کمیته رکن چهارم – شرکت ماندیانت، زیرمجموعه گوگل، از شناسایی موج تازهای از حملات سایبری خبر داده است که در آن مهاجمان با جعل هویت کارکنان فناوری اطلاعات، اطلاعات ورود و کدهای احراز هویت چندمرحلهای کارکنان سازمانها را سرقت میکنند.
به گزارش کمیته رکن چهارم – ماندیانت اعلام کرده این حملات از نظر روش اجرا شباهت زیادی به عملیاتهای اخاذی منتسب به گروه هکری ShinyHunters دارد و با تکیه بر مهندسی اجتماعی پیشرفته، بهویژه ویشینگ (فیشینگ صوتی)، انجام میشود. هدف اصلی مهاجمان، دسترسی غیرمجاز به سرویسهای ابری مبتنی بر SaaS و استخراج دادههای حساس و مکاتبات داخلی سازمانها است.
بر اساس این گزارش، مهاجمان در تماسهای تلفنی خود را بهعنوان کارکنان واحد IT معرفی کرده و قربانیان را متقاعد میکنند که برای رفع مشکل یا بهروزرسانی تنظیمات MFA، روی لینکهایی کلیک کنند که به وبسایتهای جعلی اما بسیار مشابه با صفحات رسمی سازمانها هدایت میشود. پس از وارد کردن اطلاعات ورود و کدهای MFA، مهاجمان از این دادهها برای ثبت دستگاههای جدید احراز هویت و دسترسی کامل به محیط سازمانی استفاده میکنند.
تیم اطلاعات تهدید ماندیانت این فعالیتها را در قالب چند خوشه مختلف از جمله UNC6661، UNC6671 و UNC6240 که با نام ShinyHunters نیز شناخته میشود، ردیابی کرده است. این موضوع نشان میدهد یا بازیگران مختلفی با تاکتیکهای مشابه در حال فعالیت هستند یا این گروهها در حال تغییر ساختار و روشهای عملیاتی خود هستند.
طبق گزارش ماندیانت، دامنه پلتفرمهای ابری هدفگرفتهشده در این حملات رو به گسترش است و مهاجمان بهدنبال دستیابی به دادههای حساستر برای افزایش فشار در مرحله اخاذی هستند. در برخی موارد، حتی آزار و تهدید مستقیم کارکنان سازمانهای قربانی نیز گزارش شده است.
در بررسیهای فنی مشخص شده که در برخی حملات، مهاجمان پس از نفوذ اولیه از دسترسی به ایمیلهای سازمانی برای ارسال پیامهای فیشینگ جدید، بهویژه به شرکتهای فعال در حوزه رمزارز، سوءاستفاده کرده و سپس ایمیلها را برای پنهانسازی ردپا حذف کردهاند. در موارد دیگر نیز دسترسی غیرمجاز به حسابهای Okta مشاهده شده و دادههای حساس از سرویسهایی مانند SharePoint و OneDrive با استفاده از ابزارهایی مانند PowerShell استخراج شده است.
گوگل در واکنش به این تهدیدات تأکید کرده است که این حملات ناشی از نقص فنی در محصولات یا زیرساختهای ارائهدهندگان سرویس نیست، بلکه بار دیگر اثربخشی بالای مهندسی اجتماعی را نشان میدهد. این شرکت به سازمانها توصیه کرده است فرآیندهای احراز هویت و پشتیبانی خود را بازبینی کرده و به سمت استفاده از روشهای مقاوم در برابر فیشینگ مانند کلیدهای امنیتی FIDO2 و Passkey حرکت کنند؛ چرا که روشهایی مانند پیامک، تماس تلفنی یا اعلانهای ساده MFA همچنان در برابر حملات ویشینگ آسیبپذیر هستند.
