في تطور أمني خطير يهدد البنية التحتية الرقمية للمؤسسات حول العالم، أصدرت عملاقة التكنولوجيا “مايكروسوفت” تحذيراً عاجلاً يكشف عن ثغرة استغلالية جديدة تعتمد على الهندسة الاجتماعية المتقدمة، حيث يتخلى القراصنة عن أساليب التصيد التقليدية ليختبئوا خلف ستار “الموظفين الرسميين”، مستغلين الثقة العمياء في أدوات نظام التشغيل “ويندوز”.
وفقاً للتقرير التقني الصادر عن الشركة، فإن الهجوم لا يعتمد على برمجيات خبيثة غريبة تكتشفها جدران الحماية، بل يستهدف نقطة الضعف البشرية والتقنية معاً عبر تطبيق التواصل المهني (Microsoft Teams). يبدأ السيناريو بتواصل المهاجمين مع الموظفين منتحلين صفة فريق الدعم الفني الداخلي أو الخارجي، مستخدمين ميزة “الدردشة بين المؤسسات” لإضفاء طابع رسمي ومصداقية زائفة على الطلب.
الخطوة القاتلة في هذا الهجوم تكمن في إقناع الضحية بتشغيل أداة (Quick Assist) المدمجة أصلاً في نظام ويندوز والمخصصة للدعم الفني الشرعي. بمجرد منح الموظف صلاحية الوصول عن بعد، يتحول الجهاز إلى بوابة مفتوحة للمخترقين الذين يتنقلون بحرية داخل الشبكة باستخدام بروتوكولات إدارية أصلية، مما يجعل نشاطهم يبدو كعمليات صيانة روتينية غير مشبوهة لأنظمة الكشف التقليدية.
وما يزيد من خطورة هذا الأسلوب هو المرحلة التالية للاختراق؛ فبعد السيطرة على الأجهزة الطرفية، يتسلل المهاجمون وصولاً إلى “وحدات التحكم بالنطاق” (Domain Controllers)، وهي العقل المدبر للشبكة، ثم يقومون بتثبيت أدوات مثل (Rclone) لتهريب كميات هائلة من البيانات الحساسة إلى خوادم سحابية خارجية. كل ذلك يحدث تحت غطاء عمليات دعم فني وهمية، مما يصعب على فرق الأمن السيبراني تمييز النشاط الخبيث عن العمل اليومي المشروع.
تشير مايكروسوفت إلى أن نجاح هذه الهجمات يعود إلى تجاوزها لحاجز الشك المعتاد لدى الموظفين تجاه الروابط المشبوهة في البريد الإلكتروني، إذ إن التواصل يحدث عبر منصة مهنية موثوقة. وللمواجهة، دعت الشركة مديري الأنظمة إلى مراجعة فورية لإعدادات الاتصال الخارجي في تطبيقات التعاون، وتقييد صلاحيات الأدوات المساعدة مثل (Quick Assist) لتقتصر على المستخدمين المصرح لهم فقط، مع التشديد على ضرورة تدريب الموظفين على آليات التحقق الصارمة من هوية أي شخص يطلب وصولاً تقنياً لأجهزتهم، مهما بدت صفته رسمية.
