الصفحات
بحث
تحذير: هجمات ShinyHunters تخترق حسابات SSO وتسرق البيانات
الأمن السيبراني #أمن_سيبراني #ShinyHunters

تحذير: هجمات ShinyHunters تخترق حسابات SSO وتسرق البيانات

منذ 4 أيام 23 مشاهدة 0 تعليق 2 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
23 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

كشفت شركة Mandiant (التابعة لمجموعة Google Threat Intelligence) في تقرير أمني جديد عن تفاصيل مقلقة حول هجمات تشنها مجموعة ShinyHunters، حيث تستخدم "التصيد الصوتي" (Vishing) لاختراق حسابات الدخول الموحد (SSO) وسرقة بيانات الشركات الحساسة.

خداع الموظفين عبر الهاتف

وفقاً للتقرير، ينتحل المهاجمون صفة موظفي الدعم الفني أو تكنولوجيا المعلومات في الشركة المستهدفة، ويقومون بالاتصال بالموظفين مباشرة. يزعم المتصلون أن إعدادات المصادقة متعددة العوامل (MFA) بحاجة إلى تحديث عاجل، ويوجهون الضحية إلى موقع تصيد يشبه تماماً بوابة تسجيل الدخول الخاصة بالشركة.

أشارت شركة Okta إلى أن هذه المواقع تستخدم أدوات تصيد متطورة تسمح للمهاجمين بعرض مربعات حوار تفاعلية أثناء وجودهم على الهاتف مع الضحية. وبينما لا يزال الموظف على الخط، يقوم المهاجم بنقل بيانات الاعتماد المسروقة في الوقت الفعلي، ويطلب من الضحية الموافقة على إشعارات الدخول أو تزويده برموز المرور لمرة واحدة (OTP).

الوصول إلى لوحات التحكم المركزية

بمجرد نجاح المصادقة، يقوم المهاجمون بتسجيل أجهزتهم الخاصة في نظام MFA لضمان استمرار الوصول. يتيح لهم ذلك الدخول إلى لوحات تحكم الدخول الموحد (SSO) مثل Okta أو Microsoft Entra أو Google SSO، والتي تعمل كمركز يضم كافة التطبيقات التي يملك المستخدم صلاحية الوصول إليها.

سرقة البيانات من التطبيقات السحابية

تصبح لوحة تحكم SSO نقطة انطلاق لسرقة البيانات السحابية للشركة. ومن خلال حساب واحد مخترق، يمكن للمهاجمين الوصول إلى خدمات متعددة، أبرزها:

  • منصة Salesforce (هدف رئيسي لمجموعة ShinyHunters).
  • حزمة Microsoft 365 و SharePoint.
  • خدمات DocuSign و Slack و Dropbox.

وأكدت مجموعة الابتزاز ShinyHunters لموقع BleepingComputer مسؤوليتها عن هذه الهجمات بالتعاون مع مجموعات أخرى. وقد أطلقت المجموعة موقعاً لتسريب البيانات المسروقة كوسيلة للضغط والابتزاز.

أدوات لإخفاء الآثار وتكتيكات متطورة

رصدت Mandiant استخدام المهاجمين لأداة إضافية في Google Workspace تسمى "ToogleBox Recall" في إحدى الحوادث. تم استخدام هذه الأداة للبحث عن رسائل البريد الإلكتروني وحذفها بشكل دائم، وتحديداً الرسائل التي تنبه الموظف بتسجيل جهاز MFA جديد، وذلك لإخفاء نشاطهم.

كما أوضح التقرير أن النطاقات المستخدمة في الهجمات (التي تتبع المجموعة UNC6661) كانت مسجلة بتنسيقات تحاكي بوابات الشركات الرسمية، مثل companyname-sso.com أو companyname-internal.com. ومن الأمثلة على ذلك استخدام نطاق matchinternal.com في اختراق حديث لشركة Match Group.

توصيات الحماية

أوصت Mandiant المؤسسات بالتركيز على اكتشاف السلوكيات المشبوهة، مثل اختراق حساب SSO الذي يتبعه استخراج سريع للبيانات من منصات SaaS، أو استخدام PowerShell للوصول إلى SharePoint، أو أي تفويض غير متوقع لتطبيقات مثل ToogleBox Recall.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##أمن_سيبراني ##ShinyHunters ##اختراق_البيانات ##Mandiant

الأسئلة الشائعة

ينتحل المهاجمون صفة موظفي الدعم الفني ويتصلون بالموظفين لإقناعهم بتحديث إعدادات الأمان عبر مواقع وهمية لسرقة بيانات الدخول ورموز المصادقة.

تستهدف الهجمات بشكل رئيسي منصات Salesforce و Microsoft 365 و SharePoint و DocuSign عبر لوحات تحكم SSO المخترقة.

يستخدمون أدوات مثل ToogleBox Recall لحذف رسائل البريد الإلكتروني التي تنبه المستخدمين بتغييرات الأمان أو تسجيل أجهزة جديدة.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!