تیم Forensics در بخش Managed Data Detection and Response (MDDR) شرکت Varonis موفق به کشف یک کمپین فیشینگ مخفی و گسترده شده که از یک قابلیت قانونی در Microsoft 365 به نام Direct Send سوءاستفاده می‌کند. مهاجمان با بهره‌گیری از این روش توانستند کاربران داخلی را جعل (spoof) کرده و کنترل‌های سنتی امنیت ایمیل را دور بزنند؛ آن هم بدون نیاز به نفوذ به هیچ حسابی. بیش از ۷۰ سازمان – عمدتاً در ایالات متحده – هدف این حملات قرار گرفته‌اند.

 

Direct Send چیست؟

Direct Send قابلیتی در Microsoft 365 است که به دستگاه‌های داخلی مانند پرینترها یا تجهیزات شبکه این امکان را می‌دهد تا بدون نیاز به احراز هویت، ایمیل ارسال کنند. این قابلیت از “smart host”هایی با ساختار قابل پیش‌بینی مانند:

tenantname.mail.protection.outlook.com

استفاده می‌کند. این پیکربندی به طور ذاتی نیاز به هیچگونه لاگین، رمزعبور یا احراز هویت ندارد که همین موضوع باعث می‌شود آسیب‌پذیر باشد.

«هیچ احراز هویتی نیاز نیست؛ یعنی مهاجم نیازی به رمز عبور، توکن یا دسترسی به tenant ندارد—فقط کافی‌ست چند اطلاعات عمومی در دسترس را بداند.»

نحوه اجرای حمله توسط مهاجمین

مهاجم با شناسایی دامنه و آدرس‌های داخلی یک سازمان (که اغلب از منابع عمومی استخراج می‌شود) می‌تواند ایمیل‌هایی بسازد که وانمود می‌کنند از داخل همان سازمان ارسال شده‌اند.

بر اساس تحلیل Varonis، مهاجمین از اسکریپت‌های PowerShell برای ارسال این ایمیل‌های جعلی استفاده کرده‌اند. نمونه‌ای از دستور استفاده‌شده:

Send-MailMessage -SmtpServer company-com.mail.protection.outlook.com -To [email protected] -From [email protected] -Subject "New Missed Fax-msg" -Body "You have received a call! Click on the link to listen to it. Listen Now" -BodyAsHtml

از آنجا که ایمیل از زیرساخت مایکروسافت عبور می‌کند و به نظر از داخل سازمان ارسال شده، سیستم‌های امنیتی ایمیل نمی‌توانند آن را مشکوک تلقی کنند.

---

رفتار مشکوک شناسایی‌شده

در یکی از موارد بررسی‌شده، یک آدرس IP از اوکراین هشدار “فعالیت غیرعادی از موقعیت جغرافیایی غیرفعال” ایجاد کرد. با این حال هیچ لاگینی رخ نداده بود—فقط فعالیت ایمیل از طریق PowerShell.

«الگوی شناسایی‌شده کاملاً مشخص بود و بلافاصله ما را به سوی منبع احتمالی مشکل هدایت کرد: سوءاستفاده از Direct Send.»

---

تکنیک Quishing با QR Code

ایمیل‌های ارسالی اغلب مشابه اعلان‌های پیام صوتی طراحی شده بودند و دارای پیوست PDF حاوی کد QR بودند. این کد، کاربر را به صفحه‌ای فیشینگ هدایت می‌کرد که هدف آن سرقت اطلاعات ورود Microsoft 365 بود.

---

بررسی Header ایمیل

بررسی‌ها نشان داد که ایمیل:

• از یک IP خارجی ارسال شده

• در بررسی SPF، DKIM و DMARC شکست خورده

• اما با موفقیت به صندوق داخلی تحویل داده شده است

---

راهکارهای مقابله پیشنهادی Varonis

1. فعال‌سازی گزینه “Reject Direct Send” در Exchange Admin Center

2. پرچم‌گذاری ایمیل‌های داخلی بدون احراز هویت برای بررسی یا قرنطینه

3. اعمال سیاست DMARC با حالت reject

4. enforce کردن SPF hardfail

5. فعال‌سازی سیاست‌های Anti-Spoofing

6. آموزش کاربران درباره حملات فیشینگ QR Code (که به آن quishing گفته می‌شود)

7. استفاده از آدرس IPهای ثابت در رکورد SPF