تم تحديد مجموعة أدوات متطورة للتصيد الاحتيالي من نوع "الخصم في الوسط" (AiTM) كأداة رئيسية في حملة مصممة لاختراق حسابات أمازون ويب سيرفيسز (AWS). تمثل هذه التقنية تطوراً كبيراً في سرقة بيانات الاعتماد، حيث تتجاوز صفحات تسجيل الدخول المزيفة البسيطة. في هجوم AiTM، يضع الجهة الخبيثة نفسها بين الضحية والخدمة الشرعية. عندما يدخل المستخدم بيانات اعتماده على صفحة التصيد، تقوم الأداة بنقلها فوراً إلى بوابة تسجيل الدخول الحقيقية لـ AWS، مع التقاط رموز المصادقة متعددة العوامل (MFA) أو ملفات تعريف ارتباط الجلسة في نفس الوقت. وهذا يسمح للمهاجمين بتجاوز حماية MFA تماماً، مما يمنحهم وصولاً كاملاً ومصادقاً عليه إلى بيئات الحوسبة السحابية المؤسسية. غالباً ما تُستخدم الحسابات المخترقة بعد ذلك لشن هجمات إضافية، أو تعدين العملات المشفرة، أو إنشاء موطئ قدم دائم لاستخراج البيانات. تؤكد هذه الحملة على الحاجة الماسة للمؤسسات للانتقال من الاعتماد على MFA وحده إلى اعتماد طرق مصادقة مقاومة للتصيد، مثل مفاتيح أمان FIDO2، وتنفيذ مراقبة صارمة للنشاط غير الطبيعي داخل المنصات السحابية.
في عملية منفصلة وممتدة، كشف باحثو الأمن السيبراني عن حملة برمجيات خبيثة استمرت لمدة عام تستهدف على وجه التحديد أقسام الموارد البشرية (HR) عبر مختلف الصناعات. يستخدم المهاجمون رسائل بريد إلكتروني تصيدية مصممة بدقة، غالباً ما تنتحل شخصية المتقدمين للوظائف، لتسليم حمولات ضارة. بمجرد دخول البرنامج الضار—وهو نوع من برامج سرقة المعلومات مثل Agent Tesla أو Remcos RAT—إلى نظام أخصائي الموارد البشرية، يبدأ في جمع البيانات الحساسة. وهذا يشمل معلومات التعريف الشخصية للموظفين (PII)، وبيانات الرواتب، والاتصالات الداخلية، وأوراق اعتماد النظام. تشير المدة الطويلة والاستهداف المحدد إلى عملية تجسس مدفوعة بتحقيق مكاسب مالية، تهدف إلى جمع البيانات لعمليات سرقة الهوية، أو الاحتيال المؤسسي، أو البيع في منتديات الشبكة المظلمة. تعتبر أقسام الموارد البشرية هدفاً ذا قيمة عالية بسبب وصولها المركزي إلى كميات هائلة من بيانات الموظفين والبيانات المالية السرية، مما يجعل التدريب الأمني القوي والترشيح المتقدم للبريد الإلكتروني أمراً ضرورياً لهذه الفرق.
يرسم تقارب هاتين التهديدين صورة مقلقة لمشهد التهديدات الحالي. يقوم المهاجمون في نفس الوقت بصقل تقنيات آلية واسعة النطاق لاختراق البنية التحتية السحابية الرئيسية، بينما ينفذون أيضاً حملات مستهدفة وصبورة ضد أهداف سهلة وغنية بالبيانات. تستغل هجمات AWS باستخدام AiTM الاعتماد على طرق MFA القابلة للتصيد، مما يسلط الضوء على نقطة ضعف نظامية في الوضع الأمني السحابي للعديد من المنظمات. في المقابل، تظهر الحملة الموجهة نحو الموارد البشرية كيف يظل التصيد الاجتماعي فعالاً بشكل مدمر عند اقترانه ببرامج ضارة جاهزة. يؤكد كلا الحادثين مبدأ أن الأمن السيبراني هو دفاع متعدد الطبقات. يجب استكمال الضوابط التقنية مثل MFA المقاوم للتصيد واكتشاف نقاط النهاية بتدريب مستمر على التوعية الأمنية المحددة حسب الدور، خاصة للإدارات عالية المخاطر مثل الموارد البشرية والمالية والمكاتب التنفيذية.
يجب أن يكون رد المدافعين متعدد الجوانب بنفس القدر. يجب على المنظمات مراجعة بيئاتها السحابية على الفور، وخاصة حسابات المسؤولين، بحثاً عن علامات الاختراق، وإنفاذ سياسات صارمة لإدارة الهوية والوصول (IAM). يمكن أن يساعد تنفيذ سياسات الوصول المشروط التي تقيم مخاطر تسجيل الدخول بناءً على الموقع والجهاز والسلوك في التخفيف من هجمات AiTM. فيما يتعلق بتهديد الموارد البشرية، يجب على فرق الأمن إجراء اختبارات تصيد محاكاة مصممة خصيصاً لسيناريوهات الموارد البشرية، وضمان وجود قواعد قوية لمنع فقدان البيانات (DLP) لمراقبة النقل غير المصرح به للبيانات الحساسة للموظفين. في النهاية، هذه المراجعات الأسبوعية للتهديدات المهمة ليست مجرد عناصر إخبارية، بل هي معلومات استخباراتية قابلة للتنفيذ، توفر لفرق الأمن خريطة طريق لتقوية دفاعاتهم بشكل استباقي ضد التكتيكات المتطورة للخصوم السيبرانيين المعاصرين.
