کمیته رکن چهارم – شرکت Mandiant وابسته به گوگل از افزایش حملات اخاذیمحور خبر داده است که با استفاده از ویشینگ پیشرفته و سرقت اعتبارنامه، سرویسهای ابری و SaaS سازمانها را هدف قرار میدهد.
به گزارش کمیته رکن چهارم- بررسیهای Mandiant نشان میدهد این فعالیتها به یک شبکه مجرمانه با انگیزه مالی منتسب است که با نامهایی مانند ShinyHunters، UNC6661 و UNC6671 ردیابی میشوند. مهاجمان با جعل هویت کارکنان فناوری اطلاعات، از طریق تماس تلفنی قربانیان را فریب میدهند تا به وبسایتهای جعلی هدایت شوند و اطلاعات ورود یکپارچه (SSO) و کدهای احراز هویت چندمرحلهای (MFA) خود را وارد کنند.
بر اساس این گزارش، اعتبارنامههای سرقتشده برای ثبت دستگاه مهاجم بهعنوان عامل MFA استفاده شده و سپس دادههای حساس از پلتفرمهایی مانند ایمیل سازمانی، SharePoint و OneDrive استخراج میشود. در برخی موارد، دسترسی به حسابهای ایمیل برای اجرای حملات فیشینگ ثانویه و پوشاندن ردپا نیز مورد سوءاستفاده قرار گرفته است.
ماندیانت اعلام کرده تمرکز این گروهها بر محیطهای SaaS نشاندهنده تلاش برای دستیابی به دادههایی با ارزش بالاتر و افزایش فشار اخاذی است. همچنین گزارش شده که مهاجمان در برخی حملات، تهدید و آزار مستقیم کارکنان سازمانهای قربانی را نیز در دستور کار قرار دادهاند.
گوگل با تأکید بر اینکه این حملات ناشی از نقص فنی در سرویسهای ابری نیست، مهندسی اجتماعی را عامل اصلی موفقیت آنها دانسته و به سازمانها توصیه کرده است استفاده از MFA مقاوم در برابر فیشینگ مانند کلیدهای امنیتی FIDO2 یا Passkey، تقویت فرآیندهای Help Desk و پایش دقیق رویدادهای هویتی در محیطهای SaaS را در اولویت قرار دهند.
منبع: The Hacker News
