حذر مكتب التحقيقات الفيدرالي (FBI) من مجموعة التصيد الاحتيالي الجديدة كخدمة (PhaaS) التي تستهدف حسابات Microsoft 365 في حملة معقدة ولكن يمكن الوصول إليها بسهولة.
يمكّن Kali365 PhaaS المهاجمين من الوصول المستمر إلى بيئات Microsoft 365 عن طريق سرقة رموز “OAuth” عبر رسائل البريد الإلكتروني التصيدية التي تم إنشاؤها بواسطة الذكاء الاصطناعي والتي توجه المستخدمين إلى مواقع التحقق الشرعية من Microsoft.
بمجرد حصول المهاجم على رمز OAuth، يمكنه الوصول إلى Outlook وTeams وOneDrive دون الحاجة إلى أي آليات تحقق أو مصادقة إضافية.
تعتمد حملات التصيد الاحتيالي مثل هذه على خطأ بشري لاختراق الحسابات، ولكن لحسن الحظ، هناك العديد من الخطوات التي يجب عليك اتخاذها للحفاظ على أمان حساباتك وبيئات Microsoft 365 الأوسع. فيما يلي 3 طرق يمكن للشركات من خلالها حماية نفسها من حملة Kali365 PhaaS:
1. احذر من التصيد الاحتيالي
تأتي رسائل البريد الإلكتروني التصيدية بتنسيقات مختلفة. قد تشمل هذه دعوات لمقابلات العمل، وطلبات الوصول إلى المستندات، وكل شيء بينهما. يستخدم المتسللون أدوات الذكاء الاصطناعي لإنشاء رسائل بريد إلكتروني تصيدية مقنعة للغاية يمكنها التسلل عبر مرشحات الكشف عن البريد العشوائي والاندماج مع حركة البريد الإلكتروني العادية.
يجب على مسؤولي تكنولوجيا المعلومات الانتباه إلى أحدث الأدلة من مصادر الاستخبارات حول اتجاهات البريد الإلكتروني التصيدية والحملات المستمرة. بالإضافة إلى ذلك، يمكن تدريب الموظفين على اكتشاف رسائل البريد الإلكتروني التصيدية والإبلاغ عنها من خلال عمليات محاكاة منتظمة تحاكي التكتيكات والتقنيات والإجراءات الفعلية (TTPs) التي يستخدمها المتسللون.
يجب أن يكون المستخدمون أيضًا في حالة تأهب بشأن طلبات مصادقة حساب Microsoft غير المتوقعة، خاصة إذا لم يحاول المستخدم تسجيل الدخول.
2. قواعد الوصول المشروط
يوصي مكتب التحقيقات الفيدرالي بالتمكين قواعد الوصول المشروط التي تمنع تدفق رمز الجهاز لجميع المستخدمين. يؤدي حظر تدفق رمز الجهاز إلى منع التقاط رمز جذر Kali365 OAuth من العمل.
أثناء هجوم Kali365، يقوم المتسلل بتحميل رمز الجهاز الذي تم إنشاؤه مسبقًا من جهازه إلى جانب صفحة التحقق الشرعية من Microsoft. يتم بعد ذلك إدخال الرمز الذي أرسله المهاجم من قبل الضحية في صفحة المصادقة، مما يسمح للمهاجم بتسجيل الدخول إلى حساب الضحية. يقوم المهاجم بعد ذلك بسرقة الوصول إلى OAuth وتحديث الرموز المميزة للوصول إلى Outlook وTeams وOneDrive دون الحاجة إلى كلمة مرور أو مصادقة.
من خلال حظر طريقة المصادقة هذه، حتى لو تمكنت الضحية من الوصول إلى البريد الإلكتروني التصيدي وأدخلت الرمز، فسوف يفشل تسجيل دخول المهاجم.
ومع ذلك، قبل تطبيق كتلة تدفق رمز الجهاز العالمي، يجب عليك التحقق من استخدامك الحالي لتحديد المكان الذي يتم فيه استخدام مصادقة تدفق رمز الجهاز بشكل قانوني. قد يؤدي حظر الاستخدام المشروع إلى تعطيل العمليات اليومية في ظروف معينة.
3. حظر سياسات إعادة توجيه المصادقة
لتسهيل الحياة على مستخدمي 365، قدمت Microsoft خيارًا يسمح للمستخدم باستخدام جهاز موثوق به لمسح رمز الاستجابة السريعة المعروض على جهاز منفصل لمصادقة تسجيل الدخول.
ومع ذلك، فإن هذه الميزة المريحة تسهل على المهاجمين مصادقة بيانات الاعتماد الخاصة بهم لحساب الضحية بعد سرقة رموز OAuth المميزة. بمجرد أن يتمكن المهاجم من الوصول إلى حساب الضحية، يمكنه استخدام جهازه “الموثوق” الجديد لمصادقة طلبات الوصول إلى حسابه الخاص.
بواسطة حظر سياسة إعادة توجيه المصادقةلا يمنع المهاجمين من مصادقة جلساتهم الخاصة فحسب، بل يمكن أن يساعد أيضًا في منع الموظفين من تسجيل الدخول إلى الأجهزة الشخصية غير المُدارة التي قد تعرض بيانات الشركة للخطر.
نصائح الخبراء
علقت ديبورا جاليا، خبيرة الأمن السيبراني في Filigran، على هجمات Kali365:
“أصبحت منصات التصيد الاحتيالي كخدمة (PhaaS) مثل Kali365 أكثر شيوعًا، مما يحول القرصنة إلى عمل اشتراك تجاري للغاية. وهذا يعني أن الجهات الفاعلة السيئة يمكنها الآن الاستفادة من هذه المجموعات الجاهزة بدلاً من بناء البنية التحتية من الصفر، مما يقلل بشكل كبير من حاجز الدخول.”
يعد Kali365 خطيرًا بشكل خاص لأنه يتجاوز المصادقة متعددة العوامل (MFA) دون سرقة بيانات الاعتماد ويسمح للمتسللين بالاستيلاء على حسابات Microsoft 365.
“يعد Kali365 خطيرًا بشكل خاص لأنه يتجاوز المصادقة متعددة العوامل (MFA) دون سرقة بيانات الاعتماد ويسمح للمتسللين بالاستيلاء على حسابات Microsoft 365. نوصي الشركات بتنفيذ تدابير وقائية مثل تقييد تدفق رمز الجهاز، وحظر نقل المصادقة، وتنفيذ MFA المقاوم للتصيد الاحتيالي.”
كما علق أندريا سيفييري، كبير مسؤولي المنتجات والتكنولوجيا في CoreView:
“يؤكد تحذير مكتب التحقيقات الفيدرالي بشأن Kali365 على النمط الذي نشهده منذ أشهر في بيئات Microsoft 365 الخاصة بالمؤسسات. لم يعد المهاجمون يخترقون Microsoft 365، بل يقومون بتسجيل الدخول باستخدام ميزات أنشأتها Microsoft لأغراض مشروعة. يوجد تدفق رمز الجهاز لسبب ما – إنها الطريقة التي تقوم بها أجهزة التلفزيون الذكية وأجهزة إنترنت الأشياء بتسجيل دخولك إلى حسابك. لقد أدرك المهاجمون ببساطة أنها طريقة بدائية جميلة للتصيد الاحتيالي لأن المستخدم هو الذي لا يمكن للنقرات “الالتزام” في موقع Microsoft الحقيقي على الويب أن تحميك من التدفق الذي يقوم فيه المستخدم بتنفيذ MFA بمفرده.
الشيء المحبط هو أن أهم توصيات مكتب التحقيقات الفيدرالي (FBI)، والتي تمنع تدفق تعليمات برمجية للجهاز من خلال سياسات الوصول المشروط، هو شيء يمكن لكل مسؤول Microsoft 365 تمكينه بعد ظهر هذا اليوم.
“الأمر المحبط هو أن التوصية العليا لمكتب التحقيقات الفيدرالي، وهي حظر تدفق تعليمات برمجية للجهاز من خلال سياسات الوصول المشروط، هو أمر يمكن لأي مسؤول Microsoft 365 تمكينه بعد ظهر هذا اليوم. والسبب في عدم قيام معظم المؤسسات بذلك هو أن الوصول المشروط في المستأجر الحقيقي عبارة عن مجموعة من السياسات التي تم تحريرها من قبل عشرين شخصًا مختلفًا على مدار خمس سنوات. ولا أحد متأكد تمامًا من حظر تدفق واحد سيتم كسره. لذلك تظل السياسات مفتوحة ويبقى المهاجمون في العمل.”
“هناك درس أكبر هنا لكل مؤسسة تمارس أعمالها على Microsoft 365. لن يبدأ الاختراق التالي في مؤسسة كبيرة باستغلال أحد المتسللين لثغرة أمنية. سيبدأ بطلب مهذب للغاية من أحد الموظفين لتنفيذ إجراء مشروع على منتج Microsoft شرعي. لا يتعلق الدفاع بتكنولوجيا أفضل، بل يتعلق بالرؤية في الوقت الفعلي لما يتغير فعليًا في المستأجر، والانضباط لإعادة فحص سياسات الأمان التي أصبحت قديمة بهدوء.”
