الجمعة 26 يونيو 2026 08:45:39 GMT+02:00

Netcrook

الرئيسيةالبيان
الأخبار
Corporate Security IncidentsCloud, SaaS & Identity SecurityIndustrial Cybersecurity & Critical InfrastructureCyber Intelligence, TrendsAI Security & Agentic SystemsCyber Intelligence & Threat TrendsCyber WarfareCyber Warfare & Nation-State OperationsCyber CriminalityBreaches & Data LeaksCybercrimeMalware & BotnetsRansomware & ExtortionSecurity Awareness & Social EngineeringLegal PolicyLegal, Policy & Government CybersecurityPrivacy, Regulation & ComplianceTechnology, InnovationTechnology, Innovation & Digital InfrastructureVulnerabilities Patch ManagementResearch, Exploits & Offensive SecurityVulnerabilities & Patch Management
Techcrook
Tutte le tecnologieIdentita e accessoFirewall e reteBackup e archiviazioneEnergia e continuitaPrivacy e sicurezza fisicaLaboratorio e prototipazioneStampa e tracciabilitaTecnologia quotidiana
Geocrook
AfricaAsiaEuropeMiddle EastNorth AmericaOceaniaSouth America
WikicrookالفريقAppاتصال
ArabicEnglishItaliano
الاستخبارات السيبرانية واتجاهات التهديد

المكالمة الهاتفية التي عبرت الجدار الناري

06 يونيو 2026 12:08الاستخبارات السيبرانية واتجاهات التهديدأمريكا الشمالية / الولايات المتحدة الأمريكيةGHOSTCOMPLY

تُظهر حملة مختلطة من التصيّد الصوتي، وأدوات الإدارة عن بُعد التي أسيء استخدامها، واقتحامات مكتبية مُبلّغ عنها كيف يمكن للمهاجمين تحويل عمليات الأعمال الروتينية إلى نقاط دخول.

تخيل مكتبًا قانونيًا مزدحمًا تصل إلى مكتب الاستقبال فيه مكالمة عاجلة: هناك حاجة إلى إصلاح تقني، ويُطلب إعادة تعيين كلمة مرور، ويُطلب بدء جلسة دعم عن بُعد. هذا النوع من الضغط هو بالضبط حيث تبدأ سلاسل الاختراق الحديثة. الحملة المرتبطة الآن بـ UNC3753 لافتة للنظر ليس لأنها تعتمد على برمجيات خبيثة غير مألوفة، بل لأنها تبدو وكأنها تجمع بين التلاعب البشري، والبرمجيات المشروعة، واقتحامًا ماديًا مُبلّغًا عنه ضمن نموذج تشغيلي واحد.

حقائق سريعة

  • يتم تتبع UNC3753 باعتبارها مجموعة تهديد ذات دافع مالي، مع أسماء مستعارة تشمل Silent Ransom Group و Luna Moth.
  • يركز النشاط على المؤسسات الأمريكية في القطاعات المهنية والقانونية والمالية.
  • يُعد التصيّد الصوتي جزءًا من مسار الاختراق، مما يجعل مكتب المساعدة والموظفين في الخطوط الأمامية هدفًا رئيسيًا.
  • يمكن إساءة استخدام أدوات المراقبة والإدارة عن بُعد لإنشاء وصول تفاعلي يبدو كنشاط دعم عادي.
  • تتضمن الحملة أيضًا اقتحامات مكتبية مادية مُبلّغ عنها أو عمليات دخول غير مصرح بها، مما يوسّع التهديد إلى ما وراء محيط الشبكة.

لماذا يهم هذا تقنيًا

نقطة الضعف الأساسية هنا ليست خطأً واحدًا. إنها الثقة. يصنّف MITRE التصيّد الصوتي بوصفه تقنية تستخدم المكالمات الهاتفية لخداع الأشخاص من أجل كشف بيانات الاعتماد، أو الموافقة على الإجراءات، أو تسليم التحكم. في البيئات التي تتكرر فيها طلبات الدعم، قد يكون ذلك كافيًا للحصول على موطئ قدم أولي دون استغلال أي برنامج على الإطلاق.

ومن هناك، تصبح برمجيات المراقبة والإدارة عن بُعد المشروعة هي المشكلة التالية. تُبنى أدوات RMM للإدارة، لذا غالبًا ما يندمج مرورها وسلوكها ضمن العمليات العادية. إذا استطاع مهاجم إقناع مستخدم أو موظف في مكتب المساعدة بتثبيت أداة أو الموافقة عليها، فقد تبدو الجلسة روتينية بينما تمنح الدخيل وصولًا تفاعليًا إلى محطة عمل أو خادم.

إن عنصر الاقتحام المادي المُبلّغ عنه يغيّر نموذج التهديد مرة أخرى. يمكن للوصول المادي أن يكشف المنافذ، أو وحدات التحكم، أو محطات العمل غير المقفلة، أو معدات الشبكة، ما يعني أن المدافع لا يتعامل فقط مع إساءة استخدام الهوية أو القياسات عن بُعد الخاصة بالنهايات. تصبح أمنيات المكتب، والتحكم بالزوار، وقفل الأجهزة جزءًا من الدفاع السيبراني.

وصفت التحليلات العامة السابقة من Mandiant حول UNC3753 استخدام هندسة اجتماعية عبر الهاتف على نمط BazarCall لدفع الضحايا نحو أدوات الوصول عن بُعد. وهذا التاريخ يجعل المزيج الحالي من vishing وإساءة استخدام RMM ممكنًا تقنيًا بوصفه تطورًا لنفس الأسلوب، حتى وإن ظل عنصر الاقتحام المادي عنصرًا مُبلّغًا عنه منفصلًا بدلًا من أن يكون آلية موثقة بالكامل.

في وقت كتابة هذا التقرير، تدعم المعلومات المتاحة تحليلًا للمخاطر، لا استنتاجًا نهائيًا بشأن مسار الاختراق الكامل أو التأثير اللاحق.

الدروس الدفاعية

بالنسبة للمدافعين، فإن الاستجابة العملية تكون متعددة الطبقات. يجب أن تتطلب الطلبات الهاتفية الخاصة بإعادة تعيين كلمات المرور، أو تغييرات MFA، أو الموافقات على المدفوعات، أو الوصول عن بُعد تحققًا خارج النطاق. كما ينبغي جرد أدوات RMM المعتمدة، وتقييدها، ومراقبتها لاكتشاف أوقات التثبيت غير المعتادة، أو نقاط النهاية الجديدة، أو الجلسات خارج نوافذ الدعم المعتادة. وتحتاج السلامة المادية أيضًا إلى ملكية سيبرانية: غرف الشبكات المقفلة، والتحكم في وصول الزوار، والإبلاغ السريع عن العبث يمكن أن يغلق الجزء من سطح الهجوم الذي ينسى كثير من الفرق مراقبته.

الخلاصة

تذكّرنا هذه الحالة بأن أكثر مسارات الاختراق فعالية تكون غالبًا الأقل بريقًا. إذا أمكن الجمع بين مكالمة، وأداة دعم، وموطئ قدم مادي، فلا يمكن لفرق الأمن أن تتعامل مع الهوية والنهايات وأمن المكتب كأنها مشكلات منفصلة. والدرس الحقيقي بسيط: في هجوم مركب، تكون أضعف علاقة ثقة هي المحيط الحقيقي.

TECHCROOK

hardware security key: مفتاح صغير عبر USB أو NFC لتسجيل الدخول المقاوم للتصيّد إلى البريد الإلكتروني وVPN وحسابات الإدارة. وهو إضافة عملية للمكاتب التي تريد حماية أقوى من كلمات المرور أو رموز SMS، خاصةً للموظفين الذين يتعاملون مع طلبات الدعم وموافقات الوصول عن بُعد.

Scheda Techcrook: hardware security key

WIKICROOK

  • Vishing: التصيّد الصوتي عبر الهاتف لخداع الأشخاص كي يكشفوا معلومات أو يتخذوا إجراءات محفوفة بالمخاطر.
  • RMM tools: برامج المراقبة والإدارة عن بُعد المستخدمة للإدارة ولكن يُساء استخدامها أحيانًا للوصول غير المصرح به.
  • MITRE ATT&CK: قاعدة معرفة عامة تصنّف تكتيكات وتقنيات الخصوم لأغراض التخطيط الدفاعي.
  • Initial access: موطئ القدم الأول الذي يحصل عليه المهاجم داخل بيئة مستهدفة.
  • Physical intrusion: دخول غير مصرح به إلى مكان العمل أو المرفق يمكن أن يوسع خيارات المهاجم إلى ما هو أبعد من الاختراق عن بُعد.
GHOSTCOMPLY
الكاتبGHOSTCOMPLY

الاستخبارات السيبرانية واتجاهات التهديد