مایکروسافت Defender for Office 365 را به قابلیت مقابله با حملات Email Bombing مجهز کرد!

مایکروسافت اعلام کرده که مجموعه امنیتی ایمیل مبتنی بر ابر Microsoft Defender for Office 365 اکنون به‌صورت خودکار حملات بمباران ایمیل (Email Bombing) را شناسایی و مسدود می‌کند.

جزئیات ویژگی جدید

Microsoft Defender for Office 365، که قبلا با نام Office 365 Advanced Threat Protection یا Office 365 ATP شناخته می‌شد، سازمان‌های فعال در صنایع پرریسک را در برابر تهدیدات مخرب از ایمیل‌ها، لینک‌ها و ابزارهای همکاری محافظت می‌کند. مایکروسافت اعلام کرده که قابلیت جدید تشخیص بمباران ایمیل برای محافظت از سازمان‌ها در برابر این تهدید رو به رشد طراحی شده است.

این نوع حمله، صندوق ورودی ایمیل‌ها را با حجم بالایی از پیام‌ها پر می‌کند تا پیام‌های مهم را مخفی کرده یا سیستم‌ها را تحت فشار قرار دهد. قابلیت جدید تشخیص بمباران ایمیل به‌صورت خودکار این حملات را شناسایی و مسدود می‌کند و به تیم‌های امنیتی کمک می‌کند تا دید خود را نسبت به تهدیدات واقعی حفظ کنند.

این ویژگی از اواخر ژوئن ۲۰۲۵ شروع به عرضه کرده و انتظار می‌رود تا اواخر ژوئیه به همه سازمان‌ها برسد. این قابلیت به‌صورت پیش‌فرض فعال است، نیازی به پیکربندی دستی ندارد و تمام پیام‌های شناسایی‌شده به‌عنوان بخشی از کمپین بمباران ایمیل را به‌طور خودکار به پوشه Junk منتقل می‌کند.

این قابلیت برای تحلیلگران عملیات امنیتی و مدیران به‌عنوان نوع جدیدی از تشخیص در Threat Explorer، صفحه موجودیت ایمیل، پنل خلاصه ایمیل و Advanced Hunting در دسترس است.

حملات Email Bombing و زمینه آنها

در حملات بمباران ایمیل یا Email Bombing، هکرها صندوق ورودی ایمیل هدف را با هزاران یا ده‌ها هزار پیام در عرض چند دقیقه پر می‌کنند، چه با ثبت‌نام هدف در تعداد زیادی خبرنامه یا با استفاده از خدمات سایبری اختصاصی که قادر به ارسال حجم عظیمی از ایمیل‌ها هستند. هدف اصلی مهاجمان معمولا تحت فشار قرار دادن سیستم‌های امنیتی ایمیل به‌عنوان بخشی از طرح‌های مهندسی اجتماعی است تا راه را برای حملات بدافزار یا باج‌افزار هموار کنند و داده‌های حساس را از سیستم‌های به خطر افتاده استخراج کنند.

این تاکتیک بیش از یک سال است که توسط گروه‌های مختلف سایبری و باج‌افزاری استفاده می‌شود. گروه BlackBasta اولین گروهی بود که از این روش استفاده کرد و صندوق‌های ورودی قربانیان را با ایمیل‌های متعدد در عرض چند دقیقه پر می‌کرد، پیش از آنکه حملات خود را آغاز کند. این گروه سپس با تماس‌های تلفنی فیشینگ صوتی، با جعل هویت تیم‌های پشتیبانی فناوری اطلاعات، کارمندان تحت فشار را فریب می‌داد تا دسترسی از راه دور به دستگاه‌هایشان را از طریق ابزارهایی مانند AnyDesk یا Windows Quick Assist فراهم کنند.

پس از نفوذ به سیستم‌ها، مهاجمان ابزارها و بدافزارهای مختلف را مستقر می‌کردند تا امکان گسترش در شبکه‌های سازمانی را داشته باشند و سپس پیلودهای باج‌افزاری را اجرا کنند. اخیرا، یکی از وابستگان باج‌افزار 3AM و هکرهای مرتبط با گروه FIN7 نیز از Email Bombing استفاده کرده‌اند و با جعل هویت پشتیبانی IT در حملات مهندسی اجتماعی، کارمندان را برای ارائه اطلاعات ورود و دسترسی از راه دور به سیستم‌های سازمانی فریب داده‌اند.

توصیه‌های امنیتی

سازمان‌ها باید اطمینان حاصل کنند که Microsoft Defender for Office 365 به آخرین نسخه به‌روزرسانی شده و قابلیت تشخیص Email Bombing فعال است. مدیران امنیتی باید Threat Explorer و Advanced Hunting را برای شناسایی فعالیت‌های مشکوک بررسی کنند. علاوه بر این، آموزش کارمندان برای تشخیص تماس‌های فیشینگ و درخواست‌های جعلی پشتیبانی IT و تقویت فرآیندهای تأیید هویت می‌تواند از موفقیت حملات مهندسی اجتماعی جلوگیری کند.

منابع: