسية، حيث يميل الموظفون إلى الثقة في الرسائل الواردة عبر Teams أكثر من تلك الواردة عبر القنوات الخارجية، مما يجعل معدل الاستجابة للهندسة الاجتماعية مرتفعاً بشكل مرعب.

تعتمد المجموعة في هجومها على نشر حزمة برمجية مخصصة أُطلق عليها اسم 'Snow'. هذه الحزمة ليست مجرد فيروس بسيط، بل هي منظومة متكاملة تتألف من ملحق للمتصفح، وأداة نفق (Tunneler)، وباب خلفي (Backdoor). يمثل هذا المزيج التقني تهديداً ثلاثي الأبعاد يستهدف سرقة البيانات، وتجاوز جدران الحماية، وضمان البقاء الدائم داخل الشبكة المخترقة. إن ظهور Snow يعيد تسليط الضوء على الفجوات الأمنية في تطبيقات SaaS التي باتت العمود الفقري للعمل الهجين حول العالم.

التحليل التقني

تبدأ دورة الهجوم بعملية هندسة اجتماعية متقنة، حيث يتم إرسال رسائل عبر Microsoft Teams تتضمن ملفات مفخخة أو روابط خبيثة تقود المستخدم إلى تحميل حزمة Snow. بمجرد تنفيذها، تبدأ المكونات الثلاثة في العمل بالتوازي:

• ملحق المتصفح الخبيث (Browser Extension): يستهدف المتصفحات المبنية على نواة Chromium. يقوم هذا الملحق باعتراض جلسات تسجيل الدخول (Session Cookies) وسرقة بيانات الاعتماد، مما يسمح للمهاجمين بتجاوز المصادقة الثنائية (MFA) عبر سرقة الرموز النشطة.
• أداة النفق (The Tunneler): هذه الأداة هي المسؤولة عن خلق ممر آمن للمهاجمين داخل الشبكة. تقوم بإنشاء اتصال عكسي مع خادم القيادة والسيطرة (C2)، مما يسمح للمهاجمين بتجاوز NAT وأنظمة جدار الحماية التقليدية، وتحويل الجهاز المصاب إلى نقطة عبور لمزيد من الهجمات داخل الشبكة المحلية.
• الباب الخلفي (Backdoor): يوفر وصولاً مستمراً (Persistence). يتميز بقدرته على تنفيذ أوامر عن بُعد، وتنزيل ملفات إضافية، وتحديث نفسه لتجنب الكشف بواسطة برامج الأنتي فايروس التقليدية.

تستخدم مجموعة UNC6692 تقنيات التشفير والتمويه لإخفاء حركة مرور البيانات الخاصة ببرمجية Snow، حيث يتم دمج حركة البيانات الخبيثة مع حركة مرور الشبكة العادية لجعل اكتشافها عبر أنظمة مراقبة الشبكة أمراً في غاية الصعوبة. كما أن الاعتماد على Microsoft Teams كمتجه أساسي للهجوم يعني أن المهاجمين يتجاوزون بوابات أمان البريد الإلكتروني (SEG) التي عادة ما تكون الخط الدفاعي الأول.

السياق وتأثير السوق

تاريخياً، كانت مجموعات التجسس السيبراني تركز على ثغرات النظام (Zero-days)، لكن UNC6692 تتبع نهجاً يركز على 'ثغرة الإنسان' و'ثغرة المنصة'. يضع هذا الهجوم مايكروسوفت في وضع حرج، حيث أن Teams أصبح الآن وسيلة لنشر البرمجيات الخبيثة بدلاً من كونه مجرد أداة إنتاجية. في سوق الأمن السيبراني، سيؤدي هذا التهديد إلى زيادة الطلب على حلول 'أمن التعاون' (Collaboration Security) التي تراقب المحتوى داخل تطبيقات الدردشة المؤسسية.

مقارنة بالمنافسين مثل Slack أو Zoom، فإن Microsoft Teams يمتلك قاعدة مستخدمين ضخمة في قطاع الشركات الكبرى والحكومات، مما يجعل 'Snow' تهديداً ذا أبعاد جيوسياسية واقتصادية. الشركات الآن مجبرة على إعادة النظر في سياسات الثقة المطلقة داخل تطبيقاتها الداخلية، والانتقال نحو نموذج 'Zero Trust' الذي يشمل حتى الرسائل المتبادلة بين الزملاء.

رؤية Glitch4Techs

في Glitch4Techs، نرى أن 'Snow' هو نذير لموجة جديدة من البرمجيات الخبيثة المخصصة للمنصات (Platform-Specific Malware). المشكلة الحقيقية ليست في الكود البرمجي فحسب، بل في غياب الرقابة الأمنية على 'الملحقات' (Extensions) التي باتت تشكل ثقباً أسود في أمن الشركات. البرمجية الخبيثة Snow تثبت أن المهاجمين لم يعودوا بحاجة إلى اختراق الخادم الرئيسي طالما أن بإمكانهم اختراق متصفح الموظف والتحكم في جلسته النشطة.

نتوقع أن نرى تحديثات أمنية صارمة من مايكروسوفت لتقييد كيفية تفاعل الملفات الخارجية مع Teams، لكن الحل الجذري يكمن في تطبيق عزل المتصفح (Browser Isolation) ومراقبة السلوك الشاذ داخل تطبيقات SaaS. إن نصيحتنا التقنية واضحة: لا تعتبر أي رسالة داخل Teams آمنة لمجرد أنها من زميل عمل، فالهوية الرقمية قد تكون مختطفة بالفعل بواسطة حزمة Snow.