كشف تحقيق لمنصة “Unit 42” المتخصصة في حلول الأمن السيبراني، التابعة لشركة “Palo Alto Networks”، عن حملة احتيال إلكتروني دولية أُطلق عليها اسم “جينغل ثيف”، يقودها قراصنة إلكترونيون ينشطون في المملكة المغربية، يستهدفون تحقيق عائدات مالية من خلال بطاقات الهدايا الرقمية خلال المواسم الاحتفالية، موضحا أن الحملة تعتمد على تقنيات التصيد الاحتيالي عبر البريد الإلكتروني والرسائل النصية القصيرة لاستهداف الشركات العالمية في قطاعي التجزئة والخدمات الاستهلاكية والحصول على بيانات دخول تمكنهم من إصدار بطاقات هدايا غير مصرح بها.

وأكد التحقيق أن ما يجعل المهاجمين الإلكترونيين الذين يقفون وراء هذه الحملة خطرين بشكل خاص، هو “قدرتهم على الحفاظ على موطئ قدم داخل المؤسسات المخترقة لفترات طويلة، أحيانا لأكثر من سنة، وخلال هذه الفترة يكتسبون معرفة عميقة بالبيئة، بما في ذلك كيفية الوصول إلى البنية التحتية الحيوية، مما يجعل كشفهم ومعالجتهم أمرا بالغ الصعوبة”، مؤكدا أن “المهاجمين شنوا في أبريل وماي الماضيين موجة من الهجمات المنسقة على شركات عالمية عدة”.

وذكر المصدر ذاته أن “حملة ‘جينغل ثيف’ أُطلقت من قبل مهاجمين مغاربة ذوي دوافع مالية، نشطوا منذ عام 2021، وتستهدف عملياتهم بشكل أساسي الشركات العالمية في قطاعي التجزئة والخدمات الاستهلاكية”، مسجلا أنه “على الرغم من أنهم ليسوا مرتبطين بدولة ما، إلا أن نشاطهم يتضمن تكتيكات متقدمة ويتسم بالاستمرارية والتركيز التشغيلي”.

وأوضح أنه “على عكس جهات التهديد التي تعتمد على البرمجيات الخبيثة التقليدية أو استغلال نقاط النهاية، يعمل المهاجمون في هذه الحملة حصريا في البيئات السحابية بمجرد حصولهم على بيانات الاعتماد عبر التصيد؛ إذ يستغلون البنية التحتية السحابية لانتحال هوية المستخدمين الشرعيين والحصول على وصول غير مصرح به إلى بيانات حساسة، وتنفيذ احتيال واسع النطاق على بطاقات الهدايا”.

وأكد التحقيق أن “المهاجمين حافظوا في إحدى الحملات على الوصول إلى البيانات لمدة تقارب 10 أشهر، ونجحوا في اختراق أكثر من 60 حساب مستخدم داخل مؤسسة عالمية واحدة”، مضيفا أن نشاطهم شمل استخدام خدمات “Microsoft 365” مثل “SharePoint” و”OneDrive” و”Exchange” و”Entra ID”، مما أظهر درجة عالية من المرونة والصبر التشغيلي، بحيث إن هذا النهج يجعل الكشف عن مثل هذه العمليات يتطلب متابعة دقيقة لأفعال المهاجمين على مدى فترة طويلة، وغالبا ما يُزامن المهاجمون نشاطهم مع فترات الأعياد، مما يزيد من عملياتهم خلال أوقات نقص الموظفين وارتفاع الإنفاق على بطاقات الهدايا.

وأفاد التحقيق بأن “بطاقات الهدايا تعد جذابة للغاية للمهاجمين لمجموعة من الأسباب، منها سهولة استردادها وتحويلها إلى نقود بسرعة، إمكانية إعادة بيعها في أسواق رمادية بأسعار مخفضة لتحقيق تدفق نقدي فوري، إلى جانب صعوبة تتبعها، مما يجعل التحقيق أو استرجاع الأموال أصعب، ثم إصدارها غالبا عبر أنظمة ضعيفة التحكم بالوصول، وصلاحيات داخلية واسعة، ومراقبة محدودة”.

وذكرت المنصة المتخصصة في حلول الأمن السيبراني أن “المهاجمين حاولوا مرات متعددة الوصول إلى تطبيقات إصدار بطاقات الهدايا المختلفة، وحاولوا إصدار بطاقات عالية القيمة عبر برامج مختلفة لتحقيق مكاسب مالية، وربما استخدامها كضمان في عمليات غسل الأموال، مما يحوّل السرقة الرقمية إلى نقد غير قابل للتتبع أو قروض قصيرة الأجل”.

وأضافت أن “المهاجمين الإلكترونيين الذين يقفون وراء الحملة يستثمرون بشكل كبير في الاستطلاع قبل الهجوم؛ إذ يجمعون المعلومات الاستخباراتية حول كل هدف، بما في ذلك العلامة التجارية، ومنصات تسجيل الدخول، وقوالب البريد الإلكتروني، وتسميات النطاقات، مما يتيح لهم إنشاء محتوى تصيد عالي الإقناع يبدو شرعيا لكل من المستخدمين وأدوات الأمان”.

وأردفت أنهم “عادة ما يبدؤون عملياتهم باستخدام هجمات التصيد المخصصة أو الرسائل النصية الاحتيالية (Smishing)، التي تجذب الضحايا إلى بوابات تسجيل دخول مزيفة تشبه بوابات ‘Microsoft 365’ الشرعية. وقد تنتحل بعض الرسائل صفة منظمات غير حكومية لزيادة مصداقيتها وجذب الضحايا، وبعد جمع بيانات الاعتماد، يقوم المهاجمون بتسجيل الدخول مباشرة إلى ‘Microsoft 365’ والتنقل داخل البيئة دون الحاجة لأي برمجيات خبيثة”.

وزادت شارحة: “بدلا من نشر برمجيات خبيثة، تعتمد ‘جينغل ثيف’ على التصيد الداخلي لتوسيع موطئ قدمهم داخل البيئة المستهدفة، ففي إحدى المحاولات ضد مُستهدف، بعد اختراق حساب ‘Microsoft 365’ لمستخدم، أرسل المهاجمون رسائل تصيد من الحساب المخترق إلى موظفين داخل المؤسسة نفسها، محاكية إشعارات خدمة تكنولوجيا المعلومات أو تحديثات التذاكر، وغالبا باستخدام معلومات من الوثائق الداخلية أو الاتصالات السابقة”.

وأكد التحقيق أن “أنشطة هذه الحملة الإلكترونية نشأت من عناوين ‘IP’ مغربية؛ إذ أظهرت سجلات ‘Microsoft 365’ عبر الحوادث بصمات أجهزة وسلوكيات تسجيل دخول متكررة مرتبطة بهذه العناوين. وعلى عكس كثير من الجهات التي تخفي مواقعها عبر ‘VPN’، غالبا لم يحاول هؤلاء المهاجمون إخفاء أصلهم، واستخدموا أحيانا ‘VPN’ باسم ‘Mysterium’ عند الوصول إلى الحسابات المخترقة، كما تطابقت بيانات ‘ASN’ أيضا مع مزودي الاتصالات المغاربة”.