پژوهشگران امنیت سایبری جزئیات یک کمپین فیشینگ چندمرحلهای پیشرفته را افشا کردهاند که در آن مهاجمان با سوءاستفاده از سرویس Application Integration در Google Cloud، ایمیلهایی کاملاً معتبر و شبیه پیامهای رسمی گوگل ارسال میکنند.
در این حمله، مهاجمان با جعل اعلانهای تولیدشده توسط گوگل، ایمیلها را از یک آدرس معتبر گوگل ارسال کردهاند تا شانس عبور از فیلترهای امنیتی ایمیل و رسیدن به صندوق ورودی کاربران افزایش یابد.
سوءاستفاده از اعتماد به زیرساخت Google Cloud
طبق اعلام شرکت Check Point، این فعالیت مخرب از اعتماد ذاتی کاربران به زیرساخت Google Cloud سوءاستفاده میکند. ایمیلها از آدرس زیر ارسال شدهاند:
noreply-application-integration@google[.]com
این موضوع باعث شده ایمیلها بتوانند فیلترهای امنیتی سنتی مانند SPF و DMARC را دور بزنند.
Check Point اعلام کرده است که ایمیلها شبیه اعلانهای روزمره سازمانی مانند پیام صوتی جدید یا درخواست دسترسی به فایل طراحی شدهاند و کاملاً عادی و قابل اعتماد به نظر میرسند.
آمار حمله و گستره جغرافیایی
در یک بازه 14 روزه در دسامبر 2025:
9,394 ایمیل فیشینگ
هدفگیری حدود 3,200 سازمان
مناطق آسیبدیده:
ایالات متحده
اروپا
آسیا-اقیانوسیه
کانادا
آمریکای لاتین
هسته فنی حمله: Application Integration
در مرکز این کمپین، سوءاستفاده از قابلیت Send Email Task در Google Cloud Application Integration قرار دارد. این قابلیت به کاربران اجازه میدهد اعلانهای ایمیلی سفارشی ارسال کنند (حداکثر 30 گیرنده در هر بار).
نکته خطرناک اینجاست که:
ایمیلها میتوانند به هر آدرس دلخواهی ارسال شوند
از دامنههای رسمی Google استفاده میشود
بررسیهای امنیتی ایمیل عملاً بیاثر میشوند.
تکنیک افزایش اعتماد قربانی
ایمیلها:
کاملاً منطبق با طراحی و لحن اعلانهای گوگل
شامل سناریوهایی مانند:
پیام صوتی جدید
اعطای دسترسی به فایل مشترک (مثلاً فایل Q4)
قربانی را به کلیک سریع روی لینک ترغیب میکنند.
زنجیره حمله چندمرحلهای (Multi-Stage Attack Chain)
- کلیک روی لینک میزبانیشده در: cloud.google[.]com
- انتقال به: googleusercontent[.]com
- نمایش CAPTCHA یا بررسی تصویری جعلی (برای دور زدن اسکنرها و ابزارهای امنیتی)
- هدایت نهایی به صفحه جعلی ورود Microsoft 365 (میزبانیشده روی دامنه غیرمایکروسافتی)
- سرقت نام کاربری و رمز عبور قربانی
واکنش Google
Google اعلام کرده است قابلیت ایمیلی که مورد سوءاستفاده قرار گرفته بود مسدود شده و اقدامات امنیتی بیشتری برای جلوگیری از سوءاستفادههای مشابه در حال اجرا است.
صنایع هدفگرفتهشده
بر اساس تحلیل Check Point، اهداف اصلی شامل:
- تولید
- فناوری
- سرویسهای مالی
- سرویسهای حرفهای
- خردهفروشی
همچنین صنایع رسانه، آموزش، سلامت، انرژی، دولت، سفر و حملونقل نیز مورد هدف قرار گرفتهاند.
بهروزرسانی (Update)
شرکتهای xorlab و Ravenmail نیز جزئیات بیشتری منتشر کردهاند.
xorlab اعلام کرده این حملات شامل OAuth Consent Phishing نیز بوده و برخی صفحات جعلی روی AWS S3 میزبانی شدهاند.
به گفتهی xorlab ، مهاجمان قربانیان را فریب میدهند تا به یک اپلیکیشن مخرب Azure AD دسترسی داده و از طریق توکنهای دسترسی، به منابع Azure دست پیدا کنند. هر مرحله از حمله از زیرساختهای معتبر استفاده میکند؛ از Google شروع میشود، به Microsoft میرسد و در نهایت به AWS ختم میشود.
نتیجهگیری
این کمپین نشان میدهد که مهاجمان چگونه میتوانند بدون جعل سنتی، از قابلیتهای قانونی پلتفرمهای ابری برای اجرای فیشینگ در مقیاس بزرگ استفاده کنند.
