هشدار مایکروسافت درباره باج‌افزارهایی با تکنیک‌های جدید برای نفوذ به فضای ابری هیبریدی

مایکروسافت در گزارشی هشدار داده که حملات پیچیده‌ی باج‌افزاری در سه‌ماهه اول سال ۲۰۲۵، زیرساخت‌های هیبریدی (ترکیبی از شبکه‌های محلی و سرویس‌های ابری) را هدف گرفته‌اند. این حملات با بهره‌گیری از ضعف‌های امنیتی در نقاط اتصال شبکه‌های درون‌سازمانی با فضای ابری، چالش‌های جدیدی برای سازمان‌های دارای پیکربندی هیبریدی به همراه آورده‌اند.

🔍 بازیگر جدید در میدان باج‌افزارها گروه وابسته به کره شمالی با نام Moonstone Sleet برای نخستین‌بار از باج‌افزار Qilin در قالب مدل “باج‌افزار به عنوان سرویس (RaaS)” استفاده کرده است. برخلاف گذشته که از بدافزارهای اختصاصی بهره می‌بردند، این حرکت نشان‌دهنده‌ی تغییر تاکتیکی برای افزایش بهره‌وری و همچنین حفظ انکارپذیری است.

🛠️ تکنیک‌های پیشرفته نفوذ به فضای ابری گروه Storm-0501 از تکنیک‌های جدیدی برای حرکت افقی (lateral movement) از سیستم‌های داخل سازمان به محیط ابری استفاده می‌کند. تحلیل‌های Microsoft Threat Intelligence نشان می‌دهد که این گروه به دستگاه‌های غیرمدیریتی و حساب‌های هیبریدی ناامن نفوذ کرده، منابع حیاتی را دستکاری می‌کند، پشتیبان‌ها را حذف کرده و باج‌افزار را اجرا می‌نماید.

در همین زمان، افشای گفتگوهای گروه باج‌افزاری Black Basta در فوریه، نشان داد آن‌ها از ضعف‌های موجود در Citrix، Jenkins و VPNها استفاده می‌کنند.

🎭 مهندسی اجتماعی و جعل تماس‌های پشتیبانی گروه‌های تهدید از جمله Storm-1674 از تماس‌های جعلی پشتیبانی IT (مثلاً از طریق Microsoft Teams) برای فریب کاربران استفاده می‌کنند. پس از جلب اعتماد قربانی، ابزارهایی مانند Quick Assist و PowerShell برای کنترل سیستم اجرا می‌شود.

📌 جزئیات فنی حملات: تکنیک‌های بهره‌برداری شامل درخواست‌هایی با دستکاری مسیرهاست. به‌عنوان مثال:

این حمله با استفاده از path traversal موجب افشای توکن‌های احراز هویت و تنظیمات federation شده و در برخی موارد امکان دور زدن احراز هویت چندمرحله‌ای (MFA) را فراهم می‌سازد.

🛡️ توصیه‌های امنیتی مایکروسافت: