قراصنة KongTuke يستهدفون الشركات عبر ثغرات في Microsoft Teams

مقدمة تحليلية

تعد مجموعة التهديد المعروفة باسم KongTuke، والمصنفة تقنياً تحت مسمى Storm-0324، واحدة من أكثر المجموعات تطوراً في استغلال منصات التعاون المؤسسي. رصدت التقارير الأخيرة تحولاً استراتيجياً في تكتيكات هذه المجموعة، حيث انتقلت من الاعتماد التقليدي على البريد الإلكتروني إلى استغلال منصة Microsoft Teams كمنصة أساسية لشن هجمات الاختراق وتوزيع البرمجيات الخبيثة. هذا التحول ليس مجرد تغيير في الوسيلة، بل هو استغلال ذكي لمستويات الثقة العالية التي يوليها الموظفون لمنصات المحادثة الداخلية مقارنة بالبريد الإلكتروني الذي يخضع لرقابة أمنية مشددة. إن خطورة هذا النهج تكمن في قدرة المهاجمين على تجاوز بوابات البريد الإلكتروني الآمنة (SEGs) والوصول مباشرة إلى واجهة العمل اليومية للموظف. تعتمد KongTuke على استغلال ميزات التفاعل الخارجي في Teams، مما يسمح لها بإرسال رسائل أو ملفات ملغومة إلى مستخدمين داخل مؤسسات أخرى دون الحاجة إلى اختراق مسبق لحساباتهم، وهو ما يمثل ثغرة في المفهوم التقليدي للمحيط الأمني للمؤسسة. البيانات المتعلقة بعدد الضحايا الدقيق في الحملة الأخيرة غير متوفرة، إلا أن النطاق يستهدف قطاعات حيوية تشمل التكنولوجيا والتمويل.

التحليل التقني

تعتمد الهجمات التي تنفذها KongTuke عبر Microsoft Teams على سلسلة من الخطوات التقنية المعقدة التي تهدف إلى خداع المستخدم وتحميل برمجيات خبيثة مثل DarkGate. إليكم تفصيل للآليات التقنية المستخدمة:

• استغلال الوصول الخارجي (External Access): يستفيد المهاجمون من إعدادات Microsoft Teams الافتراضية التي تسمح لمستعملين من مستأجري (Tenants) خارجيين بإرسال رسائل إلى الموظفين، ما لم يتم تقييد ذلك برمجياً.
• أداة TeamsPhisher: تشير التقارير إلى استخدام أدوات مثل TeamsPhisher، وهي أداة تعتمد على لغة Python لأتمتة عملية إرسال الرسائل الاحتيالية والملفات إلى المستخدمين المستهدفين عبر Teams.
• تجاوز القيود الأمنية: من خلال إرسال روابط SharePoint أو OneDrive، يتمكن المهاجمون من إخفاء الحمولة الخبيثة داخل بيئة Microsoft الموثوقة، مما يقلل من احتمالية اكتشاف الرابط بواسطة برامج الحماية.
• توزيع DarkGate: الحمولة النهائية غالباً ما تكون برمجية DarkGate، وهي أداة وصول عن بعد (RAT) متطورة قادرة على سرقة البيانات، وتسجيل ضربات المفاتيح، وتوفير وصول كامل للمهاجمين إلى النظام المصاب.
• CVEs المعنية: لا توجد أرقام CVE محددة لهذه الحملة لأنها تعتمد على سوء تكوين الإعدادات واستغلال الميزات التصميمية للمنصة بدلاً من ثغرات برمجية صريحة، ومع ذلك، تظل البيانات المتعلقة بأي CVEs جديدة غير متوفرة.

تعتمد المجموعة على هندسة اجتماعية دقيقة، حيث تتظاهر بأنها رسائل من قسم الدعم الفني أو تحديثات إدارية عاجلة، مما يدفع الموظف للنقر على الروابط أو قبول ملفات بصيغة ZIP تحتوي على ملفات LNK خبيثة.

السياق وتأثير السوق

تاريخياً، ارتبطت مجموعة KongTuke بتوزيع برمجيات الفدية والعمل كمزود وصول أولي (IAB) لمجموعات إجرامية أخرى. انتقالهم إلى Microsoft Teams يعكس توجهاً أوسع في سوق الجرائم السيبرانية نحو منصات SaaS (البرمجيات كخدمة). في السابق، كانت هجمات البريد الإلكتروني هي السائدة، ولكن مع تحسن تقنيات التصفية والوعي الأمني، وجد القراصنة في Teams ثغرة سلوكية وتقنية. على مستوى السوق، يضع هذا التحول ضغوطاً هائلة على Microsoft لتعزيز إعدادات الخصوصية والأمان الافتراضية في Teams. كما يفرض على شركات الأمن السيبراني تطوير أدوات مراقبة مخصصة لمنصات التعاون لا تكتفي بفحص الروابط، بل تحلل أنماط السلوك داخل المحادثات. التأثير المالي لهذه الاختراقات قد يكون ضخماً بالنظر إلى أن الوصول الأولي الذي توفره KongTuke يمهد الطريق لهجمات برمجيات الفدية التي تكلف الشركات ملايين الدولارات في عمليات التعافي وفقدان البيانات.

رؤية Glitch4Techs

من وجهة نظرنا في Glitch4Techs، نرى أن المشكلة الأساسية لا تكمن في تطبيق Microsoft Teams بحد ذاته، بل في فلسفة 'الانفتاح الافتراضي' التي تتبناها منصات العمل السحابية. إن السماح للمستأجرين الخارجيين بالتواصل مع الموظفين دون موافقة مسبقة صريحة هو مخاطرة أمنية غير مبررة في بيئة التهديدات الحالية. نتوقع أن تشهد الفترة القادمة زيادة في الهجمات التي تستخدم منصات مثل Slack وZoom بطرق مماثلة. نوصي المؤسسات بضرورة تبني نموذج 'الثقة الصفرية' (Zero Trust) ليس فقط للشبكات، بل للتواصل الداخلي أيضاً. يجب على مديري الأنظمة تقييد الوصول الخارجي في Microsoft Teams إلى النطاقات الموثوقة فقط، وتفعيل التحقق متعدد العوامل (MFA) الصارم، وتدريب الموظفين على أن منصات الدردشة ليست 'مناطق آمنة' بالضرورة. إن الفشل في معالجة هذه الثغرة السلوكية سيجعل من منصات التعاون الثقب الأسود الجديد في استراتيجيات الدفاع السيبراني. بيانات التكلفة المحددة للحملة الأخيرة أو أسماء الشركات المتضررة بالتفصيل هي بيانات غير متوفرة حالياً، لكن التوجه العام يشير إلى تصعيد خطير في وتيرة هذه العمليات.