مدیر ارشد یک بورس جهانی بیش از پنج ماه هدف جاسوسی ایمیل قرار گرفت

محققان Symantec و Carbon Black از شناسایی یک عملیات هدفمند جاسوسی ایمیل علیه مدیر ارشد یک بورس بزرگ جهانی خبر داده‌اند؛ حمله‌ای که مهاجمان در جریان آن بیش از پنج ماه به صندوق پستی Microsoft Outlook قربانی دسترسی داشتند و حجم قابل‌توجهی از مکاتبات و اطلاعات حساس سازمانی را جمع‌آوری کردند. بررسی‌ها نشان می‌دهد این جاسوسی ایمیل با تکیه بر ابزارهای قانونی ویندوز، سرویس Dropbox و مجموعه‌ای از تکنیک‌های پنهان‌سازی انجام شده و دید گسترده‌ای از فعالیت‌های کاری و ارتباطات سازمانی هدف در اختیار مهاجمان قرار داده است.

نفوذی پنهان به صندوق پستی یک مدیر ارشد مالی

بررسی‌های انجام‌شده نشان می‌دهد عامل یا عاملان تهدید بدون جلب توجه به صندوق پستی Microsoft Outlook یکی از مدیران ارشد مالی نفوذ کرده و ماه‌ها به محتوای صندوق ایمیل و داده‌های ارتباطی او دسترسی داشته‌اند. در این عملیات جاسوسی ایمیل، مهاجمان مجموعه‌ای از اطلاعات حساس شامل فهرست مخاطبان، رویدادهای تقویم، ارتباطات سازمانی و جزئیات برخی تعاملات تجاری را جمع‌آوری کردند. دسترسی مستمر به این صندوق پستی، امکان ترسیم تصویری تقریباً کامل از فعالیت‌های روزمره مدیر، ارتباطات کاری و جهت‌گیری کوتاه‌مدت سازمان را برای مهاجمان فراهم کرده بود.

با توجه به اینکه قربانی از مدیران یک بورس بزرگ جهانی بوده است، اطلاعات به‌دست‌آمده می‌توانست برای شرکت‌ها، سرمایه‌گذاران یا حتی دولت‌های خارجی ارزش اطلاعاتی قابل‌توجهی داشته باشد. به گفته محققان، نهادهایی مانند بورس‌ها و سازمان‌های ناظر مالی معمولاً به اطلاعات غیرعمومی مرتبط با عرضه‌های اولیه، اقدامات نظارتی و رویدادهای اثرگذار بر بازار دسترسی دارند؛ داده‌هایی که می‌توانند ارزش راهبردی بالایی برای مهاجمان داشته باشند.

استفاده ماهرانه از ابزارهای قانونی ویندوز برای جاسوسی ایمیل

طبق یافته‌های محققان، زمانی که تیم‌های امنیتی نخستین ردپای مهاجمان را در 10 اکتبر 2025 مشاهده کردند، آن‌ها مدت‌ها بود که به سیستم هدف نفوذ کرده و دسترسی مدیریتی کامل به دست آورده بودند. در جریان این جاسوسی ایمیل، مهاجمان به احتمال زیاد از یک دستگاه آلوده برای حرکت جانبی (Lateral Movement) در شبکه استفاده کرده‌اند. همچنین بررسی‌ها از وجود دو ایمپلنت یا ابزار دسترسی مخفی (Implant) با سطح دسترسی SYSTEM روی دستگاه حکایت دارد؛ ابزارهایی که با نام و ظاهر نرم‌افزارهای Adobe و OneDrive در سیستم پنهان شده بودند. یکی از این ایمپلنت‌ها نیز از طریق یک تسک زمان‌بندی‌شده (Scheduled Task) هر پنج دقیقه اجرا می‌شد تا حضور مهاجمان در سیستم حفظ شود.

استقرار کانال فرماندهی و کنترل بر بستر Dropbox

مهاجمان در 12 نوامبر 2025، یک کانال فرماندهی و کنترل (C2) مبتنی بر Dropbox ایجاد کردند تا انتقال داده‌های سرقت‌شده در قالب ترافیک عادی شبکه پنهان بماند. همچنین آن‌ها یک تسک زمان‌بندی‌شده جدید را با عنوانی مرتبط با بررسی سلامت سیستم لنوو (Lenovo) ثبت کردند؛ اقدامی که نشان می‌دهد شناخت دقیقی از محیط کاری قربانی داشته‌اند.

در ادامه، مهاجمان یک بدافزار رباینده اطلاعات (Infostealer) سفارشی را مستقر کردند که بر پایه کتابخانه قانونی Aspose.NET توسعه یافته بود. این ابزار در جریان جاسوسی ایمیل، پیام‌های موجود در صندوق پستی Outlook قربانی را به فایل‌های لوکال تبدیل کرده و سپس آن‌ها را از طریق Dropbox به زیرساخت مهاجمان منتقل می‌کرد. استفاده از ابزارهای معتبر و سرویس‌های قانونی، یکی از عوامل اصلی پنهان ماندن این عملیات در طول ماه‌ها فعالیت آن بوده است.

تداوم دسترسی مهاجمان به صندوق پستی قربانی

براساس یافته‌های محققان، مهاجمان بین آگوست تا اواسط نوامبر 2025 تمامی ایمیل‌های قربانی را استخراج کردند. پس از آن نیز در بازه‌های زمانی دو تا چهار هفته‌ای، محتوای کامل صندوق پستی او را بار دیگر هدف سرقت قرار دادند؛ روندی که دست‌کم تا 17 فوریه 2026 ادامه داشت.

در ادامه این عملیات جاسوسی ایمیل، مهاجمان پس از آخرین مرحله استخراج داده‌ها چند بکدور جدید روی سیستم مستقر کردند. آخرین فعالیت مخرب مهاجمان در 19 مارس 2026 ثبت شد و پس از آن، هیچ نشانه‌ای از ادامه حضور آن‌ها در محیط هدف مشاهده نشد. به گفته محققان، این موضوع می‌تواند نشان‌دهنده از دست رفتن دسترسی عاملان حمله به دستگاه قربانی باشد.

راهکارهای دفاعی در برابر عملیات جاسوسی ایمیل

با وجود دقت و پیچیدگی این حمله، محققان معتقدند سازمان هدف می‌توانست آن را در مراحل اولیه شناسایی و متوقف کند. به گفته Marc Elias، استفاده از راهکارهای کارگزار امنیت دسترسی ابری (Cloud Access Security Broker یا CASB) و جلوگیری از افشای داده (Data Loss Prevention یا DLP) می‌توانست انتقال اطلاعات به سرویس‌های ابری را شناسایی یا مسدود کند.

به باور کارشناسان، یکی از مهم‌ترین درس‌های این پرونده جاسوسی ایمیل، ضرورت مانیتورینگ مستمر هشدارهای سامانه تشخیص و پاسخ در سطح Endpoint (EDR) است. بررسی و واکنش به‌موقع به این هشدارها می‌توانست مسیر سوءاستفاده مهاجمان را مختل کرده و از ادامه فعالیت آن‌ها در محیط قربانی جلوگیری کند.

منابع