اختراق مايكروسوفت 365: هجوم تصيد يستهدف 340 مؤسسة

كشف خبراء الأمن عن حملة اختراق مايكروسوفت 365 ضخمة تعتمد على التصيد الاحتيالي، مستهدفة أكثر من 340 مؤسسة حول العالم باختراق رموز OAuth.

ووفقاً لما تابعه فريق تيكبامين، فقد بدأ رصد هذا النشاط الخبيث في 19 فبراير 2026. وتتصاعد وتيرة الهجمات بشكل مقلق لتشمل مؤسسات وشركات كبرى في الولايات المتحدة، كندا، أستراليا، نيوزيلندا، وألمانيا.

كيف تعمل حملة اختراق مايكروسوفت 365 الجديدة؟

يعتمد المهاجمون على تقنية متطورة تُعرف باسم التصيد الاحتيالي لرموز الأجهزة (Device Code Phishing). تستغل هذه الطريقة مسار تفويض أجهزة OAuth لمنح المخترقين وصولاً مستمراً لحسابات الضحايا.

ويكمن الخطر الحقيقي في أن هذه الرموز تظل صالحة وفعالة حتى بعد قيام المستخدم بتغيير كلمة المرور الخاصة به. مما يمنح المهاجمين سيطرة كاملة دون إثارة الشكوك داخل الأنظمة الأمنية للمؤسسة.

أبرز القطاعات المستهدفة في الحملة

• قطاع البناء والعقارات
• المؤسسات والجمعيات غير الربحية
• شركات التصنيع والخدمات المالية
• قطاع الرعاية الصحية والخدمات القانونية
• الجهات والمؤسسات الحكومية

ما هي التقنيات المستخدمة في هجوم التصيد؟

تستخدم هذه الحملة بنية تحتية معقدة تعتمد على خدمات شرعية لتجنب الكشف بواسطة أنظمة الحماية. حيث يتم توجيه الضحايا في البداية عبر شبكة Cloudflare Workers الآمنة ظاهرياً.

بعد ذلك، يتم توجيه الجلسات المخترقة إلى خوادم مستضافة على منصة Railway، وهي منصة كخدمة (PaaS)، مما يحولها إلى آلة ضخمة لسرقة بيانات الاعتماد وجمع معلومات تسجيل الدخول.

أساليب الخداع والإيقاع بالضحايا

• إرسال رسائل مزيفة لعطاءات مشاريع البناء.
• توليد أكواد صفحات هبوط احتيالية بشكل آلي.
• انتحال شخصية خدمة التوقيع الإلكتروني الشهيرة DocuSign.
• إرسال إشعارات بريد صوتي وهمية.
• إساءة استخدام صفحات ونماذج مايكروسوفت (Microsoft Forms).

لماذا يعتبر استغلال رموز OAuth خطيراً؟

تكمن خطورة هذه الهجمات في استغلالها للبنية التحتية الشرعية لشركة مايكروسوفت. حيث تبدو عملية المصادقة طبيعية تماماً للمستخدم العادي ولا تثير أي تنبيهات أمنية تدفعه للشك.

بمجرد وقوع الضحية في الفخ، يتم إنشاء مجموعة من الرموز المميزة عبر واجهة برمجة التطبيقات (API). وبذلك تصبح الرموز ملكاً لأي شخص يمتلك رمز الجهاز الأصلي، كما يوضح خبراء موقع تيكبامين.

تم اكتشاف أسلوب التصيد عبر رموز الأجهزة لأول مرة في فبراير 2025 من قبل مايكروسوفت، لتتوالى بعدها موجات الهجوم التي وثقتها شركات أمنية كبرى وتطورت لتصبح أكثر تعقيداً.

أبرز المجموعات المتورطة في الهجوم

• مجموعة القرصنة المعرفة باسم Storm-2372
• مجموعة APT29 المرتبطة بجهات روسية
• مجموعات الاختراق UTA0304 و UTA0307
• مجموعة UNK_AcademicFlare المتطورة

في الختام، يمثل هذا النوع المتقدم من اختراق مايكروسوفت 365 تحدياً كبيراً لفرق الأمن السيبراني حول العالم. ويجب على المؤسسات تعزيز سياسات المصادقة وتوعية الموظفين بخطورة رسائل التصيد لتجنب فقدان البيانات الحساسة.